VMware Identity Managerコンソールで Horizon ポッドとポッド フェデレーションを構成して、リソースと資格を VMware Identity Manager サービスに同期させます。

ポッドおよびポッド フェデレーションを構成するには、[カタログ] > [仮想アプリケーション] ページで 1 つまたは複数の仮想アプリケーションのコレクションを作成し、構成情報(リソースと資格を同期する Horizon 接続サーバ、ポッド フェデレーションの詳細、同期に使用する VMware Identity Manager コネクタ、およびデフォルトの起動クライアントなどの管理者設定)を入力します。

必要に応じて、すべての Horizon ポッドおよびポッド フェデレーションを 1 つのコレクションに追加することも、複数のコレクションを作成することもできます。たとえば、ポッド フェデレーションまたはポッドごとに個別のコレクションを作成して、管理をしやすくしたり複数のコネクタに同期の負荷を分散したりすることができます。または、すべてのポッドおよびポッド フェデレーションを 1 つのコレクションに含めてテストの目的で使用し、もう 1 つの同じコレクションを本番環境用に使用することもできます。

ポッドを追加したら、特定のネットワーク範囲のクライアント アクセス URL を構成します。

前提条件

手順

  1. VMware Identity Managerコンソールにログインします。
  2. [カタログ] > [仮想アプリケーション] タブを選択し、[仮想アプリケーションの設定] をクリックします。
  3. [仮想アプリケーションを追加] をクリックし、[Horizon View On-Premises(オンプレミス型)] を選択します。
  4. コレクションの一意の名前を入力します。
  5. [同期コネクタ] ドロップダウン メニューから、このコレクション内のリソースを同期するのに使用するコネクタを選択します。

    高可用性のために複数のコネクタを設定した場合は、[コネクタの追加] をクリックしてその他のコネクタを選択します。コネクタがリストされる順番によって、フェイルオーバーの順番が決定されます。

  6. [Horizon ポッド] セクションで、このコレクションに追加している Horizon ポッドの構成情報を指定します。

    [コネクション サーバ]

    connectionserver.example.com など、Horizon 接続サーバインスタンスの完全修飾ホスト名を入力します。ドメイン名は、Horizon 接続サーバインスタンスの参加先ドメイン名と完全に一致する必要があります。

    [ユーザー名]

    ポッドの管理ユーザー名を入力します。ユーザーは、Horizon で管理者ロールを持っている必要があります。

    [パスワード]

    ポッドの管理者パスワードを入力します。

    [スマート カード認証]

    ユーザーがパスワードの代わりにスマート カード認証を使用してポッドにログインする場合は、チェック ボックスをオンにします。

    [True SSO が有効]

    Horizon で True SSO が有効になっている場合は、このオプションを選択します。このオプションは、True SSO 機能をサポートする Horizon バージョンにのみ適用されます。

    Horizon で True SSO が有効になっている場合、ユーザーはパスワードを使用せずに Windows デスクトップにログインできます。しかし、ユーザーが SecurID などのパスワード認証以外の方法で VMware Identity Manager にログインしている場合は、Windows デスクトップを起動したときにパスワードの入力が求められます。このとき、パスワード入力のダイアログ ボックスをユーザーに表示しないようにするには、このオプションを選択します。

    [ローカル資格を同期]

    ポッドにローカル資格が構成されている場合に、このオプションを選択します。
    例:

    ポッドの追加


  7. コレクションに複数のポッドを追加するには、[ポッドを追加] をクリックし、各ポッドの構成情報を入力します。
  8. ポッド フェデレーションを追加するには、以下の手順を実行します。
    1. [Horizon クラウド ポッド アーキテクチャ構成] セクションで、[有効] チェック ボックスをオンにします。
    2. ポッド フェデレーションの構成情報を入力します。

      オプション

      説明

      フェデレーション名

      ポッド フェデレーションの名前です。

      Horizon ポッドを追加

      ポッド フェデレーションに属するすべてのポッドを選択します。リストには、コレクションに追加したすべてのポッドが表示されます。

      各ポッドを選択し、[リストに追加] をクリックします。

      選択されたポッド

      ポッドを順番変更または削除することができます。

      起動 URL

      グローバル資格が付与されたデスクトップまたはアプリケーションの起動に使用されるグローバル起動 URL です。たとえば、federationA.example.com と指定します。

      起動 URL は、通常はポッド フェデレーションのグローバル ロード バランサ URL です。後に構成プロセスで、起動 URL の対象を特定のネットワーク範囲とするようにカスタマイズできます。

    3. 別のポッド フェデレーションを追加するには、[フェデレーションを追加] をクリックし、構成情報を入力します。
    注:

    コレクションにポッド フェデレーションに属していない個別の Horizon ポッドのみが含まれている場合は、このオプションを有効にしないでください。

    例:

    ポッド フェデレーションの追加


  9. 複数のサーバで同じアプリケーションを重複して同期しないようにするには、[重複アプリケーションを同期しない] チェック ボックスを選択します。

    VMware Identity Managerが複数のデータセンターで展開されると、同じリソースが複数のデータセンターでセットアップされます。このオプションを選択すると、VMware Identity Managerカタログでデスクトップまたはアプリケーションのプールが重複しなくなります。

  10. [Horizon 接続サーバ 5.x の構成] チェック ボックスをオンにします(View 接続サーバ 5.x インスタンスを構成している場合)。

    このオプションを選択すると、View 5.x で必要となる代替方法でリソースを同期できます。

    注:

    [ディレクトリ同期を実行] オプションを選択すると、[Horizon 接続サーバ 5.x] オプションも自動的に選択されます。これは、両方のオプションでリソース同期のために同じ代替方法を使用するためです。

  11. Horizon 接続サーバ インスタンスにある Horizon プールの使用権限を付与されたユーザーやグループが VMware Identity Managerディレクトリに存在しない場合、リソースの同期の一部としてディレクトリ同期を実行するときに [ディレクトリ同期を実行] チェック ボックスを選択します。

    [ディレクトリ同期を実行] オプションは、ポッド フェデレーションに適用されません。グローバル資格を持つユーザーやグループが VMware Identity Managerディレクトリに存在しない場合、ディレクトリ同期はトリガーされません。

    この処理で同期されたユーザーおよびグループは、VMware Identity Managerディレクトリ同期で追加した他のユーザーと同じように管理できます。

    重要:

    [ディレクトリ同期を実行] オプションを使用すると、同期に時間がかかります。

    注:

    このオプションを選択すると、[Horizon 接続サーバ 5.x の構成] オプションも自動的に選択されます。これは、両方のオプションでリソース同期のために同じ代替方法を使用するためです。

  12. [デフォルトの起動クライアント] ドロップダウン リストから、Horizon アプリケーションまたはデスクトップを起動するデフォルトのクライアントを選択します。

    オプション

    説明

    なし

    管理者レベルでは、デフォルトの環境設定は指定されていません。このオプションが [なし] に設定され、エンド ユーザーの環境設定も指定されていない場合は、Horizon の [デフォルトの表示プロトコル] の設定を使用してデスクトップまたはアプリケーションの起動方法が決定されます。

    ブラウザ

    デフォルトでは、Horizon デスクトップとアプリケーションは、Web ブラウザで起動します。エンド ユーザーの環境設定が指定されている場合、この設定は上書きされます。

    ネイティブ

    デフォルトでは、Horizon デスクトップとアプリケーションは、Horizon Clientで起動します。エンド ユーザーの環境設定が指定されている場合、この設定は上書きされます。

    この設定は、このコレクションのすべてのリソースのすべてのユーザーに適用されます。

    デフォルトの起動クライアントには、優先順に以下の設定が適用されます。

    1. Workspace ONE ポータルで設定されるエンド ユーザー環境設定。このオプションは Workspace ONE アプリケーションでは使用できません。

    2. VMware Identity Manager コンソールで設定される、コレクションのための管理者の[デフォルトの起動クライアント] 設定。

    3. Horizon Administratorで設定される、デスクトップまたはアプリケーション プールの Horizon の [リモート表示プロトコル] > [デフォルトの表示プロトコル] 設定。たとえば、表示プロトコルが PCoIP に設定されている場合、アプリケーションまたはデスクトップは Horizon Clientで起動されます。

  13. [同期間隔] ドロップダウン メニューで、このコレクション内のリソースを同期する頻度を選択します。

    同期を定期的にスケジュール設定するか、手動で行うかを選択できます。[手動] を選択した場合は、コレクションを設定した後、および View リソースまたは資格に変更が発生したときに、カタログ仮想アプリケーションの設定ページの [同期] をクリックする必要があります。

  14. [アクティベーション ポリシー] ドロップダウン リストで、Horizon リソースを Workspace ONE でどのようにユーザーに提供するかを選択します。

    [ユーザーによるアクティベーション][自動] の両方のオプションを使用して、リソースは [カタログ] ページに追加されます。ユーザーは、[カタログ] ページからリソースを使用したり、[ブックマーク] ページに移動したりすることができます。ただし、任意のアプリケーションの承認フローを設定するには、そのアプリケーションの [ユーザーによるアクティベーション] を選択する必要があります。

    このページで選択するアクティベーション ポリシーは、コレクションのすべてのリソースに対するすべてのユーザー資格に適用されます。アプリケーションまたはデスクトップの [資格] ページから、個々のユーザーまたはグループのアクティベーション ポリシーをリソースごとに変更することができます。

    承認フローを設定する場合は、コレクションのアクティベーション ポリシーを [ユーザーによるアクティベーション] に設定することをお勧めします。

  15. [保存] をクリックします。

    コレクションが作成され、[仮想アプリケーションの設定] ページに表示されます。コレクション内のリソースはまだ同期されていません。

  16. コレクション内のリソースを VMware Identity Manager に同期するには、[仮想アプリケーションの設定] ページで [同期] をクリックします。

    資格やユーザーの追加などの設定の変更を Horizon で実行するたびに、同期を実行して、VMware Identity Managerに変更内容を伝達する必要があります。

  17. ポッドとポッド フェデレーションのクライアント アクセス URL を構成します。

    特定のネットワーク範囲の URL をカスタマイズします。たとえば、社内からのアクセスと外部からのアクセスには、通常異なる起動 URL を設定します。

    1. ネットワーク範囲を確認し、必要に応じて新しい範囲を作成します。

      • [ID とアクセス管理] > [ポリシー] タブをクリックします。

      • [ネットワーク範囲] をクリックします。

      • ネットワーク範囲を確認し、必要に応じて [ネットワーク範囲を追加] をクリックして新しい範囲を追加します。

    2. [カタログ] > [仮想アプリ] タブをクリックし、[仮想アプリの設定] をクリックします。
    3. [ネットワーク設定] をクリックします。
    4. 設定するネットワーク範囲を選択します。

      [View クラウド ポッド アーキテクチャのフェデレーション] セクションには、コレクションに追加したポッド フェデレーションのグローバル起動 URL が表示されます。[View ポッド] セクションには、[ローカル資格を同期] オプションが選択された、コレクションに追加したすべての View ポッドが表示されます。



      ネットワーク範囲


    5. [View クラウド ポッド アーキテクチャのフェデレーション] セクションでは、グローバル起動 URL に対し、このページに指定されたネットワーク範囲のグローバル資格に起動要求を渡すサーバの完全修飾ドメイン名を指定します。通常、これは View ポッド フェデレーション環境のグローバル ロード バランサ URL になります。

      例:lb.example.com

      グローバル起動 URL は、グローバル資格が付与されたリソースを起動するために使用されます。

    6. [View ポッド] セクションで、各ポッド用に、このネットワーク範囲のローカル資格に起動要求を渡すサーバの完全修飾ドメイン名を指定します。Horizon 接続サーバ インスタンス、ロード バランサ、またはセキュリティ サーバを指定できます。たとえば、社内アクセスを提供するネットワーク範囲の場合は、そのポッドの内部ロード バランサを指定することが考えられます。

      例:lb.example.com

      クライアント アクセス URL は、ポッドからローカル資格が付与されたリソースを起動するために使用されます。

      注:

      [アーティファクト を JWT にラップ] および [JWT の対象者] オプションの詳細については、検証ゲートウェイによる Horizon リソースの起動を参照してください。

    7. [終了] をクリックします。

    カスタムのネットワーク範囲向けに複数のクライアント アクセス URLを有効にするも参照してください。