В рамках интеграции Workspace ONE Access и Horizon для сетевых диапазонов указываются полные доменные имена клиентского доступа, чтобы пользователи могли подключаться к соответствующему серверу Horizon на основе их сетевого диапазона. Кроме того, можно фильтровать пользователей, указав их группы для каждого сетевого диапазона.

При создании коллекции виртуальных приложений Horizon мастер направляет пользователя на вкладку «Сетевые диапазоны» для настройки полных доменных имен (FQDN) клиентского доступа для модулей и федерации модуля в коллекции. После создания коллекции полные доменные имена (FQDN) клиентского доступа можно изменить в любое время на вкладке «Сетевые диапазоны».

Установите полные доменные имена (FQDN) клиентского доступа для всех сетевых диапазонов арендатора для модулей и Pod федерации Horizon. Если в сетевом диапазоне не определено полное доменное имя (FQDN) клиентского доступа, пользователи, получающие доступ к ресурсам Horizon через этот сетевой диапазон, не смогут запускать свои назначенные настольные компьютеры и приложения. Убедитесь, что при создании новых сетевых диапазонов, вы редактируете коллекции виртуальных приложений, чтобы добавить полные доменные имена (FQDN) клиентского доступа для модулей и Pod федерации Horizon в новый сетевой диапазон.

Полные доменные имена (FQDN) клиентского доступа можно настроить в Workspace ONE Access как описано далее.

  • Используйте только сетевые диапазоны, чтобы направлять пользователей на соответствующие полные доменные имена (FQDN) клиентского доступа.

    Создайте несколько сетевых диапазонов и укажите для каждого из них полные доменные имена (FQDN) клиентского доступа. Не выбирайте группы пользователей для сетевых диапазонов. Все пользователи будут направлены на полные доменные имена (FQDN) клиентского доступа на основе сетевого диапазона, с которого они имеют доступ к своим приложениям и настольным компьютерам Horizon.

    Например, можно создать отдельные сетевые диапазоны для внутреннего и внешнего доступа и указать для каждого из них соответствующие полные доменные имена (FQDN) клиентского доступа.

  • Используйте сетевые диапазоны и группы, чтобы перенаправить пользователей на соответствующие полные доменные имена (FQDN) клиентского доступа.

    Создайте несколько сетевых диапазонов и укажите для каждого из них полные доменные имена (FQDN) клиентского доступа. Кроме того, выберите группы пользователей для сетевых диапазонов. Чтобы пользователи могли запускать приложения и настольные компьютеры Horizon с помощью полных доменных имен (FQDN) клиентского доступа, IP-адрес клиента должен соответствовать диапазону сетевых адресов и принадлежать по крайней мере к одной из групп, выбранных в сетевом диапазоне. Если в сетевом диапазоне не выбрано ни одной группы, все пользователи, IP-адрес клиента которых соответствует сетевому диапазону, могут запускать приложения и настольные компьютеры из полных доменных имен (FQDN) клиентского доступа этого сетевого диапазона.

    Например, можно создать отдельные сетевые диапазоны для внутреннего и внешнего доступа и отфильтровать пользователей для каждого диапазона в зависимости от того, принадлежат ли они к группе постоянных или временных сотрудников.

    Примечание: Если не нужно создавать несколько сетевых диапазонов, для каждой коллекции виртуальных приложений можно настроить группы пользователей с сетевым диапазоном по умолчанию ВСЕ ДИАПАЗОНЫ. Приложения и настольные компьютеры Horizon из полных доменных имен (FQDN) клиентского доступа с диапазоном ВСЕ ДИАПАЗОНЫ смогут запускать только пользователи, принадлежащие к одной из выбранных групп.

    Например, можно создать разные коллекции виртуальных приложений для модулей в разных регионах, создать группы пользователей по региону и выбрать соответствующие группы пользователей для диапазона ВСЕ ДИАПАЗОНЫ в каждой коллекции.

При настройке перекрывающихся сетевых диапазонов для поиска оптимальных для пользователя совпадений Workspace ONE Access использует следующие правила:

  • Если IP-адрес клиента пользователя совпадает с несколькими диапазонами и ни для одного из сетевых диапазонов не указаны группы, для определения полного доменного имени (FQDN) клиентского доступа для пользователя используется сетевой диапазон, созданный последним.
  • Если IP-адрес клиента пользователя совпадает с несколькими сетевыми диапазонами и группы пользователя совпадают только с одним из этих диапазонов, для определения полного доменного имени (FQDN) клиентского доступа для пользователя используется сетевой диапазон, который соответствует как IP-адресу, так и группам клиента.
  • Если IP-адрес клиента совпадает с несколькими сетевыми диапазонами и пользователь принадлежит к одной или нескольким группам во всех этих диапазонах, для определения полного доменного имени (FQDN) клиентского доступа используется сетевой диапазон, с наиболее соответствующей группой пользователей.
  • Если IP-адрес клиента совпадает с несколькими сетевыми диапазонами и количество подходящих групп пользователей одинаково для нескольких диапазонов, для определения полного доменного имени (FQDN) клиентского доступа пользователя используется сетевой диапазон, который был создан последним.

Необходимые условия

Для создания и изменения сетевых диапазонов требуется роль привилегированного администратора или настраиваемая роль, которая может выполнять действие «Управление параметрами» в службе управления идентификацией и доступом.

Процедура

  1. В консоли Workspace ONE Access выберите Ресурсы > Коллекции виртуальных приложений.
  2. Выберите коллекцию виртуальных приложений Horizon, а затем щелкните Сетевые диапазоны.
  3. При необходимости щелкните сетевой диапазон, чтобы изменить или создать новый сетевой диапазон.
  4. При создании нового сетевого диапазона введите его имя, описание (необязательно) и диапазон IP-адресов.
  5. (Необязательно) В разделе Членство в группе выберите группы пользователей, которые необходимо связать с этим сетевым диапазоном.
    Если выбрать группы, чтобы запускать приложения и настольные компьютеры Horizon из диапазона полных доменных имен (FQDN) клиентского доступа, связанного с этим сетевым диапазоном, пользователи должны принадлежать по крайней мере одной из этих групп, а их IP-адрес клиента должен соответствовать сетевому диапазону.

    Если группы не выбраны, все пользователи, IP-адрес клиента которых соответствует сетевому диапазону, смогут запускать приложения и настольные компьютеры Horizon из полных доменных имен (FQDN) клиентского доступа, связанных с этим сетевым диапазоном.

    Пример:

    На этом рисунке показано всплывающее окно назначения модулей для сетевых диапазонов. Для сетевого диапазона указывается диапазон IP-адресов. Для сетевого диапазона также выбраны две группы: Группа A и Группа B.
  6. Перейдите к разделам Модуль и Федерация.
    В разделе «Модуль» перечислены все модули Horizon в коллекции, для которых включен параметр «Синхронизировать локальные назначения». В разделе «Федерация CPA» перечислены федерации модулей, имеющиеся в коллекции.

    изменение сетевого диапазона для параметров представления

  7. Измените сведения в разделе «Модуль» для каждого модуля и введите соответствующие значения для этого сетевого диапазона.
    Параметр Описание
    Полное доменное имя клиентского доступа Полное доменное имя сервера, на который будут перенаправляться клиенты, которым предоставлен доступ с локальными правами в этом модуле, когда запросы поступают с этого сетевого диапазона. Для этого значения можно указать Horizon Connection Server, Unified Access Gateway, подсистему балансировки нагрузки или полное доменное имя (FQDN) обратного прокси-сервера.

    Например, internallb.example.com.

    Полное доменное имя клиентского доступа для модуля используется для запуска ресурсов с локальными правами из данного модуля.

    Порт Порт сервера.
    Артефакт для переноса в JWT См. раздел Запуск ресурсов Horizon через проверяемые шлюзы.
    Аудитория в JWT См. раздел Запуск ресурсов Horizon через проверяемые шлюзы.
  8. Измените сведения в разделе «Федерация CPA» для каждой федерации модулей и введите соответствующие значения для этого сетевого диапазона.
    Параметр Описание
    Полное доменное имя клиентского доступа Полное доменное имя сервера, на который будут перенаправляться клиенты, которым предоставлен доступ с глобальными правами в этой федерации модулей, когда запросы поступают с этого сетевого диапазона. Как правило, для этого значения используется глобальная подсистема балансировки нагрузки, применяемая в развертывании федерации модулей.

    Например, globallb.example.com.

    Полное доменное имя клиентского доступа для федерации модулей используется для запуска ресурсов с глобальными правами.

    Порт Порт сервера.
    Артефакт для переноса в JWT Если служба Workspace ONE Access интегрирована с проверяемым шлюзом, например F5, этот параметр должен быть включен для проверки подлинности ресурсов Horizon, назначенных пользователям. См. раздел Запуск ресурсов Horizon через проверяемые шлюзы.
    Аудитория в JWT См. раздел Запуск ресурсов Horizon через проверяемые шлюзы.
  9. Нажмите кнопку Сохранить.
  10. При необходимости повторите эти шаги, чтобы изменить другие сетевые диапазоны.
    Важно!: Убедитесь в том, что для каждого диапазона сетевых адресов в среде содержится набор полных доменных имен (FQDN) клиентского доступа. Если в сетевом диапазоне отсутствует полное доменное имя (FQDN) клиентского доступа, пользователи, получающие доступ к ресурсам через этот сетевой диапазон, не смогут запускать свои настольные компьютеры и приложения Horizon.