Horizon Cloud 테넌트 환경이 단일 포드 브로커링을 사용하도록 구성되어 있고 Workspace ONE Access를 사용하려는 경우 여기에 나와 있는 단계를 사용합니다. Horizon Cloud on Microsoft Azure 배포를 클라우드 호스팅 Workspace ONE Access 환경과 통합하여 최종 사용자가 Workspace ONE Access의 통합된 단일 카탈로그에서 사용 권한이 있는 포드 프로비저닝된 데스크톱 및 애플리케이션에서 인증을 받도록 할 수 있습니다.

Horizon Cloud는 클라우드 호스팅 Workspace ONE Access와의 통합을 지원합니다.

이 통합을 구현하려면 Workspace ONE Access 환경을 포드와 연결하는 Workspace ONE Access 커넥터를 배포해야 합니다. 이 커넥터를 통해 최종 사용자 사용 권한을 포드에서 Workspace ONE Access로 동기화할 수 있습니다.

참고: Workspace ONE Access 설명서의 스크린샷은 특정 Workspace ONE Access 환경에서 표시되는 사용자 인터페이스 요소와 다르게 보일 수 있습니다.

배경 정보 및 용어

  • 평소와 같이 Horizon Universal Console에서 사용자 및 그룹에 대한 데스크톱 및 원격 애플리케이션 할당을 구성합니다.
  • 포드를 Workspace ONE Access 환경에 통합하는 단계를 완료한 후에 포드 할당 정보를 Workspace ONE Access와 동기화합니다.
  • 그런 후 Workspace ONE Access 관리 콘솔에서 데스크톱 및 애플리케이션을 확인할 수 있으며 최종 사용자는 Workspace ONE Access에서 할당된 리소스에 대해 인증을 받을 수 있습니다.
  • Horizon Cloud에서 Workspace ONE Access 환경으로 할당 정보를 동기화하는 정기적인 동기화 스케줄을 설정할 수 있습니다.
  • Workspace ONE Access의 이전 이름은 VMware Identity Manager™입니다. 이 커넥터의 이전 이름은 VMware Identity Manager™ 커넥터입니다. 이전 커넥터 버전을 사용하는 경우에는 제품, 설명서 및 기술 자료 문서에서 이전 이름이 계속 참조되는 것을 볼 수 있습니다.
  • Workspace ONE Access 설명서는 포드에서 Workspace ONE Access로의 커넥터 동기화를 설명할 때 용어 “사용 권한”을 사용합니다.

    Horizon Cloud에서 할당은 리소스 및 사용 권한의 조합을 나타냅니다.

    Horizon Universal Console에서 전용 VDI 데스크톱 할당을 생성하는 경우처럼, 할당에 사용자를 추가하면 해당 사용자는 할당의 포드 프로비저닝된 리소스에 대해 사용 권한을 얻게 됩니다.

  • Workspace ONE Access 콘솔이 Horizon Cloud 컬렉션 용어를 사용하는 마법사로 업데이트되었습니다. Workspace ONE Access 설명서와 Horizon Cloud 설명서 내에서 가상 애플리케이션 수집 및 Horizon Cloud 수집, 두 구문이 모두 표시될 수 있습니다.

주요 구성 요소의 개괄적 보기

Horizon Cloud 테넌트 환경이 단일 포드 브로커링을 사용하도록 구성되면 Microsoft Azure의 각 개별 포드를 Workspace ONE Access와 통합하여 최종 사용자 리소스가 각 포드에서 프로비저닝된 상태로 Workspace ONE Access의 기능을 사용합니다.

Microsoft Azure의 포드를 Workspace ONE Access와 통합하는 데는 다음과 같은 주요 개념이 적용됩니다.

  • Microsoft Azure에 배포된 포드
  • Workspace ONE Access 테넌트 환경
  • 포드 관리자 VM에 업로드된 유효한 SSL 인증서. 이 SSL 인증서는 Workspace ONE Access 커넥터가 Workspace ONE Access에서 정의된 Horizon Cloud 가상 애플리케이션 수집에 대해 사용 권한 및 포드 프로비저닝된 리소스를 동기화할 때 Workspace ONE Access 커넥터가 포드에 대한 연결을 신뢰할 수 있도록 합니다.
  • Workspace ONE Access 커넥터가 설치되고 이러한 리소스에 대한 정보를 Workspace ONE Access와 동기화하기 위한 설정이 지정됩니다.
    • Active Directory 사용자 및 그룹
    • 포드 할당(포드 프로비저닝된 리소스 및 해당 리소스에 대한 사용 권한)
  • Workspace ONE Access에서 포드와의 SAML 통신을 수행할 수 있도록 하는 SAML 아티팩트를 설정하기 위한 Horizon Universal Console의 구성 설정.

통합 프로세스 개요

다음 목록은 최종 사용자가 Workspace ONE Access를 사용하여 포드 프로비저닝된 데스크톱 및 애플리케이션에 대해 인증을 받을 수 있도록 하는 종합적인 단계를 자세히 요약한 것입니다.

이러한 단계를 수행하기 전에 포드가 Microsoft Azure에 이미 배포되어 있고, Horizon Cloud 테넌트가 단일 포드 브로커링을 사용하도록 구성되고, Workspace ONE Access 클라우드 테넌트가 있어야 합니다.

  1. DNS 서버에서 포드 관리자의 Azure Load Balancer IP 주소를 FQDN(정규화된 도메인 이름)(예: mypod1.example.com)에 매핑합니다. 포드의 [세부 정보] 페이지에서 이 IP 주소를 찾을 수 있습니다. 포드 세부 정보 페이지에서 해당 IP 주소를 찾을 위치에 대한 그림은 포드 관리자 VM의 SSL 인증서 구성 개요를 참조하십시오.
    참고: 2020년 7월 분기별 서비스 릴리스 이전에는 포드 세부 정보 페이지에서 이 IP 주소에 테넌트 장치 IP 주소 레이블이 표시됩니다. 현재 레이블은 포드 관리자 로드 밸런서 IP입니다. 최근 매니페스트 포드에는 기본적으로 포드 관리자 인스턴스용으로 배포된 Microsoft Azure Load Balancer가 포함되며 현재 레이블은 포드 아키텍처를 반영합니다. 1600 이하의 매니페스트 포드에는 포드 관리자 VM용으로 Microsoft Azure Load Balancer가 배포되지 않지만 이 연결 작업에 사용해야 하는 IP 주소는 포드 세부 정보 페이지의 해당 레이블 옆에 표시되는 IP 주소입니다.
  2. 해당 FQDN을 기준으로 하는 신뢰할 수 있는 SSL 인증서가 획득합니다. 필요한 사항에 대한 자세한 내용은 다음 항목을 참조하십시오.
    참고: SSL 인증서를 포드에 업로드하는 데 필요한 인증서 파일 형식은 포드 게이트웨이 구성에 사용되는 PEM 파일 형식과 다릅니다.
  3. 포드 관리자 VM에서 직접 SSL 인증서 구성에서 설명하는 것과 같이 해당 SSL 인증서를 포드 관리자 VM에 업로드합니다.
    중요: 포드에 연결하려고 하는 Workspace ONE Access 커넥터에 제공하기 위해 설명된 대로 구성된 SSL 인증서가 없는 경우, 커넥터가 신뢰할 수 없는 네트워크에 연결하지 않으므로 사용 권한 및 리소스를 동기화하기 위해 포드에 연결하려는 시도가 실패합니다. 포드에 연결하려면 포드의 SSL 인증서를 Workspace ONE Access 커넥터에서 신뢰해야 합니다. 포드에 조건을 충족하는 SSL 인증서를 업로드하기 전까지는 Workspace ONE Access을 포드에 성공적으로 통합할 수 없습니다.
  4. Horizon Cloud 포드 및 Active Directory 환경과 통신할 수 있는 네트워크에 Workspace ONE Access 커넥터 장치를 배포합니다. 커넥터의 용도는 포드에서 리소스 및 사용 권한을 동기화하고 Active Directory 환경의 사용자 및 그룹을 동기화하는 것입니다.

    통합 단계를 시작하기 전에 필요한 사항 제목 아래 섹션부터 모든 커넥터 관련 전제 조건을 읽으십시오.

    중요: 해당 커넥터에서 구성하는 신뢰할 수 있는 시간 소스가 포드에 대해 구성된 NTP 서버와 일치하는지도 확인해야 합니다. 시간 소스가 일치하지 않으면 동기화 문제가 발생할 수 있습니다. 포드 세부 정보 페이지에는 포드의 구성된 NTP 서버가 표시됩니다. Horizon Universal Console 용량 페이지에서 포드의 세부 정보 페이지를 열 수 있습니다.
  5. 본인의 상황에 해당하는 Workspace ONE Access 제품 설명서에 설명된 대로 통합을 위한 Workspace ONE Access 전제 조건을 충족하는지 확인하십시오. 통합 단계를 시작하기 전에 필요한 사항 제목 아래의 섹션을 참조하십시오.

    Workspace ONE Access 설명서 페이지의 통합 사전 요구 사항을 참조하십시오.

  6. Workspace ONE Access 제품 정보에 설명된 대로 Horizon Cloud 환경에서 Workspace ONE Access 환경으로 데스크톱을 사용하도록 설정합니다.

    Workspace ONE Access 설명서 페이지의 VMware Workspace ONE Access에서 Horizon Cloud 테넌트 구성을 참조하십시오.

    Workspace ONE Access 설명서의 단계를 따를 때 이러한 중요 사항에 유의하십시오.
    • Workspace ONE Access 액세스를 위해 포드를 구성하는 아래 8단계를 완료할 때까지 컬렉션 동기화를 수행하지 마십시오.
    • Horizon Cloud 테넌트 정보를 입력하기 위한 Workspace ONE Access 화면의 호스트 필드에 포드 관리자의 Azure Load Balancer IP 주소로 매핑한 DNS 서버의 FQDN을 지정하고 포드 관리자 VM에 연결합니다.

      이 FQDN은 포드 관리자 VM에서 직접 SSL 인증서 구성에서 설명하는 것과 같이 포드에 직접 업로드한 SSL 인증서와 일치해야 합니다.

  7. 구성된 Workspace ONE Access 환경을 포드의 ID 관리 제공자로 사용하도록 허용하는 설정을 입력합니다. 관련 Workspace ONE Access 테넌트 정보를 사용하는 Horizon Cloud 포드 구성 단계를 참조하십시오.
  8. Workspace ONE Access 클라우드 테넌트에서 컬렉션을 수동으로 동기화하면 다음 단계에서 확인할 수 있습니다. Workspace ONE Access 관리 콘솔에서 컬렉션을 찾고 동기화를 클릭합니다.
  9. Workspace ONE Access에 최종 사용자로 로그인하고 카탈로그에서 데스크톱 및 애플리케이션을 실행하여 데스크톱 및 애플리케이션에 대한 최종 사용자 액세스 권한을 확인합니다. Workspace ONE Access에서 최종 사용자의 데스크톱 할당 액세스 확인을 참조하십시오.

통합이 작동되는지 확인한 후 필요에 따라 강제로 최종 사용자가 Workspace ONE Access를 통해 해당 데스크톱 및 애플리케이션에서 인증을 받고 액세스하도록 할 수 있습니다. 최종 사용자가 Workspace ONE Access를 통과하도록 강제를 참조하십시오.

통합 단계를 시작하기 전에 필요한 사항

Workspace ONE Access을 사용하여 포드 제공 데스크톱 또는 RDS 기반 원격 애플리케이션에 대한 최종 사용자 액세스 권한을 확인하는 단계를 통해 통합 프로세스를 완전히 완료하려면 다음 항목이 있는지 확인합니다.

  • 포드 관리자 VM의 SSL 인증서 구성 개요포드 관리자 VM에서 SSL 인증서를 구성하기 위한 사전 요구 사항에서 설명하는 것처럼 포드 관리자의 Azure Load Balancer IP 주소를 FQDN(정규화된 도메인 이름)에 매핑하는 항목이 DNS 서버에 필요합니다.

    SSL 인증서에서 사용할 FQDN을 포드 관리자 Load Balancer IP 레이블 옆에 있는 Horizon Universal Console의 포드 세부 정보 페이지에 표시되는 IP 주소로 확인하려고 합니다.

    예를 들어, 아래 스크린샷에 나와 있는 포드가 있으며, 포드에 대한 Workspace ONE Access 연결을 위해 mypod-a.example.com의 FQDN을 해당 포드의 FQDN으로 사용하려고 합니다.


    포드 관리자의 Azure Load Balancer IP 주소를 가리키는 녹색 화살표가 있는 MontereyStores라는 포드에 대한 포드 세부 정보 스크린샷.

    이 예시의 DNS에서 mypod-a.example.com을 표시된 IP 주소인 192.168.21.4에 매핑합니다.
    mypod-a.example.com    192.168.21.4

    Horizon Cloud 테넌트 정보를 입력하기 위한 Workspace ONE Access 화면의 단계를 수행하여 해당 Workspace ONE Access 화면에서 호스트 필드에 대해 이 FQDN을 지정합니다.

  • 포드 세부 정보 페이지를 사용하여 포드 관리자로 업로드한 신뢰할 수 있는 유효한 SSL 인증서가 있는 완전히 구성된 포드. 인증서 업로드에 대한 자세한 내용은 포드 관리자 VM의 SSL 인증서 구성 개요를 참조하십시오.
  • 포드에 대해 구성된 VDI 데스크톱 할당, 세션 데스크톱 할당 또는 원격 애플리케이션 할당.
  • 조직의 구성된 Workspace ONE Access 클라우드 테넌트에 대한 액세스.

    클라우드 호스팅 Workspace ONE Access를 사용하는 경우 포드를 해당 테넌트와 통합하려면 Workspace ONE Access 커넥터 장치가 필요합니다. 이 커넥터는 가상 데스크톱 및 애플리케이션에 대한 사용자 및 그룹 사용 권한 정보를 Workspace ONE Access 테넌트에 전송합니다. Active Directory 네트워크에서 Workspace ONE Access 커넥터 장치를 설치해야 합니다. 이 설명서 페이지에서 제공되는 Workspace ONE Access Cloud 설명서와 Workspace ONE Access와 Horizon Cloud 통합을 위한 배포 시나리오에서 설명하는 단계를 따릅니다. 이 릴리스에 필요한 커넥터 버전에 대해서는 https://www.vmware.com/resources/compatibility/sim/interop_matrix.php에서 VMware 제품 상호 운용성 매트릭스를 참조하십시오.

    커넥터의 구성된 신뢰할 수 있는 시간 소스가 포드에 대해 구성된 NTP 서버와 일치하는지 확인합니다.

    참고: 기존 통합 및 VMware Workspace ONE® Access™ 커넥터 장치가 있는 경우 최신 포드 소프트웨어 수준으로 포드를 업데이트하기 전에 커넥터를 업데이트하는 것이 좋습니다.
  • 구성된 Workspace ONE Access 환경이 Workspace ONE Access 설명서의 통합 사전 요구 사항 페이지에 나와 있는 대로 Horizon Cloud 리소스와의 통합을 위한 모든 전제 조건을 충족하는지 확인하십시오.

단일 포드 브로커링이 포함된 Horizon Cloud 환경 — 관련 Workspace ONE Access 테넌트 정보를 사용하여 Microsoft Azure에서 Horizon Cloud 포드를 구성하는 단계

Microsoft Azure의 포드를 Workspace ONE Access에 통합하려면 해당 Workspace ONE Access 정보로 포드를 구성해야 합니다. Horizon Universal Console을 사용하여 이 정보를 구성합니다.

사전 요구 사항

포드 관리자 VM에서 직접 SSL 인증서 구성에서 설명하는 것과 같이 해당 FQDN을 기반으로 하는 SSL 인증서가 포드 관리자 VM으로 업로드되는지 확인합니다. 단일 포드 브로커가 있는 Horizon Cloud - Workspace ONE Access 통합의 3단계에 설명된 것처럼 해당 SSL 인증서는 DNS 서버에 있는 포드 관리자의 Azure Load Balancer IP 주소에 매핑한 FQDN을 기준으로 해야 합니다.

Workspace ONE Access 환경에서 포드 프로비저닝된 최종 사용자 리소스 및 사용 권한을 Workspace ONE Access와 동기화하는 데 해당 FQDN을 사용하도록 구성되어 있는지 확인합니다.

다음 정보를 준비해야 합니다.

  • Workspace ONE Access 테넌트의 SAML IdP(ID 제공자) 메타데이터 URL.

    Workspace ONE Access 관리 콘솔의 SAML 메타데이터를 사용하여 환경의 SAML IdP 메타데이터 URL을 가져옵니다.

    Workspace ONE Access 클라우드 설명서 페이지 Horizon Cloud 테넌트에서 SAML 인증 구성을 참조하십시오.

    해당 페이지에서 IdP(ID 제공자) 메타데이터 링크를 클릭하면 브라우저 주소 표시줄에 일반적으로 https://WS1AccessFQDN/SAAS/API/1.0/GET/metadata/idp.xml 형식의 URL이 표시됩니다. 여기서 WS1AccessFQDNWorkspace ONE Access 환경의 FQDN(정규화된 도메인 이름)입니다.

  • Horizon Cloud에 연결하기 위해 최종 사용자에게 연결하도록 지시하는 대상 FQDN입니다.

프로시저

  1. Horizon Universal Console에서 설정 > ID 관리로 이동한 후 새로 만들기를 클릭합니다.
  2. 다음 옵션을 구성합니다.
    설정 설명
    VMware Workspace ONE Access 메타데이터 URL Workspace ONE Access 테넌트 환경의 SAML IdP(ID 제공자) 메타데이터 URL을 입력합니다. 이 메타데이터 URL은 일반적으로 https://WS1AccessFQDN/SAAS/API/1.0/GET/metadata/idp.xml 형식이고, 여기서 WS1AccessFQDNWorkspace ONE Access 환경의 FQDN입니다.
    SSO 토큰 시간 초과 SSO 토큰의 시간 초과로 설정할 시간(분)을 입력합니다. 미리 채워지는 시스템 기본값은 0입니다.
    위치 위치 중 하나를 선택하여 포드 드롭다운을 해당 위치와 연결된 포드 집합으로 필터링합니다.
    포드 이 구성이 적용되는 포드를 선택합니다.
    데이터 센터 드롭다운에 Horizon Cloud 포드 매니페스트 버전과 관련된 숫자가 표시됩니다. 기본값을 유지합니다.
    클라이언트 액세스 FQDN Horizon Cloud에 연결하기 위해 최종 사용자에게 연결하도록 지시하는 대상 FQDN을 입력합니다.
    Workspace ONE 리디렉션 강제로 최종 사용자가 Workspace ONE Access를 통해 액세스하도록 구성한 경우에도 이 토글을 로 설정하여 최종 사용자를 Workspace ONE Access 환경으로 자동 리디렉션할 수 있습니다. 최종 사용자 액세스가 Workspace ONE Access를 통과하도록 하는 옵션 설정에 대한 자세한 내용은 최종 사용자가 Workspace ONE Access를 통과하도록 강제를 참조하십시오.

    자동 리디렉션을 로 구성한 상태에서 최종 사용자 클라이언트에서 클라이언트가 Horizon Cloud에 연결하려고 하며, Workspace ONE Access를 통한 강제 인증을 구성한 경우 클라이언트는 포드와 통합된 Workspace ONE Access 환경에 자동으로 리디렉션됩니다.

    이 토글을 아니요로 설정하면 자동 리디렉션이 사용하도록 설정되지 않습니다.

    자동 리디렉션을 사용하도록 설정하지 않고 강제 액세스를 구성하면 대신 클라이언트는 사용자에게 정보 메시지를 표시합니다. 자세한 내용은 최종 사용자가 Workspace ONE Access를 통과하도록 강제를 참조하십시오.

    참고: 여기에 구성된 ID 관리 제공자 중 하나에 대해서만 Workspace ONE Access 리디렉션을 사용하도록 설정할 수 있습니다. 다른 구성에 대해 이 토글을 이미 로 설정한 상태에서 이 토글을 로 설정하려고 하면 오류 메시지가 표시됩니다.
  3. 저장을 클릭합니다.

결과

녹색 상태 표시는 구성이 성공적임을 나타냅니다.

다음에 수행할 작업

Workspace ONE Access 클라우드 테넌트에서 사용 권한이 부여된 데스크톱 및 애플리케이션을 수동으로 동기화합니다. Workspace ONE Access 관리 콘솔에서 이 Horizon Cloud 포드에 대해 정의된 컬렉션을 찾고 동기화를 클릭합니다.

중요:
  • Horizon Cloud에서 리소스 또는 사용 권한이 변경될 때마다 변경 사항을 Workspace ONE Access에 전파하려면 동기화가 필요합니다.
  • 해당 커넥터에서 구성하는 신뢰할 수 있는 시간 소스가 포드에 대해 구성된 NTP 서버와 일치하는지도 확인해야 합니다. 시간 소스가 일치하지 않으면 동기화 문제가 발생할 수 있습니다. 포드 세부 정보 페이지에는 포드의 구성된 NTP 서버가 표시됩니다. Horizon Universal Console 용량 페이지에서 포드의 세부 정보 페이지를 열 수 있습니다.

단일 포드 브로커링이 포함된 Horizon Cloud 환경 — Workspace ONE Access에서 최종 사용자의 데스크톱 할당 액세스 확인

Horizon Cloud 환경을 Workspace ONE Access 환경과 통합한 후에 다음 단계를 사용하여 최종 사용자에게 포드 프로비저닝된 가상 데스크톱 및 원격 애플리케이션에 대한 원격 액세스 권한이 있는지 확인할 수 있습니다.

사전 요구 사항

다음 항목이 완료되었는지 확인합니다.

프로시저

  1. 조직의 Workspace ONE Access URL을 사용하여 Workspace ONE Access에 로그인합니다.
  2. 포털에서 사용 권한이 부여된 Horizon Cloud 데스크톱과 원격 애플리케이션을 시작합니다.