下圖說明 Horizon Cloud 環境中設定了 Universal Broker 並與 Workspace ONE Access 和 Intelligent Hub 服務整合的元件高階架構和通訊流程。


在 Workspace ONE Access、Hub 服務和 Horizon Cloud 租用戶之間與 Universal Broker 整合的架構和通訊流程圖
  1. 在啟用工作流程期間,系統會登錄 Workspace ONE Access 租用戶,以與 Horizon Cloud 租用戶進行整合。
  2. Workspace ONE Access Connector 會將 Workspace ONE Access 租用戶與 Active Directory 使用者與群組進行同步。
  3. 使用者會透過 Workspace ONE Access 和要求進行驗證,以載入 Hub 目錄。
  4. Workspace ONE Intelligent Hub 服務會從所有已設定的目錄來源擷取使用者權利的相關資訊。來源可以包括 Workspace ONE Access、Workspace ONE UEM、Okta 和 Universal Broker 服務。
  5. Hub 目錄會向使用者顯示一個權利的整合目錄。目錄包含從 Universal Broker 服務中擷取的使用者指派權利。
  6. 在目錄中,使用者可以按一下已指派的桌面或應用程式,以啟動與其的連線工作階段。
  7. Workspace ONE Intelligent Hub 服務會與 Workspace ONE Access 通訊並產生 SAML 構件 (附加至 Universal Broker URL) 來準備已指派資源的啟動 URL。然後,服務會將啟動 URL 傳送至 Workspace ONE Intelligent Hub 用戶端。
    備註: 對於此整合功能,Hub 瀏覽器是唯一支援的 Workspace ONE Intelligent Hub 用戶端。Intelligent Hub 應用程式不受支援。
  8. Workspace ONE Intelligent Hub 用戶端會啟動 Horizon Client 桌面或 Web 應用程式。
  9. Horizon Client 會將驗證要求轉送至 Universal Broker 服務。
  10. Universal Broker 服務會透過與 Workspace ONE Access 進行通訊來解析 SAML 構件及驗證受信任的使用者。
  11. Horizon Client 會從 Universal Broker 服務要求已指派的桌面或應用程式。
  12. 在判斷可提供已指派資源的最佳網繭後,Universal Broker 服務會將訊息傳送至在該網繭內執行的 Universal Broker 用戶端。Universal Broker 用戶端會將訊息轉送至在連線伺服器 (適用於 Horizon 網繭) 或作用中網繭管理員 (適用於 Microsoft Azure 中的網繭) 上執行的 Universal Broker 外掛程式。Universal Broker 外掛程式或作用中網繭管理員會識別可配置給使用者的最佳資源。
  13. Universal Broker 服務會將連線回應傳回給 Horizon Client,其中包含網繭的唯一 FQDN。唯一 FQDN 通常是 Horizon 網繭本機負載平衡器或 Microsoft Azure 負載平衡器的 FQDN。
  14. 在傳遞負載平衡器後,要求會前往網繭的 Unified Access Gateway。Unified Access Gateway 會驗證要求是否受信任,並準備 Blast 安全閘道、PCoIP 安全閘道和通道伺服器。
  15. 使用者在收到指派的桌面或應用程式後,可根據已設定的次要通訊協定 (Blast Extreme、PCoIP 或 RDP) 建立連線工作階段。