Als onderdeel van de integratie van Workspace ONE Access en Horizon kunt u FQDN's voor clienttoegang voor netwerkbereiken opgeven, zodat gebruikers verbinding kunnen maken met de juiste server op basis van het netwerkbereik waaruit ze toegang krijgen tot Horizon-bronnen. Daarnaast kunt u gebruikers filteren door gebruikersgroepen op te geven voor elk netwerkbereik.

Wanneer u een verzameling van virtuele Horizon-apps maakt, leidt de wizard u naar het tabblad Netwerkbereiken om de FQDN's voor clienttoegang voor de pods en podfederatie in de verzameling te configureren. Nadat u de verzameling heeft gemaakt, kunt u de FQDN's voor clienttoegang op elk gewenst moment bewerken via het tabblad Netwerkbereiken.

Voor alle netwerkbereiken in uw tenant moeten FQDN's voor clienttoegang zijn ingesteld voor Horizon-pods en -podfederaties. Als voor een netwerkbereik geen FQDN voor clienttoegang is gedefinieerd, kunnen gebruikers die via dat netwerkbereik toegang hebben tot Horizon-bronnen, hun toegewezen applicaties en desktops niet starten. Zorg ervoor dat u wanneer u nieuwe netwerkbereiken maakt, u ook de verzamelingen van virtuele apps bewerkt om FQDN's voor clienttoegang voor Horizon-pods en -podfederaties aan het nieuwe netwerkbereik toe te voegen.

U kunt FQDN's voor clienttoegang in Workspace ONE Access op de volgende manieren configureren:

  • Gebruik alleen netwerkbereiken om gebruikers naar de juiste FQDN's voor clienttoegang te leiden.

    Maak meerdere netwerkbereiken en geef de FQDN's voor clienttoegang voor elk netwerkbereik op. Selecteer geen gebruikersgroepen voor de netwerkbereiken. Alle gebruikers worden doorverwezen naar FQDN's voor clienttoegang op basis van het netwerkbereik van waaruit ze toegang krijgen tot hun toegewezen Horizon-apps en -desktops.

    U kunt bijvoorbeeld afzonderlijke netwerkbereiken maken voor interne en externe toegang en de juiste FQDN's voor clienttoegang voor elk bereik opgeven.

  • Gebruik zowel netwerkbereiken als groepen om gebruikers naar de juiste FQDN's voor clienttoegang te leiden.

    Maak meerdere netwerkbereiken en geef FQDN's voor clienttoegang voor elk bereik op. Selecteer ook gebruikersgroepen voor de netwerkbereiken. Opdat gebruikers Horizon-apps en -desktops kunnen starten vanaf een FQDN voor clienttoegang, moet het IP-adres van de client overeenkomen met het netwerkbereik en moeten ze behoren tot ten minste een van de groepen die zijn geselecteerd voor het netwerkbereik. Als geen groepen zijn geselecteerd voor een netwerkbereik, kunnen alle gebruikers waarvan het client-IP-adres overeenkomt met het netwerkbereik, apps en desktops starten vanuit de FQDN voor clienttoegang van dat netwerkbereik.

    U kunt bijvoorbeeld afzonderlijke netwerkbereiken maken voor interne en externe toegang en gebruikers filteren voor elk bereik, gebaseerd op het feit of ze al dan niet behoren tot een permanente werknemersgroep of een tijdelijke gebruikersgroep.

    Opmerking: Als u niet meerdere netwerkbereiken wilt maken, kunt u gebruikersgroepen configureren op het standaardnetwerkbereik ALLE BEREIKEN voor elke verzameling van virtuele apps. Alleen gebruikers die deel uitmaken van een van de geselecteerde groepen kunnen Horizon-apps en -desktops starten vanaf de FQDN voor clienttoegang ALLE BEREIKEN.

    U kunt bijvoorbeeld verschillende verzamelingen van virtuele apps voor pods in verschillende regio's maken, gebruikersgroepen maken op regio en de juiste gebruikersgroepen selecteren voor het netwerkbereik ALLE BEREIKEN voor elke verzameling.

Als u overlappende netwerkbereiken configureert, past Workspace ONE Access de volgende regels toe om de beste overeenkomst voor de gebruiker te vinden:

  • Als het IP-adres van de client van de gebruiker overeenkomt met meerdere bereiken en geen groepen worden opgegeven voor een van de netwerkbereiken, wordt het netwerkbereik dat het laatst is gemaakt, gebruikt om de FQDN voor clienttoegang voor de gebruiker te bepalen.
  • Als het IP-adres van de client van de gebruiker overeenkomt met meerdere netwerkbereiken en de groepen van de gebruiker overeenkomen met slechts een van deze netwerkbereiken, wordt het netwerkbereik dat overeenkomt met het IP-adres en de groepen van de client gebruikt om de FQDN voor clienttoegang voor de gebruiker te bepalen.
  • Als het IP-adres van de client overeenkomt met meerdere netwerkbereiken en de gebruiker tot een of meer groepen in al die netwerkbereiken behoort, wordt het netwerkbereik dat de meeste gebruikersgroepovereenkomsten heeft, gebruikt om de FQDN voor clienttoegang voor de gebruiker te bepalen.
  • Als het IP-adres van de client overeenkomt met meerdere netwerkbereiken en het aantal gebruikersgroepen dat overeenkomt identiek is in meerdere netwerkbereiken, wordt het netwerkbereik dat het laatst is gemaakt, gebruikt om de FQDN voor clienttoegang voor de gebruiker te bepalen.

Voorwaarden

Een superbeheerdersrol of een aangepaste rol die de actie Instellingen beheren in de service Identiteits- en toegangsbeheer kan uitvoeren, is vereist om netwerkbereiken te maken en te bewerken.

Procedure

  1. Selecteer in de Workspace ONE Access-console de optie Resources > Verzamelingen van virtuele apps.
  2. Klik op de verzameling van virtuele Horizon-apps en selecteer vervolgens het tabblad Netwerkbereiken.
  3. Klik op het netwerkbereik dat u wilt bewerken of maak indien nodig een nieuw netwerkbereik.
  4. Wanneer u een nieuw netwerkbereik maakt, voert u een naam, optionele beschrijving en het IP-bereik in.
  5. (Optioneel) Selecteer in de sectie Groeplidmaatschap de gebruikersgroepen die u wilt koppelen aan dit netwerkbereik.
    Als u groepen selecteert om Horizon-applicaties en -desktops te starten vanuit de FQDN voor clienttoegang die aan dit netwerkbereik is gekoppeld, moeten gebruikers tot ten minste een van de groepen behoren en moet hun client-IP-adres overeenkomen met het netwerkbereik.

    Als u geen groepen selecteert, kunnen alle gebruikers waarvan het IP-adres van de client overeenkomt met het netwerkbereik Horizon-applicaties en -desktops starten vanuit de FQDN voor clienttoegang die aan dit netwerkbereik is gekoppeld.

    Bijvoorbeeld:

    Deze afbeelding geeft het pop-upvenster Pods toewijzen aan netwerkbereiken weer. Er is een IP-bereik opgegeven voor het netwerkbereik. Twee groepen, groep A en Groep B, zijn ook geselecteerd voor het netwerkbereik.
  6. Scrol naar de sectie Pod en federatie.
    In de sectie Pod wordt een lijst met alle Horizon-pods in de verzameling weergegeven waarvoor de optie Lokale toewijzingen synchroniseren is ingeschakeld. In de sectie CPA-federatie worden eventuele podfederaties in de verzameling weergegeven.

    netwerkbereik voor weergave-instellingen bewerken

  7. Bewerk de sectie Pod voor elke pod en voer de betreffende waarden voor dit netwerkbereik in.
    Optie Beschrijving
    FQDN voor clienttoegang De volledig gekwalificeerde domeinnaam (FQDN) van de server waarnaar clients worden geleid die toegang krijgen tot lokale rechten op deze pod, wanneer de aanvragen afkomstig zijn uit dit netwerkbereik. Deze waarde kan een Horizon Connection Server, een Unified Access Gateway, een load balancer of een reverse proxy-FQDN zijn.

    Bijvoorbeeld: internallb.example.com

    De FQDN voor clienttoegang voor een pod wordt gebruikt om bronnen met lokale rechten via de pod te starten.

    Poort De serverpoort.
    Artefact inpakken in JWT Zie Horizon-bronnen starten via validerende gateways.
    Doelgroep in JWT Zie Horizon-bronnen starten via validerende gateways.
  8. Bewerk de sectie CPA-federatie voor elke podfederatie en voer de juiste waarden voor dit netwerkbereik in.
    Optie Beschrijving
    FQDN voor clienttoegang De volledig gekwalificeerde domeinnaam (FQDN) van de server waarnaar clients worden geleid die toegang krijgen tot globale rechten op deze podfederatie, wanneer de aanvragen afkomstig zijn uit dit netwerkbereik. Standaard is deze waarde de globale load balancer van de implementatie van de podfederatie.

    Bijvoorbeeld: globallb.example.com

    De FQDN voor clienttoegang voor een podfederatie wordt gebruikt om bronnen met globale rechten te starten.

    Poort De serverpoort.
    Artefact inpakken in JWT Wanneer de Workspace ONE Access-service is geïntegreerd met een validerende gateway, zoals F5, moet deze optie worden ingeschakeld om Horizon-bronnen te verifiëren die aan gebruikers zijn toegewezen. Zie Horizon-bronnen starten via validerende gateways.
    Doelgroep in JWT Zie Horizon-bronnen starten via validerende gateways.
  9. Klik op Opslaan.
  10. Herhaal deze stappen om indien nodig de andere netwerkbereiken te bewerken.
    Belangrijk: Controleer of voor elk netwerkbereik in uw omgeving een FQDN voor clienttoegang is ingesteld. Als voor een netwerkbereik de FQDN voor clienttoegang ontbreekt, kunnen gebruikers die via dat netwerkbereik toegang hebben tot bronnen, hun Horizon-desktops en -applicaties niet starten.