除了將獨立的 Horizon 網繭與 VMware Identity Manager 整合以外,您也可以整合 Horizon Cloud Pod 架構 (CPA) 部署。
Horizon Cloud Pod 架構功能可將多個 Horizon 網繭連結起來,形成單一大型桌面平台和應用程式代理與管理環境,稱為網繭聯盟。網繭聯盟可跨越多個站台和資料中心。
您可將一或多個網繭聯盟與 VMware Identity Manager 服務整合。請注意,網繭聯盟是在 Horizon 中建立和管理,對於網繭聯盟之桌面平台和應用程式集區的使用者和群組權利也是在 Horizon 中設定。您需將資源和權利同步至 VMware Identity Manager。
網繭聯盟具備全域權利,可供您授權使用者從網繭聯盟中的任何網繭存取桌面平台和應用程式。全域權利可以包含來自聯盟中多個網繭的資源。例如,全域桌面平台權利可以包含來自三個不同資料中心中三個不同網繭的桌面平台集區。網繭聯盟中的個別網繭也能設定本機權利。您可以同時將全域和本機權利同步至 VMware Identity Manager。
將網繭聯盟與 VMware Identity Manager 服務整合的作業涉及 VMware Identity Manager 主控台中的下列高階工作:
- 新增組成網繭聯盟的所有網繭,指定每個網繭的 Horizon 連線伺服器詳細資料。
雖然 VMware Identity Manager 可以同步網繭聯盟中任何網繭的全域權利,但仍需連線至每個網繭以便同步 SAML 驗證所需的中繼資料。它也需要連線至網繭以便同步本機權利 (如果適用)。
- 新增網繭聯盟詳細資料,並指定全域啟動 URL。全域啟動 URL 通常是全域負載平衡器 URL,用來啟動全域授權的桌面平台和應用程式。
您可為特定的網路範圍自訂全域啟動 URL,例如為內部和外部存取進行自訂。
- 將網繭聯盟的資源和權利同步至 VMware Identity Manager 服務。
備註: 系統僅會同步在網繭聯盟中具備「所有站台」範圍原則的全域權利。「所有站台」範圍原則會將搜尋應用程式或桌面平台的範圍設定為網繭聯盟中的所有網繭。
- 透過設定特定網路範圍的用戶端存取 URL,自訂全域啟動 URL。這些 URL 將用來啟動網繭聯盟中的全域授權資源。依預設,您在新增聯盟時指定的全域啟動 URL 將做為所有網路範圍的全域啟動 URL。
- 為網繭聯盟中已設定本機權利的每個網繭,指定用戶端存取 URL。這些 URL 將用來啟動網繭中的本機授權的桌面平台和應用程式。用戶端存取 URL 可以是 Horizon 連線伺服器 URL、安全伺服器 URL 或負載平衡器 URL。用戶端存取 URL 是針對特定的網路範圍而設定。依預設,您在新增網繭時指定的 Horizon 連線伺服器,將作為所有網路範圍的用戶端存取 URL。
將網繭聯盟與 VMware Identity Manager 服務整合時,服務會進行下列步驟:
- 同步網繭聯盟中具備「所有站台」範圍原則的所有全域權利。
- 同步隸屬於網繭聯盟之網繭中的本機權利 (如果已選取)。
- 同步網繭聯盟中所有 Horizon 連線伺服器的中繼資料。
- 允許使用者從 Workspace ONE 入口網站存取其 Horizon 應用程式和桌面平台。
使用者會從 Workspace ONE 入口網站存取其 Horizon 應用程式和桌面平台。使用者獲授權的所有資源 (無論是透過全域權利或本機權利獲得) 都會顯示出來。應用程式和桌面平台是在 Horizon Client 中啟動。當使用者啟動本機授權的應用程式或桌面平台時,則會從使用者連線到的 Horizon 連線伺服器加以啟動。全域授權的資源則是從資源所在的 Horizon 連線伺服器啟動。
Cloud Pod 架構部署範例
下圖顯示 Cloud Pod 架構部署範例以及其如何與 VMware Identity Manager 服務整合。
本圖說明網繭聯盟部署範例。在 Horizon 6 中建立一個名為 Federation 1 的網繭聯盟。它有三個網繭:Pod 1、Pod 2 和 Pod 3。Pod 1 和 Pod 2 針對每個 Horizon 連線伺服器設定為使用安全伺服器執行個體,一個外部負載平衡器用於外部存取,以及一個內部負載平衡器用於內部存取。Pod 3 設定為使用一個內部負載平衡器,僅用於內部存取。整體而言,網繭聯盟具有一個外部全域負載平衡器以及一個內部全域負載平衡器。
桌面平台和應用程式集區會部署在網繭上。為 Federation 1 設定全域權利,並為個別網繭設定本機權利。
Federation 1 與 VMware Identity Manager 服務整合。VMware Identity Manager 服務會從 Federation 1 同步全域權利以及本機權利。由於全域權利會在每個網繭中進行複寫,因此會從 Pod 1 同步全域權利。另外也會從 Pod 1、Pod 2 和 Pod 3 同步本機權利。
使用者可以在 VMware Identity Manager Workspace ONE 入口網站中檢視他們獲授權的所有桌面平台和應用程式 (無論是透過全域權利或本機權利獲得的)。當使用者啟動桌面平台或應用程式時,如果該資源屬於全域權利的一部分,則啟動要求會根據使用者的網路範圍,前往外部或內部全域負載平衡器 (URL EG 或 URL IG)。如果資源來自本機權利,啟動要求會根據使用者的網路範圍,前往該資源部署所在之網繭的內部或外部負載平衡器。例如,若是 Pod 2 上的資源,要求會前往 URL I2 或 URL E2。