Come parte dell'integrazione di Workspace ONE Access e Horizon, è necessario specificare i nomi di dominio completi di accesso al client per gli intervalli di rete in modo che gli utenti si connettano al server Horizon corretto in base al loro intervallo di rete. È inoltre possibile filtrare gli utenti specificando gruppi di utenti per ogni intervallo di rete.

Quando si crea una raccolta di app virtuali di Horizon, la procedura guidata consente di accedere alla scheda Intervalli di rete per configurare i nomi di dominio completi di accesso al client per i pod e le federazioni di pod nella raccolta. Dopo aver creato la raccolta, è possibile modificare i nomi di dominio completi di accesso al client in qualsiasi momento dalla scheda Intervalli di rete.

Per tutti gli intervalli di rete nel tenant è necessario definire nomi di dominio completi di accesso al client per i pod e le federazioni di pod di Horizon. Se per un intervallo di rete non è definito il nome di dominio completo di accesso al client, gli utenti che accedono alle risorse di Horizon tramite tale intervallo di rete non possono avviare le applicazioni e i desktop loro assegnati. Ogni volta che si creano nuovi intervalli di rete, assicurarsi di modificare anche le raccolte di app virtuali per aggiungere al nuovo intervallo di rete i nomi di dominio completi di accesso al client per i pod e le federazioni di pod di Horizon.

È possibile configurare i nomi di dominio completi di accesso al client in Workspace ONE Access nei modi seguenti:

  • Utilizzare solo intervalli di rete per indirizzare gli utenti ai nomi di dominio completi di accesso al client appropriati.

    Creare più intervalli di rete e specificare nomi di dominio completi di accesso al client per ogni intervallo di rete. Non selezionare alcun gruppo di utenti per gli intervalli di rete. Tutti gli utenti verranno indirizzati ai nomi di dominio completi di accesso al client in base all'intervallo di rete da cui accedono alle app e ai desktop di Horizon loro assegnati.

    Ad esempio, è possibile creare intervalli di rete separati per l'accesso interno ed esterno e specificare i nomi di dominio completi di accesso al client appropriati per ogni intervallo.

  • Utilizzare sia gli intervalli di rete sia i gruppi per indirizzare gli utenti ai nomi di dominio completi di accesso al client appropriati.

    Creare più intervalli di rete e specificare i nomi di dominio completi di accesso al client per ogni intervallo. Selezionare anche i gruppi di utenti per gli intervalli di rete. Affinché gli utenti possano avviare le app e i desktop di Horizon da un nome di dominio completo di accesso al client, l'indirizzo IP del loro client deve corrispondere all'intervallo di rete e devono appartenere ad almeno uno dei gruppi selezionati per l'intervallo di rete. Se per un intervallo di rete non è selezionato alcun gruppo, tutti gli utenti il cui indirizzo IP del client corrisponde all'intervallo di rete possono avviare app e desktop dal nome di dominio completo di accesso al client di tale intervallo di rete.

    Ad esempio, è possibile creare intervalli di rete separati per l'accesso interno ed esterno e filtrare gli utenti per ogni intervallo in base al fatto che appartengano a un gruppo di dipendenti permanenti oppure a un gruppo di dipendenti temporanei.

    Nota: Se non si desidera creare più intervalli di rete, è possibile configurare i gruppi di utenti nell'intervallo di rete predefinito TUTTI GLI INTERVALLI per ogni raccolta di app virtuali. Solo gli utenti che appartengono a uno dei gruppi selezionati potranno avviare app e desktop di Horizon dal nome di dominio completo di accesso al client TUTTI GLI INTERVALLI.

    Ad esempio, è possibile creare diverse raccolte di app virtuali per i pod in regioni diverse, creare gruppi di utenti in base alla regione e selezionare i gruppi di utenti appropriati per l'intervallo di rete TUTTI GLI INTERVALLI per ogni raccolta.

Se si configurano intervalli di rete sovrapposti, Workspace ONE Access applica le regole seguenti per trovare la corrispondenza migliore per l'utente:

  • Se l'indirizzo IP del client dell'utente corrisponde a più intervalli e non è specificato alcun gruppo per nessuno degli intervalli di rete, per determinare il nome di dominio completo di accesso al client per l'utente viene utilizzato l'intervallo di rete creato più di recente.
  • Se l'indirizzo IP del client dell'utente corrisponde a più intervalli di rete e i gruppi dell'utente corrispondono a uno solo di questi intervalli di rete, per determinare il nome di dominio completo di accesso al client per l'utente viene utilizzato l'intervallo di rete che corrisponde all'indirizzo IP e ai gruppi del client.
  • Se l'indirizzo IP del client corrisponde a più intervalli di rete e l'utente appartiene a uno o più gruppi in tutti gli intervalli di rete, per determinare il nome di dominio completo di accesso al client per l'utente viene utilizzato l'intervallo di rete con il maggior numero di corrispondenze con i gruppi di utenti.
  • Se l'indirizzo IP del client corrisponde a più intervalli di rete e il numero di gruppi di utenti corrispondenti è identico negli intervalli di rete, per determinare il nome di dominio completo di accesso al client per l'utente viene utilizzato l'intervallo di rete creato più di recente.

Prerequisiti

Per creare e modificare gli intervalli di rete, è necessario un ruolo Amministratore con privilegi avanzati o un ruolo personalizzato che possa eseguire l'azione Gestisci impostazioni nel servizio Gestione identità e accessi.

Procedura

  1. Nella console di Workspace ONE Access selezionare la scheda Catalogo > Raccolte app virtuali.
  2. Fare clic sulla raccolta di app virtuali di Horizon, quindi selezionare la scheda Intervalli di rete.
  3. Fare clic sull'intervallo di rete da modificare o creare un nuovo intervallo di rete, se necessario.
  4. Se si sta creando un nuovo intervallo di rete, specificare un nome, una descrizione facoltativa e l'intervallo di IP.
  5. (Facoltativo) Nella sezione Appartenenza a gruppi, selezionare i gruppi di utenti che si desidera associare a questo intervallo di rete.
    Se si selezionano i gruppi, per avviare le applicazioni e i desktop di Horizon dal nome di dominio completo di accesso al client associato a questo intervallo di rete, gli utenti devono appartenere ad almeno uno dei gruppi e l'indirizzo IP del loro client deve corrispondere all'intervallo di rete.

    Se non si seleziona alcun gruppo, tutti gli utenti il cui indirizzo IP del client corrisponde all'intervallo di rete possono avviare desktop e applicazioni di Horizon dal nome di dominio completo di accesso al client associato a questo intervallo di rete.

    Ad esempio:

    Questa immagine illustra il popup Assegna pod a intervalli di rete. Viene specificato un intervallo di indirizzi IP per l'intervallo di rete. Per l'intervallo di rete vengono selezionati anche due gruppi, gruppo A e Gruppo B.
  6. Scorrere fino alla sezione Pod e federazione.
    Nella sezione Pod sono elencati tutti i pod di Horizon nella raccolta in cui è abilitata l'opzione Sincronizza assegnazioni locali. La sezione Federazione CPA elenca le federazioni di pod nella raccolta, se presenti.

    Modifica dell'intervallo di rete per le impostazioni di visualizzazione

  7. Modificare la sezione Pod per ogni pod e immettere i valori appropriati per questo intervallo di rete.
    Opzione Descrizione
    Nome di dominio completo di accesso al client Il nome di dominio completo del server a cui indirizzare i client che accedono ai permessi locali in questo pod, quando le richieste provengono da questo intervallo di rete. Questo valore può essere un server di connessione di Horizon, un server di sicurezza, un bilanciamento del carico o un nome di dominio completo del proxy inverso.

    Ad esempio: internallb.example.com

    Il nome di dominio completo di accesso al client per un pod viene utilizzato per avviare risorse autorizzate localmente dal pod.

    Porta Porta del server.
    Esegui wrapping dell'artefatto in JWT Vedere Avvio delle risorse di Horizon tramite gateway di convalida.
    Destinatari in JWT Vedere Avvio delle risorse di Horizon tramite gateway di convalida.
  8. Modificare la sezione Federazione CPA per ogni federazione di pod e immettere i valori appropriati per questo intervallo di rete.
    Opzione Descrizione
    Nome di dominio completo di accesso al client Il nome di dominio completo del server a cui indirizzare i client che accedono ai permessi globali in questa federazione di pod, quando le richieste provengono da questo intervallo di rete. Questo valore corrisponde in genere al bilanciamento del carico globale della distribuzione della federazione di pod.

    Ad esempio: globallb.example.com

    Il nome di dominio completo di accesso al client per una federazione di pod viene utilizzato per avviare risorse autorizzate globalmente.

    Porta Porta del server.
    Esegui wrapping dell'artefatto in JWT Quando il servizio Workspace ONE Access è integrato con un gateway di convalida, ad esempio F5, questa opzione deve essere abilitata per eseguire l'autenticazione delle risorse di Horizon assegnate agli utenti. Vedere Avvio delle risorse di Horizon tramite gateway di convalida.
    Destinatari in JWT Vedere Avvio delle risorse di Horizon tramite gateway di convalida.
  9. Fare clic su Salva.
  10. Ripetere questi passaggi per modificare gli altri intervalli di rete, se necessario.
    Importante: Verificare che per ogni intervallo di rete dell'ambiente sia impostato un nome di dominio completo di accesso al client. Se in un intervallo di rete manca il nome di dominio completo di accesso al client, gli utenti che accedono alle risorse tramite tale intervallo di rete non possono avviare i desktop e le applicazioni di Horizon.