「SAML」、「SAML およびパススルー」、および「SAML および非認証」は、Horizon デスクトップとアプリケーションへのアクセスを制御するために UAG (Unified Access Gateway) をサードパーティ製 ID プロバイダに統合するためにサポートされている認証方法です。認証方法は、Horizon ユーザーがどのように認証されるかを決定します。
UAG で Horizon を設定するときに、いずれかの認証方法を選択する必要があります。
SAML
「SAML」認証方法では、UAG は最初に SAML アサーションを検証します。SAML アサーションが有効な場合、UAG は SAML アサーションを Horizon Connection Server に渡します。Horizon Connection Server がアサーションを受け入れるには、Connection Server が ID プロバイダのメタデータで構成されている必要があります。ユーザーが Horizon Client にアクセスすると、Active Directory 認証情報の入力を求められることなく、資格がユーザーに提示されます。
SAML およびパススルー
「SAML およびパススルー」認証方法では、UAG が SAML アサーションを検証します。SAML アサーションが有効な場合、ユーザーは Horizon Client へのアクセス時に Active Directory 認証情報の入力を求められます。この認証方法では、UAG は SAML アサーションを Horizon Connection Server に渡しません。
SAML および非認証
「SAML および非認証」方法では、Unified Access Gateway は SAML ユーザー認証と Horizon の非認証アクセス機能を組み合わせます。SAML アサーションが有効な場合、ユーザーはそれ以上の認証を受ける必要がなく RDS ホスト型アプリケーションにアクセスできます。Horizon の非認証アクセス機能では、ロールベースのユーザー エイリアスが Horizon で使用され、アプリケーションの使用資格が決定されます。ユーザー エイリアスは、Horizon によってデフォルト エイリアスとして使用できます。このエイリアスは、Unified Access Gateway の構成([デフォルトの非認証ユーザー名])でデフォルトとして指定することも、ID プロバイダが送信する SAML アサーションで要求として提示される SAML 属性の値にすることもできます。
Unified Access Gateway 管理ユーザー インターフェイスには、ユーザー エイリアスの指定に使用できる 2 つのテキスト ボックス([SAML 非認証ユーザー名属性] および [デフォルトの非認証ユーザー名])があります。これらのテキスト ボックスは、認証方法が「SAML および非認証」の場合、管理ユーザー インターフェイスで使用できます。
管理ユーザー インターフェイスで [SAML 非認証ユーザー名属性] テキスト ボックスが設定されている場合、Unified Access Gateway が SAML アサーションを検証し、名前が SAML アサーションに存在する場合、Unified Access Gateway はその値を Horizon の非認証アクセス ユーザー エイリアスとして使用します。
[SAML 非認証ユーザー名属性] テキスト ボックスが空の場合、またはこのテキスト ボックスで指定された属性名が SAML アサーションで見つからない場合、Unified Access Gateway は [デフォルトの非認証ユーザー名] テキスト ボックスで構成されているデフォルトのユーザー名を Horizon の非認証アクセス ユーザー エイリアスとして使用します。
[SAML 非認証ユーザー名属性] が使用されておらず、[デフォルトの非認証ユーザー名] テキスト ボックスが空の場合、Unified Access Gateway は Horizon で構成されているデフォルトのユーザー エイリアスを使用します。
非認証アクセス ユーザーの設定の詳細については、VMware Docs の『Horizon の管理』ガイドにある「公開アプリケーションでの非認証アクセスの提供」および関連情報を参照してください。
非認証アクセス ユーザーへの資格(公開アプリケーション)の付与の詳細については、VMware Docs の『Horizon の管理』ガイドにある「公開アプリケーションに対する非認証アクセス ユーザーへの資格付与」および関連情報を参照してください。