個々の Horizon ポッドと VMware Identity Manager の統合に加えて、Horizon Cloud Pod アーキテクチャ (CPA) の展開環境を統合できます。

図 1. Horizon ポッド フェデレーションと VMware Identity Manager サービスの統合


ホストされた統合環境


Horizon Cloud Pod アーキテクチャ機能は、複数の Horizon ポッドをリンクして、デスクトップおよびアプリケーションのブローカリングと管理のための単一の大規模環境を形成します。この環境はポッド フェデレーションと呼ばれます。ポッド フェデレーションは、複数のサイトやデータセンターにわたって形成可能です。

VMware Identity Manager サービスには、1 つまたは複数のポッド フェデレーションを統合できます。ポッド フェデレーションは Horizon で作成され、管理されます。また、ポッド フェデレーションのデスクトップ プールとアプリケーション プールに対するユーザー資格とグループ資格は、Horizon で設定されます。リソースと資格を VMware Identity Manager と同期します。

ポッド フェデレーションではグローバル資格が使用されるので、ポッド フェデレーションに属するどのポッドからもアクセス可能なデスクトップとアプリケーションへのアクセス権限をユーザーに付与できます。グローバル資格は、フェデレーションに属する複数のポッドのリソースで構成できます。たとえば、3 つの異なるデータセンターの 3 つの異なるポッドからのデスクトップ プールを、1 つのグローバル デスクトップ資格に含めることが可能です。また、ポッド フェデレーション内の個別のポッドにローカル資格を構成することも可能です。グローバル資格とローカル資格は、両方とも VMware Identity Manager と同期できます。

ポッド フェデレーションと VMware Identity Manager サービスの統合では、次に示すような高レベルのタスクを VMware Identity Manager コンソールで実行します。

  • ポッド フェデレーションを形成するすべてのポッドを追加し、各ポッドに Horizon Connection Server の情報を指定します。

    VMware Identity Manager は、ポッド フェデレーションに属するどのポッドからもグローバル資格を同期できますが、SAML 認証に必要なメタデータを同期するために各ポッドに接続する必要があります。また、ローカル資格を同期する必要がある場合も、これらのポッドに接続する必要があります。

  • ポッド フェデレーションの情報を追加して、グローバル起動 URL を指定します。グローバル起動 URL は、通常はグローバル ロード バランサ URL となります。この URL は、グローバル資格が付与されたデスクトップおよびアプリケーションを起動するために使用されます。

    グローバル起動 URL は、社内アクセスや外部アクセスなど、特定のネットワーク範囲向けとしてカスタマイズできます。

  • ポッド フェデレーションからのリソースと資格を VMware Identity Manager サービスと同期します。

    注:

    ポッド フェデレーションで範囲ポリシーが [すべてのサイト] に設定されているグローバル資格のみが同期されます。範囲ポリシーが [すべてのサイト] に設定されることで、ポッド フェデレーション内のすべてのポッドに含まれるアプリケーションまたはデスクトップが検索対象となります。

  • グローバル起動 URL をカスタマイズするには、特定のネットワーク範囲のクライアント アクセス URL を設定します。これらの URL は、グローバル資格が付与されたリソースをポッド フェデレーションから起動するために使用されます。デフォルトでは、フェデレーションを追加するときに指定するグローバル起動 URL は、すべてのネットワーク範囲向けのグローバル起動 URL として使用されます。

  • ポッド フェデレーション内のローカル資格が構成されている各ポッドに、クライアント アクセス URL を指定します。これらの URL は、ローカル資格が付与されているデスクトップおよびアプリケーションをポッドから起動するために使用されます。クライアント アクセス URL は、Horizon Connection Server URL、セキュリティ サーバ URL、またはロード バランサ URL となることがあります。クライアント アクセス URL は、特定のネットワーク範囲向けに設定されます。デフォルトでは、ポッドを追加するときに指定する Horizon Connection Server は、すべてのネットワーク範囲向けのクライアント アクセス URL として使用されます。

ポッド フェデレーションと VMware Identity Manager サービスを統合すると、サービスは次の機能を実行します。

  • ポッド フェデレーションで範囲ポリシーが [すべてのサイト] に設定されているすべてのグローバル資格を同期します。

  • ポッド フェデレーションに属するポッドから、(選択された)ローカル資格を同期します。

  • ポッド フェデレーション内のすべての Horizon Connection Server からのメタデータを同期します。

  • Workspace ONE ポータルから Horizon アプリケーションおよびデスクトップへのユーザー アクセスを許可します。

エンド ユーザーは、Workspace ONE ポータルから Horizon アプリケーションおよびデスクトップにアクセスできます。グローバル資格かローカル資格を問わず、資格が付与されたすべてのリソースが表示されます。アプリケーションとデスクトップは、Horizon Client から起動されます。ローカル資格が付与されたアプリケーションまたはデスクトップをユーザーが起動するとき、アプリケーションまたはデスクトップはユーザーが接続する Horizon Connection Server から起動されます。グローバル資格が付与されたリソースは、リソースが配置されている Horizon Connection Server から起動されます。

Cloud Pod アーキテクチャのサンプル展開環境

次の図は、Cloud Pod アーキテクチャのサンプル展開環境と VMware Identity Manager サービスとの統合を示しています。

図 2. Cloud Pod アーキテクチャの展開環境の例


ホストされた展開環境の例


この図は、ポッド フェデレーションのサンプル展開環境を示しています。フェデレーション 1 という名前のポッド フェデレーションは、Horizon 6 で作成されています。これには、ポッド 1、ポッド 2、ポッド 3 という 3 つのポッドが含まれます。ポッド 1 とポッド 2 には、各 Horizon Connection Server についてセキュリティ サーバ インスタンス、外部アクセス向けに外部ロード バランサ、および社内アクセス向けに内部ロード バランサが構成されています。ポッド 3 は社内アクセス専用であり、内部ロード バランサが構成されています。ポッド フェデレーションは全体として、外部グローバル ロード バランサ 1 つと内部グローバル ロード バランサ 1 つを使用します。

デスクトップ プールとアプリケーション プールは、ポッドに展開されています。グローバル資格がフェデレーション 1 向けに構成され、ローカル資格も個別のポッド向けに構成されています。

フェデレーション 1 は VMware Identity Manager サービスと統合されています。VMware Identity Manager サービスは、グローバル資格およびフェデレーション 1 からのローカル資格と同期します。グローバル資格は各ポッドで複製されるため、ポッド 1 からのグローバル資格と同期します。また、ポッド 1、ポッド 2、およびポッド 3 からのローカル資格とも同期します。

エンド ユーザーは、グローバル資格かローカル資格化を問わず、資格が付与されたすべてのデスクトップとアプリケーションを VMware Identity Manager の Workspace ONE ポータルで表示できます。グローバル資格に属するデスクトップまたはアプリケーションをユーザーが起動すると、ユーザーのネットワーク範囲に基づいて、外部または内部ロード バランサ、URL EG、あるいは URL IG に起動要求が送られます。リソースがローカル資格に属する場合、ユーザーのネットワーク範囲に基づいて、リソースが展開されているポッドの内部または外部ロード バランサに起動要求が送られます。たとえば、ポッド 2 のリソースについては、URL I2 または URL E2 に要求が送られます。