Horizon Cloud Pod 部署工具需要有服務主體,才能存取及使用您的 Horizon Cloud Pod 的 Microsoft Azure 訂閱容量。在您登錄 Microsoft Azure AD 應用程式時,也會建立服務主體。此外,您必須產生驗證金鑰,並在訂閱層級上將角色指派給服務主體。如果您要使用讓外部閘道使用其本身的訂閱 (不同於網繭的訂閱) 的功能,您也必須針對與該訂閱相關聯的服務主體執行類似步驟。

如需關於建立服務主體的最新深入詳細資料和螢幕擷取畫面,請參閱 Microsoft Azure 說明文件說明文件主題作法:使用入口網站來建立可存取的資源的 Azure AD 應用程式和服務主體

重要: 您設定要用於 Horizon Cloud 的每個服務主體,皆必須在該服務主體相關聯的訂閱中指派適當的角色。服務主體的角色必須允許 Horizon Cloud 需要在該服務主體相關聯的 Microsoft Azure 訂閱中對 Horizon Cloud 所管理資源執行的動作。網繭訂閱的服務主體必須要有允許特定動作的角色,以透過這些動作成功部署網繭、在網繭和網繭管理的資源上運作,以滿足使用管理主控台起始的管理員工作流程,以及長時間維護網繭。對網繭的外部 Unified Access Gateway 組態使用個別的訂閱時,該訂閱的服務主體必須要有允許特定動作的角色,以透過這些動作成功部署該閘道組態所需的資源、在 Horizon Cloud 管理的這些資源上運作以滿足管理員工作流程,以及長時間維護這些閘道相關資源。

Horizon Cloud 在您的 Microsoft Azure 訂閱中所需的作業中所述,您必須使用下列其中一種方法為服務主體授與存取權:

  • 在訂閱層級,指派參與者角色。參與者角色是 Microsoft Azure 內建的角色之一。Microsoft Azure 說明文件中的 Azure 資源的內建角色包含參與者角色的相關說明。
  • 在訂閱層級上指派您已設定的自訂角色,以為服務主體提供 Horizon Cloud 部署網繭相關資源以及管理員起始的現行工作流程與網繭維護作業所需的最少一組允許動作
  • 對外部 Unified Access Gateway 組態使用個別的訂閱,並將其部署至現有的資源群組時,有效的動作組合是使用提供範圍較窄權限的角色為服務主體授與存取該資源群組和相關 VNet 的權限,並使用內建的讀取者角色為服務主體授與存取訂閱的權限。

您可以使用您已登錄的帳戶適用的 Microsoft Azure 入口網站來執行這些步驟。例如,下列 Microsoft Azure 雲端皆有其特定的入口網站端點。

  • Microsoft Azure (標準全域)
  • Microsoft Azure China
  • Microsoft Azure US Government
備註: 執行這些步驟時,您可以收集部署精靈所將需要的某些值 (如 Horizon Cloud 網繭部署精靈的訂閱相關資訊中所說明),尤其是:
  • 應用程式識別碼
  • 驗證金鑰
注意: 雖然您可以將祕密金鑰的到期期間設為特定的時間範圍,但若您這麼做,就務必要記得在金鑰到期前加以重新整理,否則相關聯的 Horizon Cloud Pod 將停止運作。 Horizon Cloud 無法偵測或得知您所設定的期間。為求作業順暢,請將金鑰的到期設為 永不

如果您不想將到期設為永不,而想要改為在金鑰到期前重新整理,則必須記得在到期日之前要登入 Horizon Cloud,然後在網繭詳細資料中列出訂閱資訊的位置,在相關聯網繭的訂閱資訊中輸入新的金鑰值。如需詳細步驟,請參閱《管理指南》中的更新與已部署網繭相關聯的訂閱資訊主題。

在下列步驟中,步驟 7.a 說明在訂閱層級上被授與存取權的服務主體。

必要條件

如果您想要將自訂角色指派給服務主體,而非內建的參與者角色,請確認您的訂閱中有該自訂角色存在。確認自訂角色允許 Horizon Cloud 所需的管理作業,如Horizon Cloud 在您的 Microsoft Azure 訂閱中所需的作業中所述。

程序

  1. 在 Microsoft Azure 入口網站的左導覽列中,按一下 Microsoft Azure 入口網站主功能表中的 Microsoft Azure Active Directory 功能表項目 (Azure Active Directory),然後按一下 Azure 入口網站的 Azure AD 子功能表中的應用程式登錄功能表項目 (應用程式登錄)。
  2. 按一下新增應用程式登錄
  3. 輸入描述性名稱,然後選取支援的帳戶類型。
  4. 在 [重新導向 URI] 區段中,選取 Web、輸入 http://localhost:8000,然後按一下登錄
    選項 說明
    名稱 名稱由您決定。您可以透過此名稱,來區分 Horizon Cloud 所使用的這個服務主體,與相同訂閱中可能存在的任何其他服務主體。
    重新導向 URI 確保已選取 Web

    輸入如畫面顯示的 http://localhost:8000。Microsoft Azure 將此標示為必填欄位。由於 Horizon Cloud 的服務主體不需要登入 URL,因此會使用 http://localhost:8000 來滿足 Microsoft Azure 需求。

    畫面上會顯示新建立的應用程式登錄。
  5. 將應用程式識別碼和目錄 (租用戶) ID 複製並儲存到您後續在執行部署精靈時可加以擷取的位置。

    以箭頭指出應用程式識別碼的服務主體詳細資料畫面。

  6. 在服務主體的詳細資料畫面中,建立服務主體的驗證祕密金鑰。
    1. 按一下 Microsoft Azure 入口網站中的憑證和密碼功能表項目 (憑證和密碼)。
    2. 按一下新增用戶端密碼
    3. 輸入說明、選取到期期間,然後按一下新增
      金鑰說明的長度必須在 16 個字元以內,例如 Hzn-Cloud-Key1
      注意: 您可以將到期期間設為 永不,或設為特定時間範圍。不過,如果您設定特定的持續時間,則必須記得在金鑰到期之前重新整理,然後使用主控台以及在網繭詳細資料中列出訂閱資訊的位置,將新的金鑰輸入至 Horizon Cloud。否則,相關聯的網繭將停止運作。 Horizon Cloud 無法偵測或得知您在 Microsoft Azure 入口網站中設定的持續時間。

      顯示要以永不到期的期間新增金鑰的金鑰畫面。

      重要: 在您將祕密金鑰值複製並貼到您後續可加以擷取的位置之前,請讓此畫面保持開啟。完成祕密值的複製前,請不要關閉此畫面。

      用戶端密碼畫面上顯示驗證金鑰,並將值像素化處理。

    4. 將祕密值複製到您後續在執行部署精靈時可加以擷取的位置。
  7. 在訂閱層級上將角色指派給服務主體。
    注意: 如果服務主體被指派的角色不允許網繭部署工具所需的作業,根據您在部署精靈中選取的選項,精靈將會防止您完成精靈的步驟。若要瞭解已指派的角色必須提供的權限,請參閱 Horizon Cloud 在您的 Microsoft Azure 訂閱中所需的作業
    1. 在 Microsoft Azure 入口網站的主導覽列中按一下所有服務,以導覽至訂閱的設定畫面,接著按一下訂閱,然後按一下要用於網繭之訂閱的名稱。
      備註: 此時,您可以從畫面中複製後續在部署精靈中將會用到的訂閱識別碼。

      Azure 入口網站中將識別碼像素化處理,並以綠色箭頭指出識別碼的訂閱詳細資料。

    2. 按一下 存取控制 (IAM) 功能表項目 (存取控制 (IAM)),然後按一下新增 > 新增指派以開啟新增角色指派畫面。
    3. 新增角色指派畫面中,針對角色,根據Horizon Cloud 在您的 Microsoft Azure 訂閱中所需的作業中所述的規則選取您要指派的角色。
    4. 使用選取方塊依您提供的名稱搜尋您的服務主體。
      以下螢幕擷取畫面說明此步驟,其中已選取 參與者角色作為服務主體。
      此螢幕擷取畫面顯示 Azure 入口網站中已選取「擁有者角色」、且正在搜尋服務主體的新增權限畫面。

      備註: 確定 指派存取權給下拉式清單設為 Azure AD 使用者、群組或應用程式
    5. 按一下您的服務主體使其成為選取的成員,然後按一下儲存

      在新增權限畫面中,服務主體新增為選取的擁有者角色成員。

  8. 確認您的訂閱擁有網繭所需的已登錄資源提供者。
    1. 從您在前一個步驟中使用的 [存取控制 (IAM)] 畫面,在訂閱的功能表中按一下 訂閱設定功能表中的資源提供者功能表選項 (資源提供者),以導覽至訂閱的資源提供者清單。
    2. 確認下列資源提供者處於 Azure 入口網站中針對處於已登錄狀態的資源提供者顯示的圖示 (已登錄) 狀態,若非如此,請加以登錄。
      • Microsoft.Compute
      • microsoft.insights
      • Microsoft.Network
      • Microsoft.Storage
      • Microsoft.KeyVault
      • Microsoft.Authorization
      • Microsoft.Resources
      • Microsoft.ResourceHealth
      • Microsoft.DBforPostgreSQL
      • Microsoft.Sql

      以綠色箭頭指出未登錄之資源提供者的資源提供者畫面。

結果

至此,您已建立並設定網繭的服務提供者,且擁有您在網繭部署精靈的第一個步驟所需的訂閱相關值。四個訂閱相關值如下:

  • 訂閱識別碼
  • Azure Active Directory 識別碼
  • 應用程式識別碼
  • 應用程式金鑰值

後續步驟

確認您已收集所有將在部署精靈中輸入的訂閱相關資訊。請參閱Horizon Cloud 網繭部署精靈的訂閱相關資訊

如果您要使用個別的訂閱將外部 Unified Access Gateway 組態部署至現有資源群組中,且想要授與精細且範圍較窄的權限 (而非訂閱層級的存取權),請參閱Horizon Cloud 在您的 Microsoft Azure 訂閱中所需的作業以取得詳細資料。請確定已為服務主體授與適當的存取權,以符合 Horizon Cloud 部署工具的需求。