若要從 VMware Identity Manager 啟動遠端桌面平台和應用程式,或透過第三方負載平衡器或閘道連線至遠端桌面平台和應用程式,您必須在 Horizon Administrator 中建立 SAML 驗證器。SAML 驗證器包含 Horizon 7 和用戶端所連線的裝置之間的信任和中繼資料交換。

您可在 SAML 驗證器與連線伺服器執行個體之間建立關聯。如果您的部署包含多個連線伺服器執行個體,則必須建立 SAML 驗證器與每個執行個體的關聯。

您一次可以讓一個靜態驗證器和多個動態驗證器上線。您可以設定 vIDM (動態) 和 Unified Access Gateway (靜態) 驗證器,並讓它們保持在作用中狀態。您可以透過其中一種驗證器進行連線。

您可以對連線伺服器設定多個 SAML 驗證器,且所有驗證器可同時處於作用中狀態。不過,在連線伺服器上設定的每個 SAML 驗證器必須有不同的實體識別碼。

儀表板中 SAML 驗證器的狀態一律會是綠色,因為它是靜態本質的預先定義中繼資料。紅色和綠色切換僅適用於動態驗證器。

如需為 VMware Unified Access Gateway 應用裝置設定 SAML 驗證器的相關資訊,請參閱《部署及設定 Unified Access Gateway》

必要條件

  • 確認 Workspace ONEVMware Identity Manager 或第三方閘道或負載平衡器已完成安裝與設定。請參閱該產品的安裝文件。

  • 確認用於 SAML 伺服器憑證之簽署 CA 的根憑證已安裝在連線伺服器主機上。VMware 建議您不要將 SAML 驗證器設定為使用自我簽署憑證。如需憑證驗證的相關資訊,請參閱《Horizon 7 安裝》文件。
  • 記下 Workspace ONE 伺服器、VMware Identity Manager 伺服器或面向外部之負載平衡器的 FQDN 或 IP 位址。
  • (選擇性) 若您使用 Workspace ONEVMware Identity Manager,請記下連接器 Web 介面的 URL。
  • 若您為 Unified Access Gateway 或需要您產生 SAML 中繼資料和建立靜態驗證器的第三方應用裝置建立驗證器,請對該裝置執行此程序即可產生 SAML 中繼資料,然後複製該中繼資料。

程序

  1. 在 Horizon Administrator 中,選取組態 > 伺服器
  2. 連線伺服器索引標籤上,選取要與 SAML 驗證器建立關聯的伺服器執行個體,然後按一下編輯
  3. 驗證索引標籤上的將驗證委派給 VMware Horizon (SAML 2.0 驗證器) 下拉式功能表中,選取設定以啟用或停用 SAML 驗證器。
    選項 說明
    已停用 停用 SAML 驗證。您只能從 Horizon Client 啟動遠端桌面平台和應用程式。
    允許 SAML 驗證已啟用。您可從 Horizon Client 以及 VMware Identity Manager 或第三方裝置啟動遠端桌面平台和應用程式。
    必要 SAML 驗證已啟用。您只能從 VMware Identity Manager 或第三方裝置啟動遠端桌面平台和應用程式。您無法從 Horizon Client 手動啟動桌面平台或應用程式。
    您可以將部署中的每個連線伺服器執行個體設定為具有不同的 SAML 驗證設定,視您的需求而定。
  4. 按一下管理 SAML 驗證器後,按一下新增
  5. 在 [新增 SAML 2.0 驗證器] 對話方塊中設定 SAML 驗證器。
    選項 說明
    類型 若為 Unified Access Gateway 或第三方裝置,請選取靜態。若為 VMware Identity Manager,請選取動態。對於動態驗證器,您可以指定中繼資料 URL 和管理 URL。對於靜態驗證器,則必須先在 Unified Access Gateway 或第三方裝置上產生中繼資料、加以複製,然後將其貼到 SAML 中繼資料文字方塊。
    標籤 用於識別 SAML 驗證器的唯一名稱。
    說明 SAML 驗證器的簡要說明。此值為選用。
    中繼資料 URL (適用於動態驗證器) 用來擷取在 SAML 身分識別提供者與連線伺服器執行個體之間交換 SAML 資訊所需之所有資訊的 URL。在 URL https://<YOUR HORIZON SERVER NAME>/SAAS/API/1.0/GET/metadata/idp.xml 中,按一下 <您的 Horizon Server 名稱> 並將其更換為 VMware Identity Manager 伺服器或對外之負載平衡器 (第三方裝置) 的 FQDN 或 IP 位址。
    管理 URL (適用於動態驗證器) 用於存取 SAML 身分識別提供者的管理主控台的 URL。對於 VMware Identity Manager,此 URL 應指向 VMware Identity Manager Connector Web 介面。此值為選用。
    SAML 中繼資料 (適用於靜態驗證器) 您所產生並從 Unified Access Gateway 或第三方裝置複製而來的中繼資料文字。
    已為連線伺服器啟用 選取此核取方塊可啟用驗證器。您可以啟用多個驗證器。清單中只會顯示已啟用的驗證器。
  6. 按一下確定以儲存 SAML 驗證器組態。
    如果已提供有效資訊,則必須接受自我簽署憑證 (不建議) 或針對 Horizon 7VMware Identity Manager 或第三方裝置使用受信任的憑證。

    [管理 SAML 驗證器] 對話方塊會顯示新建立的驗證器。

  7. 在 Horizon Administrator 儀表板上的 [系統健全狀況] 區段中,選取其他元件 > SAML 2.0 驗證器,選取已新增的 SAML 驗證器,並驗證詳細資料。
    如果設定成功,則驗證器的健全狀況將顯示綠色。如果憑證不受信任, VMware Identity Manager 無法使用,或中繼資料 URL 無效,則驗證器的健全狀況將顯示紅色。如果憑證不受信任,您可以按一下 驗證來驗證並接受此憑證。

下一步

延長連線伺服器中繼資料的到期期限,使遠端工作階段不會在 24 小時後即終止。請參閱在連線伺服器上變更服務提供者中繼資料的到期期限