VMware Identity Manager主控台中設定 Horizon 網繭和網繭聯盟,將資源和權利同步至 VMware Identity Manager 服務。

若要設定網繭和網繭聯盟,您必須在目錄 > 虛擬應用程式頁面中建立一或多個虛擬應用程式集合,並輸入組態資訊,例如,同步資源和權利的來源 Horizon 連線伺服器、網繭聯盟詳細資料、用於同步的 VMware Identity Manager Connector,以及管理員設定 (例如預設啟動用戶端)。

您可以根據需求在一個集合中新增所有 Horizon 網繭或網繭聯盟,或是建立多個集合。例如,您可以選擇為每個網繭聯盟或每個網繭建立個別的集合以便進行管理,並將同步負載分散到多個連接器。或者,您可以選擇將所有網繭和網繭聯盟包含在一個集合中以進行測試,並將另一個相同的集合用於生產環境。

在您新增網繭後,請設定特定網路範圍的用戶端存取 URL。

先決條件

程序

  1. 登入 VMware Identity Manager主控台。
  2. 選取目錄 > 虛擬應用程式索引標籤,然後按一下虛擬應用程式組態
  3. 按一下新增虛擬應用程式,然後選取 Horizon View 內部部署
  4. 輸入集合的唯一名稱。
  5. 同步連接器下拉式功能表中,選取要在此集合中同步資源的連接器。

    如果您已設定多個連接器以達到高可用性,請按一下新增連接器,然後選取其他連接器。連接器的列出順序將決定容錯移轉順序。

  6. Horizon 網繭區段中,請提供要新增至此集合之 Horizon 網繭的組態資訊。

    連線伺服器

    輸入Horizon 連線伺服器執行個體的完整主機名稱,例如 connectionserver.example.com。網域名稱必須完全符合 Horizon 連線伺服器執行個體所加入的網域名稱。

    使用者名稱

    輸入網繭的管理員使用者名稱。使用者必須在 Horizon 中具有管理員角色。

    密碼

    輸入網繭的管理員密碼。

    智慧卡驗證

    如果使用者使用智慧卡驗證 (而非密碼) 登入網繭,請選取此核取方塊。

    已啟用 True SSO

    如果已在 Horizon 中啟用 True SSO,請選取此選項。此選項僅適用於支援 True SSO 功能的 Horizon 版本。

    在 Horizon 中啟用 True SSO 時,使用者不需要密碼即可登入其 Windows 桌面平台。不過,如果使用者使用非密碼驗證方法 (例如 SecurID) 登入 VMware Identity Manager,則當使用者啟動其 Windows 桌面平台時,系統會提示他們輸入密碼。您可以選取此選項以防止在該案例中向使用者顯示密碼對話方塊。

    同步本機權利

    如果已為網繭設定本機權利,請選取此選項。
    例如:

    新增網繭


  7. 若要將多個網繭新增至集合,請按一下新增網繭,然後輸入每個網繭的組態資訊。
  8. 若要新增網繭聯盟,請執行下列步驟。
    1. 選取 Horizon Cloud Pod 架構組態區段中的啟用核取方塊。
    2. 輸入網繭聯盟組態資訊。

      選項

      說明

      聯盟名稱

      網繭聯盟的名稱。

      新增 Horizon 網繭

      選取所有屬於網繭聯盟的網繭。清單會顯示所有已新增至集合的網繭。

      選取每個網繭,然後按一下新增至清單

      選取的網繭

      您可以為網繭重新排序,或將其移除。

      啟動 URL

      要用來啟動全域授權的桌面平台或應用程式的全域啟動 URL。例如,federationA.example.com

      啟動 URL 通常是網繭聯盟的全域負載平衡器 URL。您可以在稍後的組態程序中,為特定網路範圍自訂啟動 URL。

    3. 若要新增其他網繭聯盟,請按一下新增聯盟,然後輸入組態資訊。
    備註:

    如果集合僅包含不屬於網繭聯盟的個別 Horizon 網繭,請勿啟用此選項。

    例如:

    新增網繭聯盟


  9. 選取不要同步重複的應用程式核取方塊,可防止從多個伺服器同步重複的應用程式。

    在多個資料中心部署VMware Identity Manager時,系統會在多個資料中心中設定相同的資源。選取此選項,可防止您的 VMware Identity Manager目錄中出現重複的桌面平台或應用程式集區。

  10. 如果您要設定任何 View 連線伺服器 5.x 執行個體,請選取 [設定 Horizon 連線伺服器 5.x] 核取方塊。

    選取此選項,可讓您以替代方式同步 View 5.x 所需的資源。

    備註:

    如果您選取執行目錄同步選項,設定 Horizon 連線伺服器 5.x 選項也將自動選取,因為這兩個選項都依存於同步資源的替代方式。

  11. 如果您想要在 VMware Identity Manager目錄中遺漏了任何有權使用 Horizon 連線伺服器執行個體之 Horizon 集區的使用者和群組時,在資源同步的過程中執行目錄同步,請選取執行目錄同步核取方塊。

    [執行目錄同步] 選項不會套用至網繭聯盟。如果 VMware Identity Manager目錄中遺失具有全域權利的使用者和群組,則不會觸發目錄同步。

    透過此程序進行同步的使用者和群組,可如同由 VMware Identity Manager目錄同步新增的任何其他使用者一般進行管理。

    重要:

    使用 [執行目錄同步] 選項時,同步會比較耗時。

    備註:

    選取此選項時,設定 Horizon 連線伺服器 5.x 選項也將自動選取,因為這兩個選項都依存於同步資源的替代方式。

  12. 預設啟動用戶端下拉式清單中,選取用來啟動 Horizon 應用程式或桌面平台的預設用戶端。

    選項

    說明

    系統不會在管理員層級設定預設喜好設定。如果此選項設為,且使用者喜好設定也未設定,則系統會使用 Horizon 的預設顯示通訊協定設定來決定如何啟動桌面平台或應用程式。

    瀏覽器

    Horizon 桌面平台和應用程式依預設會在 Web 瀏覽器中啟動。使用者喜好設定 (若已設定) 會覆寫此設定。

    原生

    Horizon 桌面平台和應用程式依預設會在Horizon Client中啟動。使用者喜好設定 (若已設定) 會覆寫此設定。

    此設定會套用至此集合中所有資源的所有使用者。

    預設啟動用戶端設定會依照下列順序套用喜好設定 (由最高排到最低):

    1. 使用者喜好設定,設定於 Workspace ONE 入口網站中。此選項無法在 Workspace ONE 應用程式中使用。

    2. 集合的管理員預設啟動用戶端設定,設定於 VMware Identity Manager 主控台中。

    3. 適用於桌面平台或應用程式集區的 Horizon 遠端顯示通訊協定 > 預設顯示通訊協定設定,設定於Horizon Administrator 中。例如,當顯示通訊協定設為 PCoIP 時,應用程式或桌面平台會在 Horizon Client中啟動。

  13. 同步頻率下拉式功能表中,選取您要在此集合中同步資源的頻率。

    您可以設定一般的同步排程,或選擇手動同步。如果您選取手動,則必須在設定集合後以及 View 資源或權利有任何變更時,按一下 [虛擬應用程式組態] 頁面上的同步

  14. 啟動原則下拉式清單中,選取要如何讓使用者能夠在 Workspace ONE 中使用 Horizon 資源。

    同時使用使用者啟動自動選項時,資源會新增至 [目錄] 頁面。使用者可以從 [目錄] 頁面使用資源,或將資源移至 [書籤] 頁面。不過,若要設定任何應用程式的核准流程,您必須為該應用程式選取 [使用者啟動]。

    在此頁面上選取的啟動原則,皆會套用至集合中所有資源的所有使用者權利。您可以在應用程式或桌面平台的 [權利] 頁面上,針對不同的資源修改個別使用者或群組的啟動原則。

    如果您想要設定核准流程,建議您將集合的啟動原則設為使用者啟動

  15. 按一下儲存

    集合隨即建立,並出現在 [虛擬應用程式組態] 頁面中。此時系統尚未同步集合中的資源。

  16. 若要將集合中的資源同步至 VMware Identity Manager,請按一下 [虛擬應用程式組態] 頁面中的同步

    每當您在 Horizon 中變更設定 (例如新增權利或使用者) 時,皆必須執行同步才能將變更散佈到 VMware Identity Manager

  17. 設定網繭和網繭聯盟的用戶端存取 URL。

    您可以自訂特定網路範圍的 URL。例如,通常會為內部和外部存取設定不同的啟動 URL。

    1. 檢閱您的網路範圍,並視需要建立新的範圍。

      • 按一下身分識別與存取管理 > 原則索引標籤。

      • 按一下網路範圍

      • 檢閱網路範圍,並視需要按一下新增網路範圍以新增範圍。

    2. 按一下目錄 > 虛擬應用程式索引標籤,然後按一下虛擬應用程式設定
    3. 按一下網路設定
    4. 選取要設定的網路範圍。

      View CPA 聯盟區段會列出已新增至集合之網繭聯盟的全域啟動 URL。View 網繭區段會列出所有已新增至集合、且已選取 [同步本機權利] 選項的 View 網繭。



      網路範圍


    5. View CPA 聯盟區段中,針對全域啟動 URL,指定伺服器的完整網域名稱,則來自此網路範圍的全域權利的啟動要求將會導向至該伺服器。這通常是 View 網繭聯盟部署的全域負載平衡器 URL。

      例如:lb.example.com

      全域啟動 URL 可用來啟動全域授權的資源。

    6. View 網繭區段中,為每個網繭指定伺服器的完整網域名稱,讓來自此網路範圍之本機權利的啟動要求導向至該伺服器。您可以指定 Horizon 連線伺服器執行個體、負載平衡器或安全伺服器。例如,如果您要編輯提供內部存取的範圍,您將為網繭指定內部負載平衡器。

      例如:lb.example.com

      用戶端存取 URL 用來從網繭啟動本機授權的資源。

      備註:

      如需 JWT 中的包裝構件JWT 中的對象選項的相關資訊,請參閱透過驗證閘道啟動 Horizon 資源

    7. 按一下完成

    另請參閱為自訂網路範圍啟用多個用戶端存取 URL