Помимо интеграции независимых модулей Horizon с Workspace ONE Access, можно также интегрировать развернутые среды с архитектурой модулей Horizon Cloud (Cloud Pod Architecture, CPA).

Рис. 1. Интеграция федераций модулей Horizon с локальной службой Workspace ONE Access
Рис. 2. Интеграция федераций модулей Horizon с облачной службой Workspace ONE Access

Размещенная интеграция

Архитектура модулей Horizon Cloud объединяет несколько модулей Horizon, формируя одну большую среду управления виртуальными компьютерами и приложениями с обеспечением функций брокера, которая называется федерацией модулей. Федерация модулей может охватывать несколько сайтов и центров обработки данных.

Со службой Workspace ONE Access можно интегрировать одну или несколько федераций модулей. Обратите внимание, что для создания федераций модулей и управления ими, назначения пользователям и группам прав на доступ к пулам виртуальных компьютеров и приложений федерации модулей используется Horizon. Ресурсы и права синхронизируются с Workspace ONE Access.

Для федераций модулей применяются глобальные права, что дает возможность предоставить пользователям права на настольные компьютеры и приложения, доступные из любого модуля в федерации. Глобальное право может обеспечивать доступ к ресурсам в нескольких модулях федерации. Например, глобальное право на доступ к виртуальным компьютерам может обеспечивать доступ к пулам виртуальных компьютеров из трех разных модулей в трех разных центрах обработки данных. Для отдельных модулей в федерации также можно настроить локальные права. Глобальные и локальные права можно синхронизировать с Workspace ONE Access.

Чтобы интегрировать федерацию модулей со службой Workspace ONE Access, в консоли Workspace ONE Access необходимо выполнить следующие основные задачи.

  • Добавьте все модули, которые необходимо включить в федерацию, указав для каждого из них сведения о сервере подключений Horizon.

    Диспетчер Workspace ONE Access может синхронизировать глобальные права из любого модуля в федерации. Для этого ему необходимо подключиться к каждому модулю для синхронизации метаданных, требуемых для проверки подлинности SAML. Кроме того, при необходимости он подключается к модулям для синхронизации локальных прав.

  • Добавьте сведения о федерации модулей и укажите глобальный URL-адрес для запуска. Глобальный URL-адрес для запуска (обычно это глобальный URL-адрес средства балансировки нагрузки) используется для запуска виртуальных компьютеров и приложений, на которые предоставлены глобальные права.

    Этот URL-адрес можно настроить для определенных диапазонов сетевых адресов, например для внутреннего и внешнего доступа.

  • Синхронизируйте ресурсы и права федерации модулей со службой Workspace ONE Access.
    Примечание: Синхронизируются только глобальные права, для которых в федерации модулей настроена политика области «Все сайты». Эта политика дает возможность выполнять поиск приложений и виртуальных компьютеров во всех модулях в федерации.
  • Настройте глобальный URL-адрес для запуска. Для этого задайте URL-адреса клиентского доступа для определенных диапазонов сетевых адресов. Эти URL-адреса используются для запуска ресурсов федерации модулей, на которые предоставлены глобальные права. По умолчанию глобальный URL-адрес для запуска, указываемый при добавлении федерации, используется в качестве глобального URL-адреса для запуска для всех диапазонов сетевых адресов.
  • Укажите URL-адреса клиентского доступа для каждого модуля с локальными правами в федерации. Эти URL-адреса используются для запуска виртуальных компьютеров и приложений модуля, на которые предоставлены локальные права. URL-адрес клиентского доступа может быть URL-адресом сервера подключений Horizon, сервера безопасности или подсистемы балансировки нагрузки. URL-адреса клиентского доступа устанавливаются для определенных диапазонов сетевых адресов. По умолчанию сервер подключений Horizon, указываемый при добавлении модуля, используется в URL-адресе для доступа клиентов для всех диапазонов сетевых адресов.

При интеграции федерации модулей со службой Workspace ONE Access эта служба выполняет перечисленные ниже действия.

  • Синхронизируются все глобальные права, для которых в федерации модулей настроена политика области «Все сайты».
  • Синхронизирует локальные права модулей, входящих в федерацию (если такие права настроены).
  • Синхронизирует метаданные всех серверов подключений Horizon в федерации модулей.
  • Дает конечным пользователям возможность получить доступ к приложениям и настольным компьютерам Horizon в приложении либо на портале Workspace ONE Intelligent Hub.

Конечные пользователи могут получить доступ к приложениям и настольным компьютерам Horizon в приложении либо на портале Intelligent Hub. Здесь отображаются все ресурсы, для которых у них есть право доступа (глобальное или локальное). Приложения и настольные компьютеры запускаются в Horizon Client или в браузере. Когда пользователь запускает локально назначенное приложение или виртуальный компьютер, они запускаются с сервера подключений Horizon, к которому подключается пользователь. Глобально назначенные ресурсы запускаются с сервера подключений Horizon, где размещен ресурс.

Пример развертывания архитектуры облачных модулей

На схемах ниже показан пример развертывания архитектуры Cloud Pod и ее интеграции со службой Workspace ONE Access.

Рис. 3. Развертывание архитектуры Cloud Pod с локальной службой Workspace ONE Access
Рис. 4. Развертывание архитектуры Cloud Pod с облачной службой Workspace ONE Access

Пример размещенной развернутой среды

На этой схеме приведен пример развертывания федерации модулей. Федерация модулей с именем «Федерация 1» создана в Horizon 6. Она содержит три модуля — «Модуль 1», «Модуль 2» и «Модуль 3». Для модулей 1 и 2 настроены экземпляры сервера безопасности для каждого сервера подключений Horizon, внешняя подсистема балансировки нагрузки для внешнего доступа и внутренняя подсистема балансировки нагрузки для внутреннего доступа. Модуль 3 настроен только для внутреннего доступа с использованием внутреннего средства балансировки нагрузки. Для федерации в целом настроены внешнее и внутреннее глобальные средства балансировки нагрузки.

В модулях развернуты пулы виртуальных компьютеров и приложений. Для федерации 1 настроены глобальные права. Для отдельных модулей также настроены локальные права.

Федерация 1 интегрирована со службой Workspace ONE Access. Служба Workspace ONE Access синхронизирует глобальные и локальные права, заданные для федерации 1. Так как глобальные права реплицируются в каждый модуль, синхронизируются права модуля 1. Служба также синхронизирует локальные права модулей 1, 2 и 3.

Конечные пользователи могут просмотреть список всех настольных компьютеров и приложений, на которые им предоставлены права (глобальные или локальные), в приложении либо на портале Intelligent Hub. Когда пользователь запускает виртуальный компьютер или приложение, для которых действует глобальное право, запрос на запуск передается во внешнее или внутреннее глобальное средство балансировки нагрузки (на внутренний или внешний глобальный URL-адрес) в зависимости от диапазона сетевых адресов пользователя. Если ресурс предоставлен на основе локального права, запрос на запуск передается во внешнее или внутреннее средство балансировки нагрузки модуля, в котором развернут ресурс, в зависимости от диапазона сетевых адресов пользователя. Например, для ресурса в модуле 2 запрос передается на внутренний или внешний URL-адрес 2.