ポッド フェデレーションを追加するには、まずポッド フェデレーションに属するすべてのポッドを追加してから、ポッド フェデレーションの情報を追加し、グローバル資格のグローバル起動 URL を指定し、資格を同期し、特定のネットワーク範囲のクライアント アクセス URL を設定します。
前提条件
- View ポッド フェデレーションの統合の要件に記載されている要件に従って、View 環境をセットアップします。
- VMware Identity Manager 環境のセットアップに記載されている要件に従って、VMware Identity Manager インスタンスをセットアップします。
- 各 View ポッドで、管理者ロールを持つユーザーの認証情報が必要となります。
手順
- 管理コンソールで、[カタログ] タブをクリックします。
- [デスクトップとアプリケーションの管理] をクリックして、[View アプリケーション] を選択します。
- [ポッドと同期] タブで、[View プールを有効化] チェックボックスが選択されていない場合は、これを選択します。
- クラウド ポッド フェデレーションに属するすべての View ポッドを、一度に 1 つずつ追加します。
- View ポッドの詳細を指定します。
オプション 説明 接続サーバ View 接続サーバの完全修飾ドメイン名 (FQDN) を入力します。たとえば、pod5server.example.com と指定します。ドメイン名は、View 接続サーバ インスタンスの参加先ドメイン名と一致する必要があります。 ユーザー名 ポッドの管理者ユーザー名。ユーザーは、View で管理者ロールを持っている必要があります。 パスワード ポッドの管理者パスワード。 サードパーティ ID プロバイダのスマート カード認証の使用 ユーザーがパスワードの代わりにスマート カード認証を使用してこの View ポッドにログインする場合は、チェックボックスをオンにします。 パスワードをポップアップ表示しない このオプションは、True SSO 機能をサポートする Horizon バージョンにのみ適用されます。
View で True SSO が構成されている場合、ユーザーはパスワードを使用せずに Windows デスクトップにログインできます。しかし、ユーザーが SecurID などのパスワード認証以外の方法で VMware Identity Manager にログインしている場合は、Windows デスクトップを起動したときにパスワードの入力が求められます。このとき、パスワード入力のダイアログ ボックスをユーザーに表示しないようにするには、このオプションを選択します。
ローカル資格を同期 ポッドにローカル資格が構成されている場合は、このチェックボックスを選択します。 例:
- [View ポッドの追加] をクリックして、ポッドを追加します。
- この手順を繰り返して、クラウド ポッド フェデレーションにすべてのポッドを追加します。
- View ポッドの詳細を指定します。
- [保存] をクリックします。
各ポッドに複製されたサーバが表示されます。
- [フェデレーション] タブをクリックして、[クラウド ポッド アーキテクチャのフェデレーションを有効化] チェックボックスを選択します。
- [フェデレーション名] フィールドに、クラウド ポッド フェデレーションの名前を入力します。
- [起動 URL] フィールドに、グローバル資格が付与されたデスクトップ、またはアプリケーションの起動に使用されるグローバル起動 URL を入力します。たとえば、federationA.example.com と指定します。
起動 URL は、通常はクラウド ポッド フェデレーションのグローバル ロード バランサ URL です。後に構成プロセスで、起動 URL の対象を特定のネットワーク範囲とするようにカスタマイズできます。
- クラウド ポッド フェデレーションに属するポッドを選択します。
[ポッドと同期] タブのドロップダウン リストに、追加したすべてのポッドが表示されます。
- [ポッドを追加] をクリックして、クラウド ポッド フェデレーションに属するすべての View ポッドを、一度に 1 つずつ選択します。
- [保存] をクリックします。
- [ポッドと同期] タブをクリックしてページ下部までスクロールし、構成を展開および同期するためのオプションを設定します。
オプション 説明 展開のタイプ View リソースをユーザー ポータルでどのようにユーザーに提供するかを選択します。 - [ユーザーによるアクティベーション]:VMware Identity Manager は View リソースをユーザー ポータルの [カタログ] ページに追加しますリソースを使用するには、ユーザーは [カタログ] ページから [ランチャ] ページに移動させる必要があります。
- [自動]:VMware Identity Manager はユーザー ポータルの [ランチャ] ページにリソースを直接追加し、ユーザーはリソースをすぐに使用できます。
ここで選択する展開種類は、View 統合のすべてのリソースに対するユーザー資格に適用されるグローバル設定です。リソースの [資格] ページから、個々のユーザーまたはグループの展開種類をリソースごとに変更することができます。
グローバルの展開種類は [ユーザーによるアクティベーション] に設定することを推奨します。その後、リソースごとに特定のユーザーまたはグループの設定を変更することができます。
展開種類の設定方法については、View 資格の展開種類の設定を参照してください。
重複アプリケーションを同期しない 複数のサーバで同じアプリケーションを重複して同期しないようにするには、このオプションを選択します。VMware Identity Manager が複数のデータセンターで展開されると、複数のデータセンターで同じリソースがセットアップされます。このオプションを選択すると、VMware Identity Manager カタログでデスクトップまたはアプリケーションのプールが重複しなくなります。 5.x 接続サーバの構成 このページで構成した View 接続サーバ インスタンスにバージョン 5.x が含まれる場合にこのチェック ボックスを選択します。 このオプションを選択すると、View 5.x で必要となる代替方法でリソースを同期できます。
注: : [ディレクトリ同期を実行] オプションを選択すると、 [5.x 接続サーバの構成] オプションも自動的に選択されます。これは、両方のオプションでリソース同期のために同じ代替方法を使用するためです。ディレクトリ同期を実行 View 接続サーバ インスタンスにある View ポッドの使用権限を付与されたユーザーやグループが VMware Identity Manager ディレクトリに存在しない場合、View の同期の一部としてディレクトリ同期を実行するときにこのチェック ボックスを選択します。 [ディレクトリ同期を実行] オプションは、ローカル資格のみに適用されます。グローバル資格には適用されません。グローバル資格を持つユーザーやグループが VMware Identity Manager ディレクトリに存在しない場合、ディレクトリ同期はトリガーされません。
この処理で同期されたユーザーおよびグループは、 VMware Identity Manager ディレクトリ同期で追加した他のユーザーと同じように管理できます。重要: : [ディレクトリ同期を実行] オプションを使用すると、View の同期に時間がかかります。注: : このオプションを選択すると、 [5.x 接続サーバの構成] オプションも自動的に選択されます。これは、両方のオプションでリソース同期のために同じ代替方法を使用するためです。Viewpool 同期の頻度を選択 View のリソースと資格を同期する頻度を選択します。同期を定期的にスケジュール設定するか、手動で行うかを選択できます。[手動] を選択した場合は、View のリソースまたは資格が変更されるたびにこのページに戻り、[今すぐ同期] をクリックする必要があります。 デフォルトの起動クライアントを選択 View アプリケーションまたはデスクトップを起動するデフォルトのクライアントを選択します。[ブラウザ] を選択すると Web ブラウザでリソースが起動し、[クライアント] を選択すると Horizon Client でリソースが起動します。 この設定は View 統合内のすべてのユーザーおよびリソースに適用されます。ただし、エンド ユーザーは Workspace ONE ポータルで View デスクトップまたはアプリケーションを起動するときに [ブラウザで起動] または [クライアントで起動] を選択することで、設定を上書きできます。
- [保存] をクリックします。
- [今すぐ同期] をクリックします。
資格の追加やユーザーの追加などの情報の変更を View で実行するたびに、同期を実行して、 VMware Identity Manager に変更内容を伝達する必要があります。注: : [保存] をクリックしてこのページの設定を保存するたびに、同期情報の横にある [今すぐ同期] をクリックする必要があります。これを行わない場合、既存のリソースは起動しません。
- ページ右上の [管理コンソール] をクリックします。
- [ID とアクセス管理] タブをクリックして、ページ右側の [セットアップ] をクリックします。
- [ネットワーク範囲] タブをクリックします。
- 特定のネットワーク範囲に対して起動 URL を提供するようにカスタマイズします。たとえば、社内からのアクセスと外部からのアクセスには、通常異なる起動 URL を設定します。
- ネットワーク範囲を選択します。既存のネットワーク範囲を選択するか、または新しいネットワーク範囲を作成することができます。また、デフォルトの [ALL RANGES] ネットワーク範囲を編集することも可能です。
[ネットワーク範囲を編集] ページが表示されます。 [View クラウド ポッド アーキテクチャのフェデレーション] セクションには、 [フェデレーション] タブで追加したポッド フェデレーションのグローバル起動 URL が表示されます。複数のポッド フェデレーションを追加した場合、すべて表示されます。 [View ポッド] セクションには、 [ポッドと同期] タブで [ローカル資格を同期] オプションが選択されているすべての View ポッドが表示されます。
- [View クラウド ポッド アーキテクチャのフェデレーション] セクションでは、グローバル起動 URL に対し、このページに指定されたネットワーク範囲のグローバル資格に起動要求を渡すサーバの完全修飾ドメイン名を指定します。通常、これは View ポッド フェデレーション環境のグローバル ロード バランサ URL になります。
例:lb.example.com
グローバル起動 URL は、グローバル資格が付与されたリソースを起動するために使用されます。
- [View ポッド] セクションで、各 View ポッド インスタンス用に、このネットワーク範囲のローカル資格に起動要求を渡すサーバの完全修飾ドメイン名を指定します。View 接続サーバ インスタンス、ロード バランサ、またはセキュリティ サーバを指定できます。たとえば、社内アクセスを提供するネットワーク範囲の場合は、そのポッドの内部ロード バランサを指定することが考えられます。
例:[lb.example.com]
クライアント アクセス URL は、ポッドからローカル資格が付与されたリソースを起動するために使用されます。
カスタムのネットワーク範囲向けに複数のクライアント アクセス URLを有効にするも参照してください。 - ネットワーク範囲を選択します。既存のネットワーク範囲を選択するか、または新しいネットワーク範囲を作成することができます。また、デフォルトの [ALL RANGES] ネットワーク範囲を編集することも可能です。