次の図は、Universal Broker で構成され、Workspace ONE Access および Intelligent Hub サービスと統合された Horizon Cloud 環境のコンポーネントの高レベルのアーキテクチャと通信フローの概要を示しています。
- アクティベーション ワークフローでは、Workspace ONE Access テナントは Horizon Cloud テナントと統合するために登録されます。
- Workspace ONE Access Connector は、Workspace ONE Access テナントを Active Directory のユーザーおよびグループと同期します。
- ユーザーは Workspace ONE Access 経由で認証を行い、Hub カタログのロードを要求します。
- Workspace ONE Intelligent Hub サービスは、カタログの構成されたすべてのソースからユーザーの資格に関する情報を取得します。ソースには、Workspace ONE Access、Workspace ONE UEM、Okta、Universal Broker サービスを含めることができます。
- Hub カタログは、資格の統合カタログをユーザーに提供します。カタログには、Universal Broker サービスから取得したユーザーの割り当て権限が含まれています。
- カタログから、ユーザーは割り当てられたデスクトップまたはアプリケーションをクリックして、そのデスクトップまたはアプリケーションへの接続セッションを開始します。
- Workspace ONE Intelligent Hub サービスは、Workspace ONE Access と通信して、Universal Broker URL に追加された SAML アーティファクトを生成することによって、割り当てられたリソースの開始 URL を準備します。その後、サービスは、Workspace ONE Intelligent Hub クライアントに開始 URL を送信します。
- Workspace ONE Intelligent Hub クライアントは Horizon Client デスクトップまたは Web アプリケーションを起動します。
- Horizon Client は、認証要求を Universal Broker サービスに転送します。
- Workspace ONE Access との通信により、Universal Broker サービスは SAML アーティファクトを解決し、信頼されたユーザーを検証します。
- Horizon Client は、割り当てられたデスクトップまたはアプリケーションを Universal Broker サービスから要求します。
- 割り当てられたリソースを最適に提供できるポッドを決定すると、Universal Broker サービスは、そのポッド内で実行される Universal Broker クライアントにメッセージを送信します。Universal Broker クライアントは、Connection Server(Horizon ポッドの場合)またはアクティブなポッド マネージャ(Microsoft Azure のポッドの場合)で実行されている Universal Broker プラグインにメッセージを転送します。Universal Broker プラグインまたはアクティブなポッド マネージャは、エンド ユーザーに割り当てるのに最適なリソースを識別します。
- Universal Broker サービスは、ポッドの一意の FQDN を含む Horizon Client への接続応答を返します。一意の FQDN は、通常、Horizon ポッドのローカル ロード バランサまたは Microsoft Azure ロード バランサの FQDN です。
- ロード バランサを通過すると、要求はポッドの Unified Access Gateway に送られます。Unified Access Gateway は、要求が信頼されていることを検証し、Blast Secure Gateway、PCoIP Secure Gateway、およびトンネル サーバを準備します。
- ユーザーは指定のデスクトップやアプリケーションを受信し、構成されたセカンダリ プロトコル(Blast Extreme、PCoIP、または RDP)に基づいて接続セッションを確立します。