En plus d'intégrer des espaces View indépendants à VMware Identity Manager, vous pouvez intégrer des déploiements d'Architecture Cloud Pod (CPA) de View.
La fonctionnalité Architecture Cloud Pod de View lie plusieurs espaces View pour former un seul grand environnement d'intermédiation et de gestion des postes de travail et des applications appelé fédération d'espaces. Une fédération d'espaces peut s'étendre sur plusieurs sites et centres de données.
Vous pouvez intégrer une ou plusieurs fédérations d'espaces au service VMware Identity Manager. Notez que les fédérations d'espaces sont créées et gérées dans View, et que les droits d'utilisateur et de groupe pour les pools de postes de travail et d'applications de la fédération d'espaces sont définis dans View. Vous synchronisez les ressources et les droits avec VMware Identity Manager.
Les fédérations d'espaces disposent de droits globaux, qui vous permettent d'attribuer aux utilisateurs des postes de travail et des applications accessibles depuis n'importe quel espace dans la fédération d'espaces. Un droit global peut se composer de ressources depuis plusieurs espaces dans la fédération. Par exemple, un droit de poste de travail global peut contenir des pools de postes de travail de trois espaces différents dans trois centres de données différents. De même, des droits locaux peuvent avoir été configurés pour des espaces individuels dans la fédération d'espaces. Vous pouvez synchroniser des droits globaux et locaux avec VMware Identity Manager.
L'intégration d'une fédération d'espaces View au service VMware Identity Manager implique les tâches de haut niveau suivantes dans la console d'administration de VMware Identity Manager :
- Ajoutez tous les espaces qui forment la fédération d'espaces, en spécifiant les détails du Serveur de connexion View de chacun.
Alors que VMware Identity Manager peut synchroniser des droits globaux de n'importe quel espace dans la fédération d'espaces, il doit se connecter à chaque espace pour synchroniser des métadonnées requises pour l'authentification SAML. Il doit également se connecter aux espaces pour synchroniser des droits locaux, le cas échéant.
- Ajoutez les détails de la fédération d'espaces et spécifiez l'URL de démarrage globale. L'URL de démarrage globale, en général l'URL d'équilibrage de charge globale, est utilisée pour lancer des applications et des postes de travail globalement autorisés.
Vous pouvez personnaliser l'URL de démarrage globale pour des plages réseau spécifiques, par exemple l'accès interne et externe.
- Synchronisez des ressources et des droits de la fédération d'espaces avec le service VMware Identity Manager.
Note : Seuls les droits globaux disposant de la stratégie d'étendue Tous les sites dans une fédération d'espaces sont synchronisés. La stratégie d'étendue Tous les sites définit l'étendue de la recherche pour une application ou un poste de travail à tous les espaces dans la fédération d'espaces.
- Personnalisez l'URL de démarrage globale en définissant des URL d'accès client pour des plages réseau spécifiques. Ces URL sont utilisées pour lancer des ressources globalement autorisées depuis la fédération d'espaces. Par défaut, l'URL de démarrage globale que vous spécifiez lors de l'ajout de la fédération est utilisée comme URL de démarrage globale pour toutes les plages réseau.
- Spécifiez des URL d'accès client pour chaque espace dans la fédération d'espaces pour lequel des droits locaux sont configurés. Ces URL sont utilisées pour lancer des applications et des postes de travail localement autorisés à partir de l'espace. L'URL d'accès client peut être l'URL du Serveur de connexion View, l'URL du serveur de sécurité ou l'URL de l'équilibrage de charge. Des URL d'accès client sont définies pour des plages réseau spécifiques. Par défaut, le Serveur de connexion View que vous spécifiez lors de l'ajout de l'espace est utilisé comme URL d'accès client pour toutes les plages réseau.
Lorsque vous intégrez une fédération d'espaces au service VMware Identity Manager, le service effectue les actions suivantes :
- Il synchronise tous les droits globaux disposant de la stratégie d'étendue Tous les sites depuis la fédération d'espaces.
- Il synchronise des droits locaux, si sélectionnés, depuis les espaces qui font partie de la fédération d'espaces.
- Il synchronise des métadonnées depuis tous les Serveurs de connexion View dans la fédération d'espaces.
- Il permet aux utilisateurs finaux d'accéder à leurs applications et postes de travail View depuis le portail Workspace ONE.
Les utilisateurs finaux peuvent accéder à leurs applications et postes de travail View depuis le portail Workspace ONE. Toutes les ressources qui leur sont attribuées, via des droits globaux ou locaux, sont affichées. Des applications et des postes de travail sont lancés dans Horizon Client. Lorsqu'un utilisateur lance une application ou un poste de travail localement autorisé, il est lancé à partir du Serveur de connexion View auquel l'utilisateur se connecte. Les ressources globalement autorisées sont lancées depuis le Serveur de connexion View dans lequel la ressource se trouve.
Exemple de déploiement d'Architecture Cloud Pod
Le schéma suivant indique un exemple de déploiement d'Architecture Cloud Pod et comment il s'intègre au service VMware Identity Manager.
Ce schéma illustre un exemple de déploiement d'une fédération d'espaces. Une fédération d'espaces, nommée Fédération 1, est créée dans Horizon 6. Elle contient trois espaces : Espace 1, Espace 2 et Espace 3. Espace 1 et Espace 2 sont configurés avec des instances du serveur de sécurité pour chaque Serveur de connexion View et un équilibrage de charge externe pour l'accès externe, et avec un équilibrage de charge interne pour l'accès interne. Espace 3 est configuré pour l'accès interne uniquement avec un équilibrage de charge interne. La fédération d'espaces dans son ensemble dispose d'un équilibrage de charge global externe et d'un équilibrage de charge global interne.
Des pools de postes de travail et d'applications sont déployés sur les espaces. Des droits globaux sont configurés pour Fédération 1 et des droits locaux sont également configurés pour les espaces individuels.
Fédération 1 est intégré au service VMware Identity Manager. Le service VMware Identity Manager synchronise des droits globaux et des droits locaux à partir de Fédération 1. Comme des droits globaux sont répliqués dans chaque espace, il synchronise des droits globaux à partir d'Espace 1. Il synchronise également des droits locaux à partir d'Espace 1, Espace 2 et Espace 3.
Les utilisateurs finaux peuvent voir tous les postes de travail et applications qui leur sont attribués, via des droits globaux ou des droits locaux, dans le portail Workspace ONE de VMware Identity Manager. Lorsqu'un utilisateur lance un poste de travail ou une application, si cet élément fait partie d'un droit global, la demande de lancement est adressée à l'équilibrage de charge global externe ou interne, URL EG ou URL IG, en fonction de la plage réseau de l'utilisateur. Si la ressource provient d'un droit local, la demande de lancement est adressée à l'équilibrage de charge interne ou externe de l'espace sur lequel la ressource est déployée, en fonction de la plage réseau de l'utilisateur. Par exemple, pour une ressource sur Espace 2, la demande est adressée à URL I2 ou URL E2.