Configurare pod Horizon e federazioni di pod nella console di VMware Identity Manager per sincronizzare risorse e permessi con il servizio VMware Identity Manager.

Per configurare i pod e le federazioni di pod, creare una o più raccolte di app virtuali nella pagina Catalogo > App virtuali e immettere le informazioni di configurazione come le istanze di Horizon Connection Server da cui sincronizzare risorse e permessi, i dettagli della federazione di pod, l'istanza di VMware Identity Manager Connector da utilizzare per la sincronizzazione e le impostazioni dell'amministratore come il client di avvio predefinito.

È possibile aggiungere tutti i pod Horizon e le federazioni di pod in una raccolta oppure creare più raccolte, in base alle proprie esigenze. Ad esempio, si può scegliere di creare raccolte separate per ogni federazione di pod o per ciascun pod per facilitare la gestione e distribuire il carico di sincronizzazione tra più connettori. Altrimenti è possibile scegliere di includere tutti i pod e le federazioni di pod in una raccolta a scopo di test e avere un'altra raccolta identica per il proprio ambiente di produzione.

Dopo aver aggiunto i pod, configurare gli URL di accesso client per intervalli di rete specifici.
Importante: Se si modificano le impostazioni o la configurazione di SAML nel server di Horizon, assicurarsi di modificare la pagina delle app virtuali di Horizon nella console di VMware Identity Manager e di fare clic su Salva per aggiornare le impostazioni di Horizon più recenti nel servizio VMware Identity Manager.

Prerequisiti

Procedura

  1. Accedere alla console di VMware Identity Manager.
  2. Selezionare la scheda Catalogo > App virtuali, quindi fare clic su Configurazione app virtuali.
  3. Fare clic su Aggiungi app virtuali e scegliere Horizon View in locale.
  4. Immettere un nome univoco per la raccolta.
  5. Dal menu a discesa Connettori di sincronizzazione, selezionare il connettore che si desidera utilizzare per sincronizzare le risorse in questa raccolta.

    Se sono stati configurati più connettori per l'alta disponibilità, fare clic su Aggiungi connettore e selezionare gli altri connettori. L'ordine in cui sono elencati i connettori determina l'ordine di failover.

  6. Nella sezione Pod Horizon, fornire le informazioni di configurazione per i pod Horizon che si stanno aggiungendo a questa raccolta.
    Server di connessione Immettere il nome host completo dell'istanza di Server di connessione di Horizon, come ad esempio viewconnectionserver.esempio.com. Il nome di dominio deve corrisponde esattamente al nome del dominio a cui è stata aggiunta l'istanza di Server di connessione di Horizon.
    Nome utente Immettere il nome utente dell'amministratore per il pod. L'utente deve disporre del ruolo di amministratore in Horizon.
    Password Immettere la password dell'amministratore per il pod.
    Autenticazione con smart card Se gli utenti utilizzano l'autenticazione con smart card per accedere al pod al posto delle password, selezionare la casella di controllo.
    Funzionalità True SSO attivata

    Selezionare questa opzione se la funzionalità True SSO è attivata in Horizon. Questa opzione si applica solo alle versioni di Horizon che supportano la funzionalità True SSO.

    Quando la funzione True SSO è attivata in Horizon, gli utenti non devono utilizzare una password per accedere al proprio desktop di Windows. Tuttavia, se gli utenti sono collegati a VMware Identity Manager mediante un metodo di autenticazione senza password come SecurID, quando avviano i loro desktop di Windows gli verrà richiesta una password. È possibile selezionare questa opzione per impedire che venga visualizzata una finestra di dialogo per la password in questo scenario.

    Sincronizza permessi locali Se per il pod sono configurati i permessi locali, selezionare questa opzione.
    Ad esempio:
    aggiungere pod

  7. Per aggiungere più pod alla raccolta, fare clic su Aggiungi Pod e immettere le informazioni di configurazione per ogni pod.
  8. Per aggiungere una federazione di pod, eseguire i passaggi seguenti.
    1. Selezionare la casella di controllo Attiva nella sezione Configurazione architettura pod di Horizon Cloud.
    2. Immettere le informazioni di configurazione della federazione di pod.
      Opzione Descrizione
      Nome federazione Nome della federazione di pod.
      Aggiungi pod Horizon Selezionare tutti i pod che appartengono alla federazione di pod. L'elenco visualizza tutti i pod aggiunti alla raccolta.

      Selezionare ciascun pod e fare clic su Aggiungi all'elenco.

      Pod selezionati È possibile riordinare o rimuovere i pod.
      URL di avvio URL di avvio globale da utilizzare per avviare le applicazioni o i desktop con permessi globali. Ad esempio federationA.example.com.

      In genere, l'URL di avvio corrisponde all'URL del bilanciamento del carico globale della federazione di pod. L'URL di avvio per intervalli di rete specifici può essere personalizzato in una fase successiva del processo di configurazione.

    3. Per aggiungere un'altra federazione di pod, fare clic su Aggiungi federazione e immettere le informazioni di configurazione.
    Nota: Se la raccolta include solo singoli pod Horizon che non appartengono a una federazione di pod, non abilitare questa opzione.
    Ad esempio:
    aggiungere una federazione di pod

  9. Selezionare la casella di controllo Non sincronizzare applicazioni duplicate per impedire che le applicazioni duplicate vengano sincronizzate da più server.
    Quando VMware Identity Manager è distribuito in più data center, nei data center multipli vengono configurate le stesse risorse. Selezionando questa opzione si previene la duplicazione dei pool di desktop o applicazioni nel catalogo di VMware Identity Manager.
  10. Selezionare la casella di controllo Configurazione della versione 5.x del server di connessione di Horizon se si stanno configurando istanze della versione 5 del server di connessione di View.x.

    Se si seleziona questa opzione, viene abilitata la modalità alternativa per la sincronizzazione delle risorse richiesta da View 5.x.

    Nota: Se si seleziona l'opzione Esegui sincronizzazione delle directory, viene selezionata automaticamente anche l'opzione Configurazione della versione 5.x del server di connessione di Horizon poiché entrambe le opzioni dipendono dalla modalità alternativa di sincronizzazione delle risorse.
  11. Selezionare la casella di controllo Esegui sincronizzazione directory se si desidera che la sincronizzazione della directory venga eseguita come parte della sincronizzazione delle risorse quando gli utenti e i gruppi autorizzati per i pool di Horizon nelle istanze di Horizon Connection Server mancano nella directory di VMware Identity Manager.

    L'opzione Esegui sincronizzazione directory non si applica alle federazioni di pod. Se nella directory di VMware Identity Manager mancano utenti e gruppi con permessi globali, la sincronizzazione della directory non viene attivata.

    Gli utenti e i gruppi sincronizzati mediante questo processo possono essere gestiti come qualsiasi altro utente aggiunto in seguito alla sincronizzazione della directory di VMware Identity Manager.

    Importante: Quando si utilizza l'opzione Esegui sincronizzazione delle directory, la sincronizzazione richiede più tempo.
    Nota: Quando viene selezionata questa opzione, viene selezionata automaticamente anche l'opzione Configurazione della versione 5.x del server di connessione di Horizon poiché entrambe le opzioni dipendono dalla modalità alternativa di sincronizzazione delle risorse.
  12. Nell'elenco a discesa Client di avvio predefinito, selezionare il client predefinito in cui avviare le applicazioni o i desktop di Horizon.
    Opzione Descrizione
    NESSUNO A livello di amministratore non è impostata alcuna preferenza predefinita. Se questa opzione è impostata su Nessuno e non è impostata alcuna preferenza dell'utente finale, l'impostazione Protocollo di visualizzazione predefinito di Horizon viene utilizzata per determinare la modalità di avvio del desktop o dell'applicazione.
    BROWSER I desktop e le applicazioni di Horizon vengono avviati in un browser Web per impostazione predefinita. Se impostate, le preferenze dell'utente finale hanno la precedenza su questa impostazione.
    NATIVO I desktop e le applicazioni di Horizon vengono avviati in Horizon Client per impostazione predefinita. Se impostate, le preferenze dell'utente finale hanno la precedenza su questa impostazione.

    Questa impostazione si applica a tutti gli utenti per tutte le risorse in questa raccolta.

    Alle impostazioni di avvio predefinite del client viene applicato l'ordine di precedenza seguente, dalla più alta alla più bassa:

    1. Impostazione della preferenza dell'utente finale nel portale Workspace ONE. Questa opzione non è disponibile nell'app Workspace ONE.
    2. Impostazione Client di avvio predefinito dell'amministratore per la raccolta, impostata nella console di VMware Identity Manager.
    3. Impostazione di Horizon Protocollo di visualizzazione remoto > Protocollo di visualizzazione predefinito per il pool di desktop o applicazioni in Horizon Administrator. Se ad esempio il protocollo di visualizzazione è impostato su PCoIP, l'applicazione o il desktop viene avviato in Horizon Client.
  13. Dal menu a discesa Frequenza di sincronizzazione, selezionare con quale frequenza sincronizzare le risorse in questa raccolta.
    È possibile impostare una pianificazione di sincronizzazione regolare o scegliere di sincronizzare manualmente. Se si seleziona Manuale, è necessario fare clic su Sincronizza nella pagina Configurazione app virtuali dopo aver impostato la raccolta e ogni volta che si verifica un cambiamento nei permessi o nelle risorse di View.
  14. Nell'elenco a discesa Criterio di attivazione selezionare il modo in cui le risorse di Horizon vengono rese disponibili agli utenti in Workspace ONE.
    Con entrambe le opzioni Attivata dall'utente e Automatico, le risorse vengono aggiunte alla pagina Catalogo. Gli utenti possono utilizzare le risorse dalla pagina Catalogo o spostarle nella pagina Segnalibri. Tuttavia, per configurare un flusso di approvazione per le app, è necessario selezionare l'opzione Attivata dall'utente per quell'app.

    Il criterio di attivazione selezionato in questa pagina si applica a tutti i permessi utente per tutte le risorse nella raccolta. È possibile modificare il criterio di attivazione per utenti singoli o gruppi per risorsa dalla pagina Permessi dell'applicazione o del desktop.

    Se si desidera impostare un flusso di approvazione, è consigliabile impostare il criterio di attivazione per la raccolta su Attivata dall'utente.

  15. Fare clic su Salva.
    La raccolta viene creata e visualizzata nella pagina Configurazione app virtuali. Le risorse nella raccolta non vengono ancora sincronizzate.
  16. Per sincronizzare le risorse della raccolta in VMware Identity Manager, fare clic su Sincronizza nella pagina Configurazione app virtuali.
    Ogni volta che vengono modificate le impostazioni in Horizon, ad esempio quando si aggiunge un permesso o un utente, è necessaria una sincronizzazione per propagare le modifiche in VMware Identity Manager.
  17. Configurare gli URL di accesso al client per i pod e le federazioni di pod.
    Gli URL vengono personalizzati per intervalli di rete specifici. Ad esempio, generalmente si impostano URL di avvio differenti per gli accessi interni ed esterni.
    1. Rivedere gli intervalli di rete e creare nuovi, se necessario.
      • Fare clic sulla scheda Gestione identità e accessi > Criteri.
      • Fare clic su Intervalli di rete.
      • Rivedere gli intervalli di rete e fare clic su Aggiungi intervallo di rete per aggiungere nuovi intervalli, se necessario.
    2. Fare clic sulla scheda Catalogo > App virtuali, quindi fare clic su Impostazioni app virtuali.
    3. Fare clic su Impostazioni di rete.
    4. Selezionare l'intervallo di rete da configurare.
      La sezione Visualizza federazione CPA mostra l'URL di avvio globale delle federazioni di pod aggiunte alla raccolta. La sezione Pod di View elenca tutti i pod di View aggiunti alla raccolta in cui è selezionata l'opzione Sincronizza permessi locali.

      intervalli di rete

    5. Nella sezione Visualizza federazione CPA, per l'URL di avvio globale, specificare il nome di dominio completo del server a cui indirizzare le richieste di avvio per permessi globali provenienti da questo intervallo di rete. Questo in genere corrisponde all'URL del bilanciamento del carico globale della distribuzione della federazione di pod di View.

      Ad esempio: lb.esempio.com

      L'URL di avvio globale è utilizzato per avviare le risorse con permessi globali.

    6. Nella sezione Pod di View, per ogni pod, specificare il nome di dominio completo del server a cui indirizzare le richieste di avvio per permessi locali provenienti da questo intervallo di rete. È possibile specificare un'istanza del server di connessione di Horizon, un bilanciamento del carico o un server di sicurezza. Ad esempio, se si sta modificando un intervallo che fornisce accesso interno, si può specificare il bilanciamento del carico interno per il pod.

      Ad esempio: lb.esempio.com

      L'URL di accesso client è utilizzato per avviare risorse con permessi locali dal pod.

      Nota: Per informazioni sulle opzioni di Esegui wrapping dell'artefatto in JWT e Destinatari in JWT, vedere Avvio delle risorse di Horizon tramite gateway di convalida.
    7. Fare clic su Fine.
    Vedere anche Attivazione di URL di accesso client multipli per gli intervalli di rete personalizzati.