Configurez des espaces et des fédérations d'espaces Horizon dans la console VMware Identity Manager pour synchroniser des ressources et des droits avec le service VMware Identity Manager.

Pour configurer les espaces et fédérations d'espaces, créez une ou plusieurs collections d'applications virtuelles sur la page Catalogue > Applications virtuelles et entrez les informations de configuration telles que les instances d'Horizon Connection Server à partir desquels synchroniser les ressources et les droits, les détails des fédérations d'espaces, VMware Identity Manager Connector à utiliser pour la synchronisation et les paramètres d'administrateur, tels que le client de lancement par défaut.

Vous pouvez ajouter tous les espaces Horizon et fédérations de groupes dans une collection, ou vous pouvez créer plusieurs collections, selon vos besoins. Par exemple, vous pouvez choisir de créer des collections distinctes pour chaque fédération de groupes ou pour chaque espace afin de simplifier la gestion et de répartir la charge de synchronisation sur plusieurs connecteurs. Vous pouvez également choisir d'inclure tous les espaces et les fédérations de groupes dans une collection à des fins de test, et créer une autre collection identique pour votre environnement de production.

Une fois que vous avez ajouté les espaces, configurez les URL d'accès au client pour des plages réseau spécifiques.
Important : Si vous modifiez des paramètres ou la configuration SAML sur Horizon Server, veillez à modifier la page Applications virtuelles Horizon dans la console VMware Identity Manager et cliquez sur Enregistrer pour mettre à jour les derniers paramètres d'Horizon dans le service VMware Identity Manager.

Conditions préalables

Procédure

  1. Connectez-vous à la console VMware Identity Manager.
  2. Sélectionnez l'onglet Catalogue > Applications virtuelles, puis cliquez sur Configuration d'applications virtuelles.
  3. Cliquez sur Ajouter des applications virtuelles et sélectionnez Horizon View sur site.
  4. Entrez un nom unique pour la collection.
  5. Dans le menu déroulant Synchroniser les connecteurs, sélectionnez le connecteur que vous souhaitez utiliser pour synchroniser les ressources de cette collection.

    Si vous avez configuré plusieurs connecteurs pour la haute disponibilité, cliquez sur Ajouter un connecteur et sélectionnez les autres connecteurs. L'ordre dans lequel les connecteurs sont répertoriés détermine l'ordre de basculement.

  6. Dans la section Espaces Horizon, fournissez les informations de configuration pour les espaces Horizon que vous ajoutez à cette collection.
    Serveur de connexion Entrez le nom d'hôte complet de l'instance Serveur de connexion Horizon, tel que viewconnectionserver.example.com. Le nom de domaine doit correspondre exactement à celui auquel vous avez joint l'instance Serveur de connexion Horizon.
    Nom d'utilisateur Entrez le nom d'utilisateur de l'administrateur pour l'espace. L'utilisateur doit disposer du rôle Administrateur dans Horizon.
    Mot de passe Entrez le mot de passe de l'administrateur pour l'espace.
    Authentification par carte à puce Si les utilisateurs utilisent l'authentification par carte à puce plutôt que des mots de passe pour se connecter à l'espace, cochez cette case.
    Authentification unique activée

    Sélectionnez cette option si l'authentification unique est activée dans Horizon. Cette option ne s'applique qu'aux versions d'Horizon prenant en charge la fonctionnalité d'authentification unique réelle.

    Lorsque l'authentification unique est activée dans Horizon, les utilisateurs n'ont pas besoin d'entrer un mot de passe pour se connecter à leurs postes de travail Windows. Toutefois, si des utilisateurs sont connectés à VMware Identity Manager à l'aide d'une méthode d'authentification sans mot de passe, telle que SecurID, ils sont invités à entrer un mot de passe lorsqu'ils lancent leurs postes de travail Windows. Vous pouvez sélectionner cette option pour empêcher l'apparition d'une boîte de dialogue de mot de passe aux utilisateurs dans ce scénario.

    Synchroniser les droits locaux Si des droits locaux sont configurés pour l'espace, sélectionnez cette option.
    Par exemple :
    ajouter des espaces

  7. Pour ajouter plusieurs espaces à la collection, cliquez sur Ajouter un espace et entrez les informations de configuration pour chaque espace.
  8. Pour ajouter une fédération de groupes, procédez comme suit.
    1. Cochez la case Activer dans la section Configuration d'architecture Horizon Cloud Pod.
    2. Entrez les informations de configuration de la fédération de groupes.
      Option Description
      Nom de fédération Nom de la fédération de groupes.
      Ajouter des espaces Horizon Sélectionnez tous les espaces qui appartiennent à la fédération de groupes. La liste affiche tous les espaces que vous avez ajoutés à la collection.

      Sélectionnez chaque espace et cliquez sur Ajouter à la liste.

      Espaces sélectionnés Vous pouvez modifier l'ordre des espaces ou les supprimer.
      URL de démarrage URL de démarrage globale à utiliser pour lancer des applications ou postes de travail autorisés de manière globale. Par exemple, federationA.example.com.

      En général, l'URL de démarrage est l'URL d'équilibrage de charge globale de la fédération de groupes. Vous pouvez personnaliser l'URL de démarrage pour des plages réseau spécifiques ultérieurement dans le processus de configuration.

    3. Pour ajouter une autre fédération de groupes, cliquez sur Ajouter une fédération et entrez les informations de configuration.
    Note : Si la collection inclut uniquement des espaces Horizon individuels qui n'appartiennent pas à une fédération de groupes, n'activez pas cette option.
    Par exemple :
    ajouter la fédération de groupes

  9. Cochez la case Ne pas synchroniser les applications en double pour éviter que les applications en double soient synchronisées depuis plusieurs serveurs.
    Lorsque VMware Identity Manager est déployé dans plusieurs centres de données, les mêmes ressources sont configurées sur tous ces centres de données. Le choix de cette option empêche la duplication des pools de postes de travail ou d'applications dans votre catalogue VMware Identity Manager.
  10. Cochez la case Configuration du serveur de connexion Horizon 5.x si vous configurez n'importe quelle instance du serveur de connexion View 5.x.

    La sélection de cette option permet de synchroniser les ressources différemment pour View 5.x.

    Note : Si vous sélectionnez l'option Effectuer une synchronisation d'annuaire, l'option Configuration du serveur de connexion Horizon 5.x est également sélectionnée automatiquement, car les deux options utilisent une méthode différente pour synchroniser les ressources.
  11. Cochez la case Effectuer une synchronisation d'annuaire si vous souhaitez effectuer la synchronisation d'annuaire dans le cadre de la synchronisation des ressources lorsque des utilisateurs et des groupes autorisés à accéder à des pools Horizon dans les instances d'Horizon Connection Server sont manquantes dans l'annuaire VMware Identity Manager.

    L'option Effectuer une synchronisation d'annuaire ne s'applique pas aux fédérations de groupes. Si des utilisateurs et des groupes disposant de droits globaux sont manquants dans l'annuaire VMware Identity Manager, la synchronisation d'annuaire n'est pas déclenchée.

    Les utilisateurs et les groupes synchronisés via ce processus peuvent être gérés comme tous les autres utilisateurs ajoutés par synchronisation d'annuaire VMware Identity Manager.

    Important : La synchronisation dure plus longtemps lorsque vous utilisez l'option Effectuer une synchronisation d'annuaire.
    Note : Lorsque cette option est sélectionnée, l'option Configuration du serveur de connexion Horizon 5.x est également sélectionnée automatiquement, car les deux options utilisent une méthode différente pour synchroniser les ressources.
  12. Dans la liste déroulante Client de lancement par défaut, sélectionnez le client par défaut dans lequel vous voulez lancer des applications ou postes de travail Horizon.
    Option Description
    AUCUN Aucune préférence par défaut n'est définie au niveau de l'administrateur. Si cette option est définie sur Aucun et qu'aucune préférence d'utilisateur final n'est définie, le paramètre Protocole d'affichage par défaut d'Horizon est utilisé pour déterminer la méthode de lancement du poste de travail ou de l'application.
    NAVIGATEUR Les postes de travail et applications Horizon sont lancés dans un navigateur Web par défaut. Les préférences de l'utilisateur final, si défini, remplacent ce paramètre.
    NATIF Les postes de travail et applications Horizon sont lancés dans le système Horizon Client par défaut. Les préférences de l'utilisateur final, si défini, remplacent ce paramètre.

    Ce paramètre s'applique à tous les utilisateurs pour toutes les ressources de cette collection.

    L’ordre de priorité suivant - de la plus élevée à la plus faible - s’applique aux paramètres du client de lancement par défaut :

    1. Paramètre de préférence de l'utilisateur final, défini dans le portail Workspace ONE. Cette option n’est pas disponible dans l’application Workspace ONE.
    2. Paramètre Client de lancement par défaut de l'administrateur pour la collection, défini dans la console VMware Identity Manager.
    3. Paramètre Protocole d'affichage à distance > Protocole d'affichage par défaut d'Horizon pour le pool de postes de travail ou d'applications, défini dans Horizon Administrator. Par exemple, lorsque le protocole d’affichage est défini sur PCoIP, l’application ou le poste de travail est lancé dans le Horizon Client.
  13. Dans le menu déroulant Fréquence de synchronisation, sélectionnez la fréquence à laquelle vous voulez synchroniser les ressources de cette collection.
    Vous pouvez configurer un planning de synchronisation régulier ou choisir de synchroniser manuellement. Si vous sélectionnez Manuel, vous devez cliquer sur Synchronisation sur la page Configuration d'applications virtuelles après avoir configuré la collecte, et chaque fois qu'une modification est apportée à vos ressources ou droits View.
  14. Dans la liste déroulante Stratégie d'activation, choisissez de quelle manière les ressources Horizon sont mises à la disposition des utilisateurs dans Workspace ONE.
    Lorsque les options Activé par l'utilisateur et Automatique sont sélectionnées, les ressources sont ajoutées à la page Catalogue. Les utilisateurs peuvent utiliser les ressources de la page Catalogue ou les déplacer vers la page Signets. Toutefois, pour configurer un flux d'approbation pour l'une des applications, vous devez sélectionner Activé par l'utilisateur pour cette application.

    La stratégie d'activation que vous sélectionnez sur cette page s'applique à tous les droits d'accès des utilisateurs pour toutes les ressources de la collection. Vous pouvez modifier la stratégie d'activation pour des utilisateurs individuels ou des groupes par ressource, sur la page Droits de l'application ou du poste de travail.

    Définir la stratégie d'activation pour la collection sur Activé par l'utilisateur est recommandé si vous prévoyez de configurer un flux d'approbation.

  15. Cliquez sur Enregistrer.
    La collecte est créée et apparaît sur la page Configuration d'applications virtuelles. Les ressources de la collection ne sont pas encore synchronisées.
  16. Pour synchroniser les ressources de la collecte avec VMware Identity Manager, cliquez sur Synchroniser sur la page Configuration d'applications virtuelles.
    Chaque fois que vous modifiez les paramètres dans Horizon, par exemple pour ajouter un droit ou un utilisateur, une synchronisation est requise pour propager les modifications vers VMware Identity Manager.
  17. Configurez les URL d'accès client pour les espaces et les fédérations de groupes.
    Vous personnalisez les URL pour des plages réseau spécifiques. Par exemple, des URL de démarrage différentes sont généralement définies pour l'accès interne et externe.
    1. Examinez vos plages réseau et créez-en de nouvelles, si nécessaire.
      • Cliquez sur l'onglet Gestion des identités et des accès > Stratégies.
      • Cliquez sur Plages réseau.
      • Examinez les plages réseau et cliquez sur Ajouter une plage réseau pour ajouter de nouvelles plages, si nécessaire.
    2. Cliquez sur l'onglet Catalogue > Applications virtuelles, puis cliquez sur Paramètres de l'application virtuelle.
    3. Cliquez sur Paramètres réseau.
    4. Sélectionnez la plage réseau à configurer.
      La section Fédération View CPA indique l'URL de démarrage globale de la fédération de groupes que vous avez ajoutée à la collection. La section Espace View répertorie tous les espaces View que vous avez ajoutés à la collection pour laquelle vous avez sélectionné l'option Synchroniser les droits locaux.

      plages réseau

    5. Dans la section Fédération View CPA, pour l'URL de démarrage globale, spécifiez le nom de domaine complet du serveur vers lequel diriger les demandes de démarrage pour les droits globaux qui proviennent de cette plage réseau. En général, il s'agit de l'URL d'équilibrage de charge globale du déploiement de fédération d'espaces View.

      Par exemple : lb.example.com

      L'URL de démarrage globale est utilisée pour lancer des ressources globalement autorisées.

    6. Dans la section Espace View, pour chaque espace, spécifiez le nom de domaine complet du serveur vers lequel diriger les demandes de démarrage pour les droits locaux qui proviennent de cette plage réseau. Vous pouvez spécifier une instance du serveur de connexion Horizon, un équilibrage de charge ou un serveur de sécurité. Par exemple, si vous modifiez une plage qui fournit un accès interne, vous devez spécifier l'équilibrage de charge interne pour l'espace.

      Par exemple : lb.example.com

      L'URL d'accès client est utilisée pour lancer des ressources localement autorisées à partir de l'espace.

      Note : Pour plus d'informations sur les options Encapsuler l'artefact dans JWT et Public dans JWT, reportez-vous à la section Lancement de ressources Horizon via les passerelles de validation.
    7. Cliquez sur Terminer.
    Reportez-vous également à la section Activation de plusieurs URL d'accès client pour des plages réseau personnalisées.