VMware Identity Manager 서비스로 리소스 및 사용 권한을 동기화하도록 VMware Identity Manager 콘솔에서 Horizon 포드 및 포드 페더레이션을 구성합니다.

포드 및 포드 페더레이션을 구성하려면 카탈로그 > 가상 애플리케이션 수집 페이지에서 하나 이상의 가상 애플리케이션 수집을 생성하고, 리소스 및 사용 권한을 동기화할 Horizon Connection Server, 포드 페더레이션 세부 정보, 동기화에 사용할 VMware Identity Manager Connector와 같은 구성 정보와 기본 실행 클라이언트와 같은 관리자 설정을 입력합니다.

포드 및 포드 페더레이션을 추가한 후 최종 사용자가 리소스에 액세스할 때 올바른 서버에 연결되도록 특정 네트워크 범위에 대한 클라이언트 액세스 FQDN을 구성합니다.

필요에 따라 하나의 수집에 모든 Horizon 포드 및 포드 페더레이션을 추가하거나 여러 수집을 생성할 수 있습니다. 예를 들어 보다 쉬운 관리를 위해 각 포드 페더레이션 또는 각 포드에 대해 별도 수집을 생성하고 여러 커넥터에 동기화 로드를 분산하도록 선택할 수 있습니다. 또는 테스트용으로 하나의 수집에 모든 포드 및 포드 페더레이션을 포함하고 운영 환경용으로 동일한 수집을 별도로 유지하도록 선택할 수 있습니다.

중요: Horizon Server에서 설정 또는 SAML 구성을 변경하는 경우에는 VMware Identity Manager 콘솔에서 [가상 애플리케이션 수집] 페이지를 편집하고 [저장]을 클릭하여 VMware Identity Manager 서비스의 최신 Horizon 설정을 업데이트해야 합니다.

사전 요구 사항

  • Horizon 포드 통합을 위한 요구 사항Horizon 포드 페더레이션의 통합을 위한 요구 사항에 따라 Horizon을 설정합니다.
  • VMware Identity Manager 환경 설정에 따라 VMware Identity Manager를 설정합니다.
  • VMware Identity Manager에서 구성하려는 각 Horizon 포드에 대해 관리자 역할을 가진 사용자의 자격 증명이 있는지 확인합니다.
  • VMware Identity Manager에서 이 절차를 수행하려면 카탈로그 서비스에서 데스크톱 애플리케이션 관리 작업을 포함하는 관리자 역할을 사용해야 합니다.
  • 이 절차 맨 마지막에는 클라이언트 액세스 FQDN을 구성하기 위해 [네트워크 범위] 페이지로 리디렉션됩니다. [네트워크 범위] 페이지를 편집하고 저장하려면 슈퍼 관리자 역할이 필요합니다. 이 단계를 별도로 수행하도록 선택할 수 있습니다.

프로시저

  1. VMware Identity Manager 콘솔에 로그인합니다.
  2. 카탈로그 > 가상 애플리케이션 수집 탭을 선택합니다.
  3. 새로 만들기를 클릭합니다.
  4. 소스 유형으로 Horizon을 선택합니다.
  5. 새 Horizon 가상 애플리케이션 수집 마법사의 [커넥터] 페이지에 다음 정보를 입력합니다.
    옵션 설명
    이름 Horizon 수집에 대한 고유한 이름을 입력합니다.
    커넥터 이 수집을 동기화하는 데 사용할 커넥터를 선택합니다. 커넥터를 선택하려면 연결된 디렉토리를 선택합니다. 커넥터 클러스터를 설정한 경우 모든 커넥터 인스턴스가 호스트 목록에 표시되며, 이 수집의 페일오버 순서로 정렬할 수 있습니다.
    중요: 수집을 생성한 후에는 다른 디렉토리를 선택할 수 없습니다.
  6. 다음을 클릭합니다.
  7. [포드 및 페더레이션] 페이지에서 포드 추가를 클릭하고 포드 정보를 입력합니다.
    포드에 여러 개의 Horizon Connection Server 인스턴스가 있는 경우 인스턴스에 대한 정보를 입력합니다.
    옵션 설명
    연결 서버 포드 내에 있는 Horizon 연결 서버 인스턴스 중 하나의 정규화된 호스트 이름을 입력합니다. 예: connectionserver.horizondomain.com. 도메인 이름은 Horizon 연결 서버 인스턴스가 가입된 도메인 이름과 일치해야 합니다.
    중요: 포드에 여러 개의 Horizon Connection Server 인스턴스가 있는 경우 인스턴스 중 하나만 추가해야 합니다. VMware Identity Manager는 포드 내의 모든 인스턴스에 대한 정보를 가져옵니다.
    사용자 이름 Horizon Connection server 관리자 사용자 이름을 입력합니다. 사용자에게는 Horizon에서 관리자 역할이 있어야 합니다.
    암호 Horizon Connection Server 관리자 암호를 입력합니다.
    스마트 카드 인증 사용자가 Horizon Connection Server에 로그인할 때 암호 대신 스마트 카드 인증을 사용하는 경우 이 옵션을 사용하도록 설정합니다.
    True SSO

    Horizon Connection Server에 대해 True SSO가 사용되도록 설정된 경우에만 이 옵션을 사용하도록 설정합니다. 이 옵션은 True SSO 기능을 지원하는 Horizon 버전에만 적용됩니다.

    이 옵션을 사용하도록 설정하면 Windows 데스크톱을 시작할 때 SecurID와 같은 비암호 인증 방법으로 Workspace ONE에 로그인한 사용자에게 암호를 묻는 메시지가 표시되지 않습니다.

    로컬 할당 동기화 글로벌 할당 외에 Horizon Connection Server의 로컬 사용 권한을 동기화하려면 이 옵션을 사용하도록 설정합니다.
  8. 더 많은 포드를 추가하려면 포드 추가를 클릭하고 각 포드에 대한 정보를 입력합니다.
  9. 추가한 포드에 대해 Horizon에서 Cloud Pod 아키텍처 옵션을 사용하도록 설정한 경우 다음 단계를 수행하여 포드 페더레이션 정보를 추가합니다.
    1. 위에 추가한 포드에 대해 Cloud Pod 아키텍처를 사용하도록 설정했습니까? 옵션을 로 설정합니다.
    2. 페더레이션 추가를 클릭합니다.
    3. 포드 페더레이션 정보를 입력합니다.
      옵션 설명
      페더레이션 이름 포드 페더레이션의 이름입니다.
      클라이언트 액세스 FQDN 이 포드 페더레이션의 전역 사용 권한에 액세스하는 클라이언트를 보낼 서버의 FQDN(정규화된 도메인 이름)입니다. 일반적으로 포드 페더레이션 배포의 전역 로드 밸런서입니다.

      예를 들어 federationA.example.com을 입력합니다.

      구성 프로세스 후반부에 특정 네트워크 범위에 대한 클라이언트 액세스 FQDN을 사용자 지정할 수 있습니다.

      Horizon 포드 포드 페더레이션에 속하는 포드를 선택합니다. 사용 가능한 포드 열에는 수집에 추가한 모든 포드가 표시됩니다. 포드를 선택하면 선택한 포드 열에 추가됩니다. 선택한 포드 열의 포드를 페일오버 순서로 정렬할 수 있습니다.
    4. 또 다른 포드 페더레이션을 추가하려면 페더레이션 추가를 클릭하고 포드 페더레이션 정보를 입력합니다.
  10. 다음을 클릭합니다.
  11. [구성] 페이지에서 다음 정보를 입력합니다.
    옵션 설명
    동기화 빈도 수집의 리소스를 동기화할 빈도를 선택합니다.

    자동 동기화 스케줄을 설정하거나 수동으로 동기화하도록 선택할 수 있습니다. 스케줄을 설정하려면 매일 또는 매주와 같은 간격을 선택하고 동기화를 실행할 시간을 선택합니다. 수동을 선택한 경우 수집을 설정한 후와 Horizon Cloud 리소스 또는 사용 권한이 변경될 때마다 [가상 애플리케이션 수집] 페이지에서 동기화를 클릭해야 합니다.

    중복된 애플리케이션 동기화 중복된 애플리케이션이 여러 서버에서 동기화되지 않도록 하려면 아니요로 설정합니다.

    VMware Identity Manager가 여러 데이터 센터에 배포되면 동일한 리소스가 여러 데이터 센터에서 설정됩니다. 이 옵션을 아니요로 설정하면 VMware Identity Manager 카탈로그에서 데스크톱 또는 애플리케이션 풀이 중복되지 않습니다.

    활성화 정책 Workspace ONE 포털 및 애플리케이션에서 사용자가 이 컬렉션의 리소스를 사용할 수 있도록 하는 방법을 선택합니다. 승인 흐름을 설정하려는 경우 사용자 활성화됨을 선택하고, 그렇지 않으면 자동을 선택하십시오.

    사용자 활성화됨자동 옵션 둘 다 리소스를 [카탈로그] 탭에 추가합니다. [카탈로그] 탭에서 리소스를 사용하거나 리소스를 [책갈피] 탭으로 이동할 수 있습니다. 그러나 애플리케이션 중 하나에 대해 승인 흐름을 설정하려면 해당 애플리케케이션에 대해 [사용자 활성화]를 선택해야 합니다.

    활성화 정책은 수집의 모든 리소스에 대한 모든 사용자 사용 권한에 적용됩니다. 리소스당 개별 사용자 또는 그룹에 대해 활성화 정책은 사용자 및 그룹 탭의 사용자 또는 그룹 페이지에서 수정할 수 있습니다.

    기본 실행 클라이언트 Workspace ONE 포털 또는 애플리케이션에서 Horizon 데스크톱 및 애플리케이션에 액세스하는 최종 사용자의 기본 클라이언트를 선택합니다.

    없음: 관리자 수준에서 기본 환경설정이 지정되지 않았습니다. 이 옵션을 없음으로 설정하고 최종 사용자가 기본 설정을 지정하지 않으면 Horizon 기본 디스플레이 프로토콜 설정에 따라 데스크톱 또는 애플리케이션 실행 방법이 결정됩니다.

    브라우저: Horizon 데스크톱 및 애플리케이션이 기본적으로 웹 브라우저에서 실행됩니다. 최종 사용자 환경설정이 지정된 경우 이 설정을 재정의합니다.

    기본: Horizon 데스크톱 및 애플리케이션이 기본적으로 Horizon Client에서 실행됩니다. 최종 사용자 환경설정이 지정된 경우 이 설정을 재정의합니다.

    이 설정은 이 수집의 모든 리소스에 대한 모든 사용자에게 적용됩니다.

    최상위에서 최하위로 나열된 다음 우선 순위가 기본 실행 클라이언트 설정에 적용됩니다.

    1. 최종 사용자 환경설정(Workspace ONE 포털에서 설정). Workspace ONE 애플리케이션에서는 이 옵션을 사용할 수 없습니다.
    2. VMware Identity Manager 콘솔에 설정된 수집에 대한 관리자 기본 실행 클라이언트 설정.
    3. 데스크톱 또는 애플리케이션 풀에 대한 Horizon 원격 디스플레이 프로토콜 > 기본 디스플레이 프로토콜 설정(Horizon Administrator에서 설정). 예를 들어 디스플레이 프로토콜이 PCoIP로 설정되어 있으면 애플리케이션 또는 데스크톱이 Horizon Client에서 실행됩니다.
    중요: Horizon 7.13 이상 버전을 VMware Identity Manager와 통합하면 브라우저에서 애플리케이션 및 데스크톱을 실행하는 옵션이 항상 최종 사용자에게 표시됩니다. 그러나 HTML Access가 Horizon Connection Server에 설치되어 있지 않으면 브라우저 실행이 실패합니다. Horizon 7.13 이상 버전의 경우 Horizon Connection server에 HTML Access를 설치해야 합니다. 자세한 내용은 VMware Horizon HTML Access 설명서를 참조하십시오.
  12. 다음을 클릭합니다.
  13. [요약] 페이지에서 선택 항목을 검토한 후 네트워크 범위 저장 및 구성을 클릭합니다.
    [네트워크 범위] 페이지가 나타납니다.
  14. [네트워크 범위] 페이지에서 각 네트워크 범위를 편집하고, Horizon 애플리케이션 및 데스크톱에 액세스하는 최종 사용자가 올바른 서버에 연결하도록 Horizon 포드 및 포드 페더레이션에 대한 클라이언트 액세스 FQDN을 지정합니다.
    1. 편집할 네트워크 범위를 클릭하거나, 필요한 경우 네트워크 범위 생성을 클릭하여 새 네트워크 범위를 생성합니다.
    2. 새 네트워크 범위를 만드는 경우 이름, 선택적 설명 및 IP 주소 범위를 입력합니다.
    3. 포드View CPA 페더레이션 섹션으로 스크롤합니다.
      포드 섹션에는 [로컬 할당 동기화] 옵션이 사용되도록 설정된 수집에 추가한 모든 Horizon 포드가 나열됩니다. View CPA 페더레이션 섹션에는 추가한 모든 포드 페더레이션이 나열됩니다.
      네트워크 범위에 포드 할당

    4. 각 포드의 포드 섹션을 편집하고 이 네트워크 범위에 적절한 값을 입력합니다.
      옵션 설명
      클라이언트 액세스 FQDN 이 네트워크 범위에서 요청이 들어올 때 이 포드의 로컬 사용 권한에 액세스하는 클라이언트를 보낼 서버의 FQDN(정규화된 도메인 이름)을 지정합니다. Horizon Connection Server, 보안 서버, 로드 밸런서 또는 역방향 프록시 FQDN일 수 있습니다.

      예: internallb.example.com

      포드의 클라이언트 액세스 FQDN은 로컬로 사용 권한이 부여된 리소스를 실행하는 데 사용됩니다.

      포트 서버 포트입니다.
      JWT에서 아티팩트 래핑 유효성 검사 게이트웨이를 통해 Horizon 리소스 실행의 내용을 참조하십시오.
      JWT의 대상 유효성 검사 게이트웨이를 통해 Horizon 리소스 실행의 내용을 참조하십시오.
    5. 각 포드 페더레이션의 View CPA 페더레이션 섹션을 편집하고 이 네트워크 범위에 적절한 값을 입력합니다.
      옵션 설명
      클라이언트 액세스 FQDN 이 네트워크 범위에서 요청이 들어올 때 이 포드 페더레이션의 전역 사용 권한에 액세스하는 클라이언트를 보낼 서버의 FQDN(정규화된 도메인 이름)을 지정합니다. 일반적으로 이 값은 포드 페더레이션 배포의 전역 로드 밸런서입니다.

      예: globallb.example.com

      포드 페더레이션의 클라이언트 액세스 FQDN은 전역 사용 권한이 부여된 리소스를 실행하는 데 사용됩니다.

      포트 서버 포트입니다.
      JWT에서 아티팩트 래핑 VMware Identity Manager 서비스가 유효성 검사 게이트웨이(예: F5)와 통합된 경우 이 옵션을 사용하도록 설정하여 사용자에게 할당된 Horizon 리소스를 인증해야 합니다. 유효성 검사 게이트웨이를 통해 Horizon 리소스 실행의 내용을 참조하십시오.
      JWT의 대상 유효성 검사 게이트웨이를 통해 Horizon 리소스 실행의 내용을 참조하십시오.
    6. 저장을 클릭합니다.
    7. 다른 네트워크 범위를 편집하려면 이 단계를 반복합니다.
    8. [네트워크 범위] 페이지에서 완료를 클릭합니다.

다음에 수행할 작업

Horizon 수집이 생성되고 카탈로그 > 가상 애플리케이션 수집 페이지에 표시됩니다. 수집의 리소스는 아직 동기화되지 않았습니다. 스케줄링된 다음 동기화를 기다리거나 카탈로그 > 가상 애플리케이션 수집 페이지에서 수집을 수동으로 동기화할 수 있습니다.