Configurar recursos en
VMware Identity Manager
Modificado el 3 de noviembre de 2017
VMware Identity Manager 2.9.1
Puede encontrar la documentación técnica más actualizada en el sitio web de VMware en:
https://docs.vmware.com/es/
Si tiene algún comentario sobre esta documentación, envíelo a la siguiente dirección de correo electrónico:
[email protected] © VMware, Inc. 3401 Hillview Ave. Palo Alto, CA 94304 www.vmware.com VMware, Inc.
Paseo de la Castellana 141. Planta 8. 28046 Madrid.
Tel.:+ 34 91 418 58 01 Fax: + 34 91 418 50 55 www.vmware.com/es
Acerca de la configuración de recursos en VMware Identity Manager 5
1
Introducción a los recursos de configuración de VMware Identity Manager 62
Proporcionar acceso a las aplicaciones web 8Agregar aplicaciones Web al catálogo de la organización 8 Utilizar adaptadores de aprovisionamiento 14
3
Proporcionar acceso a grupos de aplicaciones y escritorios de View, Horizon 6 u Horizon 7 25Integración de pods de View independientes 26
Integrar implementaciones de View Arquitectura Cloud Pod (CPA) 33
Habilitación de varias URL de acceso de cliente para rangos de redes personalizados 49 Ver la información de conexión de grupos de aplicaciones y escritorios de View 50
Ver autorizaciones de usuarios y grupos para grupos de aplicaciones y escritorios de View 50 Configurar el tipo de implementación para las autorizaciones de View 51
Ver las opciones de inicio de las aplicaciones y escritorios de View 53 Inicio de una aplicación o escritorio de View 55
Permitir a los usuarios restablecer sus escritorios de View en VMware Identity Manager 56 Configurar directivas de acceso para aplicaciones y escritorios específicos 57
Reducir el uso de recursos y aumentar el rendimiento de VMware Identity Manager Desktop en escritorios de View no persistentes 58
4
Proporcionar acceso a VMware Horizon Cloud Service 59Integrar aplicaciones y escritorios de Horizon Cloud 60
Ver los detalles de los grupos de aplicaciones y escritorios de Horizon Cloud 68
Ver las autorizaciones de grupos y usuarios para aplicaciones y escritorios de Horizon Cloud 69 Configurar directivas de acceso para aplicaciones y escritorios específicos 69
Configurar el tipo de implementación para las autorizaciones de Horizon Cloud 70 Inicio de una aplicación o un escritorio de Horizon Cloud 72
5
Proporcionar acceso a paquetes de ThinApp de VMware 74Integración de paquetes de VMware ThinApp 75
Autorización de usuarios y grupos para paquetes de ThinApp 85
Distribución y administración de los paquetes de ThinApp con VMware Identity Manager 87 Actualizar paquetes de ThinApp administrados después de la implementación en
VMware Identity Manager 92
Convertir los paquetes existentes de ThinApp para que sean compatibles con VMware Identity Manager 99
Cambiar la carpeta compartida de los paquetes de ThinApp 102
Configurar directivas de acceso para aplicaciones y escritorios específicos 103
6
Configurar VMware Identity Manager Desktop 104Opciones del instalador de línea de comandos para el escritorio VMware Identity Manager 105 Instalación de la aplicación VMware Identity Manager Desktop con la misma configuración en
varios sistemas Windows 111
Agregar archivos del instalador de VMware Identity Manager Desktop a los dispositivos virtuales de VMware Identity Manager 113
Utilizar la aplicación de línea de comandos hws-desktop-ctrl.exe 114
7
Proporcionar acceso a recursos publicados de Citrix 116Introducción 116
Componentes requeridos para la integración de Citrix 117 Diseño de integración de alto nivel 117
Requisitos previos para la integración de Citrix 122
Configurar las granjas de servidores de Citrix en VMware Identity Manager 142 Configurar el inicio de los recursos de Citrix en VMware Identity Manager 146 Configurar VMware Identity Manager para la integración con Citrix 151
Consecuencias de la actualización en la integración de los recursos publicados de Citrix 161
8
Resolver problemas de configuración de recursos deVMware Identity Manager 163
Solución de problemas de la integración con ThinApp 163 Solución de problemas de la integración de Horizon 166
VMware Identity Manager
La sección Configuración de recursos en VMware Identity Manager proporciona instrucciones para agregar recursos al catálogo de VMware Identity Manager. Las instrucciones incluyen información sobre la personalización de los recursos y cómo ponerlos a disposición de los usuarios en sistemas como escritorios y dispositivos móviles. Los recursos compatibles incluyen aplicaciones web, aplicaciones de Windows capturadas como paquetes de ThinApp®, grupos de aplicaciones y escritorios de View, y recursos publicados de Citrix.
Público objetivo
Esta información está destinada a todas las personas que configuren y administren los recursos para VMware Identity Manager. La información está escrita para administradores de sistemas Windows o Linux con experiencia y que estén familiarizados con la tecnología de máquinas virtuales.
configuración de
VMware Identity Manager
1
Después de instalar y configurar VMware Identity Manager, debe habilitar los recursos compatibles de la consola de administración de VMware Identity Managerpara ofrecer a los usuarios acceso a dichos recursos. Excepto las aplicaciones Web, cada tipo de recurso requiere que integre
VMware Identity Manager con otro producto o componente.
Puede integrar los siguientes tipos de recursos con VMware Identity Manager: n aplicaciones web
n Aplicaciones y escritorios de VMware Horizon® Cloud Service® n Grupos de aplicaciones y escritorios de Horizon 7, Horizon 6 y View n Recursos publicados de Citrix
n Las aplicaciones que aparecen en el paquete de ThinApp
Puede integrar estos recursos desde la pestaña Catálogo en la consola de administración. Para integrar las aplicaciones Web, utilice el menú Agregar aplicación en la pestaña Catálogo.
Para integrar y habilitar grupos de escritorios y aplicaciones de Horizon 7, Horizon 6 o View, escritorios y aplicaciones de VMware Horizon Cloud Service, recursos publicados de Citrix o aplicaciones que aparecen en el paquete de ThinApp, utilice el menú Administrar aplicaciones de escritorio en la pestaña Catálogo.
Puede administrar la configuración global para los recursos integrados desde la página Catálogo > Configuración. Puede administrar la configuración de aplicaciones individuales al seleccionar la aplicación en la pestaña Catálogo.
Proporcionar acceso a las
aplicaciones web
2
En el servicio VMware Identity Manager, se pueden agregar las aplicaciones web externas de la organización y autorizar a los usuarios a acceder a ellas.
Para permitir que los usuarios accedan a una aplicación web a través del servicio, verifique que se cumplen los requisitos siguientes:
n Si se configura la aplicación web para utilizar un protocolo de federación, se debe utilizar SAML 1.1, SAML 2.0 o WS-Federation 1.2. No es necesario configurar la aplicación web para utilizar un protocolo de federación.
n Los usuarios a los que les quiere dar autorización para usar la aplicación web deben ser usuarios registrados de dicha aplicación, o bien considere configurar el adaptador de aprovisionamiento de la aplicación, si está disponible, para aprovisionar los usuarios de VMware Identity Manager en la aplicación.
n Si la aplicación web es una aplicación multiarrendatario, el servicio dirige a la instancia de la aplicación.
Este capítulo cubre los siguientes temas:
n Agregar aplicaciones Web al catálogo de la organización n Utilizar adaptadores de aprovisionamiento
Agregar aplicaciones Web al catálogo de la organización
Es posible agregar aplicaciones Web al catálogo y que los usuarios y los grupos puedan acceder a ellas. Al agregar una entrada al catálogo para una aplicación Web, se crea un registro de aplicación y se configura la dirección de la aplicación Web. El servicio de VMware Identity Manager utiliza el registro de aplicaciones como una plantilla para establecer una conexión segura con la aplicación Web.
Se pueden utilizar los siguientes métodos para agregar registros de las aplicaciones Web al catálogo desde la pestaña Catálogo.
Método Descripción
En el catálogo de aplicaciones en la nube
Los tipos de aplicaciones Web empresariales más populares aparecen en la lista del catálogo de aplicaciones en la nube. Estás aplicaciones están configuradas parcialmente. Debe completar el formulario de registro del resto de las aplicaciones.
Cree uno nuevo Puede agregar aplicaciones Web al catálogo que no aparecen en la lista del catálogo de aplicaciones en la nube. El registro de estas aplicaciones Web es más genérico que el de las aplicaciones del catálogo de aplicaciones en la nube. Introduzca la descripción, la configuración y la descripción de la aplicación para crear el registro de la aplicación.
Importar un archivo ZIP o JAR
Se puede importar una aplicación web configurada anteriormente en el servicio. Este método se puede utilizar para mover una implementación desde la fase de ensayo a la de producción. En este caso, se exporta la aplicación web de la implementación de ensayo como un archivo ZIP. A continuación, se importa el archivo ZIP a la implementación de producción.
Después de agregar las aplicaciones Web al diálogo, puede configurar la información del aprovisionamiento, la licencia, las directivas de acceso y las autorizaciones.
Las aplicaciones Web se agregan en la consola de administración. Inicie sesión con la función de usuario administrador en Active Directory o el directorio LDA.
Agregar una aplicación web al catálogo desde el catálogo de
aplicaciones en la nube
El catálogo de aplicaciones en la nube contiene aplicaciones web. Estas aplicaciones incluyen cierta información en sus registros de aplicación. Al agregar una aplicación web al catálogo desde el catálogo de aplicaciones en la nube, se debe proporcionar información adicional para completar el registro de la aplicación. Es posible que también haya que colaborar con los representantes de la cuenta de la aplicación web para configurar otros valores necesarios.
Muchas de las aplicaciones del catálogo de aplicaciones en la nube utilizan el lenguaje Security
Assertion Markup Language (SAML 1 o SAML 2) para intercambiar datos de autenticación y autorización para verificar que los usuarios puedan acceder a una aplicación web.
Al agregar una aplicación web al catálogo, se crea una entrada que dirige indirectamente a la aplicación web. La entrada se define en el registro de aplicación, que es un formulario que incluye una URL para acceder a la aplicación web.
Se puede aplicar una directiva de acceso para controlar el acceso de los usuarios a la aplicación. Si no desea utilizar la directiva de acceso predeterminada, cree una nueva. Consulte Guía de administración de VMware Identity Manager para obtener información sobre la administración de directivas de acceso.
Procedimiento
1 En la consola de administración, haga clic en la pestaña Catálogo.
2 Haga clic en Agregar aplicación > Aplicación web ...del catálogo de aplicaciones en la nube. 3 Haga clic en el icono de la aplicación web que desee agregar.
El registro de aplicación se agregará al catálogo y aparecerá la página Detalles con el nombre y el perfil de autenticación ya especificados.
4 (Opcional) Personalice la información de la página Detalles de acuerdo a las necesidades de su organización.
Los elementos de la página se rellenan con información específica de la aplicación web. Se pueden editar algunos elementos, en función de la aplicación.
Elemento del
formulario Descripción
Nombre El nombre de la aplicación.
Descripción Una descripción de la aplicación que los usuarios pueden leer.
Requiere el navegador de VMware
Habilite esta casilla para que esta aplicación solo se abra en el navegador de VMware cuando se accede a ella a través de la aplicación Workspace ONE en dispositivos iOS y Android.
Icono Haga clic en Examinar para cargar un icono para la aplicación. Son compatibles los iconos en archivos de hasta 4 MB en formato PNG, JPG e ICON.
Los iconos de las aplicaciones que se carguen deben ser de 180 x 180 píxeles como mínimo. Si el icono es demasiado pequeño, no se mostrará. En ese caso, se muestra el icono de Workspace ONE.
Categorías Para permitir que una aplicación aparezca en una búsqueda por categoría de recursos del catálogo, seleccione una categoría en el menú desplegable. La categoría se debe haber creado anteriormente.
5 Haga clic en Guardar.
6 Haga clic en Configuración, edite los detalles de configuración del registro de aplicación y haga clic en Guardar.
Algunos elementos de la página se rellenan automáticamente con información específica de la aplicación web. Algunos de los elementos rellenados automáticamente se pueden editar y otros no. La información solicitada varía de una aplicación a otra.
Para algunas aplicaciones, el formulario tiene una sección llamada Parámetros de la aplicación. Si existe esa sección para una aplicación y alguno de sus parámetros no tiene un valor predeterminado, se deberá indicar un valor para permitir que la aplicación se inicie. Los valores predeterminados proporcionados se pueden editar.
7 Seleccione las pestañas Autorizaciones, Licencias y Aprovisionamiento y personalice la información como corresponda.
Pestaña Descripción
Autorizaciones Autorice usuarios y grupos para la aplicación. Puede configurar autorizaciones al configurar inicialmente la aplicación o en cualquier momento posterior.
Pestaña Descripción
Licencias Configure el seguimiento de licencias. Agregue información de licencias para que la aplicación haga un seguimiento del uso de licencias en los informes.
Aprovisionamiento Seleccione un adaptador de aprovisionamiento, si corresponde.
El aprovisionamiento permite la administración automática de los usuarios de la aplicación desde una única ubicación. Los adaptadores de aprovisionamiento permiten que la aplicación web recupere información específica del servicio VMware Identity Manager según se requiera. Por ejemplo, para habilitar el aprovisionamiento automático de usuarios en Google Apps, la
información de la cuenta del usuario, como nombre de usuario, nombre y apellido, debe existir en la base de datos de Google Apps. Una aplicación puede requerir otra información, como información sobre la pertenencia a un grupo o la función de autorización.
Consulte Utilizar adaptadores de aprovisionamiento para obtener más información.
Qué hacer a continuación
Para obtener información detallada sobre cómo agregar autorizaciones de usuario y de grupo para aplicaciones web, consulte Autorización de usuarios y grupos para aplicaciones web
Agregar una aplicación web al catálogo mediante la importación
de un archivo ZIP o JAR
Es posible importar al catálogo una aplicación web configurada anteriormente en el servicio
VMware Identity Manager. Por ejemplo, se puede importar una aplicación del entorno de ensayo al de producción.
Para este proceso es necesario exportar el paquete de la aplicación desde el servicio e importarlo al nuevo entorno. Es posible que no se necesite configurar nada más en la aplicación, especialmente si se han comprobado detalladamente los valores de la configuración en el entorno original. Para configurar más valores en la aplicación web después de importarla, consulte Agregar una aplicación web al
catálogo desde el catálogo de aplicaciones en la nube o Agregar una aplicación web al catálogo creando un nuevo registro de aplicaciones.
Procedimiento
1 Inicie la sesión en la consola de administración del servicio desde la que se va a exportar la aplicación web.
2 Haga clic en la pestaña Catálogo.
3 Haga clic en Cualquier tipo de aplicación > Aplicaciones web. 4 Haga clic en el icono de la aplicación web que desee exportar. 5 Haga clic en Exportar.
6 Guarde el paquete de la aplicación comprimido en el sistema local.
7 Inicie la sesión en la consola de administración del servicio al que se va a importar la aplicación web. 8 Haga clic en la pestaña Catálogo.
10 Haga clic en Examinar, desplácese a la ubicación del sistema local en la que guardó el paquete de la aplicación como un archivo ZIP, seleccione el archivo y haga clic en Enviar.
11 Edite la información de las páginas Detalles, Configuración, Directivas de acceso, Concesión de licencias y Aprovisionamiento según sea necesario.
Qué hacer a continuación
Para obtener información detallada sobre cómo agregar autorizaciones de usuario y de grupo para aplicaciones web, consulte Autorización de usuarios y grupos para aplicaciones web Para obtener más información sobre adaptadores de aprovisionamiento, consulte Utilizar adaptadores de
aprovisionamiento.
Autorización de usuarios y grupos para aplicaciones web
Después de agregar aplicaciones web a su catálogo, puede autorizar usuarios y grupos para que las utilicen.
Puede autorizar a los usuarios de VMware Identity Manager para que utilicen las aplicaciones web. Al autorizar un usuario para que use una aplicación web, este usuario puede ver la aplicación e iniciarla desde su portal Workspace ONE. Si elimina la autorización, el usuario no podrá verla ni iniciarla. En muchos casos, la manera más eficaz de autorizar usuarios para que usen aplicaciones web consiste en agregar una autorización de aplicación web a un grupo de usuarios. Sin embargo, en algunas ocasiones, es más apropiado autorizar usuarios individuales para que usen una aplicación web.
Procedimiento
2 Autorice usuarios para que usen una aplicación web.
Método Descripción
Obtener acceso a una aplicación web y autorizar usuarios o grupos para que la usen.
a Haga clic en la pestaña Catálogo.
b Haga clic en Cualquier tipo de aplicación > Aplicaciones web.
c Haga clic en la aplicación web que desee autorizar para que la usen usuarios y grupos.
La página de información de la aplicación web se muestra con la pestaña
Autorizaciones seleccionada de manera predeterminada. Las
autorizaciones de grupo y las de usuarios se muestran en tablas separadas. d Haga clic en Agregar autorización de grupo o en Agregar autorización de
usuario.
e Introduzca los nombres de los grupos o usuarios.
Para buscar usuarios o grupos, empiece a escribir una cadena de búsqueda y permita que la función de autocompletar muestre las diferentes opciones, o bien haga clic en la opción de explorar para ver toda la lista.
f El menú desplegable le permite seleccionar cómo activar la aplicación web. n La opción Automático muestra la aplicación predeterminada en la
página Programa de inicio la próxima vez que el usuario inicie sesión en el portal Workspace ONE.
n La opción Activado por el usuario pide al usuario que seleccione la aplicación en la página Catálogo del portal de Workspace ONE y que la agregue a la página Programa de inicio para activarla.
g Haga clic en Guardar.
Obtener acceso a un usuario o grupo y agregar autorizaciones de aplicación web a dicho usuario o grupo.
a Haga clic en la pestaña Usuarios y grupos.
b Haga clic en la pestaña usuarios o en la pestaña Grupos. c Haga clic en el nombre de un usuario o grupo.
d Haga clic en la pestaña Aplicaciones y, a continuación, en Agregar autorización.
e En la lista desplegable Tipo de aplicación, seleccione Aplicaciones web. f Selecciones las casillas situadas junto a las aplicaciones web que desea
autorizar para que las usen el usuario o el grupo.
g En la columna IMPLEMENTACIÓN, seleccione cómo activar cada aplicación web.
n La opción Automático muestra la aplicación predeterminada en la página Programa de inicio la próxima vez que el usuario inicie sesión en el portal Workspace ONE.
n La opción Activado por el usuario pide al usuario que seleccione la aplicación en la página Catálogo del portal de Workspace ONE y que la agregue a la página Programa de inicio para activarla.
h Haga clic en Guardar.
Utilizar adaptadores de aprovisionamiento
El aprovisionamiento permite la administración automática de los usuarios de la aplicación desde una única ubicación. Los adaptadores de aprovisionamiento permiten que las aplicaciones web recuperen información específica del servicio VMware Identity Manager cuando se requiera. Por ejemplo, para habilitar el aprovisionamiento automático de usuarios en Google Apps, la información requerida de la cuenta del usuario, como nombre de usuario, nombre y apellido, se puede obtener del servicio VMware Identity Manager.
Si el aprovisionamiento de una aplicación web está habilitado, al autorizar a un usuario a utilizar la aplicación del servicio VMware Identity Manager se aprovisiona a dicho usuario en la aplicación web. Actualmente, el servicio de VMware Identity Manager incluye adaptadores de aprovisionamiento para estas aplicaciones.
n Google Apps
Consulte Ejemplo: utilizar el adaptador de aprovisionamiento de Google Apps. n Office 365
n Socialcast
Configurar un adaptador de aprovisionamiento
Los adaptadores de aprovisionamiento están disponibles para algunas aplicaciones web. Estos adaptadores le permiten aprovisionar usuarios de VMware Identity Manager en la aplicación web.
Procedimiento
1 En la consola de administración, haga clic en la pestaña Catálogo. 2 Haga clic en la aplicación web, por ejemplo, Google Apps.
4 Configurar el aprovisionamiento.
Opción Descripción
Pestaña Configuración Configurar el adaptador de aprovisionamiento. a Haga clic en Habilitar aprovisionamiento.
b Introduzca la información de la cuenta de la aplicación web.
La información necesaria varía según la aplicación. Por ejemplo, para Google Apps, debe introducir la información de la cuenta del servicio de Google.
Pestaña Aprovisionamiento de usuario Especifique los atributos con los que aprovisionar a los usuarios en la aplicación web. Solo se usan los atributos que tienen un valor. Puede asignar los atributos a los de usuario de VMware Identity Manager o introducir otro valor. Como algunos atributos son obligatorios, deben tener un valor.
n Para especificar o cambiar el valor de un atributo, haga clic en el icono para editar que aparece junto a un atributo, seleccione o introduzca un valor y haga clic en Guardar.
Las expresiones de la lista desplegable son aquellas que aparecen en la página Administración de acceso e identidad > Configurar > Atributos de usuario. Para agregar elementos a la lista desplegable, agréguelos a la página Atributos de usuario. También puede escribir un valor directamente. Para algunos atributos, puede especificar varios valores.
n Para eliminar la asignación de un atributo, haga clic en el icono para eliminar situado junto al atributo.
Pestaña Aprovisionamiento de grupo La pestaña Aprovisionamiento de grupo aparece únicamente para los adaptadores de aprovisionamiento que son compatibles con el aprovisionamiento de grupo. Seleccione el grupo de VMware Identity Manager que desea
aprovisionar en la aplicación web e introduzca la información necesaria. Los grupos se aprovisionan inmediatamente.
Por ejemplo:
Cuando autorice a un usuario para la aplicación web en VMware Identity Manager, el usuario también se crea en la aplicación web. Si el tipo de implementación de la autorización es Automático, el usuario se aprovisiona inmediatamente. Si el tipo de implementación es Activada por el usuario, el usuario se aprovisiona cuando agrega la aplicación web a la página Programa de inicio en el portal Workspace ONE.
Los grupos se aprovisionan inmediatamente después de agregarlos a la pestaña Aprovisionamiento de grupo.
Habilitar o deshabilitar un adaptador de aprovisionamiento
Puede habilitar o deshabilitar un adaptador de aprovisionamiento de aplicaciones web después de configurarlo. Si el adaptador de aprovisionamiento está habilitado, cuando autorice a un usuario para la aplicación web en el servicio de VMware Identity Manager, el usuario también se creará en la aplicación web. Puede deshabilitar el adaptador de aprovisionamiento si no desea aprovisionar usuarios en la aplicación web.
Prerequisitos
Configuró el adaptador de aprovisionamiento.
Procedimiento
1 En la consola de administración, haga clic en la pestaña Catálogo y seleccione la aplicación web. 2 En la página Modificar aplicación, haga clic en Aprovisionar.
3 En la pestaña Configuración, seleccione la casilla Habilitar aprovisionamiento para habilitar el adaptador, o bien desmarque esta casilla para deshabilitarlo.
Ver el informe del estado de aprovisionamiento
Si el aprovisionamiento está habilitado para una aplicación web, puede ver el informe del estado de aprovisionamiento de la aplicación. El informe muestra los usuarios aprovisionados en la aplicación, el estado de aprovisionamiento de cada usuario, los mensajes de error y el resultado del último evento del usuario.
Procedimiento
1 En la consola de administración, haga clic en la flecha de la pestaña Panel de información y seleccione Informes.
2 En la página Informes, seleccione Estado de aprovisionamiento en el menú desplegable. 3 Seleccione la aplicación cuyo informe desea ver y haga clic en Mostrar.
Ejemplo: utilizar el adaptador de aprovisionamiento de Google
Apps
Es posible utilizar el adaptador de aprovisionamiento de Google Apps para aprovisionar
automáticamente a los usuarios en Google desde el servicio de VMware Identity Manager. Si el
aprovisionamiento está habilitado, cuando autorice a un usuario para utilizar Google Apps en el servicio, dicho usuario se crea en Google. También puede utilizar el adaptador para aprovisionar grupos en Google.
Configurar una cuenta del servicio de Google
Antes de poder habilitar el adaptador de aprovisionamiento de Google Apps en VMware Identity Manager, debe crear una cuenta del servicio de Google.
Procedimiento
1 Crear una cuenta del servicio de Google y sus credenciales correspondientes.
Necesitará el ID de cliente de la cuenta del servicio, la dirección de correo electrónico y el archivo de la clave privada para habilitar el aprovisionamiento.
2 Después de crear la cuenta del servicio de Google, habilite la delegación en todo el dominio de Google Apps.
a En la página de administración de las API Credenciales > Crear credenciales, haga clic en Administrar las cuentas del servicio.
b Haga clic en el junto a su cuenta del servicio y seleccione Editar.
c Seleccione la casilla Habilitar la delegación en todo el dominio de Google Apps y haga clic en Guardar.
3 Delegar la autoridad de todo el dominio de Google Apps a su cuenta del servicio a través de la página Seguridad > Configuración avanzada > Autenticación > Administrar el acceso de cliente API en la consola de administración de Google. Para obtener más información, consulte la
documentación de Google.
Cuando delegue la autoridad de todo el dominio a la cuenta del servicio, introduzca los siguientes valores en el campo Uno o más ámbitos API:
https://www.googleapis.com/auth/admin.directory.user.readonly,https://www.googlea pis.com/auth/admin.directory.user.alias.readonly,https://www.googleapis.com/aut h/admin.directory.user.alias,https://www.googleapis.com/auth/admin.directory.user ,https://www.googleapis.com/auth/admin.directory.group.readonly,https://www.googl eapis.com/auth/admin.directory.group.member.readonly,https://www.googleapis.com/a uth/admin.directory.group.member,https://www.googleapis.com/auth/admin.directory. group
Qué hacer a continuación
Configure el adaptador de aprovisionamiento de Google Apps en el servicio de VMware Identity Manager.
Configurar el adaptador de aprovisionamiento de Google Apps
Configure el adaptador de aprovisionamiento de Google Apps para aprovisionar usuarios y grupos en Google desde el servicio de VMware Identity Manager.
Si el aprovisionamiento está habilitado, cuando autorice un usuario para Google Apps en el servicio, dicho usuario también se crea en Google. También puede aprovisionar grupos en Google.
Procedimiento
1 Inicie sesión en la consola de administración de VMware Identity Manager. 2 Haga clic en la pestaña Catálogo.
3 Haga clic en Google Apps.
4 En la página Modificar aplicación, haga clic en Aprovisionar.
5 En la pestaña Configuración, configure el adaptador de aprovisionamiento.
Opción Descripción
Habilitar aprovisionamiento Seleccione esta opción.
Nombre del usuario administrador Nombre de usuario administrador de Google Apps. No incluye el nombre del dominio.
Por ejemplo: admin
Cuenta del servicio El correo electrónico cliente de la cuenta del servicio.
Puede obtener el correo electrónico cliente a partir del archivo de la clave.
Clave privada Copia y pega la clave privada de la cuenta del servicio.
Nombre de dominio Nombre del dominio de su compañía. Por ejemplo: ejemplo.com
Suspender en el desaprovisionamiento Seleccione esta opción si desea que los usuarios se suspendan de Google si elimina sus autorizaciones de Google Apps.
6 Haga clic en Probar conexión.
Si la conexión se realiza correctamente, aparece el mensaje Se realizó una conexión al servicio Google en la parte superior de la página.
7 Haga clic en Guardar.
El aprovisionamiento ahora está habilitado. Cuando autoriza un usuario para Google Apps, se creará dicho usuario si no existe en Google.
Qué hacer a continuación
Para completar la configuración del aprovisionamiento del usuario, especifique los atributos con los que aprovisionar usuarios en Google.
Aprovisionar usuarios en Google
Para aprovisionar usuarios en Google, configure el adaptador de Google Apps, habilite el
aprovisionamiento y especifique los atributos con los que quiere aprovisionar a los usuarios en Google. Está disponible una lista de atributos de Google. Especifique la asignación de los atributos que desee utilizar. Puede asignar los atributos a los de usuario de VMware Identity Manager o introducir otros valores.
Los siguientes atributos son necesarios para los usuarios aprovisionados en Google. Estos atributos tienen valores predeterminados.
n Nombre de usuario n Nombre
n Apellidos
Prerequisitos
Configuró el adaptador de aprovisionamiento de Google Apps y habilitó el aprovisionamiento. Consulte
Procedimiento
1 En la página Aprovisionamiento de Google Apps, haga clic en la pestaña Aprovisionamiento de usuario.
2 Seleccione los atributos con los que aprovisionar a los usuarios en Google al configurar los valores para ellos.
a Haga clic en el icono para editar situado junto al atributo. b Seleccione o escriba un valor.
Las expresiones de la lista desplegable son aquellas que aparecen en la página Administración de acceso e identidad > Configurar > Atributos de usuario. Si quiere agregar alguna expresión a la lista, agréguelas en la página Atributos de usuario. También puede escribir en un valor directamente.
Para algunos atributos, puede especificar varios valores. Haga clic en el icono + situado en la parte superior derecha para agregar otro valor. Por ejemplo, puede especificar varios números de teléfono con el atributo Teléfonos.
c Haga clic en Guardar.
3 Para eliminar la asignación de un atributo, haga clic en el icono para eliminar situado junto al atributo. No se usan atributos sin valores cuando los usuarios se aprovisionan en Google.
Ya está configurado el aprovisionamiento de usuarios. Cuando autoriza un usuario para Google Apps, se creará dicho usuario si no existe en Google.
NOTA: Cuando autoriza un usuario para Google Apps, si configura el tipo de implementación como Automático, el usuario se aprovisiona inmediatamente. Si establece el tipo de implementación como Activada por el usuario, este se aprovisiona cuando agrega Google Apps a la página Programa de inicio en el portal de Workspace ONE.
Aprovisionar grupos en Google
Puede aprovisionar grupos en Google desde el servicio de VMware Identity Manager con el adaptador de aprovisionamiento de Google Apps. Puede seleccionar cualquiera de los grupos de
VMware Identity Manager para aprovisionarlos, tanto si se crearon de forma local o como si se
sincronizaron desde el directorio empresarial. El grupo se crea en Google y se agregan las direcciones de correo electrónico de los miembros del grupo.
Los grupos de Google se pueden utilizar como listas de correos electrónico. También se pueden utilizar para gestionar el acceso a documentos, sitios webs, calendarios, etc.
Después de aprovisionar un grupo en Google, puede gestionarlos como otro grupo de Google. Por ejemplo, puede agregar o eliminar usuarios.
Prerequisitos
Configuró el adaptador de aprovisionamiento de Google Apps y habilitó el aprovisionamiento. Consulte
Configurar el adaptador de aprovisionamiento de Google Apps.
Procedimiento
1 En la consola de administración de VMware Identity Manager, haga clic en la pestaña Catálogo. 2 Haga clic en Google Apps.
3 En la página Modificar aplicación, haga clic en Aprovisionar.
4 En la página Aprovisionamiento, haga clic en la pestaña Aprovisionamiento de grupo. 5 Haga clic en Agregar grupo para aprovisionar.
6 En la página Agregar grupo para aprovisionar que aparece, introduzca la siguiente información.
Opción Descripción
Nombre de grupo Introduzca el nombre del grupo de VMware Identity Manager que desea aprovisionar en Google. Puede empezar a escribir para buscar un grupo.
Correo electrónico del propietario del grupo
Introduzca la dirección de correo electrónico del propietario del grupo.
Correo electrónico del grupo Introduzca una dirección de correo electrónico para el grupo de Google. Se creará el grupo en Google con dicha dirección de correo electrónico. La dirección de correo electrónico puede ser nueva o pertenecer a un grupo de Google ya existente. No debe pertenecer a un usuario.
Si un grupo con esta dirección de correo electrónico ya existe en Google, los miembros del grupo de VMware Identity Manager que seleccionó se agregan a dicho grupo.
IMPORTANTE: Asegúrese de que el dominio de la dirección de correo electrónico coincide con el dominio que especificó en el cuadro de texto Nombre del dominio en la pestaña Configuración.
7 Haga clic en Aprovisionar.
El grupo se aprovisiona en Google con el mismo nombre que el grupo de VMware Identity Manager y la dirección de correo electrónico que especificó. El estado de aprovisionamiento aparece en la pestaña Aprovisionamiento de grupo.
Qué hacer a continuación
Para comprobar que este grupo se aprovisionó en Google, siga los pasos que se indican a continuación. 1 Inicie sesión en la consola de administración de Google.
2 Haga clic en el icono Grupos.
Es posible que necesite hacer clic en MÁS CONTROLES en la parte inferior de la página para poder ver el icono Grupos.
3 Seleccione el nuevo grupo para ver los detalles.
Desaprovisionar grupos en Google
Es posible desaprovisionar los grupos de Google desde el servicio de VMware Identity Manager. Al desaprovisionar un grupo, este se elimina de Google.
Prerequisitos
Compruebe que el adaptador de aprovisionamiento de Google Apps está configurado en el servicio de VMware Identity Manager. Consulte Configurar el adaptador de aprovisionamiento de Google Apps.
Procedimiento
1 En la consola de administración de VMware Identity Manager, haga clic en la pestaña Catálogo. 2 Haga clic en Google Apps.
3 En la página Modificar aplicación, haga clic en Aprovisionamiento y, a continuación, en la pestaña Aprovisionamiento de grupo.
4 En la tabla, seleccione la casilla situada junto al grupo que desea desaprovisionar y haga clic en Desaprovisionar.
Habilitar o deshabilitar el adaptador de aprovisionamiento de Google Apps
Si el adaptador de aprovisionamiento de Google Apps está habilitado, cuando autorice un usuario para Google Apps, dicho usuario también se creará en Google. Puede deshabilitar el adaptador deaprovisionamiento si no desea aprovisionar usuarios en Google.
Procedimiento
1 En la consola de administración, haga clic en la pestaña Catálogo. 2 Haga clic en Google Apps.
3 En la página Modificar aplicación, haga clic en Aprovisionar.
4 En la página Aprovisionamiento, haga clic en la pestaña Configuración, si no está seleccionada. 5 Seleccione la casilla Habilitar aprovisionamiento para habilitar el adaptador, o bien desmarque
esta casilla para deshabilitarlo. 6 Haga clic en Guardar.
Información adicional
Hay disponible información adicional sobre la configuración del inicio de sesión único basado en SAML en aplicaciones web específicas, como Office 365 y Google Apps. Se incluye la información sobre adaptadores de aprovisionamiento, si corresponde.
de aplicaciones y escritorios de
View, Horizon 6 u Horizon 7
3
Al integrar el entorno de View, Horizon 6 u Horizon 7 de la organización con la implementación de VMware Identity Manager, los usuarios de VMware Identity Manager tendrán la posibilidad de utilizar el portal de Workspace ONE para acceder a los grupos de aplicaciones y escritorios de View para los que estén autorizados. Es posible integrar pods de View independientes, que consisten en instancias del servidor de conexión de View, y federaciones de pods, que contienen varios pods y pueden abarcar varias ubicaciones y centros de datos.
Los grupos de aplicaciones y escritorios de View se implementan y administran en la interfaz de administrador de View. Las autorizaciones para grupos y usuarios de Active Directory también se crean en View. Al integrar pods o federaciones de pods de View en el servicio VMware Identity Manager, se sincroniza la información y las autorizaciones de esos recursos con VMware Identity Manager. En la consola de administración de VMware Identity Manager, se pueden establecer las asociaciones entre usuarios y grupos y los grupos de View para los que están autorizados.
Para obtener información sobre la configuración de View, consulte la documentación de View, Horizon 6 u Horizon 7.
Versiones compatibles
VMware Identity Manager es compatible con las siguientes versiones y características.
n La integración de pods de View independientes es compatible con View 5.3 y versiones posteriores. n La integración de federaciones de pods, creadas mediante la característica de Arquitectura Cloud
Pod, es compatible con Horizon 6.2 y versiones posteriores.
n HTML Access es compatible con Horizon 6.1.1 y versiones posteriores. n El inicio de sesión único con certificado, SSO, es compatible con Horizon 7.x.
Para obtener la información de compatibilidad más reciente, consulte también la matriz de interoperabilidad de productos de VMware.
Este capítulo cubre los siguientes temas: n Integración de pods de View independientes
n Integrar implementaciones de View Arquitectura Cloud Pod (CPA)
n Ver la información de conexión de grupos de aplicaciones y escritorios de View
n Ver autorizaciones de usuarios y grupos para grupos de aplicaciones y escritorios de View n Configurar el tipo de implementación para las autorizaciones de View
n Ver las opciones de inicio de las aplicaciones y escritorios de View n Inicio de una aplicación o escritorio de View
n Permitir a los usuarios restablecer sus escritorios de View en VMware Identity Manager n Configurar directivas de acceso para aplicaciones y escritorios específicos
n Reducir el uso de recursos y aumentar el rendimiento de VMware Identity Manager Desktop en
escritorios de View no persistentes
Integración de pods de View independientes
Para integrar pods de View independientes, agregue los detalles del servidor de conexión de View en la consola de administración de VMware Identity Manager y sincronícela con este servidor de conexión. Para poder realizar cualquier tarea de integración en la consola de administración de
VMware Identity Manager, configure View. Los grupos de View se crean y configuran en View, no en VMware Identity Manager. En View también se definen autorizaciones de usuarios y grupos de Active Directory.
La integración de View implica las siguientes tareas de alto nivel. n Implementar y configurar View.
n Implementar grupos de aplicaciones y escritorios de View, con autorizaciones establecidas para usuarios y grupos de Active Directory.
n Habilitar el atributo userPrincipalName en la consola de administración de VMware Identity Manager, en la página Atributos de usuario.
n Sincronizar usuarios y grupos de Active Directory con autorización sobre grupos de View en las instancias del servidor de conexión de View al servicio de VMware Identity Manager mediante la sincronización de directorios.
Posteriormente, cuando agregue pods de View a VMware Identity Manager, también puede seleccionar la opción Realizar sincronización de directorio. Esta opción especifica que la
sincronización del directorio se debe realizar como parte de la sincronización de View cuando los usuarios y los grupos que tienen autorización para utilizar los grupos de View en las instancias del servidor de conexión de View no se encuentran en el directorio de VMware Identity Manager. n Una VMware Identity Manager al mismo dominio de Active Directory como View, si pretende
sincronizar cualquier instancia del servidor de conexión de View 5.x o usar la opción Realizar
sincronización de directorio. Ambas configuraciones utilizan una manera alternativa de sincronización para la que es necesario que se una el dominio.
n Configurar la autenticación SAML en el servidor de conexión de View. Siempre debe usar el FQDN de VMware Identity Manager en la página de configuración de autenticación.
Configurar View
Para utilizar View con VMware Identity Manager es necesario instalar y configurar primero View. VMware Identity Manager Es compatible con View 5.3 y versiones posteriores. Para obtener la
información de compatibilidad más reciente, consulte también la matriz de interoperabilidad de productos de VMware.
NOTA: El acceso HTML es compatible con Horizon 6.1.1 y versiones posteriores.
Al configurar View, asegúrese de que cumple los requisitos siguientes.
n Implemente los servidores de conexión de View en el puerto 443 predeterminado o en un puerto personalizado.
n Verifique que dispone de una entrada de DNS y una dirección IP que se pueda resolver durante la búsqueda inversa de cada servidor de conexión de View en la configuración de View.
VMware Identity Manager requiere la búsqueda inversa para los servidores de conexión de View, el servidor de seguridad de View y el equilibrador de carga. Si la búsqueda inversa no está configurada correctamente, fallará la integración de VMware Identity Manager con View.
n Implemente y configure escritorios y grupos de View con autorizaciones para usuarios y grupos de Active Directory. Asegúrese de que los usuarios tengan las autorizaciones correctas.
n Al configurar grupos de escritorios, asegúrese de establecer en la configuración de acceso remoto la opción de cerrar la sesión automáticamente después de la desconexión en 1 o 2 minutos, en lugar de inmediatamente.
n Asegúrese de crear los grupos de View en la carpeta raíz de View. Si los grupos de View se crean en una carpeta distinta a la raíz, VMware Identity Manager no podrá consultar esos pods y
autorizaciones de View.
n Se recomienda extender el periodo de caducidad de los metadatos SAML a 90 días en los servidores de conexión de View. Para obtener más información, consulte cómo cambiar el período de caducidad de los metadatos del proveedor de servicios en el servidor de conexión de conexión de View.
Unión al dominio de Active Directory
Antes de integrarlo con View, debe unir VMware Identity Manager al dominio de Active Directory usado para View si pretende sincronizar cualquier instancia del servidor de conexión de View 5.x o usar la opción Realizar sincronización de directorio. Estas configuraciones usan una forma alternativa de sincronización para la que es necesario que se una el dominio.
Prerequisitos
n Compruebe que tiene un nombre de dominio, nombre de usuario y contraseña de Active Directory con los derechos adecuados para unirse al dominio.
Consulte "Integrar con Active Directory" en Instalar y configurar VMware Identity Manager para obtener más información sobre cómo unirse a un dominio.
n Compruebe que el atributo userPrincipalName de la página Atributos de usuario de
VMware Identity Manager esté habilitado. Para obtener acceso a esta página en la consola de administración, haga clic en Administración de acceso e identidad > Configurar > Atributos de usuario.
n Compruebe que los usuarios y grupos con autorizaciones de grupo de View se sincronicen con VMware Identity Manager mediante la sincronización de directorio.
n Si corresponde, establezca una conexión multidominio o de dominios de bosques múltiples de confianza en Active Directory. Consulte Instalación y configuración de VMware Identity Manager.
Procedimiento
1 Inicie sesión en consola de administración.
2 Haga clic en Administración de acceso e identidad. 3 Haga clic en Configurar.
4 En la página Conectores, haga clic en Unirse al dominio junto al directorio correspondiente. 5 Introduzca la información del dominio de Active Directory y haga clic en Unirse al dominio. Utilice
solo caracteres ASCII para introducir la información del dominio.
Opción Descripción
Dominio Seleccione el dominio que desee unir, o bien seleccione Dominio personalizado
y escriba el nombre del dominio. Asegúrese de que introduce el nombre de dominio de Active Directory completo, como servidor.ejemplo.com.
NOTA: El FQDN de Active Directory debe estar en el mismo dominio que el servidor de conexión de View. De lo contrario, la implementación fallará.
Usuario de dominio Escriba el nombre de usuario de una cuenta de Active Directory que tenga permisos para unirse a sistemas en dicho dominio de Active Directory.
Contraseña de dominio Escriba la contraseña asociada al Nombre de usuario de AD. Esta contraseña no se almacena en VMware Identity Manager.
Unidad organizativa del dominio al que quiera unirse
(Opcional) La unidad organizativa (OU) que desea unir. Esta opción conecta el equipo a la unidad organizativa especificada en lugar de a la predeterminada del equipo.
Por ejemplo, ou=testou,dc=test,dc=example,dc=com.
6 Para configurar la integración de View en un entorno de varios dominios, compruebe que VMware Identity Manager y los servidores de View estén unidos al mismo dominio.
Qué hacer a continuación
Agregue pods de View a VMware Identity Manager.
Agregar pods de Horizon View a VMware Identity Manager y
sincronizar recursos
Puede agregar varios pods de View a VMware Identity Manager. Después de agregar los pods, configure las URL del acceso cliente para los diferentes pods.
Los pods de View se agregan en la página Grupos de View de la consola de administración de VMware Identity Manager. Puede volver a la página en cualquier momento para modificar la configuración de View o para agregar o eliminar pods de View.
Prerequisitos
En cada pod de View son necesarias las credenciales de un usuario que tenga la función de administrador.
Procedimiento
1 Inicie sesión en la consola de administración de VMware Identity Manager. 2 Haga clic en la pestaña Catálogo.
3 Haga clic en la opción para Administrar tipos de recursos y seleccione Aplicación View. 4 Seleccione la casilla Habilitar grupos de View.
5 Haga clic en Agregar pod de View en cada pod de View que desee agregar. 6 Introduzca la información de configuración específica de cada pod de View.
Servidor de conexión Introduzca el nombre de host completo de la instancia de Servidor de conexión de Horizon, por ejemplo, servidoredeconexión.ejemplo.com. El nombre de dominio debe coincidir exactamente con el nombre de dominio con el que se unió a la instancia de Servidor de conexión de Horizon.
Nombre de usuario Introduzca el nombre del usuario administrador de este pod de View. El usuario debe tener la función de administrador en View.
Contraseña Introduzca la contraseña del usuario administrador de este pod de View.
Utiliza autenticación Smart Card con otro proveedor de identidades
Si los usuarios utilizan autenticación smart card en lugar de contraseñas para iniciar la sesión en este pod de View, seleccione la casilla.
Función True SSO habilitada en Horizon View
Esta opción solo se aplica a las versiones de Horizon compatibles con la función True SSO. Si la función True SSO está configurada en View, los usuarios no necesitarán una contraseña para iniciar la sesión en sus escritorios Windows. No obstante, si los usuarios se conectan a VMware Identity Manager mediante un método de autenticación sin contraseña, como SecurID, al iniciar sus escritorios Windows se les solicitará una contraseña. Puede seleccionar esta opción para evitar que se muestre un cuadro de diálogo de contraseña a los usuarios en estos casos.
Sincronizar
autorizaciones locales
7 Desde la lista desplegable de Tipo de implementación, seleccione la manera en la que los recursos de View están a disponibilidad de los usuarios en el portal de usuario.
n Activada por el usuario: los recursos de View se agregan a la página Catálogo de Workspace ONE. Para utilizar un recurso, los usuarios deben mover el recurso desde la página Catálogo hasta la página Programa de inicio.
n Automático: los recursos de View se agregan directamente a la página Programa de inicio de Workspace ONE para que los usuarios los puedan utilizar inmediatamente.
El tipo de implementación que seleccione aquí será la configuración global que se aplique a todas las autorizaciones de los usuarios para los recursos en su integración de View. En la página de
autorizaciones del recurso puede modificar el tipo de implementación para grupos o usuarios individuales por recurso.
Se recomienda configurar el tipo de implementación global como Activada por el usuario. Ahora puede modificar la configuración para grupos o usuarios específicos por recurso.
Para obtener más información sobre la configuración del tipo de implementación, consulte la sección
Configurar el tipo de implementación para las autorizaciones de View.
8 Seleccione la casilla No sincronizar aplicaciones duplicadas para impedir que se sincronicen aplicaciones duplicadas de varios servidores.
Al implementar VMware Identity Manager en varios centros de datos, se configuran los mismos recursos en todos ellos. Al seleccionar esta opción, se evita la duplicación de los grupos de escritorios y aplicaciones en el catálogo de VMware Identity Manager.
9 Seleccione la casilla Configurar servidor de conexión 5.x si alguna de las instancias del servidor de conexión de View que configuró en esta página tiene la versión 5.x.
Al seleccionar esta opción se habilita una forma alternativa para sincronizar los recursos obligatorios para View 5.x.
NOTA: Si selecciona la opción Realizar sincronización de directorio, la opción Configurar servidor de conexión 5.x también se selecciona automáticamente, ya que ambas opciones se basan en la forma alternativa para sincronizar recursos.
10 Seleccione la casilla Realizar sincronización de directorio si desea que la sincronización del directorio se realice como parte de la sincronización de View cuando los usuarios y los grupos que tienen autorización para utilizar los grupos de View en las instancias del servidor de conexión de View no se encuentran en el directorio de VMware Identity Manager.
La opción Realizar sincronización de directorio no se aplica a las federaciones de Arquitectura Cloud Pod. Si los usuarios y los grupos con autorizaciones globales no se encuentran en el directorio de VMware Identity Manager, no se inicia la sincronización de directorio.
Los usuarios y los grupos sincronizados a través de este proceso pueden administrarse como cualquier usuario que se agregue a través de la sincronización del directorio de
VMware Identity Manager.
IMPORTANTE: La sincronización de View tarda más si utiliza la opción Realizar sincronización de directorio.
NOTA: Cuando esta opción está seleccionada, la opción Configurar servidor de conexión 5.x también se selecciona automáticamente, ya que ambas opciones se basan en una forma alternativa para sincronizar recursos.
11 En la lista desplegable Elegir la frecuencia de sincronización del grupo de View, seleccione la frecuencia con la que desea realizar la sincronización desde el servidor de conexión de View.
Puede configurar una programación de sincronización periódica o elegir sincronizar manualmente. Si elige Manualmente, deberá volver a esta página y hacer clic en Sincronizar ahora cada vez que se produzca un cambio en los recursos o autorizaciones de View.
12 En la lista desplegable Seleccionar cliente de inicio predeterminado, seleccione el cliente predeterminado en el que desee iniciar los escritorios o las aplicaciones de View.
Opción Descripción
Ninguno No se establece ninguna preferencia predeterminada en el nivel de
administrador. Si esta opción se establece en Ninguno y no se configura ninguna preferencia de usuario final, se utiliza la opción Protocolo de visualización predeterminado de View para determinar la forma en que se debe iniciar la aplicación o el escritorio.
Navegador Las aplicaciones y los escritorios de View se inician en un navegador web de forma predeterminada. Si se establecen preferencias de usuario final, esas preferencias anulan esta configuración.
Cliente Las aplicaciones y los escritorios de View se inician en Horizon Client de forma predeterminada. Si se establecen preferencias de usuario final, esas preferencias anulan esta configuración.
Esta configuración se aplica a todos los usuarios y todos los recursos en la integración de View. Se aplica el siguiente orden de prioridad, enumerado de mayor a menor, a la configuración predeterminada de inicio de cliente:
a Configuración de preferencias de usuario final que se establece en el portal de Workspace ONE. Esta opción no se encuentra disponible en la aplicación Workspace ONE.
b Configuración de administrador de Seleccionar cliente de inicio predeterminado que se establece en la página Grupos de View en la consola de administración de
VMware Identity Manager.
c Configuración de Protocolo de visualización remoto > Protocolo de visualización
predeterminado de Horizon View para el grupo de aplicaciones o escritorios que se establece en Horizon Administrator. Por ejemplo, cuando el protocolo de visualización se establece en PCoIP, la aplicación o el escritorio se inician en Horizon Client.
13 Haga clic en Guardar.
14 Haga clic en Sincronizar ahora.
Cada vez que modifique la configuración en View, como al agregar una autorización o un usuario, será necesario realizar una sincronización para propagar los cambios a VMware Identity Manager. 15 Configure las URL de acceso de cliente de los pods de View.
a Haga clic en la pestaña Administración de acceso e identidad y, a continuación, en Configuración.
b Haga clic en Rangos de redes. c Seleccione un rango de redes.
d En la página Editar rango de redes, en la sección Pod de View, introduzca el nombre de host y el número de puerto de la URL de acceso de cliente del pod de View para ese rango de redes. e En la sección Rangos de IP, especifique los rangos de IP a los que desee aplicar la
configuración.
f Haga clic en Guardar.
Consulte también Habilitación de varias URL de acceso de cliente para rangos de redes personalizados.
Configurar la autenticación SAML
Para iniciar una aplicación o un escritorio de View, Horizon 6 u Horizon 7 desde el servicio de
VMware Identity Manager y tener inicio de sesión único desde VMware Identity Manager a la aplicación o el escritorio, debe configurar la autenticación SAML en todas las instancias del servidor de conexión de View en su implementación de View.
No realice esta tarea si su organización utiliza la autenticación Smart Card para ver recursos con un proveedor de identidades externo.
Procedimiento
1 Inicie sesión en la interfaz web de View Administrator como usuario con la función de administrador asignada.
2 Configure la autenticación SAML para cada instancia del servidor de conexión de View en su implementación de View. Debe utilizar su nombre de dominio completo del servicio de VMware Identity Manager en la página de configuración del autenticador.
IMPORTANTE: View y VMware Identity Manager deben someterse a una sincronización temporal. Si View y VMware Identity Manager no se someten a una sincronización temporal, cuando intente iniciar una aplicación o un escritorio de View, aparecerá un mensaje de SAML no válido.
Qué hacer a continuación
Debe establecer y mantener una relación de confianza de SSL entre VMware Identity Manager y el servidor de conexión de View.
Establecimiento o actualización de una confianza SSL entre
VMware Identity Manager y el servidor de conexión de View
Inicialmente, debe aceptar un certificado SSL en el servidor de conexión de View para establecer una confianza entre VMware Identity Manager y el servidor de conexión de View. Si cambia un certificado SSL en el servidor de conexión de View después de la integración, debe regresar a
VMware Identity Manager y restablecer la confianza.
Prerequisitos
n Compruebe que View tenga un certificado SSL instalado. De forma predeterminada, View tiene un certificado autofirmado.
n En View, cambie el certificado del servidor de conexión de View a un certificado raíz. Consulte la documentación de VMware View para obtener información sobre la configuración de una instancia de servidor de conexión de View o servidor de seguridad para usar un certificado nuevo.
n Configure la autenticación SAML en el servidor de conexión de View. Siempre debe usar el FQDN de VMware Identity Manager en la página de configuración de autenticación.
NOTA: Si usa un proveedor de identidades externo para obtener acceso a los escritorios de View desde VMware Identity Manager, la autenticación SAML en el servidor de conexión de View se debe establecer en allowed.
Procedimiento
1 En la consola de administración de VMware Identity Manager, haga clic en la pestaña Catálogo. 2 Haga clic en la opción para Administrar tipos de recursos y seleccione Aplicación View. 3 Haga clic en el vínculo Actualizar certificado SSL junto a Grupo de servidores replicado. 4 En la página Información del certificado, haga clic en Aceptar.
Si el certificado de VMware Identity Manager cambia después de la configuración inicial, deberá aceptar de nuevo la autenticación SAML desde View. Si el certificado de View cambia, deberá aceptar el
certificado SSL en VMware Identity Manager.
Integrar implementaciones de View Arquitectura Cloud
Pod (CPA)
Además de integrar pods de View independientes con VMware Identity Manager, se pueden integrar implementaciones de arquitectura de pods en la nube (CPA) de View.
Figura 3‑1. Integrar federaciones de pods de View con VMware Identity Manager Pod 1 VCS 1 VCS 2 Replicación LDAP Pod 2 VCS 3 VCS 4 Replicación LDAP Pod 3 VCS 5 VCS 6 Replicación LDAP Federación de CPA Sitio A Sitio B Pod independiente Replicación LDAP global
VMware Identity Manager en las instalaciones
Conector Servicio
La View Arquitectura Cloud Pod vincula varios pods de View para formar un único entorno grande de administración y gestión de aplicaciones y escritorios llamado federación de pods. Una federación de pods puede abarcar varios sitios y centros de datos.
Se pueden integrar una o varias federaciones de pods en el servicio VMware Identity Manager. Tenga en cuenta que las federaciones de pods se crean y administran en View, y que las autorizaciones de
usuarios y grupos para los grupos de aplicaciones y escritorios de la federación de pods se establecen en View. Se sincronizan los recursos y autorizaciones con VMware Identity Manager.
Las federaciones de pods tienen autorizaciones globales, que permiten autorizar usuarios a utilizar escritorios y aplicaciones a los que se puede acceder desde cualquier pod de la federación. Una autorización global puede consistir en recursos de varios pods de la federación. Por ejemplo, una autorización de escritorio global puede contener grupos de escritorios de tres pods distintos en tres centros de datos diferentes. Los pods individuales de la federación de pods también pueden tener configuradas autorizaciones locales. Es posible sincronizar autorizaciones tanto locales como globales en VMware Identity Manager.
La integración de una federación de pods de View con el servicio VMware Identity Manager requiere realizar las siguientes tareas de alto nivel en la consola de administración de VMware Identity Manager: n Agregar todos los pods que forman la federación y especificar los detalles del servidor de conexión
de View de cada uno de ellos.
Aunque VMware Identity Manager puede sincronizar las autorizaciones globales de cualquiera de los pods de la federación, necesita conectarse a cada uno de ellos para sincronizar los metadatos requeridos para la autenticación SAML. También necesita conectarse a los pods para sincronizar autorizaciones locales, si corresponde.
n Agregar los detalles de la federación de pods y especificar la URL de inicio global. La URL de inicio global, que normalmente es la del equilibrador de carga global, se utiliza para iniciar escritorios y aplicaciones con autorizaciones globales.
La URL de inicio global se puede personalizar para rangos de redes específicos para, por ejemplo, acceso interno y externo.
n Sincronizar recursos y autorizaciones de la federación de pods con el servicio VMware Identity Manager.
NOTA: Solo se sincronizan las autorizaciones globales que tengan la directiva de ámbito para todas las ubicaciones en una federación de pods. La directiva de ámbito para todas las ubicaciones
establece el ámbito de la búsqueda de una aplicación o escritorio en todos los pods de la federación.
n Personalizar la URL de inicio global estableciendo direcciones URL de acceso de cliente para determinados rangos de red. Estas URL se utilizan para iniciar recursos con autorización global desde la federación de pods. De forma predeterminada, la URL de inicio global especificada al agregar la federación es la que se utiliza como URL de inicio global para todos los rangos de red. n Especificar las URL de acceso de cliente de cada pod de la federación que tenga configuradas
autorizaciones globales. Estas URL se utilizan para iniciar escritorios y aplicaciones con autorizaciones globales desde el pod. Una URL de acceso de cliente puede ser una URL de un servidor de conexión de VIew, de un servidor de seguridad o de un equilibrador de carga. Las URL de acceso de cliente se configuran para rangos de red específicos. De forma predeterminada, la URL del servidor de conexión de View especificada al agregar el pod es la que se utiliza como URL de acceso de cliente para todos los rangos de red.
Al integrar una federación de pods con el servicio VMware Identity Manager, el servicio hace lo siguiente: n Sincroniza todas las autorizaciones globales que tengan la directiva de ámbito para todas las
ubicaciones desde una federación de pods.
n Sincroniza las autorizaciones locales, si se seleccionan, desde los pods que forman parte de la federación.
n Sincroniza los metadatos de todos los servidores de conexión de View de la federación de pods. n Permite a los usuarios finales acceder a sus escritorios y aplicaciones de View desde el portal de
Workspace ONE.
Los usuarios finales pueden acceder a sus escritorios y aplicaciones de View desde el portal de Workspace ONE. Se muestran todos los recursos para los que están autorizados, ya sea mediante autorizaciones globales o locales. Las aplicaciones y escritorios se inician en Horizon Client. Cuando un usuario inicia un escritorio o una aplicación con autorización local, se inicia desde el servidor de View al que se conecta el usuario. Los recursos con autorizaciones globales se inician desde el servidor de conexión de View en el que se encuentra el recurso.
Implementación de Arquitectura Cloud Pod de ejemplo
El diagrama siguiente muestra un ejemplo de implementación de Arquitectura Cloud Pod y de cómo se integra con el servicio VMware Identity Manager.
Figura 3‑2. Ejemplo de implementación de Arquitectura Cloud Pod
Pod 1 (P1) Federación 1 (F1) Servidor de seguridad Servidor de seguridad Servidor de conexión Servidor de conexión URL E1 LB URL I1 LB URL EG LB global Pod 2 (P2) Servidor de seguridad Servidor de seguridad Servidor de conexión Servidor de conexión URL E2 LB URL I2 LB Pod 3 (P3) Servidor de conexión Servidor de conexión URL I3 LB URL IG LB global Internet Interna Conector Sincronización 1 Local Sincronización 2 Local Sincronización 3 Local Sincronización 4 Local Sincronizar API Servicio
VMware Identity Manager en las instalaciones
Este diagrama representa la implementación de una federación de pods de ejemplo. Se crea una federación de pods, llamada Federación 1, en Horizon 6. Tiene tres pods: Pod 1, Pod 2 y Pod 3. Los pods 1 y 2 se configuran con instancias de servidor de seguridad para cada servidor de conexión de View, con un equilibrador de carga externo para el acceso externo y otro interno para el acceso interno. El pod 3 se configura solo para acceso interno con un equilibrador de carga interno. La federación de pods en conjunto dispone de un equilibrador de carga global externo y de otro interno.
Los grupos de aplicaciones y escritorios se implementan en los pods. Se configuran autorizaciones globales para la federación 1 y también autorizaciones locales para cada uno de los pods.
La federación 1 está integrada con el servicio VMware Identity Manager. El servicio
VMware Identity Manager sincroniza las autorizaciones globales y locales de Federación 1. Como las autorizaciones globales se replican en cada pod, se sincronizan las autorizaciones globales de Pod 1. También se sincronizan las autorizaciones locales de Pod 1, Pod 2 y Pod 3.
Los usuarios finales pueden ver todos los escritorios y aplicaciones para los que están autorizados, ya sea mediante autorizaciones globales o locales, en el portal de Workspace ONE de
VMware Identity Manager. Cuando un usuario inicia un escritorio o una aplicación, si forma parte de una autorización global, la solicitud de inicio pasa al equilibrador de carga global interno o externo, URL EG o URL IG, de acuerdo con el rango de red del usuario. Si el recurso pertenece a una autorización local, la solicitud de inicio va al equilibrador de carga interno o externo del pod en el que se implementó el recurso, según el rango de red del usuario. Por ejemplo, para un recurso en Pod 2, la solicitud va a la URL I2 o a la URL E2.
Requisitos para integrar federaciones de pods de View
Para integrar federaciones de pods de View VMware Identity Manager se requiere lo siguiente.
n VMware Identity Manager es compatible con la característica de arquitectura de pods en la nube en Horizon 6.2 y versiones posteriores, tanto para aplicaciones como para escritorios.
n Se puede integrar un máximo de 10 federaciones de pods en el servicio VMware Identity Manager. Cada federación puede contener hasta 7 pods.
n Implemente instancias del servidor de conexión de View en el puerto predeterminado 443 o en uno personalizado.
n Verifique que dispone de una entrada de DNS y una dirección IP que se pueda resolver durante la búsqueda inversa de cada instancia del servidor de conexión de View en el entorno de View. VMware Identity Manager requiere la búsqueda inversa para las instancias del servidor de conexión de View, el servidor de seguridad de View y el equilibrador de carga. Si la búsqueda inversa no está configurada correctamente, fallará la integración de VMware Identity Manager con View.
n El conector de VMware Identity Manager, un componente del servicio, debe poder acceder a todas las instancias del servidor de conexión de View en la federación de pods.
n Todas las instancias del servidor de conexión de View de la federación de pods deben tener configurada la misma autenticación SAML, con el servicio VMware Identity Manager especificado como proveedor de identidades. Se debe utilizar el nombre de dominio plenamente cualificado del servicio como parte de la URL.
Consulte Configurar la autenticación SAML para obtener más información.
Se recomienda extender el periodo de caducidad de los metadatos SAML a 90 días en las instancias del servidor de conexión de View. Para obtener más información, consulte cómo cambiar el período de caducidad de los metadatos del proveedor de servicios en el servidor de conexión de conexión de View.
n Los certificados del servidor de conexión de View se sincronizarán con VMware Identity Manager. n Implemente grupos de aplicaciones y escritorios en los pods de View.
n Al configurar grupos de escritorios, asegúrese de establecer en la configuración de acceso remoto la opción de cerrar la sesión automáticamente después de la desconexión en 1 o 2 minutos, en lugar de inmediatamente.