Universal Broker を使用した第 1 世代の Horizon Cloud - ユーザー接続のための Intelligent Hub リダイレクトの構成

Intelligent Hub リダイレクトを有効にすると、Universal Broker FQDN またはポッドレベルの FQDN に直接接続しようとするユーザーは、Workspace ONE Intelligent Hub カタログに自動的に転送され、割り当てられたデスクトップおよびアプリケーションを使用できます。ユーザーが内部ネットワークと外部ネットワークのどちらから接続しているかに基づいて、異なるリダイレクトポリシーを指定できます。

Horizon Cloud テナントを Workspace ONE Access および Intelligent Hub サービスと統合すると、デスクトップとアプリケーションの割り当てが Hub カタログに表示され、資格のあるユーザーが簡単かつ安全にアクセスできるようになります。ただし、特定のユーザーが Hub カタログ以外のポータルを介してこれらの割り当てにアクセスすることを制限する場合は、Intelligent Hub リダイレクトを構成する必要があります。

Intelligent Hub リダイレクトを有効にしない場合、ユーザーは Universal Broker FQDN に接続するか、Microsoft Azure の Horizon Cloud ポッドの Unified Access Gateway (UAG) の FQDN に直接接続して、割り当てにアクセスできます。Hub カタログを介した割り当てへのアクセスのみを適用する場合は、Intelligent Hub リダイレクトを有効にする必要があります。

Intelligent Hub リダイレクトを有効にすると、接続の試行に対して、内部ネットワークと外部ネットワークのどちらから接続するかに基づいて、異なるリダイレクトポリシーを指定できます。たとえば、内部ユーザーに対して Hub カタログへのリダイレクトを適用する一方で、外部ユーザーがブローカレベルまたはポッドレベルの FQDN を介して接続できるようにすることができます。

前提条件

システム環境が次の要件を満たしていることを確認します。

Horizon 制御プレーンテナントの Universal Broker サービスのセットアップまたはシングルポッドブローカから Universal Broker への移行をスケジューリングして完了するの説明に従って、Universal Broker が有効にされ、テナントに対して構成されていること。
Universal Broker を使用した Horizon Cloud 環境 - テナントを Workspace ONE Access および Intelligent Hub サービスと統合するの説明に従って、Horizon Cloud テナントが VMware Workspace ONE Access および Intelligent Hub サービスと統合されていること。統合が完全に完了していることを確認します。
Microsoft Azure 内のすべての Horizon Cloud ポッドがオンラインで、準備完了の状態であること。
VMware SDDC 内のすべての Horizon ポッドに、それぞれの Connection Server インスタンスに関連付けられた SAML 認証子があること。この構成は、Horizon ポッドの Intelligent Hub リダイレクトをサポートするために必要です。Horizon Console での SAML 認証子の構成を参照してください（必要に応じて記事の上部にあるメニューを使用し、Horizon バージョンを選択します）。

内部ユーザーと外部ユーザーに個別のリダイレクトポリシーを構成するには、Universal Broker の内部ネットワーク範囲の定義で説明されている手順も実行する必要があります。

注目: テナントの Horizon 8 デプロイの場合、一部のエンドユーザーは、 Universal Broker FQDN に加えて、 Horizon 8 デプロイの Horizon Connection Server および Unified Access Gateway インスタンスに対して直接 FQDN をすでに持っている場合があります。この状況では、これらのエンドユーザーは、これらの FQDN のいずれかを使用して接続を試みる場合があります。

Horizon 8 ポッドの場合、Horizon Universal Console [ブローカ ] > [認証] 設定は、Universal Broker FQDN の使用時にのみ、リダイレクトを強制します。

したがって、エンドユーザーがどの FQDN に接続しようとしているかに関係なく、テナントの Horizon 8 ポッドにリダイレクトを強制する場合は、Horizon 8 の「Horizon Console での Workspace ONE Access ポリシーの設定」の手順を使用して、Horizon Console で特定の設定を追加で設定する必要があります。そのページで説明されているように、目標を達成するには、関連する SAML 認証子への認証委任を要求する設定を指定し、Workspace ONE ホスト名で Workspace ONE モードを有効にします。

手順

Horizon Universal Console で、[設定 ] > [ブローカ] の順に選択し、[認証] タブを選択します。
[認証] ページには、Intelligent Hub リダイレクト機能の現在の構成が表示されます。
Intelligent Hub リダイレクトの構成を変更するには、オプションの編集アイコンをクリックします。
構成を編集するためのコントロールを含むダイアログボックスが表示されます。
Intelligent Hub リダイレクトを有効にするには、[Intelligent Hub リダイレクトを適用] トグルを有効にします。
トグルを有効にすると、追加の構成設定が表示されます。
内部ネットワークと外部ネットワークのどちらから接続しているかに基づいてユーザーに対して異なるリダイレクトポリシーを構成するには、[内部ユーザーと外部ユーザーに異なる Intelligent Hub リダイレクトを許可] トグルを有効にします。次に、チェックボックスを使用して、各カテゴリのユーザーのリダイレクトポリシーを指定します。
たとえば、内部ユーザーに対してリダイレクトを適用し、外部ユーザーのリダイレクトを無効にするには、 [内部ユーザー] チェックボックスをオンにし、 [外部ユーザー] チェックボックスをオフにします。これらのリダイレクトポリシーは、ポッドレベル（ポッドの UAG または Connection Server インスタンスのアドレスを介して）とブローカレベル（ Universal Broker FQDN を介して）の両方での接続の試行に適用されます。
注：これらの設定を構成するには、まず内部ネットワークと外部ネットワークに対応する IP アドレス範囲を定義する必要があります。これらのネットワークをまだ構成していない場合は、表示されるリマインダメッセージの [追加] リンクをクリックし、 Universal Broker の内部ネットワーク範囲の定義の指示に従います。
[保存] をクリックして、変更を適用します。

結果

構成の変更が Universal Broker サービスと Horizon Cloud ポッド全体で有効になり、新しいリダイレクトの動作が完全に動作状態になるまでに、最大 15 分かかります。

注： Intelligent Hub リダイレクトが有効になっている場合、ユーザーは Hub カタログに転送されます。ここで、 Universal Broker によって仲介された要求された Horizon Cloud ポッドリソースへのセッションを開くことができます。 Universal Broker サービスが失敗すると、ユーザーは Horizon Cloud ポッドリソースにアクセスできなくなります。回避策として、 Universal Broker サービスが復旧するまで Intelligent Hub リダイレクトを無効にすることで、個々のポッドの UAG インスタンスへのユーザー接続を一時的に許可できます。