VMware Identity Manager コンソールで Horizon ポッドとポッド フェデレーションを構成して、リソースと資格を VMware Identity Manager サービスに同期させます。

ポッドおよびポッド フェデレーションを構成するには、[カタログ] > [仮想アプリケーションのコレクション] ページで 1 つまたは複数の仮想アプリケーションのコレクションを作成し、構成情報(リソースと資格を同期する Horizon Connection Server、ポッド フェデレーションの詳細、同期に使用する VMware Identity Manager Connector、およびデフォルトの起動クライアントなどの管理者設定)を入力します。

ポッドとポッド フェデレーションを追加したら、エンド ユーザーがリソースにアクセスするときに正しいサーバに接続できるように、特定のネットワーク範囲に対してクライアント アクセスの FQDN を構成します。

必要に応じて、すべての Horizon ポッドおよびポッド フェデレーションを 1 つのコレクションに追加することも、複数のコレクションを作成することもできます。たとえば、ポッド フェデレーションまたはポッドごとに個別のコレクションを作成して、管理をしやすくしたり複数のコネクタに同期の負荷を分散したりすることができます。または、すべてのポッドおよびポッド フェデレーションを 1 つのコレクションに含めてテストの目的で使用し、もう 1 つの同じコレクションを本番環境用に使用することもできます。

重要: Horizon サーバで設定または SAML 構成を変更する場合は、 VMware Identity Manager コンソールの [仮想アプリケーションのコレクション] ページを編集し、[保存] をクリックして VMware Identity Manager サービスの最新の Horizon 設定を更新します。

前提条件

  • Horizon ポッドの統合の要件Horizon ポッド フェデレーションの統合の要件に従って Horizon をセットアップします。
  • VMware Identity Manager 環境のセットアップ に従って VMware Identity Manager を設定します。
  • VMware Identity Manager で構成する各 Horizon ポッドについて、管理者ロールを持つユーザーの認証情報があることを確認します。
  • VMware Identity Manager でこの手順を実行するには、カタログ サービスでデスクトップ アプリケーションの管理アクションを含む管理者ロールを使用する必要があります。
  • この手順の最後に、クライアント アクセスの FQDN を構成するための [ネットワーク範囲] ページにリダイレクトされます。[ネットワーク範囲] ページを編集して保存するには、スーパー管理者ロールが必要です。この手順は個別に実行できます。

手順

  1. VMware Identity Manager コンソールにログインします。
  2. [カタログ] > [仮想アプリケーションのコレクション] タブを選択します。
  3. [新規] をクリックします。
  4. ソース タイプとして [Horizon] を選択します。
  5. 新しい Horizon 仮想アプリケーションのコレクション ウィザードで、[コネクタ] ページに次の情報を入力します。
    オプション 説明
    名前 Horizon コレクションの一意の名前を入力します。
    コネクタ このコレクションを同期するために使用するコネクタを選択します。コネクタを選択するには、コネクタに関連付けられているディレクトリを選択します。コネクタのクラスタを設定している場合は、すべてのコネクタ インスタンスが [ホスト] のリストに表示され、このコレクションのフェイルオーバーの順序で並べ替えることができます。
    重要: コレクションを作成した後、別のディレクトリを選択することはできません。
  6. [次へ] をクリックします。
  7. [ポッドおよびフェデレーション] ページで、[ポッドを追加] をクリックし、ポッド情報を入力します。
    ポッドに複数の Horizon Connection Server インスタンスがある場合は、いずれかのインスタンスの情報を入力します。
    オプション 説明
    Connection Server ポッド内の任意の 1 つの Horizon Connection Server インスタンスの完全修飾ホスト名を入力します。たとえば、connectionserver.horizondomain.com です。ドメイン名は、Horizon Connection Server インスタンスの参加先ドメイン名と一致する必要があります。
    重要: ポッドに複数の Horizon Connection Server インスタンスがある場合でも、追加する必要のあるインスタンスはその中の 1 つのみです。 VMware Identity Manager は、ポッド内のすべてのインスタンスの情報をプルします。
    ユーザー名 Horizon Connection Server の管理者ユーザー名を入力します。ユーザーは、Horizon で管理者ロールを持っている必要があります。
    パスワード Horizon Connection Server の管理者パスワードを入力します。
    スマート カード認証 ユーザーがパスワードの代わりにスマート カード認証を使用して Horizon Connection Server にログインする場合は、このオプションを有効にします。
    True SSO

    Horizon Connection Server で True SSO が有効な場合のみこのオプションを有効にします。このオプションは、True SSO 機能をサポートする Horizon バージョンにのみ適用されます。

    このオプションを有効にすると、SecurID などパスワード以外の認証方法で Workspace ONE にログインしたユーザーは、Windows デスクトップを起動したときにパスワードの入力を求められません。

    ローカルの割り当てを同期 このオプションを有効にすると、グローバル割り当てに加えて、Horizon Connection Server からローカル資格を同期することができます。
  8. ポッドをさらに追加するには、[ポッドを追加] をクリックし、各ポッドの情報を入力します。
  9. 追加したいずれかのポッドに対して Horizon で [Cloud Pod アーキテクチャ] オプションが有効になっている場合は、次の手順に従ってポッド フェデレーション情報を追加します。
    1. [上で追加したポッドのいずれかで Cloud Pod アーキテクチャを有効にしましたか] オプションを [はい] に設定します。
    2. [フェデレーションを追加] をクリックします。
    3. ポッド フェデレーションの情報を入力します。
      オプション 説明
      フェデレーション名 ポッド フェデレーションの名前です。
      クライアント アクセスの FQDN このポッド フェデレーションのグローバル資格にアクセスするクライアントを接続するサーバの完全修飾ドメイン名 (FQDN)。通常、この値はポッド フェデレーション環境のグローバル ロード バランサになります。

      たとえば、federationA.example.com と指定します。

      後に構成プロセスで、クライアント アクセスの FQDN の対象を特定のネットワーク範囲とするようにカスタマイズできます。

      Horizon ポッド ポッド フェデレーションに属するポッドを選択します。[使用可能なポッド] 列には、コレクションに追加したすべてのポッドが表示されます。ポッドを選択すると、そのポッドは [選択されたポッド] 列に追加されます。[選択されたポッド] 列のポッドをフェイルオーバーの順序で並べ替えることができます。
    4. 別のポッド フェデレーションを追加するには、[フェデレーションを追加] をクリックし、ポッド フェデレーション情報を入力します。
  10. [次へ] をクリックします。
  11. [構成] ページに次の情報を入力します。
    オプション 説明
    同期間隔 コレクション内のリソースを同期する頻度を選択します。

    自動同期スケジュールを設定するか、手動同期を選択できます。スケジュールを設定するには、毎日または毎週などの間隔を選択し、同期を実行する時刻を選択します。[手動] を選択した場合は、コレクションを設定した後、および Horizon Cloud リソースまたは資格に変更が発生したときに、[仮想アプリケーションのコレクション] ページの [同期] をクリックする必要があります。

    重複するアプリケーションを同期 複数のサーバで同じアプリケーションを重複して同期しないようにするには、[いいえ] に設定します。

    VMware Identity Manager が複数のデータセンターで展開されると、同じリソースが複数のデータセンターでセットアップされます。このオプションを [いいえ] に設定すると、VMware Identity Manager カタログでデスクトップまたはアプリケーションのプールが重複しなくなります。
    アクティベーション ポリシー このコレクション内のリソースを Workspace ONE ポータルおよびアプリケーションのユーザーに提供する方法を選択します。承認フローを設定する場合は、[ユーザーによるアクティベーション] を選択し、それ以外の場合は [自動] を選択します。

    [ユーザーによるアクティベーション][自動] の両方のオプションを使用して、リソースは [カタログ] タブに追加されます。ユーザーは、[カタログ] タブからリソースを使用したり、[ブックマーク] タブに移動したりすることができます。ただし、任意のアプリケーションの承認フローを設定するには、そのアプリケーションの [ユーザーによるアクティベーション] を選択する必要があります。

    アクティベーション ポリシーは、コレクションのすべてのリソースに対するすべてのユーザー資格に適用されます。リソースごとの個々のユーザーまたはグループのアクティベーション ポリシーは、[ユーザーとグループ] タブのユーザーまたはグループ ページから変更できます。

    デフォルトの起動クライアント Workspace ONE ポータルまたはアプリケーションから Horizon デスクトップおよびアプリケーションにアクセスするエンド ユーザーのデフォルト クライアントを選択します。

    [なし]:管理者レベルでは、デフォルトの環境設定は指定されていません。このオプションが [なし] に設定され、エンド ユーザーも環境設定を指定していない場合は、Horizon の [デフォルトの表示プロトコル] の設定を使用してデスクトップまたはアプリケーションの起動方法が決定されます。

    [ブラウザ]:デフォルトでは、Horizon デスクトップとアプリケーションは Web ブラウザで起動します。エンド ユーザーの環境設定が指定されている場合、この設定は上書きされます。

    [ネイティブ]:デフォルトでは、Horizon デスクトップとアプリケーションは Horizon Client で起動します。エンド ユーザーの環境設定が指定されている場合、この設定は上書きされます。

    この設定は、このコレクションのすべてのリソースのすべてのユーザーに適用されます。

    デフォルトの起動クライアントには、優先順に以下の設定が適用されます。

    1. Workspace ONE ポータルで設定されるエンド ユーザー環境設定。このオプションは Workspace ONE アプリケーションでは使用できません。
    2. VMware Identity Manager コンソールで設定される、コレクションのための管理者の [デフォルトの起動クライアント] 設定。
    3. Horizon Administrator で設定される、デスクトップまたはアプリケーション プールの Horizon の [リモート表示プロトコル] > [デフォルトの表示プロトコル] 設定。たとえば、表示プロトコルが PCoIP に設定されている場合、アプリケーションまたはデスクトップは Horizon Clientで起動されます。
    重要: Horizon 7.13 以降のバージョンを VMware Identity Manager に統合する場合、エンド ユーザーにはアプリケーションおよびデスクトップをブラウザで起動するオプションが常に表示されます。ただし、HTML Access が Horizon Connection Server にインストールされていないと、ブラウザの起動に失敗します。Horizon 7.13 以降のバージョンの場合は、Horizon Connection Server に HTML Access をインストールする必要があります。詳細については、 VMware Horizon HTML Access のドキュメントを参照してください。
  12. [次へ] をクリックします。
  13. [サマリ] ページで選択内容を確認し、[ ネットワーク範囲の保存および設定] をクリックします。
    [ネットワーク範囲] ページが表示されます。
  14. [ネットワーク範囲] ページで、各ネットワーク範囲を編集し、Horizon ポッドとポッド フェデレーションのクライアント アクセスの FQDN を指定して、Horizon アプリケーションおよびデスクトップにアクセスするエンド ユーザーが正しいサーバに接続できるようにします。
    1. 編集するネットワーク範囲をクリックするか、[ネットワーク範囲を作成] をクリックして、必要に応じて新しいネットワーク範囲を作成します。
    2. ネットワーク範囲を新規作成する場合は、名前、オプションの説明、および IP アドレスの範囲を入力します。
    3. [ポッド] および [View クラウド ポッド アーキテクチャのフェデレーション] セクションにスクロールします。
      [ポッド] セクションには、[ローカルの割り当てを同期] オプションが有効になった、コレクションに追加したすべての Horizon ポッドが一覧表示されます。[View クラウド ポッド アーキテクチャのフェデレーション] セクションには、追加したすべてのポッド フェデレーションが一覧表示されます。
      ネットワーク範囲へのポッドの割り当て

    4. 各ポッドの [ポッド] セクションを編集し、このネットワーク範囲に適切な値を入力します。
      オプション 説明
      クライアント アクセスの FQDN このネットワーク範囲から要求が送信された場合、このポッドのローカル資格にアクセスするクライアントを接続するサーバの完全修飾ドメイン名 (FQDN) を指定します。これには、Horizon Connection Server、セキュリティ サーバ、ロード バランサ、またはリバース プロキシの FQDN を使用できます。

      たとえば、internallb.example.com などです。

      ポッドのクライアント アクセスの FQDN は、ポッドからローカル資格が付与されたリソースを起動するために使用されます。

      ポート サーバ ポート。
      アーティファクト を JWT にラップ 検証ゲートウェイによる Horizon リソースの起動を参照してください。
      JWT の対象者 検証ゲートウェイによる Horizon リソースの起動を参照してください。
    5. 各ポッド フェデレーションの [View クラウド ポッド アーキテクチャのフェデレーション] セクションを編集し、このネットワーク範囲に適切な値を入力します。
      オプション 説明
      クライアント アクセスの FQDN このネットワーク範囲から要求が送信された場合、このポッド フェデレーションのグローバル資格にアクセスするクライアントを接続するサーバの完全修飾ドメイン名 (FQDN) を指定します。通常、これはポッド フェデレーション環境のグローバル ロード バランサになります。

      たとえば、globallb.example.com などです。

      ポッド フェデレーションのクライアント アクセスの FQDN は、グローバル資格が付与されたリソースを起動するために使用されます。

      ポート サーバ ポート。
      アーティファクト を JWT にラップ VMware Identity Manager サービスが、F5 などの検証ゲートウェイと統合されている場合、ユーザーに割り当てられた Horizon リソースを認証するには、このオプションを有効にする必要があります。検証ゲートウェイによる Horizon リソースの起動を参照してください。
      JWT の対象者 検証ゲートウェイによる Horizon リソースの起動を参照してください。
    6. [[保存]] をクリックします。
    7. これらの手順を繰り返して、他のネットワーク範囲を編集します。
    8. [ネットワーク範囲] ページで [終了] をクリックします。

次のタスク

Horizon コレクションが作成され、[カタログ] > [仮想アプリケーションのコレクション] ページに表示されます。コレクション内のリソースはまだ同期されていません。次のスケジュール同期を待つか、[カタログ] > [仮想アプリケーションのコレクション] ページからコレクションを手動で同期することができます。