VMware Identity Manager 서비스로 리소스 및 사용 권한을 동기화하도록 VMware Identity Manager 콘솔에서 Horizon 포드 및 포드 페더레이션을 구성합니다.

포드 및 포드 페더레이션을 구성하려면 카탈로그 > 가상 애플리케이션 페이지에서 하나 이상의 가상 애플리케이션 수집을 생성하고, 리소스 및 사용 권한을 동기화할 Horizon Connection Server, 포드 페더레이션 세부 정보, 동기화에 사용할 VMware Identity Manager Connector와 같은 구성 정보와 기본 실행 클라이언트와 같은 관리자 설정을 입력합니다.

필요에 따라 하나의 수집에 모든 Horizon 포드 및 포드 페더레이션을 추가하거나 여러 수집을 생성할 수 있습니다. 예를 들어 보다 쉬운 관리를 위해 각 포드 페더레이션 또는 각 포드에 대해 별도 컬렉션을 생성하고 여러 커넥터에 동기화 로드를 분산하도록 선택할 수 있습니다. 또는 테스트용으로 하나의 수집에 모든 포드 및 포드 페더레이션을 포함하고 운영 환경용으로 동일한 수집을 별도로 유지하도록 선택할 수 있습니다.

포드를 추가한 후에 특정 네트워크 범위에 대한 클라이언트 액세스 URL을 구성합니다.
중요: Horizon Server에서 설정 또는 SAML 구성을 변경하는 경우 VMware Identity Manager 콘솔에서 [Horizon 가상 애플리케이션] 페이지를 편집하고 [저장]을 클릭하여 VMware Identity Manager 서비스의 최신 Horizon 설정을 업데이트해야 합니다.

사전 요구 사항

프로시저

  1. VMware Identity Manager 콘솔에 로그인합니다.
  2. 카탈로그 > 가상 애플리케이션 탭을 선택하고 가상 애플리케이션 구성을 클릭합니다.
  3. 가상 애플리케이션 추가를 클릭하고 Horizon View 온 프레미스를 선택합니다.
  4. 컬렉션에 대한 고유한 이름을 입력합니다.
  5. 동기화 커넥터 드롭다운 메뉴에서 이 컬렉션의 리소스를 동기화하는 데 사용할 커넥터를 선택합니다.

    고가용성을 위해 여러 커넥터를 설정한 경우 커넥터 추가를 클릭하고 다른 커넥터를 선택합니다. 커넥터 나열 순서에 따라 페일오버 순서가 결정됩니다.

  6. Horizon 포드 섹션에서 이 컬렉션에 추가할 Horizon 포드에 대한 구성 정보를 제공합니다.
    연결 서버 Horizon 연결 서버 인스턴스의 정규화된 호스트 이름(예: connectionserver.example.com)을 입력합니다. 도메인 이름은 Horizon 연결 서버 인스턴스를 가입한 도메인 이름과 정확히 일치해야 합니다.
    사용자 이름 포드의 관리자 이름을 입력합니다. 사용자에게는 Horizon에서 관리자 역할이 있어야 합니다.
    암호 포드의 관리자 암호를 입력합니다.
    스마트 카드 인증 사용자가 암호 대신 스마트 카드 인증을 사용하여 포드에 로그인하는 경우 이 확인란을 선택합니다.
    True SSO 사용

    Horizon에서 True SSO가 사용되도록 설정된 경우 이 옵션을 선택합니다. 이 옵션은 True SSO 기능을 지원하는 Horizon 버전에만 적용됩니다.

    Horizon에서 True SSO가 사용되도록 설정되면 사용자는 Windows 데스크톱에 로그인하기 위해 암호가 필요하지 않습니다. 그렇지만 SecurID와 같은 암호가 아닌 인증 방법을 사용하여 VMware Identity Manager에 로그인한 경우 Windows 데스크톱을 시작할 때 암호를 묻는 메시지가 표시됩니다. 이 시나리오에서 암호 대화상자가 사용자에게 표시되지 않게 하려면 이 옵션을 선택하면 됩니다.

    로컬 사용 권한 동기화 포드에 대해 로컬 사용 권한이 구성된 경우 이 옵션을 선택합니다.
    예:
    포드 추가

  7. 여러 포드를 컬렉션에 추가하려면 포드 추가를 클릭하고 각 포드에 대한 구성 정보를 입력합니다.
  8. 포드 페더레이션을 추가하려면 다음 단계를 수행합니다.
    1. Horizon Cloud Pod 아키텍처 구성 섹션에서 사용 확인란을 선택합니다.
    2. 포드 페더레이션 구성 정보를 입력합니다.
      옵션 설명
      페더레이션 이름 포드 페더레이션의 이름입니다.
      Horizon 포드 추가 포드 페더레이션에 속하는 모든 포드를 선택합니다. 목록에는 컬렉션에 추가한 모든 포드가 표시됩니다.

      각 포드를 선택하고 목록에 추가를 클릭합니다.

      선택한 포드 포드를 다시 정렬하거나 제거할 수 있습니다.
      실행 URL 전역으로 사용 권한이 부여된 데스크톱 또는 애플리케이션을 실행하는 데 사용할 전역 실행 URL입니다. 예를 들어 federationA.example.com을 입력합니다.

      실행 URL은 일반적으로 포드 페더레이션의 전역 로드 밸런서 URL입니다. 구성 프로세스 후반부에 특정 네트워크 범위에 대한 실행 URL을 사용자 지정할 수 있습니다.

    3. 또 다른 포드 페더레이션을 추가하려면 페더레이션 추가를 클릭하고 구성 정보를 입력합니다.
    참고: 컬렉션에 포드 페더레이션에 속하지 않는 개별 Horizon 포드만 포함된 경우 이 옵션을 사용하도록 설정하지 마십시오.
    예:
    포드 페더레이션 추가

  9. 중복된 애플리케이션이 여러 서버에서 동기화되지 않도록 하려면 중복된 애플리케이션을 동기화하지 않음 확인란을 선택합니다.
    VMware Identity Manager가 여러 데이터 센터에 배포되면 동일한 리소스가 여러 데이터 센터에서 설정됩니다. 이 옵션을 선택하면 VMware Identity Manager 카탈로그에서 데스크톱 또는 애플리케이션 풀이 중복되지 않습니다.
  10. Horizon 연결 서버 5.x 구성 확인란을 선택합니다(View 연결 서버 5.x 인스턴스를 구성하려는 경우).

    이 옵션을 선택하면 View 5.x에 필요한 대체 리소스 동기화 방법이 사용되도록 설정됩니다.

    참고: 디렉토리 동기화 수행 옵션을 선택하면 Horizon 연결 서버 5.x 구성 옵션도 자동으로 선택됩니다. 두 옵션 모두 대체 리소스 동기화 방법에 의존하기 때문입니다.
  11. Horizon Connection Server 인스턴스의 Horizon 풀에 대해 권한이 있는 사용자 및 그룹이 VMware Identity Manager 디렉토리에 없을 때 디렉토리 동기화를 리소스 동기화의 일부로 수행하려는 경우 디렉토리 동기화 수행 확인란을 선택합니다.

    [디렉토리 동기화 수행] 옵션은 포드 페더레이션에 적용되지 않습니다. 전역 권한이 있는 사용자 및 그룹이 VMware Identity Manager 디렉토리에 없으면 디렉토리 동기화가 트리거됩니다.

    이 프로세스를 통해 동기화되는 사용자 및 그룹은 VMware Identity Manager 디렉토리 동기화에 의해 추가된 다른 사용자처럼 관리할 수 있습니다.

    중요: [디렉토리 동기화 수행] 옵션을 사용하면 동기화가 더 오래 걸립니다.
    참고: 이 옵션을 선택하면 Horizon 연결 서버 5.x 구성 옵션도 자동으로 선택됩니다. 두 옵션 모두 대체 리소스 동기화 방법에 의존하기 때문입니다.
  12. 기본 실행 클라이언트 드롭다운 목록에서 Horizon 애플리케이션 또는 데스크톱을 실행할 기본 클라이언트를 선택합니다.
    옵션 설명
    없음 관리자 수준에서 기본 환경설정이 지정되지 않았습니다. 이 옵션을 없음으로 설정하고 최종 사용자 환경설정도 지정하지 않으면 Horizon 기본 디스플레이 프로토콜 설정에 따라 데스크톱 또는 애플리케이션 실행 방법이 결정됩니다.
    브라우저 Horizon 데스크톱 및 애플리케이션이 기본적으로 웹 브라우저에서 실행됩니다. 최종 사용자 환경설정이 지정된 경우 이 설정을 재정의합니다.
    기본 Horizon 데스크톱 및 애플리케이션이 기본적으로 Horizon Client에서 실행됩니다. 최종 사용자 환경설정이 지정된 경우 이 설정을 재정의합니다.

    이 설정은 이 컬렉션의 모든 리소스에 대한 모든 사용자에게 적용됩니다.

    최상위에서 최하위로 나열된 다음 우선 순위가 기본 실행 클라이언트 설정에 적용됩니다.

    1. 최종 사용자 환경설정(Workspace ONE 포털에서 설정). Workspace ONE 애플리케이션에서는 이 옵션을 사용할 수 없습니다.
    2. VMware Identity Manager 콘솔에 설정된 컬렉션에 대한 관리자 기본 실행 클라이언트 설정.
    3. 데스크톱 또는 애플리케이션 풀에 대한 Horizon 원격 디스플레이 프로토콜 > 기본 디스플레이 프로토콜 설정(Horizon Administrator에서 설정). 예를 들어 디스플레이 프로토콜이 PCoIP로 설정되어 있으면 애플리케이션 또는 데스크톱이 Horizon Client에서 실행됩니다.
  13. 동기화 빈도 드롭다운 메뉴에서 이 컬렉션의 리소스를 동기화할 빈도를 선택합니다.
    정기적인 동기화 스케줄을 설정하거나 수동으로 동기화하도록 선택할 수 있습니다. 수동을 선택한 경우 컬렉션을 설정한 후와 View 리소스 또는 사용 권한이 변경될 때마다 [가상 애플리케이션 구성] 페이지에서 동기화를 클릭해야 합니다.
  14. 활성화 정책 드롭다운 목록에서 사용자가 Workspace ONE에서 Horizon 리소스를 사용할 수 있는 방법을 선택합니다.
    사용자 활성화자동 옵션 둘 다 리소스를 [카탈로그] 페이지에 추가합니다. [카탈로그] 페이지에서 리소스를 사용하거나 리소스를 [책갈피] 페이지로 이동할 수 있습니다. 그러나 애플리케이션 중 하나에 대해 승인 흐름을 설정하려면 해당 애플리케케이션에 대해 [사용자 활성화]를 선택해야 합니다.

    이 페이지에서 선택하는 활성화 정책은 컬렉션의 모든 리소스에 대한 모든 사용자 사용 권한에 적용됩니다. 해당 애플리케이션 또는 데스크톱의 [사용 권한] 페이지에서 리소스별로 개별 사용자 또는 그룹에 대한 활성화 정책을 수정할 수 있습니다.

    승인 흐름을 설정하려는 경우 컬렉션의 활성화 정책을 사용자 활성화로 설정하는 것이 좋습니다.

  15. 저장을 클릭합니다.
    컬렉션이 생성되고 [가상 애플리케이션 구성] 페이지에 표시됩니다. 컬렉션의 리소스는 아직 동기화되지 않습니다.
  16. 컬렉션의 리소스를 VMware Identity Manager와 동기화하려면 [가상 애플리케이션 구성] 페이지에서 동기화를 클릭합니다.
    Horizon에서 설정을 변경할 때마다(예: 사용 권한 또는 사용자 추가) VMware Identity Manager로 변경 내용을 전파하기 위해 동기화가 필요합니다.
  17. 포드 및 포드 페더레이션에 대해 클라이언트 액세스 URL을 구성합니다.
    특정 네트워크 범위에 대한 URL을 사용자 지정합니다. 예를 들어 내부 및 외부 액세스를 위해 일반적으로 다른 실행 URL이 설정됩니다.
    1. 네트워크 범위를 검토하고, 필요한 경우 새 범위를 생성합니다.
      • ID 및 액세스 관리 > 정책 탭을 클릭합니다.
      • 네트워크 범위를 클릭합니다.
      • 네트워크 범위를 검토하고, 필요한 경우 네트워크 범위 추가를 클릭하여 새 범위를 추가합니다.
    2. 카탈로그 > 가상 애플리케이션 탭을 클릭하고 가상 애플리케이션 설정을 클릭합니다.
    3. 네트워크 설정을 클릭합니다.
    4. 구성할 네트워크 범위를 선택합니다.
      View CPA 페더레이션 섹션에는 컬렉션에 추가한 포드 페더레이션의 전역 실행 URL이 표시됩니다. View 포드 섹션에는 로컬 사용 권한 동기화 옵션이 선택되고 컬렉션에 추가된 모든 View 포드가 나열됩니다.

      네트워크 범위

    5. View CPA 페더레이션 섹션에서 전역 실행 URL에 대해 이 네트워크 범위에서 시작된 전역 사용 권한에 대한 실행 요청을 보낼 서버의 정규화된 도메인 이름을 지정합니다. 일반적으로 View 포드 페더레이션 배포의 전역 로드 밸런서 URL입니다.

      예: lb.example.com

      전역 실행 URL은 전역으로 사용 권한이 부여된 리소스를 실행하는 데 사용됩니다.

    6. View 포드 섹션에서 각 포드에 대해 이 네트워크 범위에서 시작된 로컬 사용 권한에 대한 실행 요청을 보낼 서버의 정규화된 도메인 이름을 지정합니다. Horizon 연결 서버 인스턴스, 로드 밸런서 또는 보안 서버를 지정할 수 있습니다. 예를 들어 내부 액세스를 제공하는 범위를 편집하는 경우 포드의 내부 로드 밸런서를 지정합니다.

      예: lb.example.com

      클라이언트 액세스 URL은 포드에서 로컬로 사용 권한이 부여된 리소스를 실행하는 데 사용됩니다.

      참고: JWT의 줄 바꿈 아티팩트JWT의 대상 옵션에 대한 자세한 내용은 유효성 검사 게이트웨이를 통해 Horizon 리소스 실행을 참조하십시오.
    7. 완료를 클릭합니다.
    사용자 지정 네트워크 범위에 대해 여러 개의 클라이언트 액세스 URL 사용의 내용도 참조하십시오.