Horizon CloudテナントをWorkspace ONE Access サービスと統合するには、仮想アプリケーションのコレクションを Workspace ONE Access コンソールで作成します。コレクションには、割り当ての同期元となる Horizon Cloud テナント、同期に使用する仮想アプリケーション サービス インスタンス、同期設定などの構成情報が含まれます。

複数の Horizon Cloud テナントがある場合は、必要に応じて、テナントごとに個別の仮想アプリケーションのコレクションを作成したり、すべてのテナントを単一のコレクションに構成したりできます。各コレクションは個別に同期されます。

注: このトピックは、 Workspace ONE Access Connector バージョン 22.05 以降を使用して、シングル ポッド ブローカを使用した Horizon Cloud Service on Microsoft Azure および Horizon Cloud Service on IBM Cloud と Workspace ONE Access を統合する場合に適用されます。

前提条件

手順

  1. Workspace ONE Access コンソールにログインします。
  2. [リソース] > [仮想アプリケーションのコレクション] の順に選択します。
  3. [新規] をクリックします。
  4. ソース タイプとして [Horizon Cloud] を選択します。

    4 つのタイル(Horizon、Citrix、ThinApp Package、および Horizon Cloud)が表示されます。
  5. 新しい Horizon Cloud コレクション ウィザードで、[コネクタ] ページに次の情報を入力します。
    オプション 説明
    名前 Horizon Cloud コレクションの一意の名前を入力します。
    コネクタ このコレクションの同期に使用するコネクタを選択します。複数のコネクタを追加し、フェイルオーバーの順序に並べ替えることができます。仮想アプリケーション サービスがインストールされているコネクタのみがリストに表示されます。
    重要: Horizon Cloud 仮想アプリケーションのコレクションごとに最大 5 つのコネクタ インスタンスがサポートされます。
    例:
    ウィザードの [コネクタ] ページには、[Horizon Cloud デスクトップとアプリケーション] という名前のコレクションと connector1.example.com アクティブ コネクタが表示されます。
  6. [次へ] をクリックします。
  7. [テナント] ページで、[テナントを追加] をクリックし、Horizon Cloud テナント情報を入力します。
    重要: ドメイン情報を入力する際は、ASCII 以外の文字を使用しないでください。
    オプション 説明
    ホスト Horizon Cloud テナント ホストの完全修飾ドメイン名。たとえば、tenant1.example.com と入力します。
    ポート Horizon Cloud テナント ホストのポート番号。たとえば、443 と入力します。
    管理者ユーザー Horizon Cloud テナント管理者アカウントのユーザー名。たとえば、tenantadmin と入力します。
    管理者パスワード Horizon Cloud テナント管理者アカウントのパスワード。
    管理者ドメイン Horizon Cloud テナント管理者が所属する Active Directory NetBIOS ドメインの名前。
    同期するドメイン Horizon Cloudリソースと資格を同期させるための Active Directory NETBIOS ドメインの名前。
    アサーション コンシューマ サービス URL

    SAML アサーションのポスト先となる URL。この URL は通常、Horizon Cloud テナントのフローティング IP アドレスまたはホスト名か、Unified Access Gateway の URL です。たとえば、https://mytenant.example.com のように入力します。

    True SSO Horizon Cloud テナントで True SSO が有効な場合のみこのオプションを選択します。

    このオプションを有効にすると、SecurID などパスワード以外の認証方法で Intelligent Hub ポータルまたはアプリケーションにログインしたユーザーは、Windows デスクトップを起動したときにパスワードの入力を求められません。

    カスタム ID マッピング ユーザーが Horizon Cloud アプリケーションおよびデスクトップを起動したときに SAML 応答で使用されるユーザー ID をカスタマイズできます。デフォルトでは、ユーザー プリンシパル名が使用されます。sAMAccountName またはメール アドレスなどの他の Name ID 形式を使用して値をカスタマイズすることもできます。

    [Name ID の形式:] メール アドレスやユーザー プリンシパル名など、Name ID の形式を選択します。デフォルト値は、[未指定(ユーザー名)] です。

    [Name ID 値:] [候補から選択] をクリックして定義済みの値のリストから選択するか、[カスタム値] をクリックして値を入力します。この値には、[${user.userName}@${user.domain}] などの有効な Expression Language (EL) 式を指定できます。デフォルト値は、[${user.userPrincipalName}] です。
    注: 式で使用する属性が VMware ディレクトリにマッピングされた属性であることを確認します。マッピングされた属性はディレクトリの [同期設定] タブで表示できます。上の例では、userName、userPrincipalName、および domain がディレクトリにマッピングされた属性です。

    Name ID 形式を選択する機能は、次のようなシナリオで役立ちます。

    • 複数のサブドメインのユーザーを同期すると、ユーザー プリンシパル名が機能しないことがある。sAMAccountName またはメール アドレスなどの別の Name ID 形式を使用して、ユーザーを一意に識別することができます。
    重要: Horizon Cloud と Workspace ONE Access とで同じ名前 ID 形式の設定を使用しているようにします。
    例:
    [ホスト] の値は [tenant1.example.com]、[ポート] は [443]、[管理者ユーザー] は [tenantadmin]、[管理者ドメイン] は [FTE]、[同期するドメイン] は [FTE] です。
  8. [追加] をクリックします。
  9. 必要に応じて他のテナントを追加し、[次へ] をクリックします。
  10. [構成] ページに次の情報を入力します。
    オプション 説明
    同期間隔 コレクション内のリソースを同期する頻度を選択します。

    自動同期スケジュールを設定するか、手動同期を選択できます。スケジュールを設定するには、毎日または毎週などの間隔を選択し、同期を実行する時刻を選択します。[手動] を選択した場合は、コレクションを設定した後、および Horizon Cloud のリソースまたは資格に変更が発生したときに、[仮想アプリケーションのコレクション] ページの [同期] > [セーフガードを使用した同期] または [同期] > [セーフガードを使用しない同期] をクリックする必要があります。

    同期の詳細については、Workspace ONE Access での仮想アプリケーションのコレクションの同期を参照してください。
    セーフガードのしきい値の制限 仮想アプリケーションのコレクションの同期時にアプリケーション、デスクトップ、および割り当てに加えられる変更の数を制限する場合は、同期のセーフガードのしきい値を構成します。いずれかのしきい値に達した場合、同期はキャンセルされます。

    デフォルトでは、Workspace ONE Access はすべてのカテゴリのしきい値を 10% に設定します。

    同期のセーフガードは、コレクションの初回の同期時に無視され、以降のすべての同期に適用されます。

    同期のセーフガードの詳細については、Workspace ONE Access での仮想アプリケーションのコレクションの同期を参照してください。
    アクティベーション ポリシー このコレクション内のリソースを Intelligent Hub ポータルおよびアプリケーションのユーザーに提供する方法を選択します。承認フローを設定する場合は、[ユーザーによるアクティベーション] を選択し、それ以外の場合は [自動] を選択します。

    [ユーザーによるアクティベーション][自動] の両方のオプションを使用して、リソースは [アプリケーション] タブに追加されます。ユーザーは、[アプリケーション] タブからリソースを実行したり、お気に入りとしてマークし、[お気に入り] タブから実行したりすることができます。ただし、任意のアプリケーションの承認フローを設定するには、そのアプリケーションの [ユーザーによるアクティベーション] を選択する必要があります。

    アクティベーション ポリシーは、コレクションのすべてのリソースに対するすべてのユーザー資格に適用されます。[アカウント] > [ユーザー] または [アカウント] > [ユーザー グループ] ページで利用できるユーザーまたはグループ ページから、リソースごとに個々のユーザーまたはグループのアクティベーション ポリシーを変更できます。
    デフォルトの起動クライアント Intelligent Hub ポータルまたはアプリケーションから Horizon Cloud デスクトップおよびアプリケーションにアクセスするエンド ユーザーのデフォルト クライアントを選択します。

    [なし]:管理者レベルでは、デフォルトの環境設定は指定されていません。このオプションが [なし] に設定され、エンド ユーザーも環境設定を指定していない場合は、Horizon の [デフォルトの表示プロトコル] の設定を使用してデスクトップまたはアプリケーションの起動方法が決定されます。

    [ブラウザ]:デフォルトでは、デスクトップとアプリケーションは Web ブラウザで起動します。エンド ユーザーの環境設定が指定されている場合、この設定は上書きされます。

    [ネイティブ]:デフォルトでは、デスクトップとアプリケーションは Horizon Client で起動します。エンド ユーザーの環境設定が指定されている場合、この設定は上書きされます。

    この設定は、このコレクションのすべてのリソースのすべてのユーザーに適用されます。

    デフォルトの起動クライアントには、優先順に以下の設定が適用されます。

    1. Intelligent Hub で設定される、エンド ユーザーの環境設定。
    2. Workspace ONE Access コンソールで設定される、コレクションのための管理者の [デフォルトの起動クライアント] 設定。
    3. Horizon Cloud のデフォルト プロトコル設定
    例:
    [同期の頻度] は [毎週]、[同期時間] は [日曜日 23 時 55 分]、[アクティベーション ポリシー] は、[ユーザーによるアクティベーション]、[デフォルトの起動クライアント] は [ネイティブ] です。
  11. [次へ] をクリックします。
  12. [サマリ] ページで選択内容を確認し、[保存] をクリックします。

結果

コレクションが作成され、[仮想アプリケーションのコレクション] ページに表示されます。コレクション内のリソースはまだ同期されていません。統合の設定が完了したら、次のスケジュール設定された同期を待つか、手動で同期することができます。

次のタスク

Horizon Cloudテナントで SAML 認証を構成して、Workspace ONE Access サービスとHorizon Cloud テナント間の信頼を有効にします。SAML 認証が設定されるまで、アプリケーションを起動できません。