Ниже приведены требования к интеграции федераций модулей Horizon с VMware Identity Manager.

  • VMware Identity Manager поддерживает использование для приложений и виртуальных компьютеров архитектуры облачных модулей (компонента Horizon 6.2 и более новых версий).
  • Со службой VMware Identity Manager можно интегрировать не более 10 федераций модулей. Каждая федерация может содержать до 7 модулей.
  • Для развертывания экземпляров серверов подключений Horizon используется порт по умолчанию (443) или пользовательский порт.
  • Для каждого экземпляра сервера подключений Horizon в среде есть DNS-запись и IP-адрес, которые можно сопоставить при обратном просмотре. VMware Identity Manager требует выполнения обратного просмотра для сервера подключений Horizon, сервера безопасности Horizon и экземпляров подсистемы балансировки нагрузки. Если обратный просмотр не настроен надлежащим образом, интегрировать VMware Identity Manager с Horizon не удастся.
  • Для VMware Identity Manager Connector должны быть доступны все экземпляры сервера подключений Horizon в федерации модулей.
  • В Horizon проверка подлинности SAML должна быть настроена с помощью службы VMware Identity Manager, которая указана в качестве поставщика удостоверений. Одним из компонентов URL-адреса должно быть полное доменное имя службы. Рекомендуется настроить проверку подлинности SAML во экземплярах сервера подключений Horizon в федерации модулей. Дополнительные сведения см. в разделе Настройка проверки подлинности SAML в Horizon.

    Рекомендуется расширить срок действия метаданных SAML в экземплярах Horizon Connection Server до 1 года. Дополнительные сведения см. в документе Изменение срока действия метаданных поставщиков услуг на серверах подключений View.

  • Сертификаты сервера подключений Horizon будут синхронизированы с VMware Identity Manager.
  • В модулях Horizon развернуты пулы приложений и виртуальных компьютеров.
    • При настройке пулов виртуальных компьютеров в окне параметров удаленного доступа значение параметра Автоматический выход из системы после отключения равно 1 или 2 минутам, а не Немедленно.
    • Пулы можно создавать в любой группе доступа в среде Horizon. Убедитесь, что для учетной записи администратора, используемой для синхронизации назначений Horizon с VMware Identity Manager, имеются разрешения администратора в группе корневого доступа Horizon, чтобы с VMware Identity Manager можно было синхронизировать пулы и ресурсы всех групп доступа.

    Если добавить или удалить пулы приложений или виртуальных компьютеров после интеграции с VMware Identity Manager, необходимо повторить синхронизацию, чтобы изменения отобразились в службе VMware Identity Manager.

  • Необходимо создать федерацию модулей, инициализировав архитектуру облачных модулей в одном из модулей и присоединив все остальные модули к федерации перед интеграцией со службой VMware Identity Manager. Глобальные права реплицируются в модули, когда они присоединяются к федерации.

    При присоединении модуля к федерации модулей или удалении из нее после интеграции со службой VMware Identity Manager необходимо изменить сведения о федерации модулей в консоли VMware Identity Manager, чтобы добавить или удалить модуль, сохранить изменения и повторить синхронизацию.

  • В среде Horizon созданы глобальные права для федерации модулей, позволяющие предоставить пользователям или группам Active Directory права на виртуальные компьютеры и приложения.
  • Для глобальных прав, которые необходимо синхронизировать с VMware Identity Manager, должна быть задана политика, действующая в области Все сайты. Если для прав задана политика, действующая в любой другой области, они не синхронизируются.
    Страница глобальных прав

  • В версиях Horizon 7 до 7.13, чтобы конечные пользователи могли запускать настольные компьютеры или приложения в веб-браузере, выберите параметр «HTML Access» для глобального применения в Horizon.

    При интеграции Horizon 7.13 или более поздних версий с VMware Identity Manager конечным пользователям всегда отображается команда для запуска приложений и настольных компьютеров в браузере. Однако если на серверах Horizon Connection Server не установлен HTML Access, запустить браузер не удастся. Для Horizon 7.13 и более поздних версий необходимо установить HTML Access на серверах Horizon Connection Server. См. документацию по VMware Horizon HTML Access для получения дополнительных сведений.

  • (Необязательно.) Создайте локальные права для модулей, если необходимо.

Дополнительные сведения о настройке Horizon см. в документации Horizon 6 или Horizon 7.