“今天就让我们看看WorkspaceONEAccess和Horizon集成。”
01
—
Horizon
Horizon我相信大家都比较熟悉了,是VMware的桌面云解决方案(VDI)。最基本的功能就是提供虚拟桌面和虚拟应用,跨平台发布。今天由于疫情的影响,是VDI的大年。
当Horizon和WorkspaceONE集成后,会给用户带来更好的体验。单点登录,一键直达。
下面我们先来看看整个通信过程是怎么完成的。
02
—
通信过程
1授权同步。
WorkspaceONEAccessConnector负责将HorizonConnectionServer的授权同步到WorkspaceONEAccessServices。同时,Connector和Horizon从相同的AD同步用户信息,Connector不会管理授权,只会读取并显示在应用目录中。
2访问Horizon资源。
当用户点击目录中的Horizon资源时,通过SAML交互,ConnectionServer会获知登录的用户属性,从而授权资源。
当然,很多时候用户在外网,这样会透过UAG和connectionServer通信。
3如何实现单点登录。
登陆Windows无非是输入有效的用户名密码或凭证。
Horizon和Access集成后,Access可以启用密码缓存。
也就是当用户登录Access时,密码会缓存起来用于登录Horizon。这种是类似单点登录的体验,但并不是真正的SSO。
当然,更好的方式,也是我们建议的方式是开启SmartCard或TrueSSO(需要禁用PasswordCaching)。
SmartCard需要用户使用证书来进行登陆。此时Access并不参与到用户认证。如果用户没有配置证书,依然会弹出需要输入凭证的窗口。
最后我们看一下TrueSSO,这也是我们最推荐的。
TrueSSO需要微软的ADCS服务,通过证书来进行无缝登录。Access负责用户认证,这样的体验是最好的。
Access同时支持使用Horizon客户端或者基于浏览器的访问,用户可以自行在设置中更改自己希望的默认类型。
下面我们来看一下具体配置过程。
03
—
具体配置过程
首先是HorizonConnectionServer的设置。
点击管理SAML认证器输入相关信息。
确保SAML2.0认证方式选择为需要。选中WorkspaceONE模式。这样将WorkspaceONEAccess认证设置成必须。
来到WorkspaceONEAccess管理控制台,应用目录-虚拟应用合集。
点击新建来添加新的Horizon集成。
可以添加多个ConnectionServer并选择优先顺序。
点击添加pod。
输入ConnectionServer的FQDN,而非负载均衡器的FQDN,Horizon管理员凭证,启用TrueSSO和同步本地分配。
完成后添加联合设置。
名字易于记忆即可,ClientAccessFQDN通常是负载均衡地址。选择应用的POD。
最后配置一下同步设置。
至此基本的设置做完了,当然我们还需要完成设定可访问的网络地址范围,URL,FQDN等等。
点开编辑虚拟应用合集,就可以看到设定网络地址范围了。
可以通过这种设定来智能引导不同网段的用户访问不同的Horizon接入地址,比如外网和内网用户就可以很好的区分开来。
老规矩,放上原始视频供大家参考。
长按
