當您的 Horizon Cloud 租用戶環境設定為使用單一網繭代理,而您想要搭配使用 Workspace ONE Access 時,請使用此處的步驟。將 Microsoft Azure 中的網繭與雲端主控的 Workspace ONE Access 環境整合,您可以讓使用者能夠從 Workspace ONE Access 中的單一整合目錄對其有權使用的網繭佈建的桌面和應用程式進行驗證。您必須部署可將您的 Workspace ONE Access 環境與網繭橋接的 Workspace ONE Access Connector。此連接器可讓您將使用者權利從網繭同步至 Workspace ONE Access

提示:
  • Workspace ONE Access 先前的名稱為 VMware Identity Manager™。連接器先前的名稱是 VMware Identity Manager™ Connector。您可以繼續在產品、說明文件和知識庫文章中查看先前名稱的參考,尤其是您使用舊版的連接器時。
  • 請參閱 VMware Digital Workspace Tech Zone,以取得說明 Horizon CloudWorkspace ONE Access 之間整合的絕佳的評論
  • Workspace ONE Access 說明文件在說明連接器從網繭到 Workspace ONE Access 的同步化時使用「權利」一詞。在 Horizon Cloud 中,指派代表的是資源和權利的組合。在 Horizon 通用主控台中,將使用者新增至指派可讓該使用者使用指派的網繭佈建資源,例如當您建立專用 VDI 桌面指派時。

Workspace ONE Access 是一種身分識別即服務 (Identity as a Service, IDaaS) 方案,可提供適用於 SaaS、Web、雲端和原生行動應用程式的應用程式佈建、自助服務目錄、條件式存取控制和 Single Sign-On (SSO)。Workspace ONE Access 會處理使用者的驗證,以存取您在 Workspace ONE Access 目錄中為其設定的項目。Horizon Cloud 客戶通常會使用由 VMware 主控的雲端主控 Workspace ONE Access

若想從 Workspace ONE Access 環境的觀點大致瞭解此整合,請參閱提供 VMware Horizon Cloud Service 桌面和應用程式的存取概觀。您可以一如往常地為 Horizon 通用主控台中的使用者和群組設定桌面和遠端應用程式指派。完成整合網繭與 Workspace ONE Access 環境的步驟後,您可以將網繭的指派資訊同步至 Workspace ONE Access。接著,您可以在 Workspace ONE Access 管理主控台中檢視這些桌面和應用程式,而您的使用者則可從 Workspace ONE Access 向其獲指派的資源驗證。您可以設定定期的同步排程,將您 Horizon Cloud 中的指派資訊同步至 Workspace ONE Access 環境。

備註: Workspace ONE Access 說明文件中的螢幕擷取畫面可能看起來與您在特定 Workspace ONE Access 環境中看到的使用者介面元素不同。

主要元件的高層級檢視

Horizon Cloud 租用戶環境設定為使用單一網繭代理時,您可以將 Microsoft Azure 中的每個個別網繭與 Workspace ONE Access 進行整合,以使用 Workspace ONE Access 的功能搭配從每個網繭佈建的使用者資源。Microsoft Azure 中的網繭與 Workspace ONE Access 的整合涉及下列主要概念。

  • Microsoft Azure 中部署的網繭
  • 您的 Workspace ONE Access 租用戶環境
  • 上傳至網繭管理員虛擬機器上的有效 SSL 憑證。當 Workspace ONE Access Connector 同步了 Workspace ONE AccessHorizon Cloud 虛擬應用程式集合的權利和網繭佈建資源時,此 SSL 憑證會允許 Workspace ONE Access Connector 以信任方式連線至網繭。
  • 已安裝 Workspace ONE Access Connector,並將設定就位,以將這些資源的相關資訊同步至 Workspace ONE Access
    • Active Directory 使用者和群組
    • 網繭的指派 (網繭佈建的資源和這些資源的權利)
  • Horizon 通用主控台中的組態設定,可用來設定 SAML 構件,讓 Workspace ONE Access 執行與網繭之間的 SAML 通訊。

整合程序概觀

以下列出的端對端步驟高階摘要,可讓您的使用者使用 Workspace ONE Access 向其網繭佈建的桌面和應用程式驗證。執行這些步驟之前,您必須已在 Microsoft Azure 中部署網繭,並且具有 Workspace ONE Access 環境。如果您想要與雲端主控的 Workspace ONE Access 環境整合,但您還沒有該租用戶,則可以使用 Horizon 通用主控台的 [身分識別管理] 頁面開始設定 Workspace ONE Access 雲端租用戶。如需詳細資料,請參閱Horizon 通用主控台中的身分識別管理頁面

  1. 在您的 DNS 伺服器中,將網繭管理員的 Azure 負載平衡器 IP 位址對應至完整網域名稱 (FQDN),例如 mypod1.example.com。您可以在網繭的詳細資料頁面中找到此 IP 位址。如需在網繭詳細資料頁面內找到該 IP 位址的位置圖,請參閱在 Horizon Cloud 網繭的管理員虛擬機器上設定 SSL 憑證的概觀,主要是供具有網繭的 Workspace ONE Access Connector 在單一網繭代理環境中使用。
    備註: 在 2020 年 7 月的季度服務版本之前,此 IP 位址在網繭的詳細資料頁面上會有 租用戶應用裝置 IP 位址標籤。目前的標籤為 網繭管理員負載平衡器 IP。採用最新資訊清單的網繭依預設會包含為網繭管理員執行個體部署的 Microsoft Azure 負載平衡器,且目前的標籤會反映該網繭架構。雖然資訊清單低於 1600 的網繭沒有為其網繭管理員虛擬機器部署的 Microsoft Azure 負載平衡器,您需要用於此配對工作的 IP 位址,仍將是在網繭詳細資料頁面中顯示於該標籤旁的 IP 位址。
  2. 取得基於該 FQDN 的受信任 SSL 憑證。如需所需內容的詳細資料,請參閱下列主題:
    備註: 用於上傳 SSL 憑證至網繭所需的憑證檔案格式,與網繭閘道組態所使用的 PEM 檔案格式不同。
  3. 在網繭管理員虛擬機器上直接設定 SSL 憑證,例如將 Workspace ONE Access Connector 應用裝置與 Microsoft Azure 中的 Horizon Cloud Pod 整合時,讓連接器可以信任與網繭管理員虛擬機器的連線中所述上傳該 SSL 憑證。
    重要: 如果網繭中沒有依照說明設定的 SSL 憑證以提供給嘗試連線的 Workspace ONE Access Connector,則連接器連線至網繭以同步權利和資源的嘗試將會失敗,因為連接器將不會進行不受信任的網路連線。網繭的 SSL 憑證必須受到 Workspace ONE Access Connector 的信任,才能成功與網繭連線。在您將符合準則的 SSL 憑證上傳到網繭之前,您將無法成功將 Workspace ONE Access 與網繭整合。
  4. 藉由訂閱雲端主控的版本取得雲端中的 Workspace ONE Access 租用戶,進而取得 Workspace ONE Access 環境。
    備註: 如果您使用主控台的 [身分識別管理] 頁面設定了 Workspace ONE Access 租用戶,則在該程序中, Workspace ONE Access 租用戶將會與您的 Horizon Cloud 客戶記錄產生關聯。然後,您可以藉由部署 Workspace ONE Access Connector,將已存在於相同 Horizon Cloud 客戶記錄中的網繭與該租用戶整合。在下列步驟中,請記下連接器相關的詳細資料。
  5. 根據您使用之部署模型所適用的 Workspace ONE Access 準則來部署 Workspace ONE Access

    如果您要使用雲端主控 Workspace ONE Access,則必須在 Active Directory 網路中安裝 Workspace ONE Access Connector 應用裝置。請閱讀從下方標題為開始整合步驟前需要的項目之章節開始的所有連接器相關先決條件。

    重要: 您也必須確保在該連接器中設定的授權時間來源符合為網繭設定的 NTP 伺服器。如果時間來源不符,則可能會發生同步問題。網繭的詳細資料頁面會顯示網繭的已設定 NTP 伺服器。您可以依照 針對 Horizon Cloud 支援的所有網繭類型管理您的雲端連線網繭中所述開啟網繭的詳細資料頁面。
  6. 確定您符合 Workspace ONE Access 的整合先決條件,例如您的情況適用的 Workspace ONE Access 產品文件中所述。請參閱下方標題為開始整合步驟前需要的項目的章節。
    重要: 除了本說明文件主題中下方列出的先決條件,您也必須確認已設定的 Workspace ONE Access 環境符合與 Horizon Cloud 資源整合的先決條件,如 Workspace ONE Access 說明文件中所述。
    Workspace ONE Access 環境 Workspace ONE Access 說明文件中 Workspace ONE Access 先決條件的連結
    雲端主控 Workspace ONE AccessHorizon Cloud 整合的先決條件
  7. 從您的 Horizon Cloud 環境對 Workspace ONE Access 環境啟用桌面,如您情況所適用的 Workspace ONE Access 產品資訊中所述。
    重要: 在用於輸入 Horizon Cloud 租用戶資訊的 Workspace ONE Access 畫面中,您可以在該畫面的 主機欄位中,指定在您的 DNS 伺服器中對應至網繭管理員的 Azure 負載平衡器 IP 位址的 FQDN。此 FQDN 必須是您上傳至網繭之 SSL 憑證所依據的 FQDN,如 在 Horizon Cloud 網繭的管理員虛擬機器上設定 SSL 憑證的概觀,主要是供具有網繭的 Workspace ONE Access Connector 在單一網繭代理環境中使用。執行 Horizon 通用主控台的上傳網繭憑證工作流程以在 Horizon Cloud Pod 的管理員虛擬機器上設定 SSL 憑證的先決條件在網繭管理員虛擬機器上直接設定 SSL 憑證,例如將 Workspace ONE Access Connector 應用裝置與 Microsoft Azure 中的 Horizon Cloud Pod 整合時,讓連接器可以信任與網繭管理員虛擬機器的連線中所述。

    在下方連結的「在 Workspace ONE Access 中設定 Horizon Cloud 租用戶」主題中,這些程序主題中的最後一個步驟說明如何從您的 Horizon Cloud 環境同步權利的相關資訊。不過,在完成下方的步驟 5 設定您的網繭進行 Workspace ONE Access 存取之前,請勿執行該同步步驟。

    Workspace ONE Access 環境 Workspace ONE Access 說明文件中桌面啟用資訊的連結
    雲端主控 在 VMware Workspace ONE Access 中設定 Horizon Cloud 租用戶
  8. 輸入可讓已設定的 Workspace ONE Access 環境用作網繭身分識別管理提供者的設定。請參閱使用單一網繭代理的 Horizon Cloud 環境 — 在 Microsoft Azure 中使用相關 Workspace ONE Access 租用戶資訊設定 Horizon Cloud 網繭的步驟
  9. 在您的 Workspace ONE Access 環境中,將已授權的桌面和應用程式同步至 Workspace ONE Access。在 Workspace ONE Access 管理主控台中,導覽至您在步驟 4 中所建立集合的 [虛擬應用程式組態] 頁面,然後按一下同步
  10. 以使用者身分登入 Workspace ONE Access 並從目錄中啟動桌面和應用程式,以確認使用者能夠存取桌面和應用程式。請參閱使用單一網繭代理的 Horizon Cloud 環境 — 確認使用者在 Workspace ONE Access 中的桌面指派存取權

在確認整合正常運作後,您可以選擇性強制使用者透過 Workspace ONE Access 驗證及存取其桌面和應用程式。請參閱使用單一網繭代理的 Horizon Cloud 環境 — 強制讓使用者透過 Workspace ONE Access 存取其已授權的桌面和應用程式

開始整合步驟前需要的項目

若要透過確認使用者可以使用 Workspace ONE Access 存取網繭提供的桌面或 RDS 型遠端應用程式的步驟來完全完成端對端整合程序,請確定您擁有下列項目。