Configurare pod Horizon e federazioni di pod nella console di VMware Identity Manager per sincronizzare risorse e permessi con il servizio VMware Identity Manager.

Per configurare i pod e le federazioni di pod, creare una o più raccolte di app virtuali nella pagina Catalogo > Raccolta app virtuali e immettere le informazioni di configurazione, come i server di connessione di Horizon da cui sincronizzare risorse e permessi, i dettagli sulla federazione di pod, l'istanza di VMware Identity Manager Connector da utilizzare per la sincronizzazione e le impostazioni dell'amministratore come il client di avvio predefinito.

Dopo aver aggiunto i pod e le federazioni di pod, è possibile configurare i nomi di dominio completi di accesso al client per intervalli di rete specifici in modo che gli utenti finali si connettano ai server corretti quando accedono alle risorse.

È possibile aggiungere tutti i pod Horizon e le federazioni di pod in una raccolta oppure creare più raccolte, in base alle proprie esigenze. Ad esempio, è possibile scegliere di creare raccolte separate per ogni federazione di pod o per ciascun pod per semplificare la gestione e distribuire il carico di sincronizzazione tra più connettori. Altrimenti è possibile scegliere di includere tutti i pod e le federazioni di pod in una raccolta a scopo di test e avere un'altra raccolta identica per il proprio ambiente di produzione.

Importante: Se si modificano le impostazioni o la configurazione SAML nel server di Horizon, assicurarsi di modificare la pagina raccolta app virtuali nella console di VMware Identity Manager e di fare clic su Salva per aggiornare le impostazioni di Horizon più recenti nel servizio di VMware Identity Manager.

Prerequisiti

  • Configurazione di Horizon in base a Requisiti per l'integrazione di pod Horizon e Requisiti per l'integrazione di federazioni di pod Horizon.
  • Configurare VMware Identity Manager in base a Configurazione dell'ambiente di VMware Identity Manager.
  • Per ogni pod di Horizon che si desidera configurare in VMware Identity Manager, assicurarsi di disporre delle credenziali di un utente con il ruolo di amministratore.
  • Per eseguire questa procedura in VMware Identity Manager, è necessario utilizzare un ruolo amministratore che includa l'azione Gestisci applicazioni desktop nel servizio del catalogo.
  • Al termine di questa procedura, si viene reindirizzati alla pagina Intervalli di rete per configurare i nomi di dominio completi di accesso al client. Per modificare e salvare la pagina Intervalli di rete, è necessario disporre del ruolo di amministratore con privilegi avanzati. È possibile scegliere di eseguire tale passaggio separatamente.

Procedura

  1. Accedere alla console di VMware Identity Manager.
  2. Selezionare la scheda Catalogo > Raccolta app virtuali.
  3. Fare clic su Nuovo.
  4. Selezionare Horizon come tipo di origine.
  5. Nella procedura guidata per la creazione di una nuova raccolta di app virtuali di Horizon, immettere le informazioni seguenti nella pagina Connettore.
    Opzione Descrizione
    Nome Immettere un nome univoco per la raccolta di Horizon.
    Connettore Selezionare il connettore che si desidera utilizzare per sincronizzare questa raccolta. Per selezionare il connettore, selezionare la directory a cui è associato. Se è stato configurato un cluster di connettori, tutte le istanze del connettore vengono visualizzate nell'elenco Host ed è possibile disporli in ordine di failover per questa raccolta.
    Importante: Dopo aver creato la raccolta, non è possibile selezionare una directory diversa.
  6. Fare clic su Avanti.
  7. Nella pagina Pod e federazione, fare clic su Aggiungi pod e immettere le informazioni sul pod.
    Se il pod include più istanze del server di connessione di Horizon, immettere le informazioni per ciascuna istanza.
    Opzione Descrizione
    Server di connessione Immettere il nome host completo di ciascuna istanza di Server di connessione di Horizon nel pod. Ad esempio, connectionserver.horizondomain.com. Il nome di dominio deve corrispondere al nome del dominio a cui appartiene l'istanza di Server di connessione di Horizon.
    Importante: Se il pod include più istanze del Horizon Connection Server, è sufficiente aggiungere una sola delle istanze. VMware Identity Manager estrae le informazioni per tutte le istanze all'interno del pod.
    Nome utente Immettere il nome utente dell'amministratore del Horizon Connection Server. L'utente deve disporre del ruolo di amministratore in Horizon.
    Password Immettere la password dell'amministratore del server di connessione di Horizon.
    Autenticazione con smart card Abilitare questa opzione se gli utenti utilizzeranno l'autenticazione con smart card anziché le password per accedere al server di connessione di Horizon.
    True SSO

    Abilitare questa opzione solo se la funzionalità True SSO è attivata per il server di connessione di Horizon. Questa opzione si applica solo alle versioni di Horizon che supportano la funzionalità True SSO.

    Quando questa opzione è abilitata, agli utenti che hanno effettuato l'accesso a Workspace ONE con un metodo di autenticazione senza password come SecurID non verrà richiesta la password quando avviano i propri desktop Windows.

    Sincronizza permessi locali Abilitare questa opzione per sincronizzare i permessi locali dal server di connessione di Horizon, oltre ai permessi globali.
  8. Per aggiungere altri pod, fare clic su Aggiungi pod e immettere le informazioni per ogni pod.
  9. Se l'opzione Architettura Cloud Pod è abilitata in Horizon per uno qualsiasi dei pod aggiunti, eseguire i passaggi seguenti per aggiungere le informazioni relative alla federazione di pod.
    1. Impostare l'opzione È stata abilitata l’architettura Cloud Pod per uno dei pod aggiunti sopra su .
    2. Fare clic su Aggiungi federazione.
    3. Immettere le informazioni relative alla federazione di pod.
      Opzione Descrizione
      Nome federazione Nome della federazione di pod.
      Nome di dominio completo di accesso al client Nome di dominio completo del server a cui indirizzare i client che accedono ai permessi globali in questa federazione di pod. Questo valore corrisponde in genere al bilanciamento del carico globale della distribuzione della federazione di pod.

      Ad esempio federationA.example.com.

      Il nome di dominio completo di accesso al client per intervalli di rete specifici può essere personalizzato in una fase successiva del processo di configurazione.

      Pod Horizon Selezionare i pod che appartengono alla federazione di pod. Nella colonna Pod disponibili vengono visualizzati tutti i pod aggiunti alla raccolta. Quando si seleziona un pod, viene aggiunto alla colonna Pod selezionati. È possibile disporre i pod nella colonna Pod selezionati in ordine di failover.
    4. Per aggiungere un'altra federazione di pod, fare clic su Aggiungi federazione e immettere le informazioni relative alla federazione di pod.
  10. Fare clic su Avanti.
  11. Nella pagina Configurazione, immettere le informazioni seguenti.
    Opzione Descrizione
    Frequenza di sincronizzazione Selezionare la frequenza con cui si desidera sincronizzare le risorse nella raccolta.

    È possibile configurare una pianificazione di sincronizzazione automatica o scegliere di eseguire una sincronizzazione manuale. Per impostare una pianificazione, selezionare l'intervallo, ad esempio giornaliero o settimanale, e selezionare l'ora del giorno in cui eseguire la sincronizzazione. Se si seleziona Manuale, è necessario fare clic su Sincronizza nella pagina Raccolta app virtuali dopo aver configurato la raccolta e ogni volta che vengono apportate modifiche ai permessi o alle risorse di Horizon Cloud.

    Sincronizza app duplicate Impostare su No per impedire la sincronizzazione di applicazioni duplicate di più server.

    Quando VMware Identity Manager viene distribuito in più data center, le stesse risorse vengono configurate in tutti i data center. Se si imposta questa opzione su No, si impedisce la duplicazione dei pool di desktop o applicazioni nel catalogo di VMware Identity Manager.
    Criterio di attivazione Selezionare il modo in cui si desidera rendere le risorse di questa raccolta disponibili per gli utenti nel portale e nell'app di Workspace ONE. Se si intende configurare un flusso di approvazione, selezionare Attivato dall'utente. In caso contrario, selezionare Automatico.

    Con entrambe le opzioni Attivato dall'utente e Automatico, le risorse vengono aggiunte nella scheda Catalogo. Gli utenti possono utilizzare le risorse dalla scheda Catalogo o spostarle nella scheda Segnalibri. Tuttavia, per configurare un flusso di approvazione per le app, è necessario selezionare l'opzione Attivata dall'utente per quell'app.

    Il criterio di attivazione si applica a tutti i permessi utente per tutte le risorse nella raccolta. È possibile modificare il criterio di attivazione per singoli utenti o gruppi per risorsa, dalla pagina dell'utente o del gruppo nella scheda Utenti e gruppi.

    Client di avvio predefinito Selezionare il client predefinito per gli utenti finali che accedono ai desktop e alle app di Horizon dal portale o dall'app di Workspace ONE.

    Nessuno: a livello di amministratore non è impostata alcuna preferenza predefinita. Se questa opzione è impostata su Nessuno e l'utente finale non imposta alcuna preferenza, l'impostazione Protocollo di visualizzazione predefinito di Horizon viene utilizzata per determinare la modalità di avvio del desktop o dell'applicazione.

    Browser: i desktop e le applicazioni di Horizon vengono avviati in un browser Web per impostazione predefinita. Se impostate, le preferenze dell'utente finale hanno la precedenza su questa impostazione.

    Nativo: i desktop e le applicazioni di Horizon vengono avviati in Horizon Client per impostazione predefinita. Se impostate, le preferenze dell'utente finale hanno la precedenza su questa impostazione.

    Questa impostazione si applica a tutti gli utenti per tutte le risorse in questa raccolta.

    Alle impostazioni di avvio predefinite del client viene applicato l'ordine di precedenza seguente, dalla più alta alla più bassa:

    1. Impostazione della preferenza dell'utente finale nel portale Workspace ONE. Questa opzione non è disponibile nell'app Workspace ONE.
    2. Impostazione Client di avvio predefinito dell'amministratore per la raccolta, impostata nella console di VMware Identity Manager.
    3. Impostazione di Horizon Protocollo di visualizzazione remoto > Protocollo di visualizzazione predefinito per il pool di desktop o applicazioni in Horizon Administrator. Se ad esempio il protocollo di visualizzazione è impostato su PCoIP, l'applicazione o il desktop viene avviato in Horizon Client.
    Importante: Se si integra Horizon 7.13 o versioni successive con VMware Identity Manager, gli utenti finali visualizzano sempre l'opzione di avvio delle applicazioni e desktop in un browser. Tuttavia, se HTML Access non è installato negli Horizon Connection Server, l'avvio del browser non ha luogo. Per Horizon 7.13 e versioni successive, è necessario installare HTML Access negli Horizon Connection Server. Per ulteriori informazioni, vedere la documentazione di VMware Horizon HTML Access.
  12. Fare clic su Avanti.
  13. Nella pagina Riepilogo, rivedere le selezioni, quindi fare clic su Salva e configura intervallo di rete.
    Viene visualizzata la pagina Intervalli di rete.
  14. Nella pagina Intervalli di rete, modificare ogni intervallo di rete e specificare i nomi di dominio completi di accesso al client per i pod e le federazioni di pod di Horizon in modo che gli utenti finali che accedono alle applicazioni e ai desktop di Horizon si connettano al server corretto.
    1. Fare clic sull'intervallo di rete da modificare o su Crea intervallo di rete per creare un nuovo intervallo di rete, se necessario.
    2. Se si sta creando un nuovo intervallo di rete, specificare un nome, una descrizione facoltativa e l'intervallo di indirizzi IP.
    3. Scorrere fino alle sezioni Pod e Visualizza federazione CPA.
      La sezione Pod include tutti i pod di Horizon aggiunti alla raccolta in cui è abilitata l'opzione Sincronizza permessi locali. La sezione Visualizza federazione CPA include tutte le federazioni di pod aggiunte.
      Assegnazione di pod agli intervalli di rete

    4. Modificare la sezione Pod per ogni pod e immettere i valori appropriati per questo intervallo di rete.
      Opzione Descrizione
      Nome di dominio completo di accesso al client Specificare il nome di dominio completo del server a cui indirizzare i client che accedono ai permessi locali in questo pod, quando le richieste provengono da questo intervallo di rete. Può trattarsi di un server di connessione di Horizon, un server di sicurezza, un bilanciamento del carico o un nome di dominio completo del proxy inverso.

      Ad esempio: internallb.example.com

      Il nome di dominio completo di accesso al client viene utilizzato per avviare risorse con permessi locali dal pod.

      Porta Porta del server.
      Esegui wrapping dell'artefatto in JWT Vedere Avvio delle risorse di Horizon tramite gateway di convalida.
      Destinatari in JWT Vedere Avvio delle risorse di Horizon tramite gateway di convalida.
    5. Modificare la sezione Visualizza federazione CPA per ogni federazione di pod e immettere i valori appropriati per questo intervallo di rete.
      Opzione Descrizione
      Nome di dominio completo di accesso al client Specificare il nome di dominio completo del server a cui indirizzare i client che accedono ai permessi globali in questa federazione di pod quando le richieste provengono da questo intervallo di rete. Si tratta in genere del bilanciamento del carico globale della distribuzione della federazione di pod.

      Ad esempio: globallb.example.com

      Il nome di dominio completo di accesso al client per una federazione di pod viene utilizzato per avviare risorse con permessi globali.

      Porta Porta del server.
      Esegui wrapping dell'artefatto in JWT Quando il servizio VMware Identity Manager è integrato con un gateway di convalida, ad esempio F5, questa opzione deve essere abilitata per eseguire l'autenticazione delle risorse di Horizon assegnate agli utenti. Vedere Avvio delle risorse di Horizon tramite gateway di convalida.
      Destinatari in JWT Vedere Avvio delle risorse di Horizon tramite gateway di convalida.
    6. Fare clic su Salva.
    7. Ripetere questi passaggi per modificare gli altri intervalli di rete.
    8. Fare clic su Fine nella pagina Intervalli di rete.

Operazioni successive

La raccolta di Horizon viene creata e viene visualizzata nella pagina Catalogo > Raccolta app virtuali. Le risorse nella raccolta non sono ancora state sincronizzate. È possibile attendere la sincronizzazione pianificata successiva o sincronizzare manualmente la raccolta dalla pagina Catalogo > Raccolta app virtuali.