Dans le cadre de l'intégration de Workspace ONE Access et d'Horizon, spécifiez les noms de domaine complets de l'accès du client pour les plages réseau afin que les utilisateurs se connectent au serveur approprié selon leur plage réseau. En outre, vous pouvez filtrer les utilisateurs en spécifiant des groupes d’utilisateurs pour chaque plage réseau.

Note : L'option d'association de groupes d'utilisateurs à des plages réseau est uniquement disponible dans le service cloud de Workspace ONE Access.

Lorsque vous créez une collection d'applications virtuelles Horizon, l'assistant vous guide vers la page Plages réseau pour configurer les noms de domaine complets d'accès du client pour les espaces et la fédération d'espaces de la collection. Après avoir créé la collecte, vous pouvez modifier à tout moment les noms de domaine complets de l'accès du client.

Des noms de domaine complets d'accès du client doivent être définis sur toutes les plages réseau de votre locataire pour les espaces et les fédérations d'espaces Horizon. Si un nom de domaine complet de l'accès du client n'est pas défini dans la plage réseau, les utilisateurs qui accèdent aux ressources Horizon via cette plage réseau ne peuvent pas lancer leurs applications et postes de travail affectés. Assurez-vous que chaque fois que vous créez des plages réseau, vous modifiez également les collections d'applications virtuelles pour ajouter des noms de domaine complets d'accès du client pour des espaces et des fédérations d'espaces Horizon à la nouvelle plage réseau.

Vous pouvez configurer les noms de domaine complets d'accès du client Workspace ONE Access de l'une des manières suivantes :

  • Utilisez uniquement des plages réseau pour diriger les utilisateurs vers les noms de domaine complets d'accès du client appropriés.

    Créez plusieurs plages réseau et spécifiez les noms de domaine complets d'accès du client pour chaque plage réseau. Ne sélectionnez aucun groupe d’utilisateurs pour les plages réseau. Tous les utilisateurs seront dirigés vers les noms de domaine complets d'accès du client en fonction de la plage réseau à partir de laquelle ils accèdent à leurs applications et postes de travail Horizon attribués.

    Par exemple, vous pouvez créer des plages réseau distinctes pour l'accès interne et externe, et spécifier les noms de domaine complets d'accès du client appropriés pour chaque plage.

  • Utilisez des plages réseau et des groupes pour diriger les utilisateurs vers les noms de domaine complets d'accès du client appropriés.

    Créez plusieurs plages réseau et spécifiez les noms de domaine complets d'accès du client pour chaque plage. Sélectionnez également des groupes d’utilisateurs pour les plages réseau. Pour que les utilisateurs puissent lancer des applications et des postes de travail Horizon à partir d'un nom de domaine complet d'accès du client, leur adresse IP client doit correspondre à la plage réseau et ils doivent appartenir à au moins un des groupes sélectionnés pour la plage réseau. Si aucun groupe n'est sélectionné pour une plage réseau, tous les utilisateurs dont l'adresse IP client correspond à la plage réseau peuvent lancer des applications et des postes de travail à partir du nom de domaine complet d'accès du client de cette plage réseau.

    Par exemple, vous pouvez créer des plages réseau distinctes pour l'accès interne et externe et filtrer les utilisateurs pour chaque plage selon qu'ils appartiennent à un groupe d'employés permanents ou à un groupe d'employés temporaires.

    Note : Si vous ne souhaitez pas créer plusieurs plages réseau, vous pouvez configurer des groupes d'utilisateurs sur la plage réseau par défaut ALL RANGES pour chaque collection d'applications virtuelles. Seuls les utilisateurs qui appartiennent à l'un des groupes sélectionnés pourront lancer des applications et des postes de travail Horizon à partir du nom de domaine complet d'accès du client ALL RANGES.

    Par exemple, vous pouvez créer différentes collections d'applications virtuelles pour des espaces dans différentes régions, créer des groupes d'utilisateurs par région et sélectionner les groupes d'utilisateurs appropriés pour la plage réseau ALL RANGES pour chaque collection.

Si vous configurez des plages réseau qui se chevauchent, Workspace ONE Access applique les règles suivantes pour trouver la meilleure correspondance pour l'utilisateur :

  • Si l'adresse IP client de l'utilisateur correspond à plusieurs plages et qu'aucun groupe n'est spécifié pour l'une des plages réseau, la plage réseau qui a été créée le plus récemment est utilisée pour déterminer le nom de domaine complet d'accès du client pour l'utilisateur.
  • Si l'adresse IP client de l'utilisateur correspond à plusieurs plages réseau et que les groupes de l'utilisateur ne correspondent qu'à l'une de ces plages réseau, la plage réseau qui correspond à la fois à l'adresse IP et aux groupes du client est utilisée pour déterminer le nom de domaine complet d'accès du client pour l'utilisateur.
  • Si l'adresse IP du client correspond à plusieurs plages réseau et que l'utilisateur appartient à un ou plusieurs groupes dans toutes ces plages réseau, la plage réseau qui a le plus de correspondances de groupes d'utilisateurs sera utilisée pour déterminer le nom de domaine complet d'accès du client pour l'utilisateur.
  • Si l'adresse IP du client correspond à plusieurs plages réseau et que le nombre de groupes d'utilisateurs qui correspondent est identique sur plusieurs plages réseau, la plage réseau qui a été créée le plus récemment est utilisée pour déterminer le nom de domaine complet d'accès du client pour l'utilisateur.

Conditions préalables

Un rôle super administrateur ou un rôle personnalisé qui peut effectuer l'action Gérer les paramètres dans le service de gestion des identités et des accès est requis pour créer et modifier des plages réseau.

Procédure

  1. Dans la console Workspace ONE Access, sélectionnez l'onglet Catalogue > Collections d'applications virtuelles.
  2. Cliquez sur la collection d'applications virtuelles Horizon, puis sélectionnez l'onglet Plages réseau.
    Note : Dans les déploiements sur site Workspace ONE Access, le bouton réseau Modifier les plages réseau s'affiche à la place de l'onglet Plages réseau.
  3. Cliquez sur la plage réseau pour modifier ou créer une plage réseau, si nécessaire.
  4. Si vous créez une plage réseau, entrez un nom, une description facultative et la plage d'adresses IP.
  5. (Facultatif) Dans la section Appartenance au groupe, sélectionnez les groupes d'utilisateurs que vous souhaitez associer à cette plage réseau.
    Si vous sélectionnez des groupes, pour lancer des applications et des postes de travail Horizon à partir du nom de domaine complet d'accès du client associé à cette plage réseau, les utilisateurs doivent appartenir à au moins un des groupes et l'adresse IP de leur client doit correspondre à la plage réseau.

    Si vous ne sélectionnez aucun groupe, tous les utilisateurs dont l'adresse IP client correspond à la plage réseau peuvent lancer des applications et des postes de travail Horizon à partir du nom de domaine complet d'accès du client associé à cette plage réseau.

    Par exemple :

    Cette image affiche la fenêtre contextuelle Attribuer des espaces aux plages réseau. Une plage d'adresses IP est spécifiée pour la plage réseau. Deux groupes, groupe A et groupe B, sont également sélectionnés pour la plage réseau.
    Note : L'option Appartenance au groupe est uniquement disponible dans le service cloud Workspace ONE Access. Elle n’est pas disponible pour les déploiements sur site.
  6. Faites défiler la liste jusqu'aux sections Espace et fédération.
    La section Espace répertorie tous les espaces Horizon de la collecte dans lesquels vous avez activé l'option Synchroniser les attributions locales. La section Fédération CPA répertorie les fédérations d'espaces de la collecte, le cas échéant.

    Modifier la plage réseau pour les paramètres d'affichage

  7. Modifiez la section Espace de chaque espace et entrez les valeurs appropriées de cette plage réseau.
    Option Description
    Nom de domaine complet de l'accès du client Nom de domaine complet (FQDN) du serveur vers lequel diriger les clients qui accèdent aux droits locaux sur cet espace, lorsque les demandes proviennent de cette plage réseau. Cette valeur peut être un Serveur de connexion Horizon, un serveur de sécurité, un équilibrage de charge ou un nom de domaine complet de proxy inverse.

    Par exemple : internallb.example.com

    Le nom de domaine complet de l'accès du client pour un espace est utilisé pour lancer des ressources localement autorisées à partir de l'espace.

    Port Port du serveur.
    Encapsuler l'artefact dans JWT Voir Lancement de ressources Horizon via les passerelles de validation.
    Public dans JWT Voir Lancement de ressources Horizon via les passerelles de validation.
  8. Modifiez la section Fédération CPA pour chaque fédération d'espaces et entrez les valeurs appropriées de cette plage réseau.
    Option Description
    Nom de domaine complet de l'accès du client Nom de domaine complet (FQDN) du serveur vers lequel diriger les clients qui accèdent aux droits globaux sur cette fédération d'espaces, lorsque les demandes proviennent de cette plage réseau. Cette valeur est généralement l'équilibrage de charge globale du déploiement de la fédération d'espaces.

    Par exemple : globallb.example.com

    Le nom de domaine complet de l'accès du client pour une fédération d'espaces est utilisé pour lancer des ressources globalement autorisées.

    Port Port du serveur.
    Encapsuler l'artefact dans JWT Lorsque le service Workspace ONE Access est intégré à une passerelle de validation, telle que F5, vous devez activer cette option pour authentifier les ressources Horizon attribuées aux utilisateurs. Voir Lancement de ressources Horizon via les passerelles de validation.
    Public dans JWT Voir Lancement de ressources Horizon via les passerelles de validation.
  9. Cliquez sur Enregistrer.
  10. Répétez ces étapes pour modifier les autres plages réseau, si nécessaire.
    Important : Vérifiez qu'un nom de domaine complet de l'accès du client est défini dans chaque plage réseau de votre environnement. S'il manque le nom de domaine complet de l'accès du client dans la plage réseau, les utilisateurs qui accèdent aux ressources via cette plage réseau ne peuvent pas lancer leurs postes de travail et applications Horizon.