Microsoft Azure のポッドをクラウドでホストされる Workspace ONE Access 環境と統合することにより、エンド ユーザーは、ポッドでプロビジョニングされた資格のあるデスクトップおよびアプリケーションを Workspace ONE Access の統合された単一のカタログから認証することができます。Workspace ONE Access 環境をポッドとブリッジする Workspace ONE Access Connector をデプロイする必要があります。このコネクタを使用すると、エンド ユーザーの資格をポッドから Workspace ONE Access に同期することができます。

ヒント:
  • Workspace ONE Access の以前の名前は VMware Identity Manager™ です。コネクタの以前の名前は VMware Identity Manager™ Connector です。特に古いコネクタ バージョンを使用している場合は、製品、ドキュメント、およびナレッジベースの記事に以前の名前が引き続き使用されていることがあります。
  • Horizon CloudWorkspace ONE Access の統合について説明した優れた記事については、VMware Digital Workspace Tech Zone を参照してください。
  • Workspace ONE Access ドキュメントでは、ポッドから Workspace ONE Access へのコネクタの同期について説明するときは、資格という用語を使用します。Horizon Cloud では、割り当てはリソースと資格の組み合わせを表します。Horizon Cloud 管理コンソールで、ユーザーを割り当てに追加すると、そのユーザーには、ポッドでプロビジョニングされた割り当てのリソースを使用する資格が付与されます。たとえば、専用の VDI デスクトップ割り当てを作成するときなどです。

Workspace ONE Access は、Identity as a Service (IDaaS) として、SaaS、Web、クラウド、およびネイティブのモバイル アプリケーションに対するアプリケーション プロビジョニング、セルフサービス カタログ、条件付きアクセス制御および Single Sign-On (SSO) を提供します。Workspace ONE Access は、Workspace ONE Access カタログで構成したアイテムにユーザーがアクセスするためのユーザーの認証を処理します。Horizon Cloud のお客様は通常、VMware によってホストされるクラウドホスト型 Workspace ONE Access を使用します。

Workspace ONE Access 環境の観点からのこの統合の概要については、VMware Horizon Cloud Service デスクトップおよびアプリケーションへのアクセスの提供の概要を参照してください。ユーザーおよびグループに対してデスクトップおよびリモート アプリケーションの割り当てを通常どおり Horizon Cloud 管理コンソール で構成します。ポッドを Workspace ONE Access 環境と統合する手順を完了したら、ポッドの割り当て情報を Workspace ONE Access に同期します。これにより、デスクトップおよびアプリケーションが Workspace ONE Access 管理コンソールに表示され、エンド ユーザーが Workspace ONE Access から自分に割り当てられたリソースに認証できるようになります。割り当て情報を Horizon Cloud から Workspace ONE Access 環境に同期する定期的な同期スケジュールを設定できます。

注: Workspace ONE Access ドキュメントのスクリーンショットは、特定の Workspace ONE Access 環境で見られるユーザー インターフェイス要素と異なるように見える可能性があります。

主要コンポーネントの概要

Microsoft Azure のポッドと Workspace ONE Access との統合には、次の主要な概念が含まれます。

  • Microsoft Azure にデプロイされたポッド
  • Workspace ONE Access テナント環境
  • ポッドのマネージャ仮想マシンにアップロードされた有効な SSL 証明書。この SSL 証明書によって、Workspace ONE Access Connector が Workspace ONE AccessHorizon Cloud 仮想アプリケーションのコレクションに対して使用資格とポッドプロビジョニングされたリソースを同期するときに、Workspace ONE Access Connector がポッドへの信頼された接続を確立できるようになります。
  • Workspace ONE Access Connector がインストールされ、以下のリソースに関する情報を Workspace ONE Access に同期するように設定が行われています。
    • Active Directory のユーザーおよびグループ
    • ポッドの割り当て(ポッドでプロビジョニングされたリソースとこれらのリソースに対する資格)
  • Workspace ONE Access がポッドとの SAML 通信を実行するのに必要な SAML アーティファクトを設定するための Horizon Cloud 管理コンソール の構成。

統合プロセスの概要

次の一覧は、エンド ユーザーが Workspace ONE Access を使用してポッドでプロビジョニングされたデスクトップおよびアプリケーションに認証できるようにするためのエンドツーエンド手順の大まかな概要です。これらの手順を実行する前に、ポッドがすでに Microsoft Azure にデプロイされており、Workspace ONE Access 環境が必要です。クラウドホスト型の Workspace ONE Access 環境と統合する場合に、そのテナントをまだない場合は、Horizon Cloud 管理コンソール の [ID 管理] ページを使用して Workspace ONE Access クラウド テナントの設定を開始できます。詳細については、[Horizon Cloud 管理コンソールを参照してください。

  1. DNS サーバで、ポッド マネージャの Azure ロード バランサの IP アドレスを mypod1.example.com などの完全修飾ドメイン名 (FQDN) にマッピングします。ポッドの詳細ページで、IP アドレスを確認できます。ポッドの詳細ページ内でその IP アドレスを見つける方法については、Horizon Cloud ポッドのマネージャ仮想マシンでの SSL 証明書の構成の概要を参照してください。
    注: 2020 年 7 月四半期より前のサービス リリースでは、この IP アドレスは、 [テナント アプライアンスの IP アドレス] というラベルが付けられてポッドの詳細ページに表示されていました。現在のラベルは [ポッド マネージャ ロード バランサの IP アドレス] です。最新のマニフェストのポッドには、デフォルトでポッド マネージャ インスタンス用にデプロイされた Microsoft Azure ロード バランサが含まれているため、現在のラベルにはそのポッド アーキテクチャが反映されています。マニフェストのポッド(1,600 個未満)にポッド マネージャ仮想マシン用の Microsoft Azure ロード バランサがデプロイされていない場合でも、このペアリング タスクでは、ポッドの詳細ページの該当ラベルの横に表示される IP アドレスを使用する必要があります。
  2. その FQDN に基づく信頼された SSL 証明書を取得します。必要な項目に関する詳細については、次のトピックを参照してください。
    注: SSL 証明書をポッドにアップロードするために必要な証明書ファイルの形式は、ポッド ゲートウェイの構成で使用される PEM ファイル形式とは異なります。
  3. Horizon Cloud ポッドのマネージャ仮想マシンでの SSL 証明書の構成の説明に従って、その SSL 証明書をアップロードします。
    重要: 接続を試みる Workspace ONE Access Connector に提供するように説明どおりに構成された SSL 証明書がポッドにない場合、コネクタは信頼されていないネットワーク接続を確立しないため、使用資格とリソースを同期するためにポッドに接続しようとすると失敗します。ポッドに正常に接続するには、ポッドの SSL 証明書が Workspace ONE Access Connector によって信頼されている必要があります。基準を満たす SSL 証明書をポッドにアップロードするまでは、 Workspace ONE Access とポッドを正常に統合することはできません。
  4. クラウドでホストされているバージョンにサブスクライブして、Workspace ONE Access テナントをクラウドに含めることにより、Workspace ONE Access 環境を取得します。
    注: コンソールの [ID 管理] ページを使用して Workspace ONE Access テナントをセットアップした場合、 Workspace ONE Access テナントはそのプロセスの一部として Horizon Cloud 顧客レコードに関連付けられます。同じ Horizon Cloud 顧客レコードのポッドがすでに存在する場合は、 Workspace ONE Access Connector をデプロイすることにより、そのテナントと統合できます。次の手順では、コネクタ関連の詳細をメモしておきます。
  5. 使用している展開モデルの Workspace ONE Access ガイドラインに従って Workspace ONE Access を展開します。

    クラウド ホスト型の Workspace ONE Access を使用している場合、Workspace ONE Access Connector アプライアンスを Active Directory ネットワークにインストールする必要があります。コネクタに関連するすべての前提条件については、以下の「統合手順を開始する前に必要な事項」以降のセクションを参照してください。

    重要: そのコネクタで構成した信頼性のあるタイム ソースがポッドで構成されている NTP サーバと一致することも確認する必要があります。タイム ソースが一致しない場合、同期の問題が発生する可能性があります。ポッドの詳細ページには、ポッドの構成済み NTP サーバが表示されます。 Horizon Cloud がサポートするすべてのポッド タイプのクラウド接続ポッドの管理の説明に従って、ポッドの詳細ページを開くことができます。
  6. 状況に適した Workspace ONE Access 製品ドキュメントの説明に従って、統合のための Workspace ONE Access 前提条件を満たしていることを確認します。以下の「統合手順を開始する前に必要な事項」というセクションを参照してください。
    重要: このドキュメント トピックでリストされている以下の前提条件に加えて、 Workspace ONE Access ドキュメントで説明されているように、構成されている Workspace ONE Access 環境が Horizon Cloud リソースとの統合の前提条件を満たしていることも確認する必要があります。
    Workspace ONE Access 環境 Workspace ONE Access ドキュメントの Workspace ONE Access 前提条件へのリンク
    クラウドホスト Workspace ONE AccessHorizon Cloud統合のための前提条件
  7. 状況に適した Workspace ONE Access 製品情報の説明に従って、デスクトップを Horizon Cloud 環境から Workspace ONE Access 環境に有効にします。
    重要: Horizon Cloud テナント情報を入力するための Workspace ONE Access 画面の [ホスト] フィールドに、DNS サーバでポッド マネージャの Azure ロード バランサ IP アドレスにマップした FQDN を指定します。この FQDN は、 Horizon Cloud ポッドのマネージャ仮想マシンでの SSL 証明書の構成の概要Horizon Cloud 管理コンソール コンソールの [証明書のアップロード] ワークフローを実行して、Horizon Cloud ポッドのマネージャ仮想マシンで SSL 証明書を構成するための前提条件、および Horizon Cloud ポッドのマネージャ仮想マシンでの SSL 証明書の構成で説明するように、ポッドにアップロードした SSL 証明書のベースとなるものである必要があります。

    以下にリンクされている Workspace ONE Access トピックの「Horizon Cloud テナントの構成」では、手順に関するトピックの最後の手順で、資格に関する情報を Horizon Cloud 環境から同期する方法について説明します。ただし、Workspace ONE Access アクセスのためのポッドを構成する手順 5 を完了するまでは、同期を実行しないでください。

    Workspace ONE Access 環境 Workspace ONE Access ドキュメントのデスクトップ有効化情報へのリンク
    クラウドホスト VMware Workspace ONE Access での Horizon Cloud テナントを構成する
  8. 構成済みの Workspace ONE Access 環境をポッドの ID 管理プロバイダとして使用できるようにする設定を入力します。Workspace ONE Access 向けの Microsoft Azure での Horizon Cloud ポッドの設定を参照してください。
  9. Workspace ONE Access 環境で、資格を付与されたデスクトップとアプリケーションを Workspace ONE Access に同期します。Workspace ONE Access 管理コンソールで、手順 4 で作成したコレクション用の [仮想アプリケーションの構成] ページに移動し、[同期] をクリックします。
  10. デスクトップおよびアプリケーションへの エンド ユーザー アクセスを確認するには、Workspace ONE Access にエンド ユーザーとしてログインし、カタログからデスクトップおよびアプリケーションを起動します。Workspace ONE Access でのデスクトップ割り当てへのエンドユーザー アクセスの確認を参照してください。

統合が動作していることを確認したら、オプションでエンド ユーザーが Workspace ONE Access を経由してデスクトップおよびアプリケーションを認証し、アクセスするように強制できます。エンド ユーザーが Workspace ONE Access を経由して、資格のある Horizon Cloud デスクトップおよびアプリケーションにアクセスすることを強制するを参照してください。

統合手順を開始する前に必要な事項

Workspace ONE Access を使用してポッドが提供するデスクトップまたは RDS ベースのリモート アプリケーションへのエンド ユーザー アクセスを検証する手順まで、統合プロセスをエンドツーエンドですべて完了するには、次の要件が整っていることを確認します。

  • Horizon Cloud ポッドのマネージャ仮想マシンでの SSL 証明書の構成の概要Horizon Cloud 管理コンソール コンソールの [証明書のアップロード] ワークフローを実行して、Horizon Cloud ポッドのマネージャ仮想マシンで SSL 証明書を構成するための前提条件 で説明されているように、ポッド マネージャの Azure ロード バランサの IP アドレスを完全修飾ドメイン名 (FQDN) にマップする DNS サーバのエントリが必要です。SSL 証明書で使用する FQDN を、[Pod Manager ロード バランサ IP] ラベルの横にある Horizon Cloud 管理コンソール のポッドの詳細ページに表示される IP アドレスに解決する必要があります。たとえば、下のスクリーンショットに示すポッドがあり、ポッドへの Workspace ONE Access 接続の目的で、そのポッドの FQDN として mypod-a.example.com という FQDN を使用するとします。
    緑の矢印がポッドマ ネージャーの Azure ロード バランサの IP アドレスを指している、MontereyStores という名前のポッドの詳細のスクリーンショット。

    この例では、DNS で、mypod-a.example.com を、図に示す IP アドレス 192.168.21.4 にマッピングします。
    mypod-a.example.com    192.168.21.4

    Workspace ONE Access 画面で Horizon Cloud テナント情報を入力するための手順を実行するときに、その Workspace ONE Access 画面の [ホスト] フィールドにこの FQDN を指定します。

  • ポッドの詳細ページを使用してポッド自体にアップロードした、信頼できる有効な SSL 証明書を持つ完全に構成されたポッド。証明書のアップロードの詳細については、Horizon Cloud ポッドのマネージャ仮想マシンでの SSL 証明書の構成を参照してください。
  • ポッドに対して構成された VDI デスクトップ割り当て、セッション デスクトップ割り当て、またはリモート アプリケーション割り当て。
  • 組織の構成済み Workspace ONE Access テナント環境へのアクセス。Workspace ONE Access 環境は信頼された証明書で構成する必要があります。

    クラウドホスト型の Workspace ONE Access を使用する場合、ポッドをテナントと統合するには、Workspace ONE Access コネクタ アプライアンスが必要です。このコネクタは、ユーザーおよびグループ資格に関する情報を仮想デスクトップに送信し、アプリケーションを Workspace ONE Access テナントに送信します。Active Directory ネットワークに Workspace ONE Access コネクタ アプライアンスをインストールする必要があります。このドキュメントのページでも確認できる、Workspace ONE Access のクラウド ドキュメントに記載の手順に従い、このデプロイ シナリオの説明およびサブトピックを参照してください。今回のリリースで必要なコネクタのバージョンについては、https://www.vmware.com/resources/compatibility/sim/interop_matrix.phpにある VMware 製品の相互運用性マトリックスを参照してください。

    コネクタで構成した信頼性のあるタイム ソースが、ポッドに対して構成されている NTP サーバと一致していることを確認します。

    注: 既存の統合および VMware Workspace ONE® Access™ コネクタ アプライアンスがある場合のベスト プラクティスは、ポッドをソフトウェア レベルの最新ポッドに更新する前に、コネクタを更新することです。
  • Workspace ONE Access ドキュメントの説明に従って、構成されている Workspace ONE Access 環境が Horizon Cloud リソースとの統合の前提条件をすべて満たしていることを確認します。
    Workspace ONE Access 環境 Workspace ONE Access ドキュメントの Workspace ONE Access 前提条件へのリンク
    クラウドホスト 統合の前提条件