Настройте модули Horizon и их федерации в консоли VMware Identity Manager, чтобы синхронизировать ресурсы и права со службой VMware Identity Manager.

Чтобы настроить модули и их федерации, создайте одну или несколько коллекций виртуальных приложений на странице Каталог > Коллекции виртуальных приложений и введите сведения о конфигурации, в частности, укажите серверы подключения Horizon, из которых нужно синхронизировать ресурсы и права, а также сведения о федерации модулей, соединитель VMware Identity Manager, используемый для синхронизации, и параметры администрирования, например клиент запуска по умолчанию.

После добавления модулей и их федераций настройте полные доменные имена клиентского доступа для определенных сетевых диапазонов, чтобы конечные пользователи могли подключаться к соответствующим серверам при доступе к ресурсам.

Можно добавить все модули Horizon и их федерации в одну коллекцию или создать несколько коллекций в зависимости от потребностей. Например, можно создать отдельные коллекции для каждой федерации модулей или каждого модуля, чтобы упростить управление и распределить нагрузку синхронизации между несколькими соединителями. Можно также включить все модули и федерации модулей в одну коллекцию для целей тестирования и создать другую такую же коллекцию для производственной среды.

Важно!: При изменении параметров или конфигурации SAML на сервере Horizon необходимо изменить страницу «Коллекция виртуальных приложений» в консоли VMware Identity Manager и нажать кнопку «Сохранить», чтобы обновить параметры Horizon в службе VMware Identity Manager.

Необходимые условия

  • Настройте Horizon, как описано в разделах Требования к интеграции модулей Horizon и Требования к интеграции федераций модулей Horizon.
  • Настройте VMware Identity Manager в соответствии с Настройка среды VMware Identity Manager.
  • Для каждого модуля Horizon, который необходимо настроить в VMware Identity Manager, требуются учетные данные пользователя с ролью администратора.
  • Чтобы выполнить эту процедуру в VMware Identity Manager, необходимо использовать роль администратора, который может выполнять действие по управлению настольными приложениями в службе каталога.
  • После завершения этой процедуры будет выполнено перенаправление на страницу «Сетевые диапазоны» для настройки полных доменных имен клиентского доступа. Чтобы внести и сохранить изменения на странице «Сетевые диапазоны», необходима роль привилегированного администратора. Этот шаг можно выполнить отдельно.

Процедура

  1. Выполните вход в консоль VMware Identity Manager.
  2. Выберите вкладку Каталог > Коллекции виртуальных приложений.
  3. Нажмите кнопку Создать.
  4. Выберите Horizon в качестве типа источника.
  5. В мастере создания коллекции виртуальных приложений Horizon введите следующие сведения на странице «Соединитель».
    Параметр Описание
    Имя Введите уникальное имя для коллекции Horizon.
    Соединитель Выберите соединитель, который будет использоваться для синхронизации этой коллекции. Чтобы выбрать соединитель, выберите связанный с ним каталог. Если настроен кластер соединителей, все экземпляры соединителей отображаются в списке Узел. Их можно расположить в порядке аварийного переключения для этой коллекции.
    Важно!: После создания коллекции нельзя выбрать другой каталог.
  6. Нажмите кнопку Далее.
  7. На странице «Модуль и федерация» щелкните Добавить модуль и введите сведения о модуле.
    Если в модуле есть несколько экземпляров сервера подключений Horizon, введите сведения о любом из экземпляров.
    Параметр Описание
    Сервер подключений Введите полное доменное имя узла любого из экземпляров Сервер подключений Horizon в модуле. Например, connectionserver.horizondomain.com. Доменное имя должно соответствовать доменному имени, к которому присоединен экземпляр Сервер подключений Horizon.
    Важно!: Если в модуле есть несколько экземпляров Horizon Connection Server, необходимо добавить только один из них. VMware Identity Manager извлекает сведения обо всех экземплярах в модуле.
    Имя пользователя Введите имя администратора Horizon Connection Server. У пользователя должна быть роль администратора в Horizon.
    Пароль Введите пароль администратора сервера подключений Horizon.
    Проверка подлинности с помощью смарт-карты Включите этот параметр, если для входа на сервер подключений Horizon будет использоваться проверка подлинности с помощью смарт-карты вместо паролей.
    Единый вход True SSO

    Включите этот параметр, если для сервера подключений Horizon включен единый вход True SSO. Этот параметр применим только к версиям Horizon, которые поддерживают технологию единого входа True SSO.

    Если этот параметр включен, пользователям, выполнившим вход в Workspace ONE с помощью метода проверки подлинности без пароля, например SecurID, не будет предлагаться ввести пароль при запуске настольных компьютеров Windows.

    Синхронизировать локальные назначения Включите этот параметр, чтобы синхронизировать локальные права с сервера подключений Horizon, а также глобальные назначения.
  8. Чтобы добавить дополнительные модули, щелкните Добавить модуль и введите сведения о каждом модуле.
  9. Если параметр Архитектура Cloud Pod включен в Horizon для любого из добавленных модулей, выполните следующие действия, чтобы добавить сведения о федерации модулей.
    1. а. Установите для параметра Включена ли архитектура Cloud Pod для какого-либо из модулей, добавленных выше? значение Да.
    2. б. Щелкните Добавить федерацию.
    3. в. Введите сведения о федерации модулей.
      Параметр Описание
      Имя федерации Имя федерации модулей.
      Полное доменное имя клиентского доступа Полное доменное имя сервера, на который будут перенаправляться клиенты, которым предоставлен доступ с глобальными правами в этой федерации модулей. Как правило, для этого значения используется глобальная подсистема балансировки нагрузки, применяемая в развертывании федерации модулей.

      Например, federationA.example.com.

      Полное доменное имя клиентского доступа для конкретных сетевых диапазонов можно задать позже в процессе настройки.

      Модули Horizon Выберите модули, принадлежащие к федерации. В столбце Доступные модули отображаются все модули, добавленные в коллекцию. При выборе модуля он добавляется в столбец Выбранные модули. Можно расположить модули в столбце Выбранные модули в порядке аварийного переключения.
    4. г. Чтобы добавить другую федерацию модулей, щелкните Добавить федерацию и введите сведения о федерации модулей.
  10. Нажмите кнопку Далее.
  11. На странице «Конфигурация» введите следующие сведения.
    Параметр Описание
    Интервал синхронизации Выберите частоту синхронизации ресурсов в коллекции.

    Можно настроить расписание автоматической синхронизации или выбрать синхронизацию вручную. Чтобы задать расписание, выберите интервал, например ежедневно или еженедельно, и укажите время суток для запуска синхронизации. Если выбрать параметр Вручную, то после настройки коллекции и в случае каких-либо изменений прав или ресурсов Horizon Cloud необходимо щелкнуть Синхронизация на странице «Коллекции виртуальных приложений».

    Синхронизировать повторяющиеся приложения Установите значение Нет, если необходимо предотвратить синхронизацию повторяющихся приложений с нескольких серверов.

    Когда развертывание VMware Identity Manager выполняется в нескольких центрах обработки данных, там также настраиваются одни и те же ресурсы. Если выбрать для этого параметра значение Нет, пулы настольных компьютеров или приложений не будут повторяться в каталоге VMware Identity Manager.

    Политика активации Выберите способ предоставления пользователям доступа к ресурсам в этой коллекции для пользователей на портале и в приложении Workspace ONE. Если планируется настройка процесса подтверждения, выберите При активации пользователем, в противном случае выберите Автоматически.

    При использовании параметров При активации пользователем и Автоматически ресурсы добавляются на вкладку «Каталог». Пользователи могут использовать ресурсы на вкладке «Каталог» или переместить их на вкладку «Закладки». Тем не менее, чтобы настроить процесс подтверждения для любого приложения, необходимо выбрать для него параметр «При активации пользователем».

    Политика активации применяется ко всем правам пользователей для всех ресурсов в коллекции. Политику активации можно изменить для отдельных пользователей или групп для каждого ресурса на странице пользователей или групп на вкладке Пользователи и группы.

    Клиент для запуска по умолчанию Выберите клиент по умолчанию для конечных пользователей, осуществляющих доступ к настольным компьютерам и приложениям Horizon с портала или из приложения Workspace ONE.

    Отсутствует. На уровне администратора не задан параметр по умолчанию. Если для этого параметра выбрано значение Отсутствует и настройка конечного пользователя также не задана, то для определения способа запуска настольного компьютера или приложения используется настройка Horizon Протокол отображения по умолчанию.

    Браузер. Настольные компьютеры и приложения Horizon по умолчанию запускаются в веб-браузере. Если заданы параметры конечного пользователя, они переопределяют эту настройку.

    Собственный. Настольные компьютеры и приложения Horizon по умолчанию запускаются в Horizon Client. Если заданы параметры конечного пользователя, они переопределяют эту настройку.

    Этот параметр применяется ко всем пользователям для всех ресурсов в данной коллекции.

    К параметрам клиента для запуска по умолчанию применяется следующий порядок приоритетности (по убыванию):

    1. а.Параметр конечного пользователя, заданный на портале Workspace ONE. Этот параметр недоступен в приложениях Workspace ONE.
    2. б.Административный параметр Клиент для запуска по умолчанию для коллекции, заданный в консоли VMware Identity Manager.
    3. в.Параметр Horizon Удаленный протокол отображения > Протокол отображения по умолчанию для пула виртуальных компьютеров или приложений, заданный в Horizon Administrator. Например, если для протокола отображения задано значение PCoIP, то виртуальный компьютер или приложение запускается в Horizon Client.
    Важно!: При интеграции Horizon 7.13 или более поздних версий с VMware Identity Manager конечным пользователям всегда отображается команда для запуска приложений и настольных компьютеров в браузере. Однако если на серверах Horizon Connection Server не установлен HTML Access, запустить браузер не удастся. Для Horizon 7.13 и более поздних версий необходимо установить HTML Access на серверах Horizon Connection Server. См. документацию по VMware Horizon HTML Access для получения дополнительных сведений.
  12. Нажмите кнопку Далее.
  13. На странице «Сводка» просмотрите выбранные параметры, а затем щелкните Сохранить и настроить сетевой диапазон.
    Отобразится страница «Сетевые диапазоны».
  14. На странице «Сетевые диапазоны» измените каждый сетевой диапазон и укажите полные доменные имена клиентского доступа для модулей Horizon и их федераций, чтобы конечные пользователи, осуществляющие доступ к приложениям и настольным компьютерам Horizon, подключались к нужному серверу.
    1. а. Щелкните сетевой диапазон, который нужно изменить, или нажмите Создать сетевой диапазон, чтобы создать новый сетевой диапазон при необходимости.
    2. б. При создании нового сетевого диапазона введите его имя, описание (необязательно) и диапазон IP-адресов.
    3. в. Перейдите к разделам Модуль и Просмотр федерации CPA.
      В разделе «Модуль» перечислены все модули Horizon, которые добавлены в коллекцию и для которых задан параметр «Синхронизировать локальные назначения». В разделе «Просмотр федерации CPA» перечислены все добавленные федерации модулей.
      Назначить модули сетевым диапазонам

    4. г. Измените сведения в разделе «Модуль» для каждого модуля и введите соответствующие значения для этого сетевого диапазона.
      Параметр Описание
      Полное доменное имя клиентского доступа Укажите полное доменное имя сервера, на который будут перенаправляться клиенты, которым предоставлен доступ с локальными правами в этом модуле, когда запросы поступают с этого сетевого диапазона. Это может быть сервер подключений Horizon, сервер безопасности, подсистема балансировки нагрузки или полное доменное имя обратного прокси-сервера.

      Например, internallb.example.com.

      Полное доменное имя клиентского доступа для модуля используется для запуска ресурсов с локальными правами из данного модуля.

      Порт Порт сервера.
      Артефакт для переноса в JWT См. Запуск ресурсов Horizon через проверяемые шлюзы.
      Аудитория в JWT См. Запуск ресурсов Horizon через проверяемые шлюзы.
    5. д. Измените сведения в разделе «Просмотр федерации CPA» для каждой федерации модулей и введите соответствующие значения для этого сетевого диапазона.
      Параметр Описание
      Полное доменное имя клиентского доступа Укажите полное доменное имя сервера, на который будут перенаправляться клиенты, которым предоставлен доступ с глобальными правами в этой федерации модулей, когда запросы поступают с этого сетевого диапазона. Как правило, это глобальная подсистема балансировки нагрузки, используемая в развертывании федерации модулей.

      Например, globallb.example.com.

      Полное доменное имя клиентского доступа для федерации модулей используется для запуска ресурсов с глобальными правами.

      Порт Порт сервера.
      Артефакт для переноса в JWT Если служба VMware Identity Manager интегрирована с проверяемым шлюзом, например F5, этот параметр должен быть включен для проверки подлинности ресурсов Horizon, назначенных пользователям. См. Запуск ресурсов Horizon через проверяемые шлюзы.
      Аудитория в JWT См. Запуск ресурсов Horizon через проверяемые шлюзы.
    6. е. Нажмите кнопку Сохранить.
    7. ё. Повторите эти шаги, чтобы изменить другие сетевые диапазоны.
    8. ж. На странице «Сетевые диапазоны» щелкните Готово.

Дальнейшие действия

Коллекция Horizon создается и отображается на странице Каталог > Коллекции виртуальных приложений. Ресурсы в коллекции еще не синхронизированы. Можно подождать следующей запланированной синхронизации или выполнить синхронизацию коллекции вручную со страницы Каталог > Коллекции виртуальных приложений .