Configurer le locataire Horizon Cloud dans Workspace ONE Access

Pour intégrer les locataires Horizon Cloud au service Workspace ONE Access, créez une collection d'applications virtuelles dans la console Workspace ONE Access. La collection contient des informations de configuration, telles que le locataire Horizon Cloud à partir duquel synchroniser des attributions, l'instance de service d'applications virtuelles à utiliser pour la synchronisation et les paramètres de synchronisation.

Si vous disposez de plusieurs locataires Horizon Cloud, vous pouvez créer une collection d'applications virtuelles distincte pour chaque locataire ou configurer tous les locataires dans une collection unique, selon vos besoins. Chaque collection se synchronise séparément.

Note : Cette rubrique s'applique à l'intégration de Workspace ONE Access à Horizon Cloud Service on Microsoft Azure avec un broker à espace unique ou Horizon Cloud Service on IBM Cloud, à l'aide de Workspace ONE Access Connector 22.05 ou version ultérieure.

Conditions préalables

Vérifiez que toutes les conditions préalables décrites dans la section Conditions préalables à l'intégration de Workspace ONE Access à Horizon Cloud sont remplies. Reportez-vous également à la section Intégration de plusieurs instances d'Horizon Cloud à Workspace ONE Access.
Dans la console, Workspace ONE Access, utilisez un rôle d'administrateur pouvant effectuer l'action Gérer les applications de poste de travail dans le service de catalogue.

Procédure

Connectez-vous à la console Workspace ONE Access.
Sélectionnez Ressources > Collections d'applications virtuelles.
Cliquez sur Nouveau.
Sélectionnez Horizon Cloud comme type de source.

Dans l'assistant Nouvelle collection Horizon Cloud, entrez les informations suivantes sur la page Connecteur.

Option	Description
Nom	Entrez un nom unique pour la collecte Horizon Cloud.
Connecteur	Sélectionnez les connecteurs à utiliser pour synchroniser cette collection. Vous pouvez ajouter plusieurs connecteurs et les organiser dans l'ordre de basculement. Seuls les connecteurs sur lesquels le service d'applications virtuelles est installé s'affichent dans la liste. Important : Cinq instances de connecteur au maximum sont prises en charge par collection d'applications virtuelles Horizon Cloud.

Option

Description

Nom

Entrez un nom unique pour la collecte Horizon Cloud.

Connecteur

Sélectionnez les connecteurs à utiliser pour synchroniser cette collection. Vous pouvez ajouter plusieurs connecteurs et les organiser dans l'ordre de basculement. Seuls les connecteurs sur lesquels le service d'applications virtuelles est installé s'affichent dans la liste.

Important : Cinq instances de connecteur au maximum sont prises en charge par collection d'applications virtuelles Horizon Cloud.

Par exemple :
la page du connecteur de l'assistant dispose d'une collection nommée Postes de travail et applications Horizon Cloud et d'un connecteur actif connector1.example.com.

la page du connecteur de l'assistant dispose d'une collection nommée Postes de travail et applications Horizon Cloud et d'un connecteur actif connector1.example.com.

Cliquez sur Suivant.

Sur la page Locataire, cliquez sur Ajouter un locataire et entrez les informations du locataire Horizon Cloud.

Important : N'utilisez pas de caractères non-ASCII lorsque vous entrez les informations de votre domaine.

Option	Description
Hôte	Nom de domaine complet de votre hôte locataire Horizon Cloud. Par exemple : `locataire1.exemple.com`
Port	Numéro de port de votre hôte locataire Horizon Cloud. Par exemple : `443`
Utilisateur administrateur	Nom d'utilisateur de votre compte d'administrateur locataire Horizon Cloud. Par exemple : `adminlocataire`
Mot de passe de l'administrateur	Mot de passe de votre compte d'administrateur locataire Horizon Cloud.
Domaine de l'administrateur	Nom du domaine Active Directory NetBIOS dans lequel se trouve l'administrateur de locataire Horizon Cloud.
Domaines à synchroniser	Noms de domaine NETBIOS Active Directory pour la synchronisation des ressources et des droits Horizon Cloud.
URL du service clients d'assertion	URL sur laquelle envoyer l'assertion SAML. En général, cette URL est l'adresse IP flottante ou le nom d'hôte du locataire Horizon Cloud ou l'URL d'Unified Access Gateway. Par exemple, https://mytenant.example.com.
Authentification unique réelle	Sélectionnez cette option si l'authentification unique (SSO) réelle est activée pour le locataire Horizon Cloud. Lorsque cette option est activée, les utilisateurs qui se sont connectés au portail ou à l'application Intelligent Hub à l'aide d'une méthode d'authentification sans mot de passe, telle que SecurID, n'auront pas à indiquer un mot de passe lorsqu'ils lanceront leurs postes de travail Windows.
Mappage d'ID personnalisé	Vous pouvez personnaliser l’ID utilisateur qui est utilisé dans la réponse SAML lorsque les utilisateurs lancent des applications et des postes de travail Horizon Cloud. Par défaut, c'est le nom d’utilisateur principal qui est utilisé. Vous pouvez choisir d'utiliser d'autres formats de nom d'ID comme sAMAccountName ou une adresse électronique et en personnaliser la valeur. Format de l'ID du nom : sélectionnez le format de nom d'ID, tels que l'adresse électronique ou le nom principal d'utilisateur. La valeur par défaut est Non spécifié (nom d’utilisateur). Valeur de l'ID du nom : cliquez sur Sélectionner parmi les suggestions et faites votre choix parmi une liste prédéfinie de valeurs ou cliquez sur Valeur personnalisée et entrez la valeur. Cette valeur peut être n'importe quelle expression EL (Expression Language) valide telle que ${user.userName}@${user.domain}. La valeur par défaut est ${utilisateur.nomprincipalutilisateur}. Note : Vérifiez que les attributs que vous utilisez dans l'expression sont des attributs mappés dans l'annuaire VMware. Vous pouvez afficher les attributs mappés dans l'onglet Paramètres de synchronisation de l'annuaire. Dans l'exemple ci-dessus, userName, userPrincipalName et domain sont des attributs mappés d'annuaire. La possibilité de sélectionner le format de nom d’ID est utile dans les scénarios suivants : Lorsque les utilisateurs de plusieurs sous-domaines sont synchronisés, le nom principal d’utilisateur peut ne pas fonctionner. Vous pouvez utiliser un format de nom d’ID différent comme sAMAccountName ou une adresse électronique pour identifier les utilisateurs seulement. Important : Veillez à utiliser le même paramètre de format de l'ID du nom dans Horizon Cloud et dans Workspace ONE Access.

Par exemple :
la valeur de l'hôte est tenant1.example.com, le port est 443, l'utilisateur Admin est tenantadmin, le domaine de l'administrateur est FTE et le domaine à synchroniser est FTE.

la valeur de l'hôte est tenant1.example.com, le port est 443, l'utilisateur Admin est tenantadmin, le domaine de l'administrateur est FTE et le domaine à synchroniser est FTE.

Cliquez sur Ajouter.
Ajoutez d'autres locataires, si nécessaire, puis cliquez sur Suivant.

Sur la page Configuration, entrez les informations suivantes.

Option	Description
Fréquence de synchronisation	Sélectionnez la fréquence à laquelle vous voulez synchroniser les ressources dans la collecte. Vous pouvez configurer une planification de synchronisation automatique ou choisir de les synchroniser manuellement. Pour définir une planification, sélectionnez l'intervalle (quotidien ou hebdomadaire, par exemple) et sélectionnez l'heure de la journée à laquelle exécuter la synchronisation. Si vous sélectionnez Manuel, vous devez cliquer sur Synchroniser > Synchroniser avec protections ou Synchroniser > Synchroniser sans protection sur la page de collection d'applications virtuelles après avoir configuré la collection et à chaque modification des ressources ou des droits Horizon Cloud. Pour plus d'informations sur la synchronisation, reportez-vous à la section Synchronisation des collections d'applications virtuelles dans Workspace ONE Access.
Limites des seuils de sécurité	Configurez des seuils de sécurité de synchronisation si vous souhaitez limiter le nombre de modifications pouvant être apportées aux applications, aux postes de travail et aux attributions lors de la synchronisation des collections d'applications virtuelles. Si l'un des seuils est atteint, la synchronisation est annulée. Par défaut, Workspace ONE Access définit le seuil de toutes les catégories sur 10 %. Les protections de synchronisation sont ignorées lors de la première synchronisation d'une collection et sont appliquées à toutes les synchronisations suivantes. Pour plus d'informations sur les protections de synchronisation, reportez-vous à la section Synchronisation des collections d'applications virtuelles dans Workspace ONE Access.
Stratégie d'activation	Sélectionnez le mode de disponibilité des ressources de cette collection aux utilisateurs du portail et de l'application Intelligent Hub. Si vous prévoyez de configurer un flux d'approbation, sélectionnez Activé par l'utilisateur. Sinon, sélectionnez Automatique. Lorsque les options Activé par l'utilisateur et Automatique sont sélectionnées, les ressources sont ajoutées à l'onglet Applications. Les utilisateurs peuvent exécuter les ressources dans l'onglet Applications ou les marquer comme favorites et les exécuter dans l'onglet Favoris. Toutefois, pour configurer un flux d'approbation pour l'une des applications, vous devez sélectionner Activé par l'utilisateur pour cette application. La stratégie d'activation s'applique à tous les droits des utilisateurs pour toutes les ressources de la collecte. Vous pouvez modifier la stratégie d'activation pour des utilisateurs individuels ou des groupes par ressource, sur la page d'utilisateur ou de groupe disponible sur les pages Comptes > Utilisateurs ou Comptes > Groupes d'utilisateurs.
Client de lancement par défaut	Sélectionnez le client par défaut pour les utilisateurs finaux qui accèdent aux postes de travail et aux applications Horizon Cloud depuis le portail ou l'application Intelligent Hub. Aucune : aucune préférence par défaut n'est définie au niveau de l'administrateur. Si cette option est définie sur Néant et qu'aucune préférence n'est définie par l'utilisateur final, le paramètre Protocole d'affichage par défaut d'Horizon est utilisé pour déterminer la méthode de lancement du poste de travail ou de l'application. Navigateur : les postes de travail et les applications sont lancés dans un navigateur Web par défaut. Les préférences de l'utilisateur final, si défini, remplacent ce paramètre. Natif : les postes de travail et les applications sont lancés dans Horizon Client par défaut. Les préférences de l'utilisateur final, si défini, remplacent ce paramètre. Ce paramètre s'applique à tous les utilisateurs pour toutes les ressources de cette collection. L’ordre de priorité suivant - de la plus élevée à la plus faible - s’applique aux paramètres du client de lancement par défaut : Paramètre de préférence de l'utilisateur final, défini dans Intelligent Hub. Paramètre Client de lancement par défaut de l'administrateur pour la collection, défini dans la console Workspace ONE Access. Paramètres du protocole par défaut d'Horizon Cloud

Par exemple :
la fréquence de synchronisation est hebdomadaire, l'heure de la synchronisation est 23 h 55, la stratégie d'activation est activée par l'utilisateur et le client de lancement par défaut est natif.

la fréquence de synchronisation est hebdomadaire, l'heure de la synchronisation est 23 h 55, la stratégie d'activation est activée par l'utilisateur et le client de lancement par défaut est natif.

Cliquez sur Suivant.
Sur la page Résumé, vérifiez vos sélections, puis cliquez sur Enregistrer.

Résultats

La collection est créée et s'affiche sur la page Collections d'applications virtuelles. Les ressources de la collection ne sont pas encore synchronisées. Une fois que vous avez terminé la configuration de l'intégration, vous pouvez attendre la prochaine synchronisation planifiée ou effectuer une synchronisation manuelle.

Que faire ensuite

Configurez l'authentification SAML dans le locataire Horizon Cloud afin d'activer la confiance entre le service Workspace ONE Access et le locataire Horizon Cloud. Vous ne pouvez pas lancer d'applications tant que l'authentification SAML n'est pas configurée.