この手順は、Horizon Cloud テナント環境がシングルポッド仲介を使用するように構成されていて、その環境で Workspace ONE Access を使用する場合に使用します。Microsoft Azure のポッドをクラウドでホストされる Workspace ONE Access 環境と統合することにより、エンド ユーザーは、ポッドでプロビジョニングされた資格のあるデスクトップおよびアプリケーションを Workspace ONE Access の統合された単一のカタログから認証することができます。Workspace ONE Access 環境をポッドとブリッジする Workspace ONE Access Connector をデプロイする必要があります。このコネクタを使用すると、エンド ユーザーの資格をポッドから Workspace ONE Access に同期することができます。

ヒント:
  • Workspace ONE Access の以前の名前は VMware Identity Manager™ です。コネクタの以前の名前は VMware Identity Manager™ Connector です。特に古いコネクタ バージョンを使用している場合は、製品、ドキュメント、およびナレッジベースの記事に以前の名前が引き続き使用されていることがあります。
  • Horizon CloudWorkspace ONE Access の統合について説明した優れた記事については、VMware Digital Workspace Tech Zone を参照してください。
  • Workspace ONE Access ドキュメントでは、ポッドから Workspace ONE Access へのコネクタの同期について説明するときは、資格という用語を使用します。Horizon Cloud では、割り当てはリソースと資格の組み合わせを表します。Horizon Universal Consoleで、ユーザーを割り当てに追加すると、そのユーザーには、ポッドでプロビジョニングされた割り当てのリソースを使用する資格が付与されます。たとえば、専用の VDI デスクトップ割り当てを作成するときなどです。

Workspace ONE Access は、Identity as a Service (IDaaS) として、SaaS、Web、クラウド、およびネイティブのモバイル アプリケーションに対するアプリケーション プロビジョニング、セルフサービス カタログ、条件付きアクセス制御および Single Sign-On (SSO) を提供します。Workspace ONE Access は、Workspace ONE Access カタログで構成したアイテムにユーザーがアクセスするためのユーザーの認証を処理します。Horizon Cloud のお客様は通常、VMware によってホストされるクラウドホスト型 Workspace ONE Access を使用します。

Workspace ONE Access 環境の観点からのこの統合の概要については、VMware Horizon Cloud Service デスクトップおよびアプリケーションへのアクセスの提供の概要を参照してください。ユーザーおよびグループに対してデスクトップおよびリモート アプリケーションの割り当てを通常どおり Horizon Universal Console で構成します。ポッドを Workspace ONE Access 環境と統合する手順を完了したら、ポッドの割り当て情報を Workspace ONE Access に同期します。これにより、デスクトップおよびアプリケーションが Workspace ONE Access 管理コンソールに表示され、エンド ユーザーが Workspace ONE Access から自分に割り当てられたリソースに認証できるようになります。割り当て情報を Horizon Cloud から Workspace ONE Access 環境に同期する定期的な同期スケジュールを設定できます。

注: Workspace ONE Access ドキュメントのスクリーンショットは、特定の Workspace ONE Access 環境で見られるユーザー インターフェイス要素と異なるように見える可能性があります。

主要コンポーネントの概要

Horizon Cloud テナント環境がシングルポッド仲介を使用するように構成されている場合は、Microsoft Azure の個々のポッドを Workspace ONE Access と統合して、各ポッドからプロビジョニングされたエンド ユーザー リソースを使用して Workspace ONE Access の機能を使用できるようにします。Microsoft Azure のポッドと Workspace ONE Access との統合には、次の主要な概念が含まれます。

  • Microsoft Azure にデプロイされたポッド
  • Workspace ONE Access テナント環境
  • ポッドのマネージャ仮想マシンにアップロードされた有効な SSL 証明書。この SSL 証明書によって、Workspace ONE Access Connector が Workspace ONE AccessHorizon Cloud 仮想アプリケーションのコレクションに対して使用資格とポッドプロビジョニングされたリソースを同期するときに、Workspace ONE Access Connector がポッドへの信頼された接続を確立できるようになります。
  • Workspace ONE Access Connector がインストールされ、以下のリソースに関する情報を Workspace ONE Access に同期するように設定が行われています。
    • Active Directory のユーザーおよびグループ
    • ポッドの割り当て(ポッドでプロビジョニングされたリソースとこれらのリソースに対する資格)
  • Workspace ONE Access がポッドとの SAML 通信を実行するのに必要な SAML アーティファクトを設定するための Horizon Universal Console の構成。

統合プロセスの概要

次の一覧は、エンド ユーザーが Workspace ONE Access を使用してポッドでプロビジョニングされたデスクトップおよびアプリケーションに認証できるようにするためのエンドツーエンド手順の大まかな概要です。これらの手順を実行する前に、ポッドがすでに Microsoft Azure にデプロイされており、Workspace ONE Access 環境が必要です。クラウドホスト型の Workspace ONE Access 環境と統合する場合に、そのテナントをまだない場合は、Horizon Universal Console の [ID 管理] ページを使用して Workspace ONE Access クラウド テナントの設定を開始できます。詳細については、Horizon Universal Console の [ID 管理] ページを参照してください。

  1. DNS サーバで、ポッド マネージャの Azure ロード バランサの IP アドレスを mypod1.example.com などの完全修飾ドメイン名 (FQDN) にマッピングします。ポッドの詳細ページで、IP アドレスを確認できます。ポッドの詳細ページ内でその IP アドレスを見つける方法については、Horizon Cloud ポッドのマネージャ仮想マシンでの SSL 証明書の構成の概要(主にシングルポッド ブローカ環境でポッドを使用する Workspace ONE Access Connector で使用)を参照してください。
    注: 2020 年 7 月四半期より前のサービス リリースでは、この IP アドレスは、 [テナント アプライアンスの IP アドレス] というラベルが付けられてポッドの詳細ページに表示されていました。現在のラベルは [ポッド マネージャ ロード バランサの IP アドレス] です。最新のマニフェストのポッドには、デフォルトでポッド マネージャ インスタンス用にデプロイされた Microsoft Azure ロード バランサが含まれているため、現在のラベルにはそのポッド アーキテクチャが反映されています。マニフェストのポッド(1,600 個未満)にポッド マネージャ仮想マシン用の Microsoft Azure ロード バランサがデプロイされていない場合でも、このペアリング タスクでは、ポッドの詳細ページの該当ラベルの横に表示される IP アドレスを使用する必要があります。
  2. その FQDN に基づく信頼された SSL 証明書を取得します。必要な項目に関する詳細については、次のトピックを参照してください。
    注: SSL 証明書をポッドにアップロードするために必要な証明書ファイルの形式は、ポッド ゲートウェイの構成で使用される PEM ファイル形式とは異なります。
  3. コネクタがポッド マネージャ仮想マシンへの接続を信頼できるように、Workspace ONE Access コネクタ アプライアンスを Microsoft Azure の Horizon Cloud ポッドと統合する場合には、ポッド マネージャ仮想マシンで SSL 証明書を直接構成します。の説明に従って、その SSL 証明書をアップロードします。
    重要: 接続を試みる Workspace ONE Access Connector に提供するように説明どおりに構成された SSL 証明書がポッドにない場合、コネクタは信頼されていないネットワーク接続を確立しないため、使用資格とリソースを同期するためにポッドに接続しようとすると失敗します。ポッドに正常に接続するには、ポッドの SSL 証明書が Workspace ONE Access Connector によって信頼されている必要があります。基準を満たす SSL 証明書をポッドにアップロードするまでは、 Workspace ONE Access とポッドを正常に統合することはできません。
  4. クラウドでホストされているバージョンにサブスクライブして、Workspace ONE Access テナントをクラウドに含めることにより、Workspace ONE Access 環境を取得します。
    注: コンソールの [ID 管理] ページを使用して Workspace ONE Access テナントをセットアップした場合、 Workspace ONE Access テナントはそのプロセスの一部として Horizon Cloud 顧客レコードに関連付けられます。同じ Horizon Cloud 顧客レコードのポッドがすでに存在する場合は、 Workspace ONE Access Connector をデプロイすることにより、そのテナントと統合できます。次の手順では、コネクタ関連の詳細をメモしておきます。
  5. 使用している展開モデルの Workspace ONE Access ガイドラインに従って Workspace ONE Access を展開します。

    クラウド ホスト型の Workspace ONE Access を使用している場合、Workspace ONE Access Connector アプライアンスを Active Directory ネットワークにインストールする必要があります。コネクタに関連するすべての前提条件については、以下の「統合手順を開始する前に必要な事項」以降のセクションを参照してください。

    重要: そのコネクタで構成した信頼性のあるタイム ソースがポッドで構成されている NTP サーバと一致することも確認する必要があります。タイム ソースが一致しない場合、同期の問題が発生する可能性があります。ポッドの詳細ページには、ポッドの構成済み NTP サーバが表示されます。 Horizon Cloud がサポートするすべてのポッド タイプのクラウド接続ポッドの管理の説明に従って、ポッドの詳細ページを開くことができます。
  6. 状況に適した Workspace ONE Access 製品ドキュメントの説明に従って、統合のための Workspace ONE Access 前提条件を満たしていることを確認します。以下の「統合手順を開始する前に必要な事項」というセクションを参照してください。
    重要: このドキュメント トピックでリストされている以下の前提条件に加えて、 Workspace ONE Access ドキュメントで説明されているように、構成されている Workspace ONE Access 環境が Horizon Cloud リソースとの統合の前提条件を満たしていることも確認する必要があります。
    Workspace ONE Access 環境 Workspace ONE Access ドキュメントの Workspace ONE Access 前提条件へのリンク
    クラウドホスト Workspace ONE AccessHorizon Cloud統合のための前提条件
  7. 状況に適した Workspace ONE Access 製品情報の説明に従って、デスクトップを Horizon Cloud 環境から Workspace ONE Access 環境に有効にします。
    重要: Horizon Cloud テナント情報を入力するための Workspace ONE Access 画面の [ホスト] フィールドに、DNS サーバでポッド マネージャの Azure ロード バランサ IP アドレスにマップした FQDN を指定します。この FQDN は、 Horizon Cloud ポッドのマネージャ仮想マシンでの SSL 証明書の構成の概要(主にシングルポッド ブローカ環境でポッドを使用する Workspace ONE Access Connector で使用)Horizon Universal Console コンソールの [ポッド証明書のアップロード] ワークフローを実行して、Horizon Cloud ポッドのマネージャ仮想マシンで SSL 証明書を構成するための前提条件、および コネクタがポッド マネージャ仮想マシンへの接続を信頼できるように、Workspace ONE Access コネクタ アプライアンスを Microsoft Azure の Horizon Cloud ポッドと統合する場合には、ポッド マネージャ仮想マシンで SSL 証明書を直接構成します。で説明するように、ポッドにアップロードした SSL 証明書のベースとなるものである必要があります。

    以下にリンクされている Workspace ONE Access トピックの「Horizon Cloud テナントの構成」では、手順に関するトピックの最後の手順で、資格に関する情報を Horizon Cloud 環境から同期する方法について説明します。ただし、Workspace ONE Access アクセスのためのポッドを構成する手順 5 を完了するまでは、同期を実行しないでください。

    Workspace ONE Access 環境 Workspace ONE Access ドキュメントのデスクトップ有効化情報へのリンク
    クラウドホスト VMware Workspace ONE Access での Horizon Cloud テナントを構成する
  8. 構成済みの Workspace ONE Access 環境をポッドの ID 管理プロバイダとして使用できるようにする設定を入力します。シングルポッド仲介を使用した Horizon Cloud 環境:Microsoft Azure で関連する Workspace ONE Access テナント情報を使用して Horizon Cloud ポッドを構成する手順を参照してください。
  9. Workspace ONE Access 環境で、資格を付与されたデスクトップとアプリケーションを Workspace ONE Access に同期します。Workspace ONE Access 管理コンソールで、手順 4 で作成したコレクション用の [仮想アプリケーションの構成] ページに移動し、[同期] をクリックします。
  10. デスクトップおよびアプリケーションへの エンド ユーザー アクセスを確認するには、Workspace ONE Access にエンド ユーザーとしてログインし、カタログからデスクトップおよびアプリケーションを起動します。シングルポッド仲介を使用した Horizon Cloud 環境:エンド ユーザーによる Workspace ONE Access のデスクトップ割り当てへのアクセスの確認を参照してください。

統合が動作していることを確認したら、オプションでエンド ユーザーが Workspace ONE Access を経由してデスクトップおよびアプリケーションを認証し、アクセスするように強制できます。シングルポッド仲介を使用した Horizon Cloud 環境では、エンド ユーザーが Workspace ONE Access を使用して、使用資格が付与されたデスクトップやアプリケーションにアクセスすることを強制します。を参照してください。

統合手順を開始する前に必要な事項

Workspace ONE Access を使用してポッドが提供するデスクトップまたは RDS ベースのリモート アプリケーションへのエンド ユーザー アクセスを検証する手順まで、統合プロセスをエンドツーエンドですべて完了するには、次の要件が整っていることを確認します。