Horizon Cloud テナントを VMware Identity Manager サービスと統合するには、VMware Identity Manager コンソールに仮想アプリケーションのコレクションを作成します。コンソールには Horizon Cloud テナント情報と同期設定が含まれ、リソースと資格が Horizon Cloud テナントから VMware Identity Manager サービスに同期されます。

複数の Horizon Cloud テナントがある場合は、必要に応じて、テナントごとに個別の仮想アプリケーションのコレクションを作成したり、すべてのテナントを単一のコレクションに構成したりできます。各コレクションは個別に同期されます。

前提条件

手順

  1. VMware Identity Manager コンソールにログインします。
  2. [カタログ] > [仮想アプリケーションのコレクション] タブを選択します。
  3. [新規] をクリックします。
  4. ソース タイプとして [Horizon Cloud] を選択します。
  5. 新規の Horizon Cloud の仮想アプリケーションのコレクション ウィザードで、[コネクタ] ページに次の情報を入力します。
    オプション 説明
    名前 Horizon Cloud コレクションの一意の名前を入力します。
    コネクタ このコレクションを同期するために使用するコネクタを選択します。コネクタを選択するには、コネクタに関連付けられているディレクトリを選択します。コネクタのクラスタを設定している場合は、すべてのコネクタ インスタンスが [ホスト] のリストに表示され、このコレクションのフェイルオーバーの順序で並べ替えることができます。
    重要: コレクションを作成した後、別のディレクトリを選択することはできません。
  6. [次へ] をクリックします。
  7. [テナント] ページで、[テナントを追加] をクリックし、Horizon Cloud テナント情報を入力します。
    重要: ドメイン情報を入力する際は、ASCII 以外の文字を使用しないでください。
    オプション 説明
    ホスト Horizon Cloud テナント ホストの完全修飾ドメイン名。たとえば、tenant1.example.com と入力します。
    ポート Horizon Cloud テナント ホストのポート番号。たとえば、443 と入力します。
    管理者ユーザー Horizon Cloud テナント管理者アカウントのユーザー名。たとえば、tenantadmin と入力します。
    管理者パスワード Horizon Cloud テナント管理者アカウントのパスワード。
    管理者ドメイン Horizon Cloud テナント管理者が所属する Active Directory NetBIOS ドメインの名前。
    同期するドメイン Horizon Cloudリソースと資格を同期させるための Active Directory NETBIOS ドメインの名前。
    注: このフィールドでは大文字と小文字が区別されます。名前を入力する際は、適切な文字を使用してください。
    アサーション コンシューマ サービス URL

    SAML アサーションのポスト先となる URL。この URL は通常、Horizon Cloud テナントのフローティング IP アドレスまたはホスト名か、Unified Access Gateway の URL です。たとえば、https://mytenant.example.com のように入力します。

    True SSO Horizon Cloud テナントで True SSO が有効な場合のみこのオプションを有効にします。

    このオプションを有効にすると、SecurID などパスワード以外の認証方法で VMware Identity Manager にログインしたユーザーは、Windows デスクトップを起動したときにパスワードの入力を求められません。

    カスタム ID マッピング ユーザーが Horizon Cloud アプリケーションおよびデスクトップを起動したときに SAML 応答で使用されるユーザー ID をカスタマイズできます。デフォルトでは、ユーザー プリンシパル名が使用されます。sAMAccountName またはメール アドレスなどの他の Name ID 形式を使用して値をカスタマイズすることもできます。

    [Name ID の形式:] メール アドレスやユーザー プリンシパル名など、Name ID の形式を選択します。デフォルト値は、[未指定(ユーザー名)] です。

    [Name ID 値:] [候補から選択] をクリックして定義済みの値のリストから選択するか、 [カスタム値] をクリックして値を入力します。この値には、 [${user.userName}@${user.domain}] などの有効な Expression Language (EL) 式を指定できます。デフォルト値は、 [${user.userPrincipalName}] です。
    注: 式で使用する属性が VMware ディレクトリにマッピングされた属性であることを確認します。マッピングされた属性はディレクトリの [同期設定] タブで表示できます。上の例では、userName、userPrincipalName、および domain がディレクトリにマッピングされた属性です。

    Name ID 形式を選択する機能は、次のようなシナリオで役立ちます。

    • 複数のサブドメインのユーザーを同期すると、ユーザー プリンシパル名が機能しないことがある。sAMAccountName またはメール アドレスなどの別の Name ID 形式を使用して、ユーザーを一意に識別することができます。
    重要: Horizon Cloud と VMware Identity Manager で同じ名前 ID 形式の設定を使用していることを確認します。
  8. [追加] をクリックします。
  9. 必要に応じて他のテナントを追加し、[次へ] をクリックします。
  10. [構成] ページに次の情報を入力します。
    オプション 説明
    同期間隔 コレクション内のリソースを同期する頻度を選択します。

    自動同期スケジュールを設定するか、手動同期を選択できます。スケジュールを設定するには、毎日または毎週などの間隔を選択し、同期を実行する時刻を選択します。[手動] を選択した場合は、コレクションを設定した後、および Horizon Cloud リソースまたは資格に変更が発生したときに、[仮想アプリケーションのコレクション] ページの [同期] をクリックする必要があります。

    アクティベーション ポリシー このコレクション内のリソースを Workspace ONE ポータルおよびアプリケーションのユーザーに提供する方法を選択します。承認フローを設定する場合は、[ユーザーによるアクティベーション] を選択し、それ以外の場合は [自動] を選択します。

    [ユーザーによるアクティベーション][自動] の両方のオプションを使用して、リソースは [カタログ] ページに追加されます。ユーザーは、[カタログ] ページからリソースを使用したり、[ブックマーク] ページに移動したりすることができます。ただし、任意のアプリケーションの承認フローを設定するには、そのアプリケーションの [ユーザーによるアクティベーション] を選択する必要があります。

    アクティベーション ポリシーは、コレクションのすべてのリソースに対するすべてのユーザー資格に適用されます。リソースごとの個々のユーザーまたはグループのアクティベーション ポリシーは、[ユーザーとグループ] タブのユーザーまたはグループ ページから変更できます。

    デフォルトの起動クライアント Workspace ONE ポータルまたはアプリケーションから Horizon Cloud デスクトップおよびアプリケーションにアクセスするエンド ユーザーのデフォルト クライアントを選択します。
    なし 管理者レベルでは、デフォルトの環境設定は指定されていません。このオプションが [なし] に設定され、エンド ユーザーも環境設定を指定していない場合は、Horizon Cloud のデフォルト プロトコルの設定を使用してデスクトップまたはアプリケーションの起動方法が決定されます。
    ブラウザ デフォルトでは、Horizon Cloud デスクトップとアプリケーションは、Web ブラウザで起動します。エンド ユーザーの環境設定が指定されている場合、この設定は上書きされます。
    ネイティブ デフォルトでは、Horizon Cloud デスクトップとアプリケーションは、Horizon Clientで起動します。エンド ユーザーの環境設定が指定されている場合、この設定は上書きされます。

    この設定は、このコレクションのすべてのリソースのすべてのユーザーに適用されます。

    デフォルトの起動クライアントには、優先順に以下の設定が適用されます。

    1. Workspace ONE ポータルで設定されるエンド ユーザー環境設定。この設定は Workspace ONE アプリケーションでは使用できません。
    2. VMware Identity Manager コンソールで設定される、コレクションのための管理者の [デフォルトの起動クライアント] 設定。
    3. Horizon Cloud のデフォルト プロトコル設定
  11. [次へ] をクリックします。
  12. [サマリ] ページで選択内容を確認し、[保存] をクリックします。
    コレクションが作成され、[仮想アプリケーションのコレクション] ページに表示されます。
  13. コレクション内のリソースと資格を同期するには、[仮想アプリケーションのコレクション] ページでコレクションを選択し、[同期] をクリックします。
    Horizon Cloud でリソースまたは資格が変更されるたびに、同期を実行して VMware Identity Manager に変更内容を伝達する必要があります。

次のタスク

Horizon Cloudテナントで SAML 認証を構成して、VMware Identity Manager サービスとHorizon Cloud テナント間の信頼を有効にします。