Pour lancer des applications et des postes de travail à distance depuis VMware Workspace ONE Access ou vous connecter à des applications et des postes de travail à distance via une passerelle ou un équilibreur de charge tiers, vous devez créer un authentificateur SAML dans Horizon Console. Un authentificateur SAML contient l'approbation et l'échange de métadonnées entre VMware Horizon et le périphérique auquel se connectent les clients.

Vous associez un authentificateur SAML à une instance du Serveur de connexion. Si votre déploiement inclut plusieurs instances du Serveur de connexion, vous devez associer l'authentificateur SAML à chaque instance.

Vous pouvez autoriser la mise en service d'un authentificateur statique et de plusieurs authentificateurs dynamiques à la fois. Vous pouvez configurer des authentificateurs vIDM (Dynamique) et (Statique) Unified Access Gateway et les maintenir actifs. Vous pouvez établir des connexions via l'un de ces authentificateurs.

Vous pouvez configurer plusieurs authentificateurs SAML sur un Serveur de connexion, et tous les authentificateurs peuvent être actifs simultanément. Toutefois, l'ID d'entité de chacun de ces authentificateurs SAML configurés sur le Serveur de connexion doit être différent.

L'état de l'authentificateur SAML dans le tableau de bord est toujours vert, car il s'agit de métadonnées prédéfinies qui sont statiques par nature. Le basculement entre le rouge et le vert ne s'applique que pour les authentificateurs dynamiques.

Pour plus d'informations sur la configuration d'un authentificateur SAML pour les dispositifs Unified Access Gateway de VMware, consultez la documentation Unified Access Gateway.

Conditions préalables

  • Vérifiez qu'Workspace ONE, VMware Workspace ONE Access ou une passerelle ou un équilibrage de charge tiers est installé et configuré. Consultez la documentation d'installation de ce produit.

  • Vérifiez que le certificat racine de l'autorité de certification de signature du certificat du serveur SAML est installé sur l'hôte du Serveur de connexion. VMware recommande de ne pas configurer d'authentificateurs SAML pour utiliser des certificats auto-signés. Pour plus d'informations sur l'authentification des certificats, reportez-vous au document Installation et mise à niveau d'Horizon.
  • Notez le nom de domaine complet ou l'adresse IP du serveur Workspace ONE, du serveur VMware Workspace ONE Access ou de l'équilibrage de charge externe.
  • (Facultatif) Si vous utilisez Workspace ONE ou VMware Workspace ONE Access, notez l'URL de l'interface Web du connecteur.
  • Si vous créez un authentificateur pour un dispositif Unified Access Gateway ou un dispositif tiers qui exige que vous génériez des métadonnées SAML et que vous créiez un authentificateur statique, exécutez la procédure sur le périphérique pour générer les métadonnées SAML, puis copiez les métadonnées.

Procédure

  1. Dans Horizon Console, accédez à Paramètres > Serveurs.
  2. Dans l'onglet Serveurs de connexion, sélectionnez une instance du serveur à associer à l'authentificateur SAML et cliquez sur Modifier.
  3. Dans l'onglet Authentification, sélectionnez un paramètre dans le menu déroulantDélégation de l'authentification à VMware Horizon (authentificateur SAML 2.0) pour activer ou désactiver l'authentificateur SAML.
    Option Description
    Désactivé L'authentification SAML est désactivée. Vous ne pouvez lancer des applications et des postes de travail distants qu'à partir d'Horizon Client.
    Autorisé L'authentification SAML est activée. Vous pouvez lancer des applications et des postes de travail distants depuis Horizon Client et VMware Workspace ONE Access ou le périphérique tiers.
    Requis L'authentification SAML est activée. Vous pouvez lancer des applications et des postes de travail distants uniquement depuis VMware Workspace ONE Access ou le périphérique tiers. Vous ne pouvez pas lancer manuellement des postes de travail ou des applications à partir d'Horizon Client.
    Vous pouvez configurer chaque instance du Serveur de connexion dans votre déploiement pour disposer de paramètres d'authentification SAML différents, adaptés à vos besoins.
  4. Cliquez sur Gérer des authentificateurs SAML, puis sur Ajouter.
  5. Configurez l'authentificateur SAML dans la boîte de dialogue Ajouter un authentificateur SAML 2.0.
    Option Description
    Type Pour un dispositif Unified Access Gateway ou un périphérique tiers, sélectionnez Statique. Pour VMware Workspace ONE Access sélectionnez Dynamique. Pour les authentificateurs dynamiques, vous pouvez spécifiez une URL de métadonnées et une URL d'administration. Pour les authentificateurs statiques, vous devez d'abord générer les métadonnées sur un dispositif Unified Access Gateway ou sur un périphérique tiers, copier les métadonnées, puis les coller dans la zone de texte Métadonnées SAML.
    Étiquette Nom unique qui identifie l'authentificateur SAML.
    Description Brève description de l'authentificateur SAML. Cette valeur est facultative.
    URL de métadonnées (Pour les authentificateurs dynamiques) URL pour récupérer toutes les informations requises pour échanger des informations SAML entre le fournisseur d'identité SAML et l'instance du Serveur de connexion. Dans l'URL https://<NOM DE VOTRE SERVEUR HORIZON>/SAAS/API/1.0/GET/metadata/idp.xml, cliquez sur <NOM DE VOTRE SERVEUR HORIZON> et remplacez-le par le FQDN ou l'adresse IP du serveur VMware Workspace ONE Access ou de l'équilibrage de charge externe (périphérique tiers).
    URL d'administration (Pour les authentificateurs dynamiques) URL pour accéder à la console d'administration du fournisseur d'identité SAML. Pour VMware Workspace ONE Access, cette URL doit pointer vers l'interface Web d'VMware Workspace ONE Access Connector. Cette valeur est facultative.
    Mode de déclenchement de True SSO (Pour les authentificateurs dynamiques) Activez ou désactivez TrueSSO pour les authentificateurs SAML.
    Métadonnées SAML (Pour les authentificateurs statiques) Texte des métadonnées que vous avez générées et copiées depuis un dispositif Unified Access Gateway ou un périphérique tiers.
    Activé pour le Serveur de connexion Cochez cette case pour activer l'authentificateur. Vous pouvez activer plusieurs authentificateurs. Seuls les authentificateurs activés sont affichés dans la liste.
  6. Cliquez sur OK pour enregistrer la configuration de l'authentificateur SAML.
    Si vous avez fourni des informations valides, vous devez accepter le certificat auto-signé (non recommandé) ou utiliser un certificat approuvé pour VMware Horizon et VMware Workspace ONE Access ou le périphérique tiers.

    La boîte de dialogue Gérer des authentificateurs SAML affiche l'authentificateur récemment créé.

Que faire ensuite

Allongez la période d'expiration des métadonnées du Serveur de connexion pour que les sessions à distance ne se terminent pas après seulement 24 heures. Reportez-vous à la section Modifier la période d’expiration des métadonnées du fournisseur de services sur le Serveur de connexion.