VMware Workspace ONE Access 統合用の SAML 認証の使用

VMware Horizon と VMware Workspace ONE Access（旧称 Workspace ONE）の統合では、SAML 2.0 標準を使用して、シングルサインオン (SSO) 機能に不可欠な相互信頼を確立します。SSO が有効になっている場合、Active Directory 認証情報を使用して VMware Workspace ONE Access または Workspace ONE にログインしたユーザーは、第 2 のログイン手順を経ずにリモートデスクトップやアプリケーションを起動できます。

VMware Workspace ONE Access と VMware Horizon が統合されている場合、ユーザーが VMware Workspace ONE Access にログインしてデスクトップまたはアプリケーションアイコンをクリックするたびに、VMware Workspace ONE Access は一意の SAML アーティファクトを生成します。VMware Workspace ONE Access はこの SAML アーティファクトを使用して、Universal Resource Identifier (URI) を作成します。URI には、デスクトッププールまたはアプリケーションプールが置かれている Connection Server インスタンス、起動するデスクトップまたはアプリケーション、および SAML アーティファクトについての情報が含まれます。

VMware Workspace ONE Access は SAML アーティファクトを Horizon Client に送信し、その後、Connection Server インスタンスにアーティファクトを送信します。Connection Server インスタンスは SAML アーティファクトを使用して、VMware Workspace ONE Access から SAML アサーションを取得します。

Connection Server インスタンスは SAML アサーションを受け取った後、アサーションを検証し、ユーザーのパスワードを復号化し、復号化されたパスワードを使用してデスクトップまたはアプリケーションを起動します。

VMware Workspace ONE Access と VMware Horizon の統合の設定には、VMware Horizon の情報での VMware Workspace ONE Access の構成、および VMware Workspace ONE Access への認証責任を委任するための VMware Horizon の構成が含まれます。

VMware Workspace ONE Access への認証責任を委任するには、VMware Horizon で SAML 認証を作成する必要があります。SAML 認証子には、VMware Horizon と VMware Workspace ONE Access 間での信頼とメタデータの交換が含まれます。SAML 認証子を Connection Server インスタンスと関連付けます。

注： VMware Workspace ONE Access からデスクトップとアプリケーションへのアクセスを提供しようとしている場合、 Horizon Console のルートアクセスグループで Administrators ロールを持つユーザーとしてデスクトッププールとアプリケーションプールを作成していることを確認します。ルートアクセスグループ以外で Administrators ロールをユーザーに付与すると、 VMware Workspace ONE Access は、 VMware Horizon で構成する SAML 認証システムを認識せず、 VMware Workspace ONE Access でプールを構成できません。