この手順は、Horizon Cloud テナント環境がシングルポッド仲介を使用するように構成されていて、その環境で Workspace ONE Access を使用する場合に使用します。Horizon Cloud on Microsoft Azure デプロイをクラウドでホストされる Workspace ONE Access 環境と統合することにより、エンド ユーザーは、ポッドでプロビジョニングされた資格のあるデスクトップおよびアプリケーションを Workspace ONE Access の統合された単一のカタログから認証することができます。
Horizon Cloud は、クラウド ホスト型の Workspace ONE Access との統合をサポートします。
この統合を実現するには、Workspace ONE Access 環境とポッドをブリッジする Workspace ONE Access Connector をデプロイする必要があります。このコネクタを使用すると、エンド ユーザーの資格をポッドから Workspace ONE Access に同期することができます。
背景情報と用語
- ユーザーおよびグループに対してデスクトップおよびリモート アプリケーションの割り当てを通常どおり Horizon Universal Console で構成します。
- ポッドを Workspace ONE Access 環境と統合する手順を完了したら、ポッドの割り当て情報を Workspace ONE Access に同期します。
- これにより、デスクトップおよびアプリケーションが Workspace ONE Access 管理コンソールに表示され、エンド ユーザーが Workspace ONE Access から自分に割り当てられたリソースに認証できるようになります。
- 割り当て情報を Horizon Cloud から Workspace ONE Access 環境に同期する定期的な同期スケジュールを設定できます。
- Workspace ONE Access の以前の名前は VMware Identity Manager™ です。コネクタの以前の名前は VMware Identity Manager™ Connector です。特に古いコネクタ バージョンを使用している場合は、製品、ドキュメント、およびナレッジベースの記事に以前の名前が引き続き使用されていることがあります。
- Workspace ONE Access ドキュメントでは、ポッドから Workspace ONE Access へのコネクタの同期について説明するときは、資格という用語を使用します。
Horizon Cloud では、割り当てはリソースと資格の組み合わせを表します。
Horizon Universal Console で、ユーザーを割り当てに追加すると、そのユーザーには、ポッドでプロビジョニングされた割り当てのリソースを使用する資格が付与されます。たとえば、専用の VDI デスクトップ割り当てを作成するときなどです。
- Workspace ONE Access コンソールが、Horizon Cloud コレクションという用語を使用するウィザードで更新されました。Workspace ONE Access ドキュメントと Horizon Cloud ドキュメント内で、仮想アプリケーションのコレクションと Horizon Cloud コレクションの両方のフレーズが表示されることがあります。
主要コンポーネントの概要
Horizon Cloud テナント環境がシングル ポッド仲介を使用するように構成されている場合は、Microsoft Azure の個々のポッドを Workspace ONE Access と統合して、各ポッドからプロビジョニングされたエンド ユーザー リソースを使用して Workspace ONE Access の機能を使用できるようにします。
Microsoft Azure のポッドと Workspace ONE Access との統合には、次の主要な概念が含まれます。
- Microsoft Azure にデプロイされたポッド
- Workspace ONE Access テナント環境
- ポッドのマネージャ仮想マシンにアップロードされた有効な SSL 証明書。この SSL 証明書により、Workspace ONE Access Connector は、Workspace ONE Access Connector が Workspace ONE Access で定義された Horizon Cloud 仮想アプリケーション コレクションの使用資格とポッド プロビジョニングされたリソースを同期するときに、ポッドへの接続を信頼できるようになります。
- Workspace ONE Access Connector がインストールされ、以下のリソースに関する情報を Workspace ONE Access に同期するように設定が行われています。
- Active Directory のユーザーおよびグループ
- ポッドの割り当て(ポッドでプロビジョニングされたリソースとこれらのリソースに対する資格)
- Workspace ONE Access がポッドとの SAML 通信を実行するのに必要な SAML アーティファクトを設定するための Horizon Universal Console の構成。
統合プロセスの概要
次の一覧は、エンド ユーザーが Workspace ONE Access を使用してポッドでプロビジョニングされたデスクトップおよびアプリケーションに認証できるようにするためのエンドツーエンド手順の大まかな概要です。
これらの手順を実行する前に、ポッドがすでに Microsoft Azure にデプロイされていること、Horizon Cloud テナントがシングルポッド仲介を使用するように構成されていること、および Workspace ONE Access クラウド テナントがあることが必要です。
- DNS サーバで、ポッド マネージャの Azure ロード バランサの IP アドレスを
mypod1.example.comなどの完全修飾ドメイン名 (FQDN) にマッピングします。ポッドの詳細ページで、IP アドレスを確認できます。ポッドの詳細ページ内でその IP アドレスを特定する場所については、ポッド マネージャ仮想マシンでの SSL 証明書の構成の概要を参照してください。注: 2020 年 7 月四半期より前のサービス リリースでは、この IP アドレスは、 [テナント アプライアンスの IP アドレス] というラベルが付けられてポッドの詳細ページに表示されていました。現在のラベルは [ポッド マネージャ ロード バランサの IP アドレス] です。最新のマニフェストのポッドには、デフォルトでポッド マネージャ インスタンス用にデプロイされた Microsoft Azure ロード バランサが含まれているため、現在のラベルにはそのポッド アーキテクチャが反映されています。マニフェストのポッド(1,600 個未満)にポッド マネージャ仮想マシン用の Microsoft Azure ロード バランサがデプロイされていない場合でも、このペアリング タスクでは、ポッドの詳細ページの該当ラベルの横に表示される IP アドレスを使用する必要があります。 - その FQDN に基づく信頼された SSL 証明書を取得します。必要な項目に関する詳細については、次のトピックを参照してください。
注: SSL 証明書をポッドにアップロードするために必要な証明書ファイルの形式は、ポッド ゲートウェイの構成で使用される PEM ファイル形式とは異なります。
- ポッド マネージャ仮想マシンでの SSL 証明書の直接構成の説明に従って、その SSL 証明書をポッド マネージャ仮想マシンにアップロードします。
重要: 接続を試みる Workspace ONE Access Connector に提供するように説明どおりに構成された SSL 証明書がポッドにない場合、コネクタは信頼されていないネットワーク接続を確立しないため、使用資格とリソースを同期するためにポッドに接続しようとすると失敗します。ポッドに正常に接続するには、ポッドの SSL 証明書が Workspace ONE Access Connector によって信頼されている必要があります。基準を満たす SSL 証明書をポッドにアップロードするまでは、 Workspace ONE Access とポッドを正常に統合することはできません。
- Workspace ONE Access ポッドと Active Directory 環境の両方と通信できるネットワークに、Horizon Cloud Connector アプライアンスをデプロイします。コネクタの目的は、ポッドのリソースと資格を同期すること、および Active Directory 環境のユーザーとグループを同期することです。
コネクタに関連するすべての前提条件については、以下の「統合手順を開始する前に必要な事項」以降のセクションを参照してください。
重要: そのコネクタで構成した信頼性のあるタイム ソースがポッドで構成されている NTP サーバと一致することも確認する必要があります。タイム ソースが一致しない場合、同期の問題が発生する可能性があります。ポッドの詳細ページには、ポッドの構成済み NTP サーバが表示されます。ポッドの詳細ページは、 Horizon Universal Console キャパシティ ページから開くことができます。 - 状況に適した Workspace ONE Access 製品ドキュメントの説明に従って、統合のための Workspace ONE Access 前提条件を満たしていることを確認します。以下の「統合手順を開始する前に必要な事項」というセクションを参照してください。
Workspace ONE Access ドキュメントの統合の前提条件ページを参照してください。
- Workspace ONE Access 製品情報の説明に従って、Horizon Cloud 環境から Workspace ONE Access 環境へのデスクトップを有効にします。
Workspace ONE Access ドキュメントのVMware Workspace ONE Access での Horizon Cloud テナントの構成ページを参照してください。
- Workspace ONE Access ドキュメントの手順に従う場合は、次の重要な点に注意してください。
-
- Workspace ONE Access アクセスのためのポッドを構成する下の手順 8 を完了するまでは、コレクションを同期しないでください。
- Horizon Cloud テナント情報を入力するための Workspace ONE Access 画面の [ホスト] フィールドに、DNS サーバでポッド マネージャの Azure ロード バランサ IP アドレスにマッピングした FQDN を指定して、ポッド マネージャ仮想マシンにアクセスします。
この FQDN は、ポッド マネージャ仮想マシンでの SSL 証明書の直接構成の説明に従って、ポッドに直接アップロードした SSL 証明書と一致する必要があります。
- 構成済みの Workspace ONE Access 環境をポッドの ID 管理プロバイダとして使用できるようにする設定を入力します。関連する Workspace ONE Access テナント情報を使用して Horizon Cloud ポッドを構成する手順を参照してください。
- Workspace ONE Access クラウド テナントで、コレクションを手動で同期して、次の手順で確認できるようにします。Workspace ONE Access 管理コンソールでコレクションを見つけて、[同期] をクリックします。
- デスクトップおよびアプリケーションへの エンド ユーザー アクセスを確認するには、Workspace ONE Access にエンド ユーザーとしてログインし、カタログからデスクトップおよびアプリケーションを起動します。Workspace ONE Access でのデスクトップ割り当てへのエンドユーザー アクセスの確認を参照してください。
統合が動作していることを確認したら、オプションでエンド ユーザーが Workspace ONE Access を経由してデスクトップおよびアプリケーションを認証し、アクセスするように強制できます。エンド ユーザーが Workspace ONE Access を経由するように強制するを参照してください。
統合手順を開始する前に必要な事項
Workspace ONE Access を使用してポッドが提供するデスクトップまたは RDS ベースのリモート アプリケーションへのエンド ユーザー アクセスを検証する手順まで、統合プロセスをエンドツーエンドですべて完了するには、次の要件が整っていることを確認します。
- ポッド マネージャ仮想マシンでの SSL 証明書の構成の概要およびポッド マネージャ仮想マシンで SSL 証明書を構成するための前提条件に記載されているように、ポッド マネージャの Azure ロード バランサーの IP アドレスを完全修飾ドメイン名 (FQDN) にマッピングする DNS サーバのエントリが必要です。
SSL 証明書で使用する FQDN を、[Pod Manager ロード バランサ IP] ラベルの横にある Horizon Universal Console のポッドの詳細ページに表示される IP アドレスに解決する必要があります。
たとえば、下のスクリーンショットに示すポッドがあり、ポッドへの Workspace ONE Access 接続の目的で、そのポッドの FQDN として
mypod-a.example.comという FQDN を使用するとします。
この例では、DNS で、mypod-a.example.comを図に示された IP アドレス 192.168.21.4 にマッピングします。mypod-a.example.com 192.168.21.4
Workspace ONE Access 画面で Horizon Cloud テナント情報を入力するための手順を実行するときに、その Workspace ONE Access 画面の [ホスト] フィールドにこの FQDN を指定します。
- ポッドの詳細ページを使用してポッド マネージャ自体にアップロードした、信頼できる有効な SSL 証明書を持つ完全に構成されたポッド。証明書のアップロードの詳細については、ポッド マネージャ仮想マシンでの SSL 証明書の構成の概要を参照してください。
- ポッドに対して構成された VDI デスクトップ割り当て、セッション デスクトップ割り当て、またはリモート アプリケーション割り当て。
- 組織の構成済み Workspace ONE Access クラウド テナントへのアクセス。
クラウドホスト型の Workspace ONE Access を使用する場合、ポッドをテナントと統合するには、Workspace ONE Access コネクタ アプライアンスが必要です。このコネクタは、ユーザーおよびグループ資格に関する情報を仮想デスクトップに送信し、アプリケーションを Workspace ONE Access テナントに送信します。Active Directory ネットワークに Workspace ONE Access コネクタ アプライアンスをインストールする必要があります。このドキュメント ページから入手可能 Workspace ONE Access Cloud のドキュメント、およびHorizon Cloud を Workspace ONE Access と統合するためのデプロイ シナリオで説明されている手順に従います。今回のリリースで必要なコネクタのバージョンについては、https://www.vmware.com/resources/compatibility/sim/interop_matrix.phpにある VMware 製品の相互運用性マトリックスを参照してください。
コネクタで構成した信頼性のあるタイム ソースが、ポッドに対して構成されている NTP サーバと一致していることを確認します。
注: 既存の統合および VMware Workspace ONE® Access™ コネクタ アプライアンスがある場合のベスト プラクティスは、ポッドをソフトウェア レベルの最新ポッドに更新する前に、コネクタを更新することです。 - Workspace ONE Access のドキュメント ページ統合の前提条件の説明に従って、構成されている Workspace ONE Access 環境が Horizon Cloud リソースとの統合の前提条件をすべて満たしていることを確認します。
シングルポッド仲介を使用した Horizon Cloud 環境:Microsoft Azure で関連する Workspace ONE Access テナント情報を使用して Horizon Cloud ポッドを構成する手順
Microsoft Azure のポッドを Workspace ONE Access に統合するには、適切な Workspace ONE Access 情報に基づいてポッドを設定する必要があります。この情報を構成するには、Horizon Universal Console を使用します。
前提条件
ポッド マネージャ仮想マシンでの SSL 証明書の直接構成の説明に従って、その FQDN に基づく SSL 証明書がポッド マネージャ仮想マシンにアップロードされていることを確認します。シングルポッド ブローカを使用した Horizon Cloud - Workspace ONE Access との統合の手順 3 で説明するように、その SSL 証明書は、DNS サーバでポッド マネージャの Azure ロード バランサの IP アドレスにマッピングした FQDN に基づいている必要があります。
ポッドでプロビジョニングされたエンドユーザーのリソースと資格を Workspace ONE Access と同期するには、Workspace ONE Access 環境がその FQDN を使用するように設定されていることを確認します。
以下の情報があることを確認します。
- Workspace ONE Access テナントからの SAML ID プロバイダ (IdP) メタデータ URL。
環境の SAML IdP メタデータ URL は、Workspace ONE Access 管理コンソールの [SAML メタデータ] を使用して取得します。
Workspace ONE Access Cloud のドキュメント ページHorizon Cloud テナントでの SAML 認証の構成を参照してください。
そのページの [ID プロバイダ (IdP) メタデータ] リンクをクリックすると、ブラウザのアドレス バーに URL が通常 https://WS1AccessFQDN/SAAS/API/1.0/GET/metadata/idp.xml の形式で表示されます。ここで WS1AccessFQDN は Workspace ONE Access 環境の完全修飾ドメイン名 (FQDN) です。
- Horizon Cloud に接続するためにエンドユーザーが接続先に指定する FQDN。
手順
結果
次のタスク
Workspace ONE Access クラウド テナントで、資格のあるデスクトップとアプリケーションを手動で同期します。Workspace ONE Access 管理コンソールで、この Horizon Cloud ポッドに定義されているコレクションを見つけて、[同期] をクリックします。
- Horizon Cloud でリソースまたは資格が変更されるたびに、同期を実行して変更を Workspace ONE Access に伝達する必要があります。
- そのコネクタで構成した信頼性のあるタイム ソースがポッドで構成されている NTP サーバと一致することも確認する必要があります。タイム ソースが一致しない場合、同期の問題が発生する可能性があります。ポッドの詳細ページには、ポッドの構成済み NTP サーバが表示されます。ポッドの詳細ページは、Horizon Universal Console キャパシティ ページから開くことができます。
シングルポッド仲介を使用した Horizon Cloud 環境:エンド ユーザーによる Workspace ONE Access のデスクトップ割り当てへのアクセスの確認
Workspace ONE Access 環境に Horizon Cloud 環境を統合した後、これらの手順に従って、エンド ユーザーがそれらのポッドでプロビジョニングされた仮想デスクトップおよびリモート アプリケーションにリモート アクセスできることを確認することができます。
前提条件
次の項目が完了していることを確認します。
- シングルポッド仲介を使用した Horizon Cloud 環境:Microsoft Azure の環境の Horizon Cloud ポッドと Workspace ONE Access の統合 に記載されている統合プロセスに従って、ウィザードを完了します。
- シングルポッド仲介を使用した Horizon Cloud 環境:Microsoft Azure で関連する Workspace ONE Access テナント情報を使用して Horizon Cloud ポッドを構成する手順の手順を完了させます。
- エンド ユーザーが Workspace ONE Access 経由でデスクトップにアクセスするための方法を設定します。
- 資格のあるデスクトップが統合された Horizon Cloud ポッドから Workspace ONE Access 環境に同期されることを確認します。Workspace ONE Access 管理コンソールで、[仮想アプリケーションの構成] ページに移動し、Horizon Cloud コレクションを同期します。
手順
- 組織の Workspace ONE Access URL を使用して Workspace ONE Access にログインします。
- 資格のある Horizon Cloud デスクトップとリモート アプリケーションをポータルから起動します。
