Настройте модули Horizon и их федерации в консоли VMware Identity Manager, чтобы синхронизировать ресурсы и права со службой VMware Identity Manager.

Чтобы настроить модули и их федерации, создайте одну или несколько коллекций виртуальных приложений на странице Каталог > Виртуальные приложения и введите сведения о конфигурации, в частности серверы Horizon Connection Server, из которых нужно синхронизировать ресурсы и права, сведения о федерации модулей, VMware Identity Manager Connector, используемый для синхронизации, и параметры администрирования, например клиент запуска по умолчанию.

Можно добавить все модули Horizon и их федерации в одну коллекцию или создать несколько коллекций в зависимости от потребностей. Например, можно создать отдельные коллекции для каждой федерации модулей или каждого модуля, чтобы упростить управление и распределить нагрузку синхронизации между несколькими соединителями. Можно также включить все модули и федерации модулей в одну коллекцию для целей тестирования и создать другую такую же коллекцию для производственной среды.

После добавления модулей настройте URL-адреса клиентского доступа для конкретных диапазонов сетевых адресов.
Важно!: При изменении параметров или конфигурации SAML на сервере Horizon необходимо изменить страницу «Виртуальные приложения Horizon» в консоли VMware Identity Manager и нажать кнопку «Сохранить», чтобы обновить параметры Horizon в службе VMware Identity Manager.

Необходимые условия

Процедура

  1. Выполните вход в консоль VMware Identity Manager.
  2. Перейдите на вкладку Каталог > Виртуальные приложения и щелкните Конфигурация виртуальных приложений.
  3. Щелкните Добавить виртуальные приложения и выберите Локальный Horizon View.
  4. Введите уникальное имя для коллекции.
  5. В раскрывающемся меню Соединители для синхронизации выберите соединитель, который необходимо использовать для синхронизации ресурсов в этой коллекции.

    Если настроено несколько соединителей для высокого уровня доступности, щелкните Добавить соединитель и выберите другие соединители. Расположение соединителей в списке определяет порядок аварийного переключения.

  6. В разделе Модули Horizon предоставьте сведения о конфигурации модулей Horizon, которые добавляются в эту коллекцию.
    Сервер подключений Введите полное доменное имя узла экземпляра Сервер подключений Horizon, например connectionserver.example.com. Доменное имя должно полностью совпадать с доменным именем, к которому присоединен экземпляр Сервер подключений Horizon.
    Имя пользователя Введите имя пользователя с ролью администратора для модуля. У пользователя должна быть роль администратора в Horizon.
    Пароль Введите пароль администратора для модуля.
    Проверка подлинности с помощью смарт-карты Установите флажок, если пользователи для входа в этот модуль используют проверку подлинности с помощью смарт-карты вместо паролей.
    Единый вход True SSO включен

    Выберите этот параметр, если единый вход True SSO включен в Horizon. Этот параметр применим только к версиям Horizon, которые поддерживают технологию единого входа True SSO.

    Если единый вход True SSO включен в среде Horizon, пользователям не требуется пароль для входа в систему на виртуальных компьютерах Windows. Тем не менее, если пользователи выполняют вход в VMware Identity Manager с использованием метода проверки подлинности без пароля, например SecurID, когда они запускают свои виртуальные компьютеры Windows, они получают запрос на ввод пароля. Этот параметр можно выбрать, чтобы предотвратить отображение диалогового окна для ввода пароля пользователя в этом сценарии.

    Синхронизировать локальные права Если для модуля настроены локальные права, выберите этот параметр.
    Например:
    добавление модулей

  7. Чтобы добавить несколько модулей в коллекцию, щелкните Добавить модуль и введите сведения о конфигурации для каждого модуля.
  8. Чтобы добавить федерацию модулей, выполните следующие действия.
    1. а. Установите флажок Включить в разделе Конфигурация архитектуры модулей Horizon Cloud.
    2. б. Введите сведения о конфигурации федерации модулей.
      Параметр Описание
      Имя федерации Имя федерации модулей.
      Добавить модули Horizon Выберите все модули, принадлежащие к федерации. В списке отображаются все модули, добавленные в коллекцию.

      Выберите каждый модуль и щелкните Добавить в список.

      Выбранные модули Можно изменять порядок модулей или удалять их.
      URL-адрес запуска URL-адрес глобального запуска, который будет использоваться для запуска виртуальных компьютеров и приложений с правами глобального уровня. Например, federationA.example.com.

      URL-адрес запуска — это, как правило, URL-адрес глобальной подсистемы балансировки нагрузки, использующейся федерацией модулей. URL-адрес запуска для конкретных диапазонов сетевых адресов можно задать позже в процессе настройки.

    3. в. Чтобы добавить другую федерацию модулей, щелкните Добавить федерацию и введите сведения о конфигурации.
    Примечание: Если коллекция содержит только отдельные модули Horizon, которые не принадлежат к федерации модулей, не включайте этот параметр.
    Например:
    добавление федерации модулей

  9. Установите флажок Не синхронизировать повторяющиеся приложения, чтобы предотвратить синхронизацию повторяющихся приложений с нескольких серверов.
    Когда VMware Identity Manager развертывается в нескольких центрах обработки данных, там также настраиваются одинаковые ресурсы. Если выбрать этот параметр, пулы виртуальных компьютеров или приложений не будут повторяться в каталоге VMware Identity Manager.
  10. Установите флажок Настройка сервера подключений Horizon 5.x, если вы настраиваете экземпляры сервера подключений View версии 5.x.

    При выборе этого параметра подключается альтернативный способ синхронизации ресурсов, необходимый для View 5.x.

    Примечание: Если выбрать параметр Выполнить синхронизацию каталогов, параметр Настройка сервера подключений Horizon 5.x также выбирается автоматически, так как для обоих параметров используется альтернативный способ синхронизации ресурсов.
  11. Установите флажок Выполнить синхронизацию каталогов, чтобы в ходе синхронизации ресурсов выполнялась синхронизация каталогов, если в каталоге VMware Identity Manager отсутствуют какие-либо пользователи или группы, у которых есть права на использование пулов Horizon в экземплярах Horizon Connection Server.

    Параметр «Выполнить синхронизацию каталогов» не применяется к федерации модулей. Если пользователи и группы с глобальными правами отсутствуют в каталоге VMware Identity Manager, синхронизация каталога не запускается.

    Управление пользователями и группами, синхронизированными таким образом, осуществляется точно так же, как и управление любыми другими пользователями, добавляемыми при синхронизации каталогов VMware Identity Manager.

    Важно!: При использовании параметра «Выполнить синхронизацию каталогов» синхронизация длится дольше.
    Примечание: При выборе этого параметра также автоматически выбирается параметр Настройка сервера подключений Horizon 5.x, так как для обоих параметров используется альтернативный способ синхронизации ресурсов.
  12. В раскрывающемся списке Клиент для запуска по умолчанию выберите клиент по умолчанию для запуска приложений и виртуальных компьютеров Horizon.
    Параметр Описание
    Нет На уровне администратора не задан параметр по умолчанию. Если для этого параметра выбрано значение Нет и настройка конечного пользователя также не задана, то для определения способа запуска виртуального компьютера или приложения используется настройка Horizon Протокол отображения по умолчанию.
    БРАУЗЕР Виртуальные компьютеры и приложения Horizon по умолчанию запускаются в веб-браузере. Если заданы параметры конечного пользователя, они переопределяют эту настройку.
    ВСТРОЕННЫЕ ПРИЛОЖЕНИЯ Виртуальные компьютеры и приложения Horizon по умолчанию запускаются в Horizon Client. Если заданы параметры конечного пользователя, они переопределяют эту настройку.

    Этот параметр применяется ко всем пользователям для всех ресурсов в данной коллекции.

    К параметрам клиента для запуска по умолчанию применяется следующий порядок приоритетности (по убыванию):

    1. а.Параметр конечного пользователя, заданный на портале Workspace ONE. Этот параметр недоступен в приложениях Workspace ONE.
    2. б.Параметр управления Клиент для запуска по умолчанию для коллекции, заданный в консоли VMware Identity Manager.
    3. в.Параметр Horizon Удаленный протокол отображения > Протокол отображения по умолчанию для пула виртуальных компьютеров или приложений, заданная в Horizon Administrator. Например, если для протокола отображения задано значение PCoIP, то виртуальный компьютер или приложение запускается в Horizon Client.
  13. В раскрывающемся меню Интервал синхронизации выберите частоту синхронизации ресурсов в этой коллекции.
    Можно настроить регулярное расписание синхронизации или выбрать синхронизацию вручную. Если выбрать настройку вручную, то после настройки коллекции и в случае каких-либо изменений прав или ресурсов View необходимо щелкнуть Синхронизация на странице «Конфигурация виртуальных приложений».
  14. В раскрывающемся списке Политика активации выберите способ предоставления пользователям доступа к опубликованным ресурсам Horizon в Workspace ONE.
    При использовании параметров При активации пользователем и Автоматически ресурсы добавляются на страницу «Каталог». Пользователи могут использовать ресурсы на странице «Каталог» или переместить их на страницу «Закладки». Тем не менее, чтобы настроить процесс подтверждения для любого приложения, необходимо выбрать для него параметр «При активации пользователем».

    Политика активации, выбранная на этой странице, применяется ко всем правам пользователей для всех ресурсов в коллекции. Политику активации можно изменить для отдельных пользователей или групп для каждого ресурса на странице «Права» приложения или виртуального компьютера.

    Если планируется настроить процесс подтверждения, для политики активации коллекции рекомендуется выбрать параметр При активации пользователем.

  15. Нажмите кнопку Сохранить.
    Коллекция создается и отображается на странице «Конфигурация виртуальных приложений». Ресурсы в коллекции еще не синхронизированы.
  16. Чтобы синхронизировать ресурсы в коллекции с VMware Identity Manager, нажмите кнопку Синхронизация на странице «Конфигурация виртуальных приложений».
    Каждый раз при изменении настроек в Horizon, например при добавлении прав или пользователя, требуется выполнить синхронизацию, чтобы распространить изменения на VMware Identity Manager.
  17. Настройте URL-адреса клиентского доступа для модулей и их федераций.
    URL-адреса настраиваются для определенных диапазонов сетевых адресов. Например, различные URL-адреса запуска обычно устанавливаются для внутреннего и внешнего доступа.
    1. а. Просмотрите сетевые диапазоны и создайте новые диапазоны при необходимости.
      • Выберите вкладку Управление учетными данными и доступом > Политики.
      • Щелкните Сетевые диапазоны.
      • Просмотрите сетевые диапазоны и нажмите кнопку Добавить сетевой диапазон, чтобы добавить новые диапазоны при необходимости.
    2. б. Перейдите на вкладку Каталог > Виртуальные приложения, а затем щелкните Параметры виртуального приложения.
    3. в. Выберите Сетевые параметры.
    4. г. Выберите сетевой диапазон для настройки.
      В разделе Федерация CPA View указан URL-адрес глобального запуска для федераций модулей, добавленных в коллекцию. В разделе Модуль View перечислены все модули View, добавленные в коллекцию, для которых задан параметр «Синхронизировать локальные права».

      сетевые диапазоны

    5. д. В разделе Федерация CPA View в качестве URL-адреса глобального запуска необходимо указать полное доменное имя сервера, на который будут отправляться запросы на запуск объектов с глобальными правами, поступающие из этого диапазона сетевых адресов. Как правило, это URL-адрес глобальной подсистемы балансировки нагрузки, используемой в развертывании федерации модулей View.

      Например, lb.example.com.

      URL-адрес глобального запуска используется для запуска ресурсов с правами глобального уровня.

    6. е. В разделе Модуль View для каждого модуля необходимо указать полное доменное имя сервера, на который будут отправляться запросы на запуск объектов с локальными правами, поступающие из этого диапазона сетевых адресов. Можно указать экземпляр сервера подключений Horizon, подсистему балансировки нагрузки или сервер безопасности. Например, если редактируется диапазон для внутреннего доступа, для модуля необходимо указать внутреннюю подсистему балансировки нагрузки.

      Например, lb.example.com.

      URL-адрес клиентского доступа используется для запуска ресурсов с локальными правами из данного модуля.

      Примечание: Дополнительные сведения о параметрах Артефакт для переноса в JWT и Аудитория в JWT см. в разделе Запуск ресурсов Horizon через проверяемые шлюзы.
    7. ё. Нажмите кнопку Готово.