若要整合 Horizon Cloud承租人與 VMware Identity Manager 服務,您必須在 VMware Identity Manager 主控台中建立虛擬應用程式集合 (其中包含 Horizon Cloud 承租人資訊以及同步設定),並將資源和權利從 Horizon Cloud 承租人同步至 VMware Identity Manager 服務。

如果您有多個 Horizon Cloud 承租人,則可以根據需求為每個承租人建立個別的虛擬應用程式集合,或在單一集合中設定所有承租人。每個集合會個別進行同步。

先決條件

程序

  1. 登入 VMware Identity Manager主控台。
  2. 選取目錄 > 虛擬應用程式索引標籤,然後按一下虛擬應用程式組態
  3. 按一下新增虛擬應用程式,然後選取 Horizon Cloud
  4. 輸入集合的唯一名稱。
  5. 同步連接器下拉式功能表中,選取要在此集合中同步資源的連接器。

    如果您已設定多個連接器以達到高可用性,請按一下新增連接器,然後選取連接器。連接器的列出順序將決定容錯移轉順序。

  6. 承租人區段中,輸入 Horizon Cloud 承租人資訊。
    重要:

    輸入您的網域資訊時,請勿使用非 ASCII 字元。

    選項

    說明

    承租人主機

    Horizon Cloud 承租人主機的完整網域名稱。例如:tenant1.example.com

    承租人連接埠

    Horizon Cloud 承租人主機的連接埠號碼。例如:443

    管理員使用者

    Horizon Cloud 承租人管理員帳戶的使用者名稱。例如:tenantadmin

    管理員密碼

    Horizon Cloud 承租人管理員帳戶的密碼。

    管理員網域

    Horizon Cloud 承租人管理員所在的 Active Directory NETBIOS 網域名稱。

    要同步的網域

    用來同步 Horizon Cloud資源和權利的 Active Directory NETBIOS 網域名稱。

    備註:

    此欄位須區分大小寫。輸入名稱時,請確保使用適當的大小寫。

    判斷提示取用者服務 URL

    張貼 SAML 判斷提示的目的地 URL。此 URL 通常是Horizon Cloud承租人的浮動 IP 位址或主機名稱,或是 Unified Access Gateway URL。例如,https://mytenant.example.com。

    已在 Horizon Cloud 上啟用 True SSO

    如果已對 Horizon Cloud 承租人啟用 True SSO,請選取此選項。

    在 Horizon Cloud 承租人中啟用 True SSO 時,使用者不需要密碼即可登入其 Windows 桌面平台。

    不過,如果使用者使用非密碼驗證方法 (例如 SecurID) 登入 VMware Identity Manager,則當使用者啟動其 Windows 桌面平台時,系統會提示他們輸入密碼。您可以選取此選項以防止在該案例中向使用者顯示密碼對話方塊。

    自訂識別碼對應

    您可以自訂在使用者啟動 Horizon Cloud 應用程式和桌面平台時要在 SAML 回應中使用的使用者識別碼。依預設會使用「使用者主體名稱」。您可以選擇使用其他名稱識別碼格式 (例如 sAMAccountName 或電子郵件地址),並自訂其中的值。

    名稱識別碼格式:選取名稱識別碼格式,例如電子郵件地址或使用者主體名稱。預設值為未指定 (使用者名稱)

    名稱識別碼值:按一下選取建議值並從預先定義的值清單中選擇,或按一下自訂值並輸入值。此值可以是任何有效的運算式語言 (EL) 運算式,例如 ${user.userName}@${user.domain}。預設值為 ${user.userPrincipalName}

    備註:

    請確定您在運算式中使用的屬性是 VMware 目錄中的對應屬性。您可以在目錄的 [同步設定] 索引標籤中檢視對應的屬性。在上述範例中,userName、userPrincipalName 和 domain 是目錄對應屬性。

    在下列情況中,選取名稱識別碼格式的功能相當實用:

    • 同步來自多個子網域的使用者時,使用者主體名稱無法正常運作。您可以使用不同的名稱識別碼格式 (例如 sAMAccountName 或電子郵件地址) 以唯一識別使用者。

    重要:

    確定 Horizon Cloud 和 VMware Identity Manager 中的名稱識別碼格式設定相同。

    例如:

    新增 Horizon Cloud 設定檔


  7. 若要將其他 Horizon Cloud 承租人新增至集合,請按一下新增承租人,然後輸入承租人的組態資訊。
  8. 預設啟動用戶端下拉式清單中,選取用來啟動 Horizon Cloud 應用程式或桌面平台的預設用戶端。

    選項

    說明

    系統不會在管理員層級設定預設喜好設定。如果此選項設為,且使用者喜好設定也未設定,則系統會使用 Horizon Cloud 預設通訊協定設定來決定如何啟動桌面平台或應用程式。

    瀏覽器

    Horizon Cloud 桌面平台和應用程式依預設會在 Web 瀏覽器中啟動。使用者喜好設定 (若已設定) 會覆寫此設定。

    原生

    Horizon Cloud 桌面平台和應用程式依預設會在Horizon Client中啟動。使用者喜好設定 (若已設定) 會覆寫此設定。

    此設定會套用至此集合中所有 Horizon Cloud 資源的所有使用者。

    預設啟動用戶端設定會依照下列順序套用喜好設定 (由最高排到最低):

    1. 使用者喜好設定,設定於 Workspace ONE 入口網站中。此選項無法在 Workspace ONE 應用程式中使用。

    2. 集合的管理員預設啟動用戶端設定,設定於 VMware Identity Manager 主控台中。

    3. Horizon Cloud預設通訊協定設定

  9. 同步頻率下拉式功能表中,選取您要在此集合中同步資源的頻率。

    您可以設定一般的同步排程,或選擇手動同步。如果您選取手動,則必須在設定集合後以及 Horizon Cloud 資源或權利有任何變更時,按一下 [虛擬應用程式組態] 頁面上的同步

  10. 啟動原則下拉式清單中,選取讓使用者能夠在 Workspace ONE 中使用 Horizon Cloud 資源的方法。

    同時使用使用者啟動自動選項時,資源會新增至 [目錄] 頁面。使用者可以從 [目錄] 頁面使用資源,或將資源移至 [書籤] 頁面。不過,若要設定任何應用程式的核准流程,您必須為該應用程式選取 [使用者啟動]。

    在此頁面上選取的啟動原則,皆會套用至集合中所有資源的所有使用者權利。您可以在應用程式或桌面平台的 [權利] 頁面上,針對不同的資源修改個別使用者或群組的啟動原則。

    如果您想要設定核准流程,建議您將集合的啟動原則設為使用者啟動

  11. 按一下儲存

    集合隨即建立,並出現在 [虛擬應用程式] 頁面中。

  12. 若要同步集合中的資源和權利,請按一下 [虛擬應用程式組態] 頁面中的同步

    每當 Horizon Cloud 中的資源或權利有所變更時皆須進行同步才能將變更散佈到 VMware Identity Manager

下一步

設定 Horizon Cloud承租人中的 SAML 驗證,以啟用 VMware Identity Manager 服務與Horizon Cloud 承租人之間的信任關係。