當您的 Horizon Cloud 租用戶環境設定為使用單一網繭代理,而您想要搭配使用 Workspace ONE Access 時,請使用此處的步驟。藉由將 Horizon Cloud on Microsoft Azure 部署與雲端主控的 Workspace ONE Access 環境整合,您可以讓使用者能夠從 Workspace ONE Access 中的單一整合目錄對其有權使用的網繭佈建的桌面和應用程式進行驗證。

Horizon Cloud 支援與雲端主控的 Workspace ONE Access 整合。

若要達成這樣的整合,需要部署一個 Workspace ONE Access Connector,用於在 Workspace ONE Access 環境與網繭之間建立橋接。此連接器可讓您將使用者權利從網繭同步至 Workspace ONE Access

備註: Workspace ONE Access 說明文件中的螢幕擷取畫面可能看起來與您在特定 Workspace ONE Access 環境中看到的使用者介面元素不同。

背景資訊和術語

  • 您可以一如往常地為 Horizon Universal Console中的使用者和群組設定桌面和遠端應用程式指派。
  • 完成整合網繭與 Workspace ONE Access 環境的步驟後,您可以將網繭的指派資訊同步至 Workspace ONE Access
  • 接著,您可以在 Workspace ONE Access 管理主控台中檢視這些桌面和應用程式,而您的使用者則可從 Workspace ONE Access 向其獲指派的資源驗證。
  • 您可以設定定期的同步排程,將您 Horizon Cloud 中的指派資訊同步至 Workspace ONE Access 環境。
  • Workspace ONE Access 先前的名稱為 VMware Identity Manager™。連接器先前的名稱是 VMware Identity Manager™ Connector。您可以繼續在產品、說明文件和知識庫文章中查看先前名稱的參考,尤其是您使用舊版的連接器時。
  • Workspace ONE Access 說明文件在說明連接器從網繭到 Workspace ONE Access 的同步化時使用「權利」一詞。

    Horizon Cloud 中,指派代表的是資源和權利的組合。

    Horizon Universal Console 中,將使用者新增至指派可讓該使用者使用指派的網繭佈建資源,例如當您建立專用 VDI 桌面指派時。

  • Workspace ONE Access 主控台已更新,而具有一個使用 Horizon Cloud 集合一詞的精靈。您在 Workspace ONE Access 說明文件和 Horizon Cloud 說明文件中可能都會看到以下二詞:虛擬應用程式集合和 Horizon Cloud 集合。

主要元件的高層級檢視

Horizon Cloud 租用戶環境設定為使用單一網繭代理時,您可以將 Microsoft Azure 中的每個個別網繭與 Workspace ONE Access 進行整合,以使用 Workspace ONE Access 的功能搭配從每個網繭佈建的使用者資源。

Microsoft Azure 中的網繭與 Workspace ONE Access 的整合涉及下列主要概念。

  • Microsoft Azure 中部署的網繭
  • 您的 Workspace ONE Access 租用戶環境
  • 上傳至網繭管理員虛擬機器上的有效 SSL 憑證。當 Workspace ONE Access Connector 同步了 Workspace ONE Access 中所定義之 Horizon Cloud 虛擬應用程式集合的權利和網繭佈建資源時,此 SSL 憑證會允許 Workspace ONE Access Connector 以信任方式連線至網繭。
  • 已安裝 Workspace ONE Access Connector,並將設定就位,以將這些資源的相關資訊同步至 Workspace ONE Access
    • Active Directory 使用者和群組
    • 網繭的指派 (網繭佈建的資源和這些資源的權利)
  • Horizon Universal Console中的組態設定,可用來設定 SAML 構件,讓 Workspace ONE Access 執行與網繭之間的 SAML 通訊。

整合程序概觀

以下列出的端對端步驟高階摘要,可讓您的使用者使用 Workspace ONE Access 向其網繭佈建的桌面和應用程式驗證。

在執行這些步驟之前,您必須已在 Microsoft Azure 中部署網繭,將 Horizon Cloud 租用戶設定成使用單一網繭代理,並具有 Workspace ONE Access 雲端租用戶。

  1. 在您的 DNS 伺服器中,將網繭管理員的 Azure 負載平衡器 IP 位址對應至完整網域名稱 (FQDN),例如 mypod1.example.com。您可以在網繭的詳細資料頁面中找到此 IP 位址。請參閱在網繭管理員虛擬機器上設定 SSL 憑證的概觀,其中的圖解會說明如何在網繭詳細資料頁面內找出該 IP 位址。
    備註: 在 2020 年 7 月的季度服務版本之前,此 IP 位址在網繭的詳細資料頁面上會有 租用戶應用裝置 IP 位址標籤。目前的標籤為 網繭管理員負載平衡器 IP。採用最新資訊清單的網繭依預設會包含為網繭管理員執行個體部署的 Microsoft Azure 負載平衡器,且目前的標籤會反映該網繭架構。雖然資訊清單低於 1600 的網繭沒有為其網繭管理員虛擬機器部署的 Microsoft Azure 負載平衡器,您需要用於此配對工作的 IP 位址,仍將是在網繭詳細資料頁面中顯示於該標籤旁的 IP 位址。
  2. 取得基於該 FQDN 的受信任 SSL 憑證。如需所需內容的詳細資料,請參閱下列主題:
    備註: 用於上傳 SSL 憑證至網繭所需的憑證檔案格式,與網繭閘道組態所使用的 PEM 檔案格式不同。
  3. 將該 SSL 憑證上傳至網繭管理員虛擬機器,如在網繭管理員虛擬機器上直接設定 SSL 憑證中所述。
    重要: 如果網繭中沒有依照說明設定的 SSL 憑證以提供給嘗試連線的 Workspace ONE Access Connector,則連接器連線至網繭以同步權利和資源的嘗試將會失敗,因為連接器將不會進行不受信任的網路連線。網繭的 SSL 憑證必須受到 Workspace ONE Access Connector 的信任,才能成功與網繭連線。在您將符合準則的 SSL 憑證上傳到網繭之前,您將無法成功將 Workspace ONE Access 與網繭整合。
  4. 在可同時與 Horizon Cloud Pod 和 Active Directory 環境進行通訊的網路中,部署 Workspace ONE Access Connector 應用裝置。連接器的用途是從網繭將資源和權利同步,以及從 Active Directory 環境將使用者和群組同步。

    請閱讀從下方標題為開始整合步驟前需要的項目之章節開始的所有連接器相關先決條件。

    重要: 您也必須確保在該連接器中設定的授權時間來源符合為網繭設定的 NTP 伺服器。如果時間來源不符,則可能會發生同步問題。網繭的詳細資料頁面會顯示網繭的已設定 NTP 伺服器。您可以從 Horizon Universal Console 的 [容量] 頁面,來開啟網繭的詳細資料頁面。
  5. 確定您符合 Workspace ONE Access 的整合先決條件,例如您的情況適用的 Workspace ONE Access 產品文件中所述。請參閱下方標題為開始整合步驟前需要的項目的章節。

    請參閱 Workspace ONE Access 說明文件的整合的先決條件頁面。

  6. 從您的 Horizon Cloud 環境對 Workspace ONE Access 環境啟用桌面,如 Workspace ONE Access 產品資訊中所述。

    請參閱 Workspace ONE Access 說明文件中的在 VMware Workspace ONE Access 中設定 Horizon Cloud 租用戶頁面。

    遵循 Workspace ONE Access 說明文件中的步驟時,請牢記以下要點
    • 在完成下面的步驟 8 (亦即,為網繭設定 Workspace ONE Access 存取權) 之前,請勿將該集合同步。
    • 在用於輸入 Horizon Cloud 租用戶資訊的 Workspace ONE Access 畫面中,您可以在該畫面的主機欄位中,指定在您的 DNS 伺服器中對應至網繭管理員的 Azure 負載平衡器 IP 位址的 FQDN,以連線至網繭管理員虛擬機器。

      此 FQDN 必須與直接上傳至網繭的 SSL 憑證相符,如在網繭管理員虛擬機器上直接設定 SSL 憑證中所述。

  7. 輸入可讓已設定的 Workspace ONE Access 環境用作網繭身分識別管理提供者的設定。請參閱使用相關 Workspace ONE Access 租用戶資訊來設定 Horizon Cloud Pod 的步驟
  8. Workspace ONE Access 雲端租用戶中,手動同步集合,以便可以在下一步中進行驗證。在 Workspace ONE Access 管理主控台中,找出集合,然後按一下同步
  9. 以使用者身分登入 Workspace ONE Access 並從目錄中啟動桌面和應用程式,以確認使用者能夠存取桌面和應用程式。請參閱確認使用者可以在 Workspace ONE Access 中存取桌面指派

在確認整合正常運作後,您可以選擇性強制使用者透過 Workspace ONE Access 驗證及存取其桌面和應用程式。請參閱強制使用者透過 Workspace ONE Access 來存取

開始整合步驟前需要的項目

若要透過確認使用者可以使用 Workspace ONE Access 存取網繭提供的桌面或 RDS 型遠端應用程式的步驟來完全完成端對端整合程序,請確定您擁有下列項目。

  • 依照在網繭管理員虛擬機器上設定 SSL 憑證的概觀在網繭管理員虛擬機器上設定 SSL 憑證的先決條件中所述,您需要在 DNS 伺服器中輸入一個項目,以將網繭管理員的 Azure 負載平衡器 IP 位址對應至完整網域名稱 (FQDN)。

    您將在 SSL 憑證中使用的 FQDN,應解析為在 Horizon Universal Console的網繭詳細資料頁面上顯示於網繭管理員負載平衡器 IP 標籤旁的 IP 位址。

    例如,假設您擁有下方螢幕擷取畫面中所示的網繭,並且想要針對對網繭的 Workspace ONE Access 連線的目的,將 mypod-a.example.com 的 FQDN 用作該網繭的 FQDN。


    此螢幕擷取畫面顯示名為 MontereyStores 之網繭的網繭詳細資料,其中的綠色箭頭指向網繭管理員的 Azure 負載平衡器 IP 位址。

    在此範例中,您會在您的 DNS 中將 mypod-a.example.com 對應至說明的 IP 位址 192.168.21.4。
    mypod-a.example.com    192.168.21.4

    當您在 Workspace ONE Access 畫面中執行用於輸入 Horizon Cloud 租用戶資訊的步驟時,您會在該 Workspace ONE Access 畫面的主機欄位指定此 FQDN。

  • 一個完整設定的網繭,具有您使用網繭詳細資料頁面上傳至網繭管理員本身之受信任且有效的 SSL 憑證。如需上傳憑證的詳細資料,請參閱在網繭管理員虛擬機器上設定 SSL 憑證的概觀
  • 已設定的 VDI 桌面指派、工作階段桌面指派或網繭的遠端應用程式指派。
  • 對組織已設定 Workspace ONE Access 雲端租用戶的存取權。

    使用雲端主控的 Workspace ONE Access 時,必須要有 Workspace ONE Access Connector 應用裝置,才能將網繭與該租用戶整合。此連接器會將關於虛擬桌面和應用程式之使用者和群組權利的資訊傳送給 Workspace ONE Access 租用戶。您必須在 Active Directory 網路中安裝 Workspace ONE Access 連接器應用裝置。遵循本說明文件頁面中提供的 Workspace ONE Access Cloud 說明文件中所述的步驟,以及將 Horizon Cloud 與 Workspace ONE Access 整合的部署案例中所述的步驟進行。如需此版本所需的連接器版本,請參閱 https://www.vmware.com/resources/compatibility/sim/interop_matrix.php 上的 VMware 產品互通性對照表。

    確認連接器設定的授權時間來源符合為網繭設定的 NTP 伺服器。

    備註: 如果您有現有的整合和 VMware Workspace ONE® Access™ Connector 應用裝置,最佳做法是先更新連接器,然後再將網繭更新為最新的網繭軟體層級。
  • 確認您設定的 Workspace ONE Access 環境符合 Horizon Cloud 資源整合的所有先決條件,如 Workspace ONE Access 說明文件頁面中的整合的先決條件中所述。

使用單一網繭代理的 Horizon Cloud 環境 — 在 Microsoft Azure 中使用相關 Workspace ONE Access 租用戶資訊設定 Horizon Cloud Pod 的步驟

若要將 Microsoft Azure 中的網繭與 Workspace ONE Access 整合,則必須以適當的 Workspace ONE Access 資訊來設定網繭。您可以使用 Horizon Universal Console來設定這項資訊。

必要條件

請確認已將以該 FQDN 為基礎的 SSL 憑證上傳至網繭管理員虛擬機器,如在網繭管理員虛擬機器上直接設定 SSL 憑證中所述。此 SSL 憑證必須以 FQDN 為基礎,且該 FQDN 在您的 DNS 伺服器中已對應至網繭管理員的 Azure 負載平衡器 IP 位址,如具有單一網繭代理的 Horizon Cloud - 與 Workspace ONE Access 整合的步驟 3 中所述。

確認您的 Workspace ONE Access 環境已設定為使用該 FQDN 將網繭佈建的使用者資源和權利同步至 Workspace ONE Access

確認您具有下列資訊:

  • 來自 Workspace ONE Access 租用戶的 SAML 身分識別提供者 (IdP) 中繼資料 URL。

    您可以使用 Workspace ONE Access 管理主控台的 SAML 中繼資料,來取得環境的 SAML IdP 中繼資料 URL。

    請參閱 Workspace ONE Access 雲端說明文件頁面在 Horizon Cloud 租用戶中設定 SAML 驗證

    當您按一下該頁面上的身分識別提供者 (IdP) 中繼資料連結時,瀏覽器的位址列會顯示 URL,且其格式通常是 https://WS1AccessFQDN/SAAS/API/1.0/GET/metadata/idp.xml,其中,WS1AccessFQDN 是您 Workspace ONE Access 環境的完整網域名稱 (FQDN)。

  • 您告知使用者要連線以連線至 Horizon Cloud 的 FQDN。

程序

  1. Horizon Universal Console中,導覽至設定 > 身分識別管理,然後按一下新增
  2. 設定下列選項。
    設定 說明
    VMware Workspace ONE Access 中繼資料 URL 輸入來自 Workspace ONE Access 租用戶的 SAML 身分識別提供者 (IdP) 中繼資料 URL。此中繼資料 URL 的格式通常為 https://WS1AccessFQDN/SAAS/API/1.0/GET/metadata/idp.xml,其中 WS1AccessFQDN 是您的 Workspace ONE Access 環境的 FQDN。
    逾時 SSO 權杖 輸入使 SSO 權杖逾時的時間長度 (以分鐘為單位)。預先填入的系統預設值為零 (0)。
    位置 選取您的其中一個位置,從網繭下拉式清單中篩選與該位置相關聯的網繭集。
    網繭 選取此組態適用的網繭。
    資料中心 下拉式清單會顯示與 Horizon Cloud Pod 資訊清單版本相關的一個數值。保留預設值。
    用戶端存取 FQDN 輸入您告知使用者要連線以連線至 Horizon Cloud 的 FQDN。
    Workspace ONE 重新導向 當您也有可強制使用者透過 Workspace ONE Access 存取的組態時,您可以將此切換設為,讓使用者的用戶端自動重新導向至其 Workspace ONE Access 環境。您可以閱讀強制使用者透過 Workspace ONE Access 來存取,瞭解如何設定一些選項,以強制使用者透過 Workspace ONE Access 來存取。

    在使用者用戶端中將自動重新導向設為的情況下,當用戶端嘗試連線至 Horizon Cloud 且您已設定強制透過 Workspace ONE Access 驗證時,用戶端會自動重新導向至已與網繭整合的 Workspace ONE Access 環境。

    此切換設為時,即不會啟用自動重新導向。

    未啟用自動重新導向且已設定強制存取時,用戶端會改為向使用者顯示資訊訊息。如需其他詳細資料,請參閱強制使用者透過 Workspace ONE Access 來存取

    備註: 您僅可以為此處設定的其中一個身分識別管理提供者啟用 Workspace ONE Access 重新導向。在此切換已針對其他組態設為 的情況下,如果您嘗試將此切換設為 ,則會顯示錯誤訊息。
  3. 按一下儲存

結果

若狀態為綠色,則表示組態成功。

下一步

Workspace ONE Access 雲端租用戶中,手動同步有權使用的桌面和應用程式。在 Workspace ONE Access 管理主控台中,找出定義給此 Horizon Cloud Pod 的集合,然後按一下同步

重要:
  • 每當資源或權利在 Horizon Cloud 中變更時,皆必須進行同步以將變更傳播至 Workspace ONE Access
  • 您也必須確保在該連接器中設定的授權時間來源符合為網繭設定的 NTP 伺服器。如果時間來源不符,則可能會發生同步問題。網繭的詳細資料頁面會顯示網繭的已設定 NTP 伺服器。您可以從 Horizon Universal Console 的 [容量] 頁面,來開啟網繭的詳細資料頁面。

使用單一網繭代理的 Horizon Cloud 環境 — 確認使用者在 Workspace ONE Access 中的桌面指派存取權

在您整合 Horizon Cloud 環境與 Workspace ONE Access 環境後,您可以使用這些步驟來確認使用者能夠從遠端存取其網繭佈建的虛擬桌面和遠端應用程式。

必要條件

確認已完成下列項目:

程序

  1. 使用組織的 Workspace ONE Access URL 登入 Workspace ONE Access
  2. 從入口網站啟動已授權的 Horizon Cloud 桌面和遠端應用程式。