背景資訊和術語

• 您可以一如往常地為 Horizon Universal Console中的使用者和群組設定桌面和遠端應用程式指派。
• 完成整合網繭與 Workspace ONE Access 環境的步驟後，您可以將網繭的指派資訊同步至 Workspace ONE Access。
• 接著，您可以在 Workspace ONE Access 管理主控台中檢視這些桌面和應用程式，而您的使用者則可從 Workspace ONE Access 向其獲指派的資源驗證。
• 您可以設定定期的同步排程，將您 Horizon Cloud 中的指派資訊同步至 Workspace ONE Access 環境。
• Workspace ONE Access 先前的名稱為 VMware Identity Manager™。連接器先前的名稱是 VMware Identity Manager™ Connector。您可以繼續在產品、說明文件和知識庫文章中查看先前名稱的參考，尤其是您使用舊版的連接器時。
• Workspace ONE Access 說明文件在說明連接器從網繭到 Workspace ONE Access 的同步化時使用「權利」一詞。

  在 Horizon Cloud 中，指派代表的是資源和權利的組合。

  在 Horizon Universal Console 中，將使用者新增至指派可讓該使用者使用指派的網繭佈建資源，例如當您建立專用 VDI 桌面指派時。

• Workspace ONE Access 主控台已更新，而具有一個使用 Horizon Cloud 集合一詞的精靈。您在 Workspace ONE Access 說明文件和 Horizon Cloud 說明文件中可能都會看到以下二詞：虛擬應用程式集合和 Horizon Cloud 集合。

主要元件的高層級檢視

將 Horizon Cloud 租用戶環境設定為使用單一網繭代理時，您可以將 Microsoft Azure 中的每個個別網繭與 Workspace ONE Access 進行整合，以使用 Workspace ONE Access 的功能搭配從每個網繭佈建的使用者資源。

Microsoft Azure 中的網繭與 Workspace ONE Access 的整合涉及下列主要概念。

• Microsoft Azure 中部署的網繭
• 您的 Workspace ONE Access 租用戶環境
• 上傳至網繭管理員虛擬機器上的有效 SSL 憑證。當 Workspace ONE Access Connector 同步了 Workspace ONE Access 中所定義之 Horizon Cloud 虛擬應用程式集合的權利和網繭佈建資源時，此 SSL 憑證會允許 Workspace ONE Access Connector 以信任方式連線至網繭。
• 已安裝 Workspace ONE Access Connector，並將設定就位，以將這些資源的相關資訊同步至 Workspace ONE Access：
  • Active Directory 使用者和群組
  • 網繭的指派 (網繭佈建的資源和這些資源的權利)
• Horizon Universal Console中的組態設定，可用來設定 SAML 構件，讓 Workspace ONE Access 執行與網繭之間的 SAML 通訊。

整合程序概觀

以下列出的端對端步驟高階摘要，可讓您的使用者使用 Workspace ONE Access 向其網繭佈建的桌面和應用程式驗證。

在執行這些步驟之前，您必須已在 Microsoft Azure 中部署網繭，將 Horizon Cloud 租用戶設定成使用單一網繭代理，並具有 Workspace ONE Access 雲端租用戶。

1. 在您的 DNS 伺服器中，將網繭管理員的 Azure 負載平衡器 IP 位址對應至完整網域名稱 (FQDN)，例如 mypod1.example.com。您可以在網繭的詳細資料頁面中找到此 IP 位址。請參閱在網繭管理員虛擬機器上設定 SSL 憑證的概觀，其中的圖解會說明如何在網繭詳細資料頁面內找出該 IP 位址。
   備註： 在 2020 年 7 月的季度服務版本之前，此 IP 位址在網繭的詳細資料頁面上會有 租用戶應用裝置 IP 位址標籤。目前的標籤為 網繭管理員負載平衡器 IP。採用最新資訊清單的網繭依預設會包含為網繭管理員執行個體部署的 Microsoft Azure 負載平衡器，且目前的標籤會反映該網繭架構。雖然資訊清單低於 1600 的網繭沒有為其網繭管理員虛擬機器部署的 Microsoft Azure 負載平衡器，您需要用於此配對工作的 IP 位址，仍將是在網繭詳細資料頁面中顯示於該標籤旁的 IP 位址。
2. 取得基於該 FQDN 的受信任 SSL 憑證。如需所需內容的詳細資料，請參閱下列主題：
   • 在網繭管理員虛擬機器上設定 SSL 憑證的概觀
   • 在網繭管理員虛擬機器上設定 SSL 憑證的先決條件
   備註： 用於上傳 SSL 憑證至網繭所需的憑證檔案格式，與網繭閘道組態所使用的 PEM 檔案格式不同。
3. 將該 SSL 憑證上傳至網繭管理員虛擬機器，如在網繭管理員虛擬機器上直接設定 SSL 憑證中所述。
   重要： 如果網繭中沒有依照說明設定的 SSL 憑證以提供給嘗試連線的 Workspace ONE Access Connector，則連接器連線至網繭以同步權利和資源的嘗試將會失敗，因為連接器將不會進行不受信任的網路連線。網繭的 SSL 憑證必須受到 Workspace ONE Access Connector 的信任，才能成功與網繭連線。在您將符合準則的 SSL 憑證上傳到網繭之前，您將無法成功將 Workspace ONE Access 與網繭整合。
4. 在可同時與 Horizon Cloud Pod 和 Active Directory 環境進行通訊的網路中，部署 Workspace ONE Access Connector 應用裝置。連接器的用途是從網繭將資源和權利同步，以及從 Active Directory 環境將使用者和群組同步。

   請閱讀從下方標題為開始整合步驟前需要的項目之章節開始的所有連接器相關先決條件。

   重要： 您也必須確保在該連接器中設定的授權時間來源符合為網繭設定的 NTP 伺服器。如果時間來源不符，則可能會發生同步問題。網繭的詳細資料頁面會顯示網繭的已設定 NTP 伺服器。您可以從 Horizon Universal Console 的 [容量] 頁面，來開啟網繭的詳細資料頁面。
5. 確定您符合 Workspace ONE Access 的整合先決條件，例如您的情況適用的 Workspace ONE Access 產品文件中所述。請參閱下方標題為開始整合步驟前需要的項目的章節。

   請參閱 Workspace ONE Access 說明文件的整合的先決條件頁面。

6. 從您的 Horizon Cloud 環境對 Workspace ONE Access 環境啟用桌面，如 Workspace ONE Access 產品資訊中所述。

   請參閱 Workspace ONE Access 說明文件中的在 VMware Workspace ONE Access 中設定 Horizon Cloud 租用戶頁面。

   遵循 Workspace ONE Access 說明文件中的步驟時，請牢記以下要點

   • 在完成下面的步驟 8 (亦即，為網繭設定 Workspace ONE Access 存取權) 之前，請勿將該集合同步。
   • 在用於輸入 Horizon Cloud 租用戶資訊的 Workspace ONE Access 畫面中，您可以在該畫面的主機欄位中，指定在您的 DNS 伺服器中對應至網繭管理員的 Azure 負載平衡器 IP 位址的 FQDN，以連線至網繭管理員虛擬機器。

     此 FQDN 必須與直接上傳至網繭的 SSL 憑證相符，如在網繭管理員虛擬機器上直接設定 SSL 憑證中所述。

7. 輸入可讓已設定的 Workspace ONE Access 環境用作網繭身分識別管理提供者的設定。請參閱使用相關 Workspace ONE Access 租用戶資訊來設定 Horizon Cloud Pod 的步驟。
8. 在 Workspace ONE Access 雲端租用戶中，手動同步集合，以便可以在下一步中進行驗證。在 Workspace ONE Access 管理主控台中，找出集合，然後按一下同步。
9. 以使用者身分登入 Workspace ONE Access 並從目錄中啟動桌面和應用程式，以確認使用者能夠存取桌面和應用程式。請參閱確認使用者可以在 Workspace ONE Access 中存取桌面指派。

在確認整合正常運作後，您可以選擇性強制使用者透過 Workspace ONE Access 驗證及存取其桌面和應用程式。請參閱強制使用者透過 Workspace ONE Access 來存取。

開始整合步驟前需要的項目

若要透過確認使用者可以使用 Workspace ONE Access 存取網繭提供的桌面或 RDS 型遠端應用程式的步驟來完全完成端對端整合程序，請確定您擁有下列項目。

• 依照在網繭管理員虛擬機器上設定 SSL 憑證的概觀和在網繭管理員虛擬機器上設定 SSL 憑證的先決條件中所述，您需要在 DNS 伺服器中輸入一個項目，以將網繭管理員的 Azure 負載平衡器 IP 位址對應至完整網域名稱 (FQDN)。

  您將在 SSL 憑證中使用的 FQDN，應解析為在 Horizon Universal Console的網繭詳細資料頁面上顯示於網繭管理員負載平衡器 IP 標籤旁的 IP 位址。

  例如，假設您擁有下方螢幕擷取畫面中所示的網繭，並且想要針對對網繭的 Workspace ONE Access 連線的目的，將 mypod-a.example.com 的 FQDN 用作該網繭的 FQDN。

  
  
  
  
  
  在此範例中，您會在您的 DNS 中將 mypod-a.example.com 對應至說明的 IP 位址 192.168.21.4。

  mypod-a.example.com    192.168.21.4

  當您在 Workspace ONE Access 畫面中執行用於輸入 Horizon Cloud 租用戶資訊的步驟時，您會在該 Workspace ONE Access 畫面的主機欄位指定此 FQDN。

• 一個完整設定的網繭，具有您使用網繭詳細資料頁面上傳至網繭管理員本身之受信任且有效的 SSL 憑證。如需上傳憑證的詳細資料，請參閱在網繭管理員虛擬機器上設定 SSL 憑證的概觀。
• 已設定的 VDI 桌面指派、工作階段桌面指派或網繭的遠端應用程式指派。
• 對組織已設定 Workspace ONE Access 雲端租用戶的存取權。

  使用雲端主控的 Workspace ONE Access 時，必須要有 Workspace ONE Access Connector 應用裝置，才能將網繭與該租用戶整合。此連接器會將關於虛擬桌面和應用程式之使用者和群組權利的資訊傳送給 Workspace ONE Access 租用戶。您必須在 Active Directory 網路中安裝 Workspace ONE Access 連接器應用裝置。遵循本說明文件頁面中提供的 Workspace ONE Access Cloud 說明文件中所述的步驟，以及將 Horizon Cloud 與 Workspace ONE Access 整合的部署案例中所述的步驟進行。如需此版本所需的連接器版本，請參閱 https://www.vmware.com/resources/compatibility/sim/interop_matrix.php 上的 VMware 產品互通性對照表。

  確認連接器設定的授權時間來源符合為網繭設定的 NTP 伺服器。

  備註： 如果您有現有的整合和 VMware Workspace ONE^® Access™ Connector 應用裝置，最佳做法是先更新連接器，然後再將網繭更新為最新的網繭軟體層級。
• 確認您設定的 Workspace ONE Access 環境符合 Horizon Cloud 資源整合的所有先決條件，如 Workspace ONE Access 說明文件頁面中的整合的先決條件中所述。