在將 Workspace ONE Access 與 Horizon 的整合過程中,您必須指定網路範圍的用戶端存取 FQDN,讓使用者能夠根據其網路範圍連線至正確的伺服器。此外,您也可以為每個網路範圍指定使用者群組來篩選使用者。

備註: 將使用者群組與網路範圍建立關聯的選項僅在 Workspace ONE Access 雲端服務中提供。

當您建立 Horizon 虛擬應用程式集合時,此精靈會引導您前往 [網路範圍] 頁面,以在集合中設定網繭和網繭聯盟的用戶端存取 FQDN。建立集合後,您可隨時編輯用戶端存取 FQDN。

承租人中的所有網路範圍都必須為 Horizon 網繭和網繭聯盟設定用戶端存取 FQDN。如果某個網路範圍未定義用戶端存取 FQDN,透過該網路範圍存取 Horizon 資源的使用者即無法啟動其指派的應用程式和桌面平台。請確保每次建立新的網路範圍時一併編輯虛擬應用程式集合,以將 Horizon 網繭和網繭聯盟的用戶端存取 FQDN 新增至新的網路範圍。

您可以按照下列方式,在 Workspace ONE Access 中設定用戶端存取 FQDN:

  • 請僅使用網路範圍,將使用者導向至適當的用戶端存取 FQDN。

    建立多個網路範圍,並為每個網路範圍指定用戶端存取 FQDN。請勿針對網路範圍選取任何使用者群組。系統會根據所有使用者用來存取其所指派 Horizon 應用程式和桌面平台的網路範圍,將其導向至用戶端存取 FQDN。

    例如,您可以為內部和外部存取建立單獨的網路範圍,並為每個範圍指定適當的用戶端存取 FQDN。

  • 同時使用網路範圍和群組,將使用者導向至適當的用戶端存取 FQDN。

    建立多個網路範圍,並為每個範圍指定用戶端存取 FQDN。此外,請為此網路範圍選取使用者群組。若要讓使用者能夠從用戶端存取 FQDN 啟動 Horizon 應用程式和桌面平台,其用戶端 IP 位址必須與網路範圍相符,且這些使用者必須屬於至少一個針對網路範圍選取的群組。如果未針對網路範圍選取任何群組,則用戶端 IP 位址與網路範圍相符的所有使用者都可以從該網路範圍的用戶端存取 FQDN 啟動應用程式和桌面平台。

    例如,您可以為內部和外部存取建立個別的網路範圍,並依據使用者屬於永久員工群組還是暫時員工群組,來篩選每個範圍的使用者。

    備註: 如果您不想建立多個網路範圍,您可以在預設 所有範圍網路範圍上,為每個虛擬應用程式集合設定使用者群組。僅屬於其中一個所選群組的使用者才能從 所有範圍用戶端存取 FQDN 啟動 Horizon 應用程式和桌面平台。

    例如,您可以為不同區域中的網繭建立不同的虛擬應用程式集合、依區域建立使用者群組,以及為每個集合的所有範圍網路範圍選取適當的使用者群組。

如果您設定重疊的網路範圍,則 Workspace ONE Access 會套用下列規則以為該使用者尋找最佳相符項目:

  • 如果使用者的用戶端 IP 位址符合多個範圍,並且未針對任何網路範圍指定群組,則會使用最近建立的網路範圍來判斷該使用者的用戶端存取 FQDN。
  • 如果使用者的用戶端 IP 位址符合多個網路範圍,且使用者的群組僅符合其中一個網路範圍,則系統會使用同時符合用戶端 IP 位址和群組的網路範圍,來判斷該使用者的用戶端存取 FQDN。
  • 如果用戶端 IP 位址符合多個網路範圍,且使用者屬於所有那些網路範圍的一或多個群組,則將會使用具有最多使用者群組相符項目的網路範圍,來判斷該使用者的用戶端存取 FQDN。
  • 如果用戶端 IP 位址符合多個網路範圍,且符合的使用者群組數目在多個網路範圍之間都是相同的,則會使用最近建立的網路範圍來判斷該使用者的用戶端存取 FQDN。

必要條件

需要超級管理員角色,或可在身分識別與存取管理服務中執行管理設定動作的自訂角色,才能建立和編輯網路範圍。

程序

  1. Workspace ONE Access 主控台中,選取目錄 > 虛擬應用程式集合索引標籤。
  2. 按一下 Horizon 虛擬應用程式集合,然後選取網路範圍索引標籤。
    備註:Workspace ONE Access 內部部署中,系統會顯示 編輯網路範圍按鈕,而非 網路範圍索引標籤。
  3. 按一下網路範圍以進行編輯,或建立新的網路範圍 (如有必要)。
  4. 如果您要建立新的網路範圍,請輸入名稱、選用的說明,以及 IP 範圍。
  5. (選擇性) 群組成員資格區段中,選取要與此網路範圍相關聯的使用者群組。
    如果您選取群組且要從與此網路範圍相關聯的用戶端存取 FQDN 啟動 Horizon 應用程式和桌面平台,則使用者必須屬於其中至少一個群組,且其用戶端 IP 位址必須與網路範圍相符。

    如果您未選取任何群組,則用戶端 IP 位址符合網路範圍的所有使用者,都可以從與此網路範圍相關聯的用戶端存取 FQDN 啟動 Horizon 應用程式和桌面平台。

    例如:

    此影像顯示「將網繭指派至網路範圍」的快顯畫面。已為該網路範圍指定 IP 範圍。系統也會針對該網路範圍選取群組 A 和群組 B 這兩個群組。
    備註: 群組成員資格選項僅在 Workspace ONE Access 雲端服務中提供。不適用於內部部署。
  6. 捲動至網繭和聯盟區段。
    [網繭] 區段會列出集合中所有已啟用 [同步本機指派] 選項的 Horizon 網繭。[CPA 聯盟] 區段會列出集合中的網繭聯盟 (如果有的話)。

    編輯 View 設定的網路範圍

  7. 編輯每個網繭的網繭區段,並為此網路範圍輸入適當的值。
    選項 說明
    用戶端存取 FQDN 有來自此網路範圍的要求時,對此網繭的本機權利進行存取的用戶端所要導向到之伺服器的完整網域名稱 (FQDN)。此值可以是 Horizon 連線伺服器、安全伺服器、負載平衡器,或反向 Proxy FQDN。

    例如:internallb.example.com

    網繭的用戶端存取 FQDN 可用來從網繭啟動本機授權的資源。

    連接埠 伺服器連接埠。
    包裝 JWT 中的構件 請參閱透過驗證閘道啟動 Horizon 資源
    JWT 中的對象 請參閱透過驗證閘道啟動 Horizon 資源
  8. 編輯每個網繭聯盟的 CPA 聯盟區段,並為此網路範圍輸入適當的值。
    選項 說明
    用戶端存取 FQDN 有來自此網路範圍的要求時,對此網繭聯盟的全域權利進行存取的用戶端所要導向到之伺服器的完整網域名稱 (FQDN)。此值通常是網繭聯盟部署的全域負載平衡器。

    例如:globallb.example.com

    網繭聯盟的用戶端存取 FQDN 可用來啟動全域授權的資源。

    連接埠 伺服器連接埠。
    包裝 JWT 中的構件 Workspace ONE Access 服務與驗證閘道 (例如 F5) 整合時,必須啟用此選項以驗證指派給使用者的 Horizon 資源。請參閱透過驗證閘道啟動 Horizon 資源
    JWT 中的對象 請參閱透過驗證閘道啟動 Horizon 資源
  9. 按一下儲存
  10. 如有必要,請重複這些步驟來編輯其他網路範圍。
    重要: 確認您環境中的每個網路範圍都有已設定的用戶端存取 FQDN。如果某個網路範圍缺少用戶端存取 FQDN,透過該網路範圍存取資源的使用者即無法啟動其 Horizon 桌面平台和應用程式。