Configurez des espaces et des fédérations d'espaces Horizon dans la console Workspace ONE Access pour synchroniser des ressources et des attributions avec le service Workspace ONE Access.

Pour configurer les espaces et fédérations d'espaces, créez une ou plusieurs collections d'applications virtuelles sur la page Catalogue > Collections d'applications virtuelles et entrez les informations de configuration, telles que les instances d'Horizon Connection Server à partir desquelles synchroniser les ressources et les droits, les détails de fédérations d'espaces, le service d'applications virtuelles Workspace ONE Access à utiliser pour la synchronisation et les paramètres d'administrateur, tels que le client de lancement par défaut.

Après avoir ajouté les espaces et les fédérations d'espaces, configurez les noms de domaine complets d'accès du client pour des plages réseau spécifiques afin que les utilisateurs finaux se connectent aux serveurs corrects lors du lancement des applications et des postes de travail.

Vous pouvez ajouter tous les espaces Horizon et fédérations de groupes dans une collection, ou vous pouvez créer plusieurs collections, selon vos besoins. Par exemple, vous pouvez choisir de créer des collectes distinctes pour chaque fédération d'espaces ou pour chaque espace afin de simplifier la gestion et de répartir la charge de synchronisation sur plusieurs connecteurs. Vous pouvez également choisir d'inclure tous les espaces et les fédérations de groupes dans une collection à des fins de test, et créer une autre collection identique pour votre environnement de production.

Important : Si vous modifiez les paramètres ou la configuration SAML sur Horizon Server après la configuration de l'intégration, et que vous souhaitez propager les modifications immédiatement au service Workspace ONE Access, modifiez la page de collection d'applications virtuelles dans la console Workspace ONE Access et cliquez sur Enregistrer. Sinon, les mises à jour sont propagées lors de la prochaine synchronisation.

Conditions préalables

Procédure

  1. Connectez-vous à la console Workspace ONE Access.
  2. Sélectionnez l'onglet Catalogue > Collections d'applications virtuelles.
  3. Si une page d'informations s'affiche, vérifiez les informations et cliquez sur Mise en route. Sinon, cliquez sur Nouveau.
  4. Sélectionnez Horizon comme type de ressource.
  5. Dans l'assistant Nouvelle collection Horizon, entrez les informations suivantes sur la page Connecteur.
    Option Description
    Nom Entrez un nom unique pour la collection d'applications virtuelles Horizon.
    Connecteur Sélectionnez les connecteurs à utiliser pour synchroniser cette collection. Vous pouvez ajouter plusieurs connecteurs et les organiser dans l'ordre de basculement. Seuls les connecteurs sur lesquels le service d'applications virtuelles est installé s'affichent dans la liste.
  6. Cliquez sur Suivant.
  7. Sur la page Espace et fédération, cliquez sur Ajouter un espace et entrez les informations de l'espace.
    Si l'espace contient plusieurs instances du Serveur de connexion Horizon, entrez les informations de l'une des instances.
    Option Description
    Horizon Connection Server Entrez le nom d'hôte complet de l'une des instances d'Serveur de connexion Horizon au sein de l'espace. Par exemple, connectionserver.horizondomain.com. Le nom du domaine doit correspondre à celui auquel l'instance d'Serveur de connexion Horizon est jointe.
    Important : Si l'espace contient plusieurs instances d'Horizon Connection Server, vous devez ajouter uniquement l'une des instances. VMware Workspace ONE Access extrait les informations de toutes les instances au sein de l'espace.
    Nom d'utilisateur Entrez le nom d'utilisateur de l'administrateur d'Horizon Connection Server. L'utilisateur doit disposer du rôle Administrateur dans Horizon.
    Mot de passe Entrez le mot de passe de l'administrateur du Serveur de connexion Horizon.
    Authentification par carte à puce Activez cette option si les utilisateurs emploient l'authentification par carte à puce plutôt que des mots de passe pour se connecter au Serveur de connexion Horizon.
    Authentification unique réelle

    Activez cette option uniquement si l'authentification unique réelle est activée pour le Serveur de connexion Horizon. Cette option ne s'applique qu'aux versions d'Horizon prenant en charge la fonctionnalité d'authentification unique réelle.

    Lorsque cette option est activée, les utilisateurs qui se sont connectés à Workspace ONE à l'aide d'une méthode d'authentification sans mot de passe, telle que SecurID, n'auront pas à indiquer un mot de passe lorsqu'ils lanceront leurs postes de travail Windows.

    Synchroniser les attributions locales Activez cette option pour synchroniser des droits locaux depuis le Serveur de connexion Horizon, en plus des attributions globales.
    Par exemple :
    dans le formulaire Ajouter un espace, le champ Horizon Connection Server comporte la valeur pod2.example.com, la valeur du Nom d'utilisateur est admin et un mot de passe est entré.
  8. Cliquez sur Ajouter.
  9. Pour ajouter d'autres espaces, cliquez sur Ajouter un espace et entrez les informations de chaque espace.
  10. Si l'option Architecture Cloud Pod est activée dans Horizon pour l'un des espaces que vous avez ajoutés, suivez ces étapes pour ajouter les informations de la fédération d'espaces.
    1. Définissez l'option Avez-vous activé l'Architecture Cloud Pod pour l'un des espaces ajoutés ci-dessus ? sur Oui.
    2. Cliquez sur Ajouter une fédération.
    3. Entrez les informations sur la fédération d'espaces, puis cliquez sur Ajouter.
      Option Description
      Nom de fédération Nom de la fédération de groupes.
      Nom de domaine complet d'accès du client par défaut Nom de domaine complet (FQDN) du serveur vers lequel diriger les clients qui accèdent aux droits globaux dans cette fédération d'espaces. Cette valeur est généralement l'équilibrage de charge globale du déploiement de la fédération d'espaces.

      Par exemple, federationA.example.com.

      Le nom de domaine complet d'accès du client par défaut est utilisé pour définir une valeur initiale par défaut pour la zone de texte Afficher la Fédération de CPA - Nom de domaine complet d'accès du client pour toutes les plages réseau actuellement configurées. Après la création de la collection, accédez à l'onglet Plages réseau de la collection pour personnaliser la valeur Afficher la Fédération de CPA - Nom de domaine complet d'accès du client pour chaque plage réseau.

      Après la création de la collection, si vous souhaitez mettre à jour le nom de domaine complet d'accès du client de la fédération d'espaces, accédez à l'onglet Plages réseau et modifiez la valeur Nom de domaine complet d'accès du client dans Afficher la Fédération de CPA pour chaque plage réseau. La modification de la valeur Nom de domaine complet d'accès du client par défaut dans l'assistant Modifier la collection Horizon ne met pas à jour la valeur dans les plages réseau.

      Note : Si vous créez une plage réseau après la création de la collection, veillez à accéder à l'onglet Plages réseau de la collection, sélectionnez la nouvelle plage réseau et ajoutez une valeur Nom de domaine complet d'accès du client dans la section Afficher la Fédération de CPA. Sinon, les clients utilisant cette plage réseau ne pourront pas accéder à leurs postes de travail et applications Horizon.
      Espaces Horizon Sélectionnez tous les espaces qui appartiennent à la fédération de groupes. La colonne Espaces disponibles affiche les espaces que vous avez ajoutés à la collection. Lorsque vous sélectionnez un espace, il est ajouté à la colonne Espaces sélectionnés. Vous pouvez organiser les espaces dans la colonne Espaces sélectionnés dans l'ordre de basculement.
      Important : Vous devez ajouter tous les espaces qui appartiennent à la fédération d'espaces à la collection d'applications virtuelles et les sélectionner ici.
      Par exemple :
      dans le formulaire Ajouter une fédération, le champ Nom de fédération comporte la valeur Fédération A d'espaces Horizon, le champ Nom de domaine complet d'accès du client comporte la valeur federationA.example.com. La section Espaces Horizon comporte deux colonnes, Espaces disponibles et Espaces sélectionnés. pod2.example.com est sélectionné.
    4. Pour ajouter une autre fédération d'espaces, cliquez sur Ajouter une fédération et entrez les informations de la fédération d'espaces.
  11. Sur la page Configuration, entrez les informations suivantes.
    Option Description
    Fréquence de synchronisation Sélectionnez la fréquence souhaitée de synchronisation des applications, des postes de travail et des attributions entre les instances d'Horizon Server et Workspace ONE Access.

    Vous pouvez configurer une planification de synchronisation automatique ou choisir de les synchroniser manuellement. Pour définir une planification, sélectionnez l'intervalle (quotidien ou hebdomadaire, par exemple) et sélectionnez l'heure de la journée à laquelle exécuter la synchronisation. Si vous sélectionnez Manuel, vous devez cliquer sur Synchroniser > Synchroniser avec protections ou Synchroniser > Synchroniser sans protection sur la page de collection d'applications virtuelles après avoir créé la collection et à chaque modification des ressources ou attributions Horizon.

    Pour plus d'informations sur la synchronisation, reportez-vous à la section Synchronisation des collections d'applications virtuelles dans Workspace ONE Access.

    Synchroniser les applications en double Définissez cette option sur Non si vous voulez éviter que les applications en double soient synchronisées depuis plusieurs serveurs.

    Lorsque Workspace ONE Access est déployé dans plusieurs centres de données, les mêmes ressources sont configurées sur tous ces centres de données. La définition de cette option sur Non empêche la duplication des pools de postes de travail ou d'applications dans le catalogue Intelligent Hub.

    Limites des seuils de sécurité Configurez des seuils de sécurité de synchronisation si vous souhaitez limiter le nombre de modifications pouvant être apportées aux applications, aux postes de travail et aux attributions lors de la synchronisation des collections d'applications virtuelles. Si l'un des seuils est atteint, la synchronisation est annulée.

    Par défaut, Workspace ONE Access définit le seuil de toutes les catégories sur 10 %.

    Les protections de synchronisation sont ignorées lors de la première synchronisation d'une collection et sont appliquées à toutes les synchronisations suivantes.

    Pour plus d'informations sur les protections de synchronisation, reportez-vous à la section Synchronisation des collections d'applications virtuelles dans Workspace ONE Access.

    Stratégie d'activation Sélectionnez le mode de disponibilité des ressources de cette collection aux utilisateurs de l'application et du portail Workspace ONE Intelligent Hub. Si vous prévoyez de configurer un flux d'approbation, sélectionnez Activé par l'utilisateur. Sinon, sélectionnez Automatique.

    Lorsque les options Activé par l'utilisateur et Automatique sont sélectionnées, les ressources sont ajoutées à l'onglet Applications. Les utilisateurs peuvent exécuter les ressources dans l'onglet Applications ou les marquer comme favorites et les exécuter dans l'onglet Favoris. Toutefois, pour configurer un flux d'approbation pour l'une des applications, vous devez sélectionner Activé par l'utilisateur pour cette application.

    La stratégie d'activation s'applique à toutes les attributions d'utilisateur pour toutes les ressources de la collection. Vous pouvez modifier la stratégie d'activation des utilisateurs ou groupes individuels par ressource, sur la page d'utilisateur ou de groupe de l'onglet Utilisateurs et groupes.

    Client de lancement par défaut Sélectionnez le client par défaut pour les utilisateurs finaux qui accèdent aux postes de travail et aux applications Horizon depuis l'application ou le portail Intelligent Hub.

    Aucune : aucune préférence par défaut n'est définie au niveau de l'administrateur. Si cette option est définie sur Néant et qu'aucune préférence n'est définie par l'utilisateur final, le paramètre Protocole d'affichage par défaut d'Horizon est utilisé pour déterminer la méthode de lancement du poste de travail ou de l'application.

    Navigateur : les postes de travail et les applications Horizon sont lancés dans un navigateur Web par défaut. Les préférences de l'utilisateur final, si défini, remplacent ce paramètre.

    Natif : les postes de travail et applications Horizon sont lancés dans Horizon Client par défaut. Les préférences de l'utilisateur final, si défini, remplacent ce paramètre.

    Ce paramètre s'applique à tous les utilisateurs pour toutes les ressources de cette collection.

    L’ordre de priorité suivant - de la plus élevée à la plus faible - s’applique aux paramètres du client de lancement par défaut :

    1. Paramètre de préférence de l'utilisateur final, défini dans Intelligent Hub.
    2. Paramètre Client de lancement par défaut de l'administrateur pour la collection, défini dans la console Workspace ONE Access.
    3. Paramètre Protocole d'affichage à distance > Protocole d'affichage par défaut Horizon pour le pool de postes de travail ou d'applications, défini dans Horizon Console. Par exemple, lorsque le protocole d’affichage est défini sur PCoIP, l’application ou le poste de travail est lancé dans le Horizon Client.
    Important : Si vous intégrez Horizon 7.13 ou versions ultérieures à Workspace ONE Access, les utilisateurs finaux voient toujours l'option dans Intelligent Hub pour lancer des applications et des postes de travail dans un navigateur. Cependant, si le client HTML n'est pas installé sur les instances d'Horizon Connection Server, le lancement du navigateur échoue. Pour Horizon 7.13 et versions ultérieures, vous devez installer le client HTML sur les instances d'Horizon Connection Server.
  12. Sur la page Résumé, vérifiez vos sélections, puis cliquez sur Enregistrer et configurer.
    L'onglet Plages réseau s'affiche.
  13. Dans l'onglet Plages réseau, modifiez chaque plage réseau et indiquez les noms de domaine complets d'accès du client pour les espaces et les fédérations d'espaces Horizon afin que les utilisateurs finaux qui accèdent aux applications et aux postes de travail Horizon à partir de cette plage réseau se connectent au serveur approprié.
    Pour plus d'informations sur la configuration des plages réseau, reportez-vous à la section Définition des noms de domaine complet d'accès client pour les applications virtuelles Horizon dans Workspace ONE Access.

Que faire ensuite

La collecte Horizon est créée et s'affiche sur la page Catalogue > Collectes d'applications virtuelles. Les ressources de la collecte ne sont pas encore synchronisées. Vous pouvez attendre la prochaine synchronisation planifiée ou synchroniser manuellement la collecte sur la page Catalogue > Collectes d'applications virtuelles.