Configurez des espaces et des fédérations d'espaces Horizon dans la console Workspace ONE Access pour synchroniser des ressources et des droits avec le service Workspace ONE Access.

Pour configurer les espaces et fédérations d'espaces, vous créez une ou plusieurs collections d'applications virtuelles sur la page Catalogue > Collections d'applications virtuelles et vous entrez les informations de configuration, telles que les Serveurs de connexion Horizon à partir desquels synchroniser les ressources et les droits, les détails de fédérations d'espaces, le Workspace ONE Access Connector à utiliser pour la synchronisation et les paramètres d'administrateur, tels que le client de lancement par défaut.

Après avoir ajouté les espaces et les fédérations d'espaces, vous configurez les noms de domaine complets de l'accès du client pour des plages réseau spécifiques afin que les utilisateurs finaux se connectent aux serveurs corrects lors de l'accès aux ressources.

Vous pouvez ajouter tous les espaces Horizon et fédérations de groupes dans une collection, ou vous pouvez créer plusieurs collections, selon vos besoins. Par exemple, vous pouvez choisir de créer des collectes distinctes pour chaque fédération d'espaces ou pour chaque espace afin de simplifier la gestion et de répartir la charge de synchronisation sur plusieurs connecteurs. Vous pouvez également choisir d'inclure tous les espaces et les fédérations de groupes dans une collection à des fins de test, et créer une autre collection identique pour votre environnement de production.

Important : Si vous modifiez des paramètres ou une configuration SAML sur Horizon Server, veillez à modifier la page Collections d'applications virtuelles dans la console Workspace ONE Access et cliquez sur Enregistrer pour mettre à jour les derniers paramètres d'Horizon dans le service Workspace ONE Access.

Conditions préalables

  • Configurez Horizon en suivant les instructions des sections Exigences pour l'intégration d'espaces Horizon et Exigences pour l'intégration de fédérations de groupes Horizon.
  • Configurez Workspace ONE Access en suivant les instructions de la section Configurer votre environnement Workspace ONE Access.
  • Pour chaque espace Horizon à configurer dans Workspace ONE Access, veillez à disposer des informations d'identification d'un utilisateur disposant du rôle administrateur.
  • Pour effectuer cette procédure dans Workspace ONE Access, vous devez utiliser un rôle d'administrateur qui comprend l'action Gérer des applications de poste de travail dans le service de catalogue.
  • À la fin de cette procédure, vous êtes redirigé vers la page Plages réseau afin de configurer les noms de domaine complets de l'accès du client. Pour modifier et enregistrer la page Plages réseau, vous devez disposer du rôle Super administrateur. Vous pouvez choisir d'effectuer cette étape séparément.

Procédure

  1. Connectez-vous à la console Workspace ONE Access.
  2. Sélectionnez l'onglet Catalogue > Collections d'applications virtuelles.
  3. Cliquez sur Nouveau.
  4. Sélectionnez Horizon comme type de ressource.
  5. Dans l'assistant Nouvelle collecte d'applications virtuelles Horizon, entrez les informations suivantes sur la page Connecteur.
    Option Description
    Nom Entrez un nom unique pour la collecte Horizon.
    Connecteur Sélectionnez le connecteur à utiliser pour synchroniser cette collecte. Pour sélectionner le connecteur, sélectionnez l'annuaire qui lui est associé. Si vous avez configuré un cluster de connecteurs, toutes les instances de connecteur s'affichent dans la liste Hôte et vous pouvez les organiser dans l'ordre de basculement de cette collecte.
    Important : Après avoir créé la collecte, vous devez conserver le même annuaire.
  6. Cliquez sur Suivant.
  7. Sur la page Espace et fédération, cliquez sur Ajouter un espace et entrez les informations de l'espace.
    Si l'espace contient plusieurs instances du Serveur de connexion Horizon, entrez les informations de l'une des instances.
    Option Description
    Serveur de connexion Entrez le nom d'hôte complet de l'une des instances d'Serveur de connexion Horizon au sein de l'espace. Par exemple, connectionserver.horizondomain.com. Le nom du domaine doit correspondre à celui auquel l'instance d'Serveur de connexion Horizon est jointe.
    Important : Si l'espace contient plusieurs instances du Serveur de connexion Horizon, vous devez ajouter uniquement l'une des instances. VMware Workspace ONE Access extrait les informations de toutes les instances au sein de l'espace.
    Nom d'utilisateur Entrez le nom d'utilisateur de l'administrateur du Serveur de connexion Horizon. L'utilisateur doit disposer du rôle Administrateur dans Horizon.
    Mot de passe Entrez le mot de passe de l'administrateur du Serveur de connexion Horizon.
    Authentification par carte à puce Activez cette option si les utilisateurs emploient l'authentification par carte à puce plutôt que des mots de passe pour se connecter au Serveur de connexion Horizon.
    Authentification unique réelle

    Activez cette option uniquement si l'authentification unique réelle est activée pour le Serveur de connexion Horizon. Cette option ne s'applique qu'aux versions d'Horizon prenant en charge la fonctionnalité d'authentification unique réelle.

    Lorsque cette option est activée, les utilisateurs qui se sont connectés à Workspace ONE à l'aide d'une méthode d'authentification sans mot de passe, telle que SecurID, n'auront pas à indiquer un mot de passe lorsqu'ils lanceront leurs postes de travail Windows.

    Synchroniser les attributions locales Activez cette option pour synchroniser des droits locaux depuis le Serveur de connexion Horizon, en plus des attributions globales.
  8. Pour ajouter d'autres espaces, cliquez sur Ajouter un espace et entrez les informations de chaque espace.
  9. Si l'option Architecture Cloud Pod est activée dans Horizon pour l'un des espaces que vous avez ajoutés, suivez ces étapes pour ajouter les informations de la fédération d'espaces.
    1. Définissez l'option Avez-vous activé l'Architecture Cloud Pod pour l'un des espaces ajoutés ci-dessus ? sur Oui.
    2. Cliquez sur Ajouter une fédération.
    3. Entrez les informations de la fédération d'espaces.
      Option Description
      Nom de fédération Nom de la fédération de groupes.
      Nom de domaine complet de l'accès du client Nom de domaine complet (FQDN) du serveur vers lequel diriger les clients qui accèdent aux droits globaux dans cette fédération d'espaces. Cette valeur est généralement l'équilibrage de charge globale du déploiement de la fédération d'espaces.

      Par exemple, federationA.example.com.

      Vous pouvez personnaliser le nom de domaine complet de l'accès du client pour des plages réseau spécifiques ultérieurement dans le processus de configuration.

      Espaces Horizon Sélectionnez les espaces qui appartiennent à la fédération d'espaces. La colonne Espaces disponibles affiche tous les espaces que vous avez ajoutés à la collecte. Lorsque vous sélectionnez un espace, il est ajouté à la colonne Espaces sélectionnés. Vous pouvez organiser les espaces dans la colonne Espaces sélectionnés dans l'ordre de basculement.
    4. Pour ajouter une autre fédération d'espaces, cliquez sur Ajouter une fédération et entrez les informations de la fédération d'espaces.
  10. Cliquez sur Suivant.
  11. Sur la page Configuration, entrez les informations suivantes.
    Option Description
    Fréquence de synchronisation Sélectionnez la fréquence à laquelle vous voulez synchroniser les ressources dans la collecte.

    Vous pouvez configurer une planification de synchronisation automatique ou choisir de les synchroniser manuellement. Pour définir une planification, sélectionnez l'intervalle (quotidien ou hebdomadaire, par exemple) et sélectionnez l'heure de la journée à laquelle exécuter la synchronisation. Si vous sélectionnez Manuel, vous devez cliquer sur Synchronisation sur la page Collectes d'applications virtuelles après avoir configuré la collecte, et chaque fois qu'une modification est apportée à vos ressources ou droits Horizon Cloud.

    Synchroniser les applications en double Définissez cette option sur Non si vous voulez éviter que les applications en double soient synchronisées depuis plusieurs serveurs.

    Lorsque Workspace ONE Access est déployé dans plusieurs centres de données, les mêmes ressources sont configurées sur tous ces centres de données. La définition de cette option sur Non empêche la duplication des pools de postes de travail ou d'applications dans votre catalogue Intelligent Hub.

    Stratégie d'activation Sélectionnez le mode de disponibilité des ressources de cette collection aux utilisateurs de l'application et du portail Intelligent Hub. Si vous prévoyez de configurer un flux d'approbation, sélectionnez Activé par l'utilisateur. Sinon, sélectionnez Automatique.

    Lorsque les options Activé par l'utilisateur et Automatique sont sélectionnées, les ressources sont ajoutées à l'onglet Applications. Les utilisateurs peuvent utiliser les ressources dans l'onglet Applications ou les marquer comme favorites et les exécuter dans l'onglet Favoris. Toutefois, pour configurer un flux d'approbation pour l'une des applications, vous devez sélectionner Activé par l'utilisateur pour cette application.

    La stratégie d'activation s'applique à tous les droits des utilisateurs pour toutes les ressources de la collecte. Vous pouvez modifier la stratégie d'activation des utilisateurs ou groupes individuels par ressource, sur la page d'utilisateur ou de groupe de l'onglet Utilisateurs et groupes.

    Client de lancement par défaut Sélectionnez le client par défaut pour les utilisateurs finaux qui accèdent aux postes de travail et aux applications Horizon depuis l'application ou le portail Intelligent Hub.

    Aucune : aucune préférence par défaut n'est définie au niveau de l'administrateur. Si cette option est définie sur Néant et qu'aucune préférence n'est définie par l'utilisateur final, le paramètre Protocole d'affichage par défaut d'Horizon est utilisé pour déterminer la méthode de lancement du poste de travail ou de l'application.

    Navigateur : les postes de travail et les applications Horizon sont lancés dans un navigateur Web par défaut. Les préférences de l'utilisateur final, si défini, remplacent ce paramètre.

    Natif : les postes de travail et applications Horizon sont lancés dans Horizon Client par défaut. Les préférences de l'utilisateur final, si défini, remplacent ce paramètre.

    Ce paramètre s'applique à tous les utilisateurs pour toutes les ressources de cette collection.

    L'ordre de priorité suivant - de la plus élevée à la plus faible - s'applique aux paramètres du client de lancement par défaut :

    1. Paramètre de préférence de l'utilisateur final, défini dans Intelligent Hub.
    2. Paramètre Client de lancement par défaut de l'administrateur pour la collection, défini dans la console Workspace ONE Access.
    3. Paramètre Protocole d'affichage à distance > Protocole d'affichage par défaut Horizon pour le pool de postes de travail ou d'applications, défini dans Horizon Administrator. Par exemple, lorsque le protocole d’affichage est défini sur PCoIP, l’application ou le poste de travail est lancé dans le Horizon Client.
  12. Cliquez sur Suivant.
  13. Sur la page Résumé, vérifiez vos sélections, puis cliquez sur Enregistrer et configurer la plage réseau.
    La page Plage réseau s'affiche.
  14. Sur la page Plages réseau, modifiez chaque plage réseau et indiquez les noms de domaine complets de l'accès du client pour les espaces et les fédérations d'espaces Horizon afin que les utilisateurs finaux qui accèdent aux applications et aux postes de travail Horizon se connectent au serveur correct.
    1. Cliquez sur la plage réseau à modifier ou sur Créer une plage réseau pour créer une plage réseau, si nécessaire.
    2. Si vous créez une plage réseau, entrez un nom, une description facultative et la plage d'adresses IP.
    3. Faites défiler la liste jusqu'aux sections Espace et Fédération View CPA.
      La section Espace répertorie tous les espaces Horizon que vous avez ajoutés à la collecte pour laquelle vous avez activé l'option Synchroniser les attributions locales. La section Fédération View CPA répertorie toutes les fédérations d'espaces que vous avez ajoutées.
      Attribuer des espaces aux plages réseau

    4. Modifiez la section Espace pour chaque espace et entrez les valeurs appropriées de cette plage réseau.
      Option Description
      Nom de domaine complet de l'accès du client Spécifiez le nom de domaine complet (FQDN) du serveur vers lequel diriger les clients qui accèdent aux droits locaux sur cet espace, lorsque les demandes proviennent de cette plage réseau. Il peut s'agir d'un Serveur de connexion Horizon, d'un serveur de sécurité, d'un équilibrage de charge ou d'un nom de domaine complet de proxy inverse.

      Par exemple : internallb.example.com

      Le nom de domaine complet de l'accès du client pour un espace est utilisé pour lancer des ressources localement autorisées à partir de l'espace.

      Port Port du serveur.
      Encapsuler l'artefact dans JWT Voir Lancement de ressources Horizon via les passerelles de validation.
      Public dans JWT Voir Lancement de ressources Horizon via les passerelles de validation.
    5. Modifiez la section Fédération View CPA pour chaque fédération d'espaces et entrez les valeurs appropriées de cette plage réseau.
      Option Description
      Nom de domaine complet de l'accès du client Spécifiez le nom de domaine complet (FQDN) du serveur vers lequel diriger les clients qui accèdent aux droits globaux sur cette fédération d'espaces, lorsque les demandes proviennent de la plage réseau. Il s'agit généralement de l'équilibrage de charge globale du déploiement de la fédération d'espaces.

      Par exemple : globallb.example.com

      Le nom de domaine complet de l'accès du client pour une fédération d'espaces est utilisé pour lancer des ressources globalement autorisées.

      Port Port du serveur.
      Encapsuler l'artefact dans JWT Lorsque le service Workspace ONE Access est intégré à une passerelle de validation, telle que F5, vous devez activer cette option pour authentifier les ressources Horizon attribuées aux utilisateurs. Voir Lancement de ressources Horizon via les passerelles de validation.
      Public dans JWT Voir Lancement de ressources Horizon via les passerelles de validation.
    6. Cliquez sur Enregistrer.
    7. Répétez ces étapes pour modifier les autres plages réseau.
    8. Cliquez sur Terminer sur la page Plages réseau.

Que faire ensuite

La collecte Horizon est créée et s'affiche sur la page Catalogue > Collectes d'applications virtuelles. Les ressources de la collecte ne sont pas encore synchronisées. Vous pouvez attendre la prochaine synchronisation planifiée ou synchroniser manuellement la collecte sur la page Catalogue > Collectes d'applications virtuelles.