Configurez des espaces et des fédérations d'espaces Horizon dans la console VMware Identity Manager pour synchroniser des ressources et des droits avec le service VMware Identity Manager.

Pour configurer les espaces et fédérations d'espaces, vous créez une ou plusieurs collections d'applications virtuelles sur la page Catalogue > Collections d'applications virtuelles et vous entrez les informations de configuration, telles que les Serveurs de connexion Horizon à partir desquels synchroniser les ressources et les droits, les détails de fédérations d'espaces, le VMware Identity Manager Connector à utiliser pour la synchronisation et les paramètres d'administrateur, tels que le client de lancement par défaut.

Après avoir ajouté les espaces et les fédérations d'espaces, vous configurez les noms de domaine complets de l'accès du client pour des plages réseau spécifiques afin que les utilisateurs finaux se connectent aux serveurs corrects lors de l'accès aux ressources.

Vous pouvez ajouter tous les espaces Horizon et fédérations de groupes dans une collection, ou vous pouvez créer plusieurs collections, selon vos besoins. Par exemple, vous pouvez choisir de créer des collectes distinctes pour chaque fédération d'espaces ou pour chaque espace afin de simplifier la gestion et de répartir la charge de synchronisation sur plusieurs connecteurs. Vous pouvez également choisir d'inclure tous les espaces et les fédérations de groupes dans une collection à des fins de test, et créer une autre collection identique pour votre environnement de production.

Important : Si vous modifiez des paramètres ou une configuration SAML sur Horizon Server, veillez à modifier la page Collections d'applications virtuelles dans la console VMware Identity Manager et cliquez sur Enregistrer pour mettre à jour les derniers paramètres d'Horizon dans le service VMware Identity Manager.

Conditions préalables

  • Configurez Horizon en suivant les instructions des sections Exigences pour l'intégration d'espaces Horizon et Exigences pour l'intégration de fédérations de groupes Horizon.
  • Configurez VMware Identity Manager en suivant les instructions de la section Configurer votre environnement VMware Identity Manager.
  • Pour chaque espace Horizon à configurer dans VMware Identity Manager, veillez à disposer des informations d'identification d'un utilisateur disposant du rôle administrateur.
  • Pour effectuer cette procédure dans VMware Identity Manager, vous devez utiliser un rôle d'administrateur qui comprend l'action Gérer des applications de poste de travail dans le service de catalogue.
  • À la fin de cette procédure, vous êtes redirigé vers la page Plages réseau afin de configurer les noms de domaine complets de l'accès du client. Pour modifier et enregistrer la page Plages réseau, vous devez disposer du rôle Super administrateur. Vous pouvez choisir d'effectuer cette étape séparément.

Procédure

  1. Connectez-vous à la console VMware Identity Manager.
  2. Sélectionnez l'onglet Catalogue > Collections d'applications virtuelles.
  3. Cliquez sur Nouveau.
  4. Sélectionnez Horizon comme type de ressource.
  5. Dans l'assistant Nouvelle collecte d'applications virtuelles Horizon, entrez les informations suivantes sur la page Connecteur.
    Option Description
    Nom Entrez un nom unique pour la collecte Horizon.
    Connecteur Sélectionnez le connecteur à utiliser pour synchroniser cette collecte. Pour sélectionner le connecteur, sélectionnez l'annuaire qui lui est associé. Si vous avez configuré un cluster de connecteurs, toutes les instances de connecteur s'affichent dans la liste Hôte et vous pouvez les organiser dans l'ordre de basculement de cette collecte.
    Important : Après avoir créé la collecte, vous devez conserver le même annuaire.
  6. Cliquez sur Suivant.
  7. Sur la page Espace et fédération, cliquez sur Ajouter un espace et entrez les informations de l'espace.
    Si l'espace contient plusieurs instances du Serveur de connexion Horizon, entrez les informations de l'une des instances.
    Option Description
    Serveur de connexion Entrez le nom d'hôte complet de l'une des instances d'Serveur de connexion Horizon au sein de l'espace. Par exemple, connectionserver.horizondomain.com. Le nom du domaine doit correspondre à celui auquel l'instance d'Serveur de connexion Horizon est jointe.
    Important : Si l'espace contient plusieurs instances d'Horizon Connection Server, vous devez ajouter uniquement l'une des instances. VMware Identity Manager extrait les informations de toutes les instances au sein de l'espace.
    Nom d'utilisateur Entrez le nom d'utilisateur de l'administrateur d'Horizon Connection Server. L'utilisateur doit disposer du rôle Administrateur dans Horizon.
    Mot de passe Entrez le mot de passe de l'administrateur du Serveur de connexion Horizon.
    Authentification par carte à puce Activez cette option si les utilisateurs emploient l'authentification par carte à puce plutôt que des mots de passe pour se connecter au Serveur de connexion Horizon.
    Authentification unique réelle

    Activez cette option uniquement si l'authentification unique réelle est activée pour le Serveur de connexion Horizon. Cette option ne s'applique qu'aux versions d'Horizon prenant en charge la fonctionnalité d'authentification unique réelle.

    Lorsque cette option est activée, les utilisateurs qui se sont connectés à Workspace ONE à l'aide d'une méthode d'authentification sans mot de passe, telle que SecurID, n'auront pas à indiquer un mot de passe lorsqu'ils lanceront leurs postes de travail Windows.

    Synchroniser les attributions locales Activez cette option pour synchroniser des droits locaux depuis le Serveur de connexion Horizon, en plus des attributions globales.
  8. Pour ajouter d'autres espaces, cliquez sur Ajouter un espace et entrez les informations de chaque espace.
  9. Si l'option Architecture Cloud Pod est activée dans Horizon pour l'un des espaces que vous avez ajoutés, suivez ces étapes pour ajouter les informations de la fédération d'espaces.
    1. Définissez l'option Avez-vous activé l'Architecture Cloud Pod pour l'un des espaces ajoutés ci-dessus ? sur Oui.
    2. Cliquez sur Ajouter une fédération.
    3. Entrez les informations de la fédération d'espaces.
      Option Description
      Nom de fédération Nom de la fédération de groupes.
      Nom de domaine complet de l'accès du client Nom de domaine complet (FQDN) du serveur vers lequel diriger les clients qui accèdent aux droits globaux dans cette fédération d'espaces. Cette valeur est généralement l'équilibrage de charge globale du déploiement de la fédération d'espaces.

      Par exemple, federationA.example.com.

      Vous pouvez personnaliser le nom de domaine complet de l'accès du client pour des plages réseau spécifiques ultérieurement dans le processus de configuration.

      Espaces Horizon Sélectionnez les espaces qui appartiennent à la fédération d'espaces. La colonne Espaces disponibles affiche tous les espaces que vous avez ajoutés à la collecte. Lorsque vous sélectionnez un espace, il est ajouté à la colonne Espaces sélectionnés. Vous pouvez organiser les espaces dans la colonne Espaces sélectionnés dans l'ordre de basculement.
    4. Pour ajouter une autre fédération d'espaces, cliquez sur Ajouter une fédération et entrez les informations de la fédération d'espaces.
  10. Cliquez sur Suivant.
  11. Sur la page Configuration, entrez les informations suivantes.
    Option Description
    Fréquence de synchronisation Sélectionnez la fréquence à laquelle vous voulez synchroniser les ressources dans la collecte.

    Vous pouvez configurer une planification de synchronisation automatique ou choisir de les synchroniser manuellement. Pour définir une planification, sélectionnez l'intervalle (quotidien ou hebdomadaire, par exemple) et sélectionnez l'heure de la journée à laquelle exécuter la synchronisation. Si vous sélectionnez Manuel, vous devez cliquer sur Synchronisation sur la page Collectes d'applications virtuelles après avoir configuré la collecte, et chaque fois qu'une modification est apportée à vos ressources ou droits Horizon Cloud.

    Synchroniser les applications en double Définissez cette option sur Non si vous voulez éviter que les applications en double soient synchronisées depuis plusieurs serveurs.

    Lorsque VMware Identity Manager est déployé dans plusieurs centres de données, les mêmes ressources sont configurées sur tous ces centres de données. La définition de cette option sur Non empêche la duplication des pools de postes de travail ou d'applications dans votre catalogue VMware Identity Manager.
    Stratégie d'activation Sélectionnez le mode de disponibilité des ressources de cette collecte aux utilisateurs du portail et de l'application Workspace ONE. Si vous prévoyez de configurer un flux d'approbation, sélectionnez Activé par l'utilisateur. Sinon, sélectionnez Automatique.

    Lorsque les options Activé par l'utilisateur et Automatique sont sélectionnées, les ressources sont ajoutées à l'onglet Catalogue. Les utilisateurs peuvent utiliser les ressources de l'onglet Catalogue ou les déplacer vers l'onglet Signets. Toutefois, pour configurer un flux d'approbation pour l'une des applications, vous devez sélectionner Activé par l'utilisateur pour cette application.

    La stratégie d'activation s'applique à tous les droits des utilisateurs pour toutes les ressources de la collecte. Vous pouvez modifier la stratégie d'activation des utilisateurs ou groupes individuels par ressource, sur la page d'utilisateur ou de groupe de l'onglet Utilisateurs et groupes.

    Client de lancement par défaut Sélectionnez le client par défaut pour les utilisateurs finaux qui accèdent aux postes de travail et aux applications Horizon depuis le portail ou l'application Workspace ONE.

    Aucune : aucune préférence par défaut n'est définie au niveau de l'administrateur. Si cette option est définie sur Néant et qu'aucune préférence n'est définie par l'utilisateur final, le paramètre Protocole d'affichage par défaut d'Horizon est utilisé pour déterminer la méthode de lancement du poste de travail ou de l'application.

    Navigateur : les postes de travail et les applications Horizon sont lancés dans un navigateur Web par défaut. Les préférences de l'utilisateur final, si défini, remplacent ce paramètre.

    Natif : les postes de travail et applications Horizon sont lancés dans Horizon Client par défaut. Les préférences de l'utilisateur final, si défini, remplacent ce paramètre.

    Ce paramètre s'applique à tous les utilisateurs pour toutes les ressources de cette collection.

    L’ordre de priorité suivant - de la plus élevée à la plus faible - s’applique aux paramètres du client de lancement par défaut :

    1. Paramètre de préférence de l'utilisateur final, défini dans le portail Workspace ONE. Cette option n’est pas disponible dans l’application Workspace ONE.
    2. Paramètre Client de lancement par défaut de l'administrateur pour la collection, défini dans la console VMware Identity Manager.
    3. Paramètre Protocole d'affichage à distance > Protocole d'affichage par défaut Horizon pour le pool de postes de travail ou d'applications, défini dans Horizon Administrator. Par exemple, lorsque le protocole d’affichage est défini sur PCoIP, l’application ou le poste de travail est lancé dans le Horizon Client.
    Important : Si vous intégrez Horizon 7.13 ou versions ultérieures à VMware Identity Manager, les utilisateurs finaux voient toujours l'option de lancement des applications et des postes de travail dans un navigateur. Cependant, si HTML Access n'est pas installé sur les instances d'Horizon Connection Server, le lancement du navigateur échoue. Pour Horizon 7.13 et versions ultérieures, vous devez installer HTML Access sur les instances d'Horizon Connection Server. Pour plus d'informations, reportez-vous à la documentation de VMware Horizon HTML Access.
  12. Cliquez sur Suivant.
  13. Sur la page Résumé, vérifiez vos sélections, puis cliquez sur Enregistrer et configurer la plage réseau.
    La page Plage réseau s'affiche.
  14. Sur la page Plages réseau, modifiez chaque plage réseau et indiquez les noms de domaine complets de l'accès du client pour les espaces et les fédérations d'espaces Horizon afin que les utilisateurs finaux qui accèdent aux applications et aux postes de travail Horizon se connectent au serveur correct.
    1. Cliquez sur la plage réseau à modifier ou sur Créer une plage réseau pour créer une plage réseau, si nécessaire.
    2. Si vous créez une plage réseau, entrez un nom, une description facultative et la plage d'adresses IP.
    3. Faites défiler la liste jusqu'aux sections Espace et Fédération View CPA.
      La section Espace répertorie tous les espaces Horizon que vous avez ajoutés à la collecte pour laquelle vous avez activé l'option Synchroniser les attributions locales. La section Fédération View CPA répertorie toutes les fédérations d'espaces que vous avez ajoutées.
      Attribuer des espaces aux plages réseau

    4. Modifiez la section Espace pour chaque espace et entrez les valeurs appropriées de cette plage réseau.
      Option Description
      Nom de domaine complet de l'accès du client Spécifiez le nom de domaine complet (FQDN) du serveur vers lequel diriger les clients qui accèdent aux droits locaux sur cet espace, lorsque les demandes proviennent de cette plage réseau. Il peut s'agir d'un Serveur de connexion Horizon, d'un serveur de sécurité, d'un équilibrage de charge ou d'un nom de domaine complet de proxy inverse.

      Par exemple : internallb.example.com

      Le nom de domaine complet de l'accès du client pour un espace est utilisé pour lancer des ressources localement autorisées à partir de l'espace.

      Port Port du serveur.
      Encapsuler l'artefact dans JWT Reportez-vous à la section Lancement de ressources Horizon via les passerelles de validation.
      Public dans JWT Reportez-vous à la section Lancement de ressources Horizon via les passerelles de validation.
    5. Modifiez la section Fédération View CPA pour chaque fédération d'espaces et entrez les valeurs appropriées de cette plage réseau.
      Option Description
      Nom de domaine complet de l'accès du client Spécifiez le nom de domaine complet (FQDN) du serveur vers lequel diriger les clients qui accèdent aux droits globaux sur cette fédération d'espaces, lorsque les demandes proviennent de la plage réseau. Il s'agit généralement de l'équilibrage de charge globale du déploiement de la fédération d'espaces.

      Par exemple : globallb.example.com

      Le nom de domaine complet de l'accès du client pour une fédération d'espaces est utilisé pour lancer des ressources globalement autorisées.

      Port Port du serveur.
      Encapsuler l'artefact dans JWT Lorsque le service VMware Identity Manager est intégré à une passerelle de validation, telle que F5, vous devez activer cette option pour authentifier les ressources Horizon attribuées aux utilisateurs. Reportez-vous à la section Lancement de ressources Horizon via les passerelles de validation.
      Public dans JWT Reportez-vous à la section Lancement de ressources Horizon via les passerelles de validation.
    6. Cliquez sur Enregistrer.
    7. Répétez ces étapes pour modifier les autres plages réseau.
    8. Cliquez sur Terminer sur la page Plages réseau.

Que faire ensuite

La collecte Horizon est créée et s'affiche sur la page Catalogue > Collectes d'applications virtuelles. Les ressources de la collecte ne sont pas encore synchronisées. Vous pouvez attendre la prochaine synchronisation planifiée ou synchroniser manuellement la collecte sur la page Catalogue > Collectes d'applications virtuelles.