次の図は、Universal Broker で構成され、Workspace ONE Access および Intelligent Hub サービスと統合された Horizon Cloud 環境のコンポーネントの高レベルのアーキテクチャと通信フローの概要を示しています。


Workspace ONE Access、Hub サービスおよび Universal Broker を使用する Horizon Cloud テナント間の統合のためのアーキテクチャとコミュニケーション フロー図
  1. アクティベーション ワークフローでは、Workspace ONE Access テナントは Horizon Cloud テナントと統合するために登録されます。
  2. Workspace ONE Access Connector は、Workspace ONE Access テナントを Active Directory のユーザーおよびグループと同期します。
  3. ユーザーは Workspace ONE Access 経由で認証を行い、Hub カタログのロードを要求します。
  4. Workspace ONE Intelligent Hub サービスは、カタログの構成されたすべてのソースからユーザーの資格に関する情報を取得します。ソースには、Workspace ONE Access、Workspace ONE UEM、Okta、Universal Broker サービスを含めることができます。
  5. Hub カタログは、資格の統合カタログをユーザーに提供します。カタログには、Universal Broker サービスから取得したユーザーの割り当て権限が含まれています。
  6. カタログから、ユーザーは割り当てられたデスクトップまたはアプリケーションをクリックして、そのデスクトップまたはアプリケーションへの接続セッションを開始します。
  7. Workspace ONE Intelligent Hub サービスは、Workspace ONE Access と通信して、Universal Broker URL に追加された SAML アーティファクトを生成することによって、割り当てられたリソースの開始 URL を準備します。その後、サービスは、Workspace ONE Intelligent Hub クライアントに開始 URL を送信します。
    注: この統合機能では、Hub ブラウザのみがサポートされている Workspace ONE Intelligent Hub クライアントです。Intelligent Hub アプリケーションはサポートされていません。
  8. Workspace ONE Intelligent Hub クライアントは Horizon Client デスクトップまたは Web アプリケーションを起動します。
  9. Horizon Client は、認証要求を Universal Broker サービスに転送します。
  10. Workspace ONE Access との通信により、Universal Broker サービスは SAML アーティファクトを解決し、信頼されたユーザーを検証します。
  11. Horizon Client は、割り当てられたデスクトップまたはアプリケーションを Universal Broker サービスから要求します。
  12. 割り当てられたリソースを最適に提供できるポッドを決定すると、Universal Broker サービスは、そのポッド内で実行される Universal Broker クライアントにメッセージを送信します。Universal Broker クライアントは、Connection Server(Horizon ポッドの場合)またはアクティブなポッド マネージャ(Microsoft Azure のポッドの場合)で実行されている Universal Broker プラグインにメッセージを転送します。Universal Broker プラグインまたはアクティブなポッド マネージャは、エンド ユーザーに割り当てるのに最適なリソースを識別します。
  13. Universal Broker サービスは、ポッドの一意の FQDN を含む Horizon Client への接続応答を返します。一意の FQDN は、通常、Horizon ポッドのローカル ロード バランサまたは Microsoft Azure ロード バランサの FQDN です。
  14. ロード バランサを通過すると、要求はポッドの Unified Access Gateway に送られます。Unified Access Gateway は、要求が信頼されていることを検証し、Blast Secure Gateway、PCoIP Secure Gateway、およびトンネル サーバを準備します。
  15. ユーザーは指定のデスクトップやアプリケーションを受信し、構成されたセカンダリ プロトコル(Blast Extreme、PCoIP、または RDP)に基づいて接続セッションを確立します。