Workspace ONE Access コンソールで Horizon ポッドとポッド フェデレーションを構成して、リソースと割り当てを Workspace ONE Access サービスに同期させます。

ポッドおよびポッド フェデレーションを構成するには、[カタログ] > [仮想アプリケーションのコレクション] ページで 1 つまたは複数の仮想アプリケーションのコレクションを作成し、構成情報(リソースと資格を同期する Horizon Connection Server、ポッド フェデレーションの詳細、同期に使用する Workspace ONE Access 仮想アプリケーション サービス、およびデフォルトの起動クライアントなどの管理者設定)を入力します。

ポッドとポッド フェデレーションを追加したら、エンド ユーザーがアプリケーションとデスクトップを起動するときに正しいサーバに接続できるように、特定のネットワーク範囲に対してクライアント アクセスの FQDN を構成します。

必要に応じて、すべての Horizon ポッドおよびポッド フェデレーションを 1 つのコレクションに追加することも、複数のコレクションを作成することもできます。たとえば、ポッド フェデレーションまたはポッドごとに個別のコレクションを作成して、管理をしやすくしたり複数のコネクタに同期の負荷を分散したりすることができます。または、すべてのポッドおよびポッド フェデレーションを 1 つのコレクションに含めてテストの目的で使用し、もう 1 つの同じコレクションを本番環境用に使用することもできます。

重要: 統合の設定後に Horizon Server で設定または SAML 構成を変更し、変更をすぐに Workspace ONE Access サービスに伝達する場合は、 Workspace ONE Access コンソールで [仮想アプリケーションのコレクション] ページを編集し、 [保存] をクリックします。そうしない場合は、次回の同期時に更新が伝達されます。

前提条件

  • Workspace ONE Access と Horizon ポッドの統合の要件Workspace ONE Access と Horizon ポッド フェデレーションの統合の要件に従って Horizon をセットアップします。
  • Horizon 統合のための Workspace ONE Access 環境の設定 に従って Workspace ONE Access を設定します。
  • Workspace ONE Access で構成する各 Horizon ポッドについて、Horizon Connection Server 管理者のユーザー名とパスワードがあることを確認します。ユーザーは、Horizon で管理者ロールを持っている必要があります。
  • Workspace ONE Access でこの手順を実行するには、カタログ サービスでデスクトップ アプリケーションの管理アクションを含む管理者ロールを使用する必要があります。
  • この手順の最後に、クライアント アクセスの FQDN を構成するための [ネットワーク範囲] ページにリダイレクトされます。[ネットワーク範囲] ページを編集して保存するには、スーパー管理者ロールが必要です。この手順は個別に実行できます。

手順

  1. Workspace ONE Access コンソールにログインします。
  2. [カタログ] > [仮想アプリケーションのコレクション] タブを選択します。
  3. 情報ページが表示された場合は、情報を確認して [開始する] をクリックします。表示されない場合は、[新規] をクリックします。
  4. ソース タイプとして [Horizon] を選択します。
  5. 新しい Horizon アプリ コレクション ウィザードで、[コネクタ] ページに次の情報を入力します。
    オプション 説明
    名前 Horizon 仮想アプリケーションのコレクションの一意の名前を入力します。
    コネクタ このコレクションの同期に使用するコネクタを選択します。複数のコネクタを追加し、フェイルオーバーの順序に並べ替えることができます。仮想アプリケーション サービスがインストールされているコネクタのみがリストに表示されます。
  6. [次へ] をクリックします。
  7. [ポッドおよびフェデレーション] ページで、[ポッドを追加] をクリックし、ポッド情報を入力します。
    ポッドに複数の Horizon Connection Server インスタンスがある場合は、いずれかのインスタンスの情報を入力します。
    オプション 説明
    Horizon Connection Server ポッド内の任意の 1 つの Horizon Connection Server インスタンスの完全修飾ホスト名を入力します。たとえば、connectionserver.horizondomain.com です。ドメイン名は、Horizon Connection Server インスタンスの参加先ドメイン名と一致する必要があります。
    重要: ポッドに複数の Horizon Connection Server インスタンスがある場合でも、追加する必要のあるインスタンスはその中の 1 つのみです。 VMware Workspace ONE Access は、ポッド内のすべてのインスタンスの情報をプルします。
    ユーザー名 Horizon Connection Server の管理者ユーザー名を入力します。ユーザーは、Horizon で管理者ロールを持っている必要があります。
    パスワード Horizon Connection Server の管理者パスワードを入力します。
    スマート カード認証 ユーザーがパスワードの代わりにスマート カード認証を使用して Horizon Connection Server にログインする場合は、このオプションを選択します。
    True SSO

    Horizon Connection Server で True SSO が有効な場合のみこのオプションを選択します。このオプションは、True SSO 機能をサポートする Horizon バージョンにのみ適用されます。

    このオプションを有効にすると、SecurID などパスワード以外の認証方法で Workspace ONE アプリケーションまたはポータルにログインしたユーザーは、Windows デスクトップを起動したときにパスワードの入力を求められません。

    ローカルの割り当てを同期 このオプションを選択すると、グローバル割り当てに加えて、Horizon Connection Server からローカル資格を同期することができます。
    例:
    [ポッドを追加] フォームの [Horizon Connection Server] フィールドの値は pod2.example.com、[ユーザー名] の値は admin で、パスワードが入力されます。
  8. [追加] をクリックします。
  9. ポッドをさらに追加するには、[ポッドを追加] をクリックし、各ポッドの情報を入力します。
  10. 追加したいずれかのポッドに対して Horizon で [Cloud Pod アーキテクチャ] オプションが有効になっている場合は、次の手順に従ってポッド フェデレーション情報を追加します。
    1. [上で追加したポッドのいずれかで Cloud Pod アーキテクチャを有効にしましたか] オプションを [はい] に設定します。
    2. [フェデレーションを追加] をクリックします。
    3. ポッド フェデレーションの情報を入力し、[追加] をクリックします。
      オプション 説明
      フェデレーション名 ポッド フェデレーションの名前です。
      デフォルトのクライアント アクセスの FQDN このポッド フェデレーションのグローバル資格にアクセスするクライアントを接続するサーバの完全修飾ドメイン名 (FQDN)。通常、この値はポッド フェデレーション環境のグローバル ロード バランサになります。

      たとえば、federationA.example.com と指定します。

      デフォルトのクライアント アクセスの FQDN は、現在構成されているすべてのネットワーク範囲の [CPA フェデレーションを表示する - クライアント アクセスの FQDN] テキスト ボックスに最初のデフォルト値を設定するために使用されます。コレクションを作成したら、コレクションの [ネットワーク範囲] タブに移動して、各ネットワーク範囲の [CPA フェデレーションを表示する - クライアント アクセスの FQDN] の値をカスタマイズします。

      コレクションを作成した後、ポッド フェデレーションのクライアント アクセスの FQDN を更新する場合は、[ネットワーク範囲] タブに移動し、各ネットワーク範囲の [CPA フェデレーションを表示する] セクションの [クライアント アクセスの FQDN] の値を編集します。Horizon アプリ コレクションの編集ウィザードで [デフォルトのクライアント アクセスの FQDN] の値を編集しても、ネットワーク範囲の値は更新されません。

      注: コレクションの作成後にネットワーク範囲を作成する場合は、コレクションの [ネットワーク範囲] タブに移動し、新しいネットワーク範囲を選択して、 [CPA フェデレーションを表示する] セクションに [クライアント アクセスの FQDN] の値を追加します。そうしないと、そのネットワーク範囲を使用しているクライアントは Horizon デスクトップおよびアプリケーションにアクセスできなくなります。
      Horizon ポッド ポッド フェデレーションに属するすべてのポッドを選択します。[使用可能なポッド] 列には、コレクションに追加したポッドが表示されます。ポッドを選択すると、そのポッドは [選択されたポッド] 列に追加されます。[選択されたポッド] 列のポッドをフェイルオーバーの順序で並べ替えることができます。
      重要: ポッド フェデレーションに属するすべてのポッドを仮想アプリケーションのコレクションに追加し、ここで選択する必要があります。
      例:
      [フェデレーションを追加] フォームでは、[フェデレーション名] フィールドの値は Horizon ポッド フェデレーション A で、[クライアント アクセスの FQDN] フィールドの値は federationA.example.com です。[Horizon ポッド] セクションには、[使用可能なポッド] と [選択されたポッド] の 2 つの列があります。pod2.example.com が選択されています。
    4. 別のポッド フェデレーションを追加するには、[フェデレーションを追加] をクリックし、ポッド フェデレーション情報を入力します。
  11. [構成] ページに次の情報を入力します。
    オプション 説明
    同期間隔 Horizon Server から Workspace ONE Access にアプリケーション、デスクトップ、および割り当てを同期する頻度を選択します。

    自動同期スケジュールを設定するか、手動同期を選択できます。スケジュールを設定するには、毎日または毎週などの間隔を選択し、同期を実行する時刻を選択します。[手動] を選択した場合は、コレクションを作成した後、および Horizon のリソースまたは割り当てに変更が発生したときに、[仮想アプリケーションのコレクション] ページの [同期] > [セーフガードを使用した同期] または [同期] > [セーフガードを使用しない同期] をクリックする必要があります。

    同期の詳細については、Workspace ONE Access での仮想アプリケーションのコレクションの同期を参照してください。
    重複するアプリケーションを同期 複数のサーバで同じアプリケーションを重複して同期しないようにするには、[いいえ] に設定します。

    Workspace ONE Access が複数のデータセンターで展開されると、同じリソースが複数のデータセンターでセットアップされます。このオプションを [いいえ] に設定すると、Intelligent Hub カタログでデスクトップまたはアプリケーションのプールが重複しなくなります。
    セーフガードのしきい値の制限 仮想アプリケーションのコレクションの同期時にアプリケーション、デスクトップ、および割り当てに加えられる変更の数を制限する場合は、同期のセーフガードのしきい値を構成します。いずれかのしきい値に達した場合、同期はキャンセルされます。

    デフォルトでは、Workspace ONE Access はすべてのカテゴリのしきい値を 10% に設定します。

    同期のセーフガードは、コレクションの初回の同期時に無視され、以降のすべての同期に適用されます。

    同期のセーフガードの詳細については、Workspace ONE Access での仮想アプリケーションのコレクションの同期を参照してください。
    アクティベーション ポリシー このコレクション内のリソースを Workspace ONE Intelligent Hub アプリケーションおよびポータルのユーザーに提供する方法を選択します。承認フローを設定する場合は、[ユーザーによるアクティベーション] を選択し、それ以外の場合は [自動] を選択します。

    [ユーザーによるアクティベーション][自動] の両方のオプションを使用して、リソースは [アプリケーション] タブに追加されます。ユーザーは、[アプリケーション] タブからリソースを実行したり、お気に入りとしてマークし、[お気に入り] タブから実行したりすることができます。ただし、任意のアプリケーションの承認フローを設定するには、そのアプリケーションの [ユーザーによるアクティベーション] を選択する必要があります。

    アクティベーション ポリシーは、コレクションのすべてのリソースに対するすべてのユーザー割り当てに適用されます。リソースごとの個々のユーザーまたはグループのアクティベーション ポリシーは、[ユーザーとグループ] タブのユーザーまたはグループ ページから変更できます。

    デフォルトの起動クライアント Intelligent Hub アプリケーションまたはポータルから Horizon デスクトップおよびアプリケーションにアクセスするエンド ユーザーのデフォルト クライアントを選択します。

    [なし]:管理者レベルでは、デフォルトの環境設定は指定されていません。このオプションが [なし] に設定され、エンド ユーザーも環境設定を指定していない場合は、Horizon の [デフォルトの表示プロトコル] の設定を使用してデスクトップまたはアプリケーションの起動方法が決定されます。

    [ブラウザ]:デフォルトでは、Horizon デスクトップとアプリケーションは Web ブラウザで起動します。エンド ユーザーの環境設定が指定されている場合、この設定は上書きされます。

    [ネイティブ]:デフォルトでは、Horizon デスクトップとアプリケーションは Horizon Client で起動します。エンド ユーザーの環境設定が指定されている場合、この設定は上書きされます。

    この設定は、このコレクションのすべてのリソースのすべてのユーザーに適用されます。

    デフォルトの起動クライアントには、優先順に以下の設定が適用されます。

    1. Intelligent Hub で設定される、エンド ユーザーの環境設定。
    2. Workspace ONE Access コンソールで設定される、コレクションのための管理者の [デフォルトの起動クライアント] 設定。
    3. Horizon Console で設定される、デスクトップまたはアプリケーション プールの Horizon の [リモート表示プロトコル] > [デフォルトの表示プロトコル]設定。たとえば、表示プロトコルが PCoIP に設定されている場合、アプリケーションまたはデスクトップは Horizon Clientで起動されます。
    重要: Horizon 7.13 以降のバージョンを Workspace ONE Access に統合する場合、エンド ユーザーの Intelligent Hub にはアプリケーションおよびデスクトップをブラウザで起動するオプションが常に表示されます。ただし、HTML Access が Horizon Connection Server にインストールされていないと、ブラウザの起動に失敗します。Horizon 7.13 以降のバージョンの場合は、Horizon Connection Server に HTML Access をインストールする必要があります。詳細については、 VMware Horizon HTML Access のドキュメントを参照してください。
  12. [サマリ] ページで選択内容を確認し、[保存と設定] をクリックします。
    [ネットワーク範囲] タブが表示されます。
  13. [ネットワーク範囲] タブで、各ネットワーク範囲を編集し、Horizon ポッドとポッド フェデレーションのクライアント アクセスの FQDN を指定して、そのネットワーク範囲から Horizon アプリケーションおよびデスクトップにアクセスするエンド ユーザーが正しいサーバに接続できるようにします。
    ネットワーク範囲の構成方法の詳細については、 Workspace ONE Access での Horizon 仮想アプリケーションのクライアント アクセス FQDN の設定を参照してください。

次のタスク

Horizon コレクションが作成され、[カタログ] > [仮想アプリケーションのコレクション] ページに表示されます。コレクション内のリソースはまだ同期されていません。次のスケジュール同期を待つか、[カタログ] > [仮想アプリケーションのコレクション] ページからコレクションを手動で同期することができます。