リモート デスクトップおよびアプリケーションを VMware Identity Manager から起動するか、サードパーティ製ロード バランサまたはゲートウェイを通じてリモート デスクトップおよびアプリケーションを接続するには、Horizon Administrator で SAML 認証子を作成する必要があります。SAML 認証子には、Horizon 7 とクライアントが接続するデバイス間での信頼とメタデータの交換が含まれます。

SAML 認証子を接続サーバ インスタンスと関連付けます。導入環境に複数の接続サーバ インスタンスが含まれる場合は、各インスタンスに SAML 認証子を関連付ける必要があります。

1 つの静的認証子と複数の動的認証子を一度にライブにすることができます。vIDM(動的)および Unified Access Gateway(静的)の認証子を構成して、これらをアクティブ状態に保持できます。これらの認証子のいずれかを通じて接続を行うことができます。

接続サーバに複数の SAML 認証子を構成して、すべての認証子を同時にアクティブにできます。ただし、接続サーバで構成される各 SAML 認証子のエンティティ ID は異なっている必要があります。

SAML 認証子は本質的に静的な事前定義済みメタデータであるため、ダッシュボードでのステータスは常に緑色です。ステータスが赤色と緑色の間で切り替わるのは、動的認証子のみです。

VMware Unified Access Gateway アプライアンスの SAML 認証子の構成については、『Unified Access Gateway の導入および設定』を参照してください。

前提条件

  • Workspace ONEVMware Identity Manager またはサードパーティ製のゲートウェイまたはロード バランサがインストールされて構成されていることを確認します。該当製品のインストール ガイドを参照してください。

  • 接続サーバ ホストに、SAML サーバ証明書用の CA が署名したルート証明書がインストールされていることを確認します。VMware では、自己署名の証明書を使用するように SAML 認証子を構成することは推奨されません。証明書認証の詳細については、『Horizon 7 のインストール』ドキュメントを参照してください。
  • Workspace ONE サーバ、VMware Identity Manager サーバ、または外部に接しているロード バランサの FQDN または IP アドレスを書き留めます。
  • (オプション) Workspace ONE または VMware Identity Manager を使用している場合、コネクタ Web インターフェイスの URL を書き留めます。
  • SAML メタデータを生成して静的認証子を作成する必要のある Unified Access Gateway またはサードパーティ製アプライアンスの認証子を作成する場合、デバイスで SAML メタデータを生成する手順を実行し、そのメタデータをコピーします。

手順

  1. Horizon Administrator で、[構成 > サーバ] の順に選択します。
  2. [接続サーバ] タブで、SAML 認証子を関連付けるサーバ インスタンスを選択して [編集] をクリックします。
  3. [認証] タブで、[VMware Horizon (SAML 2.0 認証子) への認証の委任] ドロップダウン メニューの設定を選択して、SAML 認証子を有効または無効にします。
    オプション 説明
    無効 SAML 認証が無効です。リモート デスクトップとアプリケーションは、Horizon Client からのみ起動できます。
    許可 SAML 認証が有効です。リモート デスクトップとアプリケーションは、Horizon ClientVMware Identity Manager の両方またはサードパーティ製デバイスから起動できます。
    Required SAML 認証が有効です。リモート デスクトップとアプリケーションは、VMware Identity Manager またはサードパーティ製デバイスからのみ起動できます。デスクトップまたはアプリケーションを、Horizon Client から手動で起動できません。
    要件に応じて、展開内の各接続サーバ インスタンスを異なる SAML 認証設定で構成できます。
  4. [SAML 認証子の管理] をクリックし、[追加] をクリックします。
  5. [SAML 2.0 認証子を追加] ダイアログ ボックスで SAML 認証子を構成します。
    オプション 説明
    Type Unified Access Gateway またはサードパーティ製デバイスの場合、[静的] を選択します。VMware Identity Manager の場合、[動的] を選択します。動的認証子の場合、メタデータ URL および管理 URL を指定できます。静的認証子の場合、Unified Access Gateway またはサードパーティ製デバイスでメタデータを生成し、メタデータをコピーして [SAML メタデータ] テキスト ボックスに貼り付けます。
    ラベル SAML 認証子を識別する一意の名前。
    説明 SAML 認証子の簡単な説明。この値はオプションです。
    メタデータ URL (動的認証子の場合)SAML ID プロバイダと接続サーバ インスタンス間で SAML 情報を交換するために必要な情報すべてを取得するための URL。URL https://<Horizon Server 名>/SAAS/API/1.0/GET/metadata/idp.xml で、[<Horizon Server 名>] をクリックして VMware Identity Manager サーバまたは外部接続ロード バランサ(サードパーティ製デバイス)の FQDN または IP アドレスに置換します。
    管理 URL (動的認証子の場合)SAML ID プロバイダの管理コンソールにアクセスするための URL。VMware Identity Manager の場合、この URL は VMware Identity Manager コネクタ Web インターフェイスを参照している必要があります。この値はオプションです。
    SAML メタデータ (静的認証子の場合)Unified Access Gateway またはサードパーティ製デバイスから生成およびコピーしたメタデータ テキスト。
    接続サーバに有効 認証子を有効にするには、このチェック ボックスをオンにします。複数の認証子を有効にできます。有効になっている認証子のみがリストに表示されます。
  6. [OK] をクリックして SAML 認証子の構成を保存します。
    有効な情報を指定した場合、自己署名の証明書を受け入れるか(推奨されません)、 Horizon 7 および VMware Identity Manager またはサードパーティ製デバイスの信頼できる証明書を使用する必要があります。

    [SAML 認証子の管理] ダイアログ ボックスには、新しく作成された認証子が表示されます。

  7. Horizon Administrator ダッシュボードの [システムの健全性] セクションで、[その他のコンポーネント] > [SAML 2.0 認証子] を選択し、追加した SAML 認証子を選択して詳細を確認します。
    構成に成功した場合、認証子の健全性は緑色です。証明書が信頼されていない場合、 VMware Identity Manager を利用できない場合、またはメタデータ URL が無効な場合、認証子の健全性が赤色で表示されることがあります。証明書が信頼されていない場合は、 [検証] をクリックして証明書を検証してから受け入れることができます。

次のタスク

接続サーバのメタデータの有効期間を延長して、リモート セッションが 24 時間経過後に終了されないようにします。Connection Server でのサービス プロバイダ メタデータの有効期間の変更を参照してください。