Horizon Console での SAML 認証子の設定

リモートデスクトップおよびアプリケーションを VMware Workspace ONE Access から起動するか、サードパーティ製ロードバランサまたはゲートウェイを通じてリモートデスクトップおよびアプリケーションを接続するには、Horizon Console で SAML 認証子を作成する必要があります。SAML 認証子には、VMware Horizon とクライアントが接続するデバイス間での信頼とメタデータの交換が含まれます。

SAML 認証子を Connection Server インスタンスと関連付けます。導入環境に複数の Connection Server インスタンスが含まれる場合は、各インスタンスに SAML 認証子を関連付ける必要があります。

1 つの静的認証子と複数の動的認証子を一度にライブにすることができます。vIDM（動的）および Unified Access Gateway（静的）の認証子を構成して、これらをアクティブ状態に保持できます。これらの認証子のいずれかを通じて接続を行うことができます。

Connection Server に複数の SAML 認証子を構成して、すべての認証子を同時にアクティブにできます。ただし、Connection Server で構成される各 SAML 認証子のエンティティ ID は異なっている必要があります。

SAML 認証子は本質的に静的な事前定義済みメタデータであるため、ダッシュボードでのステータスは常に緑色です。ステータスが赤色と緑色の間で切り替わるのは、動的認証子のみです。

VMware Unified Access Gateway アプライアンスの SAML 認証子の構成については、『Unified Access Gateway』ドキュメントを参照してください。

前提条件

Workspace ONE、VMware Workspace ONE Access またはサードパーティ製のゲートウェイまたはロードバランサがインストールされて構成されていることを確認します。該当製品のインストールガイドを参照してください。
Connection Server ホストに、SAML サーバ証明書用の認証局 (CA) が署名したルート証明書がインストールされていることを確認します。VMware では、自己署名の証明書を使用するように SAML 認証子を構成することは推奨されません。証明書認証の詳細については、『Horizon 8 インストールとアップグレード』ドキュメントを参照してください。
Workspace ONE サーバ、VMware Workspace ONE Access サーバ、または外部に接しているロードバランサの FQDN または IP アドレスを書き留めます。
（オプション） Workspace ONE または VMware Workspace ONE Access を使用している場合、コネクタ Web インターフェイスの URL を書き留めます。
SAML メタデータを生成して静的認証子を作成する必要のある Unified Access Gateway アプライアンスまたはサードパーティ製アプライアンスの認証子を作成する場合、デバイスで SAML メタデータを生成する手順を実行し、そのメタデータをコピーします。

手順

Horizon Console で、[設定] > [サーバ] の順に移動します。
[Connection Server] タブで、SAML 認証子を関連付けるサーバインスタンスを選択して [編集] をクリックします。

[認証] タブで、[VMware Horizon (SAML 2.0 認証子) への認証の委任] ドロップダウンメニューの設定を選択して、SAML 認証子を有効または無効にします。

オプション	説明
無効	SAML 認証が無効です。リモートデスクトップとアプリケーションは、Horizon Client からのみ起動できます。
許可	SAML 認証が有効です。リモートデスクトップとアプリケーションは、Horizon Client と VMware Workspace ONE Access の両方またはサードパーティ製デバイスから起動できます。
Required	SAML 認証が有効です。リモートデスクトップとアプリケーションは、VMware Workspace ONE Access またはサードパーティ製デバイスからのみ起動できます。デスクトップまたはアプリケーションを、Horizon Client から手動で起動できません。

要件に応じて、環境内の各 Connection Server インスタンスを異なる SAML 認証設定で構成できます。

[SAML 認証子の管理] をクリックし、[追加] をクリックします。

[SAML 2.0 認証子を追加] ダイアログボックスで SAML 認証子を構成します。

オプション	説明
Type	Unified Access Gateway アプライアンスまたはサードパーティ製デバイスの場合、[静的] を選択します。VMware Workspace ONE Access の場合、[動的] を選択します。動的認証子の場合、メタデータ URL および管理 URL を指定できます。静的認証子の場合、Unified Access Gateway アプライアンスまたはサードパーティ製デバイスでメタデータを生成し、メタデータをコピーして [SAML メタデータ] テキストボックスに貼り付けます。
ラベル	SAML 認証子を識別する一意の名前。
説明	SAML 認証子の簡単な説明。この値はオプションです。
メタデータ URL	（動的認証子の場合）SAML ID プロバイダと Connection Server インスタンス間で SAML 情報を交換するために必要な情報すべてを取得するための URL。URL https://<Horizon Server 名>/SAAS/API/1.0/GET/metadata/idp.xml で、[<Horizon Server 名>] をクリックして VMware Workspace ONE Access サーバまたは外部接続ロードバランサ（サードパーティ製デバイス）の FQDN または IP アドレスに置換します。
管理 URL	（動的認証子の場合）SAML ID プロバイダの管理コンソールにアクセスするための URL。VMware Workspace ONE Access の場合、この URL は VMware Workspace ONE Access コネクタ Web インターフェイスを参照している必要があります。この値はオプションです。
True SSO トリガモード	（動的認証子の場合）SAML 認証子の TrueSSO を有効または無効にします。
SAML メタデータ	（静的認証子の場合）Unified Access Gateway アプライアンスまたはサードパーティ製デバイスから生成およびコピーしたメタデータテキスト。
Connection Server に有効	認証子を有効にするには、このチェックボックスをオンにします。複数の認証子を有効にできます。有効になっている認証子のみがリストに表示されます。

[OK] をクリックして SAML 認証子の構成を保存します。
有効な情報を指定した場合、自己署名の証明書を受け入れるか（推奨されません）、 VMware Horizon および VMware Workspace ONE Access またはサードパーティ製デバイスの信頼できる証明書を使用する必要があります。
[SAML 認証子の管理] ダイアログボックスには、新しく作成された認証子が表示されます。

次のタスク

Connection Server のメタデータの有効期間を延長して、リモートセッションが 24 時間経過後に終了されないようにします。Connection Server でのサービスプロバイダメタデータの有効期間の変更を参照してください。