VMware Identity Manager 統合用の SAML 認証の使用

Horizon 7 と VMware Identity Manager（旧称 Workspace ONE）の統合では、SAML 2.0 標準を使用して、シングルサインオン (SSO) 機能に不可欠な相互信頼を確立します。SSO が有効になっている場合、Active Directory 認証情報を使用して VMware Identity Manager または Workspace ONE にログインしたユーザーは、第 2 のログイン手順を経ずにリモートデスクトップやアプリケーションを起動できます。

VMware Identity Manager と Horizon 7 が統合されている場合、ユーザーが VMware Identity Manager にログインしてデスクトップまたはアプリケーションアイコンをクリックするたびに、VMware Identity Manager は一意の SAML アーティファクトを生成します。VMware Identity Manager はこの SAML アーティファクトを使用して、Universal Resource Identifier (URI) を作成します。URI には、デスクトッププールまたはアプリケーションプールが置かれている接続サーバインスタンス、起動するデスクトップまたはアプリケーション、および SAML アーティファクトについての情報が含まれます。

VMware Identity Manager は SAML アーティファクトを Horizon Client に送信し、その後、接続サーバインスタンスにアーティファクトを送信します。接続サーバインスタンスは SAML アーティファクトを使用して、VMware Identity Manager から SAML アサーションを取得します。

接続サーバインスタンスは SAML アサーションを受け取った後、アサーションを検証し、ユーザーのパスワードを復号化し、復号化されたパスワードを使用してデスクトップまたはアプリケーションを起動します。

VMware Identity Manager と Horizon 7 の統合の設定には、Horizon 7 の情報での VMware Identity Manager の構成、および VMware Identity Manager への認証責任を委任するための Horizon 7 の構成が含まれます。

VMware Identity Manager への認証責任を委任するには、Horizon 7 で SAML 認証を作成する必要があります。SAML 認証子には、Horizon 7 と VMware Identity Manager 間での信頼とメタデータの交換が含まれます。SAML 認証子を接続サーバインスタンスと関連付けます。

注： VMware Identity Manager からデスクトップとアプリケーションへのアクセスを提供しようとしている場合、Horizon Administrator のルートアクセスグループで Administrators ロールを持つユーザーとしてデスクトッププールとアプリケーションプールを作成していることを確認します。ルートアクセスグループ以外で Administrators ロールをユーザーに付与すると、 VMware Identity Manager は、 Horizon 7 で構成する SAML 認証システムを認識せず、 VMware Identity Manager でプールを構成できません。