將您在 Microsoft Azure 中的網繭與雲端主控的 Workspace ONE Access 環境整合,您可以讓使用者能夠從 Workspace ONE Access 中的單一整合目錄對其有權使用的網繭佈建的桌面和應用程式進行驗證。您必須部署可將您的 Workspace ONE Access 環境與網繭橋接的 Workspace ONE Access Connector。此連接器可讓您將使用者權利從網繭同步至 Workspace ONE Access

提示:
  • Workspace ONE Access 先前的名稱為 VMware Identity Manager™。連接器先前的名稱是 VMware Identity Manager™ Connector。您可以繼續在產品、說明文件和知識庫文章中查看先前名稱的參考,尤其是您使用舊版的連接器時。
  • 請參閱 VMware Digital Workspace Tech Zone,以取得說明 Horizon CloudWorkspace ONE Access 之間整合的絕佳的評論
  • Workspace ONE Access 說明文件在說明連接器從網繭到 Workspace ONE Access 的同步化時使用「權利」一詞。在 Horizon Cloud 中,指派代表的是資源和權利的組合。在 Horizon Cloud 管理主控台中,將使用者新增至指派可讓該使用者使用指派的網繭佈建資源,例如當您建立專用 VDI 桌面指派時。

Workspace ONE Access 是一種身分識別即服務 (Identity as a Service, IDaaS) 方案,可提供適用於 SaaS、Web、雲端和原生行動應用程式的應用程式佈建、自助服務目錄、條件式存取控制和 Single Sign-On (SSO)。Workspace ONE Access 會處理使用者的驗證,以存取您在 Workspace ONE Access 目錄中為其設定的項目。Horizon Cloud 客戶通常會使用由 VMware 主控的雲端主控 Workspace ONE Access

若想從 Workspace ONE Access 環境的觀點大致瞭解此整合,請參閱提供 VMware Horizon Cloud Service 桌面和應用程式的存取概觀。您可以一如往常地為 Horizon Cloud 管理主控台中的使用者和群組設定桌面和遠端應用程式指派。完成整合網繭與 Workspace ONE Access 環境的步驟後,您可以將網繭的指派資訊同步至 Workspace ONE Access。接著,您可以在 Workspace ONE Access 管理主控台中檢視這些桌面和應用程式,而您的使用者則可從 Workspace ONE Access 向其獲指派的資源驗證。您可以設定定期的同步排程,將您 Horizon Cloud 中的指派資訊同步至 Workspace ONE Access 環境。

備註: Workspace ONE Access 說明文件中的螢幕擷取畫面可能看起來與您在特定 Workspace ONE Access 環境中看到的使用者介面元素不同。

主要元件的高層級檢視

Microsoft Azure 中的網繭與 Workspace ONE Access 的整合涉及下列主要概念。

  • Microsoft Azure 中部署的網繭
  • 您的 Workspace ONE Access 租用戶環境
  • 上傳至網繭管理員虛擬機器上的有效 SSL 憑證。當 Workspace ONE Access Connector 同步了 Workspace ONE AccessHorizon Cloud 虛擬應用程式集合的權利和網繭佈建資源時,此 SSL 憑證會允許 Workspace ONE Access Connector 以信任方式連線至網繭。
  • 已安裝 Workspace ONE Access Connector,並將設定就位,以將這些資源的相關資訊同步至 Workspace ONE Access
    • Active Directory 使用者和群組
    • 網繭的指派 (網繭佈建的資源和這些資源的權利)
  • Horizon Cloud 管理主控台中的組態設定,可用來設定 SAML 構件,讓 Workspace ONE Access 執行與網繭之間的 SAML 通訊。

整合程序概觀

以下列出的端對端步驟高階摘要,可讓您的使用者使用 Workspace ONE Access 向其網繭佈建的桌面和應用程式驗證。執行這些步驟之前,您必須已在 Microsoft Azure 中部署網繭,並且具有 Workspace ONE Access 環境。如果您想要與雲端主控的 Workspace ONE Access 環境整合,但您還沒有該租用戶,則可以使用 Horizon Cloud 管理主控台的 [身分識別管理] 頁面開始設定 Workspace ONE Access 雲端租用戶。如需詳細資料,請參閱Horizon Cloud 管理主控台 中的身分識別管理頁面

  1. 在您的 DNS 伺服器中,將網繭管理員的 Azure 負載平衡器 IP 位址對應至完整網域名稱 (FQDN),例如 mypod1.example.com。您可以在網繭的詳細資料頁面中找到此 IP 位址。如需在網繭詳細資料頁面內找到該 IP 位址的位置圖,請參閱在 Horizon Cloud Pod 的管理員虛擬機器上設定 SSL 憑證的概觀
    備註: 在 2020 年 7 月的季度服務版本之前,此 IP 位址在網繭的詳細資料頁面上會有 租用戶應用裝置 IP 位址標籤。目前的標籤為 網繭管理員負載平衡器 IP。採用最新資訊清單的網繭依預設會包含為網繭管理員執行個體部署的 Microsoft Azure 負載平衡器,且目前的標籤會反映該網繭架構。雖然資訊清單低於 1600 的網繭沒有為其網繭管理員虛擬機器部署的 Microsoft Azure 負載平衡器,您需要用於此配對工作的 IP 位址,仍將是在網繭詳細資料頁面中顯示於該標籤旁的 IP 位址。
  2. 取得基於該 FQDN 的受信任 SSL 憑證。如需所需內容的詳細資料,請參閱下列主題:
    備註: 用於上傳 SSL 憑證至網繭所需的憑證檔案格式,與網繭閘道組態所使用的 PEM 檔案格式不同。
  3. 在 Horizon Cloud Pod 的管理員虛擬機器上設定 SSL 憑證中所述上傳該 SSL 憑證。
    重要: 如果網繭中沒有依照說明設定的 SSL 憑證以提供給嘗試連線的 Workspace ONE Access Connector,則連接器連線至網繭以同步權利和資源的嘗試將會失敗,因為連接器將不會進行不受信任的網路連線。網繭的 SSL 憑證必須受到 Workspace ONE Access Connector 的信任,才能成功與網繭連線。在您將符合準則的 SSL 憑證上傳到網繭之前,您將無法成功將 Workspace ONE Access 與網繭整合。
  4. 藉由訂閱雲端主控的版本取得雲端中的 Workspace ONE Access 租用戶,進而取得 Workspace ONE Access 環境。
    備註: 如果您使用主控台的 [身分識別管理] 頁面設定了 Workspace ONE Access 租用戶,則在該程序中, Workspace ONE Access 租用戶將會與您的 Horizon Cloud 客戶記錄產生關聯。然後,您可以藉由部署 Workspace ONE Access Connector,將已存在於相同 Horizon Cloud 客戶記錄中的網繭與該租用戶整合。在下列步驟中,請記下連接器相關的詳細資料。
  5. 根據您使用之部署模型所適用的 Workspace ONE Access 準則來部署 Workspace ONE Access

    如果您要使用雲端主控 Workspace ONE Access,則必須在 Active Directory 網路中安裝 Workspace ONE Access Connector 應用裝置。請閱讀從下方標題為開始整合步驟前需要的項目之章節開始的所有連接器相關先決條件。

    重要: 您也必須確保在該連接器中設定的授權時間來源符合為網繭設定的 NTP 伺服器。如果時間來源不符,則可能會發生同步問題。網繭的詳細資料頁面會顯示網繭的已設定 NTP 伺服器。您可以依照 針對 Horizon Cloud 支援的所有網繭類型管理您的雲端連線網繭中所述開啟網繭的詳細資料頁面。
  6. 確定您符合 Workspace ONE Access 的整合先決條件,例如您的情況適用的 Workspace ONE Access 產品文件中所述。請參閱下方標題為開始整合步驟前需要的項目的章節。
    重要: 除了本說明文件主題中下方列出的先決條件,您也必須確認已設定的 Workspace ONE Access 環境符合與 Horizon Cloud 資源整合的先決條件,如 Workspace ONE Access 說明文件中所述。
    Workspace ONE Access 環境 Workspace ONE Access 說明文件中 Workspace ONE Access 先決條件的連結
    雲端主控 Workspace ONE AccessHorizon Cloud 整合的先決條件
  7. 從您的 Horizon Cloud 環境對 Workspace ONE Access 環境啟用桌面,如您情況所適用的 Workspace ONE Access 產品資訊中所述。
    重要: 在用於輸入 Horizon Cloud 租用戶資訊的 Workspace ONE Access 畫面中,您可以在該畫面的 主機欄位中,指定在您的 DNS 伺服器中對應至網繭管理員的 Azure 負載平衡器 IP 位址的 FQDN。此 FQDN 必須是您上傳至網繭之 SSL 憑證所依據的 FQDN,如 在 Horizon Cloud Pod 的管理員虛擬機器上設定 SSL 憑證的概觀執行 Horizon Cloud 管理主控台的上傳憑證工作流程以在 Horizon Cloud Pod 的管理員虛擬機器上設定 SSL 憑證的先決條件在 Horizon Cloud Pod 的管理員虛擬機器上設定 SSL 憑證中所述。

    在下方連結的「在 Workspace ONE Access 中設定 Horizon Cloud 租用戶」主題中,這些程序主題中的最後一個步驟說明如何從您的 Horizon Cloud 環境同步權利的相關資訊。不過,在完成下方的步驟 5 設定您的網繭進行 Workspace ONE Access 存取之前,請勿執行該同步步驟。

    Workspace ONE Access 環境 Workspace ONE Access 說明文件中桌面啟用資訊的連結
    雲端主控 在 VMware Workspace ONE Access 中設定 Horizon Cloud 租用戶
  8. 輸入可讓已設定的 Workspace ONE Access 環境用作網繭身分識別管理提供者的設定。請參閱在 Microsoft Azure 中為 Workspace ONE Access 設定 Horizon Cloud Pod
  9. 在您的 Workspace ONE Access 環境中,將已授權的桌面和應用程式同步至 Workspace ONE Access。在 Workspace ONE Access 管理主控台中,導覽至您在步驟 4 中所建立集合的 [虛擬應用程式組態] 頁面,然後按一下同步
  10. 以使用者身分登入 Workspace ONE Access 並從目錄中啟動桌面和應用程式,以確認使用者能夠存取桌面和應用程式。請參閱確認使用者有權存取 Workspace ONE Access 中的桌面指派

在確認整合正常運作後,您可以選擇性強制使用者透過 Workspace ONE Access 驗證及存取其桌面和應用程式。請參閱強制讓使用者透過 Workspace ONE Access 存取其 Horizon Cloud 授權的桌面和應用程式

開始整合步驟前需要的項目

若要透過確認使用者可以使用 Workspace ONE Access 存取網繭提供的桌面或 RDS 型遠端應用程式的步驟來完全完成端對端整合程序,請確定您擁有下列項目。

  • 在 Horizon Cloud Pod 的管理員虛擬機器上設定 SSL 憑證的概觀執行 Horizon Cloud 管理主控台的上傳憑證工作流程以在 Horizon Cloud Pod 的管理員虛擬機器上設定 SSL 憑證的先決條件中所述,您的 DNS 伺服器中必須要有一個項目,將網繭管理員的 Azure 負載平衡器 IP 位址對應至完整網域名稱 (FQDN)。您將在 SSL 憑證中使用的 FQDN,應解析為在 Horizon Cloud 管理主控台的網繭詳細資料頁面上顯示於網繭管理員負載平衡器 IP 標籤旁的 IP 位址。例如,假設您擁有下方螢幕擷取畫面中所示的網繭,並且想要針對對網繭的 Workspace ONE Access 連線的目的,將 mypod-a.example.com 的 FQDN 用作該網繭的 FQDN。
    此螢幕擷取畫面顯示名為 MontereyStores 之網繭的網繭詳細資料,其中的綠色箭頭指向網繭管理員的 Azure 負載平衡器 IP 位址。

    在此範例中,您會在您的 DNS 中將 mypod-a.example.com 對應至說明的 IP 位址 192.168.21.4。
    mypod-a.example.com    192.168.21.4

    當您在 Workspace ONE Access 畫面中執行用於輸入 Horizon Cloud 租用戶資訊的步驟時,您會在該 Workspace ONE Access 畫面的主機欄位指定此 FQDN。

  • 一個完整設定的網繭,具有您使用網繭詳細資料頁面上傳至網繭本身之受信任且有效的 SSL 憑證。如需上傳憑證的詳細資料,請參閱在 Horizon Cloud Pod 的管理員虛擬機器上設定 SSL 憑證
  • 已設定的 VDI 桌面指派、工作階段桌面指派或網繭的遠端應用程式指派。
  • 對組織已設定 Workspace ONE Access 租用戶環境的存取權。您的 Workspace ONE Access 環境必須已設定受信任的憑證。

    使用雲端主控的 Workspace ONE Access 時,必須要有 Workspace ONE Access Connector 應用裝置,才能將網繭與該租用戶整合。此連接器會將關於虛擬桌面和應用程式之使用者和群組權利的資訊傳送給 Workspace ONE Access 租用戶。您必須在 Active Directory 網路中安裝 Workspace ONE Access 連接器應用裝置。請依照 Workspace ONE Access Cloud 說明文件 (也可從此說明文件頁面取得) 所說明的步驟操作,並參閱此部署案例的說明和副主題。如需此版本所需的連接器版本,請參閱 https://www.vmware.com/resources/compatibility/sim/interop_matrix.php 上的 VMware 產品互通性對照表。

    確認連接器設定的授權時間來源符合為網繭設定的 NTP 伺服器。

    備註: 如果您有現有的整合和 VMware Workspace ONE® Access™ Connector 應用裝置,最佳做法是先更新連接器,然後再將網繭更新為最新的網繭軟體層級。
  • 請確認您已設定的 Workspace ONE Access 環境符合與 Horizon Cloud 資源整合的所有先決條件,如 Workspace ONE Access 說明文件所述。
    Workspace ONE Access 環境 Workspace ONE Access 說明文件先決條件中 Workspace ONE Access 先決條件的連結
    雲端主控 整合的先決條件