) - VMware Identity Manager...Configurazione delle impostazioni di VMware Identity Manager per...

Configurazione dellerisorse in VMwareIdentity Manager (cloud)APR 2019VMware Identity Manager

Configurazione delle risorse in VMware Identity Manager (cloud)

VMware, Inc. 2

È possibile trovare la documentazione tecnica più aggiornata sul sito Web di VMware all'indirizzo:

https://docs.vmware.com/it/

Il sito Web di VMware fornisce, inoltre, gli ultimi aggiornamenti di prodotto.

In caso di commenti sulla presente documentazione, inviare un messaggio all'indirizzo:

[email protected]

Copyright © 2015–2019 VMware, Inc. Tutti i diritti riservati. Informazioni sul copyright e sul marchio commerciale.

VMware, Inc.3401 Hillview Ave.Palo Alto, CA 94304www.vmware.com

VMware, Inc.Centro Leoni Palazzo AVia Spadolini 5Ground FloorMilan, MI 20121tel: +39 02 30412700fax: +39 02 30412701www.vmware.com/it

https://docs.vmware.com/it/

mailto:[email protected]

http://pubs.vmware.com/copyright-trademark.html

Sommario

Configurazione delle risorse in VMware Identity Manager (SaaS) 6

1 Introduzione alla configurazione delle risorse in VMware Identity Manager 7

2 Consentire l'accesso alle applicazioni Web 9

Aggiunta di un'applicazione Web al catalogo 10

Assegnazione di utenti e gruppi a un'applicazione Web 15

Modifica di un'applicazione Web 16

Copia di un'applicazione Web 17

Esportazione di un'applicazione Web 18

Importazione di un'applicazione Web 18

Eliminazione di un'applicazione Web dal catalogo 18

Creazione e selezione di categorie per le applicazioni 19

Aggiunta di più tenant di app Web 19

Aggiunta di applicazioni OpenID Connect al catalogo 21

Utilizzo degli adattatori di provisioning 24

Gestione delle impostazioni delle app Web 25

Informazioni aggiuntive 25

3 Utilizzo delle raccolte di app virtuali per le integrazioni di desktop 26

Informazioni sulle raccolte di app virtuali 26

Migrazione delle configurazioni esistenti in Raccolta app virtuali 29

Creazione di raccolte di app virtuali 31

Modifica delle raccolte di app virtuali 34

Sincronizzazione di raccolte di app virtuali 35

Monitoraggio delle raccolte di app virtuali 36

Eliminazione delle raccolte di app virtuali 38

4 Concessione dell'accesso a pool di desktop e applicazioni di Horizon 7 o

Horizon 6 40Scenario di distribuzione 41

Progettazione di integrazione di Horizon ad alto livello 42

Informazioni sull'integrazione di pod Horizon indipendenti 44

Informazioni sull'integrazione di distribuzioni Cloud Pod Architecture (CPA) di Horizon Cloud 45

Configurazione di pod Horizon e federazioni di pod in VMware Identity Manager 50

Impostazione dei nomi di dominio completi di accesso al client per gli intervalli di rete 58

Avvio delle risorse di Horizon tramite gateway di convalida 60

VMware, Inc. 3

Visualizzazione delle informazioni dei pool di applicazioni e desktop di Horizon in

VMware Identity Manager 61

Visualizzazione delle assegnazioni di utenti e gruppi per i pool di desktop e applicazioni di Horizon 62

Impostazione di criteri di accesso per applicazioni e desktop specifici 63

Come consentire agli utenti di reimpostare i desktop di Horizon dal catalogo di Workspace ONE 64

Visualizzazione delle opzioni di avvio per applicazioni e desktop di Horizon 65

Avvio di un desktop o di un'applicazione di Horizon 67

5 Fornire accesso a desktop e applicazioni di VMware Horizon Cloud Service 68

Integrazione di desktop e applicazioni di Horizon Cloud 69

Visualizzazione delle informazioni sui pool di desktop e applicazioni di Horizon Cloud in

VMware Identity Manager 79

Visualizzazione delle assegnazioni di utenti e gruppi per i desktop e le applicazioni di

Horizon Cloud 80


Permettere agli utenti di reimpostare desktop Horizon Cloud 81

Esecuzione di un desktop o un'applicazione di Horizon Cloud 82

6 Consentire l'accesso a pacchetti VMware ThinApp 84

Integrazione di pacchetti VMware ThinApp 85

Autorizzazione di utenti e gruppi per i pacchetti ThinApp 97

Distribuzione e gestione di pacchetti ThinApp con VMware Identity Manager 99

Aggiornamento di pacchetti ThinApp gestiti dopo la distribuzione in VMware Identity Manager 103

Impostazione dei pacchetti ThinApp come compatibili con VMware Identity Manager 110

Modifica della cartella di condivisione dei pacchetti ThinApp 112


7 Configurazione di VMware Identity Manager Desktop 114

Opzioni del programma d'installazione da riga di comando per VMware Identity Manager Desktop 115

Installazione dell'applicazione VMware Identity Manager Desktop con impostazioni uguali in più

sistemi Windows 121

Aggiunta dei file del programma di installazione di VMware Identity Manager Desktop alle

appliance virtuali di VMware Identity Manager 123

Utilizzo dell'applicazione da riga di comando hws-desktop-ctrl.exe 124

8 Consentire l'accesso a risorse pubblicate Citrix 126

Panoramica dell'integrazione delle risorse pubblicate da Citrix 126

Componenti di richiesti per l'integrazione di Citrix 128

Progettazione integrazione di alto livello 129

Prerequisiti per l'integrazione di Citrix 133

Configurazione di server farm Citrix in VMware Identity Manager 161

Configurazione di avvio di risorse Citrix in VMware Identity Manager 168


VMware, Inc. 4

Configurazione delle impostazioni di VMware Identity Manager per l'integrazione di Citrix 173

Impatto dell'aggiornamento sull'integrazione di risorse pubblicate da Citrix 179

9 Consentire l'accesso ad applicazioni gestite dalla terza parte in

Workspace ONE 180Aggiungere un'origine dell'applicazione al catalogo di Workspace ONE 181

Autorizzare gli utenti per l'origine dell'applicazione 182

Aggiungere applicazioni gestite dall'origine dell'applicazione 183

10 Risoluzione dei problemi relativi alla configurazione delle risorse di

VMware Identity Manager 185Risoluzione dei problemi di avvio 185

Risoluzione dei problemi di integrazione di ThinApp 185

Risoluzione dei problemi di integrazione di Horizon 188

Risoluzione dei problemi di integrazione delle risorse pubblicate da Citrix 189


VMware, Inc. 5

Configurazione delle risorse inVMware Identity Manager (SaaS)

Configurazione delle risorse in VMware Identity Manager fornisce informazioni sull'aggiunta di risorse alcatalogo di VMware Identity Manager e sul renderle disponibili ai sistemi degli utenti, come ad esempiodai loro desktop e dai dispositivi mobili. Le risorse supportate includono applicazioni Web, desktop eapplicazioni di VMware Horizon®, desktop e applicazioni di VMware Horizon® Cloud Service™, risorsepubblicate da Citrix e pacchetti VMware ThinApp®.

DestinatariQueste informazioni sono dirette a chiunque configuri e amministri le risorse per il servizioVMware Identity Manager. Sono scritte per amministratori di sistema Windows o Linux esperti che hannofamiliarità con la tecnologia delle macchine virtuali e le operazioni di data center.

VMware, Inc. 6

Introduzione alla configurazionedelle risorse inVMware Identity Manager 1Per consentire agli utenti di accedere alle risorse supportate, è necessario configurare le risorse nellaconsole di VMware Identity Manager. Tranne le applicazioni Web, ogni tipo di risorsa richiedel'integrazione di VMware Identity Manager con un altro prodotto o componente.

È possibile integrare con VMware Identity Manager i seguenti tipi di risorse:

n App Web

n App virtualin Applicazioni e desktop di VMware Horizon® Cloud Service™

n Pool di desktop e applicazioni di VMware Horizon® 7 e Horizon 6

n Risorse pubblicate da Citrix

n Applicazioni compresse VMware ThinApp®

Nota L'integrazione con le applicazioni in pacchetto ThinApp è supportata solo con il connettoredi VMware Identity Manager per Linux. Non è supportata con il connettore per Windows.

È possibile integrare queste risorse dalla scheda Catalogo nella console di VMware Identity Manager.

n Per integrare applicazioni Web, utilizzare la scheda Catalogo > App Web.

n Per integrare e gestire pool di desktop e applicazioni di Horizon, desktop e applicazioni di HorizonCloud, risorse pubblicate da Citrix o applicazioni in pacchetti ThinApp, utilizzare le schede Catalogo> Raccolta app virtuali e Catalogo > App virtuali. È possibile configurare le integrazioni nellapagina Catalogo > Raccolta app virtuali e visualizzare le risorse sincronizzate nella paginaCatalogo > App virtuali.

VMware, Inc. 7

È possibile gestire le impostazioni per le risorse integrate dalle pagine seguenti.

n Le impostazioni globali sono disponibili nella scheda Catalogo > Impostazioni.

n Le impostazioni per le applicazioni Web sono disponibili dal pulsante Impostazioni nella schedaCatalogo > App Web.

n Le impostazioni per Horizon, Horizon Cloud, ThinApp e le risorse pubblicate da Citrix sono disponibilidal pulsante Impostazioni nella scheda Catalogo > App virtuali.

È inoltre possibile gestire le impostazioni per applicazioni singole facendo clic sull'applicazione nellapagina Catalogo > App Web o Catalogo > App virtuali e facendo clic su Modifica.


VMware, Inc. 8

Consentire l'accesso alleapplicazioni Web 2È possibile aggiungere applicazioni Web al catalogo di VMware Identity Manager e assegnarle a utenti egruppi per consentire agli utenti di accedervi dall'app o dal portale di Workspace ONE. Abilitare SingleSign-On (SSO) per le applicazioni utilizzando un protocollo di federazione, come ad esempio SAML 2.0,per configurare le applicazioni.

È possibile applicare criteri di accesso alle applicazioni per controllare l'accesso degli utenti in base aicriteri, come ad esempio tipo di dispositivo o all'intervallo di rete dell'utente. È possibile creare criteri diaccesso per una singola applicazione, per un set di applicazioni o per tutte le applicazioni nel catalogo.Quando si aggiunge un'applicazione al catalogo, si seleziona il criterio di accesso da utilizzare.

È anche possibile impostare un flusso di approvazione in modo che gli utenti debbano richiederel'accesso a un'applicazione e che la richiesta debba essere approvata prima di poter utilizzarel'applicazione.

È possibile aggiungere i seguenti tipi di applicazioni Web al catalogo:

n Applicazioni SAML 2.0

n Applicazioni SAML 1.1

SAML 1.1 è uno standard di autenticazione SAML precedente. Per maggiore sicurezza, èconsigliabile implementare SAML 2.0.

n Applicazioni WS-Federation 1.2

n Applicazioni OpenID Connect

n Applicazioni che non utilizzano un protocollo di federazione

n Applicazioni associate a fornitori di identità di terze parti quali Okta, Ping e ADFS.

Per aggiungere queste applicazioni, è necessario prima configurare il fornitore di identità di terze particome origine di applicazioni in VMware Identity Manager. Vedere

Capitolo 9Consentire l'accesso ad applicazioni gestite dalla terza parte in Workspace ONE perinformazioni.

Prima di impostare le applicazioni Web nel catalogo, prendere in considerazione i seguenti aspetti.

n Se si configura l'applicazione Web per utilizzare un protocollo di federazione, utilizzare SAML 2.0,SAML 1.1, WS-Federation 1.2 o OpenID Connect. La configurazione dell'applicazione Web per l'usodi un protocollo di federazione non è un requisito.

VMware, Inc. 9

n Gli utenti a cui si intende concedere il permesso di accedere all'applicazione Web devono essereutenti registrati di tale applicazione. In alternativa, è possibile configurare l'adattatore di provisioningper l'applicazione, se disponibile, in modo che esegua il provisioning degli utenti diVMware Identity Manager nell'applicazione.

n Se l'applicazione Web è un'applicazione multitenant, il servizio indirizzerà all'istanza dell'applicazione.

Requisiti dei ruoli per la gestione di applicazioni WebI seguenti ruoli possono gestire le applicazioni Web:

n Super amministratore

n Ruolo di amministratore personalizzato con la seguente configurazione:

Servizio: Catalogo

Azioni: Gestisci applicazioni Web, Gestisci origini app, Gestisci app di terze parti, come applicabile

Risorse: Tutte le risorse o risorse specifiche, come applicabile

Per assegnare applicazioni a utenti e gruppi, il ruolo deve includere l'azione Gestisci permessi.

Per ulteriori informazioni sui ruoli, vedere "Gestione dei ruoli di amministratore" in Amministrazione diVMware Identity Manager.

Questo capitolo include i seguenti argomenti:

n Aggiunta di un'applicazione Web al catalogo

n Assegnazione di utenti e gruppi a un'applicazione Web

n Modifica di un'applicazione Web

n Copia di un'applicazione Web

n Esportazione di un'applicazione Web

n Importazione di un'applicazione Web

n Eliminazione di un'applicazione Web dal catalogo

n Creazione e selezione di categorie per le applicazioni

n Aggiunta di più tenant di app Web

n Aggiunta di applicazioni OpenID Connect al catalogo

n Utilizzo degli adattatori di provisioning

n Gestione delle impostazioni delle app Web

n Informazioni aggiuntive

Aggiunta di un'applicazione Web al catalogoÈ possibile aggiungere applicazioni Web al catalogo selezionandole dal catalogo di applicazioni cloudoppure creando nuove applicazioni.


VMware, Inc. 10

Il catalogo di applicazioni cloud contiene le applicazioni Web aziendali di uso comune. Questeapplicazioni sono configurate parzialmente ed è necessario fornire informazioni aggiuntive percompletare il record dell'applicazione. Il completamento della configurazione rimanente necessariapotrebbe richiedere anche la collaborazione dei rappresentanti degli account dell'applicazione Web.

Molte delle applicazioni nel catalogo di applicazioni cloud utilizzano SAML 2.0 o 1.1 per scambiare dati diautenticazione e autorizzazione per abilitare l'autenticazione Single Sign-On da Workspace ONEall'applicazione Web.

Quando si crea una nuova applicazione, è necessario immettere tutte le informazioni di configurazioneper l'applicazione. La configurazione varia in base al tipo di applicazione che si sta aggiungendo. Per leapplicazioni senza protocollo di federazione, è necessario solo un URL di destinazione.

Le applicazioni di provider di identità di terze parti configurati come origini di applicazioni in VMwareIdentity Manager vengono aggiunte come nuove applicazioni.

Quando si aggiunge un'applicazione, si seleziona anche un criterio di accesso per controllare l'accessodegli utenti all'applicazione. È disponibile un criterio di accesso predefinito ed è anche possibile crearenuovi criteri dalla pagina Gestione identità e accessi > Gestisci > Criteri. Per informazioni sui criteri diaccesso, vedere Amministrazione di VMware Identity Manager.

Prerequisiti

n Ottenere le informazioni di configurazione per l'applicazione.

n Creare un criterio di accesso se non si desidera utilizzare il criterio di accesso predefinito. È possibilecreare criteri di accesso dalla pagina Gestione identità e accessi > Gestisci > Criteri.

n Creare categorie se si desidera raggruppare applicazioni in categorie. È disponibile una categoriapredefinita Consigliato. È possibile creare categorie dalla pagina Catalogo > App Web facendo clicsu Categorie e digitando il nome della categoria nella casella di testo.

n Creare gruppi di utenti, se necessario. È possibile creare gruppi dalla scheda Utenti e gruppi >Gruppi.

Procedura

1 Nella console di VMware Identity Manager, selezionare la scheda Catalogo > App Web .

2 Fare clic su Nuovo.

Viene visualizzata la procedura guidata per la nuova applicazione SaaS.

3 Selezionare un'applicazione dal catalogo di applicazioni cloud o crearne una nuova.

n Per selezionare un'applicazione dal catalogo di applicazioni cloud, digitarne il nome nella caselladi ricerca oppure fare clic su "o sfoglia nel catalogo" e selezionarla nell'elenco delleapplicazioni.

I campi nelle pagine della definizione e della configurazione sono popolati parzialmente.

n Per creare una nuova applicazione, immetterne il nome nel campo Nome.


VMware, Inc. 11

4 Nella pagina Definizione, immettere le informazioni necessarie.

Opzione Descrizione

Nome Immettere un nome univoco per l'applicazione.

Descrizione (Facoltativo) Inserire una descrizione dell'applicazione.

Icona (Facoltativo) Caricare un'icona per l'applicazione. Sono supportate icone neiformati di file PNG, JPG e ICON, con dimensione massima di 4MB.

L'icona deve essere almeno 180 x 180 pixel. Se l'icona è troppo piccola non verràvisualizzata. In questo caso, viene visualizzata l'icona di Workspace ONE.

Categoria (Facoltativo) Per aggiungere l'applicazione a una categoria, selezionarla dalmenu a discesa. Le categorie devono essere già state create.

È disponibile una categoria predefinita Consigliato. Selezionarla se si desiderache l'applicazione venga visualizzata nella pagina Consigliato in Workspace ONE.Se si desidera che l'app venga visualizzata nella pagina Segnalibri degli utenti,selezionare la categoria Consigliato e nella pagina Catalogo > Impostazioni >Configurazione portale utente, selezionare Mostra app consigliate nellascheda Segnalibri.

5 Fare clic su Avanti.

6 Nella pagina Configurazione, immettere i dettagli della configurazione dell'applicazione.

Per le applicazioni che vengono aggiunte dal catalogo di applicazioni cloud, alcuni campi sonoprecompilati con informazioni specifiche per ogni applicazione Web. Alcuni elementi precompilatisono modificabili, mentre altri non lo sono. Le informazioni necessarie variano da applicazione adapplicazione.


VMware, Inc. 12

Per le applicazioni che vengono aggiunte come nuove applicazioni, i campi variano in base al tipo diautenticazione selezionato.

Per informazioni su campi specifici, fare clic sull'icona delle informazioni accanto al campo.

Opzione Descrizione

Single Sign-On Tipo di autenticazionePer le applicazioni che vengono aggiunte dal catalogo di applicazioni cloud, il tipodi autenticazione è preselezionato. Per le nuove applicazioni, selezionare il tipo diautenticazione, se applicabile. Se l'applicazione non utilizza un protocollo difederazione, selezionare Collegamento applicazione Web.

Sono disponibili le seguenti opzioni:n SAML 2.0

Se l'applicazione Web supporta SAML 2.0, uno standard basato su XML perlo scambio sicuro di informazioni di autenticazione e autorizzazione,selezionare questa opzione per abilitare Single Sign-On da Workspace ONEall'applicazione.

n SAML 1.1

Se l'applicazione Web supporta SAML 1.1, selezionare questa opzione perabilitare Single Sign-On da Workspace ONE all'applicazione.

n WSFed 1.2

Se l'applicazione Web supporta l'autenticazione WS-Federation 1.2,selezionare questa opzione per abilitare Single Sign-On da Workspace ONEall'applicazione.

n OpenID Connect

Se l'applicazione supporta OpenID Connect, un protocollo di autenticazionebasato sul protocollo OAuth 2.0, selezionare questa opzione per abilitareSingle Sign-On da Workspace ONE all'applicazione.

n Tutti i provider di identità di terze parti configurati come origini di applicazioniin VMware Identity Manager, ad esempio Okta.

Selezionare questa opzione per aggiungere un'applicazione da un'origine diapplicazioni. Le origini di applicazioni vengono visualizzate nell'elenco solo sesono già configurate nella pagina delle impostazioni delle app Web. Quandosi seleziona un'origine di applicazioni, è sufficiente immettere l'URL didestinazione dell'applicazione dato che la parte restante della configurazioneè già stata completata nell'origine di applicazioni.

n Collegamento applicazione Web

Selezionare questa opzione se l'applicazione non utilizza un protocollo difederazione. È sufficiente immettere l'URL di destinazione dell'applicazione.

ConfigurazioneI campi visualizzati variano in base al tipo di autenticazione selezionato. Fare clicsull'icona delle informazioni per visualizzare una descrizione di ciascun campo.

Se si seleziona un'origine di applicazioni o Collegamento applicazione Web, èsufficiente immettere solo l'URL di destinazione dell'applicazione.

Parametri dell'applicazione Per le applicazioni aggiunte dal catalogo di applicazioni cloud, potrebbero essereelencati parametri. Se un parametro è nell'elenco e non ha un valore predefinito,immettere un valore per consentire l'avvio dell'applicazione. Se è fornito un valorepredefinito questo può essere modificato.


VMware, Inc. 13

Opzione Descrizione

Per le nuove applicazioni, aggiungere i parametri necessari.

Nota Questa sezione non viene visualizzata quando come tipo di autenticazionesono selezionati OpenID Connect, un'origine di applicazioni o Collegamentoapplicazione Web.

Proprietà avanzate Le proprietà avanzate includono le opzioni per firmare e crittografare le asserzionie le risposte SAML e un'opzione per abilitare la notifica di un errore diautenticazione per inviare una risposta SAML al provider di servizi quandol'autenticazione non riesce. Le proprietà che è possibile configurare variano inbase al tipo di autenticazione selezionato. Fare clic sull'icona delle informazioniper visualizzare una descrizione di ciascun campo.

Nota Questa sezione non viene visualizzata quando come tipo di autenticazionesono selezionati OpenID Connect, un'origine di applicazioni o Collegamentoapplicazione Web.

Apri in VMware Browser Selezionare questa opzione se si desidera che l'app Workspace ONE apral'applicazione in VMware Browser, che offre un'alternativa sicura al browser Webnativo.


8 Nella pagina Criteri di accesso, selezionare il criterio di accesso per gestire l'accesso degli utentiall'applicazione.

Il criterio default_access_policy_set è selezionato per impostazione predefinita.

9 Nella pagina Riepilogo, rivedere le selezioni e fare clic su Salva oppure su Salva e assegna perassegnare l'applicazione a utenti e gruppi.

Se non si assegna l'applicazione ad alcun utente o gruppo, è possibile farlo in un secondo momentoselezionando l'applicazione nella pagina Catalogo > App Web e facendo clic su Assegna.

10 Se si fa clic su Salva e assegna, assegnare l'applicazione a utenti e gruppi.

a Aggiungere utenti e gruppi digitandone il nome nella casella di ricerca e selezionandolo neirisultati.

b Selezionare il tipo di distribuzione per ciascun utente e gruppo.

Indipendentemente dal fatto che si selezioni l'opzione Attivata dall'utente o Automatica,l'applicazione viene visualizzata nella pagina Catalogo in Workspace ONE. Gli utenti possonoeseguire l'applicazione dalla pagina Catalogo o aggiungere un segnalibro all'applicazione edeseguirla dalla pagina Segnalibri. Se si intende configurare un flusso di approvazione perl'applicazione, selezionare Attivata dall'utente.

c Fare clic su Salva.

L'applicazione viene aggiunta al catalogo e viene visualizzata nell'elenco delle applicazioni nella schedaCatalogo > App Web.


VMware, Inc. 14

Assegnazione di utenti e gruppi a un'applicazione WebDopo aver aggiunto applicazioni Web al catalogo, è possibile assegnarle a utenti e gruppi.

Quando si autorizza un utente a un'applicazione Web, l'utente può visualizzare e avviare l'applicazionedall'app o dal portale Workspace ONE. Se si rimuove il permesso dell'utente, questo non potrà vedere néavviare l'applicazione.

In molti casi, il modo più efficace per autorizzare gli utenti è per assegnare le applicazioni Web a ungruppo di utenti.

Prerequisiti

Creare gruppi, se necessario. È possibile creare gruppi dalla scheda Utenti e gruppi > Gruppi.

Procedura

1 Accedere alla console di VMware Identity Manager.


VMware, Inc. 15

2 Autorizzare gli utenti a un'applicazione Web.

Metodo Descrizione

Accedere a un'applicazione Web eassegnarla a utenti o gruppi

a Selezionare la scheda Catalogo > App Web.

b Fare clic sull'applicazione Web.

c Fare clic su Assegna.

d Selezionare utenti e gruppi digitando il nome nella casella di ricerca eselezionandoli dai risultati.

e Selezionare il tipo di distribuzione per ciascun utente e gruppo.

Indipendentemente dalla selezione o meno dell'opzioen Attivata dall'utenteo Automatica, l'applicazione viene aggiunta alla pagina Catalogo inWorkspace ONE. Gli utenti possono eseguire l'applicazione dalla paginaCatalogo o creare un segnalibro che punta a essa per eseguirla dalla paginadei segnalibri. Tuttavia, se si desidera impostare un flusso di approvazioneper l'applicazione, selezionare Attivata dall'utente.

f Fare clic su Salva.

Accedere a un utente o gruppo eaggiungere i permessi perl'applicazione Web all'utente o algruppo.

a Fare clic sulla scheda Utenti e gruppi.b Selezionare la scheda Utenti o la scheda Gruppi.c Fare clic sul nome di un utente o gruppo.

d Fare clic sulla scheda App, quindi su Aggiungi permesso.

e Nell'elenco a discesa Tipo di applicazione, selezionare Applicazioni Web.

f Selezionare le caselle di controllo corrispondenti alle applicazioni Web per cuisi desidera autorizzare l'utente o il gruppo.

g Nella colonna DISTRIBUZIONE selezionare la modalità di attivazione di ogniapplicazione Web.


h Fare clic su Salva.

L'utente o il gruppo selezionato ora ha il permesso di utilizzare l'applicazione Web.

Modifica di un'applicazione WebÈ possibile modificare tutte le applicazioni Web aggiunte al catalogo di VMware Identity Manager. Èpossibile modificare la definizione dell'applicazione, la configurazione, il criterio di accesso e leassegnazioni degli utenti.

Procedura


2 Fare clic sull'applicazione da modificare.

3 Fare clic su Modifica.


VMware, Inc. 16

4 Seguire la procedura guidata Modifica applicazione SaaS per modificare l'applicazione comerichiesto.

Il processo è uguale a quello per la creazione di una nuova applicazione. Vedere Aggiunta diun'applicazione Web al catalogo.

Copia di un'applicazione WebÈ possibile creare una copia di un'applicazione Web nel catalogo e modificarla in modo da creare unanuova applicazione. La copia di un'applicazione è utile quando si desidera aggiungere un'altraapplicazione con una configurazione simile o quando si aggiungono più tenant di un'applicazione.

Procedura


2 Fare clic sull'applicazione che si desidera copiare.

3 Fare clic su Copia.

4 Seguire la procedura guidata Copia applicazione SaaS per configurare la nuova applicazione.

a Assicurarsi di immettere un nuovo nome per l'applicazione copiata. Per impostazione predefinita,il nome viene cambiato in applicationName_Copy.

b Modificare la configurazione di base alle necessità.

Il processo è uguale a quello per la creazione di una nuova applicazione. Vedere Aggiunta diun'applicazione Web al catalogo.


5 Nella pagina Riepilogo, rivedere le selezioni e fare clic su Salva oppure su Salva e assegna perassegnare l'applicazione a utenti e gruppi. Le assegnazioni di utenti e gruppi dall'applicazioneoriginale non vengono copiate alla nuova applicazione.








VMware, Inc. 17

Esportazione di un'applicazione WebÈ possibile esportare e importare un'applicazione Web da un'istanza di VMware Identity Manager aun'altra. Ad esempio si può scegliere di importare un'applicazione dall'ambiente di gestione temporaneaall'ambiente di produzione.

Questo processo prevede l'esportazione del pacchetto applicazione da un'istanza e la sua importazionenell'altra. L'applicazione potrebbe non richiedere ulteriore configurazione, specialmente se è stata testataapprofonditamente nell'ambiente originario.

Procedura

1 Accedere alla console dell'istanza di VMware Identity Manager da cui esportare un'applicazione Web.

2 Selezionare la scheda Catalogo > App Web.

3 Fare clic sull'applicazione che si desidera esportare.

4 Fare clic su Esporta.

Il pacchetto dell'applicazione viene scaricato nel sistema come file zip.

Operazioni successive

Importare il pacchetto applicazione nell'istanza di VMware Identity Manager in cui si desidera utilizzarlo.

Importazione di un'applicazione WebÈ possibile esportare e importare un'applicazione Web da un'istanza di VMware Identity Manager aun'altra. Ad esempio si può scegliere di importare un'applicazione dall'ambiente di gestione temporaneaall'ambiente di produzione.

Prerequisiti

L'applicazione è stata esportata da un'altra istanza di VMware Identity Manager.

Procedura

1 Accedere alla console dell'istanza di VMware Identity Manager in cui importare un'applicazione Web.

2 Selezionare la scheda Catalogo > App Web.

3 Fare clic su Altro > Importa.

4 Selezionare il file zip dell'applicazione e fare clic su Apri.

L'applicazione viene caricata.

Eliminazione di un'applicazione Web dal catalogoÈ possibile eliminare applicazioni Web dal catalogo di VMware Identity Manager che non occorre piùfornire agli utenti. Quando si elimina un'applicazione, questa non è più disponibile a tutti gli utenti inWorkspace ONE.


VMware, Inc. 18

Procedura


2 Fare clic sull'applicazione da eliminare.

3 Fare clic su Elimina.

Creazione e selezione di categorie per le applicazioniÈ possibile raggruppare le applicazioni Web in categorie per rendere più semplice la ricerca delleapplicazioni. Ad esempio, è possibile creare una categoria denominata Benefit e assegnare a essa leapplicazioni stipendio, assicurazione e 401K.

In aggiunta alle categorie create, è disponibile anche una categoria Consigliato. Selezionare questacategoria per le applicazioni che si desidera aggiungere alla pagina Consigliato in Workspace ONE. Èpossibile utilizzare la categoria Consigliato anche per posizionare applicazioni specifiche direttamentenelle pagine dei segnalibri degli utenti. Eseguire questa operazione selezionando la categoriaConsigliato per le applicazioni e quindi selezionando Mostra app consigliate nella scheda Segnalibrinella pagina Impostazioni > Catalogo > Configurazione portale utente.

Esistono diversi modi per selezionare categorie per le applicazioni.

n Selezionare le categorie durante l'aggiunta di un'applicazione nel catalogo, se le categorie sono giàstate create.

n Modificare un'applicazione per selezionare le categorie.

n Associare categorie a più applicazioni contemporaneamente dalla scheda Catalogo > App Web.

Procedura


2 Fare clic su Categorie.

3 Nella casella di testo visualizzata, digitare un nome per la nuova categoria e selezionare Aggiungicategoria newCategoryName.

4 Assegnare applicazioni alla la categoria.

a Nella scheda Catalogo > App Web, selezionare le applicazioni da aggiungere alla categoria.

b Fare clic sul menu a discesa Categorie e selezionare la categoria creata.

Aggiunta di più tenant di app WebVMware Identity Manager supporta l'aggiunta di più tenant di un provider di servizi a un'istanza diVMware Identity Manager. Se esistono più tenant di un'app come Office 365 che può essere utilizzata dadiverse linee di business all'interno dell'organizzazione, è possibile aggiungere tutti i tenant a una singolaistanza di VMware Identity Manager. Questo consente di gestire SSO e l'accesso a tutti i tenant daun'unica posizione.


VMware, Inc. 19

Per aggiungere più tenant, aggiungere più copie dell'app al catalogo di VMware Identity Manager e quindimodificare la configurazione di ogni copia. Mappare ogni copia dell'app a un tenant diverso del provider diservizi. Ogni tenant può avere uno o più domini. È inoltre necessario autorizzare gli utenti alla copiaappropriata dell'app.

Quando gli utenti accedono a Workspace ONE e fanno clic sull'app a cui sono autorizzati, viene avviatal'app corretta. Quando gli utenti accedono al provider di servizi direttamente, il provider di servizi effettuaautomaticamente il reindirizzamento a VMware Identity Manager per l'autenticazione, eVMware Identity Manager effettua l'autenticazione dell'utente e avvia l'app corretta in base ai permessidell'utente.

Procedura



3 Selezionare l'app dal catalogo di applicazioni cloud digitando il suo nome nella casella di ricerca ofacendo clic su "Sfoglia dal catalogo" e selezionarla.

I campi nelle pagine della definizione e della configurazione sono popolati parzialmente.

4 Seguire la procedura guidata per configurare l'applicazione e fare clic su Salva.

5 Creare una copia dell'app eseguendo una delle seguenti opzioni:

n Creare una nuova app facendo clic su Nuovo nella pagina Catalogo > App Web e aggiungendol'app dal catalogo delle applicazioni cloud.

n Copiare l'applicazione facendo clic sull'applicazione nella pagina Catalogo > App Web, quindifacendo clic su Copia.

Modificare i campi, come il nome e la descrizione, in modo da identificare facilmente la nuova app.

6 Configurare ciascuna copia dell'app per il tenant appropriato.

n Mappare ogni copia dell'app a un tenant di provider di servizi diverso.

n Verificare che gli utenti siano univoci in tutti i domini e i tenant del provider di servizi.

Nota Se gli utenti non sono univoci, verificare che gli URL POST del provider di servizi, ovverogli URL del servizio consumer di asserzione specificati nella console di amministrazione diVMware Identity Manager, siano univoci nei tenant.

7 Configurare i permessi degli utenti per ogni copia dell'app. Autorizzare gli utenti al tenant appropriato.

a Nella scheda Catalogo > App Web, fare clic sulla copia dell'app che corrisponde al tenant.

b Fare clic su Assegna.

c Selezionare utenti e gruppi digitando i nomi nella casella di ricerca e selezionandoli dai risultati.


VMware, Inc. 20

d Selezionare il tipo di distribuzione per ciascun utente e gruppo.

Indipendentemente dalla selezione o meno dell'opzione Attivata dall'utente o Automatica,l'applicazione viene aggiunto alla pagina Catalogo in Workspace ONE. Gli utenti possonoeseguire l'applicazione dalla pagina Catalogo o spostarla nella pagina Segnalibri. Tuttavia, se sidesidera impostare un flusso di approvazione per l'app, è necessario selezionare Attivatadall'utente per l'app.

e Fare clic su Salva.

Aggiunta di applicazioni OpenID Connect al catalogoÈ possibile aggiungere applicazioni che utilizzano il protocollo di autenticazione OpenID Connect aVMware Identity Manager e gestirle come qualsiasi altra applicazione nel catalogo. È possibile applicareun criterio di accesso per ogni applicazione per specificare la modalità con cui gli utenti vengonoautenticati in base ai criteri, come ad esempio l'intervallo di rete e il tipo di dispositivo. Dopo aver aggiuntol'applicazione, questa viene assegnata a utenti e gruppi.

Per aggiungere un'applicazione OpenID Connect, specificare URL di destinazione, URL direindirizzamento, ID client e segreto client dell'applicazione.

Quando si aggiunge un'applicazione OpenID Connect al catalogo, in VMware Identity Manager vienecreato automaticamente un client OAuth 2.0 per l'applicazione. Il client viene creato con le informazioni diconfigurazione specificate all'aggiunta dell'applicazione, che includono URL di destinazione, URL direindirizzamento, ID client e segreto client. Tutti gli altri parametri utilizzano i valori predefiniti. Questiincludono:

n Tipo di concessione: authorization_code, refresh_token

n Ambito: admin, openid, user

n Visualizzazione concessione utente: false

n TTL (time-to-live) token di accesso: 3 ore

n TTL (time-to-live) token di aggiornamento: abilitato e impostato su 90 giorni

n TTL inattivo token di aggiornamento: 4 giorni

È possibile visualizzare il client OAuth 2.0 per l'applicazione dalla scheda Client nella pagina Catalogo >Impostazioni > Accesso remoto app. Fare clic sul nome del client per visualizzare le informazioni diconfigurazione. Non modificare alcun campo nel client.

Importante Non eliminare il client OAuth 2.0 associato all'applicazione, altrimenti l'applicazione nonsarà più disponibile agli utenti.

Quando si elimina l'applicazione dal catalogo, viene eliminato anche il client OAuth 2.0.


VMware, Inc. 21

Flusso di autenticazione quando si accede all'applicazione daWorkspace ONEQuando un utente fa clic sull'applicazione in Workspace ONE, il flusso di autenticazione è il seguente:

1 L'utente fa clic sull'applicazione in Workspace ONE.

2 VMware Identity Manager reindirizza l'utente per l'URL di destinazione.

3 L'applicazione reindirizza l'utente a VMware Identity Manager con una richiesta di autorizzazione.

4 VMware Identity Manager autentica l'utente in base al criterio di autenticazione specificato perl'applicazione.

5 VMware Identity Manager controlla se l'utente è autorizzato per l'applicazione.

6 VMware Identity Manager invia il codice di autorizzazione per l'URL di reindirizzamento.

7 Utilizzando il codice di autorizzazione, l'applicazione richiede il token di accesso.

8 VMware Identity Manager invia il token ID, il token di accesso e il token di aggiornamentoall'applicazione.

Flusso di autenticazione quando si accede all'applicazionedirettamente dal provider di serviziQuando un utente accede all'applicazione direttamente dal provider di servizi, il flusso di autenticazione èil seguente:

1 L'utente fa clic sull'applicazione.

2 L'utente viene reindirizzato a VMware Identity Manager per l'autenticazione.

3 VMware Identity Manager autentica l'utente in base al criterio di autenticazione specificato perl'applicazione.

4 VMware Identity Manager controlla se l'utente è autorizzato per l'applicazione.

5 VMware Identity Manager invia un token ID al provider di servizi.

Aggiunta di un'applicazione OpenID ConnectLe applicazioni OpenID Connect possono essere aggiunte al catalogo di VMware Identity Manager dallascheda Catalogo > App Web.

Prerequisiti

n Ottenere URL di destinazione, URL di reindirizzamento, ID client e segreto client per l'applicazione.

n Creare un criterio di accesso se non si desidera utilizzare il criterio di accesso predefinito. È possibilecreare criteri di accesso dalla pagina Gestione identità e accessi > Gestisci > Criteri.

n Creare categorie, se necessario. È possibile creare categorie dalla pagina Catalogo > App Webfacendo clic su Categorie e digitando il nome della categoria nella casella di testo.


VMware, Inc. 22

n Creare gruppi di utenti, se necessario. È possibile creare gruppi dalla scheda Utenti e gruppi >Gruppi.

Procedura



3 Nella pagina Definizione della procedura guidata relativa alla nuova applicazione SaaS, immettere leinformazioni richieste.

Opzione Descrizione

Nome Immettere un nome univoco per l'applicazione.

Descrizione (Facoltativo) Inserire una descrizione dell'applicazione.

Icona (Facoltativo) Caricare un'icona per l'applicazione. Sono supportate icone neiformati di file PNG, JPG e ICON, con dimensione massima di 4MB.

L'icona deve essere almeno 180 x 180 pixel. Se l'icona è troppo piccola non verràvisualizzata. In questo caso, viene visualizzata l'icona di Workspace ONE.

Categoria (Facoltativo) Per aggiungere l'applicazione a una categoria, selezionarla dalmenu a discesa. Le categorie devono essere già state create.

È disponibile anche la categoria predefinita Consigliato. Selezionarla se sidesidera che l'applicazione venga visualizzata nella pagina Consigliato inWorkspace ONE. Se si desidera che l'app venga inclusa nella pagina Segnalibridegli utenti, selezionare la categoria Consigliato e nella pagina Catalogo >Impostazioni > Configurazione portale utente, selezionare Mostra app consigliatenella scheda Segnalibri.


5 Nella pagina Configurazione, immettere le informazioni di configurazione richieste.

Opzione Descrizione

Tipo di autenticazione Selezionare OpenID Connect.

URL di destinazione URL dell'applicazione a cui verranno indirizzati gli utenti quando fanno clicsull'app in Workspace ONE.

Reindirizza URL URL a cui VMware Identity Manager invierà il codice di autorizzazione.

ID client Identificatore del client che l'app includerà nelle richieste di autenticazione inviatea VMware Identity Manager. L'ID del client deve essere univoco per il tenant.

Segreto client Segreto che l'applicazione utilizzerà per identificarsi nelle richieste diautenticazione inviate a VMware Identity Manager.

Apri in VMware Browser Selezionare questa opzione se si desidera che l'app Workspace ONE apral'applicazione in VMware Browser, che offre un'alternativa sicura al browser Webnativo.



VMware, Inc. 23

7 Nella pagina Criteri di accesso, selezionare il criterio di accesso per gestire l'accesso degli utentiall'applicazione.

Il criterio default_access_policy_set è selezionato per impostazione predefinita. Per informazioni sullacreazione e la gestione dei criteri di accesso, vedere Amministrazione di VMware Identity Manager.

8 Nella pagina Riepilogo, rivedere le selezioni e fare clic su Salva oppure su Salva e assegna perassegnare l'applicazione a utenti e gruppi.






10 Fare clic su Salva.

L'applicazione viene aggiunta al catalogo. Per modificare la configurazione dell'applicazione in qualsiasimomento, selezionare l'applicazione nella pagina Catalogo > App Web e fare clic su Modifica.

Utilizzo degli adattatori di provisioningIl provisioning consente la gestione automatica degli utenti dell'applicazione da un unico sito. Gliadattatori di provisioning consentono alle applicazioni Web di recuperare informazioni specifiche dalservizio VMware Identity Manager in base alle necessità. Ad esempio, quando è abilitato il provisioningautomatico degli utenti in Google Apps, le informazioni necessarie dell'account utente, come il nomeutente, il nome e il cognome, possono essere recuperate dal servizio VMware Identity Manager.

Se il provisioning è abilitato per un'applicazione Web, quando si concede a un utente l'accessoall'applicazione nel servizio VMware Identity Manager, viene eseguito il provisioning dell'utentenell'applicazione Web.

Configurare l'adattatore di provisioning per un'applicazione quando si aggiunge l'applicazione al catalogodalla scheda Catalogo > App Web.

Il servizio VMware Identity Manager attualmente include adattatori di provisioning per le seguentiapplicazioni:

n Google Apps

Vedere Esempio: Utilizzo dell'adattatore di provisioning di Google Apps.

n Office 365


VMware, Inc. 24

n Socialcast

Gestione delle impostazioni delle app WebLe impostazioni per le applicazioni Web sono disponibili dal pulsante Impostazioni nella paginaCatalogo > App Web nella console di VMware Identity Manager.

Dalla pagina Impostazioni è possibile abilitare un flusso di approvazione per le applicazioni, configurare ifornitori di identità di terze parti come origini di applicazioni e gestire metadati SAML.

Impostazione Descrizione

Approvazioni Quando sono abilitate le approvazioni, gli utenti devonorichiedere l'accesso alle applicazioni prima di poter utilizzare leapplicazioni dal catalogo di Workspace ONE.

Per informazioni sull'impostazione delle di approvazioni,vedere Amministrazione di VMware Identity Manager.

Metadati SAML È possibile scaricare il certificato della firma SAML di VMwareIdentity Manager autofirmato e i metadati SAML dalla schedaScarica metadati SAML. Se si desidera ottenere un certificatoda un'autorità di certificazione (CA) di terze part, è possibilegenerare una richiesta di firma certificato (CSR) dalla schedaGenera CSR, ottenere il certificato e caricarlo nella stessascheda.

Per ulteriori informazioni sulla gestione dei metadati SAML,vedere "Gestione del catalogo" in Amministrazione di VMwareIdentity Manager

Origini applicazioni È possibile configurare determinati fornitori di identità terzi,come ad esempio OKTA o ADFS, come origini di applicazioni equindi aggiungere le applicazioni associate al catalogo.

Per informazioni sull'impostazione delle origini di applicazioni,vedere Capitolo 9Consentire l'accesso ad applicazioni gestitedalla terza parte in Workspace ONE.

Informazioni aggiuntiveSono disponibili informazioni aggiuntive sulla configurazione di SSO (Single Sign-On) basato su SAMLper applicazioni Web specifiche, come Office 365 e Google Apps. Sono incluse informazioni sugliadattatori del provisioning, se applicabili.

Fare riferimento alla pagina della documentazione relativa alle integrazioni di VMware Identity Manager.


VMware, Inc. 25

https://www.vmware.com/support/pubs/vidm_webapp_sso.html

Utilizzo delle raccolte di appvirtuali per le integrazioni didesktop 3Oltre alle applicazioni Web, è possibile integrare desktop e applicazioni di Horizon, desktop e applicazionidi Horizon Cloud, applicazioni e desktop pubblicati da Citrix e applicazioni in pacchetti ThinApp conVMware Identity Manager. Queste risorse sono denominate app virtuali nell'interfaccia diVMware Identity Manager e vengono gestite tramite la funzionalità Raccolta app virtuali.


n Informazioni sulle raccolte di app virtuali

n Migrazione delle configurazioni esistenti in Raccolta app virtuali

n Creazione di raccolte di app virtuali

n Modifica delle raccolte di app virtuali

n Sincronizzazione di raccolte di app virtuali

n Monitoraggio delle raccolte di app virtuali

n Eliminazione delle raccolte di app virtuali

Informazioni sulle raccolte di app virtualiÈ possibile integrare desktop e applicazioni di Horizon, desktop e applicazioni di Horizon Cloud, risorsepubblicate da Citrix e applicazioni in pacchetto ThinApp con il servizio VMware Identity Manager. Questerisorse vengono gestite tramite le raccolte di app virtuali.

Una raccolta di app virtuali contiene le informazioni di configurazione per un'integrazione, tra cui il tipo dirisorsa, i server da cui si desidera sincronizzare risorse, il connettore da utilizzare per la sincronizzazionee la pianificazione della sincronizzazione.

È possibile creare una o più raccolte di app virtuali per qualsiasi tipo di risorsa, ad eccezione dei pacchettiThinApp per cui è possibile creare solo un'unica raccolta. Ad esempio, per integrare una distribuzione di50 farm di Citrix XenApp, è possibile configurare 10 raccolte di app virtuali in VMware Identity Manager,con 5 farm in ogni raccolta. Ciò consente di semplificare la gestione della configurazione e di velocizzarela sincronizzazione dato che ogni raccolta viene sincronizzata separatamente.

È anche possibile utilizzare connettori diversi per ogni raccolta al fine di distribuire il carico disincronizzazione.

VMware, Inc. 26

La pagina delle raccolte di app virtuali, accessibile passando a Catalogo > Raccolta app virtuali nellaconsole di VMware Identity Manager, costituisce un punto centrale per la gestione delle integrazioni ditutte le risorse. Da questa pagina è possibile creare e modificare le raccolte, monitorare lo stato disincronizzazione di tutte le raccolte, visualizzare gli avvisi e sincronizzare manualmente.

Nota L'integrazione con le applicazioni in pacchetto ThinApp è supportata solo con il connettore diVMware Identity Manager per Linux. Non è supportata con il connettore per Windows.

Vantaggi nell'utilizzo delle raccolte di app virtualiLa funzionalità delle raccolte di app virtuali offre i seguenti vantaggi:

n Una posizione centrale dalla quale gestire tutte le integrazioni di risorsen Gestire tutti i tipi di risorse

n Gestire la configurazione e le impostazioni di sincronizzazione per ogni raccolta

n Monitorare lo stato di sincronizzazione di tutte le raccolte

n Possibilità di sincronizzare set di dati più piccoli mediante l'impostazione di più raccolte per unagrande integrazione di risorse. Ad esempio è possibile creare raccolte separate per ogni pod diHorizon o per ogni farm XenApp.

n Possibilità di impostare raccolte separate per domini diversi. Più domini non richiedono una relazionedi attendibilità se si utilizzano raccolte separate per ciascun dominio.

Requisiti per le raccolte di app virtualiLa funzione di raccolta app virtuali presenta i seguenti requisiti:n La versione di tutte le istanze del servizio VMware Identity Manager deve essere 3.1 o successiva.

n Tutti i connettori utilizzati per sincronizzare le risorse devono essere versione 2017.12.1.0 osuccessiva.


VMware, Inc. 27

n Requisiti del ruolo

n Il ruolo Amministratore con privilegi avanzati è necessario per poter accedere inizialmente allapagina delle raccolte di app virtuali.

n In una nuova installazione, quando si seleziona la scheda Catalogo > Raccolta app virtualiper la prima volta, viene visualizzata una pagina di informazioni in cui è possibile fare clic suInizia per visualizzare la pagina Raccolta app virtuali. Questo flusso di avvio iniziale richiedeil ruolo di amministratore con privilegi avanzati.

n Per le installazioni aggiornate da una versione precedente, il ruolo Amministratore conprivilegi avanzati è necessario per eseguire la migrazione delle configurazioni delle risorseesistenti in raccolte di app virtuali.

n Per le installazioni aggiornate da una versione precedente che non hanno alcuna risorsaconfigurata, il ruolo Amministratore con privilegi avanzati è necessario per accedereinizialmente alla pagina delle raccolte di app virtuali. Questo scenario è simile allo scenario diuna nuova installazione.

n Successivamente, è possibile gestire le raccole di app virtuali con qualsiasi ruolo che possaeseguire le azioni seguenti nel servizio del catalogo:

n Gestire le app desktop (per creare, modificare o eliminare raccolte di app virtuali di Horizon,di Horizon Cloud e pubblicate da Citrix)

n Gestire ThinApp (per creare, modificare o eliminare raccolte di ThinApp)

n Il ruolo Amministratore con privilegi avanzati è necessario per salvare la pagina Intervalli di reteper le raccolte Horizon e Citrix. La pagina Intervalli di rete viene utilizzata per specificare i nomi didominio completi di accesso al client per indirizzare le richieste degli utenti ai server appropriati.

Migrazione da versioni precedentiLa funzionalità Raccolta app virtuali è stata introdotta in VMware Identity Manager 3.1.

Con le raccolte di app virtuali, le configurazioni delle risorse vengono archiviate nel servizioVMware Identity Manager anziché nel connettore. Vengono gestite dalla pagina Catalogo > Raccoltaapp virtuali anziché dalle pagine Catalogo > Catalogo applicazioni > Gestisci applicazioni desktop >Tipo di risorsa .

Nelle nuove installazioni, la pagina delle raccolte di app virtuali viene automaticamente abilitata. Perintegrare le risorse di Horizon, Horizon Cloud, Citrix o ThinApp, creare nuove raccolte.

Per l'aggiornamento da versioni precedenti, è disponibile un percorso di migrazione per il mantenimentodelle integrazioni delle risorse esistenti. Vedere Migrazione delle configurazioni esistenti in Raccolta appvirtuali per informazioni.


VMware, Inc. 28

Migrazione delle configurazioni esistenti in Raccolta appvirtualiLa funzionalità Raccolta app virtuali è stata introdotta in VMware Identity Manager 3.1. Con le raccolte diapp virtuali, nel servizio VMware Identity Manager vengono archiviate le configurazioni delle risorseanziché il connettore. Le raccolte di app virtuali vengono gestite nella pagina Catalogo > Raccolta appvirtuali anziché nelle pagine Catalogo > Applicazioni catalogo > Gestisci applicazioni desktop >Tipo di risorsa.

La vecchia interfaccia utente Gestisci applicazioni desktop non è più supportata. È necessario migrare leintegrazioni di risorse esistenti nelle raccolte di app virtuali, se non lo si è già fatto.

In VMware Identity Manager 19.03, è possibile iniziare direttamente con le raccolte di app virtuali oseguire un percorso di migrazione, in base al proprio scenario di installazione.

n Nelle nuove installazioni è possibile creare direttamente nuove raccolte di app virtuali per le risorse diHorizon, Horizon Cloud, Citrix o ThinApp. Selezionare la scheda Catalogo > Raccolta app virtuali.Rivedere le informazioni nella pagina e fare clic su Inizia. Selezionare il tipo di risorsa che si desideraintegrare ed eseguire la procedura guidata per creare una nuova raccolta di app virtuali.

n Se si esegue l'aggiornamento a VMware Identity Manager 19.03 e la versione di tutti i connettori è2017.12.1.0 o successiva, è necessario eseguire la migrazione di ogni configurazione esistente cheviene ancora gestita tramite l'interfaccia utente Gestisci applicazioni desktop alle raccolte di appvirtuali.

Selezionare la scheda Catalogo > Raccolta app virtuali. Rivedere le informazioni nella pagina efare clic su Inizia per utilizzare la procedura guidata di migrazione. Vedere Utilizzo della proceduraguidata di migrazione per eseguire la migrazione alle raccolte di app virtuali.

Dopo la migrazione delle configurazioni esistenti viene abilitata la nuova pagina Raccolta app virtuali,che consente di visualizzare e modificare le configurazioni migrate, nonché creare nuoveconfigurazioni. Per accedere alla pagina in qualsiasi momento, selezionare la scheda Catalogo >Raccolta app virtuali.

n Se si esegue l'aggiornamento da una versione precedente e si dispone di almeno un connettore lacui versione è precedente alla 2017.12.1.0, non è possibile creare nuove raccolte di app virtuali.Aggiornare tutti i connettori alla versione 2017.12.1.0 o successiva, quindi utilizzare la proceduraguidata di migrazione per eseguire la migrazione delle configurazioni esistenti alle raccolte di appvirtuali.

Importante n Per creare nuove raccolte di app virtuali o per effettuare la migrazione di configurazioni esistenti alle

raccolte di app virtuali, la versione di tutte le istanze del servizio VMware Identity Manager deveessere 3.1 o successiva e la versione di tutti i connettori deve essere 2017.12.1.0 o successiva.

n Il ruolo Amministratore con privilegi avanzati è necessario per poter accedere inizialmente alla paginaRaccolta app virtuali e per eseguire la migrazione delle risorse esistenti. Vedere Informazioni sulleraccolte di app virtuali per ulteriori informazioni.


VMware, Inc. 29

Utilizzo della procedura guidata di migrazione per eseguire lamigrazione alle raccolte di app virtualiUtilizzare la procedura guidata di migrazione per migrare configurazioni delle risorse esistentidall'interfaccia utente Gestisci applicazioni desktop disponibile nelle release precedenti alle raccolte diapp virtuali.

Importante È necessario effettuare la migrazione di tutte le configurazioni delle risorse esistenti nellostesso momento. Ad esempio, se sono configurate risorse di Horizon Cloud e Citrix, selezionarleentrambe nella procedura guidata di migrazione. La procedura guidata di migrazione è pensata peressere utilizzata una sola volta per eseguire la migrazione di tutte le risorse contemporaneamente. Dopoessere stata eseguita una volta, non sarà più disponibile.

Nota In un ambiente di hosting, il processo di migrazione potrebbe richiedere un po' di tempo.

Prerequisiti

n Aggiornare tutte le istanze del servizio VMware Identity Manager alla versione 3.1 o successiva etutte le istanze del connettore alla versione 2017.12.1.0 o successiva.

n Il ruolo Amministratore con privilegi avanzati è necessario per l'accesso iniziale alla pagina Raccoltedi app virtuali e per eseguire la migrazione. Vedere Informazioni sulle raccolte di app virtuali perulteriori informazioni.

Procedura

1 Nella console di VMware Identity Manager selezionare la scheda Catalogo > Raccolta app virtuali.

2 Rivedere le informazioni e fare clic su Inizia.

Viene visualizzata la procedura guidata di migrazione con tutte le configurazioni delle risorseesistenti. Si noti che la procedura guidata di migrazione viene visualizzata solo se nella vecchiainstallazione erano configurate risorse.

3 Nella procedura guidata di migrazione, per ogni tipo di risorsa, selezionare il worker del connettoreche è stato utilizzato per la configurazione nell'installazione precedente.


VMware, Inc. 30

Il menu a discesa per ogni tipo di risorsa elenca solo i connettori in cui tale risorsa era configurata.

Se la risorsa è stata configurata su più connettori per l'alta disponibilità, tutti i connettori vengonovisualizzati nell'elenco. L'etichetta Sincronizzazione automatica in corso o Sincronizzazionemanuale in corso indica se è stata impostata una pianificazione di sincronizzazione per la risorsa sutale connettore o se è stata impostata la sincronizzazione manuale. Selezionare il connettore conl'etichetta Sincronizzazione automatica in corso. Questa rappresenta anche la selezionepredefinita per ogni elenco.

Attenzione Assicurarsi di effettuare una selezione per tutte le configurazioni esistenti. La proceduraguidata di migrazione può essere utilizzata una sola volta per eseguire la migrazione di tutte lerisorse contemporaneamente. Dopo essere stata eseguita una volta, non sarà più disponibile.

4 Fare clic su Esegui migrazione.

In un ambiente di hosting, il processo di migrazione potrebbe richiedere un po' di tempo.

Le configurazioni delle risorse esistenti vengono migrate. Viene creata una raccolta di app virtuali perogni tipo di configurazione. Queste raccolte vengono visualizzate nella pagina Raccolte di app virtuali cheviene visualizzata una volta completata la migrazione. Per visualizzare o modificare una raccolta, fare clicsul suo nome.

Per accedere alla pagina Raccolte di app virtuali in qualsiasi momento, selezionare la scheda Catalogo >Raccolte di app virtuali.

Per informazioni sulla risoluzione dei problemi relativi alle raccolte di app virtuali, visualizzare sia il file diregistro del connettore, connector.log, che il file registro del servizio, horizon.log. Su appliancevirtuali Linux, i file di registro si trovano nella directory /opt/vmware/horizon/workspace/logs. Suserver Windows, i file di registro si trovano nella directoryinstall_dir\IDMConnector_or_VMwareIdentityManager\opt\vmware\horizon\workspace\logs.


n A ogni nuova raccolta di app virtuali viene aggiunto un solo connettore, quello selezionato nellaprocedura guidata di migrazione. Se è stato configurato un cluster di connettori per l'alta disponibilità,modificare le raccolte e aggiungere gli altri connettori.

n Viene creata una singola raccolta di app virtuali per ogni configurazione migrata. Per le integrazioni digrandi dimensioni, con molti server e app, prendere in considerazione la suddivisione della raccolta inpiù raccolte per semplificare la gestione e rendere più veloce la sincronizzazione. La funzionalità diraccolta app virtuali consente di creare più raccolte per ogni tipo di integrazione, eccetto per leintegrazioni di ThinApp.

Creazione di raccolte di app virtualiÈ possibile creare una o più raccolte di app virtuali per ogni tipo di integrazione come risorse pubblicateda Citrix o Horizon Cloud.


VMware, Inc. 31

Prerequisiti

n La versione di tutte le istanze del servizio VMware Identity Manager deve essere 3.1 o successiva.

n Tutti i connettori utilizzati per sincronizzare le risorse devono essere versione 2017.12.1.0 osuccessiva.

n Sono necessari i seguenti ruoli di amministratore:

n Per iniziare raccolte app virtuali, utilizzare il ruolo amministratore super. Vedere Informazioni sulleraccolte di app virtuali per ulteriori informazioni.

n Per creare, modificare o eliminare raccolte app virtuali pubblicate da Horizon, Horizon Cloud eCitrix, utilizzare qualsiasi ruolo che possa eseguire l'azione Gestisci app desktop nel servizio delcatalogo.

n Per creare, modificare o eliminare raccolte ThinApps, utilizzare qualsiasi ruolo che possaeseguire l'azione Gestisci ThinApps nel servizio del catalogo.

n Per modificare e salvare la pagina Intervalli di rete per le raccolte di app virtuali Horizon epubblicate da Citrix, utilizzare il ruolo di amministratore con privilegi avanzati.

n L'integrazione con le applicazioni in pacchetto ThinApp è supportata solo con il connettore diVMware Identity Manager per Linux. Non è supportata con il connettore per Windows.

Procedura


n Se questa è la prima volta che si accede a pagina, viene visualizzata una pagina delleinformazioni. Fare clic su Inizia per procedere. Viene visualizzata la pagina per la selezione deltipo di origine.

Nota Se invece viene visualizzata una pagina relativa alla migrazione, sono presenticonfigurazioni esistenti che devono essere migrate nelle raccolte di app virtuali. Vedere Migrazione delle configurazioni esistenti in Raccolta app virtuali.

n Se in precedenza è già stato effettuato l'accesso alla pagina, viene visualizzata la paginaRaccolta app virtuali. Fare clic su Nuovo nella pagina per procedere.


VMware, Inc. 32

2 Selezionare il tipo di risorsa da integrare.

Come tipi di origine è possibile selezionare Horizon, Horizon Cloud, applicazioni pubblicate da Citrix opacchetti ThinApp.

Nota L'integrazione con le applicazioni in pacchetto ThinApp è supportata solo con il connettore diVMware Identity Manager per Linux. Non è supportata con il connettore per Windows.

3 Eseguire la procedura guidata per la creazione di una nuova raccolta per creare la raccolta.

Le informazioni di configurazione per ogni tipo di integrazione sono diverse.

n Per un'integrazione di Horizon in locale, vedere Configurarazione di pod Horizon e federazioni dipod in VMware Identity Manager per ulteriori informazioni.

n Per un'integrazione di Horizon Cloud Service, vedere Configurazione di tenant Horizon Cloud inVMware Identity Manager per ulteriori informazioni.

n Per un'integrazione di applicazioni pubblicate da Citrix, vedere Configurazione di server farmCitrix in VMware Identity Manager per ulteriori informazioni.

n Per un'integrazione di ThinApp, vedere Configurazione dell'accesso di VMware Identity Managerai pacchetti ThinApp per ulteriori informazioni.

Alcuni campi, come i seguenti, vengono visualizzati per tutti i tipi di origine.

Opzione Descrizione

Connettore Selezionare il connettore che si desidera utilizzare per sincronizzare questaraccolta. Per selezionare il connettore, selezionare la directory a cui è associato.Se è stato configurato un cluster di connettori, tutte le istanze del connettorevengono visualizzate nell'elenco Host ed è possibile disporli in ordine di failoverper questa raccolta. Per riorganizzare l'elenco, fare clic e trascinare le righe nellaposizione desiderata.

Importante Dopo aver creato la raccolta, non è possibile selezionare unadirectory diversa.

Frequenza di sincronizzazione Selezionare quando e con che frequenza si desidera sincronizzare le risorse nellaraccolta. La frequenza di sincronizzazione può variare da ogni ora a ognisettimana. Se non si desidera configurare una pianificazione di sincronizzazioneautomatica, selezionare Manualmente.

Criterio di attivazione Selezionare il modo in cui si desidera rendere le risorse di questa raccoltadisponibili per gli utenti nel portale e nell'app di Workspace ONE. Se si intendeconfigurare un flusso di approvazione, selezionare Attivato dall'utente. In casocontrario, selezionare Automatico.

Con entrambe le opzioni Attivato dall'utente e Automatico, le risorse vengonoaggiunte alla pagina Catalogo. Gli utenti possono utilizzare le risorse dalla paginaCatalogo o spostarle nella pagina Segnalibri. Tuttavia, per configurare un flussodi approvazione per le app, è necessario selezionare l'opzione Attivata dall'utenteper quell'app.

Il criterio di attivazione si applica a tutti i permessi utente per tutte le risorse nellaraccolta. È possibile modificare il criterio di attivazione per singoli utenti o gruppiper risorsa, dalla pagina dell'utente o del gruppo nella scheda Utenti e gruppi.


VMware, Inc. 33


Dopo aver creato la raccolta, è possibile visualizzarla e modificarla dalla pagina delle raccolte di appvirtuali.

Le risorse nella nuova raccolta non vengono ancora sincronizzate. Se si imposta una pianificazione disincronizzazione per la raccolta, le risorse vengono sincronizzate all'ora pianificata successiva. Persincronizzare manualmente le risorse, selezionare la raccolta nella pagina delle raccolte di app virtuali efare clic su Sincronizza.

Modifica delle raccolte di app virtualiÈ possibile modificare tutte le raccolte di app virtuali, per tutti i tipi di integrazione, dalla pagina delleraccolte di app virtuali nella console di VMware Identity Manager.

Prerequisiti

n Sono necessari i seguenti ruoli di amministratore:

n Per creare, modificare o eliminare raccolte app virtuali pubblicate da Horizon, Horizon Cloud eCitrix, utilizzare qualsiasi ruolo che possa eseguire l'azione Gestisci app desktop nel servizio delcatalogo.

n Per creare, modificare o eliminare raccolte ThinApps, utilizzare qualsiasi ruolo che possaeseguire l'azione Gestisci ThinApps nel servizio del catalogo.

Procedura


2 Selezionare la raccolta da modificare e fare clic su Modifica.

3 Nella procedura guidata per la modifica della raccolta di app virtuali, modificare la raccolta e salvarele modifiche.

È possibile modificare le impostazioni seguenti:

n Il nome della raccolta

n Il server di origine o il percorso e le impostazioni correlate

n Le impostazioni di sincronizzazione come la frequenza di sincronizzazione o l'ora dellasincronizzazione pianificata

n Altre impostazioni, applicabili al tipo di integrazione

Non è possibile modificare la directory dopo la creazione di una raccolta.

Nota In una raccolta di app virtuali di Horizon, non è possibile modificare il nome di dominiocompleto di un pod di Horizon che è stato aggiunto in precedenza. Rimuovere il pod dalla raccolta eaggiungerlo di nuovo.


VMware, Inc. 34


È consigliabile sincronizzare la raccolta dopo averla modificata. Passare alla pagina Catalogo >Raccolta app virtuali, selezionare la raccolta e fare clic su Sincronizza.

Sincronizzazione di raccolte di app virtualiÈ possibile sincronizzare una raccolta di app virtuali in qualsiasi momento dalla pagina Raccolta appvirtuali, indipendentemente dal fatto che sia stata selezionata una pianificazione di sincronizzazioneautomatica o manuale per la raccolta. La sincronizzazione di una raccolta propaga le risorse e i permessidal server di origine a VMware Identity Manager.

Procedura


2 Selezionare la raccolta di app virtuali da sincronizzare e fare clic su Sincronizza.

VMware Identity Manager confronta le risorse e le assegnazioni tra il catalogo di origine e quello diVMware Identity Manager e visualizza la finestra di dialogo Calcolo delle azioni di sincronizzazione.

Se le risorse e le assegnazioni corrispondono, viene visualizzato il messaggio seguente:

Se nell'origine sono presenti modifiche che devono essere propagate a VMware Identity Manager,nella finestra di dialogo Calcolo delle azioni di sincronizzazione viene visualizzato il numero diapplicazioni, desktop e assegnazioni utente che richiedono la sincronizzazione. È possibile fare clicsui collegamenti per visualizzare i nomi delle applicazioni, dei desktop e delle assegnazioni. Adesempio:


VMware, Inc. 35

3 Fare clic su Salva nella finestra di dialogo Calcolo delle azioni di sincronizzazione.

Il processo di sincronizzazione inizia e potrebbe richiedere un po' di tempo per il completamento, inbase al numero di risorse e assegnazioni che richiedono la sincronizzazione. Al termine dellasincronizzazione, lo stato della sincronizzazione nella pagina Raccolta app virtuali passa da Avviataa Sincronizzazione completata.

Monitoraggio delle raccolte di app virtualiÈ possibile monitorare lo stato della sincronizzazione di tutte le integrazioni delle risorse dalla paginaRaccolta app virtuali. Per ogni raccolta di app virtuali, è possibile visualizzare l'ora dell'ultimasincronizzazione delle risorse, se la sincronizzazione è stata eseguita correttamente o meno, quali risorsee assegnazioni sono state sincronizzate e se sono stati generati avvisi durante la sincronizzazione.

Procedura


Tutte le raccolte, per tutti i tipi di integrazione delle risorse, vengono visualizzate nella pagina.


VMware, Inc. 36

2 Visualizzare le informazioni per ogni raccolta.

Pervisualizzare Vedere

Lapianificazionedellasincronizzazioneimpostata per laraccolta

La colonna Frequenza di sincronizzazione.

Se non è stata impostata una pianificazione della sincronizzazione automatica, nella colonna viene visualizzato ilvalore Manuale. Con un'impostazione manuale, è necessario sincronizzare manualmente la raccolta di app virtualiogni volta che si desidera propagare qualsiasi modifica delle risorse o dei permessi dai server di origine aVMware Identity Manager.

L'ora dell'ultimotentativo disincronizzazione

La colonna Ultimo tentativo di sincronizzazione.

Lo statodell'ultimasincronizzazione

Nella colonna Stato sincronizzazione viene visualizzato uno degli stati seguenti:n Sincronizzazione non ancora eseguita

La raccolta di app virtuali non è mai stata sincronizzata.n Esecuzione di prova completata correttamente

Quando si fa clic su Sincronizza per sincronizzare manualmente una raccolta di app virtuali, prima di eseguireuna sincronizzazione VMware Identity Manager calcola il numero di applicazioni, desktop e assegnazioni cherichiedono la sincronizzazione e visualizza i risultati nella finestra di dialogo Calcolo delle azioni disincronizzazione. A questo punto, lo stato è Esecuzione di prova completata correttamente. L'attività disincronizzazione viene avviata dopo aver fatto clic su Salva.

n Avviata

Il processo di sincronizzazione è stato avviato.n Impossibile avviare la sincronizzazione

Non è possibile avviare il processo di sincronizzazione perché è in corso una sincronizzazione precedente.n Sincronizzazione completata

Il processo di sincronizzazione è stato completato.n Impossibile completare la sincronizzazione

Il processo di sincronizzazione non è stato completato. Ad esempio, se un problema di rete impedisce alconnettore di raggiungere il server da cui effettuare la sincronizzazione delle risorse, la sincronizzazione nonviene completata.

n Non tutte le risorse e i permessi sono stati sincronizzati

Alcune risorse e permessi non sono stati sincronizzati perché il processo di sincronizzazione non è statocompletato.


VMware, Inc. 37

Pervisualizzare Vedere

Desktop,applicazioni epermessiaggiunti oeliminatinell'ultimasincronizzazione

1 Fare clic su Altro nella colonna Stato sincronizzazione.

Nota Il collegamento Altro viene visualizzato solo se la versione di tutti i connettori è 19.03.

2 Fare clic sull'icona delle informazioni.

La finestra di dialogo di riepilogo delle azioni di sincronizzazione elenca il numero di applicazioni, assegnazioni edesktop aggiunti, eliminati o aggiornati nell'ultima sincronizzazione. Ad esempio:

3 Per visualizzare i nomi delle applicazioni, dei desktop o delle assegnazioni, fare clic sui collegamenti.

Avvisi 1 Fare clic su Altro nella colonna Stato sincronizzazione.

2 Fare clic sull'icona dell'avviso.

La finestra di dialogo Avvisi di sincronizzazione include gli avvisi che sono stati visualizzati durante lasincronizzazione. Ad esempio, se sono presenti assegnazioni per un utente che non esiste inVMware Identity Manager, viene visualizzato un avviso.

Nota Gli avvisi non sono separati per raccolta o per esecuzione della sincronizzazione. Tutti gli avvisi vengonovisualizzati nell'elenco, inclusi gli avvisi di sincronizzazione della directory.

Eliminazione delle raccolte di app virtualiÈ possibile eliminare raccolte di app virtuali dalla pagina Raccolta app virtuali nella console diVMware Identity Manager.


VMware, Inc. 38

Quando si elimina una raccolta, tutte le applicazioni e i desktop sincronizzati dalla raccolta vengonoeliminati. Quando si elimina una raccolta di Horizon o Citrix, vengono eliminati anche i critericorrispondenti configurati negli intervalli di rete. Quando si elimina una raccolta di Horizon o HorizonCloud, viene eliminato anche l'artefatto di federazione.

Prerequisiti

n Per eliminare raccolte di app virtuali Horizon, Horizon Cloud e pubblicate da Citrix, utilizzare un ruolodi amministratore che possa eseguire l'azione Gestisci app desktop nel servizio del catalogo.

n Per eliminare raccolte ThinApp, utilizzare un ruolo di amministratore che possa eseguire l'azioneGestisci ThinApp nel servizio del catalogo.

Procedura


2 Selezionare la raccolta che si desidera eliminare e fare clic su Elimina.


VMware, Inc. 39

Concessione dell'accesso a pooldi desktop e applicazioni diHorizon 7 o Horizon 6 4L'integrazione di Horizon 7 o Horizon 6 con il servizio VMware Identity Manager consente di fornire agliutenti la possibilità di accedere alle applicazioni e ai desktop di Horizon per cui sono autorizzati dalportale o dall'app di Workspace ONE. È possibile integrare pod di Horizon indipendenti, costituiti daistanze del server di connessione di Horizon, e federazioni di pod, che contengono più pod e possonotrovarsi su più siti e data center.

La distribuzione e la gestione dei pool di desktop e applicazioni avvengono nell'interfaccia di HorizonAdministrator. È anche possibile creare permessi per utenti e gruppi di Active Directory in Horizon, non inVMware Identity Manager. È necessario sincronizzare tali utenti e gruppi nel servizioVMware Identity Manager da Active Directory prima di procedere all'integrazione con il Horizon.

Per integrare i pod e le federazioni pod di Horizon con VMware Identity Manager, è necessario creareuna o più raccolte di app virtuali nella console di VMware Identity Manager. Le raccolte contengono leinformazioni di configurazione per i pod e le federazioni di pod, nonché le impostazioni disincronizzazione. Le risorse e i permessi di Horizon vengono sincronizzati a VMware Identity Manager.

Nella console di VMware Identity Manager, è possibile visualizzare i desktop e le applicazioni di Horizon.Sarà inoltre possibile visualizzare permessi di utenti e gruppi.

Gli utenti finali possono avviare applicazioni e desktop autorizzati dal portale o dall'app di WorkspaceONE. Questi desktop e queste app sono accessibili tramite HTML in un browser o mediante un protocollodi visualizzazione supportato in VMware Horizon Client.

Versioni supportateVMware Identity Manager supporta le seguenti versioni e funzionalità.

n L'integrazione di pod di Horizon indipendenti è supportata per Horizon 6 e versioni successive.

n L'integrazione di federazioni di pod, create utilizzando la funzionalità Cloud Pod Architecture, èsupportata per Horizon 6.2 e versioni successive.

n HTML Access è supportato per Horizon 6.1.1 e versioni successive.

n L'SSO certificati è supportato per Horizon 7.x.

Per le più recenti informazioni di supporto, vedere la tabella di interoperabilità dei prodotti VMware.

VMware, Inc. 40


n Scenario di distribuzione

n Progettazione di integrazione di Horizon ad alto livello

n Informazioni sull'integrazione di pod Horizon indipendenti

n Informazioni sull'integrazione di distribuzioni Cloud Pod Architecture (CPA) di Horizon Cloud

n Configurazione di pod Horizon e federazioni di pod in VMware Identity Manager

n Impostazione dei nomi di dominio completi di accesso al client per gli intervalli di rete

n Avvio delle risorse di Horizon tramite gateway di convalida

n Visualizzazione delle informazioni dei pool di applicazioni e desktop di Horizon in VMware IdentityManager

n Visualizzazione delle assegnazioni di utenti e gruppi per i pool di desktop e applicazioni di Horizon

n Impostazione di criteri di accesso per applicazioni e desktop specifici

n Come consentire agli utenti di reimpostare i desktop di Horizon dal catalogo di Workspace ONE

n Visualizzazione delle opzioni di avvio per applicazioni e desktop di Horizon

n Avvio di un desktop o di un'applicazione di Horizon

Scenario di distribuzioneÈ possibile integrare una distribuzione locale di Horizon 7, Horizon 6 o View con il tenant diVMware Identity Manager.

Sono necessari i seguenti componenti.

n Un tenant di VMware Identity Manager

n Un connettore di VMware Identity Manager, versione 2.7 o successiva, installato in locale

È possibile scaricare il connettore dal sito https://my.vmware.com.

n Una distribuzione locale di Horizon 7, Horizon 6 o View

Durante la distribuzione dei componenti in locale, assicurarsi che il connettore possa comunicare con leistanze del server di connessione di Horizon.

Tutta la comunicazione tra il servizio VMware Identity Manager e i componenti on-premise avvieneattraverso il connettore. Il connettore e il servizio comunicano su un canale che viene configuratoautomaticamente durante l'installazione.

Il diagramma seguente illustra un'integrazione tra VMware Identity Manager e Horizon.


VMware, Inc. 41

Figura 4‑1. Integrazione tra VMware Identity Manager e Horizon

Servizio VMwareIdentity Manager

On-premise Risorse e permessisincronizzazione

con il servizio

Recupero di risorse e permessi

Tenant vIDMConnettore VMware IdentityManager

Server di connessione Horizon

Progettazione di integrazione di Horizon ad alto livelloQuesti diagrammi di architettura di sincronizzazione e avvio illustrano come VMware Identity Managersincronizza le risorse di Horizon e i permessi utente dal server di connessione Horizon al servizio diVMware Identity Manager e in che modo viene avvia tali risorse da Workspace ONE.

Sincronizzazione di permessi e risorse di HorizonFigura 4‑2. Diagramma dell'architettura di sincronizzazione

Tenant VMwareIdentity Manager

Rete interna

Componenti di Horizon

POD 1

POD 2

POD 3

Server di connessione

Horizon


Horizon


Horizon

Connettore VMwareIdentity Manager1

1

22

AD

1 Gli utenti e i gruppi vengono sincronizzati da Active Directory al servizio di VMware Identity Managermediante il connettore di VMware Identity Manager.

2 I permessi e le risorse di Horizon vengono sincronizzati dal server di connessione di Horizon alservizio VMware Identity Manager dal connettore di VMware Identity Manager.


VMware, Inc. 42

Avvio di desktop e applicazioni di HorizonFigura 4‑3. Diagramma dell'architettura di avvio

Connettore

VMware Identity

Manager ADTenant

VMware Identity Manager

Rete interna

Componenti di Horizon

Canale di comunicazione

solo in uscita

UAG passaattraverso l'artefatto

SAML al server di connessione

Horizon

DMZ

POD 1

POD 2

POD 3

Server di connessione HorizonClient

Horizon

1

1

2

35



UAG

4

4

2 3

Le frecce blu nel diagramma rappresentano il flusso di autenticazione.

1 Un utente immette le credenziali di Active Directory per l'accesso a Workspace ONE.

2 Il servizio di VMware Identity Manager invia credenziali crittografate al connettore di VMware IdentityManager.

3 Il connettore di VMware Identity Manager verifica le credenziali con Active Directory.

4 Il connettore di VMware Identity Manager invia un messaggio di conferma al servizio di VMwareIdentity Manager, consentendo all'utente di accedere.

Le frecce nere nel diagramma rappresentano il flusso di avvio.

1 L'utente avvia una risorsa di Horizon da Workspace ONE.

2 Il servizio di VMware Identity Manager consente di creare un URL di avvio con l'artefatto SAML e loinoltra a Horizon Client.

3 Horizon Client si connette al server di connessione di Horizon tramite Unified Access Gateway(UAG).


VMware, Inc. 43

4 Il server di connessione di Horizon risolve l'artefatto SAML con il servizio VMware Identity Managerper ottenere l'asserzione SAML e quindi la convalida.

5 Il server di connessione di Horizon esegue il rendering della risorsa di Horizon per l'utente finaletramite Horizon Client.

Informazioni sull'integrazione di pod HorizonindipendentiPer integrare pod Horizon in VMware Identity Manager, creare una o più raccolte di app virtuali nellaconsole di VMware Identity Manager. Le raccolte contengono le informazioni di configurazione per iserver di connessione Horizon, nonché le impostazioni di sincronizzazione.

Prima di eseguire qualsiasi attività di integrazione nella console di VMware Identity Manager, configurareHorizon. È possibile creare e configurare i pool di desktop e applicazioni in Horizon Administrator, non inVMware Identity Manager. In Horizon Administrator vanno impostati anche i permessi per gli utenti e igruppi di Active Directory.

L'integrazione di pod Horizon con VMware Identity Manager comporta le seguenti attività di alto livello.

n Distribuire e configurare server di Horizon.

n Distribuire i pool di desktop e applicazioni di Horizon, con i permessi impostati per gli utenti e i gruppidi Active Directory.

n Sincronizzare gli utenti e i gruppi di Active Directory autorizzati per i pool di applicazioni e desktopnelle istanze del server di connessione di Horizon nel servizio VMware Identity Manager utilizzando lasincronizzazione della directory.

n Creare una o più raccolte di app virtuali per i pod Horizon in VMware Identity Manager.

n Configurare l'autenticatore SAML nel server di connessione di Horizon. Nella pagina diconfigurazione di Authenticator, è necessario utilizzare sempre il nome di dominio completo diVMware Identity Manager.

Requisiti per l'integrazione di pod HorizonDurante l'impostazione di pod Horizon, verificare che siano soddisfatti i requisiti per l'integrazione diVMware Identity Manager.

n Distribuire i server di connessione di Horizon sulla porta predefinita 443 o su una portapersonalizzata.

n Verificare di avere una voce DNS e un indirizzo IP risolvibili durante la ricerca inversa di ogni HorizonConnection Server nella configurazione. VMware Identity Manager richiede la ricerca inversa diistanze di Horizon Connection Server, Horizon Security Server e bilanciamento del carico. Se laricerca inversa non è configurata correttamente, l'integrazione di VMware Identity Manager conHorizon non riuscirà.

n Distribuire e configurare i pool e i desktop di Horizon con i permessi impostati per gli utenti e i gruppidi Active Directory. Assicurarsi che gli utenti abbiano i permessi corretti.


VMware, Inc. 44

n Durante la configurazione dei pool di desktop, assicurarsi che l'opzione Scollega automaticamentein seguito alla disconnessione sia impostata su 1 o 2 minuti e non su immediatamente.

n Assicurarsi di creare pool nella cartella principale del server Horizon. Se si creano pool in una cartellache non sia la cartella radice, VMware Identity Manager non potrà interrogare tali pool e permessiHorizon.

n Si consiglia di estendere il periodo di scadenza dei metadati SAML a 90 giorni sui server diconnessione di Horizon. Vedere Modifica del periodo di scadenza per i metadati del provider di servizisul server di connessione di View per maggiori informazioni.

Informazioni sull'integrazione di distribuzioni Cloud PodArchitecture (CPA) di Horizon CloudOltre a integrare pod di visualizzazione con VMware Identity Manager, è possibile integrare distribuzioniCloud Pod Architecture (CPA) di Horizon.

Figura 4‑4. Integrazione delle federazioni di pod di Horizon con il servizioVMware Identity Manager

Pod 1

VCS 1

VCS 2

Replica LDAP

Pod 2

VCS 3

VCS 4

Replica LDAP

Pod 3

VCS 5

VCS 6

Replica LDAP

Federazione CPA

Sito A Sito B

Pod indipendente

Replica LDAP globale

VMware Identity ManagerConnector on-premise

La funzionalità Cloud Pod Architecture di Horizon Cloud collega più pod Horizon in modo da formare ununico grande ambiente di gestione e controllo di desktop e applicazioni, denominato federazione di pod.Una federazione di pod può comprendere più siti e più data center.

È possibile integrare una o più federazioni di pod con il servizio VMware Identity Manager. Si noti che lefederazioni di pod sono create e gestite in Horizon, e che i permessi di utenti e gruppi rispetto ai desktope ai pool di applicazioni della federazione di pod vengono impostati in Horizon. Le risorse e i permessivengono sincronizzati a VMware Identity Manager.


VMware, Inc. 45

http://pubs.vmware.com/horizon-7-view/topic/com.vmware.horizon-view.administration.doc/GUID-3E170C23-097F-46D0-82BD-7CACFF04FC9A.html


Le federazioni di pod hanno permessi globali, che consentono di autorizzare gli utenti ad accedere adesktop e applicazioni a cui è possibile accedere da qualsiasi pod della federazione di pod. Un permessoglobale può essere formato da risorse di più pod della federazione. Ad esempio, un permesso desktopglobale potrebbe contenere pool di tre diversi pod in tre diversi data center. Sui singoli pod dellafederazione di pod possono anche essere configurati permessi locali. È possibile sincronizzare permessiglobali e locali conVMware Identity Manager.

L'integrazione di una federazione di pod con il servizio VMware Identity Manager comporta le seguentiattività di alto livello nella console di VMware Identity Manager:

n Aggiunta di tutti i pod che costituiscono la federazione di pod, specificando i dettagli del server diconnessione di Horizon per ciascuno di essi.

Nonostante VMware Identity Manager possa sincronizzare i permessi globali da qualsiasi pod dellafederazione di pod, deve connettersi a ciascun pod per sincronizzare i metadati richiesti perl'autenticazione SAML. Deve anche connettersi ai pod per sincronizzare i permessi locali, seopportuno.

n Aggiungere i dettagli della federazione di pod e specificare l'URL di avvio globale. L'URL di avvioglobale, che è in genere l'URL del bilanciamento del carico, viene utilizzate per avviare desktop eapplicazioni con permessi globali.

È possibile personalizzare l'URL di avvio globale per specifici intervalli di rete, ad esempio perl'accesso interno ed esterno.

n Sincronizzare risorse e permessi dalla federazione di pod al servizio VMware Identity Manager.

Nota Solo permessi globali con criterio di ambito Tutti i siti in una federazione di pod vengonosincronizzati. Il criterio di ambito Tutti i siti delimita l'ambito della ricerca di applicazioni o desktop atutti i pod compresi nella federazione di pod.

n Per personalizzare l'URL di avvio globale è necessario impostare gli URL di accesso al client perspecifici intervalli di rete. Tali URL sono utilizzati per avviare risorse con permessi globali dallafederazione di pod. Per impostazione predefinita, l'URL di avvio globale specificato quando siaggiunge la federazione viene utilizzato come URL di avvio globale per tutti gli intervalli di rete.

n Specificare gli URL di accesso al client per ogni pod nella federazione che disponga di permessilocali configurati. Tali URL sono usati per avviare dal pod desktop e applicazioni con permessi locali.Un URL di accesso al client può essere un URL del server di connessione di Horizon, un URL diSecurity Server o un URL di bilanciamento del carico. Gli URL di accesso al client vengono impostatiper specifici intervalli di rete. Per impostazione predefinita, l'URL del server di connessione di Horizonspecificato quando si aggiunge il pod viene utilizzato come URL di accesso al client per tutti gliintervalli di rete.

Quando si integra una federazione di pod al servizio VMware Identity Manager, quest'ultimo effettua leseguenti operazioni:

n Sincronizza tutti i permessi globali con criterio dell'ambito Tutti i siti della federazione di pod.

n Sincronizza i permessi locali, se selezionati, dai pod che fanno parte della federazione di pod.


VMware, Inc. 46

n Sincronizza i metadati da tutti i server di connessione di Horizon nella federazione di pod.

n Consente agli utenti finali di accedere alle applicazioni e ai desktop di Horizon dal portale WorkspaceONE.

Gli utenti finali accedono alle applicazioni e ai desktop di Horizon dal portale di Workspace ONE. Tutte lerisorse per le quali dispongono di permessi, globali o locali, vengono visualizzate. Applicazioni e desktopvengono avviati in Horizon Client. Quando un utente avvia un'applicazione o un desktop con permessilocali, l'avvio viene eseguito dal server di connessione di Horizon a cui l'utente si connette. Una risorsacon permessi globali viene avviata dal server di connessione di Horizon in cui si trova.

Esempio di distribuzione di Cloud Pod ArchitectureIl seguente diagramma mostra un esempio di distribuzione Cloud Pod Architecture e in che modo siaintegrata al servizio VMware Identity Manager.

Figura 4‑5. Esempio di distribuzione di Cloud Pod Architecture

Pod 1 (P1)

Federazione 1 (F1)

Serverdi sicurezza

Serverdi sicurezza

Serverdi connessione


URL E1LB

URL I1LB

URL EGLB

globale

Pod 2 (P2)

Serverdi sicurezza

Serverdi sicurezza



URL E2LB

URL I2LB

Pod 3 (P3)



URL I3LB

URL IGLB

globale

Connettore on-premise

VMware IdentityManager Service

Sinc 1Locale

Sinc 2Locale

Sinc 3Locale

Sinc 4Locale

APIsinc


VMware, Inc. 47

Questo diagramma illustra un esempio di distribuzione di federazione di pod. Una federazione di pod,denominata Federazione 1, viene creata in Horizon 6. Ha tre pod, Pod 1, Pod 2 e Pod 3. Pod 1 e Pod 2sono configurati con istanze di Security Server per ogni server di connessione di Horizon e unbilanciamento del carico esterno per l'accesso esterno, e con un bilanciamento del carico interno perl'accesso interno. Pod 3 è configurato per il solo accesso interno con un bilanciamento del carico interno.La federazione di pod nel suo complesso ha un bilanciamento del carico globale esterno e unbilanciamento del carico globale interno.

Pool di desktop e applicazioni sono distribuiti nei pod. I permessi globali sono configurati per Federazione1 e sono configurati anche permessi locali per i singoli pod.

Federazione 1 è integrata con il servizio VMware Identity Manager Il servizio VMware Identity Managersincronizza i permessi globali e quelli locali da Federazione 1. Poiché i permessi globali sono replicati inogni pod, sincronizza i permessi globali da Pod 1. Sincronizza inoltre i permessi locali da Pod 1, Pod 2 ePod 3.

Gli utenti finali possono visualizzare nel portale Workspace ONE di VMware Identity Manager tutte leapplicazioni e i desktop per i quali sono autorizzati tramite permessi globali o locali. Quando un utenteavvia un desktop o un'applicazione con permessi globali, la richiesta di avvio passa al bilanciamento delcarico globale interno o esterno, EG URL o IG URL, in base all'intervallo di rete dell'utente. Se la risorsaproviene da un permesso locale, la richiesta di avvio passa al bilanciamento del carico interno o esternodel pod su cui è distribuita la risorsa, in base all'intervallo di rete dell'utente. Ad esempio, per una risorsasu Pod 2, la richiesta passa a URL I2 o URL E2.

Requisiti per l'integrazione di federazioni di pod HorizonL'integrazione di federazioni di pod Horizon con VMware Identity Manager richiede che venganosoddisfatti i seguenti requisiti.

n VMware Identity Manager supporta la funzionalità Cloud Pod Architecture in Horizon 6.2 e versionisuccessive, sia per applicazioni sia per desktop.

n È possibile integrare un massimo di 10 federazioni di pod con il servizio VMware Identity Manager.Ogni federazione può contenere fino a 7 pod.

n Distribuire istanze del server di connessione di Horizon sulla porta predefinita 443 o su una portapersonalizzata.

n Verificare di avere una voce DNS e un indirizzo IP risolvibili durante la ricerca inversa di ogni istanzadel server di connessione di Horizon nell'ambiente. VMware Identity Manager richiede la ricercainversa per le istanze del server di connessione di Horizon, Security Server e bilanciamento delcarico. Se la ricerca inversa non è configurata correttamente, l'integrazione diVMware Identity Manager con Horizon non riuscirà.

n Il connettore di VMware Identity Manager deve essere in grado di raggiungere tutte le istanze delserver di connessione di Horizon nella federazione di pod.


VMware, Inc. 48

n L'autenticazione SAML deve essere configurata in Horizon, con il servizio diVMware Identity Manager specificato come fornitore di identità. È necessario utilizzare il nome didominio completo del servizio come parte dell'URL. È consigliabile configurare l'autenticazione SAMLin tutte le istanze del server di connessione di Horizon nella federazione di pod. Vedere Configurazione dell'autenticazione SAML in Horizon per ulteriori informazioni.

È consigliabile estendere a 90 giorni il periodo di scadenza dei metadati SAML nelle istanze delserver di connessione di Horizon. Vedere Modifica del periodo di scadenza per i metadati del providerdi servizi sul server di connessione di View per maggiori informazioni.

n I certificati del server di connessione di Horizon verranno sincronizzati con VMware Identity Manager.

n Distribuire pool di applicazioni e desktop nei pod Horizon.

n Durante la configurazione dei pool di desktop, assicurarsi che l'opzione Scollegaautomaticamente in seguito alla disconnessione sia impostata su 1 o 2 minuti e non suimmediatamente.

n Assicurarsi di creare pool di Horizon nella cartella principale. Se si creano pool in una cartella chenon sia la cartella radice, VMware Identity Manager non potrà interrogare tali pod e permessiHorizon.

Se si aggiungono o rimuovono pool di applicazioni o desktop dopo l'integrazione conVMware Identity Manager, le modifiche risulteranno visibili nel servizio VMware Identity Manager solodopo aver effettuato nuovamente la sincronizzazione.

n È necessario creare la federazione di pod inizializzando la funzionalità Cloud Pod Architecture da unodei pod e inserendo tutti gli altri pod alla federazione prima di effettuare l'integrazione con il servizioVMware Identity Manager. I permessi globali sono replicati ai pod quando questi vengono inseritinella federazione.

Se si inserisce un pod nella federazione o lo si rimuove dopo l'integrazione con il servizioVMware Identity Manager, è necessario modificare i dettagli relativi alla federazione di pod nellaconsole di VMware Identity Manager per aggiungere o rimuovere il pod, salvare le modifiche eripetere la sincronizzazione.

n Nell'ambiente Horizon, creare permessi globali nella federazione di pod per concedere i permessi agliutenti o ai gruppi di Active Directory per utilizzare desktop e applicazioni.

n I permessi globali che si desidera sincronizzare a VMware Identity Manager devono presentare ilcriterio di ambito Tutti i siti impostato. I permessi con altri criteri di ambito non vengono sincronizzati.


VMware, Inc. 49



n Per consentire agli utenti finali di avviare desktop o applicazioni in un browser Web, selezionare

l'opzione HTML Access per il permesso globale in Horizon.

n (Facoltativo) Creare permessi locali sui pod, se richiesto.

Per ulteriori informazioni sulla configurazione di Horizon, consultare la documentazione di Horizon 6oppure Horizon 7.

Configurazione di pod Horizon e federazioni di pod inVMware Identity ManagerPer configurare pod e federazioni di pod di Horizon in VMware Identity Manager, configurare l'ambiente diVMware Identity Manager, creare una o più raccolte di app virtuali per l'integrazione, specificare i nomi didominio completi di accesso al client per intervalli di rete specifici e configurare l'autenticazione SAML inHorizon.

Configurazione dell'ambiente di VMware Identity ManagerDopo aver configurato l'ambiente di Horizon, è necessario impostare l'ambiente VMware Identity Managerprima di integrare pod Horizon e federazioni di pod con il servizio VMware Identity Manager.


VMware, Inc. 50

Procedura

1 Verificare che distinguishedName sia impostato come un attributo obbligatorio per la directory diVMware Identity Manager e mappato all'attributo distinguishedName di Active Directory.

Gli attributi devono essere contrassegnati come obbligatori prima che la directory venga creata. Dopola creazione della directory, gli attributi non possono essere infatti modificati da facoltativi aobbligatori.

a Nella VMware Identity Managerconsole di, passare alla pagina Gestione identità e accessi >Configurazione > Attributi utente.

b In Attributi predefiniti, selezionare la casella di controllo Obbligatorio per distinguishedName.


d Durante la creazione della directory, mappare l'attributo distinguishedName all'attributo di ActiveDirectory distinguishedName.

2 Sincronizzare gli utenti e i gruppi che dispongono di autorizzazioni globali o locali in Horizon da ActiveDirectory al servizio VMware Identity Manager mediante la sincronizzazione della directory.

a Per visualizzare gli utenti e i gruppi correnti, fare clic sulla scheda Utenti e gruppi.

b Selezionare la scheda Gestione identità e accessi > Directory.

c Selezionare la directory appropriata.

d Se necessario, modificare le impostazioni della directory e fare clic su Sincronizza ora.

Nota Gli utenti devono disporre del set di attributi userPrincipalName. Se l'attributouserPrincipalName non è impostato per un utente, è possibile che l'utente non sia in grado dieseguire desktop e applicazioni.

3 Se possibile, stabilire una connessione a più domini o a domini a più foreste sicuri in Active Directory.Per informazioni, vedere Installazione e configurazione di VMware Identity Manager.

Configurarazione di pod Horizon e federazioni di pod inVMware Identity ManagerConfigurare pod Horizon e federazioni di pod nella console di VMware Identity Manager per sincronizzarerisorse e permessi con il servizio VMware Identity Manager.

Per configurare i pod e le federazioni di pod, creare una o più raccolte di app virtuali nella paginaCatalogo > Raccolta app virtuali e immettere le informazioni di configurazione, come i server diconnessione di Horizon da cui sincronizzare risorse e permessi, i dettagli sulla federazione di pod, ilconnettore di VMware Identity Manager da utilizzare per la sincronizzazione e le impostazionidell'amministratore come il client di avvio predefinito.

Dopo aver aggiunto i pod e le federazioni di pod, è possibile configurare i nomi di dominio completi diaccesso al client per intervalli di rete specifici in modo che gli utenti finali si connettano ai server correttiquando accedono alle risorse.


VMware, Inc. 51

È possibile aggiungere tutti i pod Horizon e le federazioni di pod in una raccolta oppure creare piùraccolte, in base alle proprie esigenze. Ad esempio, è possibile scegliere di creare raccolte separate perogni federazione di pod o per ciascun pod per semplificare la gestione e distribuire il carico disincronizzazione tra più connettori. Altrimenti è possibile scegliere di includere tutti i pod e le federazionidi pod in una raccolta a scopo di test e avere un'altra raccolta identica per il proprio ambiente diproduzione.

Prerequisiti

n Configurazione di Horizon in base a Requisiti per l'integrazione di pod Horizon e Requisiti perl'integrazione di federazioni di pod Horizon.

n Configurazione di VMware Identity Manager in base a Configurazione dell'ambiente di VMwareIdentity Manager.

n Per ogni pod di Horizon che si desidera configurare in VMware Identity Manager, assicurarsi didisporre delle credenziali di un utente con il ruolo di amministratore.

n Per eseguire questa procedura in VMware Identity Manager, è necessario utilizzare un ruoloamministratore che includa l'azione Gestisci applicazioni desktop nel servizio del catalogo.

n Al termine di questa procedura, si viene reindirizzati alla pagina Intervalli di rete per configurare inomi di dominio completi di accesso al client. Per modificare e salvare la pagina Intervalli di rete, ènecessario disporre del ruolo di amministratore con privilegi avanzati. È possibile scegliere dieseguire tale passaggio separatamente.

Procedura


2 Selezionare la scheda Catalogo > Raccolta app virtuali.


4 Selezionare Horizon come tipo di origine.

5 Nella procedura guidata per la creazione di una nuova raccolta di app virtuali di Horizon, immettere leinformazioni seguenti nella pagina Connettore.

Opzione Descrizione

Nome Immettere un nome univoco per la raccolta di Horizon.

Connettore Selezionare il connettore che si desidera utilizzare per sincronizzare questaraccolta. Per selezionare il connettore, selezionare la directory a cui è associato.Se è stato configurato un cluster di connettori, tutte le istanze del connettorevengono visualizzate nell'elenco Host ed è possibile disporle in ordine di failoverper questa raccolta.




VMware, Inc. 52

7 Nella pagina Pod e federazione, fare clic su Aggiungi pod e immettere le informazioni sul pod.

Se il pod include più istanze del server di connessione di Horizon, immettere le informazioni perciascuna istanza.

Opzione Descrizione

Server di connessione Immettere il nome host completo di ciascuna istanza di Server di connessione diHorizon nel pod, ad esempio connectionserver.horizondomain.com. Il nomedi dominio deve corrispondere al nome del dominio a cui appartiene l'istanza diServer di connessione di Horizon.

Nome utente Immettere il nome utente dell'amministratore del server di connessione diHorizon. L'utente deve disporre del ruolo di amministratore in Horizon.

Password Immettere la password dell'amministratore del server di connessione di Horizon.

Autenticazione con smart card Abilitare questa opzione se gli utenti utilizzeranno l'autenticazione con smart cardanziché le password per accedere al server di connessione di Horizon.

True SSO Abilitare questa opzione solo se la funzionalità True SSO è attivata per il server diconnessione di Horizon. Questa opzione si applica solo alle versioni di Horizonche supportano la funzionalità True SSO.

Quando questa opzione è abilitata, agli utenti che hanno effettuato l'accesso aVMware Identity Manager con un metodo di autenticazione senza passwordcome SecurID non verrà richiesta la password quando avviano i propri desktopWindows.

Sincronizza permessi locali Abilitare questa opzione per sincronizzare i permessi locali dal server diconnessione di Horizon, oltre ai permessi globali.

8 Per aggiungere altri pod, fare clic su Aggiungi pod e immettere le informazioni per ogni pod.

9 Se l'opzione Architettura Cloud Pod è abilitata in Horizon per uno qualsiasi dei pod aggiunti,eseguire i passaggi seguenti per aggiungere le informazioni relative alla federazione di pod.

a Impostare l'opzione È stata abilitata l’architettura Cloud Pod per uno dei pod aggiunti soprasu Sì.

b Fare clic su Aggiungi federazione.


VMware, Inc. 53

c Immettere le informazioni relative alla federazione di pod.

Opzione Descrizione

Nome federazione Nome della federazione di pod.

Nome di dominio completo diaccesso al client

Nome di dominio completo del server a cui indirizzare i client che accedono aipermessi globali in questa federazione di pod. Questo valore corrisponde ingenere al bilanciamento del carico globale della distribuzione dellafederazione di pod.

Ad esempio federationA.example.com.

Il nome di dominio completo di accesso al client per intervalli di rete specificipuò essere personalizzato in una fase successiva del processo diconfigurazione.

Pod Horizon Selezionare i pod che appartengono alla federazione di pod. Nella colonnaPod disponibili vengono visualizzati tutti i pod aggiunti alla raccolta. Quandosi seleziona un pod, viene aggiunto alla colonna Pod selezionati. È possibiledisporre i pod nella colonna Pod selezionati in ordine di failover.

d Per aggiungere un'altra federazione di pod, fare clic su Aggiungi federazione e immettere le

informazioni relative alla federazione di pod.


11 Nella pagina Configurazione, immettere le informazioni seguenti.

Opzione Descrizione

Frequenza di sincronizzazione Selezionare la frequenza con cui si desidera sincronizzare le risorse nellaraccolta.

È possibile configurare una pianificazione di sincronizzazione automatica oscegliere di eseguire una sincronizzazione manuale. Per impostare unapianificazione, selezionare l'intervallo, ad esempio giornaliero o settimanale, eselezionare l'ora del giorno in cui eseguire la sincronizzazione. Se si selezionaManuale, è necessario fare clic su Sincronizza nella pagina Raccolta app virtualidopo aver configurato la raccolta e ogni volta che vengono apportate modifiche aipermessi o alle risorse di Horizon Cloud.

Sincronizza app duplicate Impostare su No per impedire la sincronizzazione di applicazioni duplicate di piùserver.

Quando VMware Identity Manager viene distribuito in più data center, le stesserisorse vengono configurate in tutti i data center. Se si imposta questa opzione suNo, si impedisce la duplicazione dei pool di desktop o applicazioni nel catalogo diVMware Identity Manager.


VMware, Inc. 54

Opzione Descrizione




Client di avvio predefinito Selezionare il client predefinito per gli utenti finali che accedono ai desktop e alleapp di Horizon dal portale o dall'app di Workspace ONE.

Nessuno A livello di amministratore non è impostata alcuna preferenza

predefinita. Se questa opzione è impostata su Nessuno e l'utentefinale non imposta alcuna preferenza, l'impostazione Protocollo divisualizzazione predefinito di Horizon viene utilizzata perdeterminare la modalità di avvio del desktop o dell'applicazione.

Browser I desktop e le applicazioni di Horizon vengono avviati in un browserWeb per impostazione predefinita. Se impostate, le preferenzedell'utente finale hanno la precedenza su questa impostazione.

Nativo I desktop e le applicazioni di Horizon vengono avviati inHorizon Client per impostazione predefinita. Se impostate, lepreferenze dell'utente finale hanno la precedenza su questaimpostazione.

Questa impostazione si applica a tutti gli utenti per tutte le risorse in questaraccolta.

Alle impostazioni di avvio predefinite del client viene applicato l'ordine diprecedenza seguente, dalla più alta alla più bassa:

a Impostazione della preferenza dell'utente finale nel portale Workspace ONE.Questa opzione non è disponibile nell'app Workspace ONE.

b Impostazione Client di avvio predefinito dell'amministratore per la raccolta,impostata nella console di VMware Identity Manager.

c Impostazione di Horizon Protocollo di visualizzazione remoto > Protocollodi visualizzazione predefinito per il pool di desktop o applicazioni in HorizonAdministrator. Se ad esempio il protocollo di visualizzazione è impostato suPCoIP, l'applicazione o il desktop viene avviato in Horizon Client.


13 Nella pagina Riepilogo, rivedere le selezioni, quindi fare clic su Salva e configura intervallo di rete.

Viene visualizzata la pagina Intervalli di rete.


VMware, Inc. 55

14 Nella pagina Intervalli di rete, modificare ogni intervallo di rete e specificare i nomi di dominio completidi accesso al client per i pod e le federazioni di pod di Horizon in modo che gli utenti finali cheaccedono alle applicazioni e ai desktop di Horizon si connettano al server corretto.

a Fare clic sull'intervallo di rete da modificare o su Crea intervallo di rete per creare un nuovointervallo di rete, se necessario.

b Se si sta creando un nuovo intervallo di rete, specificare un nome, una descrizione facoltativa el'intervallo di indirizzi IP.

c Scorrere fino alle sezioni Pod e Visualizza federazione CPA.

La sezione Pod include tutti i pod di Horizon aggiunti alla raccolta in cui è abilitata l'opzioneSincronizza permessi locali. La sezione Visualizza federazione CPA include tutte le federazioni dipod aggiunte.

d Modificare la sezione Pod per ogni pod e immettere i valori appropriati per questo intervallo di

rete.

Opzione Descrizione


Specificare il nome di dominio completo del server a cui indirizzare i client cheaccedono ai permessi locali in questo pod, quando le richieste provengono daquesto intervallo di rete. Può trattarsi di un server di connessione di Horizon,un server di sicurezza, un bilanciamento del carico o un nome di dominiocompleto del proxy inverso.

Ad esempio: internallb.example.com

Il nome di dominio completo di accesso al client viene utilizzato per avviarerisorse con permessi locali dal pod.

Porta Porta del server.

Esegui wrapping dell'artefatto in JWT Vedere Avvio delle risorse di Horizon tramite gateway di convalida.

Destinatari in JWT Vedere Avvio delle risorse di Horizon tramite gateway di convalida.


VMware, Inc. 56

e Modificare la sezione Visualizza federazione CPA per ogni federazione di pod e immettere i valoriappropriati per questo intervallo di rete.

Opzione Descrizione


Specificare il nome di dominio completo del server a cui indirizzare i client cheaccedono ai permessi globali in questa federazione di pod quando le richiesteprovengono da questo intervallo di rete. Si tratta in genere del bilanciamentodel carico globale della distribuzione della federazione di pod.

Ad esempio: globallb.example.com

Il nome di dominio completo di accesso al client per una federazione di podviene utilizzato per avviare risorse con permessi globali.


Esegui wrapping dell'artefatto in JWT Quando il servizio VMware Identity Manager è integrato con un gateway diconvalida, ad esempio F5, questa opzione deve essere abilitata per eseguirel'autenticazione delle risorse di Horizon assegnate agli utenti. Vedere Avviodelle risorse di Horizon tramite gateway di convalida.


f Fare clic su Salva.

g Ripetere questi passaggi per modificare gli altri intervalli di rete.

h Fare clic su Fine nella pagina Intervalli di rete.


La raccolta di Horizon viene creata e viene visualizzata nella pagina Catalogo > Raccolta app virtuali.Le risorse nella raccolta non sono ancora state sincronizzate. È possibile attendere la sincronizzazionepianificata successiva o sincronizzare manualmente la raccolta dalla pagina Catalogo > Raccolta appvirtuali.

Configurazione dell'autenticazione SAML in HorizonDopo aver creato una raccolta di app virtuali Horizon in VMware Identity Manager, accedere a HorizonAdministrator e configurare l'autenticazione SAML nelle istanze del server di connessione di Horizon perconsentire agli utenti di avviare desktop e applicazioni di Horizon mediante Single Sign-On.

L'autenticazione SAML deve essere configurata in almeno un'istanza del server di connessione diHorizon in un pod. È consigliabile configurare l'autenticazione SAML in tutte le istanze nel pod.

Se l'autenticazione SAML è disabilitata in alcune delle istanze del server di connessione di Horizon in unpod, VMware Identity Manager utilizza le altre istanze per la sincronizzazione. Assicurarsi tuttavia chenessuna delle istanze con autenticazione SAML disabilitata venga utilizzata per l'avvio, altrimenti gli utentinon potranno avviare desktop o applicazioni di Horizon. Non utilizzare l'istanza come nome di dominiocompleto di accesso al client o, se il nome di dominio completo di accesso al client punta a unbilanciamento del carico, come uno dei nodi nel bilanciamento del carico.


VMware, Inc. 57

Se l'autenticazione SAML è disabilitata su tutte le istanze Server di connessione Horizon nel pod, lasincronizzazione non riesce.

Nota Non è necessario configurare l'autenticazione SAML se l'organizzazione utilizza l'autenticazionecon smart card per visualizzare le risorse utilizzando un fornitore di identità di terze parti.

Procedura

1 Accedere ad Horizon Administrator come utente con ruolo di amministratore.

2 Configurare l'autenticazione SAML nelle istanze del server di connessione di Horizon.

Per informazioni, consultare la documentazione di Horizon 7.

Assicurarsi di specificare il nome di dominio completo del servizio VMware Identity Manager quandosi configura SAML Authenticator.

Importante L'ora dei server Horizon e VMware Identity Manager deve essere sincronizzata.Quando l'ora dei server non è sincronizzata, se gli utenti accedono a un desktop o un'applicazione diHorizon, viene visualizzato un messaggio che indica che SAML non è valido.

Impostazione dei nomi di dominio completi di accesso alclient per gli intervalli di reteCome parte dell'integrazione di VMware Identity Manager e Horizon, è necessario specificare i nomi didominio completi di accesso al client per gli intervalli di rete in modo che gli utenti si connettano al servercorretto in base all'intervallo di rete da cui accedono alle risorse di Horizon. Quando si crea un raccolta diapp virtuali di Horizon, la procedura guidata consente di passare alla pagina Intervalli di rete perconfigurare queste informazioni. Dopo aver creato la raccolta, è possibile modificare i nomi di dominiocompleti di accesso al client in qualsiasi momento.

Ogni volta che si creano nuovi intervalli di rete in VMware Identity Manager, assicurarsi di eseguirequesta procedura per aggiungere i nomi di dominio completi di accesso al client per i pod e le federazionidi pod di Horizon ai nuovi intervalli di rete.

Prerequisiti

Per eseguire questa procedura, è necessario disporre del ruolo di amministratore con privilegi avanzati.

Procedura



3 Fare clic sulla raccolta di Horizon, quindi su Modifica intervallo di rete.

4 Nella pagina Intervalli di rete, fare clic sull'intervallo di rete da modificare o su Crea intervallo di reteper creare un intervallo di rete, se necessario.

5 Se si sta creando un nuovo intervallo di rete, specificare un nome, una descrizione facoltativa el'intervallo di IP.


VMware, Inc. 58

https://docs.vmware.com/it/VMware-Horizon-7/7.7/horizon-administration/GUID-FB72A3EB-578A-4CF5-9CCD-BFAA40C9FA44.html

6 Scorrere fino alle sezioni Pod e Federazione CPA.

Nella sezione Pod sono elencati tutti i pod di Horizon nella raccolta in cui è abilitata l'opzioneSincronizza assegnazioni locali. La sezione Federazione CPA elenca le federazioni di pod nellaraccolta, se presenti.

7 Modificare la sezione Pod per ogni pod e immettere i valori appropriati per questo intervallo di rete.

Opzione Descrizione

Nome di dominio completo di accessoal client

Il nome di dominio completo del server a cui indirizzare i client che accedono aipermessi locali in questo pod, quando le richieste provengono da questointervallo di rete. Questo valore può essere un server di connessione di Horizon,un server di sicurezza, un bilanciamento del carico o un nome di dominiocompleto del proxy inverso.

Ad esempio: internallb.example.com

Il nome di dominio completo di accesso al client per un pod viene utilizzato peravviare risorse autorizzate localmente dal pod.


Esegui wrapping dell'artefatto in JWT Vedere Avvio delle risorse di Horizon tramite gateway di convalida.


8 Modificare la sezione Federazione CPA per ogni federazione di pod e immettere i valori appropriatiper questo intervallo di rete.

Opzione Descrizione

Nome di dominio completo di accessoal client

Il nome di dominio completo del server a cui indirizzare i client che accedono aipermessi globali in questa federazione di pod, quando le richieste provengono daquesto intervallo di rete. Questo valore corrisponde in genere al bilanciamento delcarico globale della distribuzione della federazione di pod.

Ad esempio: globallb.example.com

Il nome di dominio completo di accesso al client per una federazione di pod vieneutilizzato per avviare risorse autorizzate globalmente.



VMware, Inc. 59

Opzione Descrizione

Esegui wrapping dell'artefatto in JWT Quando il servizio VMware Identity Manager è integrato con un gateway diconvalida, ad esempio F5, questa opzione deve essere abilitata per eseguirel'autenticazione delle risorse di Horizon assegnate agli utenti. Vedere Avvio dellerisorse di Horizon tramite gateway di convalida.



10 Ripetere questi passaggi per modificare gli altri intervalli di rete, se necessario.

Verificare che per ogni intervallo di rete dell'ambiente sia impostato un nome di dominio completo diaccesso al client. Se in un intervallo di rete manca il nome di dominio completo di accesso al client,gli utenti che accedono alle risorse tramite tale intervallo di rete non possono avviare i desktop e leapplicazioni.

11 Fare clic su Fine nella pagina Intervalli di rete.

Avvio delle risorse di Horizon tramite gateway diconvalidaQuando il servizio VMware Identity Manager è integrato con un gateway di convalida, come ad esempioF5, l'artefatto di wrapping nell'impostazione di JWT deve essere attivato nel servizioVMware Identity Manager per autenticare le risorse di Horizon assegnate agli utenti.

Quando l'artefatto di wrapping in JWT è attivato per l'autenticazione di una richiesta di avvio delle risorsedi Horizon, il servizio VMware Identity Manager genera un token JWT con firma digitale che includel'artefatto SAML per consentire la verifica.

Questo token JWT viene inviato al gateway durante la convalida nel DMZ. Il gateway convalida il tokenJWT da VMware Identity Manager ed estrae il valore dell'artefatto SAML dal token. Il gateway inoltra larichiesta con il valore dell'artefatto SAML reale al server di connessione di Horizon. Il server diconnessione verifica la richiesta e l'utente viene connesso alla risorsa di Horizon.

Se l'opzione Esegui wrapping dell'artefatto in JWT non è abilitata, il gateway di convalida non passal'artefatto al server di connessione di Horizon per la convalida e l'autenticazione non riesce.

Prerequisiti

n Il gateway di convalida deve essere configurato con i dettagli di VMware Identity Manger seguenti.

n Certificato SSL

n ID e segreto del client OAuth2

n URL dell'endpoint di convalida di VMware Identity Manager

n Per eseguire questa procedura è necessario disporre del ruolo di amministratore con privilegiavanzati in VMware Identity Manager.

Procedura



VMware, Inc. 60


3 Fare clic sulla raccolta di Horizon da modificare, quindi fare clic su Modifica intervallo di rete.

4 Fare clic sull'intervallo di rete di indirizzi IP che la risorsa di Horizon può utilizzare.

La sezione Pod elenca tutti i pod di Horizon aggiunti alla raccolta in cui è selezionata l'opzioneSincronizza permessi locali. Per informazioni sui passaggi per la configurazione dei nomi di dominiocompleti di accesso al client per i pod e le federazioni di pod, vedere Configurarazione di pod Horizone federazioni di pod in VMware Identity Manager.

5 Nella sezione Pod abilitare l'opzione Esegui wrapping dell'artefatto in JWT nell'ambiente diHorizon configurato.

6 Se più di un gateway di convalida è in grado di elaborare richieste, creare identificatori univoci e

aggiungere i nomi nella casella di testo Destinatari in JWT.

Questo nome dei destinatari è configurato nella configurazione del gateway di convalida e vieneutilizzato per verificare che il gateway coincida con i destinatari desiderati. Se i destinatari in JWT noncorrispondono al nome del gruppo di destinatari configurato qui, la richiesta viene rifiutata.

7 Fare clic su Salva, quindi fare clic su Fine nella pagina Intervalli di rete.


I nomi univoci dei destinatari aggiunti devono inoltre essere aggiunti nella configurazione del gateway diconvalida.

Visualizzazione delle informazioni dei pool di applicazionie desktop di Horizon in VMware Identity ManagerDopo l'integrazione di VMware Identity Manager e Horizon, è possibile visualizzare i dettagli relativi aipool di applicazioni e desktop di Horizon sincronizzati con VMware Identity Manager dai server diHorizon.

Procedura

1 Nella console di VMware Identity Manager, selezionare la scheda Catalogo > App virtuali.

2 Fare clic sull'icona nell'intestazione della colonna Tipo e selezionare Desktop Horizon oApplicazione Horizon, oppure entrambi, per visualizzare tutti i pool di desktop e applicazioni diHorizon.

È inoltre possibile cercare un pool specifico in base al nome.


VMware, Inc. 61

3 Fare clic sul nome del desktop o dell'applicazione.

La sezione Definizione nella pagina dell'applicazione include le informazioni sincronizzate daHorizon, comprese le seguenti:

n UUID dell'applicazione

n ID esterno

n Nome del pool

n Tipi di client supportati

n Server di connessione di Horizon da cui viene sincronizzato il pool

Nota Da questa pagina è anche possibile modificare le impostazioni di VMware Identity Managerper l'applicazione, ad esempio categorie, criteri di accesso e licenze.

Visualizzazione delle assegnazioni di utenti e gruppi per ipool di desktop e applicazioni di HorizonNella console di VMware Identity Manager, è possibile visualizzare le assegnazioni di utenti e gruppi per ipool di applicazioni e desktop di Horizon. Queste assegnazioni vengono impostate in Horizon esincronizzate con VMware Identity Manager. Non è possibile modificare le assegnazioni daVMware Identity Manager.

Prerequisiti

n Per visualizzare gli aggiornamenti più recenti, sincronizzare manualmente le risorse e le assegnazionidalle istanze del server di connessione di Horizon in VMware Identity Manager dalla pagina Catalogo> Raccolta app virtuali.

Procedura



VMware, Inc. 62

2 Visualizzare le assegnazioni di utenti e gruppi per i pool di desktop e applicazioni di Horizon.

Opzione Azione

Elencare utenti e gruppi assegnati a unpool di desktop o applicazionispecifico di Horizon

a Fare clic sulla scheda Catalogo > App virtuali.b (Facoltativo) Fare clic sull'icona nell'intestazione della colonna Tipo e cercare

il pool in base al nome o selezionare Desktop Horizon o ApplicazioneHorizon per visualizzare tutti i pool di desktop o applicazioni di Horizon.

c Fare clic sul desktop o sull'applicazione.

d Fare clic su Visualizza assegnazioni.Vengono elencati tutti gli utenti e i gruppi a cui è assegnata l'applicazione.

Elencare le assegnazioni dei pool didesktop e applicazioni di Horizon perun utente o un gruppo specifico.

a Fare clic sulla scheda Utenti e gruppi.b Selezionare la scheda Utenti o la scheda Gruppi.c Fare clic sul nome di un singolo utente o gruppo.

d Fare clic sulla scheda App.

Verranno elencate le assegnazioni dei pool di desktop e applicazioni di Horizonper l'utente o il gruppo.

Impostazione di criteri di accesso per applicazioni edesktop specificiIl set di criteri di accesso predefinito si applica a tutte le applicazioni e i desktop nel catalogo. È inoltrepossibile impostare criteri di accesso per singoli desktop o applicazioni, che sostituiscono il criterio diaccesso predefinito.

È possibile configurare criteri dell'applicazione per desktop e applicazioni dalla pagina di configurazionedell'applicazione o dalla pagina Criteri.

Per informazioni dettagliate sui criteri di accesso e sul modo in cui vengono applicati, consultare la guidaall'amministrazione di VMware Identity Manager.

Procedura

1 Per selezionare un criterio di accesso per un'applicazione specifica dalla pagina di configurazionedell'applicazione, seguire questi passaggi.

a Nella console di VMware Identity Manager, fare clic sulla scheda Catalogo > App virtuali.

b Fare clic sull'applicazione.

c Fare clic su Modifica.

Alcuni campi della pagina dell'applicazione sono ora modificabili.

d Nella sezione Criteri di accesso, selezionare il criterio di accesso per l'applicazione.

e Fare clic su Salva nella parte superiore della pagina.


VMware, Inc. 63

2 Per applicare un criterio di accesso a uno o più desktop e applicazioni dalla pagina Criteri, procederecome segue.

a Nella console di VMware Identity Manager, passare alla pagina Gestione identità e accessi >Criteri.

b Fare clic su un criterio per modificarlo oppure fare clic su Aggiungi criterio per creare un nuovocriterio.

c Nella sezione Applicabile a della pagina Definizione della procedura guidata, selezionare leapplicazioni e i desktop a cui si desidera applicare il criterio.

d Nella sezione Applicabile a, selezionare le applicazioni a cui si desidera applicare il criterio.

e Salvare le modifiche.

Come consentire agli utenti di reimpostare i desktop diHorizon dal catalogo di Workspace ONEA seconda di come si configura Horizon e VMware Identity Manager, gli utenti possono reimpostare undesktop di Horizon che non risponde dal catalogo di Workspace ONE.

Questa impostazione viene configurata in Horizon Administrator, non nella console di VMware IdentityManager. La configurazione si applica sia a Horizon sia a VMware Identity Manager. Nella console diVMware Identity Manager, è possibile verificare se un desktop specifico può essere reimpostato o meno.

L'opzione di reimpostazione desktop da Workspace ONE è disponibile in VMware Identity Manager 3.2 econnettore 2018.1.1.0 e versioni successive. Verificare che la versione di tutti i connettori sia 2018.1.1.0 osuccessiva. In caso contrario, il comando di reimpostazione non verrà visualizzato. L'opzione èsupportata per:

n Horizon 7.x o pod successivi

n Desktop Horizon dedicati e mobili

Prerequisiti

n Configurare Horizon per permettere agli utenti di reimpostare i propri desktop. Vedere ladocumentazione di Horizon 7 o Horizon 6.

n Verificare che sia in uso VMware Identity Manager 3.2 o versione successiva e il connettore2018.1.1.0 o versione successiva. Tutti i connettori devono essere versione 2018.1.1.0 o versionesuccessiva.

n Affinché i desktop di Horizon possano essere reimpostati dagli utenti, i nomi di dominio completi diaccesso al client per i rispettivi pod devono avere certificati attendibili. Se gli URL hanno certificatifirmati da root o autofirmati, configurare VMware Identity Manager per considerare questi certificatiattendibili. Vedere Installazione e configurazione di VMware Identity Manager per informazionisull'aggiunta di un certificato root.


VMware, Inc. 64

Procedura

u (Facoltativo) Verificare che in VMware Identity Manager il desktop sia indicato come reimpostabiledagli utenti.

a Nella VMware Identity Managerconsole di, selezionare la scheda Catalogo > App virtuali.

b (Facoltativo) Fare clic sull'icona nell'intestazione di colonna Tipo e cercare il desktop in base alnome oppure selezionare Desktop Horizon per visualizzare tutti i desktop di Horizon.

c Fare clic sul desktop.

d Nella sezione Definizione della pagina, verificare che l'opzione Reimpostazione consentita siaimpostata su Abilitata.

Se è impostata su Disabilitata, Horizon non è configurato per consentire agli utenti direimpostare il desktop.


Quando un desktop di Horizon non risponde più, gli amministratori o gli utenti possono reimpostare ildesktop mediante il comando Reimposta.

Visualizzazione delle opzioni di avvio per applicazioni edesktop di HorizonLe applicazioni e i desktop di Horizon possono essere avviati dal catalogo di Workspace ONE in HorizonClient o in un browser Web, in base alla modalità di configurazione del desktop o dell'applicazione inHorizon. Se un'applicazione o un desktop è configurato solo per Horizon Client, gli utenti devonoinstallare Horizon Client nei loro sistemi.

La funzionalità HTML Access di Horizon offre agli amministratori di Horizon la possibilità di configurare undesktop o un'applicazione per i browser. Questa configurazione viene eseguita in Horizon e non ènecessaria alcuna configurazione in VMware Identity Manager. In Horizon 7, l'impostazione ConsentiHTML Access per desktop e applicazioni in questa farm determina se gli utenti di VMware IdentityManager possono avviare desktop o applicazioni da tale farm in un browser.

VMware Identity Manager supporta HTML Access per Horizon 6.1.1 e versioni successive.

VMware Identity Manager supporta anche tutti i protocolli di visualizzazione supportati da Horizon perHorizon Client. Per Horizon 7, VMware Identity Manager supporta il protocollo Blast oltre a PCoIP e RDPper Horizon Client 4.0. Quando gli utenti di VMware Identity Manager avviano un desktop oun'applicazione in Horizon Client, viene utilizzato il protocollo impostato in Horizon.

Nota In Horizon, oltre a impostare il protocollo di visualizzazione predefinito, gli amministratori possonospecificare se consentire agli utenti di scegliere un protocollo di visualizzazione. Se si desiderasupportare le versioni di Horizon Client che non supportano il protocollo predefinito, è consigliabileconsentire agli utenti di scegliere il protocollo di visualizzazione. In caso contrario, l'applicazione o ildesktop non potrà essere avviato.


VMware, Inc. 65

Per informazioni sulla configurazione delle opzioni di avvio e dei protocolli di visualizzazione, vedere ladocumentazione di Horizon.

Nella console di VMware Identity Manager, è possibile verificare le opzioni di avvio supportate da undesktop o un'applicazione di Horizon.

Procedura


2 Fare clic sulla scheda Catalogo > App virtuali.

3 (Facoltativo) Fare clic sull'icona nell'intestazione della colonna Tipo e selezionare Desktop Horizono Applicazione Horizon, oppure entrambi, per visualizzare tutti i pool di desktop e applicazioni diHorizon.



Nella sezione Definizione, nel campo Tipi di client supportati vengono visualizzate le opzioni diavvio impostate in Horizon.

Il valore può essere NATIVO o BROWSER oppure entrambi. Se è presente solo il valore NATIVO,l'applicazione o il desktop può essere avviato solo in Horizon Client. Gli utenti devono installareHorizon Client nei loro sistemi prima di avviare l'applicazione dal catalogo di Workspace ONE. Se èpresente il valore BROWSER, gli utenti possono avviare l'applicazione o il desktop in un browser. Sesono specificati entrambi i valori, gli utenti possono selezionare la modalità di avvio dell'applicazione.

Nota Per le integrazioni di Horizon 7, l'opzione Consenti HTML Access per desktop eapplicazioni in questa farm deve essere abilitata in Horizon 7 affinché l'opzione BROWSER vengavisualizzata nell'elenco Tipi di client supportati.


VMware, Inc. 66

Avvio di un desktop o di un'applicazione di HorizonGli utenti possono avviare applicazioni e desktop di Horizon per cui sono autorizzati dal portale o dall'appdi Workspace ONE.

In base a come vengono configurati in Horizon, l'applicazione o il desktop possono essere avviati inHorizon Client o in un browser. Per le applicazioni o i desktop che possono essere avviati solo in HorizonClient, gli utenti devono installare Horizon Client nei propri sistemi. Per le applicazioni o i desktop chepossono essere avviati in Horizon Client o in un browser, gli utenti possono selezionare il metodo diavvio.

Gli utenti possono inoltre impostare la loro preferenza di avvio predefinita nella pagina Preferenze nelportale Workspace ONE. Questa preferenza dell'utente ha la precedenza su qualsiasi preferenza di avviopredefinita impostata a livello di amministratore.

Nota Gli utenti non possono impostare una preferenza di avvio predefinita nell'app Workspace ONE.

Prerequisiti

In base alla configurazione dell'applicazione o del desktop in Horizon, gli utenti potrebbero doverinstallare Horizon Client.

Per conoscere le versioni di Horizon Client supportate, vedere la tabella di interoperabilità dei prodottiVMware all'indirizzo http://www.vmware.com/resources/compatibility/sim/interop_matrix.php.

Procedura

1 Accedere al portale Workspace ONE.

2 Fare clic su Apri sul desktop o nell'applicazione che si desidera utilizzare, selezionare il metodo diavvio e fare clic su Apri.

Nota In base alla configurazione del desktop o dell'applicazione e alle proprie preferenze, potrebbeessere necessario installare Horizon Client nel sistema in uso.

Se si sceglie l'opzione Sfoglia, l'applicazione o il desktop viene avviato in un browser. Se si utilizzaHorizon 6.1.1 o versione successiva, la finestra del browser visualizza anche una barra HTML Access.

Nota Se i metadati SAML nelle istanze del server di connessione di Horizon sono scaduti, l'applicazioneo il desktop non verrà avviato. Per risolvere questo problema, sincronizzare nuovamente le risorse diHorizon con VMware Identity Manager. Passare alla pagina Catalogo > Raccolte di app virtuali,selezionare la raccolta e fare clic su Sincronizza.


VMware, Inc. 67

Fornire accesso a desktop eapplicazioni diVMware Horizon Cloud Service 5VMware Horizon Cloud Service con un'infrastruttura ospitata o locale può essere integrato con il servizioVMware Identity Manager.

Integrando Horizon Cloud con il servizio VMware Identity Manager permette di offrire agli utenti lapossibilità di accedere alle applicazioni e ai desktop di Horizon Cloud per cui sono autorizzati dal portaleo dall'app Workspace ONE. In questo modo, gli utenti possono accedere a tutte le applicazioni dei lorodispositivi da un'unica posizione.

I pool di desktop e applicazioni, denominati anche assegnazioni, vengono configurati nel tenant diHorizon Cloud. Anche i permessi di utenti e gruppi vengono impostati nel tenant di Horizon Cloud e nonnel servizio VMware Identity Manager. È necessario sincronizzare tali utenti e gruppi nel servizioVMware Identity Manager da Active Directory prima di procedere all'integrazione con il tenant diHorizon Cloud.

Per integrare Horizon Cloud in VMware Identity Manager, creare una o più raccolte di app virtuali nellaconsole di VMware Identity Manager. Le raccolte contengono le informazioni di configurazione per itenant di Horizon Cloud, nonché le impostazioni di sincronizzazione.

È possibile impostare una pianificazione di sincronizzazione per ogni raccolta al fine di sincronizzareregolarmente risorse e permessi dei tenant di Horizon Cloud con il servizio VMware Identity Manager.

Dopo aver effettuato l'integrazione del tenant di Horizon Cloud con VMware Identity Manager, i desktop ele applicazioni di Horizon Cloud saranno visibili nella console di VMware Identity Manager. Sarà inoltrepossibile visualizzare permessi di utenti e gruppi.

Gli utenti finali possono avviare app e desktop autorizzati dal portale o dall'app Workspace ONE. Èpossibile accedere a questi desktop e applicazioni utilizzando un browser o da VMware Horizon®

Client™. Sono supportate le versioni 3.4 e successive di Horizon Client.


n Integrazione di desktop e applicazioni di Horizon Cloud

n Visualizzazione delle informazioni sui pool di desktop e applicazioni di Horizon Cloud in VMwareIdentity Manager

n Visualizzazione delle assegnazioni di utenti e gruppi per i desktop e le applicazioni di Horizon Cloud


n Permettere agli utenti di reimpostare desktop Horizon Cloud

VMware, Inc. 68

n Esecuzione di un desktop o un'applicazione di Horizon Cloud

Integrazione di desktop e applicazioni di Horizon CloudPer integrare con il servizio VMware Identity Manager desktop e applicazioni di Horizon Cloud, creareuno o più raccolte di app virtuali nella console di VMware Identity Manager, configurare i dettagli deltenant di Horizon Cloud nella raccolta e sincronizzare le risorse e permessi dal tenant di Horizon Cloud. Èinoltre necessario configurare l'autenticazione SAML per abilitare la relazione di attendibilità tra il tenantdi Horizon Cloud e il servizio VMware Identity Manager.

Scenario di distribuzione per l'integrazione di Horizon CloudPer integrare Horizon Cloud con VMware Identity Manager, è necessario un tenant di Horizon Cloud, untenant di VMware Identity Manager e un connettore di VMware Identity Manager. È necessario installare ilconnettore in locale con line-of-sight verso il tenant di Horizon Cloud.

Figura 5‑1. Integrazione di Horizon Cloud con un connettore distribuito in locale

1 Il connettore sincronizza le informazioni su utenti e gruppi da Active Directory dal tenant di VMwareIdentity Manager.

2 Il connettore sincronizza i permessi di utenti e gruppi di Horizon Cloud dal tenant di Horizon Cloud altenant di VMware Identity Manager.


VMware, Inc. 69

3 L'utente finale accede a un desktop o a un'applicazione come riportato di seguito:

a L'utente finale si collega al servizio VMware Identity Manager e fa clic su un desktop o suun'applicazione.

b Il servizio genera un URL di avvio e lo inoltra al client Horizon. L'URL di avvio include un IDrisorsa utente SAML.

c Horizon Client accede all'URL di avvio.

d Il tenant di Horizon Cloud riceve la richiesta e convalida l'ID dell'artefatto SAML con il servizioVMware Identity Manager.

e Se l'ID dell'artefatto SAML viene convalidato dal servizio VMware Identity Manager, il tenant diHorizon Cloud esegue lo streaming del desktop o dell'applicazione in Horizon Client.

Installazione Connector

Per l'integrazione di Horizon Cloud, è necessaria la versione del connettore 2016.1.1 o successiva.L'integrazione di più tenant di Horizon Cloud con un singolo tenant di VMware Identity Manager èsupportata nella versione 2017.8.1.0 e successive del connettore.

Per informazioni sull'installazione del connettore Windows, vedere Installazione e configurazione diVMware Identity Manager Connector (Windows).

Dopo aver installato e configurato il connettore, creare una directory nel tenant di VMware IdentityManager e sincronizzare gli utenti e i gruppi di Active Directory che dispongono di permessi per i desktope le applicazioni di Horizon Cloud.

Integrazione di più istanze di Horizon CloudÈ possibile integrare più tenant di Horizon Cloud con una singola istanza di VMware Identity Manager inmodo che sia possibile sincronizzare in un'unica posizione risorse e permessi di Horizon Cloud da tutti itenant, gestire centralmente l'autenticazione e i criteri di accesso, nonché fare in modo che gli utenti finalicon permessi in diversi tenant possano essere serviti da un singolo portale o app.

VMware Identity Manager supporta l'integrazione con i seguenti tipi di ambienti Horizon Cloud:

n Infrastruttura ospitata di Horizon Cloud (Soft-Layer e Azure)

n Infrastruttura locale di Horizon Cloud

Durante l'integrazione di più tenant di Horizon Cloud, tenere presenti le considerazioni seguenti.

n Un singolo connettore di VMware Identity Manager può sincronizzare le risorse e i permessi di piùtenant di Horizon Cloud con il servizio VMware Identity Manager.

n Ogni tenant di Horizon Cloud può fornire permessi per gli utenti in differenti istanze e domini di ActiveDirectory. Assicurarsi di aggiungere tutte le directory e i domini pertinenti a VMware Identity Managerin modo che tutti gli utenti con permessi in uno qualsiasi dei tenant di Horizon Cloud venganosincronizzati con VMware Identity Manager.


VMware, Inc. 70

n Se le appliance del tenant dispongono di certificati autofirmati, è necessario caricare il certificatoautofirmato come certificato root attendibile in VMware Identity Manager. Quando si integrano piùtenant di Horizon Cloud, è necessario assicurarsi che tutti i certificati abbiano lo stesso certificatoroot, dato che è possibile caricare un solo certificato root in VMware Identity Manager.

n VMware Identity Manager non può accedere e sincronizzare i permessi da un tenant in cui è abilitatal'autenticazione a due fattori.

n In VMware Identity Manager, è possibile aggiungere tutti i tenant di Horizon Cloud in unaconfigurazione, denominata Raccolta app virtuali, oppure creare più configurazioni. Quando tutti itenant di Horizon Cloud vengono aggiunti a una configurazione, se VMware Identity Manager nonpuò accedere a uno dei tenant, crea un avviso e continua a sincronizzare risorse e permessi deglialtri tenant.

n Assicurarsi di configurare l'autenticazione SAML in ogni tenant di Horizon Cloud che si integra conVMware Identity Manager.

Prerequisiti per l'integrazionePrima di integrare Horizon Cloud con VMware Identity Manager, assicurarsi che siano soddisfatti iprerequisiti.

n Verificare di disporre della seguente configurazione:

n Un tenant di VMware Identity Manager

n Un connettore di VMware Identity Manager installato in locale. Vedere Scenario di distribuzioneper l'integrazione di Horizon Cloud per informazioni.

Per l'integrazione di Horizon Cloud, è necessario VMware Identity Manager Connector 2016.1.1 oversione successiva. La versione 2017.8.1.0 o successiva è necessaria per l'integrazione con piùtenant di Horizon Cloud.

n Uno o più tenant di Horizon Cloud accessibili tramite il connettore di VMware Identity Manager.Per configurarlo, consultare il rappresentante di Horizon Cloud.

n Verificare che ogni tenant di Horizon Cloud soddisfi i requisiti seguenti.

n Il nome del tenant deve essere un nome di dominio completo (FQDN), non un semplice nomehost. Ad esempio, dovrà essere server-ta1.example.com anziché server-ta1.

n Le appliance del tenant dovrebbero avere certificati firmati validi emessi da un CA. Il certificatodeve corrispondere al nome di dominio completo FQDN dell'appliance del tenant. Se le appliancedel tenant dispongono di certificati autofirmati, è necessario caricare il certificato autofirmatocome certificato root attendibile in VMware Identity Manager. Quando si integrano più tenant diHorizon Cloud, è necessario assicurarsi che tutti i certificati abbiano lo stesso certificato root,dato che è possibile caricare un solo certificato root in VMware Identity Manager.

n Verificare che l'ora dei tenant di Horizon Cloud e l'ora del servizio di VMware Identity Manager sianosincronizzate. In caso contrario, è possibile che si verifichi un errore di SAML non valido quando gliutenti avviano desktop e applicazioni di Horizon Cloud.


VMware, Inc. 71

n Creare e configurare pool di desktop e applicazioni, denominati anche assegnazioni, nella console diamministrazione del tenant di Horizon Cloud. Nel tenant di Horizon Cloud, è possibile creare iseguenti tipi di pool:

n Pool di desktop dinamici, detti anche assegnazione di desktop mobili

n Pool di desktop statici, detti anche assegnazione di desktop dedicati

n Pool basati su sessione con desktop, detti anche assegnazione di desktop di sessione

n Pool basati su sessione con applicazioni, detti anche assegnazione di applicazione remota

Per ulteriori informazioni sui tipi di pool, consultare la documentazione di Horizon Cloud.

n Impostare i permessi di utenti e gruppi per i desktop e le applicazioni di Horizon Cloud nella consoledi amministrazione del tenant di Horizon Cloud.

Nota Solo i permessi per gli utenti appartenenti a un gruppo registrato vengono sincronizzati. Gliutenti che non appartengono ad alcun gruppo non vedranno i propri permessi inVMware Identity Manager.

n Nella console di VMware Identity Manager, verificare che utenti e gruppi con permessi Horizon Cloudvengano sincronizzati da Active Directory a VMware Identity Manager utilizzando la sincronizzazionedelle directory.

Seguire queste indicazioni:

n Se si stanno integrando tenant di Horizon Cloud multipli, assicurarsi di aggiungere tutte ledirectory rilevanti e i domini a VMware Identity Manager in modo che gli utenti con permessi inuno qualsiasi dei tenant di Horizon Cloud vengano sincronizzati con VMware Identity Manager.

n È necessario impostare sAMAccountName come attributo di ricerca directory per la directory inVMware Identity Manager.

n Verificare che distinguishedName sia impostato come un attributo obbligatorio per la directory diVMware Identity Manager e mappato all'attributo distinguishedName di Active Directory.

Gli attributi devono essere contrassegnati come obbligatori prima che la directory venga creata.Dopo la creazione della directory, gli attributi non possono essere infatti modificati da facoltativi aobbligatori.

1 Nella console di VMware Identity Manager, passare alla pagina Gestione identità e accessi> Configurazione > Attributi utente.

2 In Attributi predefiniti, selezionare la casella di controllo Obbligatorio perdistinguishedName.


4 Durante la creazione della directory, mappare l'attributo distinguishedName all'attributo diActive Directory distinguishedName.


VMware, Inc. 72

Configurazione di tenant Horizon Cloud inVMware Identity ManagerPer integrare i tenant Horizon Cloud con il servizio VMware Identity Manager , creare una raccolta di appvirtuali nella console di VMware Identity Manager, che contiene informazioni sul tenant Horizon Cloud,nonché le impostazioni di sincronizzazione e i permessi e le risorse di sincronizzazione dal tenantHorizon Cloud al servizio di VMware Identity Manager.

Se si dispone di più tenant Horizon Cloud, è possibile creare raccolte di app virtuali separate per ciascuntenant o configurare tutti i tenant in un'unica raccolta, in base alle proprie esigenze. Ogni raccolta vienesincronizzata separatamente.

Prerequisiti

n Assicurarsi che siano soddisfatti i prerequisiti descritti in Prerequisiti per l'integrazione Vedere anche Integrazione di più istanze di Horizon Cloud.

n È necessario utilizzare un ruolo amministratore che possa eseguire l'azione Gestisci applicazionidesktop nel servizio del catalogo.

Procedura




4 Selezionare Horizon Cloud come tipo di origine.

5 Nella procedura guidata per la creazione di una nuova raccolta di app virtuali di Horizon Cloud,immettere le informazioni seguenti nella pagina Connettore.

Opzione Descrizione

Nome Immettere un nome univoco per la raccolta di Horizon Cloud.

Connettore Selezionare il connettore che si desidera utilizzare per sincronizzare questaraccolta. Per selezionare il connettore, selezionare la directory a cui è associato.Se è stato configurato un cluster di connettori, tutte le istanze del connettorevengono visualizzate nell'elenco Host ed è possibile disporli in ordine di failoverper questa raccolta.




VMware, Inc. 73

7 Nella pagina Tenant, fare clic su Aggiungi tenant e immettere le informazioni del tenant di HorizonCloud.

Importante Non utilizzare caratteri non ASCII quando si specificano le informazioni sul dominio.

Opzione Descrizione

Host Nome completo (FQDN) dell'host del tenant di Horizon Cloud. Ad esempiotenant1.example.com

Porta Numero di porta dell'host del tenant di Horizon Cloud. Ad esempio 443

Utente amministratore Nome utente dell'account amministratore del tenant di Horizon Cloud. Adesempio tenantadmin

Password amministratore Password dell'account amministratore del tenant di Horizon Cloud.

Dominio amministratore Nome dominio NETBIOS di Active Directory nel quale risiede l'amministratore deltenant di Horizon Cloud.

Domini da sincronizzare Nomi di dominio NETBIOS di Active Directory per la sincronizzazione di risorse epermessi di Horizon Cloud.

Nota Per il valore di campo viene fatta distinzione tra lettere maiuscole eminuscole. Assicurarsi di utilizzare le lettere maiuscole e minuscole correttequando si immettono i nomi.

URL del servizio consumerdichiarazione

URL in cui pubblicare la dichiarazione SAML. Questo URL è in genere l'indirizzoIP mobile o il nome host del tenant di Horizon Cloud oppure l'URL di UnifiedAccess Gateway. Ad esempio https://mytenant.example.com.


VMware, Inc. 74

Opzione Descrizione

True SSO Abilitare questa opzione solo se la funzionalità True SSO è abilitata per il tenantdi Horizon Cloud.

Quando questa opzione è abilitata, agli utenti che hanno effettuato l'accesso aVMware Identity Manager con un metodo di autenticazione senza passwordcome SecurID non verrà richiesta la password quando avviano i propri desktopWindows.

Mappatura ID personalizzata È possibile personalizzare l'ID utente utilizzato nella risposta SAML quando gliutenti avviano i desktop e le applicazioni di Horizon Cloud. Per impostazionepredefinita, viene utilizzato il nome dell'entità utente. Si può scegliere di utilizzarealtri formati dell'ID nome, come nOMeAccountsAML, oppure l'indirizzo e-mail epersonalizzare il valore.

Formato ID nome: selezionare il formato dell'ID nome, come Indirizzo e-mail oNome entità utente. Il valore predefinito è Non specificato (nome utente).Valore ID nome: fare clic su Selezionare da suggerimenti e scegliere un valorein un elenco di valori predefiniti oppure fare clic su Valore personalizzato eimmettere il valore. Questo valore può essere qualsiasi espressione ExpressionLanguage (EL) valida, come ${user.userName}@${user.domain}. Il valorepredefinito è ${user.userPrincipalName}.

Nota Assicurarsi che gli attributi utilizzati nell'espressione siano attributi mappatinella directory di VMware. È possibile visualizzare gli attributi mappati nellascheda Impostazioni di sincronizzazione della directory. Nell'esempio precedente,userName, userPrincipalName e domain sono attributi mappati alla directory.

La possibilità di selezionare il formato dell'ID nome è utile negli scenari seguenti:n Quando si sincronizzano gli utenti di più sottodomini, è possibile che il nome

dell'entità utente non funzioni. È possibile utilizzare un formato dell'ID nomediverso, come nOMeAccountsAML, oppure l'indirizzo e-mail per identificaregli utenti in modo univoco.

Importante Assicurarsi di utilizzare la stessa impostazione del formato dell'IDnome in Horizon Cloud e in VMware Identity Manager.

8 Fare clic su Aggiungi.

9 Aggiungere altri tenant, se necessario, quindi fare clic su Avanti.


VMware, Inc. 75


Opzione Descrizione






Client di avvio predefinito Selezionare il client predefinito per gli utenti finali che accedono ai desktop e alleapp di Horizon Cloud dall'app o dal portale di Workspace ONE.

Nessuno A livello di amministratore non è impostata alcuna preferenza

predefinita. Se questa opzione è impostata su Nessuno e l'utentefinale non imposta alcuna preferenza, l'impostazione del protocollopredefinito di Horizon Cloud viene utilizzata per determinare lamodalità di avvio del desktop o dell'applicazione.

Browser I desktop e le applicazioni di Horizon Cloud vengono avviati in unbrowser Web per impostazione predefinita. Se impostate, lepreferenze dell'utente finale hanno la precedenza su questaimpostazione.

Nativo I desktop e le applicazioni di Horizon Cloud vengono avviati inHorizon Client per impostazione predefinita. Se impostate, lepreferenze dell'utente finale hanno la precedenza su questaimpostazione.

Questa impostazione si applica a tutti gli utenti per tutte le risorse in questaraccolta.

Alle impostazioni di avvio predefinite del client viene applicato l'ordine diprecedenza seguente, dalla più alta alla più bassa:

a Impostazione della preferenza dell'utente finale nel portale Workspace ONE.Questa impostazione non è disponibile nell'app Workspace ONE.

b Impostazione Client di avvio predefinito dell'amministratore per la raccolta,impostata nella console di VMware Identity Manager.

c Impostazioni del protocollo predefinito di Horizon Cloud



VMware, Inc. 76

12 Nella pagina Riepilogo, rivedere le selezioni, quindi fare clic su Salva.

La raccolta viene creata e visualizzata nella pagina Raccolta app virtuali.

13 Per sincronizzare le risorse e i permessi nella raccolta, selezionare la raccolta nella pagina Raccoltaapp virtuali e fare clic su Sincronizza.

Ogni volta che si verifica un cambiamento nelle risorse o nei permessi in Horizon Cloud, affinché lemodifiche si propaghino in VMware Identity Manager è necessaria una sincronizzazione.


Configurare l'autenticazione SAML nel tenant di Horizon Cloud per abilitare la relazione di attendibilità trail servizio VMware Identity Manager e il tenant di Horizon Cloud.

Configurazione dell'autenticazione SAML nel tenant diHorizon CloudDopo aver creato una raccolta di app virtuali per l'integrazione di Horizon Cloud nella console di VMwareIdentity Manager, configurare l'autenticazione SAML nel tenant di Horizon Cloud.

Se si stanno integrando più tenant di Horizon Cloud, assicurarsi di configurare l'autenticazione SAML intutti i tenant.

Nota Data e ora dell'appliance del tenant di Horizon Cloud e di VMware Identity Manager devono esseresincronizzate. Se l'orario non è sincronizzato, al tentativo di avviare desktop e applicazioni diHorizon Cloud viene visualizzato un messaggio di SAML non valido.

Procedura

1 Nella console di VMware Identity Manager, selezionare la scheda Catalogo > App virtuali, quindifare clic su Impostazioni.

2 Nel riquadro a sinistra, in App di SaaS, fare clic su Metadati SAML.

3 Nella scheda Scarica metadati SAML, fare clic su Copia URL accanto al collegamento Metadati delprovider di identità (IdP).

L'URL, in un formato simile ahttps://VMwareIdentityManagerFQDN/SAAS/API/1.0/GET/metadata/idp.xml, viene copiato negliappunti.


VMware, Inc. 77

4 Accedere al tenant di Horizon Cloud.

5 Passare a Impostazioni > Gestione identità.


7 Configurare le impostazioni richieste.

Opzione Descrizione

URL di Identity Manager L'URL dei metadati del provider di identità di VMware Identity Manager copiato.L'URL in genere corrisponde al seguente formato:

https://VMwareIdentityManagerFQDN/SAAS/API/1.0/GET/metadata/idp.xml

Timeout token SSO (Facoltativo) Periodo di tempo, in minuti, trascorso il quale si verifica il timeout deltoken SSO.

Data center Nome del data center di Horizon Cloud. Selezionare il nome dall'elenco adiscesa.

Indirizzo tenant Indirizzo del tenant di Horizon Cloud. Specificare l'indirizzo IP mobile o il nomehost dell'appliance del tenant di Horizon Cloud, oppure l'indirizzo IP o il nomehost Unified Access Gateway. Ad esempio mytenant.example.com.

In Horizon Cloud in Azure vengono visualizzate le seguenti impostazioni.

Opzione Descrizione

URL di VMware Identity Manager L'URL dei metadati del provider di identità di VMware Identity Manager copiato.L'URL in genere corrisponde al seguente formato:

https://VMwareIdentityManagerFQDN/SAAS/API/1.0/GET/metadata/idp.xml

Timeout token SSO (Facoltativo) Periodo di tempo, in minuti, trascorso il quale si verifica il timeout deltoken SSO.

Posizione Selezionare una posizione per filtrare l'elenco a discesa Nodo con i nodi associatia quella posizione.

Nodo Selezionare il nodo da integrare con VMware Identity Manager.


VMware, Inc. 78

Opzione Descrizione

Centro dati Nome del centro dati di Horizon Cloud. Selezionare il nome dall'elenco a discesa.

Indirizzo tenant Indirizzo del tenant di Horizon Cloud. Specificare l'indirizzo IP mobile o il nomehost dell'appliance del tenant di Horizon Cloud, oppure l'indirizzo IP o il nomehost Unified Access Gateway. Ad esempio mytenant.example.com.


Se l'integrazione ha esito positivo, lo stato è verde.

9 Per bloccare l'accesso degli utenti, eccetto tramite VMware Identity Manager, fare clic su Configura emodificare le impostazioni.

Opzione Descrizione

Forza gli utenti remoti verso IdentityManager

Selezionare Sì per bloccare l'accesso degli utenti remoti, eccetto tramite IDM.Opzione visualizzata solo se lo stato di Identity Manager è verde.

Forza gli utenti interni verso IdentityManager

Selezionare Sì per bloccare l'accesso degli utenti interni, eccetto tramite IDM.Opzione visualizzata solo se lo stato di Identity Manager è verde.

L'integrazione è completa. Dopo la sincronizzazione delle risorse di Horizon Cloud in VMware IdentityManager, è possibile visualizzare i pool di applicazioni e desktop di Horizon Cloud nella console diVMware Identity Manager e gli utenti finali possono avviare le risorse per cui sono autorizzati dall'app odal portale Workspace ONE.

Visualizzazione delle informazioni sui pool di desktop eapplicazioni di Horizon Cloud in VMware Identity ManagerNella console di VMware Identity Manager, è possibile visualizzare informazioni sui pool di desktop eapplicazioni di Horizon Cloud sincronizzati.

Procedura


2 Fare clic sull'icona nell'intestazione della colonna Tipo e selezionare Desktop Horizon Cloud oApplicazione Horizon Cloud, oppure entrambi, per visualizzare tutti i pool di desktop e applicazionidi Horizon Cloud.



La sezione Definizione nella pagina dell'applicazione include gli attributi sincronizzati dal tenant diHorizon Cloud, come i seguenti:

n UUID dell'applicazione

n Nome, ID e dominio del pool

n Client di avvio supportati


VMware, Inc. 79

Per informazioni su questi attributi, consultare la documentazione di Horizon Cloud.

Nota Da questa pagina è anche possibile modificare le impostazioni di VMware Identity Managerper l'applicazione, ad esempio categorie, criteri di accesso e licenze.

Visualizzazione delle assegnazioni di utenti e gruppi per idesktop e le applicazioni di Horizon CloudNella console di VMware Identity Manager, è possibile visualizzare le assegnazioni di utenti e gruppi per ipool di desktop e applicazioni di Horizon Cloud. Queste assegnazioni vengono impostate in HorizonCloud e sincronizzate con VMware Identity Manager. Non è possibile modificare le assegnazioni daVMware Identity Manager.

Prerequisiti

Per visualizzare gli aggiornamenti più recenti, sincronizzare manualmente le risorse e i permessi deitenant di Horizon Cloud con VMware Identity Manager dalla pagina Catalogo > Raccolte di app virtuali.

Procedura


2 Visualizzare le assegnazioni di utenti e gruppi per i pool di desktop e applicazioni di Horizon Cloud.

Opzione Azione

Elencare utenti e gruppi assegnati a unpool di desktop o applicazionispecifico di Horizon Cloud

a Fare clic sulla scheda Catalogo > App virtuali.b (Facoltativo) Fare clic sull'icona nell'intestazione della colonna Tipo e cercare

il pool in base al nome o selezionare Desktop Horizon Cloud oApplicazione Horizon Cloud per visualizzare tutti i pool di desktop oapplicazioni di Horizon Cloud.



Elencare le assegnazioni dei pool didesktop e applicazioni di Horizon perun utente o un gruppo specifico.



Verranno elencate le assegnazioni dei pool di desktop e le applicazioni di HorizonCloud per l'utente o il gruppo.



VMware, Inc. 80



Procedura














Permettere agli utenti di reimpostare desktop HorizonCloudA seconda di come l'impostazione è configurato in Horizon Cloud, gli utenti possono reimpostare desktopdi Horizon Cloud dedicati da Workspace ONE. Gli utenti possono ad esempio reimpostare i propridesktop se questi non rispondono più ai comandi.

L'opzione per consentire agli utenti di reimpostare i propri desktop è configurata in Horizon Cloud, non inVMware Identity Manager. L'impostazione è supportata in VMware Identity Manager 3.2 e nel connettore2018.1.1.0 e versioni successive. Verificare che tutti i connettori siano della versione 2018.1.1.0 oversione successiva.

Solo i desktop di Horizon Cloud dedicati possono essere reimpostati da Workspace ONE.


VMware, Inc. 81

Se Horizon Cloud consente agli utenti di reimpostare i desktop, il comando di reimpostazione èdisponibile in Workspace ONE per il desktop. Il comando viene visualizzato solo per i desktop per cui èconsentita la reimpostazione.

Esecuzione di un desktop o un'applicazione diHorizon CloudGli utenti finali possono eseguire i desktop e le applicazioni di Horizon Cloud loro assegnati dall'app o dalportale di Workspace ONE.

In base alla modalità di configurazione di un'applicazione o un desktop nel tenant di Horizon Cloud, èpossibile avviare tale applicazione o desktop in Horizon Client oppure in un browser. Per le applicazioni oi desktop che sono configurati solo per Horizon Client, gli utenti devono installare Horizon Client nei proprisistemi. Per le applicazioni e i desktop che sono configurati sia per Horizon Client che per i browser, gliutenti possono selezionare il metodo di avvio.

Gli utenti possono inoltre impostare la loro preferenza di avvio predefinita nella pagina Preferenze nelportale Workspace ONE. Questa preferenza dell'utente ha la precedenza su qualsiasi preferenza di avviopredefinita impostata a livello di amministratore.

Nota Gli utenti non possono impostare una preferenza di avvio predefinita nell'app Workspace ONE.

Prerequisiti

In base a come è configurata l'applicazione o il desktop nel tenant di Horizon Cloud, è possibile che gliutenti debbano installare Horizon Client.

Per conoscere le versioni di Horizon Client supportate, vedere la tabella di interoperabilità dei prodottiVMware all'indirizzo http://www.vmware.com/resources/compatibility/sim/interop_matrix.php.

Procedura

1 Accedere al portale Workspace ONE.


VMware, Inc. 82

2 Fare clic su Apri sul desktop o nell'applicazione che si desidera utilizzare, selezionare il metodo diavvio e fare clic su Apri.

Nota In base alla configurazione del desktop o dell'applicazione e alle proprie preferenze, potrebbeessere necessario installare Horizon Client nel sistema in uso.


VMware, Inc. 83

Consentire l'accesso a pacchettiVMware ThinApp 6Con VMware Identity Manager è possibile distribuire e gestire in modo centralizzato pacchetti ThinApp,ovvero applicazioni Windows virtualizzate utilizzate su sistemi Windows. Gli utenti con permessi chedispongono dell'applicazione VMware Identity Manager Desktop installata sui propri sistemi Windowspossono avviare e utilizzare i pacchetti ThinApp per i quali hanno i permessi su tali sistemi Windows.

Nei processi di acquisizione e build di ThinApp, viene creata un'applicazione virtuale da un'applicazioneWindows. Tale applicazione Windows virtualizzata può essere eseguita su un sistema Windows senzache il sistema abbia l'applicazione originale installata. Il pacchetto ThinApp è costituito da una serie di filedi applicazioni virtuali generati eseguendo i processi di acquisizione e build di ThinApp su un'applicazioneWindows. Il pacchetto include il file del contenitore dati primario e i file dei punti di accesso per accedereall'applicazione Windows.

Non tutti i pacchetti ThinApp sono compatibili con VMware Identity Manager. Quando si acquisisceun'applicazione Windows, le impostazioni predefinite del processo di acquisizione e generazione diThinApp determinano la creazione di un pacchetto che VMware Identity Manager non può distribuire egestire. Viene creato un pacchetto ThinApp che VMware Identity Manager può distribuire e gestireimpostando i parametri appropriati durante i processi di acquisizione e build. Consultare ladocumentazione di VMware ThinApp per informazioni dettagliate sulle funzioni di ThinApp e sui parametriappropriati da utilizzare per creare un pacchetto compatibile con VMware Identity Manager.

Dopo aver integrato VMware Identity Manager con il repository ThinApp, è possibile individuare nelproprio catalogo i pacchetti ThinApp nel repository che VMware Identity Manager può distribuire e gestire.Quando i pacchetti ThinApp sono presenti nel catalogo di VMware Identity Manager, è possibile fornirepermessi a utenti e gruppi per tali pacchetti ThinApp e, facoltativamente, configurare informazioni dimonitoraggio delle licenze per ogni pacchetto.

Importante L'integrazione con ThinApp è supportata solo con il connettore Linux diVMware Identity Manager. Non è supportata con il connettore per Windows.


n Integrazione di pacchetti VMware ThinApp

n Autorizzazione di utenti e gruppi per i pacchetti ThinApp

n Distribuzione e gestione di pacchetti ThinApp con VMware Identity Manager

n Aggiornamento di pacchetti ThinApp gestiti dopo la distribuzione in VMware Identity Manager

VMware, Inc. 84

n Impostazione dei pacchetti ThinApp come compatibili con VMware Identity Manager

n Modifica della cartella di condivisione dei pacchetti ThinApp


Integrazione di pacchetti VMware ThinAppPer utilizzare VMware Identity Manager per distribuire e gestire applicazioni compresse con VMware®

ThinApp®, è necessario disporre di un repository ThinApp che contenga i pacchetti ThinApp, fareriferimento a tale repository e sincronizzare i pacchetti. Una volta terminato il processo disincronizzazione, i pacchetti ThinApp saranno disponibili nel proprio catalogo diVMware Identity Manager e sarà possibile autorizzarli per gli utenti e i gruppi diVMware Identity Manager.

ThinApp consente la virtualizzazione delle applicazioni mediante il disaccoppiamento dell'applicazione dalsistema operativo sottostante e le relative librerie e framework e l'integrazione di un'applicazione di unsingolo file eseguibile detto pacchetto applicativo. Perché questi pacchetti siano gestiti daVMware Identity Manager, è necessario che siano abilitati con le opzioni appropriate. Ad esempio, nellaprocedura guidata di ThinApp Setup Capture, si seleziona la casella di spunta Gestisci con area dilavoro. Per maggiori informazioni sulle funzioni ThinApp e su come abilitare le proprie applicazioni per lagestione con VMware Identity Manager, fare riferimento alla documentazione di VMware ThinApp.

Di solito, queste operazioni vengono effettuate per connettere VMware Identity Manager Connector alrepository e sincronizzare i pacchetti come parte della configurazione, sia globale che del proprioambiente VMware Identity Manager. Il repository ThinApp deve essere una condivisione di reteaccessibile a connettore mediante un percorso UNC (Uniform Naming Convention). connettoresincronizza regolarmente questa condivisione di rete per ottenere i metadati dei pacchetti ThinAppnecessari a VMware Identity Manager per distribuire e gestire i pacchetti. Vedere Requisiti di VMwareIdentity Manager per i pacchetti ThinApp e il repository della condivisione di rete.

La condivisione di rete può essere una condivisione CIFS (Common Internet File System) o unacondivisione DFS (Distributed File System). La condivisione DFS può essere una singola condivisione fileServer Message Block (SMB) o più condivisioni file SMB organizzate come un file system distribuito.Sono supportate condivisioni CIFS e DFS in esecuzione su sistemi di archiviazione NetApp. Sonosupportate anche le condivisioni DFS su sistemi di archiviazione Isilon.

Requisiti di VMware Identity Manager per i pacchetti ThinApp e ilrepository della condivisione di reteQuando si acquisiscono e archiviano applicazioni ThinApp per distribuirle da VMware Identity Manager, ènecessario soddisfare requisiti specifici.


VMware, Inc. 85

Requisiti dei pacchetti ThinAppPer creare o ricreare pacchetti ThinApp che possano essere gestiti da VMware Identity Manager, ènecessario utilizzare una versione di ThinApp supportata da VMware Identity Manager.VMware Identity Manager supporta ThinApp 4.7.2 e versioni successive. Per informazioni aggiornatesulle versioni supportate, vedere le tabelle di interoperabilità dei prodotti VMware all'indirizzohttp://www.vmware.com/resources/compatibility/sim/interop_matrix.php.

È necessario avere pacchetti ThinApp che possano essere gestiti da VMware Identity Manager. Nelprocesso di acquisizione e creazione di ThinApp, è possibile creare sia pacchetti che possono esseregestiti da VMware Identity Manager sia pacchetti che non possono essere gestiti. Ad esempio, quando siutilizza la procedura guidata ThinApp Setup Capture per acquisire un'applicazione, è possibile creare unpacchetto che può essere gestito da VMware Identity Manager selezionando la casella di controlloGestisci con Workspace. Consultare la documentazione di VMware ThinApp per informazionidettagliate sulle funzioni di ThinApp e sui parametri appropriati da utilizzare per creare un pacchettocompatibile con VMware Identity Manager.

Per i pacchetti ThinApp esistenti, è possibile utilizzare il comando relink - h per attivare i pacchetti perVMware Identity Manager. Per informazioni su come convertire i pacchetti ThinApp esistenti in pacchettiche possano essere gestiti da VMware Identity Manager, vedere la Guida all'amministrazione diVMware Identity Manager.

È necessario memorizzare i pacchetti ThinApp in una condivisione di rete che soddisfi la combinazione direquisiti data da tipo di condivisione di rete, accesso al repository e modalità di distribuzione dei pacchettiThinApp desiderata in base alle esigenze dell'organizzazione.

Requisiti del repository della condivisione di reteI pacchetti ThinApp devono risiedere in una condivisione di rete, nota anche come repository deipacchetti ThinApp. La condivisione di rete deve essere accessibile utilizzando un percorso UNC (UniformNaming Convention) da ogni sistema che esegue l'applicazione VMware Identity Manager Desktop,utilizzata per accedere ai pacchetti ThinApp. Ad esempio, una condivisione di rete denominata appsharesu un host con nome server è accessibile utilizzando il percorso UNC \\server\appshare. Il nome didominio completo della cartella della condivisione di rete deve essere risolvibile dal connettore.

La condivisione di rete può essere una condivisione CIFS (Common Internet File System) o unacondivisione DFS (Distributed File System). La condivisione DFS può essere una singola condivisione fileServer Message Block (SMB) o più condivisioni file SMB organizzate come un file system distribuito.Sono supportate condivisioni CIFS e DFS in esecuzione su sistemi di archiviazione NetApp. Sonosupportate anche le condivisioni DFS su sistemi di archiviazione Isilon.

La condivisione di rete deve rispettare i criteri appropriati per il tipo di accesso configurato nel connettoreda utilizzare per accedere al repository di pacchetti ThinApp: accesso basato su dominio o accessobasato su account. Il tipo di accesso determina le combinazioni consentite per i seguenti aspetti:

n Se si utilizza una condivisione di rete CIFS o una condivisione di rete DFS per il repository dipacchetti ThinApp.


VMware, Inc. 86

n Se occorre unire il connettore e l'host della condivisione di rete allo stesso dominio di ActiveDirectory.

n Se il sistema Windows dell'utente deve essere unito al dominio Active Directory per utilizzare ipacchetti ThinApp.

n La modalità d'installazione dei pacchetti ThinApp impostata nell'applicazione VMware IdentityManager Desktop installata, utilizzata per ottenere ed eseguire le applicazioni virtualizzate nelsistema Windows in cui l'applicazione è installata. La modalità d'installazione pacchetti utilizzata nelsistema Windows dell'utente viene impostata durante l'installazione dell'applicazione VMware IdentityManager Desktop nel sistema Windows in oggetto. La modalità d'installazione pacchetti determina lamodalità di distribuzione di ThinApp utilizzata da quel sistema Windows, modalità download omodalità trasmissione in streaming.


VMware, Inc. 87

Tipo diaccesso

Tipo dicondivisione direte

Requisiti inVMware Identity Manager Requisiti nel sistema Windows dell'utente

Accessobasatosuldominio

Quando si utilizzal'accesso basato suldominio, è possibileutilizzare unacondivisione CIFSper il repository dipacchetti ThinApp.

Non è possibileutilizzare unacondivisione DFSper l'accesso basatosu dominio. Se sidispone di unacondivisione DFS, ènecessario utilizzarel'accesso basato suaccount.

È necessario unire il connettore aldominio di Active Directory affinchépossa unirsi alla condivisione di retedi Windows e accedere ai pacchetti.

Per ulteriori informazioni su comeconfigurare il connettore per eseguirel'unione al dominio, vedere ladocumentazione sulla configurazionedi Kerberos in Installazione econfigurazione diVMware Identity Manager.

Nota L'autenticazione Windows nonè richiesta.

La condivisione di rete devesupportare l'autenticazione e ipermessi sui file basati sugli accountcomputer. Il connettore accede allacondivisione di rete con l'accountcomputer di connettore nel dominio.

I permessi di cartelle e file dellacondivisione di rete devono essereconfigurati in modo tale che la lorocombinazione consenta l'accesso inlettura per l'account computer delconnettore nel dominio.

Affinché l'utente possa utilizzare i pacchettiThinApp per cui è autorizzato, è necessario che ilsuo sistema Windows venga unito al dominio ActiveDirectory.

Tutti i sistemi seguenti devono essere uniti allostesso dominio:n Il sistema Windows dell'utenten Il connettore.n L'host dell'unità della condivisione di rete con i

pacchetti ThinApp

Quando si utilizza l'accesso basato su dominio,sono consentite le seguenti modalità d'installazioneper i pacchetti ThinApp.n COPY_TO_LOCAL. Con questa modalità

d'installazione, i pacchetti vengono scaricati nelsistema Windows del client. La modalitàd'installazione corrisponde all'uso dellamodalità di download di ThinApp perl'applicazione virtualizzata. L'account utilizzatoper accedere al sistema Windows del client èl'account utente utilizzato per copiare ipacchetti dalla condivisione di rete al sistemaWindows del cliente, e tale account deve averei permessi per leggere i pacchetti e copiare i fileda quella condivisione di rete. Quando ilpacchetto è stato scaricato nel sistemaWindows del client e l'utente ha avviato ilpacchetto, l'applicazione virtualizzata vieneeseguita localmente nel sistema Windows delclient.

n RUN_FROM_SHARE. Con questa modalitàd'installazione, i pacchetti non vengonoscaricati nel sistema Windows del client.L'utente avvia i pacchetti utilizzandocollegamenti sul desktop locale e leapplicazioni virtualizzate vengono eseguitedalla condivisione di rete utilizzando la modalitàdi trasmissione in streaming di ThinApp.L'account utilizzato per accedere al sistemaWindows del client è l'account utente utilizzato


VMware, Inc. 88

Tipo diaccesso



per eseguire i pacchetti dalla condivisione direte, e tale account deve avere i permessi perleggere ed eseguire file da quella condivisionedi rete.

Nota RUN_FROM_SHARE è la scelta piùadatta per i sistemi Windows che avrannosempre connettività alla condivisione di rete deipacchetti ThinApp. I sistemi Windows chemeglio si adattano a questa descrizione sono idesktop di Horizon perché sono sempreconnessi al proprio dominio. Mobili o senzastato, i desktop di Horizon utilizzano al meglioRUN_FROM_SHARE per impedire l'utilizzodelle risorse relativo al download dei pacchettinel sistema Windows.

La modalità d'installazione COPY_TO_LOCALviene impostata come modalità predefinita quandosi installa l'applicazione VMware Identity ManagerDesktop su un sistema Windows utilizzando laversione grafica del programma di installazione delclient. Per impostare una modalità d'installazionedifferente come modalità predefinita per i pacchetti,è necessario eseguire l'installazione del client dallariga di comando. Vedere Opzioni del programmad'installazione da riga di comando per VMwareIdentity Manager Desktop.

Importante La modalità HTTP_DOWNLOADrichiede che l'URL del provider di identità siaraggiungibile dal computer Windows dell'utente. Lemodalità RUN_FROM_SHARE eCOPY_TO_LOCAL richiedono che la condivisioneThinApp sia raggiungibile dal computer Windowsdell'utente.

Accessobasato suaccount

Quando si utilizzal'accesso basatosull'account, èpossibile utilizzareuna condivisioneCIFS o unacondivisione DFSper il repository dipacchetti ThinApp.

È necessario configurare il connettoreper utilizzare un account utente dicondivisione e una password peraccedere alla condivisione di rete e aipacchetti.

L'accoppiata valida di account utentedi condivisione e password deveconsentire l'accesso in lettura alpercorso UNC della cartella dellacondivisione di rete.

Affinché l'utente possa utilizzare i pacchettiThinApp per cui è autorizzato, il suo sistemaWindows non deve essere unito al dominio ActiveDirectory. L'autenticazione Windows non èrichiesta.

Il sistema Windows dell'utente, il connettore e l'hostdella condivisione di rete con i pacchetti ThinAppnon devono essere uniti allo stesso dominio ActiveDirectory.


VMware, Inc. 89

Tipo diaccesso



Non è necessario unire il connettoreal dominio Active Directory per poteraccedere alla condivisione di rete.

Nota Nella console diVMware Identity Manager, ènecessario completare la paginaEntra in dominio prima di poterutilizzare la pagina PacchettiThinApp.

Nota L'accesso basato su account ènecessario se si utilizza lacondivisione di NetApp.

Quando si utilizza l'accesso basato su account,sono consentite le seguenti modalità d'installazioneper i pacchetti ThinApp.n Se il sistema Windows dell'utente non è unito al

dominio, il client deve utilizzare la modalitàd'installazione HTTP_DOWNLOAD perottenere l'applicazione virtualizzata. Lamodalità d'installazione corrisponde all'usodella modalità di download di ThinApp perl'applicazione virtualizzata.

Il connettore utilizza l'account utente dicondivisione per recuperare i pacchetti dalrepository.

n Se l'utente unisce il sistema Windows aldominio, il client può utilizzare la modalitàd'installazione COPY_TO_LOCAL o la modalitàd'installazione RUN_FROM_SHARE pereseguire i pacchetti ThinApp autorizzati agliutenti. L'account utilizzato per accedere al


VMware, Inc. 90

Tipo diaccesso



sistema Windows del client è l'account utenteutilizzato per ottenere i pacchetti dallacondivisione di rete, e tale account deve avere ipermessi appropriati sulla condivisione di rete.

Se il sistema Windows dell'utente può essere unitoal dominio in alcuni momenti e non unito in altri, èpossibile installare il client con la modalitàCOPY_TO_LOCAL e con l'opzioneAUTO_TRY_HTTP attivata, purché il connettore siaconfigurato per l'accesso basato su account.

Con questa configurazione, il client in prima battutatenta di utilizzare la modalità COPY_TO_LOCALper scaricare i pacchetti. Se in quel momento ilsistema Windows dell'utente non è unito al dominio,il tentativo di copia dei pacchetti termina con esitonegativo. Ma se è selezionata l'opzioneAUTO_TRY_HTTP, il client tenta immediatamentedi utilizzare HTTP per scaricare i pacchetti. Questacombinazione di COPY_TO_LOCAL eAUTO_TRY_HTTP è l'impostazione predefinitaquando si installa l'applicazione VMware IdentityManager Desktop su un sistema Windowsutilizzando la versione grafica del programma diinstallazione del client.

Affinché il tentativo di scaricare i pacchettiutilizzando la modalità HTTP_DOWNLOAD abbiasuccesso, è necessario che il connettore siaconfigurato per l'accesso basato su account.

Importante La modalità HTTP_DOWNLOADrichiede che l'URL del provider di identità siaraggiungibile dal computer Windows dell'utente. Lemodalità RUN_FROM_SHARE eCOPY_TO_LOCAL richiedono che la condivisioneThinApp sia raggiungibile dal computer Windowsdell'utente.

Inoltre, il repository di pacchetti ThinApp deve soddisfare i seguenti criteri in base alla situazionedescritta.

n Quando le impostazioni coinvolgono sistemi che si uniscono al dominio Active Directory, assicurarsiche vi sia uno spazio nomi indipendente che impedisce ai computer membri del dominio di accederealla condivisione di rete che contiene i pacchetti ThinApp. Uno spazio nomi indipendente si verificaquando il nome di un dominio di Active Directory è diverso dallo spazio nomi DNS utilizzato dallemacchine presenti in quel dominio.

n I permessi di condivisione e file della condivisione di rete devono essere configurati per fornireaccesso in lettura e l'autorizzazione a eseguire applicazioni per gli utenti che desiderano eseguire leapplicazioni ThinApp utilizzando l'opzione COPY_TO_LOCAL o RUN_FROM_SHARE.


VMware, Inc. 91

Ad esempio, per gli account Active Directory degli utenti che desiderano eseguire le applicazioniThinApp in modalità trasmissione in streaming, l'impostazione del permesso della Cartella condivisasu Lettura e il permesso NTFS Lettura ed esecuzione fornisce loro l'accesso in lettura e lapossibilità di eseguire le applicazioni.

L'impostazione del permesso NTFS Lettura ed esecuzione è necessaria per poter eseguireun'applicazione ThinApp utilizzando la modalità di trasmissione in streaming di ThinApp, checorrisponde alla modalità d'installazione RUN_FROM_SHARE dell'applicazione VMware IdentityManager Desktop. Se l'organizzazione richiede che il permesso NTFS sia impostato su Lettura, gliutenti possono utilizzare la modalità download di ThinApp per l'applicazione virtualizzata. La modalitàdownload di ThinApp corrisponde all'installazione del client Windows con la modalità d'installazioneCOPY_TO_LOCAL o con la modalità d'installazione HTTP_DOWNLOAD. Con una di questemodalità d'installazione, le applicazioni vengono scaricate nei sistemi Windows e avviate localmente.

Entrambe le condivisioni di rete CIFS e DFS devono avere i pacchetti ThinApp organizzati insottodirectory singole all'interno di una directory sotto lo spazio nomi, non sottodirectory nello spazionomi stesso, come ad esempio \\server\appshare\thinapp1, \\server\appshare\thinapp2 ecosì via. Vedere Creazione di una condivisione di rete per i pacchetti ThinApp gestiti da VMwareIdentity Manager.

Creazione di una condivisione di rete per i pacchetti ThinAppgestiti da VMware Identity ManagerSe si desidera attivare le funzionalità di gestione di VMware ThinApp di VMware Identity Manager econsentire agli utenti di accedere ai pacchetti ThinApp dal catalogo, è necessario creare una condivisionedi rete e memorizzare i pacchetti ThinApp nella cartella della condivisione di rete.

VMware Identity Manager ottiene i metadati sui pacchetti ThinApp di cui necessita dalla condivisione difile di rete.

Prerequisiti

n Verificare che i pacchetti ThinApp soddisfino i requisiti di VMware Identity Manager.

n Assicurarsi di disporre dell'accesso e dei permessi necessari per creare una condivisione di file direte nell'ambiente IT che soddisfi i requisiti di VMware Identity Manager per i pacchetti ThinApp.

Procedura

1 Creare una condivisione di rete che soddisfa i requisiti di VMware Identity Manager per i pacchettiThinApp.


VMware, Inc. 92

2 Nella condivisione di rete, creare una sottocartella per ogni pacchetto ThinApp.

Di solito, il nome che viene assegnato alla sottocartella corrisponde al nome dell'applicazioneThinApp, o almeno indica l'applicazione presente nella cartella. Ad esempio, se la condivisione di retesi chiama appshare su un host denominato server e l'applicazione è denominata abceditor, allorala sottocartella per il pacchetto ThinApp sarà \\server\appshare\abceditor.

Nota Non utilizzare caratteri non ASCII quando si creano i nomi delle sottocartelle della condivisionedi rete per i pacchetti ThinApp da distribuire mediante VMware Identity Manager. I caratteri non ASCIInon sono supportati.

3 Copiare i file relativi a ciascun pacchetto ThinApp, come i file EXE e DAT corrispondenti, nellasottocartella a cui è stato assegnato il nome relativo all'applicazione virtualizzata del pacchetto.

Dopo aver copiato i file si avrà una serie di sottocartelle e di file simili ai seguenti:

n \\server\appshare\abceditor\abceditor.exe

n \\server\appshare\abceditor\abceditor.dat


Configurare l'accesso di VMware Identity Manager ai pacchetti ThinApp.

Configurazione dell'accesso di VMware Identity Manager aipacchetti ThinAppPer configurare VMware Identity Manager affinché gli utenti possano accedere ai pacchetti ThinApp,creare una raccolta di app virtuali con tutte le informazioni di configurazione, quali il percorso diarchiviazione dei pacchetti, il connettore da utilizzare per la sincronizzazione e la pianificazione dellasincronizzazione.

È possibile creare una singola raccolta di app virtuali per tutte le integrazioni di ThinApp.

Prerequisiti

n Creare una condivisione di rete con la configurazione appropriata e archiviare i pacchetti ThinAppnella posizione corretta all'interno della condivisione di rete. Vedere Creazione di una condivisione direte per i pacchetti ThinApp gestiti da VMware Identity Manager.

n Assicurarsi di avere il percorso UNC alla cartella della condivisione di rete dove sono archiviati ipacchetti ThinApp.

n Se il connettore non è già unito al dominio, assicurarsi di avere un nome di dominio Active Directory eil nome utente e la password di un account nella stessa Active Directory con i diritti necessari pereffettuare l'unione al dominio. Anche se si utilizza l'accesso basato su account, la console diVMware Identity Manager richiede il completamento della pagina Entra in dominio prima di poterutilizzare la pagina Pacchetti ThinApp.


VMware, Inc. 93

Per attivare l'accesso basato su dominio, è necessario anche unire il connettore allo stesso dominioActive Directory a cui è unito il repository di pacchetti ThinApp. Assicurarsi di avere il nome deldominio Active Directory utilizzato dalla condivisione di rete e il nome utente e la password di unaccount nella stessa Active Directory dotato dei diritti necessari per effettuare l'unione al dominio.L'account Active Directory è utilizzato per unire il connettore al dominio.

n Quando si attiva l'accesso basato su account, assicurarsi di avere un nome utente e una passwordcon l'autorizzazione di lettura sulla condivisione di rete. Vedere Requisiti di VMware Identity Managerper i pacchetti ThinApp e il repository della condivisione di rete.

Nota A meno che non si desideri limitare l'uso dei pacchetti ThinApp ai sistemi Windows uniti aldominio per tutte le situazioni di runtime, è consigliabile attivare l'accesso basato su account inaggiunta all'accesso basato su dominio. Questa combinazione offre la massima flessibilità persupportare situazioni di runtime in cui gli utenti devono poter utilizzare i pacchetti ThinApp per cuisono autorizzati senza dover unire i propri sistemi Windows al dominio.

n È necessario utilizzare un ruolo amministratore che possa eseguire l'azione Gestisci ThinApp nelservizio del catalogo.

Procedura

1 Se VMware Identity Manager Connector per Linux non appartiene già a un dominio, aggiungerlo aldominio di Active Directory.

La distribuzione VMware Identity Manager può avere più istanze di connettore per scenari cheimplementano ad esempio il bilanciamento del carico. L'istanza di connettore configurata in questaprocedura sarà l'istanza che sincronizza i pacchetti ThinApp con VMware Identity Manager.

a Accedere alla console di VMware Identity Manager.

b Selezionare la scheda Gestione identità e accessi.

c Fare clic su Configura.


VMware, Inc. 94

d Nella pagina Connettori, fare clic su Entra in dominio nella riga del connettore appropriata.

e Nella pagina Entra in dominio, immettere le informazioni del dominio Active Directory e fare clicsu Entra in dominio.

Importante Non utilizzare caratteri non ASCII quando si immettono nome di dominio ActiveDirectory (AD), nome utente di AD e password di AD. Nei campi d'immissione della console diVMware Identity Manager non sono supportati i caratteri non ASCII.

Opzione Descrizione

Dominio AD Specificare il nome di dominio completo di Active Directory. Un esempio èHS.TRDOT.COM.

Nome utente AD Immettere il nome utente di un account dell'istanza di Active Directory chedispone delle autorizzazioni necessarie per aggiungere sistemi a tale dominioActive Directory.

Password AD Immettere la password associata al nome utente AD. Tale password nonviene archiviata da VMware Identity Manager.

La pagina Entra in dominio viene aggiornata e visualizza un messaggio per comunicare l'aggiuntadell'utente al dominio.



4 Selezionare Pacchetto ThinApp come tipo di origine.

5 Nella procedura guidata per la creazione di una nuova raccolta ThinApp, immettere le seguentiinformazioni nella pagina del connettore.

Opzione Descrizione

Nome Immettere un nome univoco per la raccolta ThinApp.

Connettore Selezionare il connettore che si desidera utilizzare per sincronizzare questaraccolta. Per selezionare il connettore, selezionare la directory a cui è associato.Se è stato configurato un cluster di connettori, tutte le istanze del connettorevengono visualizzate nell'elenco Host ed è possibile disporli in ordine di failoverper questa raccolta.




VMware, Inc. 95

7 Nella pagina Configurazione, immettere le informazioni necessarie.

Opzione Descrizione

Percorso Percorso della cartella condivisa in cui si trovano le cartelle dei pacchettiThinApp, nel formato di percorso UNC \\server\share\subfolder. Adesempio: \\DirectoryHost\ThinAppFileShare. In DirectoryHost specificare ilnome host e non l'indirizzo IP.

Per le condivisioni di rete sia CIFS che DFS, il percorso deve essere unadirectory sotto lo spazio nomi e non lo spazio nomi stesso.

Abilita accesso basato su account L'accesso basato su account è necessario nei seguenti casi:n Per sistemi di archiviazione NetApp e condivisioni di rete DFS di altri brandn Se si utilizza la modalità di distribuzione download HTTPn Se si desidera che gli utenti siano in grado di utilizzare i rispettivi pacchetti

ThinApp autorizzati in sistemi Windows non uniti al dominio

Utente condivisione Nome utente di un account che dispone di accesso in lettura alla condivisione direte.

L'utente della condivisione è necessario per abilitare l'accesso basato su accountai pacchetti ThinApp archiviati.

Password condivisione Password associata all'account utente Utente condivisione.







9 Nella pagina Riepilogo, rivedere le selezioni, quindi fare clic su Salva.

La raccolta viene creata e visualizzata nella pagina Raccolta app virtuali. Le applicazioni nonvengono ancora sincronizzate.


VMware, Inc. 96

10 Per sincronizzare le applicazioni nella raccolta, selezionare la raccolta nella pagina delle raccolte diapp virtuali e fare clic su Sincronizza.

Ogni volta che le applicazioni ThinApp vengono modificate, è necessaria una sincronizzazione perpropagare le modifiche in VMware Identity Manager.

VMware Identity Manager ora è configurato in modo da poter autorizzare gruppi e utenti ai pacchettiThinApp, e gli utenti possono eseguire i pacchetti ThinApp per cui sono autorizzati utilizzandol'applicazione VMware Identity Manager Desktop installata nei loro sistemi Windows.


Autorizzare i gruppi e gli utenti ai pacchetti ThinApp.

Autorizzazione di utenti e gruppi per i pacchetti ThinAppÈ possibile autorizzare utenti e gruppi per applicazioni di Windows acquisite come pacchetti ThinApp.

Ai pacchetti ThinApp è possibile autorizzare solo utenti di VMware Identity Manager, utenti che sono statiimportati dal server di directory. Quando si autorizza un utente a un pacchetto ThinApp, l'utente vedel'applicazione e può avviarla dall'applicazione VMware Identity Manager Desktop sul proprio sistema. Sesi rimuove il permesso, l'utente non potrà vedere né avviare l'applicazione.

Spesso il modo più efficace per autorizzare gli utenti ai pacchetti ThinApp consiste nell'aggiungere ilpermesso al pacchetto ThinApp a un gruppo di utenti. In determinate situazioni è più appropriatoautorizzare singoli utenti a un pacchetto ThinApp.

Prerequisiti

Configurare una raccolta di app virtuali per i pacchetti ThinApp dalla pagina Catalogo > Raccolte di appvirtuali. Dopo aver creato la raccolta, sincronizzare i pacchetti ThinApp con VMware Identity Manager.Quando i pacchetti ThinApp vengono sincronizzati con il catalogo, è possibile fornire a utenti e gruppi ipermessi necessari per accedervi.

Procedura



VMware, Inc. 97

2 Autorizzare gli utenti a un pacchetto ThinApp.

Opzione Descrizione

Accedere a un pacchetto ThinApp eautorizzare utenti e gruppi al suoutilizzo.

a Fare clic sulla scheda Catalogo > App virtuali.b (Facoltativo) Fare clic sull'icona nell'intestazione della colonna Tipo e

selezionare Pacchetto ThinApp per visualizzare tutti i pacchetti ThinApp. Èinoltre possibile cercare un pacchetto ThinApp in base al nome.

c Fare clic sul pacchetto.

d Fare clic su Assegna.

e Selezionare utenti e gruppi digitando il nome nella casella di ricerca eselezionandoli dai risultati.

f Selezionare il tipo di distribuzione per ciascun utente e gruppo.

Indipendentemente dal fatto che si selezioni Attivato dall'utente oAutomatico, l'applicazione viene aggiunta alla pagina Catalogo nell'app o nelportale di Workspace ONE. Gli utenti possono eseguire l'applicazione dallapagina Catalogo o creare un segnalibro che punta a essa per eseguirla dallapagina dei segnalibri. Tuttavia, se si desidera impostare un flusso diapprovazione per l'applicazione, selezionare Attivata dall'utente.

g Fare clic su Salva.

Accedere a un utente o gruppo eaggiungere i permessi per il pacchettoThinApp all'utente o al gruppo.


d Fare clic sulla scheda App, quindi su Aggiungi permesso.

e Nell'elenco a discesa Tipo di applicazione, selezionare Pacchetti ThinApp.

f Selezionare le caselle di controllo accanto ai pacchetti ThinApp per cuiautorizzare l'utente o il gruppo.

g Nella colonna DISTRIBUZIONE, selezionare il metodo di attivazione per ilpacchetto ThinApp.


h Fare clic su Salva.

Gli utenti o i gruppi selezionati ora sono autorizzati a utilizzare il pacchetto ThinApp.


Verificare che nei sistemi Windows degli utenti sia installata l'applicazione VMware Identity ManagerDesktop.


VMware, Inc. 98

Distribuzione e gestione di pacchetti ThinApp conVMware Identity ManagerPrima che gli utenti di VMware Identity Manager possano eseguire i loro pacchetti ThinApp registratimediante VMware Identity Manager, questi dovranno avere l'applicazione VMware Identity ManagerDesktop installata e in esecuzione sui relativi sistemi Windows.

I pacchetti ThinApp sono applicazioni di Windows virtualizzate. I pacchetti ThinApp sono distribuiti suisistemi Windows e un utente collegato al sistema può avviare ed eseguire solo quei pacchetti ThinAppregistrati sul sistema. VMware Identity Manager può distribuire e gestire i pacchetti ThinApp che sonocompatibile con VMware Identity Manager.

Per avviare ed eseguire correttamente una di queste applicazioni virtualizzate nella sessione Windowsdell'utente, sono necessari i seguenti elementi:

n Il pacchetto ThinApp dell'applicazione virtualizzata deve essere registrato per l'uso di quell'utente daVMware Identity Manager.

n Una DLL specifica deve essere disponibile su tale sistema Windows.

n Il processo hws-desktop-client.exe deve essere in esecuzione.

Quando viene creato un pacchetto ThinApp compatibile, questo viene configurato per caricare unadeterminata DLL quando l'utente collegato avvia l'applicazione virtualizzata nella relativa sessione diWindows. In quel momento, l'applicazione virtualizzata prova a caricare la DLL. Una volta caricata, la DLLprova a verificare insieme all'applicazione VMware Identity Manager Desktop installata in locale se ilpacchetto ThinApp è registrato sul desktop Windows per quell'utente. L'applicazione VMware IdentityManager Desktop installata in locale determina se l'applicazione è registrata per quell'utente senzacomunicare con VMware Identity Manager. Se l'applicazione è registrata sul desktop Windows perl'utente, VMware Identity Manager Desktop prova a verificare quando è stata eseguita l'ultimasincronizzazione con VMware Identity Manager. Se l'applicazione VMware Identity Manager Desktopconferma che la sincronizzazione rientra nel periodo di tolleranza offline per il client installato, il clientconsentirà l'esecuzione dell'applicazione.

Poiché tale DLL è disponibile sul sistema Windows solo se è installata l'applicazione VMware IdentityManager Desktop e poiché il processo hws-desktop-client.exe è in esecuzione solo se l'applicazioneVMware Identity Manager Desktop è in esecuzione su tale sistema, l'applicazione VMware IdentityManager Desktop dovrà essere installata sul sistema Windows per eseguire i pacchetti ThinApp che sonodistribuiti e gestiti da VMware Identity Manager.


VMware, Inc. 99

Distribuzione dell'applicazione VMware Identity Manager Desktopper l'uso dei pacchetti ThinAppL'applicazione VMware Identity Manager Desktop può essere installata facendo doppio clic sul file EXEdel programma di installazione, avviando il file eseguibile utilizzando le opzioni della riga di comandooppure eseguendo uno script che utilizza le opzioni della riga di comando. Per installare l'applicazione,sono richiesti i privilegi da amministratore. Per informazioni sull'installazione dell'applicazione VMwareIdentity Manager Desktop facendo doppio clic sul file EXE del programma di installazione, vedere laGuida per l'utente di VMware Identity Manager .

La configurazione dell'applicazione installata determina il modo in cui un pacchetto ThinApp che èdistribuito da VMware Identity Manager viene distribuito sul sistema Windows. Per impostazionepredefinita, quando l'applicazione VMware Identity Manager Desktop è installata facendo doppio sul fileEXE del programma di installazione, il client viene configurato per distribuire i pacchetti ThinApputilizzando la modalità di distribuzione COPY_TO_LOCAL con l'opzione AUTO_TRY_HTTP abilitata. Taliopzioni del programma di installazione predefinito risultano in ciò che è detto modalità di distribuzione didownload. Con le impostazioni predefinite COPY_TO_LOCAL e AUTO_TRY_HTTP, l'applicazione clientprova prima a scaricare i pacchetti ThinApp copiandoli sull'endpoint del sistema Windows e, se il primotentativo non riesce, prova a scaricarli mediante HTTP.

Se connettore è configurato per l'accesso basato su account al repository ThinApp, l'applicazione clientpotrà scaricare i pacchetti ThinApp mediante HTTP. Una volta scaricati i pacchetti ThinApp sul sistemalocale Windows, l'utente potrà eseguire le applicazioni virtualizzate sul sistema locale.

Per evitare che le applicazioni virtualizzate vengano scaricate sul sistema Windows locale e utilizzinospazio sul sistema, è possibile far sì che gli utenti eseguano i pacchetti ThinApp dalla condivisione di reteutilizzando una modalità di distribuzione in streaming. Affinché gli utenti eseguano i pacchetti ThinApputilizzando la modalità in streaming, è necessario installare l'applicazione VMware Identity ManagerDesktop sui sistemi Windows utilizzando un processo di installazione della riga di comando. Il programmadi installazione è dotato di opzioni della riga di comando che possono essere utilizzate per impostare lamodalità di distribuzione in runtime per i pacchetti ThinApp. Per impostare la modalità di distribuzione inruntime per lo streaming dei pacchetti ThinApp, utilizzare l'opzione del programma di installazioneRUN_FROM_SHARE.

Un metodo per l'installazione dell'applicazione VMware Identity Manager Desktop su più sistemi Windowsconsiste nell'utilizzare uno script per installare l'applicazione in maniera non presidiata sui sistemiWindows. È possibile installare il client in maniera non presidiata su più sistemi Windows nello stessomomento.

Nota Un'installazione non presidiata non visualizza messaggi né finestre durante il processo diinstallazione.

Impostare un valore nello script per indicare se i client installati mediante quello script distribuiscono ipacchetti ThinApp utilizzando la modalità in streaming ThinApp, l'opzione RUN_FROM_SHARE o unadelle modalità di download ThinApp, come l'opzione COPY_TO_LOCAL o HTTP_DOWNLOAD.


VMware, Inc. 100

Determinazione della modalità di distribuzione appropriata per ipacchetti ThinApp su endpoint WindowsLa configurazione dell'applicazione VMware Identity Manager Desktop sull'endpoint Windows determinase un pacchetto ThinApp distribuito mediante VMware Identity Manager viene distribuito in modalità distreaming ThinApp, RUN_FROM_SHARE, o con una delle modalità di download, COPY_TO_LOCAL oHTTP_DOWNLOAD. Quando si crea lo script per installare l'applicazione VMware Identity ManagerDesktop su endpoint Windows in maniera non presidiata, come ad esempio su desktop e laptop, vengonoimpostate le opzioni che definiscono la modalità di distribuzione dei pacchetti ThinApp. Scegliere lamodalità di distribuzione che meglio si adatta al proprio ambiente di rete per gli endpoint selezionati,considerando dettagli quali la latenza di rete.

Con la modalità in streaming, quando l'applicazione VMware Identity Manager Desktop vienesincronizzata con VMware Identity Manager, il client scarica i collegamenti dell'applicazione per leapplicazioni virtualizzate dei pacchetti ThinApp sul desktop Windows e quando l'utente avvia i pacchettiThinApp, le applicazioni virtualizzate vengono eseguite dalla condivisione file su cui si trovano i pacchetti.

Pertanto, la modalità in streaming è più adatta per sistemi che saranno sempre connessi alla condivisionedi rete, come ad esempio i desktop Windows che sono condivisi da più utenti.

Con la modalità di download, al primo uso o aggiornamento di un pacchetto ThinApp, l'utente deveattendere prima che il pacchetto ThinApp sia scaricato sul sistema Windows e che vengano creati icollegamenti. Dopo il download iniziale, l'utente avvia ed esegue l'applicazione Windows virtualizzata sulsistema locale.

Importante La modalità HTTP_DOWNLOAD richiede che l'URL del provider di identità sia raggiungibiledal computer Windows dell'utente. Le modalità RUN_FROM_SHARE e COPY_TO_LOCAL richiedonoche la condivisione ThinApp sia raggiungibile dal computer Windows dell'utente.


VMware, Inc. 101

Tabella 6‑1. Modalità di distribuzione ThinApp per le applicazioni virtualizzate acquisitecome pacchetti ThinApp

Modalità Descrizione

modalità di streamingThinApp

In modalità in streaming ThinApp, le applicazioni virtualizzate sono sottoposte a streaming ogni voltache vengono avviate. Questo metodo evita di utilizzare spazio su disco sul desktop durante la copiadelle applicazioni virtualizzate. Affinché le applicazioni possano essere eseguite, il desktop deveessere connesso alla condivisione di rete dei pacchetti ThinApp.

Il seguente ambiente potrebbe fornire la coerenza e la stabilità richieste:

Gli utenti con desktop Windows che sono condivisi da più utenti. Questa situazione evita l'accumulosu disco di applicazioni specifiche scaricate dall'utente e fornisce un accesso rapido alle applicazionisenza provocare un ritardo per i download di un utente.

L'account utilizzato dall'utente per accedere al sistema Windows è utilizzato per ottenere i pacchettiThinApp dalla condivisione di rete. Tale account deve disporre delle autorizzazioni appropriate sullacondivisione di rete per leggere ed eseguire i file sulla condivisione.

modalità di downloadThinApp

In modalità di download ThinApp, le applicazioni vengono scaricate sull'endpoint Windows. L'utenteesegue l'applicazione virtualizzata in locale sull'endpoint. La modalità di download ThinApp potrebbeessere più adatta per i seguenti casi:n Desktop collegati a una LAN che sono periodicamente offlinen Una LAN con scarsa latenza di rete

VMware Identity Manager fornisce due diverse opzioni per la modalità di download ThinApp:COPY_TO_LOCAL e HTTP_DOWNLOAD. Se il client è configurato per COPY_TO_LOCAL,l'endpoint Windows deve far parte dello stesso dominio della condivisione di file a meno che non siaabilitata l'opzione AUTO_TRY_HTTP e connettore sia configurato per l'accesso basato su accountsulla condivisione di rete dei pacchetti ThinApp.

Se è abilitata l'opzione AUTO_TRY_HTTP e connettore è configurato per l'accesso basato suaccount, se l'endpoint Windows non fa parte dello stesso dominio e il primo tentativo di download delpacchetto ThinApp non riesce, l'applicazione VMware Identity Manager Desktop proverà a scaricareautomaticamente i pacchetti ThinApp utilizzando il protocollo HTTP come per la modalitàHTTP_DOWNLOAD. Con HTTP_DOWNLOAD, l'endpoint Windows non deve far parte dello stessodominio della condivisione di file. Tuttavia, i tempi di copia e sincronizzazione di quando si utilizzaHTTP_DOWNLOAD sono significativamente più lunghi di quando si usa COPY_TO_LOCAL.

Importante Se VMware Identity Manager non è abilitato per l'accesso basato su account, ildownload mediante il protocollo HTTP non funziona, anche se l'opzione AUTO_TRY_HTTP è abilitatao se il client è configurato con l'opzione HTTP_DOWNLOAD.

Quando si utilizza COPY_TO_LOCAL, l'account utilizzato dall'utente per accedere al sistemaWindows è utilizzato per ottenere i pacchetti ThinApp dalla condivisione di rete. Tale account devedisporre delle autorizzazioni appropriate sulla condivisione di rete per leggere e copiare i file dallacondivisione. Se si utilizza HTTP_DOWNLOAD, l'account utente della condivisione che si specificanella console di VMware Identity Manager quando si configura l'accesso dal connettore allacondivisione di rete dei pacchetti ThinApp è l'account utilizzato per scaricare i pacchetti ThinApp. Taleaccount utente della condivisione deve disporre dell'autorizzazione di lettura sulla condivisione di retedei pacchetti ThinApp per copiare i file dalla condivisione.

La condivisione di rete dei pacchetti ThinApp deve rispondere ai requisiti appropriati per la modalità didistribuzione impostata per gli endpoint Windows. Vedere Installazione e configurazione diVMware Identity Manager.


VMware, Inc. 102

Periodo di grazia offline e pacchetti ThinAppIl periodo di grazia offline è il periodo di tempo per cui è possibile avviare ed eseguire un'applicazionevirtualizzata su un sistema Windows senza alcuna sincronizzazione con VMware Identity Manager.

I pacchetti ThinApp sono applicazioni Windows virtualizzate che possono essere distribuite daVMware Identity Manager su sistemi Windows. Quando VMware Identity Manager distribuisce unpacchetto ThinApp sul sistema Windows per la prima volta per l'utente collegato al sistema, leapplicazioni virtualizzate del pacchetto vengono registrate sul sistema Windows per l'uso dell'utente. Aldesktop di Windows vengono aggiunti i collegamenti appropriati e l'utente potrà avviare le applicazionivirtualizzate utilizzando tali collegamenti come per le applicazioni Windows standard installate sulsistema.

Quando un utente avvia una delle applicazioni virtualizzate distribuite sul sistema Windows daVMware Identity Manager, il pacchetto ThinApp richiede l'autorizzazione per l'esecuzione dall'agentThinApp in esecuzione sul sistema. L'agent ThinApp verifica le condizioni riportate di seguito.

n Verifica se l'applicazione è registrata sul desktop di Windows per l'utente collegato.

n Verifica se il sistema Windows è stato sincronizzato con VMware Identity Manager nel periodo digrazia offline consentito.

Se entrambe queste condizioni sono vere, l'agent ThinApp consente l'esecuzione dell'applicazionevirtualizzata.

La frequenza con cui l'applicazione VMware Identity Manager Desktop viene sincronizzata conVMware Identity Manager è impostata dall'opzione del programma di installazione POLLINGINTERVAL.Per impostazione predefinita, la frequenza è ogni 5 minuti. Per impostazione predefinita, il periodo digrazia offline è impostato su 30 giorni. Se un sistema Windows ha una connettività di rete per collegarsi aVMware Identity Manager in qualsiasi momento in un intervallo di 30 giorni, l'applicazione può esseresincronizzata con VMware Identity Manager e le applicazioni virtualizzate possono essere eseguite.

Tuttavia, se il sistema Windows non ha connettività di rete per collegarsi a VMware Identity Manager,l'applicazione non potrà essere sincronizzata con VMware Identity Manager. Le applicazioni virtualizzateregistrate sul sistema Windows potranno essere eseguite sul sistema disconnesso fino all'ora impostatadal periodo di grazia offline.

Aggiornamento di pacchetti ThinApp gestiti dopo ladistribuzione in VMware Identity ManagerDopo aver aggiunto un pacchetto ThinApp al catalogo della propria organizzazione e aver concesso agliutenti di VMware Identity Manager l'accesso a tale pacchetto, è possibile che si desideri aggiornare ilpacchetto e fare in modo che gli utenti usino una versione nuova o rigenerata del pacchetto ThinAppsenza dover annullare l'accesso degli utenti al pacchetto corrente e concedere loro l'accesso al nuovopacchetto.


VMware, Inc. 103

È possibile che si debba rendere disponibile un pacchetto ThinApp aggiornato perché viene rilasciata unanuova versione dell'applicazione Windows per tale pacchetto o perché il creatore del pacchetto hamodificato i valori dei parametri utilizzati dal pacchetto.

ThinApp 4.7.2 e le versioni successive includono un meccanismo di aggiornamento per i pacchettiThinApp utilizzati in VMware Identity Manager. Tale meccanismo è diverso da quelli utilizzati per ipacchetti ThinApp esterni a un ambiente VMware Identity Manager. Il pacchetto ThinApp deve essereaggiornato con questo meccanismo affinché sia possibile distribuirlo in VMware Identity Manager e fare inmodo che gli utenti possano visualizzare automaticamente la nuova versione.

Per i pacchetti ThinApp gestiti in VMware Identity Manager, due parametri Package.ini vengono utilizzatida VMware Identity Manager per stabilire se un pacchetto è una versione aggiornata di un altropacchetto.

AppID Identificatore univoco del pacchetto ThinApp in VMware Identity Manager.A tutti i punti di ingresso (eseguibili) per l'applicazione del pacchetto vieneassegnato lo stesso AppID. Dopo la sincronizzazione di un pacchettoThinApp con il catalogo di VMware Identity Manager della propriaorganizzazione, l'AppID del pacchetto viene visualizzato nella colonnaGUID della pagina delle risorse del pacchetto ThinApp. Questo valoreinclude caratteri alfanumerici in un modello di set di caratteri, separati unodall'altro da trattini, come nell'esempio seguente:

XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX

VMware Identity Manager considera ogni pacchetto ThinApp con lo stessoAppID come una versione della stessa applicazione.

VersionID Numero di versione del pacchetto ThinApp. VMware Identity Managerutilizza VersionID per tenere traccia delle diverse versioni del pacchettoThinApp gestito. È possibile aumentare il valore di VersionID di un'unità(1) per contrassegnare il pacchetto ThinApp come aggiornamento di unaltro pacchetto mantenendo lo stesso AppID.

Il pacchetto aggiornato deve essere posizionato in una nuova cartella nella cartella di condivisione di reteconfigurata per i pacchetti ThinApp gestiti. Vedere Installazione e configurazione diVMware Identity Manager. Quando VMware Identity Manager esegue la sincronizzazione pianificata conla cartella della condivisione di rete e incontra un'applicazione con lo stesso AppID di un'altra


VMware, Inc. 104

applicazione, confronta i valori di VersionID. Il pacchetto ThinApp con il VersionID più alto vieneutilizzato come aggiornamento più recente. VMware Identity Manager incorpora automaticamente ipermessi utente precedenti nel pacchetto ThinApp con il VersionID più alto e i collegamenti ai sistemidegli utenti vengono sincronizzati per puntare al pacchetto aggiornato.

Importante Il parametro standard InventoryName di ThinApp è importante per aggiornarecorrettamente i pacchetti ThinApp gestiti. Entrambi i pacchetti ThinApp, quello precedente e quelloaggiornato, devono avere lo stesso valore per il parametro InventoryName. Se la persona che crea ilpacchetto ThinApp modifica il valore di InventoryName in un pacchetto e quindi crea un pacchettoaggiornato, è necessario assicurarsi che i valori di InventoryName corrispondano per fare in modo chegli aggiornamenti funzionino correttamente in VMware Identity Manager.

Per dettagli sui vari parametri utilizzati nel file Package.ini di un pacchetto ThinApp, vedere la guida diriferimento ai parametri Package.ini di ThinApp

Aggiornamento di un pacchetto ThinApp gestitoL'aggiornamento di un pacchetto ThinApp già gestito da VMware Identity Manager e nel catalogo dellapropria organizzazione implica l'esecuzione di più passaggi. È possibile che il pacchetto ThinAppaggiornato venga fornito da un altro gruppo della propria organizzazione. Per fare in modo cheVMware Identity Manager possa utilizzare automaticamente il pacchetto aggiornato al posto di quelloesistente per gli utenti autorizzati, è necessario assicurarsi che il pacchetto aggiornato sia stato creatoutilizzando lo stesso AppID del pacchetto corrente, che abbia un valore di VersionID maggiore delvalore VersionID del pacchetto esistente e che sia abilitato per la gestione da VMware Identity Manager.

Prerequisiti

Verificare di poter accedere alla posizione in cui si trovano i pacchetti ThinApp gestiti e di poter crearesottocartelle in tale posizione.


Dopo la successiva sincronizzazione del pacchetto ThinApp, nel catalogo di VMware Identity Managerverrà visualizzata la nuova versione del pacchetto ThinApp aggiornato. Se si desidera che la nuovaversione venga riportata nella pagina delle risorse del pacchetto ThinApp, è possibile eseguire unasincronizzazione manuale utilizzando la pagina App in pacchetto - pagina ThinApp della console diVMware Identity Manager.

Ottenimento dei valori AppID e VersionID di un pacchetto ThinApp gestitoPer essere certi che VMware Identity Manager utilizzi automaticamente il pacchetto ThinApp aggiornatoal posto di quello corrente, è necessario creare il pacchetto ThinApp utilizzando il AppID del pacchettoThinApp correntemente gestito e un valore di VersionID maggiore di quello della versione corrente.

Quando viene utilizzato il processo Configura acquisizione per creare un pacchetto ThinApp aggiornato, ilvalore di AppID viene richiamato automaticamente dal programma Configura acquisizione dagli eseguibilidel pacchetto ThinApp esistenti e il valore di VersionID viene incrementato. Tuttavia, la persona checrea il pacchetto ThinApp aggiornato potrebbe utilizzare un metodo differente per la creazione del


VMware, Inc. 105

pacchetto aggiornato. Se per creare il pacchetto ThinApp aggiornato non viene utilizzato il processoConfigura acquisizione, la persona che crea il pacchetto deve ottenere i valori AppID e VersionID per ilpacchetto ThinApp correntemente gestito da VMware Identity Manager. I valori AppID e VersionID sonovisualizzati sulle pagine delle risorse del pacchetto ThinApp nella console di VMware Identity Manager.

Procedura


2 (Facoltativo) Fare clic sull'icona nell'intestazione della colonna Tipo e cercare il pacchetto in base alnome o selezionare Pacchetto ThinApp per visualizzare tutti i pacchetti ThinApp.

3 Fare clic sul pacchetto ThinApp.

4 Prendere nota dei valori seguenti:

n Il valore Versione nella sezione Definizione della pagina.

n Il valore AppID elencato nella colonna GUID nella sezione Pacchetto ThinApp.

Il valore riportato nella colonna è il valore utilizzato da VMware Identity Manager per identificarequesto pacchetto ThinApp.


Per creare il pacchetto ThinApp aggiornato, completare i passaggi indicati in Creazione del pacchettoThinApp aggiornato.

Creazione del pacchetto ThinApp aggiornatoPer la creazione del pacchetto aggiornato vengono utilizzati i valori AppID e VersionID dei pacchettiThinApp correntemente gestiti. Il pacchetto aggiornato utilizza lo stesso valore AppID e un valoreVersionID più alto.

Talvolta il pacchetto ThinApp aggiornato viene fornito da un altro ufficio dell'organizzazione. La personache crea il pacchetto ThinApp aggiornato può utilizzare uno dei metodi descritti.

Prerequisiti

Assicurarsi di avere i valori di AppID e VersionID del pacchetto ThinApp corrente eseguendo i passaggiin Ottenimento dei valori AppID e VersionID di un pacchetto ThinApp gestito.

Verificare di avere una versione del programma ThinApp compatibile con la versione diVMware Identity Manager. Per informazioni su versioni di ThinApp specifiche, vedere le tabelle diinteroperabilità dei prodotti VMware all'indirizzohttp://www.vmware.com/resources/compatibility/sim/interop_matrix.php.


VMware, Inc. 106

Procedura

u Utilizzando una versione del programma ThinApp supportata da VMware Identity Manager, creare ilpacchetto ThinApp aggiornato utilizzando uno dei metodi disponibili.

Opzione Descrizione

Rieseguire l'acquisizione utilizzandoSetup Capture.

Utilizzare questo metodo quando la cartella del progetto per il pacchetto ThinAppesistente gestito da VMware Identity Manager non è disponibile. Per creare unpacchetto aggiornato con Setup Capture, sono necessari solo i seguenti elementi:n Gli eseguibili dell'applicazione dal pacchetto ThinApp esistenten Il programma d'installazione dell'applicazionen Setup Capture e il programma ThinApp in una versione supportata da

VMware Identity Manager.

Durante il processo di acquisizione, scegliere di gestire il pacchetto conVMware Identity Manager e specificare che il pacchetto è un aggiornamento di unpacchetto ThinApp di base esistente. Sfogliare la cartella che contiene glieseguibili del pacchetto ThinApp correntemente gestito. Accedere alla cartella enon specificare gli eseguibili.

Con questo metodo non è necessario ottenere i valori AppID o VersionID primadi aver creato il pacchetto aggiornato. Dopo aver specificato che il pacchetto è unaggiornamento e dopo aver specificato la versione precedente in Setup Capture,il processo di acquisizione legge l'AppID del pacchetto precedente e lo riutilizzaper il pacchetto aggiornato. Il processo fornisce anche un VersionIDincrementato per il pacchetto aggiornato, e assegna lo stesso InventoryName.

Aggiornare manualmente il filePackage.ini, quindi ricostruire ilpacchetto.

Utilizzare questo metodo quando non si dispone del programma d'installazioneper il processo di riacquisizione oppure quando occorre aggiornare il pacchettocon una versione di ThinApp più recente e si desidera aggiornare più di quanto ilcomando relink possa gestire. Poiché la rigenerazione di un pacchetto integrale modifiche al file system e al registro che provengono da una nuova versione diThinApp, una rigenerazione rileverebbe tali modifiche proprio come quando unanuova versione di ThinApp fornisce un nuovo parametro Package.ini daimpostare.

Per contrassegnare il nuovo pacchetto come un aggiornamento, modificare iseguenti parametri di VMware Identity Manager nella sezione [Build Options]del file Package.ini:n Impostare il parametro AppID per farlo corrisponde al valore di AppID

dell'applicazione ThinApp correntemente gestita. Non è possibile riutilizzareun valore di genid per AppID, poiché in quel caso verrebbe generato unnuovo valore di AppID per il pacchetto aggiornato e VMware Identity Managernon riconoscerebbe il nuovo pacchetto come aggiornamento di quelloesistente.

n Incrementare il valore del parametro VersionID a un intero più alto rispettoal pacchetto ThinApp correntemente gestito. Se non c'è alcun parametroVersionID impostato per il pacchetto correntemente gestito, perimpostazione predefinita il suo valore è 1, e sarebbe necessario aggiungereuna riga per il parametro VersionID in Package.ini e impostarlo sul valore 2(VersionID = 2).


VMware, Inc. 107

Opzione Descrizione

n Assicurarsi che il valore del parametro InventoryName corrisponda al valoredi InventoryName del pacchetto correntemente gestito. I valori diInventoryName per il pacchetto corrente e il pacchetto aggiornato devonocoincidere.

Utilizzare il comando relink -h con leopzioni AppID e VersionID.

Utilizzare questo metodo in uno dei seguenti casi:n Non è presente la cartella di progetto per l'applicazione.n Il pacchetto è stato già acquisito, costruito e testato all'esterno di un ambiente

VMware Identity Manager e gli unici passaggi rimanenti sono l'attivazione delpacchetto aggiornato per VMware Identity Manager e la sua collocazionenella condivisione di rete utilizzata dal connettore.

n Si sta aggiornando il pacchetto solo per aggiornare il runtime di ThinApp per ilpacchetto al fine di incorporare le correzioni agli errori disponibili nella nuovaversione di ThinApp.

Se ad esempio è stata cambiata la directory di progetto, incluso il file Package.ini,per un'applicazione virtuale, ricostruito il pacchetto e testato il pacchetto,l'ambiente di test potrebbe non essere stato VMware Identity Manager. Ilpassaggio finale di aggiornamento dell'applicazione è l'aggiornamento perVMware Identity Manager. A quel punto, il percorso più semplice consistenell'utilizzare il comando relink -h invece di riacquisire o ricostruire.

Nota Il runtime ThinApp viene aggiornato quando si esegue il comando relink-h su un pacchetto ThinApp.

È possibile eseguire il comando relink dalla directory Programmi di ThinApp pervisualizzare la guida della sintassi del comando.

Quando il pacchetto ThinApp esistente è già attivato per l'uso da parte diVMware Identity Manager, è possibile eseguire il comando seguente perriutilizzare l'AppID esistente del pacchetto e incrementare VersionID:

relink -h -VersionID + cartella-eseguibile/*.*

Dove executable-folder è una cartella contenente gli eseguibili del pacchettoThinApp da aggiornare.

Importante Quando si utilizza il comando relink, non sarà possibile fareriferimento alla cartella degli eseguibili del pacchetto sulla condivisione di reteutilizzata per i pacchetti ThinApp nell'ambiente di VMware Identity Manager.Quando aggiorna il runtime ThinApp, il comando converte i vecchi eseguibili in fileBAK e scrive tali file, insieme ai nuovi file, nella cartella. Poiché la condivisione direte di solito non consente la scrittura, è necessario che il nuovo collegamentopunti a una copia della cartella di eseguibili.

Altri casi di utilizzo del comando relink, inclusa l'attivazione di un pacchettoThinApp per l'uso in un ambiente VMware Identity Manager, sono illustratinell'articolo della knowledge base di VMware all'indirizzohttp://kb.vmware.com/kb/2021928.

È disponibile un set di file (file EXE e facoltativamente file DAT) per il pacchetto ThinApp aggiornato.


Copiare i file in una nuova sottocartella nella condivisione di rete, completando i passaggi in Copiare unpacchetto ThinApp aggiornato nella condivisione di rete.


VMware, Inc. 108

Copiare un pacchetto ThinApp aggiornato nella condivisione di reteDopo aver creato un pacchetto ThinApp aggiornato, copiare i file corrispondenti in una nuovasottocartella allo stesso livello della sottocartella esistente nella condivisione di rete.

Prerequisiti

Assicurarsi di disporre dei file necessari per il pacchetto ThinApp aggiornato in seguito al completamentodei passaggi descritti in Creazione del pacchetto ThinApp aggiornato e all'incremento del valore diVersionID.

Assicurarsi di avere accesso alla condivisione di rete e di poter creare sottocartelle e copiare fine in esse.

Procedura

1 Nella cartella della condivisione di rete, creare una nuova sottocartella per il pacchetto ThinAppaggiornato.

Mantenere la sottocartella esistente del pacchetto ThinApp che si sta aggiornando e non alterarne ilcontenuto.

A seguito della successiva sincronizzazione pianificata, VMware Identity Manager ignora il pacchettoprecedente, quando riconosce che il nuovo pacchetto ha lo stesso valore di AppID e un valore diVersionID più elevato.

Di solito, il nome che viene assegnato alla sottocartella corrisponde al nome dell'applicazioneThinApp, o almeno indica l'applicazione presente nella cartella. Ad esempio, se la condivisione di retesi chiama appshare su un host denominato server e l'applicazione è denominata abceditor, allorala sottocartella per il pacchetto ThinApp sarà \\server\appshare\abceditor.

Nota Non utilizzare caratteri non ASCII quando si creano i nomi delle sottocartelle della condivisionedi rete per i pacchetti ThinApp da distribuire mediante VMware Identity Manager. I caratteri non ASCIInon sono supportati.

2 Copiare i file EXE e DAT del pacchetto ThinApp aggiornato nella nuova sottocartella.

3 (Facoltativo) Se non si desidera attendere la successiva sincronizzazione, è possibile sincronizzaremanualmente VMware Identity Manager con la condivisione di rete dalla pagina App in pacchetto -ThinApp della console di VMware Identity Manager.

Quando il connettore esegue la sincronizzazione pianificata con la cartella della condivisione di rete eincontra un'applicazione con lo stesso AppID di un'altra applicazione, confronta i valori di VersionID.Il pacchetto ThinApp con il VersionID più alto viene utilizzato come aggiornamento più recente.VMware Identity Manager incorpora automaticamente i permessi utente precedenti nel pacchettoThinApp con il VersionID più alto e i collegamenti ai sistemi degli utenti vengono sincronizzati perpuntare al pacchetto aggiornato.


VMware, Inc. 109

Impostazione dei pacchetti ThinApp come compatibilicon VMware Identity ManagerÈ possibile convertire un pacchetto ThinApp da uno che non è compatibile con VMware Identity Managerin uno che VMware Identity Manager può distribuire e gestire. È possibile utilizzare uno dei seguentimetodi: utilizzare il comando ThinApp 4.7.2 relink, rigenerare il pacchetto dai file di progetto ThinAppdopo aver modificato il file Package.ini per aggiungere i parametri necessari diVMware Identity Manager oppure acquisire nuovamente l'applicazione Windows con le impostazioniappropriate di VMware Identity Manager selezionate nel programma ThinApp Setup Capture.

Nota Un pacchetto ThinApp che è compatibile con VMware Identity Manager può essere utilizzato peruna distribuzione di VMware Identity Manager. Solo gli utenti di VMware Identity Manager che hannoinstallato l'applicazione di VMware Identity Manager Desktop possono avviare ed eseguire questipacchetti abilitati. Durante il runtime, il pacchetto ThinApp carica una DLL denominata specificamente eutilizza tale DLL per verificare il permesso dell'utente con VMware Identity Manager. Poiché la DLL èinstallata con l'applicazione VMware Identity Manager Desktop, questi pacchetti ThinApp possono essereeseguiti solo su sistemi Windows su cui è installata l'applicazione VMware Identity Manager Desktop.

Prerequisiti

Verificare di disporre dell'accesso agli elementi necessari per il metodo scelto.

n Se si utilizza il comando relink, verificare di disporre dei file eseguibili per il pacchetto ThinApp cheviene convertito e l'applicazione relink.exe di ThinApp 4.7.2.

n Se si aggiorna il file Package.ini del progetto ThinApp e si rigenera il pacchetto, verificare didisporre dei file di progetto necessari dal programma ThinApp 4.7.2 per la rigenerazione.

n Se si acquisisce di nuovo l'applicazione Windows, verificare di disporre del programma SetupCapture ThinApp 4.7.2 e del programma di installazione dell'applicazione richiesti dal programma peracquisire di nuovo l'applicazione. Fare riferimento alla Guida per l'utente di ThinApp per maggioridettagli.

Verificare di poter accedere alla condivisione di rete ThinApp utilizzata da VMware Identity Manager e dipoter creare sottocartelle e copiare i file.


VMware, Inc. 110

Procedura

u Utilizzando una versione del programma ThinApp supportata da VMware Identity Manager, creare unpacchetto ThinApp compatibile utilizzando uno dei metodi disponibili.

Opzione Descrizione

Utilizzare il comando relink -h. L'uso del comando relink -h è il metodo più semplice. Utilizzare il programmarelink.exe da ThinApp 4.7.2 o versione successiva. Utilizzare questo metodo inuno dei seguenti casi:n Non è possibile utilizzare il metodo di rigenerazione in quanto non è presente

la cartella di progetto.n L'uso di Setup Capture per acquisire di nuovo l'applicazione richiede troppo

tempo.n Non si dispone del programma di installazione dell'applicazione richiesto per

la riacquisizione con Setup Capture.

Nota Il runtime ThinApp viene aggiornato quando si esegue il comando relink-h su un pacchetto ThinApp.

È possibile eseguire il comando relink dalla directory Programmi di ThinApp pervisualizzare la guida della sintassi del comando.

Per creare un pacchetto compatibile, utilizzare la sintassi di base del comando:

relink -h cartella-eseguibile/*.*

dove cartella-eseguibile è una cartella contenente gli eseguibili del pacchettoThinApp che si desidera aggiornare.

Importante Quando si utilizza il comando relink, non sarà possibile fareriferimento alla cartella degli eseguibili del pacchetto sulla condivisione di reteutilizzata per i pacchetti ThinApp nell'ambiente di VMware Identity Manager.Quando aggiorna il runtime ThinApp, il comando converte i vecchi eseguibili in fileBAK e scrive tali file, insieme ai nuovi file, nella cartella. Poiché la condivisione direte di solito non consente la scrittura, è necessario che il nuovo collegamentopunti a una copia della cartella di eseguibili.

Altri casi di utilizzo per il comando relink sono descritti nell'articolo dellaknowledge base VMware all'indirizzo http://kb.vmware.com/kb/2021928.

Aggiornare manualmente il filePackage.ini con i parametri necessari,quindi rigenerare il pacchetto.

Utilizzare questo metodo quando non è disponibile il programma di installazionedell'applicazione per il processo di riacquisizione, se si desidera evitare laconfigurazione up-front richiesta dalla riacquisizione dell'applicazione o se sidesidera integrare le funzionalità da una versione più recente di ThinApp più diquanto farebbe il comando relink. Poiché la rigenerazione di un pacchettointegra le modifiche al file system e al registro che provengono da una nuovaversione di ThinApp, una rigenerazione rileverebbe tali modifiche proprio comequando una nuova versione di ThinApp fornisce un nuovo parametro Package.inida impostare.

Nella sezione [Build Options] del file Package.ini, aggiungere i seguentiparametri:

;--- VMware Identity Manager Parameters ---AppID=genidNotificationDLLs=hzntapluginlugin.dll

hzntaplugin.dll è la DLL che il runtime ThinApp richiama per verificare i permessidell'utente di VMware Identity Manager per l'uso dell'applicazione virtualizzata.


VMware, Inc. 111

Opzione Descrizione

Facoltativamente, è possibile includere il parametro HorizonOrgURL e impostarlosul proprio nome di dominio completo di VMware Identity Manager. VedereInstallazione e configurazione di VMware Identity Manager.

Acquisire di nuovo l'applicazioneutilizzando Setup Capture, quindiselezionare le impostazioni necessariedi VMware Identity Manager.

Utilizzare questo metodo se si desidera acquisire di nuovo l'applicazione piuttostoche utilizzare uno degli altri metodi. Per creare un pacchetto compatibileutilizzando ThinApp Setup Capture, selezionare le impostazioni appropriate nellaprocedura guidata per gestire il pacchetto con VMware Identity Manager duranteil processo di acquisizione. Vedere la guida per l'utente di ThinApp per i dettaglidel processo di acquisizione.

È disponibile una serie di file (file EXE e facoltativamente file DAT) per un pacchetto ThinApp che puòessere distribuito e gestito da VMware Identity Manager.


Per le operazioni da eseguire per aggiungere i pacchetti ThinApp alla condivisione di rete, vedere Creazione di una condivisione di rete per i pacchetti ThinApp gestiti da VMware Identity Manager.

Modifica della cartella di condivisione dei pacchettiThinAppDopo aver configurato l'accesso di VMware Identity Manager ai pacchetti ThinApp, l'ambiente IT potrebbecambiare in modo tale da avere i pacchetti ThinApp in una nuova posizione. Se si verifica questaeventualità, aggiornare il percorso alla nuova posizione dalla console di VMware Identity Manager.

Prerequisiti

Verificare che la nuova posizione di condivisione di rete soddisfi i requisiti di condivisione di rete descrittiin Requisiti di VMware Identity Manager per i pacchetti ThinApp e il repository della condivisione di rete.

Procedura



3 Selezionare la raccolta ThinApp e fare clic su Modifica.

4 Nella procedura guidata di modifica di ThinApp, fare clic su Configurazione per passare alla paginadi configurazione.

5 Cambiare il valore nella casella di testo Percorso inserendo quello della nuova cartella condivisa incui si trovano i pacchetti ThinApp, utilizzando il formato di percorsi UNC.

6 (Facoltativo) Se la nuova condivisione è una condivisione DFS, selezionare la casella di controlloAbilita accesso basato su account e immettere il nome e la password di un utente che dispongadell'accesso in lettura a tale condivisione di rete.

7 Fare clic su Avanti, quindi su Salva.


VMware, Inc. 112




Procedura















VMware, Inc. 113

Configurazione di VMwareIdentity Manager Desktop 7Per poter eseguire i pacchetti ThinApp per loro registrati utilizzando VMware Identity Manager, ènecessario che sui sistemi Windows degli utenti di VMware Identity Manager sia installata e inesecuzione l'applicazione VMware Identity Manager Desktop.

L'applicazione VMware Identity Manager Desktop può essere installata facendo doppio clic sul fileeseguibile del relativo programma d'installazione e completando l'installazione guidata, avviando il fileeseguibile con le opzioni da riga di comando o eseguendo uno script che utilizza le opzioni da riga dicomando. Per installare l'applicazione, sono richiesti i privilegi da amministratore.

La configurazione dell'applicazione VMware Identity Manager Desktop sull'endpoint Windows determinase un pacchetto ThinApp distribuito mediante VMware Identity Manager viene distribuito in modalità distreaming ThinApp, RUN_FROM_SHARE, o con una delle modalità di download, COPY_TO_LOCAL oHTTP_DOWNLOAD. Quando si crea lo script per installare VMware Identity Manager Desktop inmodalità silenziosa negli endpoint Windows, ad esempio in computer desktop e portatili, è possibilespecificare le opzioni che impostano la modalità di distribuzione dei pacchetti ThinApp. Scegliere lamodalità di distribuzione che meglio si adatta al proprio ambiente di rete per gli endpoint selezionati,considerando dettagli quali la latenza di rete.

Importante La modalità HTTP_DOWNLOAD richiede che l'URL del provider di identità sia raggiungibiledal computer Windows dell'utente. Le modalità RUN_FROM_SHARE e COPY_TO_LOCAL richiedonoche la condivisione ThinApp sia raggiungibile dal computer Windows dell'utente.

Nota Se durante l'installazione dell'applicazione VMware Identity Manager Desktop sono aperte finestredel browser, all'avvio dei pacchetti ThinApp dal portale utente possono verificarsi dei problemi. Chiuderetutte le finestre del browser prima dell'installazione dell'applicazione oppure, immediatamente dopo averinstallato l'applicazione, riavviare il browser. Vedere Non è possibile avviare i pacchetti ThinApp dalportale utente.


n Opzioni del programma d'installazione da riga di comando per VMware Identity Manager Desktop

n Installazione dell'applicazione VMware Identity Manager Desktop con impostazioni uguali in piùsistemi Windows

n Aggiunta dei file del programma di installazione di VMware Identity Manager Desktop alle appliancevirtuali di VMware Identity Manager

VMware, Inc. 114

n Utilizzo dell'applicazione da riga di comando hws-desktop-ctrl.exe

Opzioni del programma d'installazione da riga dicomando per VMware Identity Manager DesktopÈ possibile impostare svariate opzioni per l'applicazione VMware Identity Manager Desktop quando siesegue il relativo programma d'installazione dalla riga di comando o con uno script di distribuzione.

Opzioni da riga di comando disponibili per il programmad'installazione di the VMware Identity Manager DesktopDopo aver scaricato il file .exe del programma d'installazione dell'applicazione client su un sistemaWindows, è possibile visualizzare l'elenco delle opzioni d'installazione eseguendo il comando seguente:

VMware-Identity-Manager-Desktop-n.n.n-nnnnnnn /?

dove n.n.n-nnnnnnn rappresenta la versione e il numero di build del file. Appare una finestra di dialogocon l'elenco delle opzioni d'installazione disponibili per l'installazione dell'applicazione client dalla riga dicomando o con uno script di distribuzione.

Tabella 7‑1. Opzioni programma d'installazione da riga di comando

Opzioneprogrammad'installazione

Valore Descrizione

/? Visualizza le opzioni programma d'installazione da riga dicomando.

/a Esegue un'installazione amministrativa.

Per ulteriori informazioni, vedere la documentazione delprogramma d'installazione di Windows.

/a percorso completo dell'installazioneamministrativa esistente

Applica una patch a un'installazione amministrativa esistente.

/s Nasconde la finestra di dialogo dell'inizializzazione durantel'installazione.

Per installare in modalità silenziosa, utilizzare /s /v/qn.

In modalità silenziosa, durante l'installazione non vienevisualizzato alcun messaggio, finestra di dialogo o richiestad'immissione. Generalmente, questa opzione è utilizzata quandosi crea uno script di distribuzione per eseguire il programmad'installazione.

/v coppie key-value Set di parametri da passare al programma d'installazione,specificati in coppie key-value. Utilizzare il formato key=value.Questi argomenti configurano le opzioni di runtime per i pacchettiThinApp e in generale per VMware Identity Manager Desktop.

/c Cancella le informazioni di registrazione dell'installazione.


VMware, Inc. 115

https://msdn.microsoft.com/en-us/library/aa367541%28VS.85%29.aspx

https://msdn.microsoft.com/en-us/library/aa367541%28VS.85%29.aspx

Tabella 7‑1. Opzioni programma d'installazione da riga di comando (Continua)

Opzioneprogrammad'installazione

Valore Descrizione

/l [percorso completo del file di registro] Esegue la registrazione dettagliata e salva in un file di registrospecificato.

Se non si specifica un file di registro, viene utilizzato un file diregistro predefinito in %TEMP%.

/x Decomprime il programma d'installazione nella cartella %TEMP%.

Coppie chiave-valore per l'opzione /vÈ possibile utilizzare le seguenti coppie chiave-valore per l'opzione /v del programma d'installazione.


VMware, Inc. 116

Tabella 7‑2. Chiavi per l'opzione da riga di comando /v del programma d'installazione

Chiave Valore Descrizione

WORKSPACE_SERVER

Nome host o URLdel servizio diVMware IdentityManager

fornisce il nome host o l'URL del servizio di VMware Identity Manager, perpermettere all'applicazione VMware Identity Manager Desktop di comunicare conil servizio. Il protocollo richiesto è HTTPS. Racchiudere il valore tra virgolette.

Utilizzare il seguente formato:

WORKSPACE_SERVER="https://VMwareIdentityManagerFQDN"

oppure

WORKSPACE_SERVER="VMwareIdentityManagerHostName"

Ad esempio:

WORKSPACE_SERVER="https://myserver.mycompany.com"

WORKSPACE_SERVER="myserver"

INSTALL_MODE Uno dei seguenti:

COPY_TO_LOCAL

HTTP_DOWNLOAD

RUN_FROM_SHARE

Imposta la modalità di distribuzione per definire come l'applicazione VMwareIdentity Manager Desktop dovrà ottenere i pacchetti ThinApp in runtime. Ipacchetti ThinApp sono applicazioni di Windows virtualizzate. I pacchetti ThinApprisiedono in una condivisione di rete integrata con VMware Identity Manager.n COPY_TO_LOCAL: i pacchetti autorizzati per l'utente vengono scaricati nel

sistema Windows del client tramite copia di file. Quando l'utente avvia unpacchetto ThinApp, l'applicazione virtualizzata viene eseguita localmente suquel sistema. Prima che l'utente scarichi e utilizzi un pacchetto ThinAppautorizzato e continui la sincronizzazione dei pacchetti nel sistema Windowsclient, quest'ultimo deve essere già unito allo stesso dominio Active Directorya cui è appartiene la condivisione di rete dei pacchetti ThinApp. L'accountdell'utente utilizzato per accedere al sistema Windows è l'account utilizzatoper ottenere i pacchetti ThinApp dalla condivisione di rete. Tale account devedisporre delle autorizzazioni appropriate sulla condivisione di rete per leggeree copiare i file dalla condivisione.

Importante La modalità COPY_TO_LOCAL richiede che la condivisione diThinApp sia raggiungibile dal sistema Windows dell'utente.

n HTTP_DOWNLOAD: i pacchetti autorizzati per l'utente vengono scaricati nelsistema Windows del client utilizzando il protocollo HTTP. Quando l'utenteavvia un pacchetto ThinApp, l'applicazione virtualizzata viene eseguitalocalmente su quel sistema. L'applicazione VMware Identity Manager Desktoputilizza l'account del sistema VMware Identity Manager dell'utente perautenticarsi in VMware Identity Manager e ottenere l'elenco dei pacchettiautorizzati per l'utente da scaricare. L'account utente della condivisione fornitonella console di VMware Identity Manager per l'attivazione dell'accessobasato su account alla condivisione di rete dei pacchetti ThinApp corrispondeall'account utilizzato da VMware Identity Manager per accedere ai pacchettiThinApp dal repository. Questo account utente della condivisione perVMware Identity Manager richiede l'autorizzazione in lettura sulla condivisionedi rete. L'account che l'utente ha utilizzato per accedere al sistema Windowsdel client e l'account del sistema VMware Identity Manager dell'utente nonrichiedono alcuna autorizzazione sulla condivisione di rete. Il sistemaWindows del client non deve essere unito allo stesso dominio a cui appartiene


VMware, Inc. 117

Tabella 7‑2. Chiavi per l'opzione da riga di comando /v del programma d'installazione(Continua)


la condivisione di rete dei pacchetti ThinApp. Questo metodo di download ingenere è più lento rispetto ad altre modalità. Il vantaggio di questa modalità èche il sistema Windows del client non deve essere unito al dominio ActiveDirectory per ottenere ed eseguire l'applicazione virtualizzata.

Importante Affinché l'opzione HTTP_DOWNLOAD funzioni, l'integrazionedei pacchetti ThinApp in VMware Identity Manager deve essere configurataper l'accesso basato su account. Vedere Installazione e configurazione diVMware Identity Manager.

Importante Per VMware Identity Manager 2.6 e versioni successive inWindows 2008 R2 o Windows 7, l'opzione HTTP_DOWNLOAD non funzionaa meno che non venga abilitato TLS 1.0 in VMware Identity Manager oppureTLS 1.1. o 1.2 nel sistema Windows 2008 R2 o Windows 7. Per abilitare TLS1.0 in VMware Identity Manager, vedere l'articolo 2144805 della KnowledgeBase. Per abilitare TLS 1.1 o 1.2 nel sistema Windows, vedere ladocumentazione Microsoft all'indirizzo https://support.microsoft.com/en-us/kb/3140245.

Importante La modalità HTTP_DOWNLOAD richiede che l'URL IDP siaraggiungibile dal sistema Windows dell'utente.

n RUN_FROM_SHARE: l'applicazione virtualizzata viene trasferita al sistemaWindows del client dalla condivisione di rete quando l'utente avvia il pacchettoThinApp. L'opzione RUN_FROM_SHARE è la più adatta per i sistemiWindows che hanno sempre connettività alla condivisione di rete doverisiedono i pacchetti ThinApp, dato che i pacchetti ThinApp non sono presentinel sistema Windows e le applicazioni virtualizzate vengono eseguite solo se ilsistema Windows può connettersi alla condivisione di rete. Il sistema Windowsdel client deve essere unito allo stesso dominio Active Directory a cuiappartiene la condivisione di rete dei pacchetti ThinApp. L'account dell'utenteutilizzato per accedere al sistema Windows è l'account utilizzato per ottenere ipacchetti ThinApp dalla condivisione di rete. Tale account deve disporre delleautorizzazioni appropriate sulla condivisione di rete per leggere ed eseguire ifile sulla condivisione.

Importante La modalità RUN_FROM_SHARE richiede che la condivisione diThinApp sia raggiungibile dalla macchina Windows dell'utente.

Il valore predefinito è COPY_TO_LOCAL.

Per tutte le modalità, la condivisione di rete deve avere le autorizzazioni su file econdivisione appropriate. Vedere Installazione e configurazione diVMware Identity Manager.

Quando l'applicazione VMware Identity Manager Desktop viene installata con unadi queste configurazioni, l'account dell'utente che accede al sistema Windowsdeve avere le autorizzazioni su file e condivisione appropriate sulla condivisione direte per poter ottenere i pacchetti ThinApp:n L'opzione RUN_FROM_SHAREn L'opzione COPY_TO_LOCAL, senza avere anche l'opzione

AUTO_TRY_HTTP attivata e l'accesso basato su account configurato inVMware Identity Manager


VMware, Inc. 118

https://kb.vmware.com/kb/2144805

https://kb.vmware.com/kb/2144805

https://support.microsoft.com/en-us/kb/3140245

https://support.microsoft.com/en-us/kb/3140245



POLLING_INTERVAL

Frequenza insecondi

Imposta la frequenza, in secondi, della sincronizzazione tra l'applicazione VMwareIdentity Manager Desktop installata e VMware Identity Manager per verificare lapresenza di nuovi pacchetti ThinApp o permessi. Se non specificato, vieneapplicato il valore predefinito di 300 secondi (5 minuti).

Ad esempio:

POLLING_INTERVAL=600

ENABLE_AUTOUPDATE

0 o 1 Attiva o disattiva il controllo di aggiornamento automatico e l'attività di download.Se attivata, l'applicazione VMware Identity Manager Desktop installata controllaautomaticamente se è disponibile un'applicazione più recente per il download. Seè disponibile una versione più recente, l'applicazione VMware Identity ManagerDesktop viene scaricata e aggiornata automaticamente alla versione più recente.Questa opzione è attivata per impostazione predefinita.

Impostare il valore di questa variabile su 0 per disattivare l'aggiornamentoautomatico. Se non specificato, viene applicato il valore predefinito 1.

L'installazione di aggiornamenti automatici richiede privilegi di amministratore.

SHARED_CACHE 0 o 1 Determina se la cache del pacchetto ThinApp si trova in una cartella comune nelsistema Windows in cui si sta installando l'applicazione client. Impostare il valoredi questa variabile su 1 per specificare che tutti gli account utente nel sistemaWindows condividono una posizione di cache comune. Per impostazionepredefinita, la cartella comune è %ProgramData%\VMware\Identity ManagerDesktop\thinapp.

Se non specificato, viene applicato il valore predefinito 0 e ogni account utente diWindows ottiene la propria cache; la posizione predefinita è %LOCALAPPDATA%\VMware\Identity Manager Desktop\thinapp.

Nota Se si specifica una cache condivisa, l'applicazione VMware IdentityManager Desktop non elimina automaticamente i pacchetti ThinApp da questacache condivisa. Dato che SHARED_CACHE=1 indica che tutti gli account utentenel sistema Windows condividono la stessa posizione, i pacchetti devonorimanere nella posizione condivisa in modo che gli utenti autorizzati possanoutilizzarli, anche quando si rimuovono i permessi a un utente. Quando si annullanoi permessi di un utente dal pacchetto ThinApp, l'applicazione VMware IdentityManager Desktop annulla la registrazione del pacchetto per l'utente. Gli altri utentiautorizzati di quel sistema Windows possono continuare a utilizzare il pacchettoThinApp. È possibile eliminare manualmente la cache comune per liberare spaziose nessun account utente sul sistema Windows è autorizzato a utilizzare pacchettiThinApp. Ogni pacchetto ThinApp ha la propria cartella all'interno della posizionedella cache.

CACHE_DIR Percorso dellacartella

Impostare la posizione in cui i pacchetti ThinApp saranno memorizzati in cachelocalmente se sono utilizzate le modalità d'installazione HTTP_DOWNLOAD oCOPY_TO_LOCAL. Questo valore è impostato per sistema, non per utente,pertanto è necessario utilizzare variabili d'ambiente quali %LOCALAPPDATA%,per selezionare posizioni specifiche degli utenti. Accertarsi di utilizzare il caratteredi escape % nella riga di comando per impedire l'espansione immediata. Adesempio:

CACHE_DIR=^%LOCALAPPDATA^%\cache


VMware, Inc. 119



AUTO_TRY_HTTP 0 o 1 Quando l'applicazione VMware Identity Manager Desktop viene installata conl'opzione COPY_TO_LOCAL e per VMware Identity Manager è configuratol'accesso basato su account, l'opzione AUTO_TRY_HTTP determina se il clientdeve provare a scaricare automaticamente i pacchetti ThinApp autorizzati perl'utente utilizzando il protocollo HTTP, in modo simile all'opzioneHTTP_DOWNLOAD, se il primo tentativo di download non riesce. Questa opzioneè attivata per impostazione predefinita. Impostare il valore di questa opzione su 0per disattivare automaticamente i tentativi di download del protocollo HTTP.

Importante Affinché l'opzione AUTO_TRY_HTTP funzioni, l'integrazione deipacchetti ThinApp in VMware Identity Manager deve essere configurata perl'accesso basato su account. Vedere Requisiti di VMware Identity Manager per ipacchetti ThinApp e il repository della condivisione di rete.

INSTALL_MODULES

thinapp Elenco di valori delimitati da virgole che specifica quali moduli installare.Attualmente è disponibile solo il modulo thinapp.

MIGRATE_ACTION Uno dei seguenti:

MOVE

COPY

NONE

Se è installata la vecchia applicazione Workspace per Windows, il programmad'installazione eseguirà la migrazione dei dati e delle impostazionidall'applicazione precedente a quella nuova. Il valore predefinito è MOVE.

In base al valore specificato, le seguenti impostazioni vengono spostate, copiate oignorate.

Pacchetti ThinApp in cacheI pacchetti ThinApp scaricati vengono copiati dalla cache di Workspace perWindows, %LOCALAPPDATA%\VMware\Horizon ThinApp\PackageCache, allanuova posizione della cache, %LOCALAPPDATA%\VMware\Identity ManagerDesktop\thinapp. I nomi delle cartelle all'interno della cartella della cachesaranno modificati.

Importante Le proprietà impostate per VMware Identity Manager durantel'installazione hanno la priorità rispetto a qualsiasi valore migrato per questeproprietà. Se ad esempio INSTALL_MODE in Workspace per Windows è statoimpostato su COPY_TO_LOCAL e durante l'installazione di Identity ManagerDesktop si specifica /v INSTALL_MODE=HTTP_DOWNLOAD, INSTALL_MODE vieneimpostata su HTTP_DOWNLOAD.

Esempio: Utilizzo delle opzioni del programma d'installazione diVMware Identity Manager Desktop da riga di comandoSe l'istanza di VMware Identity Manager ha l'URL https://identitymanagerFQDN eVMware Identity Manager è configurato per l'accesso basato su account nella condivisione di rete deipacchetti ThinApp, e si desidera installare l'applicazione VMware Identity Manager Desktop in modalitàsilenziosa su più desktop di quella istanza di VMware Identity Manager con queste opzioni:

n Opzione d'installazione di ThinApp impostata su HTTP_DOWNLOAD, poiché si prevede che questisistemi Windows molto probabilmente non saranno unità al dominio. VMware Identity Manager ècorrettamente configurato per l'accesso basato su account sulla condivisione di rete dei pacchettiThinApp.


VMware, Inc. 120

n Il client controlla la presenza di nuovi pacchetti e permessi con VMware Identity Manager ogni 60secondi.

È possibile creare uno script che richiami il comando seguente:

VMware-Identity-Manager-Desktop-n.n.n-nnnnnnn.exe /s

/v/qn WORKSPACE_SERVER="https://identitymanagerFQDN" INSTALL_MODE=HTTP_DOWNLOAD POLLING_INTERVAL=60

dove n.n.n-nnnnnnn viene sostituito dalla parte di nome file corrispondente al nome del programmad'installazione di VMware Identity Manager Desktop scaricato.

Installazione dell'applicazione VMware Identity ManagerDesktop con impostazioni uguali in più sistemi WindowsPer distribuire l'applicazione VMware Identity Manager Desktop in più sistemi Windows applicando lestesse impostazioni di configurazione in tutti i sistemi, è possibile implementare uno script che installal'applicazione VMware Identity Manager Desktop utilizzando le opzioni di installazione da riga dicomando.

Importante Quando si distribuisce VMware Identity Manager Desktop in modalità silenziosa, i messaggidi errore non vengono visualizzati a schermo. Per verificare l'eventuale comparsa di errori duranteun'installazione silenziosa, monitorare la cartella %TEMP% e controllare se vengono creati nuovi filevminst.XXXXXX.log. In questi file vengono registrati i messaggi di errore di un'installazione silenziosanon riuscita.

Questo scenario di distribuzione viene in genere utilizzato per i sistemi Windows che sono desktop diHorizon. Per una descrizione delle impostazioni da utilizzare per i desktop di Horizon non permanenti,denominati anche mobili o senza stato, vedere GUID-43458142-EC18-4EE7-AD9D-13B7CC6FEF44#GUID-43458142-EC18-4EE7-AD9D-13B7CC6FEF44.

Prerequisiti

n Verificare che i sistemi Windows eseguano i sistemi operativi Windows supportati dalla versionedell'applicazione VMware Identity Manager Desktop che si sta installando. Consultare la Guida per gliutenti di VMware Identity Manager o le note sulla versione.

n Verificare che sui sistemi Windows siano installati browser supportati.

n Se si desidera eseguire un comando per conoscere le opzioni disponibili prima di creare lo script didistribuzione, è necessario disporre di un sistema Windows su cui eseguire il comando. Il comandoper elencare le opzioni è disponibile solo su un sistema Windows. Vedere Opzioni del programmad'installazione da riga di comando per VMware Identity Manager Desktop.


VMware, Inc. 121

Procedura

1 Ottenere il file eseguibile del programma d'installazione di VMware Identity Manager Desktop ecollocarlo nel sistema da cui si desidera eseguire il programma d'installazione in modalità silenziosa.

Un metodo per ottenere il file eseguibile è scaricarlo utilizzando la pagina di download del sistemaVMware Identity Manager. Se il sistema VMware Identity Manager è stato configurato per fornire ilprogramma d'installazione dell'applicazione Windows dalla pagina di download, è possibile scaricareil file eseguibile aprendo l'URL della pagina di download in un browser.

2 Utilizzando le opzioni da riga di comando del programma d'installazione, creare uno script didistribuzione che soddisfi le esigenze della propria organizzazione.

Esempi di script utilizzabili sono script dei criteri di gruppo di Active Directory, script di accesso, scriptVB, file batch, SCCM e così via.

Ad esempio, se l'URL dell'istanza di VMware Identity Manager è https://identitymanagerFQDN, sidesidera installare in modalità silenziosa il client Windows in sistemi Windows che si prevedesaranno utilizzati fuori dal dominio, con la modalità di distribuzione ThinApp impostata su modalitàdownload e si desidera sincronizzare l'applicazione VMware Identity Manager Desktop con il serverogni 60 secondi, è possibile creare uno script che richiami il comando seguente:

VMware-Identity-Manager-Desktop-n.n.n-nnnnnnn.exe /s

/v /qn WORKSPACE_SERVER="https://identitymanagerFQDN" INSTALL_MODE=HTTP_DOWNLOAD

POLLING_INTERVAL=60

dove n.n.n-nnnnnnn viene sostituito dalla parte di nome file corrispondente a quello del file scaricato.

3 Eseguire lo script di distribuzione sui sistemi Windows.

Se l'installazione silenziosa ha esito positivo, l'applicazione VMware Identity Manager Desktop vienedistribuita nei sistemi Windows. Gli utenti che accedono a questi sistemi Windows possono accedere allerisorse per cui sono autorizzati.

Nota Un pacchetto ThinApp autorizzato a un utente viene trasmesso o scaricato e memorizzato incache nel sistema Windows dell'utente allo scadere dell'intervallo di polling. In questo modo gli utentipotranno vedere il pacchetto ThinApp elencato quando accedono al portale utente diVMware Identity Manager. Il pacchetto ThinApp non viene avviato finché il client non sincronizzal'applicazione al successivo intervallo di polling.


Verificare che VMware Identity Manager Desktop sia installato correttamente sui sistemi Windowsprovando a eseguire alcune delle tipiche attività degli utenti.


VMware, Inc. 122

Aggiunta dei file del programma di installazione diVMware Identity Manager Desktop alle appliance virtualidi VMware Identity ManagerQuando vengono rilasciate nuove versioni di VMware Identity Manager Desktop, è necessario copiare einstallare il file zip dalla pagina Download VMware su ogni appliance virtuale di VMware Identity Managerpresente nella propria distribuzione. Eseguire il comando check-client-updates.pl per distribuire i filedel programma di installazione e riavviare il servizio Tomcat su ogni appliance virtuale.

Prerequisiti

n Per installare e aggiornare automaticamente l'applicazione VMware Identity Manager Desktop gliutenti devono disporre dei privilegi da amministratore. Se gli utenti non dispongono dei privilegi daamministratore, sarà possibile utilizzare gli strumenti di distribuzione software per distribuire eaggiornare l'applicazione per gli utenti.

n Pianificare l'aggiunta di tali file del programma di installazione alle appliance virtuali di VMwareIdentity Manager durante un periodo di manutenzione in quanto l'appliance virtuale viene riavviata equesto potrebbe interrompere l'accesso dell'utente.

Procedura

1 Scaricare il file zip di VMware Identity Manager Desktop dalla pagina My VMware Downloads su uncomputer che possa accedere all'appliance virtuale di VMware Identity Manager.

2 Copiare il file zip in un percorso temporaneo sull'appliance virtuale. Ad esempio:

scp filen.n.n-nnnnnnn.zip [email protected]:/tmp/

3 Accedere all'appliance virtuale come utente root.

4 Decomprimere lo zip e installare il nuovo file nella directory Download.

/usr/local/horizon/scripts/check-client-updates.pl --install --clientfile /tmp/file.n.n.n-nnnnn.zip

Questo script decomprime automaticamente i file e copia il file del programma di installazione diVMware Identity Manager Desktop per i computer Windows nelladirectory /opt/vmware/horizon/workspace/webapps/ROOT/client. Lo script aggiornaautomaticamente nella directory /opt/vmware/horizon/workspace/webapps/ROOT/client/cds eaggiorna il valore del parametro dell'URL per il collegamento dei download.

5 Riavviare il servizio Tomcat sull'appliance virtuale.

6 Ripetere questi passi per ogni appliance virtuale di VMware Identity Manager presente nel proprioambiente.

Gli utenti possono scaricare l'applicazione Identity Manager Desktop dai relativi account diVMware Identity Manager o con il collegamento di download,https://IdentityManagerFQDN/download. Le applicazioni Identity Manager Desktop degli utentivengono aggiornate automaticamente quando si scarica la nuova versione.


VMware, Inc. 123

Utilizzo dell'applicazione da riga di comando hws-desktop-ctrl.exeL'applicazione VMware Identity Manager Desktop include un'applicazione da riga di comando, hws-desktop-ctrl.exe, che può essere utilizzata per eseguire operazioni relative all'utilizzo dei pacchettiThinApp nel sistema Windows dell'utente.

Il processo di installazione per l'applicazione VMware Identity Manager Desktop installa hws-desktop-ctrl.exe nella cartella HorizonThinApp che si trova nella posizione della directory di Windows in cui èinstallata l'applicazione VMware Identity Manager Desktop.

Per utilizzare l'applicazione hws-desktop-ctrl.exe per eseguire uno dei suoi comandi supportati, usare ilformato seguente.

hws-desktop-ctrl.exe command options

Comando Descrizione

hws-desktop-ctrl.exe recheck Questo comando esegue immediatamente una verifica dei permessi dei pacchettiThinApp associati all'account utente che ha eseguito l'accesso all'applicazione VMwareIdentity Manager Desktop. Qualsiasi nuovo pacchetto ThinApp autorizzato o aggiornatodi recente viene sincronizzato.

hws-desktop-ctrl.exe set

InstallMode=install_mode

Questo comando modifica la modalità di distribuzione di ThinApp utilizzata per i pacchettiThinApp nel sistema Windows. Poiché questo comando modifica le chiavi del registroassociate alla modalità di distribuzione di ThinApp, solo gli amministratori che dispongonodelle autorizzazioni appropriate per il registro possono modificare la modalità diinstallazione mediante questo comando.

I valori disponibili per install_mode sono:n CopyToLocal

n RunFromShare

n HttpDownload

hws-desktop-ctrl.exe

authorize guid=ThinApp_GUID

path=package_path

Questo comando verifica se un pacchetto ThinApp può essere avviato, ma non avviaeffettivamente il pacchetto ThinApp. Specificare il GUID del pacchetto ThinApp e ilpercorso del file eseguibile del pacchetto. Se la modalità di download di ThinApp vieneutilizzata per i pacchetti nel sistema client Windows, il percorso è relativo alla cartella rootdella cache locale, ovvero lo stesso del percorso relativo al root del repository. Unesempio è

hws-desktop-ctrl.exe authorize guid= 436E1D7D-552C-4F70-8197-DB1B05D30394 path="FileZilla Client 3.3.2/FileZilla.exe"

Il GUID del pacchetto ThinApp, il percorso dell'applicazione e il nome del file eseguibilesono disponibili nella pagina delle risorse corrispondente della console di VMware IdentityManager.


VMware, Inc. 124

Comando Descrizione

hws-desktop-ctrl.exe quit Questo comando indica all'applicazione VMware Identity Manager Desktop di eseguireun'uscita pulita.

hws-desktop-ctrl.exe launch

app=package_path

url=launch_url

Questo comando viene utilizzato per avviare manualmente un pacchetto ThinApp, in cuipackage_path è il percorso del file eseguibile del pacchetto e launch_url è l'URL delprotocollo di VMware Identity Manager per tale pacchetto nel formatohorizon://package_path. Un esempio è

hws-desktop-ctrl.exe launch app="FileZilla Client 3.3.2/FileZilla.exe" url="horizon://FileZilla Client 3.3.2/FileZilla.exe"

Questo comando non viene in genere utilizzato dagli utenti finali, che possono avviare iloro pacchetti ThinApp autorizzati dal portale Workspace ONE. Il comando viene di solitousato per il debug.


VMware, Inc. 125

Consentire l'accesso a risorsepubblicate Citrix 8È possibile integrare la distribuzione Citrix con VMware Identity Manager per fornire agli utenti diWorkspace ONE l'accesso alle risorse pubblicate da Citrix.


n Panoramica dell'integrazione delle risorse pubblicate da Citrix

n Componenti di richiesti per l'integrazione di Citrix

n Progettazione integrazione di alto livello

n Prerequisiti per l'integrazione di Citrix

n Configurazione di server farm Citrix in VMware Identity Manager

n Configurazione di avvio di risorse Citrix in VMware Identity Manager

n Configurazione delle impostazioni di VMware Identity Manager per l'integrazione di Citrix

n Impatto dell'aggiornamento sull'integrazione di risorse pubblicate da Citrix

Panoramica dell'integrazione delle risorse pubblicate daCitrixÈ possibile consentire agli utenti di Workspace ONE di accedere alle risorse pubblicate da Citrixintegrando la distribuzione di Citrix con VMware Identity Manager. Le risorse pubblicate Citrix includonoapplicazioni e desktop nelle server farm Citrix XenApp e Citrix XenDesktop. I desktop vengono anchedenominati gruppi di consegna pubblicati Citrix.

Gestire i desktop e le applicazioni pubblicate da Citrix nell'interfaccia amministrativa di Citrix. Anche ipermessi di utenti e gruppi vengono impostati nell'interfaccia di Citrix, non nel servizioVMware Identity Manager. È necessario sincronizzare tali utenti e gruppi al servizioVMware Identity Manager da Active Directory prima di procedere all'integrazione con le server farm Citrix.

Per integrare server farm Citrix con VMware Identity Manager, creare una o più raccolte app virtuali nellaconsole di VMware Identity Manager. Le raccolte contengono le informazioni di configurazione per leserver farm, nonché le impostazioni di sincronizzazione.

È possibile impostare una pianificazione di sincronizzazione per ogni raccolta al fine di sincronizzareregolarmente risorse e permessi dalle server farm Citrix con il servizio VMware Identity Manager.

VMware, Inc. 126

Dopo aver integrato la server farm Citrix, è possibile visualizzare i permessi e le risorse sincronizzatenella console di VMware Identity Manager. È anche possibile modificare le impostazioni di sessioni ICA,come ad esempio le impostazioni che controllano la risoluzione o la compressione. È possibileconfigurare le impostazioni globalmente, per tutte le risorse Citrix nel catalogo diVMware Identity Manager, oppure per risorse Citrix individuali.

Gli utenti finali possono avviare applicazioni e desktop pubblicati da Citrix dal portale o dall'appWorkspace ONE. Possono installare Citrix Receiver sui loro sistemi e dispositivi per accedere alle risorseper cui sono autorizzati.

Nota VMware Identity Manager supporta distribuzioni di Citrix che includono Citrix NetScaler.

Versioni e funzionalità supportaten VMware Identity Manager supporta Citrix XenApp 6.0 e 6.5, XenApp e XenDesktop 7.x, nonché Citrix

Virtual Apps e Desktops 7 1808.

Nota XenApp 5.x non è più supportato.

n VMware Identity Manager supporta Citrix StoreFront API 2.6 e versioni successive.

n VMware Identity Manager supporta solo l'autenticazione con nome utente e password nel serverXenApp o nel server NetScaler. Non supporta altri metodi di autenticazione come i seguenti:

n Smart card

n HTML 5

n Autenticazione a 2 fattori

n Autenticazione SAML (Citrix FAS)

n I sistemi operativi supportati per Integration Broker, ovvero il componente diVMware Identity Manager che comunica con la server farm Citrix, sono Windows Server 2008 R2,Windows Server 2012, Windows Server 2012 R2 e Windows Server 2016.

n Requisiti della versione di Integration Broker:

Versione di VMware Identity Manager o Connector Versione di Integration Broker supportata

VMware Identity Manager 19.03 19.03

VMware Identity Manager Connector 19.03.0.0 19.03


VMware Identity Manager Connector 2018.8.1.0 (connettorepubblicato con VMware Identity Manager 3.3)

3.3



3.2



VMware, Inc. 127


VMware Identity Manager Connector 2017.12.1.0(connettore pubblicato con VMware Identity Manager 3.1)

3.1



3,0

VMware Identity Manager 2.9.1 o versioni precedenti 2.9.1 o versioni precedenti

VMware Identity Manager Connector 2.9.1 o versioniprecedenti

2.9.1 o versioni precedenti

Nota Per utilizzare le API di Citrix StoreFront, è necessario Integration Broker 2.9.1 o versionesuccessiva. Per utilizzare XenApp o XenDesktop 7.x, è necessario Integration Broker 2.6 o versionesuccessiva. Per utilizzare la funzionalità NetScaler, è necessario Integration Broker 2.4 o versionesuccessiva.

Nota È consigliabile utilizzare la versione più recente di VMware Identity Manager e relativi componenti.

Componenti di richiesti per l'integrazione di CitrixPer integrare una distribuzione Citrix con il servizio VMware Identity Manager, sono necessari icomponenti riportati di seguito.

n Un tenant di VMware Identity Manager.

n Un connettore di VMware Identity Manager, versione 2.7 o successiva, installato in locale. È possibilescaricare il connettore dal sito https://my.vmware.com.

n Un'istanza di Integration Broker installata su un server Windows supportato in locale. IntegrationBroker, un componente di VMware Identity Manager, è il componente che comunica con i farm delserver Citrix.

È possibile scaricare Integration Broker dal sito https://my.vmware.com.

n Una distribuzione Citrix on-premise.

Durante la distribuzione dei componenti in locale, assicurarsi di rispondere ai requisiti riportati di seguito:

n Il connettore deve poter comunicare con Integration Broker. Se sono state distribuite più istanze delconnettore, assicurarsi che tutte possano comunicare con Integration Broker.

n Integration Broker deve poter comunicare con la server farm Citrix.

Tutta la comunicazione tra il servizio VMware Identity Manager e i componenti on-premise avvieneattraverso il connettore. Il connettore e il servizio comunicano su un canale che viene configuratoautomaticamente durante l'installazione.

Nota È consigliabile utilizzare la versione più recente di VMware Identity Manager e relativi componenti.


VMware, Inc. 128

Progettazione integrazione di alto livelloVMware Identity Manager utilizza Integration Broker e altri componenti per sincronizzare le risorsepubblicate da Citrix con VMware Identity Manager e per avviare le risorse dal portale o dall'appWorkspace ONE.

Sincronizzazione di risorse e permessi pubblicati da CitrixVMware Identity Manager sincronizza applicazioni e desktop pubblicati da Citrix, nonché permessi utente,dalla server farm Citrix al servizio VMware Identity Manager. È possibile impostare una pianificazione disincronizzazione per sincronizzare permessi e risorse a intervalli regolari.

La farm Citrix è l'origine di tutte le operazioni supportate in VMware Identity Manager. È possibile gestirele risorse e autorizzare gli utenti all'utilizzo di tali risorse nell'interfaccia amministrativa di Citrix.

Quando le risorse o i permessi vengono aggiunti, modificati o eliminati nella farm Citrix, le informazioni inVMware Identity Manager vengono aggiornate dopo una sincronizzazione.

Diagramma dell'architettura di sincronizzazione

WorkspaceONE

Configurazione diVMwareIdentity

Manager

ServizioVMwareIdentity

Manager

Connettore PowerShell

CitrixReceiver

4

3

2

• Receiver Client• HTML5 Receiver• Receiver For Web (Browser)

Integration Broker

1

Host sessione

Componenti di Citrix

Host sessione

Host sessione

Configurazione Citrix

StoreFront

Controller

Server XML

1 Il connettore di VMware Identity Manager si connette a Integration Broker e richiede le informazionirelative all'applicazione, al gruppo di consegna e ai permessi.

2 Integration Broker recupera le informazioni sulle risorse e i permessi dal server Citrix XML.


VMware, Inc. 129

3 Il connettore confronta le nuove informazioni con le informazioni relative ai permessi e alle risorseesistenti e invia le differenze al servizio VMware Identity Manager.

4 Il servizio VMware Identity Manager archivia i risultati nel database di VMware Identity Manager.

Avvio di applicazioni e desktop pubblicati da CitrixVMware Identity Manager utilizza il componente Integration Broker e Citrix Web Interface SDK o RESTAPI Citrix StoreFront per avviare le applicazioni pubblicate da Citrix dal portale o dall'app WorkspaceONE. È possibile configurare l'accesso interno ed esterno alle risorse pubblicate da Citrix. Gli utenti finalidevono installare Citrix Receiver sul proprio sistema o dispositivo per avviare i desktop e le applicazioni.

Diagramma dell'architettura di avvio (accesso interno)

WorkspaceONE

Servizio VMware Identity

Manager

Web InterfaceSDK/

StoreFront API

REST API Autenticazione

e richiesta di file ICA

File ICA

Citrix Receiver

1

45

3

6

2

connettore Integration Broker

Host sessione



StoreFront

Controller

Server XML

Server STA

Host sessione

Host sessione

1 Un utente avvia un'applicazione o un desktop pubblicato da Citrix dal portale o dall'app WorkspaceONE.

2 La richiesta passa al servizio VMware Identity Manager, al connettore e a Integration Broker.

3 Integration Broker comunica con la server farm Citrix tramite Web Interface SDK o REST APIStoreFront per eseguire l'autenticazione e richiedere il file ICA.

4 Il file ICA viene recuperato e inviato all'app o al portale Workspace ONE.

5 Il file ICA viene inviato a Citrix Receiver.

6 Citrix Receiver avvia l'applicazione o il desktop.


VMware, Inc. 130

Diagramma dell'architettura di avvio (accesso esterno)

WorkspaceONE

Host sessione



Servizio VMware Identity

Manager

Web InterfaceSDK/

StoreFront API

StoreFrontREST API

Autenticazione e richiesta di file ICA

File ICA

Citrix Receiver

1

45

3

6

8

7

2

NetScaler

connettore Integration Broker

Controller

Server XML

Server STA

Host sessione

Host sessione

1 Un utente avvia un'applicazione o un desktop pubblicato da Citrix dal portale o dall'app WorkspaceONE.

2 La richiesta passa al servizio VMware Identity Manager, al connettore e a Integration Broker.

3 Integration Broker comunica con la server farm Citrix tramite Web Interface SDK o REST APIStoreFront per eseguire l'autenticazione e richiedere il file ICA.

4 Il file ICA viene recuperato e inviato all'app o al portale Workspace ONE.

5 Il file ICA viene inviato a Citrix Receiver.

6 Citrix Receiver comunica con NetScaler.

7 NetScaler comunica con il server STA Citrix con il ticket STA e recupera le informazioni del serverdella sessione Citrix.

8 NetScaler comunica con il server host della sessione Citrix e crea una sessione per l'avviodell'applicazione.

Nota Nella versione 7.x, il server host della sessione Citrix è il server Citrix VDA. Nella versione 6.5,è il server Citrix Worker.


VMware, Inc. 131

Utilizzo di REST API StoreFront o di Web Interface SDK per l'avvioIntegration Broker può utilizzare Citrix Web Interface SDK e REST API Citrix StoreFront per comunicarecon la distribuzione Citrix e avviare applicazioni e desktop. Quando si utilizza REST API StoreFront,Integration Broker opera come un client REST. Web Interface SDK e REST API StoreFront vengonoutilizzati per eseguire l'autenticazione e generare il file ICA dalla distribuzione Citrix.

È possibile specificare l'opzione da utilizzare selezionando l'opzione Usa StoreFront o Usa Web InterfaceSDK nella pagina di configurazione di Citrix nella console di VMware Identity Manager.

Un'istanza di Integration Broker può utilizzare sia Web Interface SDK sia REST API StoreFront. Se sidesidera comunicare con una farm Citrix mediante Web Interface SDK e con un'altra farm di Citrixmediante la REST API di StoreFront, effettuare le selezioni appropriate per entrambe.

Per utilizzare l'opzione REST API StoreFront, disponibile in VMware Identity Manager 2.9.1 e versionisuccessive, assicurarsi che siano soddisfatti i requisiti seguenti.

n Utilizzare l'API StoreFront 2.6 o versione successiva.

n Installare Integration Broker 2.9.1 o versione successiva.

n Assicurarsi che StoreFront sia supportato dalla versione di XenApp o XenDesktop in uso.

n Assicurarsi che Integration Broker possa comunicare con il server di StoreFront.

Quando si abilita REST API StoreFront, Integration Broker comunica con il server di StoreFront pergenerare il file ICA.

n Nel server di StoreFront, quando si configura l'autenticazione per un archivio, i domini attendibilipossono essere configurati per il metodo di autenticazione "Nome utente e password". Se siconfigurano domini attendibili, assicurarsi di aggiungere i nomi dei domini nel formato nome dominiocompleto all'elenco di "Domini attendibili". Se si utilizzano nomi NetBIOS per StoreFront, aggiungereil nome dominio completo oltre il nome NetBIOS. VMware Identity Manager richiede il nome dominiocompleto. Se solo il nome NetBIOS viene aggiunto, l'avvio dell'applicazione e del desktop Citrix daWorkspace ONE avrà esito negativo.


VMware, Inc. 132

Nota Per utilizzare REST API StoreFront, non è necessario scaricare o copiare file aggiuntivinell'installazione.

Metodi di autenticazione supportati in un server CitrixVMware Identity Manager supporta solo l'autenticazione con nome utente e password nel server XenAppo nel server NetScaler. Non supporta altri metodi di autenticazione come i seguenti:n Smart card

n HTML 5

n Autenticazione a 2 fattori

n Autenticazione SAML (Citrix FAS)

Prerequisiti per l'integrazione di CitrixPrima di configurare i dettagli della server farm Citrix nella console di VMware Identity Manager, ènecessario completare alcune attività preliminari obbligatorie. È necessario distribuire e configurareIntegration Broker, un componente di VMware Identity Manager, su un Windows Server supportato econfigurare la comunicazione remota di Citrix PowerShell per abilitare la comunicazione tra IntegrationBroker e la server farm Citrix.

Le attività di alto livello includono quanto segue:

n Preparare Windows Server per l'installazione di Integration Broker.n Aggiungere ruoli e funzionalità.

n Installare Microsoft J# 2.0 Redistributable Package.

Microsoft J# 2.0 non è necessario se si intende utilizzare REST API Storefront anziché Citrix WebInterface SDK per connettersi alla server farm Citrix.


VMware, Inc. 133

n Installare Integration Broker.

n Scaricare e installare Integration Broker.

n Configurare le impostazioni di Gestione IIS per Integration Broker.

n Configurare il binding HTTPS per Integration Broker.

n Impostare la comunicazione remota di Citrix PowerShell per attivare le chiamate remote tra il serverdi Integration Broker e la server farm Citrix.

n Installare Citrix PowerShell SDK sul server di Integration Broker.

n Abilitare la comunicazione remota di PowerShell sui server Citrix (solo per Citrix 6.0).

n Scaricare e copiare i file dll di Citrix Web Interface SDK.

Citrix Web Interface SDK non è necessario se si intende utilizzare REST API di Storefront per laconnessione alla server farm Citrix.

Guardare il video seguente per una panoramica del processo.

Installazione di Integration Broker per desktop e applicazioni pubblicate da Citrix(http://link.brightcove.com/services/player/bcpid2296383276001?bctid=ref:video_integration_broker_citrix)

Informazioni sulla distribuzione di Integration BrokerIntegration Broker è un componente di VMware Identity Manager utilizzato per comunicare con la serverfarm Citrix. Installare Integration Broker in locale su un server Windows supportato.

Attenersi alle linee guida quando si distribuisce Integration Broker.

n È possibile installare Integration Broker su Windows Server 2016, Windows Server 2012 R2,Windows Server 2012 o Windows Server 2008 R2.

Tabella 8‑1. Requisiti del server di Integration Broker

Requisito Note

Windows Server 2016, Windows Server 2012 R2, WindowsServer 2012 o Windows Server 2008 R2 con processoredual core

4 GB RAM

30 GB Include lo spazio di archiviazione richiesto per il sistemaoperativo Windows.

n Requisiti della versione di Integration Broker:



VMware Identity Manager Connector 19.03.0.0 19.03



VMware, Inc. 134

http://link.brightcove.com/services/player/bcpid2296383276001?bctid=ref:video_integration_broker_citrix

http://link.brightcove.com/services/player/bcpid2296383276001?bctid=ref:video_integration_broker_citrix



3.3



3.2


VMware Identity Manager Connector 2017.12.1.0(connettore pubblicato con VMware Identity Manager 3.1)

3.1



3,0

VMware Identity Manager 2.9.1 o versioni precedenti 2.9.1 o versioni precedenti

VMware Identity Manager Connector 2.9.1 o versioniprecedenti

2.9.1 o versioni precedenti

Nota Per utilizzare REST API di Citrix StoreFront, è necessario Integration Broker 2.9.1 o versionesuccessiva. Per utilizzare XenApp o XenDesktop 7.x, è necessario Integration Broker 2.6 o versionesuccessiva. Per utilizzare la funzionalità NetScaler, è necessario Integration Broker 2.4 o versionesuccessiva.

Nota È consigliabile utilizzare la versione più recente di VMware Identity Manager e relativicomponenti.

n VMware Identity Manager Connector deve poter comunicare con Integration Broker. Se sono presentipiù istanze del connettore, verificare che tutte possano comunicare con Integration Broker.

Nota È necessario connettersi tramite SSL a qualsiasi istanza di Integration Broker utilizzata perl'avvio.

n Una singola istanza di Integration Broker può supportare più ambienti Citrix.

n Se si utilizza la versione per Windows di VMware Identity Manager Connector, attenersi alle seguentilinee guida.

n È consigliabile installare Integration Broker e VMware Identity Manager Connector in serverdiversi.

n Se si installa Integration Broker nello stesso server del connettore, assicurarsi che le porte dibinding HTTP e HTTPS non siano in conflitto con le porte utilizzate da VMware Identity ManagerConnector.

VMware Identity Manager Connector utilizza sempre la porta 80. Utilizza anche la porta 443, ameno che durante l'installazione non venga configurata un'altra porta.


VMware, Inc. 135

n Durante l'installazione del connettore, viene generato un certificato autofirmato. Se si installaIntegration Broker nello stesso server del connettore, è possibile utilizzare questo certificato.Installare il certificato in Microsoft Store e utilizzarlo per il binding HTTPS.

n Prima di iniziare, pianificare la strategia di distribuzione. Vedere Modelli di distribuzione di IntegrationBroker per le raccomandazioni relative agli scenari più comuni.

Modelli di distribuzione di Integration BrokerDistribuire una o più istanze di Integration Broker, in base alle esigenze dell'azienda. I seguenti modelli didistribuzione sono basati su scenari comuni.

Ambienti di prototipazione

Negli ambienti di prototipazione, dove si configurano solo poche applicazioni pubblicate da Citrix inVMware Identity Manager per acquisire familiarità con il processo di integrazione e con l'esperienzadell'utente finale, è consigliabile configurare una singola istanza di Integration Broker. Selezionare lastessa istanza di Integration Broker come Integration Broker per la sincronizzazione e SSO IntegrationBroker nella raccolta di app virtuali.


Connettore VMwareIdentity Manager

IntegrationBroker

Sincronizza

Avvia

Ambienti di test

In piccoli ambienti di test, in cui si desidera testare il flusso intero inclusi sincronizzazione e avvio, èconsigliabile distribuire due istanze di Integration Broker, una per la sincronizzazione di risorse epermessi e l'altra per l'avvio di risorse. In questo scenario, in genere si integrano solo alcune applicazionie non si prevede un gran numero di utenti che avviano contemporaneamente le applicazioni.

Selezionare una delle istanze come Integration Broker per la sincronizzazione e l'altra come SSOIntegration Broker nella raccolta di app virtuali.


VMware, Inc. 136



IntegrationBroker

IntegrationBroker

Sincronizza

Avvia

Ambienti di produzione

Negli ambienti di produzione, è consigliabile configurare un cluster di istanze di Integration Broker dietroun bilanciamento del carico a scopi di alta disponibilità e bilanciamento del carico. Se una delle istanze diIntegration Broker non è disponibile, la sincronizzazione e l'avvio restano disponibili perché le richiestevengono reindirizzate a un'altra istanza del cluster.

Immettere le informazioni sul bilanciamento del carico nei campi Sincronizza Integration Broker e SSOIntegration Broker nella raccolta di app virtuali.



IntegrationBroker

Bilanciamentodel carico

IntegrationBroker

Sincronizza

Avvia

Ambienti di produzione su larga scala

Negli ambienti di produzione di grandi dimensioni che integrano un gran numero di applicazioni e sonosoggetti a un traffico elevato, è consigliabile configurare cluster di Integration Broker separati persincronizzare e avviare. Configurare ciascun cluster dietro un bilanciamento del carico. Questaimplementazione offre la flessibilità di aumentare il numero di istanze in base a esigenze specifiche. Sead esempio si verificano ritardi a causa di un numero elevato di avvii simultanei, è possibile aggiungerepiù istanze di Integration Broker al cluster utilizzato per l'avvio.


VMware, Inc. 137

Immettere i bilanciamenti del carico appropriati nei campi Sincronizza Integration Broker e SSOIntegration Broker nella raccolta di app virtuali.

Nota Per un'istanza di Integration Broker che viene utilizzata solo per l'avvio e non per lasincronizzazione, non è necessario configurare la comunicazione remota di Citrix PowerShell. Inoltre, sesi utilizzano le REST API di StoreFront per connettersi alla server farm Citrix, non è necessario scaricareCitrix Web Interface SDK.



IntegrationBroker

IntegrationBroker

Bilanciamentodel carico

Bilanciamentodel carico Integration

Broker

Sincronizza

Avvia

Preparazione di Windows Server per l'installazione di IntegrationBrokerPrima di installare Integration Broker, è necessario configurare il server Windows.

I seguenti sistemi operativi sono supportati per il server Integration Broker.

n Windows Server 2008 R2

n Windows Server 2012

n Windows Server 2012 R2

n Windows Server 2016

Nota Vedere le tabelle di interoperabilità dei prodotti VMware all'indirizzohttp://www.vmware.com/resources/compatibility/sim/interop_matrix.php per informazioni aggiornate sulleversioni supportate.


VMware, Inc. 138

Aggiunta di ruoli e funzionalità di Windows Server (Windows Server 2012 R2,2012 o 2008 R2)Aggiungere i ruoli, le funzionalità e i servizi dei ruoli necessari nel server Integration Broker.

Nota Le fasi illustrate in questa procedura fanno riferimento all'interfaccia utente di Windows Server2012 R2 o Windows Server 2012. Dove applicabile, sono riportate le eventuali differenze per WindowsServer 2008 R2.

Per aggiungere ruoli e servizi in Windows Server 2016, vedere Aggiunta di ruoli e funzionalità di WindowsServer (Windows Server 2016).

Prerequisiti

n Verificare che siano installati gli ultimi aggiornamenti di Windows Server 2008 R2, Windows Server2012 o Windows Server 2012 R2. Per verificare la disponibilità di aggiornamenti, selezionarePannello di controllo > Windows Update.

n Creare un pool di applicazioni, se necessario. È possibile utilizzare il pool di applicazioni predefinito ocreare un pool di applicazioni dedicato a Integration Broker.

Procedura

1 Selezionare Start > Server Manager.

2 In Server Manager, selezionare Gestisci > Aggiungi ruoli e funzionalità.

3 Nella procedura guidata Aggiungi ruoli e funzionalità, fare clic su Avanti fino a quando non vienevisualizzata la pagina Ruoli server.


VMware, Inc. 139

4 Selezionare i seguenti ruoli, quindi fare clic su Avanti.

Ruoli n Server applicazionin Servizi file e archiviazionen Server Web (IIS)

Nota Quando si seleziona il Server Web (IIS), viene visualizzata una finestra di dialogo che chiede diconfermare le funzionalità necessarie per il Server Web (IIS). Verificare che sia incluso Strumenti di gestione ,quindi fare clic su Aggiungi funzionalità.


VMware, Inc. 140

5 Nella pagina Funzionalità, selezionare le funzionalità seguenti.

Funzionalità n Funzionalità .NET Framework 3.5n .NET Framework 3.5 (include .NET 2.0 e 3.0)n Attivazione HTTP

Quando si seleziona Attivazione HTTP, viene visualizzata una finestra di dialogo che chiede diconfermare le funzionalità necessarie per l'attivazione HTTP. Fare clic su Aggiungi funzionalità.

Nota In Windows Server 2008 R2, selezionare queste opzioni:n Funzionalità .NET Framework 3.5

n .NET Framework 3.5n Attivazione di WCF

n Attivazione HTTP

n HWC (Hostable Web Core) di IISn Servizio Attivazione processo Windowsn Estensione IIS di Gestione remota Windows

Ad esempio:

Figura 8‑1. Windows Server 2012 R2

6 Fare clic su Avanti, quindi fare ancora clic su Avanti per visualizzare la pagina Servizi ruolo serverapplicazioni.


VMware, Inc. 141

7 Nella pagina Servizi ruolo server applicazioni, selezionare i seguenti servizi ruolo.

Servizi ruoloserverapplicazioni

Servizi ruolo server applicazionin .NET Framework 4.5 (non cambiare se preselezionato)n Supporto Server Web (IIS)

Nota Quando si seleziona il Server Web (IIS), viene visualizzata una finestra di dialogo che chiede diconfermare le funzionalità necessarie per il Server Web (IIS). Fare clic su Aggiungi funzionalità.

n Supporto per il servizio Attivazione processo Windowsn Attivazione HTTP

Per esempio:

8 Fare clic su Avanti, quindi fare ancora clic su Avanti per visualizzare la pagina Servizi ruolo RuoloServer Web (IIS).


VMware, Inc. 142

9 Nella pagina Servizi ruolo Ruolo Server Web (IIS), selezionare i seguenti servizi ruolo.

Servizi ruolo Ruolo Server Web(IIS)

n Server Webn Accettare le impostazioni predefiniten Abilitare l'opzione seguente:

n Strumenti di gestionen Console di gestione IISn Compatibilità di gestione IIS 6

Per esempio:


11 Fare clic su Installa.

12 Al termine dell'installazione, fare clic su Chiudi per chiudere la procedura guidata Aggiungi ruoli efunzionalità.


Installare Microsoft Visual J# 2.0 Redistributable Package, se necessario.

Aggiunta di ruoli e funzionalità di Windows Server (Windows Server 2016)Aggiungere le funzionalità e i ruoli di Windows Server necessari nel server Integration Broker.

Nota I passaggi di questa procedura si riferiscono all'interfaccia utente di Windows Server 2016. PerWindows Server 2012 R2, Windows Server 2012 e Windows Server 2008 R2, vedere Aggiunta di ruoli efunzionalità di Windows Server (Windows Server 2012 R2, 2012 o 2008 R2).

Prerequisiti

n Verificare che sia installato Windows Server 2016 con gli aggiornamenti più recenti.


VMware, Inc. 143

n Creare un pool di applicazioni, se necessario. È possibile utilizzare il pool di applicazioni predefinito ocreare un pool di applicazioni dedicato a Integration Broker.

Procedura

1 Selezionare Start > Server Manager.

2 In Server Manager, selezionare Gestisci > Aggiungi ruoli e funzionalità.

3 Nella procedura guidata Aggiungi ruoli e funzionalità, fare clic su Avanti fino a quando non vienevisualizzata la pagina Ruoli server.

4 Nella pagina Ruoli server, selezionare i seguenti ruoli.

n Servizi file e archiviazione

n Servizi di archiviazione

n Server Web (IIS)

n Server Web


VMware, Inc. 144

n Strumenti di gestione


VMware, Inc. 145


6 Nella pagina Funzionalità, selezionare le funzionalità seguenti.

n Funzionalità .NET Framework 3.5

n .NET Framework 3.5 (include .NET 2.0 e 3.0)

n Attivazione HTTP

Quando si seleziona Attivazione HTTP, viene visualizzata una finestra di dialogo che chiededi confermare le funzionalità necessarie per l'attivazione HTTP. Fare clic su Aggiungifunzionalità.

n Funzionalità di .NET Framework 4.6

n .NET Framework 4.6

n ASP.NET 4.6

n Servizi WCF

n Gestione Criteri di gruppo

n HWC (Hostable Web Core) di IIS

n Estensione IIS OData gestione

n Media Foundation

n Accodamento messaggi

n Servizi Accodamento messaggi


VMware, Inc. 146

n Strumenti di amministrazione remota del server

n Supporto per la condivisione di file SMB 1.0/CIFS

n Client Telnet

n Funzionalità di Windows Defender


VMware, Inc. 147

n Windows PowerShell

n Servizio Attivazione processo Windows

n Estensione IIS di Gestione remota Windows

n Supporto di Wow64


VMware, Inc. 148

7 Fare clic su Avanti e nella pagina di conferma, fare clic su Installa.

8 Al termine dell'installazione, fare clic su Chiudi per chiudere la procedura guidata Aggiungi ruoli efunzionalità.


Installare Microsoft Visual J# 2.0 Redistributable Package, se necessario.

Installare Microsoft Visual J# 2.0 64-bit Redistributable PackageScaricare e installare Microsoft Visual J#® 2.0 64-bit Redistributable Package - Second Edition. Questopassaggio non è necessario se si intende utilizzare la REST API Citrix StoreFront anziché Citrix WebInterface SDK per connettersi alla server farm Citrix.

Procedura

1 Scaricare Microsoft Visual j# 2.0 64-bit Redistributable Package - Second Edition dal sito Web diMicrosoft.

2 Fare doppio clic sul file vjredist.exe e seguire la procedura guidata per installare il pacchetto.

Distribuire Integration BrokerPer distribuire Integration Broker, scaricare e installare Integration Broker su un server Windowssupportato, configurare le impostazioni di Gestione IIS e impostare i binding HTTP e HTTPS.

Installazione di Integration BrokerInstallare Integration Broker sul server Windows che è stato configurato.


VMware, Inc. 149

Prerequisiti

n Preparare il server Windows. Vedere Preparare il Server Windows per l'installazione di IntegrationBroker.

n Scaricare Integration Broker dalla pagina del prodotto VMware Identity Manager in My VMware.

Procedura

1 Accedere come amministratore di Windows.

2 Fare clic sul file setup.exe per eseguire il programma di installazione di Integration Broker.

3 Accettare l'accordo di licenza con l'utente finale.

4 Immettere la posizione Web in cui installare Integration Broker.

5 (Facoltativo) Se per Integration Broker è stato creato un pool di applicazioni separato, selezionare ilpool di applicazioni.

Attenzione Non cambiare il nome della directory virtuale.

6 Fare clic su Avanti per completare l'installazione di Integration Broker.


Configurare le impostazioni di Gestione IIS.

Configurazione delle impostazioni di IIS ManagerConfigurare le impostazioni di IIS Manager obbligatorie per Integration Broker.

Nota I passaggi di questa procedura fanno riferimento all'interfaccia utente di Windows Server 2012 oWindows Server 2012 R2.

Prerequisiti

Le credenziali per l'utente di Identity. L'utente di Identity deve soddisfare i seguenti requisiti:

n Utente del dominio

n Privilegi per abilitare la comunicazione remota di PowerShell nel server Integration Broker:

a Avviare PowerShell con privilegi di amministratore

b Avviare Enable-PSRemoting

n Uno dei seguenti ruoli nel server Citrix:

n Almeno Amministratore sola lettura (versione 7.x) o Amministratore sola visualizzazione(versione 6. x)

n Un ruolo di amministratore personalizzato che disponga delle autorizzazioni per eseguire iseguenti cmdlet di PowerShell. Questi cmdlet vengono utilizzati per recuperare applicazioni,server, farm e informazioni sulle icone dalla server farm Citrix.


VMware, Inc. 150

https://my.vmware.com

Su XenApp 6.5:

Get-XAApplication

Get-XAServer

Get-XAAccount

Get-XAApplicationIcon

Get-XAFarm

Su XenApp o XenDesktop 7.x:

Get-BrokerApplication

Get-BrokerIcon

Get-BrokerDesktopGroup

Get-BrokerAccessPolicyRule

Get-BrokerAppEntitlementPolicyRule

Get-BrokerIcon

Get-BrokerEntitlementPolicyRule

Procedura

1 Fare clic su Start > Server Manager.

2 In Server Manager, selezionare Strumenti > Internet Information Services (IIS) Manager.

3 In IIS Manager, configurare il pool di applicazioni che è stato selezionato durante l'installazione diIntegration Broker.

Suggerimento Per verificare il pool di applicazioni corretto, fare clic su Pool di applicazioni nelriquadro a sinistra, fare clic con il pulsante destro del mouse sul pool di applicazioni e scegliereVisualizza applicazioni, quindi verificare che Integration Broker sia visualizzato nell'elenco.

a Nel riquadro a sinistra, fare clic su Pool di applicazioni.

b Selezionare il pool di applicazioni utilizzato per Integration Broker.

c Nel riquadro a destra, fare clic su Impostazioni avanzate.


VMware, Inc. 151

d Nella finestra di dialogo Impostazioni avanzate, configurare le seguenti impostazioni.

Opzione Descrizione

Versione CLR .NET Verificare che il valore sia v2.0.

Nota In Windows 2012 e Windows 2012 R2, il pool di applicazioni potrebbeessere stato configurato per una versione di .NET diversa per impostazionepredefinita. Assicurarsi di configurarlo su v2.0.

Attivare le applicazioni a 32 bit Impostare il valore su True.

Identità 1 Fare clic su Identity.

2 Fare clic sull'icona ....3 Nella finestra di dialogo Pool di applicazioni di Identity che viene

visualizzata, fare clic su Account personalizzato, quindi fare clic suImposta.

4 Immettere il nome utente e la password per l'utente di Identity. Vedere irequisiti per l'utente di Identity nella sezione Prerequisiti.

5 Fare clic su OK e poi ancora su OK.

e Fare clic su OK per chiudere la finestra di dialogo Impostazioni avanzate.


VMware, Inc. 152

Impostare il binding del sito HTTPS per Integration BrokerÈ necessario impostare il binding del sito HTTPS per Integration Broker. Per impostare il binding, ènecessario un certificato SSL per il server Integration Broker. È possibile ottenere un certificato daun'Autorità di certificazione o creare un certificato autofirmato.

Nota Se si utilizza la versione per Windows di VMware Identity Manager Connector e si installaIntegration Broker nello stesso server del connettore, assicurarsi che le porte di binding HTTP e HTTPSnon siano in conflitto con le porte utilizzate dal connettore.

VMware Identity Manager Connector utilizza sempre la porta 80. Utilizza anche la porta 443, a meno chedurante l'installazione non venga configurata un'altra porta. Per ulteriori informazioni sulle porte utilizzate,vedere Installazione e configurazione di VMware Identity Manager Connector (Windows).

È consigliabile installare Integration Broker e VMware Identity Manager Connector in server diversi.

Prerequisiti

n Ottenere un certificato SSL per il server Integration Broker. È possibile ottenere un certificato daun'Autorità di certificazione o creare un certificato autofirmato. Installare il certificato nel MicrosoftStore nel server Integration Broker.

Vedere l'esempio: Creare un certificato autofirmato utilizzando Gestione IIS e l'esempio: Creare uncertificato autofirmato utilizzando OpenSSL.

Nota Se si utilizza la versione per Windows di VMware Identity Manager Connector e IntegrationBroker è installato nello stesso server del connettore, è possibile utilizzare il certificato autofirmatogenerato durante l'installazione del connettore. Installare il certificato in Microsoft Store e utilizzarloper il binding HTTPS.

Procedura

1 In Gestione IIS, nel riquadro a sinistra, fare clic sul sito Web in cui è installato Integration Broker.

Suggerimento Per verificare il sito Web corretto, è possibile espandere il sito nel riquadro a sinistrae verificare che Integration Broker sia elencato sotto di esso.

2 Nel riquadro a destra, sotto Modifica sito, fare clic su Binding.

3 Aggiungere il binding HTTPS mediante il certificato che è stato creato.

a Fare clic su Aggiungi.

b Nel campo Tipo , selezionare https.

c Se si utilizza IIS 8.0 o versioni successive, verificare che il campo Nome host sia vuoto. Nondeve contenere alcun valore.


VMware, Inc. 153

d Nel campo Certificato SSL , selezionare il certificato SSL che è stato creato.

Per esempio:

e Fare clic su OK.

4 Riavviare IIS.

a Aprire la finestra del prompt dei comandi come amministratore.

b Digitare iisreset.


Verificare i binding.

n Verificare che il binding HTTP produca l'output previsto digitandohttp://hostname /IB/API/RestServiceImpl.svc/ibhealthcheck nella barra degli indirizzi di un browser.

Output previsto:

All ok

n Verificare che il binding HTTPS produca l'output previsto digitandohttps://hostname /IB/API/RestServiceImpl.svc/ibhealthcheck nella barra degli indirizzi di un browser.

Output previsto:

All ok

Nota In Internet Explorer, l'output All ok non viene visualizzato direttamente. Al contrario, vienescaricato il file di output. Aprire il file per visualizzare l'output.

Esempio: Creare un certificato autofirmato utilizzando Gestione IIS

È possibile creare un certificato autofirmato per il server Integration Broker utilizzando Gestione IIS.

Procedura

1 Avviare Gestione IIS.

2 Passare a Certificati del server.


VMware, Inc. 154

3 Nel riquadro a destra, sotto Azione, selezionare Creare certificato autofirmato.

4 Seguire la procedura guidata per generare il certificato autofirmato.

Il certificato viene installato automaticamente nel Microsoft store nel server Integration Broker.


Utilizzare il certificato per il binding HTTPS per il sito Web di Integration Broker.

Esempio: creare un certificato autofirmato utilizzando OpenSSL

Queste istruzioni forniscono un esempio di come impostare un certificato autofirmato utilizzandoOpenSSL per Integration Broker.

Procedura

1 Creare un certificato autofirmato per il server Integration Broker.

2 Creare la cartella ibcerts da utilizzare come directory di lavoro.

3 Creare un file di configurazione utilizzando il comando vi openssl_ext.conf.

a Copiare e incollare i comandi OpenSSL riportati di seguito nel file di configurazione.

# openssl x509 extfile params

extensions = extend

[req] # openssl req params

prompt = no

distinguished_name = dn-param

[dn-param] # DN fields

C = US

ST = CA

O = VMware (Dummy Cert)

OU = Horizon Workspace (Dummy Cert)

CN = nomehost (il nome host della macchina virtuale su cui è installato Integration Broker)

emailAddress = EMAIL PROTECTED

[extend] # openssl extensions

subjectKeyIdentifier = hash

authorityKeyIdentifier = keyid:always

keyUsage = digitalSignature,keyEncipherment

extendedKeyUsage=serverAuth,clientAuth

[policy] # certificate policy extension data

Nota Immettere il valore di CN prima di salvare il file.

b Eseguire questo comando per generare una chiave privata.

openssl genrsa -des3 -out server.key 1024

c Immettere la passphrase per server.key, ad esempio vmware.


VMware, Inc. 155

d Ridenominare il file server.key in server.key.orig.

mv server.key server.key.orig

e Rimuovere la password associata alla chiave.

openssl rsa -in server.key.orig -out server.key

4 Creare una richiesta di firma certificato (CSR, certificate signing request) con la chiave generata. Laserver.csr sarà memorizzata nella directory di lavoro.

openssl req -new -key server.key -out server.csr -config ./openssl_ext.conf

5 Firmare la CSR.

openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt -extfile

openssl_ext.conf

Verrà visualizzato l'output previsto.

Signature ok subject=/C=US/ST=CA/O=VMware (Dummy Cert)/OU=Horizon Workspace

(Dummy Cert)/CN=w2-hwdog-xa.vmware.com/emailAddress=EMAIL PROTECTED Getting

Private key

6 Creare il formato P12.

openssl pkcs12 -export -in server.crt -inkey server.key -out server.p12

a Premere Invio al prompt per una password per l'esportazione.

Importante Non immettere una password.

L'output previsto sarà il file server.p12.

b Spostare il file server.p12 sulla macchina Windows su cui è installato Integration Broker.

c Dal prompt dei comandi, digitare mmc.

d Fare clic su File > Aggiungi o rimuovi snap-in.

e Nella finestra Snap-in, fare clic su Certificati e fare clic su Aggiungi.

f Selezionare il pulsante di opzione Account del computer.

7 Importare il certificato nell'archivio dei certificati root e personali.

a Scegliere Tutti i file nella finestra di dialogo.

b Selezionare il file server.p12.

c Fare clic sulla casella di spunta Esportabile.


VMware, Inc. 156

d Lasciare vuoto il campo della password.

e Accettare i valori predefiniti per i passi successivi.

8 Copiare il certificato nelle CA root sicure nella stessa console mmc.

9 Verificare che il contenuto del certificato includa tali elementi.

n Chiave privata

n CN nell'attributo dell'oggetto che corrisponde al nome host di Integration Broker

n Attributo di utilizzo della chiave esteso con l'autenticazione client e server abilitata

Abilitazione della comunicazione remota di Citrix PowerShellÈ necessario abilitare le chiamate remote tra Integration Broker e la server farm di Citrix impostando lacomunicazione remota di Citrix PowerShell.

Per configurare la comunicazione remota di Citrix PowerShell, installare Citrix PowerShell SDK sul serverdi Integration Broker e verificare che la comunicazione remota di PowerShell sia abilitata sui server Citrix.

Sul server di Integration Broker, è necessario installare la versione di Citrix PowerShell SDK appropriata.Se ci si connette a più versioni di server farm di Citrix, installare tutte le versioni di Citrix PowerShell SDKnecessarie sul server di Integration Broker, poiché gli SDK non sono compatibili con le versioniprecedenti.

La comunicazione remota di PowerShell deve essere abilitata sui server Citrix in modo che il server diIntegration Broker possa connettersi a tali server e recuperare informazioni necessarie come informazionisulle risorse, permessi e icone. È necessario abilitare la comunicazione remota di PowerShell solo suicontroller di recapito o sui broker XML che si configurano in VMware Identity Manager, e non su tutti iserver della server farm. In XenApp o XenDesktop 7.x, questi sono i controller di recapito che agisconoanche come broker XML. Nelle server farm Citrix 6.5 e 6.0, questi sono i server del broker XML.

Per la server farm Citrix 6.0, la comunicazione remota di Citrix PowerShell richiede un canale HTTPSsicuro per effettuare chiamate remote. Assicurarsi che i broker XML o i controller di recapito di Citrixdispongano di certificati SSL validi.

Installare Citrix PowerShell SDK nel server Integration BrokerÈ necessario installare Citrix PowerShell SDK sul server Integration Broker per consentire le connessionitra il server Integration Broker e la server farm Citrix.

Scaricare e installare la versione di Citrix PowerShell SDK corrispondente alla server farm Citrix che sidesidera integrare con VMware Identity Manager. Se ci si connette a più versioni di server farm di Citrix,installare tutte le versioni di Citrix PowerShell SDK necessarie sul server di Integration Broker, poiché gliSDK non sono compatibili con le versioni precedenti.

Procedura

1 Accedere al server Integration Broker.


VMware, Inc. 157

2 Se ci sta connettendo a XenApp o XenDesktop 7.x, eseguire i passaggi seguenti.

a Scaricare e installare Citrix Studio nel server Integration Broker.

b Verificare l'installazione.

1 Aprire Windows PowerShell come amministratore.

2 Immettere il comando:

Add-PSSnapin Citrix*

3 Immettere i comandi seguenti:

Get-BrokerDesktopGroup -AdminAddress CitrixDeliveryController

Get-ConfigSite -AdminAddress CitrixDeliveryController

Nota Se si ottiene un errore di autenticazione, impostare i criteri di esecuzione con ilcomando set-executionpolicy remotesigned, quindi riprovare i comandi.

3 Se ci si connette a Citrix server farm 6.5, procedere come segue.

a Scaricare e installare Citrix PowerShell SDK 6.5 nel server Integration Broker.

b Verificare l'installazione.

1 Aprire Program Files > Citrix PowerShell Module.

2 Immettere il comando:

Get-XAApplication -ComputerName CitrixServer

Verificare che l'elenco includa tutte le applicazioni con hosting di Citrix.

Nota Se il comando non riesce, verificare che il servizio XenApp Command Remoting sia inesecuzione sul server Citrix.

4 Se ci si connette al server farm Citrix 6.0, scaricare e installare Citrix PowerShell SDK 6.0 nel serverIntegration Broker.

Abilitazione della comunicazione remota di Citrix PowerShell sulla serverfarm CitrixAbilitare la comunicazione remota di Citrix PowerShell sulla server farm Citrix, se necessario.

n In Citrix XenApp o XenDesktop 7.x, verificare che sia abilitata la comunicazione remota di PowerShellnei controller di recapito a cui VMware Identity Manager si connetterà.

n In Citrix 6.5, verificare che il servizio Citrix XenApp Commands Remoting sia in esecuzione nei brokerXML a cui VMware Identity Manager si connetterà.

n In Citrix 6.0, abilitare la comunicazione remota di PowerShell. Vedere Configurazione del remoting diCitrix PowerShell su Citrix Server Farm 6.0.


VMware, Inc. 158

Configurazione del remoting di Citrix PowerShell su Citrix Server Farm 6.0

È necessario abilitare la comunicazione remota di Citrix PowerShell nei server Citrix XML Broker che sidesidera integrare con VMware Identity Manager. Il remoting di Citrix PowerShell consente le connessionitra Integration Broker e il farm del server Citrix.

Nota È necessario abilitare la comunicazione remota di Citrix PowerShell solo sui broker XML che siconfigureranno in VMware Identity Manager, e non su tutti i server nella server farm.

Prerequisiti

n Se Winrm non è installato, scaricarlo e installarlo dal sito Web Microsoft.

n Verificare che i broker Citrix XML dispongano di certificati SSL validi. Fare inoltre clic su Proprietà everificare che per i certificati sia abilitata l'opzione Autenticazione server.

Procedura

1 Aprire PowerShell in modalità amministratore.

2 Abilitare il remoting di Citrix PowerShell.

a Digitare il comando Get-Service winrm per verificare che Winrm sia installato nel server.

b Immettere il comando Enable-PSRemoting.

Questo comando abilita la comunicazione remota di PowerShell nel server.

c Installare Citrix PowerShell SDK 6.0.

d Abilitare il listener HTTPS di winrm dal prompt dei comandi.

1 Creare un certificato nel server.

2 Registrare l'identificazione personale del certificato.

3 Verificare che l'identificazione personale del certificato sia configurata.

winrm quickconfig -transport:https


VMware, Inc. 159

e Verificare che il listener sia stato creato.

winrm e winrm/config/listener

Il server è pronto per l'utilizzo.

f Dopo la creazione del listener, passare al server Integration Broker per verificare che lacomunicazione remota di PowerShell sia installata correttamente.

winrm identify -r:https://XENAPP_HOSTNAME:5986 -u:USERNAME

Output:

IdentifyResponse

ProtocolVersion=http://schemas.dmtf.org/wbem/wsman/1/wsman.xsd

ProductVendor=Microsoft Corporation

ProductVersion=OS: 6.0.6002 SP: 2.0 Stack: 2.0

Verificare la connessione per server farm CitrixDopo aver distribuito Integration Broker e configurato il la comunicazione remota di PowerShell, verificarela connessione al server farm Citrix.

Procedura

1 In un browser, immettere l'URL appropriato per la propria versione di farm Citrix.

n Server farm Citrix XenApp o XenDesktop 7.x

https://IBhostname/IB/API/RestServiceImpl.svc/hznxenapp/admin/xenfarminfo?computerName=XenAppServerHostname&xenappversion=Version7x

n Citrix server farm 6.5

https://IBhostname/IB/API/RestServiceImpl.svc/hznxenapp/admin/xenfarminfo?computerName=XenAppServerHostname&xenappversion=Version65orLater

n Citrix Server Farm 6.0

https://IBhostname/IB/API/RestServiceImpl.svc/hznxenapp/admin/xenfarminfo?computerName=XenAppServerHostname&xenappversion=Legacy

2 Rivedere l'output.

Se Integration Broker è configurato correttamente, la pagina visualizza informazioni sulla server farmCitrix, come le seguenti:

"[{\"FarmName\":\"test data\",\"ServerVersion\":\"

6.0.6410\",\"AdministratorType\":\"Full\",\"SessionCount\":\"2\",\"MachineName\"

:\"test data\"}]”

Se la pagina Web non visualizza le informazioni sul server farm, esaminare i registri sul serverIntegration Broker : %programdata%/VMware/HorizonIntegrationBroker.


VMware, Inc. 160

Scaricare Citrix Web Interface SDK 5.4Citrix Web Interface SDK è utilizzato per eseguire l'autenticazione e generare il file ICA da Citrix DeliveryController o dai broker XML per avviare desktop e applicazioni pubblicate da Citrix.

Nota Se si intende utilizzare la REST API Citrix StoreFront per comunicare con la farm Citrix pergenerare il file ICA, non è necessario installare Citrix Web Interface SDK.

Procedura

1 Scaricare Citrix Web Interface SDK 5.4 (file zip WISDK) dal sito Web Citrix.

2 Decomprimere il file wisdk.zip.

3 Copiare il contenuto della directory WI5_4_0_SDK/zipfiles/sdkdemo/wisdk nella directory diIntegration Broker predefinita c:\inetpub\wwwroot\IB\bin.

4 Riavviare IIS.

a Aprire la finestra del prompt dei comandi come amministratore.

b Digitare iisreset.

Configurazione di server farm Citrix inVMware Identity ManagerPer configurare server farm di Citrix XenApp e XenDesktop in VMware Identity Manager, creare una o piùraccolte di app virtuali nella pagina Configurazione app virtuali, le quali contengono informazioni diconfigurazione quali ad esempio i server Citrix da cui si desidera sincronizzare risorse e permessi,l'Integration Broker da utilizzare per sincronizzazione e SSO, il connettore di VMware Identity Manager dautilizzare per la sincronizzazione e le impostazioni dell'amministratore quali il client di avvio predefinito.

È possibile aggiungere tutte le server farm Citrix a una raccolta o creare più raccolte, in base alle proprieesigenze. Ad esempio, si può scegliere di creare una raccolta separata per ogni farm per facilitare lagestione e distribuire il carico di sincronizzazione tra connettori differenti. Altrimenti è possibile sceglieredi includere tutte le server farm in una raccolta per implementare un ambiente di test e avere un'altraraccolta identica per il proprio ambiente di produzione.

Prima di configurare le risorse pubblicate da Citrix in VMware Identity Manager, assicurarsi che venganosoddisfatti tutti i prerequisiti.

Seguire anche queste linee guida per le impostazioni della server farm Citrix.

n Sincronizzazione dei gruppi di consegna


VMware, Inc. 161

L'impostazione Tipo di consegna di un gruppo di consegna in Citrix determina il modo in cui VMwareIdentity Manager sincronizza il gruppo.

VMware Identity Manager sincronizza un gruppo di consegna solo se l'opzione Tipo di consegna èimpostato su Desktop e app o Solo desktop. Se Tipo di consegna del gruppo di consegna èimpostato su Solo app, le relative applicazioni verranno sincronizzate ma il gruppo di consegnastesso non verrà sincronizzato e non sarà presente nel catalogo di VMware Identity Manager.

Configurare di conseguenza i gruppi di consegna.

n In 7.9 XenApp e XenDesktop, se si utilizza l'opzione Gruppo visibilità limitata per limitare gli utenti,accertarsi che il Gruppo visibilità limitata contenga utenti o gruppi. Se non contiene alcun utente ogruppo, la sincronizzazione a VMware Identity Manager non funzionerà.

n Assicurarsi che tutte le applicazioni e tutti i desktop pubblicati in un sito contengano utenti validi. Se sielimina un utente o gruppo, assicurarsi di rimuovere l'utente o gruppo anche dalle risorse pubblicateda Citrix.

n Assicurarsi che gli utenti e i gruppi siano stati assegnati al Gruppo di consegna corretto.

Se si selezionano impostazioni per limitare gli utenti, assicurarsi che includano utenti e gruppi.

n XenApp e XenDesktop 7.x consentono di impostare permessi per tutti gli utenti autenticati a livello digruppo di consegna grazie all'impostazione che permette a tutti gli utenti autenticati di utilizzare ilgruppo di consegna corrente. VMware Identity Manager non supporta questa impostazione. Perassicurarsi che gli utenti abbiano i permessi corretti in VMware Identity Manager, impostare ipermessi espliciti per gli utenti e i gruppi.

n VMware Identity Manager non supporta la funzionalità del gruppo di utenti anonimi di Citrix.

Nota XenApp 5.x non è più supportato. Impossibile aggiornare o salvare le configurazioni esistenti cheincludono un server XenApp 5.x, a meno che non si rimuova il server dalla configurazione. Dopo averrimosso il server 5.x dalla configurazione e salvato la configurazione, tutte le risorse associate al server5.x verranno rimosse dal catalogo durante la sincronizzazione successiva. Gli utenti potranno eseguire lerisorse finché non verranno rimosse dal catalogo.

Prerequisiti

n Configurare VMware Identity Manager. Per informazioni, vedere Installazione e configurazione diVMware Identity Manager e Amministrazione di VMware Identity Manager.

n Assicurarsi che gli utenti e gruppi con permessi Citrix siano stati sincronizzati dalla directoryaziendale a VMware Identity Manager utilizzando la sincronizzazione delle directory.

Durante la creazione della directory, assicurarsi di rendere obbligatorio l'attributouserPrincipalName.

Gli utenti devono disporre dell'attributo distinguishedName. Se l'attributo non è impostato per unutente, questo potrebbe non essere in grado di eseguire desktop e applicazioni.

n Distribuire Integration Broker e assicurarsi che siano soddisfatti tutti i prerequisiti descritti in Prerequisiti per l'integrazione di Citrix.


VMware, Inc. 162

n Se si utilizza un programma di bilanciamento del carico davanti a Integration Broker, prendere notadel nome host o dell'indirizzo IP del programma di bilanciamento del carico per utilizzarli durantequesta attività.

n Se si desidera utilizzare l'opzione StoreFront disponibile in VMware Identity Manager 2.9.1 e versionisuccessive, assicurarsi che vengano soddisfatti i requisiti seguenti.

n Installare Integration Broker 2.9.1 o versione successiva.

n Assicurarsi che StoreFront sia supportato dalla versione di XenApp o XenDesktop in uso.

n Assicurarsi che Integration Broker possa comunicare con il server di StoreFront.

Quando si abilita REST API StoreFront, Integration Broker comunica con il server di StoreFrontper generare il file ICA.

n Nel server di StoreFront, se si configurano domini attendibili per il metodo di autenticazione"nome utente e password", assicurarsi di aggiungere i nomi dei domini in forma di nome dominiocompleto all'elenco dei "domini attendibili". VMware Identity Manager richiede il nome dominiocompleto. Per ulteriori informazioni, vedere Avvio di applicazioni e desktop pubblicati da Citrix.

n Se la distribuzione di Citrix include un server Citrix NetScaler Gateway e si intende connettersi allaserver farm Citrix utilizzando Web Interface SDK, ottenere l'URL del server Secure Ticket Authority(STA) di Citrix associato al server NetScaler Gateway. Vedere Come ottenere l'URL del server STAper il gateway di NetScaler.

n Consultare la documentazione di Citrix relativa alla versione di Citrix XenApp o XenDesktop in uso.

n Per eseguire questa procedura in VMware Identity Manager, utilizzare un ruolo amministratore cheincluda l'azione Gestisci app desktop nel servizio del catalogo.

n Al termine di questa procedura, si viene reindirizzati alla pagina Intervalli di rete per configurare inomi di dominio completi di accesso al client. Per modificare e salvare la pagina Intervalli di rete, ènecessario disporre del ruolo di amministratore con privilegi avanzati. È possibile scegliere dieseguire tale passaggio separatamente.

Procedura




4 Selezionare Applicazione pubblicata Citrix come tipo di origine.


VMware, Inc. 163

5 Nella procedura guidata di creazione della nuova Citrix XenApp, immettere le seguenti informazioninella pagina Connettore e gestore.

Opzione Descrizione

Nome Immettere un nome univoco per la raccolta di app virtuali di Citrix.

Connettore Selezionare il connettore che si desidera utilizzare per sincronizzare questaraccolta. Per selezionare il connettore, selezionare la directory a cui è associato.Se è stato configurato un cluster di connettori, tutte le istanze del connettorevengono visualizzate nell'elenco Host ed è possibile disporli in ordine di failoverper questa raccolta. Per riorganizzare l'elenco, fare clic e trascinare le righe nellaposizione desiderata.


Integration Broker di sincronizzazione Immettere le informazioni di connessione per l'istanza di Integration Broker che sidesidera utilizzare per sincronizzare le risorse in questa raccolta.n Host: immettere il nome di dominio completo dell'istanza di Integration

Broker. Ad esempio, ibserver.exaample.com.

Se è stato configurato un bilanciamento del carico davanti a più istanze diIntegration Broker dedicate alla sincronizzazione, immettere il nome host ol'indirizzo IP del bilanciamento del carico.

n Porta: immettere il numero di porta dell'istanza di Integration Broker o delbilanciamento del carico.

n Usa SSL: per connettersi a Integration Broker su SSL, abilitare Usa SSL ecopiare e incollare il certificato SSL del server di Integration Broker nellacasella Certificato SSL. Immettere tutte le righe incluse ---BEGINCERTIFICATE---- e -----END CERTIFICATE----.

Il certificato verrà utilizzato quando le risorse in questa raccolta app virtualisaranno sincronizzate in VMware Identity Manager.

Integration Broker di avvio Immettere le informazioni di connessione per l'istanza di Integration Broker che sidesidera utilizzare per elaborare le richieste di avvio per questa raccolta. Ènecessario connettersi a SSL Integration Broker tramite SSL. SSL IntegrationBroker può essere uguale a SSO Integration Broker.n Host: immettere il nome di dominio completo dell'istanza di Integration

Broker. Ad esempio, ibserver.example.com.

Se è stato configurato un bilanciamento del carico davanti a più istanze diIntegration Broker dedicate all'avvio, immettere il nome di dominio completodel bilanciamento del carico.

Nota Non utilizzare l'indirizzo IP.

n Porta: immettere il numero di porta dell'istanza di Integration Broker o delbilanciamento del carico.

n Certificato SSL: copiare e incollare il certificato SSL del server di IntegrationBroker nella casella Certificato SSL. Immettere tutte le righe incluse ---BEGIN CERTIFICATE---- e -----END CERTIFICATE----.

Il certificato verrà utilizzato durante l'avvio di risorse da questa raccolta appvirtuali.



VMware, Inc. 164

7 Nella pagina Server farm, fare clic su Aggiungi server farm e immettere le informazioni della serverfarm Citrix.

Opzione Descrizione

Versione Selezionare la versione della distribuzione di Citrix XenApp o XenDesktop, ovvero6.0, 6.5 o 7.x.

Server Fare clic su Aggiungi server e aggiungere il nome di dominio completo delserver Citrix XML (gestore XML). Ad esempio, xenappserver.example.com. Ènecessario aggiungere almeno un server Citrix XML.

Per aggiungere più server, fare clic su Aggiungi server e aggiungere il server.

Disporre i server in ordine di failover. VMware Identity Manager segue questoordine per SSO e in condizioni di failover. Per riorganizzare l'elenco, fare clic etrascinare le righe nella posizione desiderata. Per eliminare un server dall'elenco,fare clic sull'icona x a destra della riga.

Nota Nei broker XML deve essere abilitata la comunicazione remota diPowerShell.

Preferenza di avvio Selezionare come si desidera che VMware Identity Manager elabori le richieste diavvio per le risorse di Citrix. Se è stato distribuito Citrix StoreFront, selezionareStoreFront. Altrimenti selezionare Web Interface SDK. È necessario selezionaree immettere le informazioni per una sola opzione.


VMware, Inc. 165

Opzione Descrizione

StoreFront Selezionare questa opzione se si desidera che le risorse di Citrix vengano avviatemediante la REST API Citrix StoreFront. Se questa opzione è selezionata,Integration Broker utilizza le REST API di Citrix StoreFront per comunicare con ilserver StoreFront e recuperare il file ICA.n URL server StoreFront

Immettere l'URL del server StoreFront nel formato seguente:

transportType://storefrontServerFQDN/Citrix/storenameWeb

Ad esempio, http://xen76.example.com/Citrix/mystoreWeb.

Nota Questo è l'URL del sito Web del server di StoreFront.

Importante In un secondo momento, dopo aver creato la raccolta di appvirtuali, quando si configurano intervalli di rete interni per XenApp, assicurarsidi immettere lo stesso URL nel campo Host URL accesso client.

Nota Dopo aver creato e sincronizzato la raccolta di app virtuali, se si sceglie dinon utilizzare l'opzione StoreFront, assicurarsi di aggiornare anche l'URL diaccesso al client per gli intervalli di rete.

Web Interface SDK Selezionare questa opzione se si desidera che le risorse di Citrix vengano avviatemediante Web Interface SDK di Citrix. Quando questa opzione è selezionata,Integration Broker utilizza Citrix Web Interface SDK per comunicare con icomponenti di Citrix e recuperare il file ICA.n Tipo di trasporto

Selezionare il tipo di trasporto utilizzato nella configurazione del server Citrix,ovvero HTTP, HTTPS o SSL RELAY. Deve corrispondere alla configurazionedel server Citrix.

n Porta

Immettere la porta utilizzata nella configurazione del server Citrix. Devecorrispondere alla configurazione del server Citrix.

n Porta di inoltro SSL

Specificare la porta di inoltro SSL utilizzata nella configurazione del serverCitrix. Questa opzione viene visualizzata solo se si seleziona SSL RELAYcome tipo di trasporto.

n Server STA

Se la distribuzione di Citrix include un server NetScaler Gateway, specificareil server STA (Secure Ticket Authority) associato a tale server. Il server STAviene utilizzato per controllare l'accesso per un server NetScaler Gateway.

1 Fare clic su Aggiungi server STA e immettere l'URL del server STA nelformato seguente: transporttype://server:port

Ad esempio http://staserver.example.com:80

L'URL deve essere composto solo da caratteri alfanumerici, punti (.) etrattini (-).

2 Per aggiungere più server STA, fare clic su Aggiungi server STA eaggiungere i server.


VMware, Inc. 166

Opzione Descrizione

3 Disporre i server STA in ordine di failover. Per spostare una riga, fare clicsull'icona di spostamento a sinistra della riga e trascinarla nella posizionedesiderata. Per eliminare un server dall'elenco, fare clic sull'icona x adestra della riga.



Opzione Descrizione

Frequenza di sincronizzazione Selezionare la frequenza con cui si desidera sincronizzare le risorse nellaraccolta della server farm Citrix con VMware Identity Manager.

È possibile configurare una pianificazione di sincronizzazione automatica oscegliere di eseguire una sincronizzazione manuale. Per impostare unapianificazione, selezionare l'intervallo, ad esempio giornaliero o settimanale, eselezionare l'ora del giorno in cui eseguire la sincronizzazione. Se si selezionaManuale, è necessario fare clic su Sincronizza nella pagina Raccolta app virtualidopo aver creato la raccolta e ogni volta che vengono apportate modifiche aipermessi o alle risorse di Citrix.

Sincronizza app duplicate Impostare su No per impedire la sincronizzazione di applicazioni duplicate di piùserver.

Quando VMware Identity Manager viene distribuito in più data center, le stesserisorse vengono configurate in tutti i data center. L'impostazione di questaopzione su No impedisce la duplicazione delle applicazioni e dei desktop nelcatalogo di VMware Identity Manager.

Sincronizza le categorie dai serverfarm

Abilitare questa opzione se si desidera sincronizzare le categorie dei server diCitrix con VMware Identity Manager.





11 Nella pagina Riepilogo, rivedere le selezioni, quindi fare clic su Salva e configura intervallo di rete.

La raccolta viene creata ma le risorse nella raccolta non sono ancora state sincronizzate. Vienevisualizzata la pagina Intervalli di rete.


n Configurare gli intervalli di rete per l'avvio delle risorse. Vedere Configurazione di avvio di risorseCitrix in VMware Identity Manager.


VMware, Inc. 167

n Per sincronizzare le risorse e i permessi nella raccolta del server Citrix con VMware Identity Manager,selezionare la raccolta nella pagina Raccolta app virtuali e fare clic su Sincronizza.

Nota VMware Identity Manager non supporta la funzionalità del gruppo di utenti anonimi di Citrix.

Configurazione di avvio di risorse Citrix in VMwareIdentity ManagerDopo aver configurato la pagina applicazioni pubblicate da Citrix, configurare di intervalli IP di rete perl'avvio delle risorse. È possibile specificare se il traffico dell'applicazione o del desktop utente (trafficoICA) da specifici intervalli di rete venga instradato attraverso NetScaler o tramite una connessione direttaal server XenApp. In questo modo è possibile soddisfare le esigenze di utenti con accesso sia esterno siainterno alle risorse Citrix della distribuzione.

Quando un utente avvia un'applicazione o un desktop dal catalogo di Workspace ONE, se l'indirizzo IPdell'utente è compreso nell'intervallo di rete configurato per NetScaler, il traffico ICA viene instradato alserver XenApp tramite NetScaler. Se l'indirizzo IP ricade nell'intervallo di connessione diretta, il trafficoICA viene instradato direttamente al server XenApp.

Configurazione dell'avvio di risorse per reti interneConfigurare gli intervalli di rete da cui si desidera che il traffico di avvio (traffico ICA) delle applicazioni odei desktop degli utenti venga instradato direttamente al server XenApp. Questa configurazione viene ingenere utilizzata per fornire l'accesso interno alle risorse pubblicate da Citrix.

Quando un utente avvia un'applicazione o un desktop dal catalogo di Workspace ONE, se l'indirizzo IPdell'utente è compreso nell'intervallo della rete interna, il traffico ICA viene instradato direttamente alserver XenApp.

Nota Per configurare l'avvio di risorse per reti esterne, vedere Configurazione dell'avvio di risorse perreti esterne con NetScaler.

Prerequisiti

Per modificare e salvare la pagina Intervalli di rete, è necessario il ruolo di amministratore con privilegiavanzati.

Procedura



3 Fare clic sulla raccolta Citrix per cui si desidera impostare gli intervalli di rete.

4 Fare clic su Modifica intervallo di rete.


VMware, Inc. 168

5 Nella pagina Intervalli di rete, fare clic sull'intervallo di rete da configurare per l'avvio delle risorse diCitrix interne in modo che gli utenti finali che accedono alle risorse di Citrix da una rete internapossano connettersi al server corretto.

a Fare clic sull'intervallo di rete da modificare o su Crea intervallo di rete per creare un nuovointervallo di rete, se necessario.


c Scorrere fino alla sezione Farm XenApp.

In questa sezione sono elencati tutti i server XenApp configurati nel raccolta di app virtuali diCitrix.

d Per ogni server XenApp, immettere i valori appropriati per questo intervallo di rete.

Opzione Descrizione


Se l'opzione StoreFront è selezionata come preferenza di avvio nella raccoltadi app virtuali di Citrix, immettere lo stesso URL inserito nella casella di testoURL StoreFront.In caso contrario, immettere il nome host del server XenApp. Ad esempio,xenapphost.example.com. Se è presente un bilanciamento del caricodavanti ai server XenApp, utilizzare il formato seguente:

loadbalancerURL/citrix/storeweb

Porta Porta del server. Ad esempio, 443.

Se si immette l'URL del bilanciamento del carico nella casella di testo Nomedi dominio completo di accesso al client, utilizzare la porta 443.

NetScaler Impostare questa opzione su No.


f Ripetere questi passaggi per modificare gli altri intervalli di rete, se necessario.

g Fare clic su Fine nella pagina Intervalli di rete.

Configurazione dell'avvio di risorse per reti esterne con NetScalerGatewayVMware Identity Manager supporta le distribuzioni di Citrix che includono NetScaler Gateway. NetScalerGateway viene in genere utilizzato per fornire accesso esterno alle applicazioni o ai desktop XenApp oXenDesktop.


VMware, Inc. 169

Se la distribuzione di Citrix include un'appliance di NetScaler Gateway, è possibile configurareVMware Identity Manager con le impostazioni appropriate in modo che quando gli utenti avviano lerisorse di Citrix, il traffico venga indirizzato al server XenApp tramite l'appliance di NetScaler Gateway.Nella console di VMware Identity Manager, per ogni farm XenApp, specificare il server STA (SecureTicket Authority) associato all'appliance di NetScaler Gateway. Il server STA è utilizzato per generare econvalidare i ticket STA durante il processo di avvio delle applicazioni.

È inoltre possibile impostare criteri negli intervalli di IP della rete client che specifichino se il traffico diavvio viene instradato al server XenApp tramite NetScaler Gateway o se viene instradato direttamente alserver XenApp. In questo modo è possibile soddisfare sia le esigenze di accesso esterne che quelleinterne.

Nota VMware Identity Manager supporta anche Citrix Secure Gateway. I passaggi di configurazione inquesta sezione sono applicabili sia a NetScaler Gateway sia a Citrix Secure Gateway.

Nota Per configurare NetScaler Gateway in VMware Identity Manager, è necessario utilizzareIntegration Broker 2.4 o versioni successive.

Come ottenere l'URL del server STA per il gateway di NetScalerPrima di configurare le impostazioni di NetScaler Gateway in VMware Identity Manager, recuperare l'URLdel server STA (Secure Ticket Authority) associato all'appliance di NetScaler Gateway.

Questa procedura illustra i passaggi per NetScaler 11.

Procedura

1 Nell'interfaccia di gestione di NetScaler, passare a Configurazione > Gateway NetScaler > Servervirtuali.

2 Fare doppio clic sul server virtuale.

3 Nella sezione Applicazioni pubblicate della finestra che verrà visualizzata, fare clic su Server STA.


VMware, Inc. 170

4 Prendere nota dell'URL del server STA (Secure Ticket Authority).

Configurazione del gateway NetScaler in VMware Identity ManagerPer configurare il gateway NetScaler in VMware Identity Manager, specificare un server STA (SecureTicket Authority) per ogni farm XenApp nella distribuzione Citrix. Il server STA è utilizzato per generare econvalidare i ticket STA durante il processo di avvio dell'applicazione o del desktop.

Quando un utente avvia un'applicazione o un desktop Citrix, VMware Identity Manager ottiene un ticketdal server STA. Il ticket viene presentato a NetScaler Gateway, insieme ad altre informazioni, e NetScalerGateway lo convalida con il server STA prima di stabilire una connessione sicura alla farm XenApp.

Nota Le informazioni del presente argomento si applicano anche a Citrix Secure Gateway.

Prerequisiti

n Recuperare le informazioni del server STA per ogni farm XenApp. Vedere Come ottenere l'URL delserver STA per il gateway di NetScaler.

Procedura



VMware, Inc. 171

2 Fare clic sulla raccolta per cui si desidera specificare un server STA, quindi fare clic su Modifica.

3 Nella procedura guidata di modifica della raccolta Citrix XenApp, fare clic su Server farm nel riquadroa sinistra.

4 Fare clic sulla server farm da modificare.

5 Scorrere verso il basso fino alla sezione Server STA e fare clic su Aggiungi server STA.

6 Immettere l'URL del server STA nel formato seguente:

tipotrasporto://server:porta

Ad esempio http://staserver.example.com:80

L'URL deve essere composto solo da caratteri alfanumerici, punti (.) e trattini (-).

7 Aggiungere altri server STA, se necessario, facendo clic su Aggiungi server STA.

Ad esempio, la distribuzione può includere un secondo server STA a scopo di failover.

8 Se si aggiungono più server STA, disporli in ordine di failover facendo clic sull'icona di spostamento asinistra di ogni riga e trascinando la riga nella posizione desiderata.


10 Se nella distribuzione sono presenti più farm XenApp, ripetere questi passaggi per specificare unserver STA per ogni farm.


Configurare criteri per intervalli di indirizzi IP di rete specifici in cui si stabilisce che il traffico di avvio deveessere instradato al server XenApp tramite NetScaler Gateway.

Configurazione dell'intervallo di rete per NetScaler GatewayÈ possibile configurare gli intervalli di rete per cui si desidera che il traffico di avvio di applicazioni odesktop (traffico ICA) venga instradato tramite NetScaler Gateway al server XenApp. In genere questometodo utilizzato per fornire l'accesso interno alle risorse pubblicate da Citrix.

Quando un utente avvia un'applicazione o un desktop dal portale o dall'app di Workspace ONE, sel'indirizzo IP dell'utente è compreso nell'intervallo di IP configurato per NetScaler Gateway, il traffico ICAviene instradato al server XenApp tramite NetScaler Gateway.

Nota Per configurare l'avvio di risorse per le reti interne, vedere Configurazione dell'avvio di risorse perreti interne.

Nota Le informazioni del presente argomento si applicano anche a Citrix Secure Gateway. Se si utilizzaCitrix Secure Gateway anziché NetScaler Gateway, immettere il nome host e la porta di Secure Gatewaye selezionare la casella di controllo NetScaler.


VMware, Inc. 172

Prerequisiti

n NetScaler Gateway deve essere configurato nella raccolta di app virtuali Citrix, come descritto in Configurazione del gateway NetScaler in VMware Identity Manager.

n Per eseguire questa procedura, è necessario disporre del ruolo di amministratore con privilegiavanzati.

Procedura


2 Fare clic sulla raccolta Citrix per cui si desidera impostare gli intervalli di rete.

3 Fare clic su Modifica intervallo di rete.

4 Nella pagina Intervalli di rete, fare clic sull'intervallo di rete da configurare per Netscaler Gateway.

a Fare clic sull'intervallo di rete da modificare oppure su Crea intervallo di rete per creare unnuovo intervallo di rete, se necessario.


c Scorrere fino alla sezione Farm XenApp.

In questa sezione sono elencati tutti i server XenApp configurati nella raccolta di app virtualiCitrix.

d Per ogni server XenApp, immettere i valori appropriati per questo intervallo di rete.

Opzione Descrizione


Nome host dell'appliance di NetScaler Gateway. Ad esempio:

netscalerhost.example.com

Porta Porta dell'appliance di NetScaler Gateway. Ad esempio 443

NetScaler Impostare questa opzione su Sì.


f Ripetere questi passaggi per modificare gli altri intervalli di rete, se necessario.

g Fare clic su Fine nella pagina Intervalli di rete.

Configurazione delle impostazioni di VMware IdentityManager per l'integrazione di CitrixÈ possibile configurare diverse impostazioni in VMware Identity Manager per l'integrazione di Citrix.


VMware, Inc. 173

Gestione delle categorie per le risorse pubblicate CitrixÈ possibile utilizzare la console di VMware Identity Manager e la distribuzione Citrix per gestire lecategorie delle risorse pubblicate da Citrix.

Nella distribuzione Citrix è possibile assegnare un nome di categoria a un'applicazione o un desktoppubblicato Citrix modificando la casella di testo della cartella dell'applicazione client nelle proprietàdella risorsa. Quando si integra la distribuzione Citrix con VMware Identity Manager, i nomi di categoriaesistenti per le applicazioni e i desktop pubblicati Citrix vengono trasferiti in VMware Identity Manager.

Dopo l'integrazione, è possibile continuare a creare categorie nella distribuzione Citrix. Se si attivaSincronizza le categorie dai server farm per la raccolta, le nuove categorie vengono trasferite inVMware Identity Manager alla successiva sincronizzazione. Vedere Configurazione di server farm Citrix inVMware Identity Manager.

È possibile creare categorie anche direttamente in VMware Identity Manager. È possibile creare,assegnare e visualizzare categorie dalla pagina Catalogo > App virtuali della console diVMware Identity Manager.

Quando si crea una categoria in VMware Identity Manager, la categoria non viene visualizzata nelladistribuzione Citrix.

Quando si crea una categoria nella distribuzione Citrix, la categoria appare in VMware Identity Manageralla successiva sincronizzazione. Quando si aggiorna il nome di una categoria nella distribuzione Citrix, ilnome di categoria aggiornato viene visualizzato in VMware Identity Manager ma rimane il nome dicategoria originale. Se si desidera rimuovere il nome di categoria originale da VMware Identity Manager,è necessario rimuoverlo manualmente.

Configurazione delle impostazioni di consegna (proprietà ICA)per le risorse pubblicate da CitrixÈ possibile modificare le impostazioni di consegna per le risorse pubblicate da Citrix nella console diVMware Identity Manager. Queste impostazioni definiscono in che modo la distribuzione di Citrixconfigurata consegna le risorse pubblicate da Citrix agli utenti.

Per configurare le impostazioni di consegna, modificare le proprietà ICA (Independent ComputingArchitecture). ICA è un protocollo di proprietà di Citrix. È disponibile una vasta gamma di proprietà ICAche controllano aree quali la sicurezza, la visualizzazione e la compressione. Per maggiori informazionisulla configurazione delle proprietà ICA, fare riferimento alla documentazione di Citrix.

VMware Identity Manager include le impostazioni di consegna predefinite. Queste impostazioni sonoglobali, ovvero si applicano a tutte le risorse pubblicate da Citrix nel servizio VMware Identity Manager. Èpossibile modificare le impostazioni predefinite e aggiungere nuove impostazioni.

Modifica delle proprietà ICA per tutte le risorse pubblicate da CitrixÈ possibile modificare le impostazioni di consegna (proprietà ICA) per tutte le applicazioni e i desktoppubblicati da Citrix nella distribuzione di VMware Identity Manager. Queste impostazioni sono applicabilisolo per le raccolte in cui è selezionata l'opzione Web Interface SDK.


VMware, Inc. 174

I campi delle proprietà ICA vengono compilati con i valori predefiniti finché non li si modifica.

Procedura

1 Nella console di VMware Identity Manager, selezionare la scheda Catalogo > App virtuali, quindifare clic su Impostazioni.

2 Nel riquadro a sinistra, fare clic su Citrix XenApp o Citrix XenDesktop, in base alla propriadistribuzione.

3 Modificare le proprietà ICA in base alle linee guida di Citrix.

n Per modificare le proprietà per il traffico di avvio che va direttamente al server XenApp oXenDesktop, modificare la sezione Configurazione ICA.

n Per modificare le proprietà per il traffico di avvio instradato tramite NetScaler Gateway, modificarela sezione Configurazione ICA NetScaler.

Ad esempio:


Se risorse singole non presentano impostazioni di consegna proprie, la distribuzione Citrix applica leproprietà ICA globali quando consegna risorse pubblicate da Citrix tramite VMware Identity Manager agliutenti.


VMware, Inc. 175

Impostazione di criteri di accesso per applicazioni e desktopspecificiIl set di criteri di accesso predefinito si applica a tutte le applicazioni e i desktop nel catalogo. È inoltrepossibile impostare criteri di accesso per singoli desktop o applicazioni, che sostituiscono il criterio diaccesso predefinito.



Procedura














Visualizzazione di permessi di utenti e gruppi per le risorsepubblicate da CitrixNella console di VMware Identity Manager, è possibile visualizzare le assegnazioni di utenti e gruppi perle applicazioni e i desktop pubblicati da Citrix. Queste assegnazioni vengono impostate nella distribuzionedi Citrix e sincronizzate con VMware Identity Manager. Non è possibile modificare le assegnazioni daVMware Identity Manager.


VMware, Inc. 176

Prerequisiti

Per visualizzare gli aggiornamenti più recenti, sincronizzare manualmente le risorse e i permessi dalleserver farm di Citrix in VMware Identity Manager dalla pagina Catalogo > Raccolta app virtuali.

Procedura


2 Visualizzare le assegnazioni di utenti e gruppi per le risorse pubblicate da Citrix.

Le risorse pubblicate da Citrix includono le applicazioni e i desktop pubblicati da Citrix, noti anchecome gruppi di consegna.

Opzione Azione

Elencare utenti e gruppi assegnati aun'applicazione o un desktop specificopubblicati da Citrix

a Fare clic sulla scheda Catalogo > App virtuali.b (Facoltativo) Fare clic sull'icona nell'intestazione della colonna Tipo e

selezionare Applicazione pubblicata Citrix e Gruppo di consegnapubblicato Citrix per visualizzare tutte le risorse pubblicate da Citrix. Èinoltre possibile cercare un'applicazione o un desktop in base al nome.



Elencare le assegnazioni diapplicazioni e desktop pubblicati daCitrix per un utente o un gruppospecifico



Vengono elencate le assegnazioni di applicazioni e desktop pubblicati da Citrixper l'utente o il gruppo.

Avvio delle risorse pubblicate da Citrix in browser diversiQuando gli utenti avviano un'applicazione o un desktop pubblicato da Citrix dal portale Workspace ONE,un file ICA viene scaricato e passato a Citrix Receiver. Citrix Receiver è un'applicazione SO nativa checonsente di avviare le applicazioni e i desktop pubblicati da Citrix. L'esperienza di avvio varia in base allepiattaforme e ai browser in uso.

processo di avvioL'avvio dell'applicazione o del desktop viene eseguito in modo diverso in base alla piattaforma e albrowser in uso. In alcuni casi, l'avvio dell'applicazione o del desktop avviene direttamente. In altri casi,l'utente deve innanzitutto associare il tipo di file .ica a Citrix Receiver in modo che l'avvio dell'applicazioneo del desktop possa essere eseguito direttamente. In alcuni casi, l'utente deve fare clic sul file ICAscaricato per avviare l'applicazione o il desktop. Per informazioni dettagliate, vedere la tabella.


VMware, Inc. 177

Piattaforma BrowserModalità di avvio dell'applicazione o deldesktop Azione necessaria

Windows Firefox Avvia l'applicazione o il desktop direttamente Nessuna

Chrome Avvia l'applicazione o il desktop direttamente.

Nota Con Citrix 4.5 Receiver e XenDesktop, siverificano problemi noti relativi all'avvio delgruppo di consegna.

Nessuna

InternetExplorer

Scarica il file ICA con estensione .ica. Dopol'associazione del tipo di file a Citrix Receiver,avvia l'applicazione o il desktopautomaticamente.

Nel browser, associare il tipo difile .ica a Citrix Receiver.

Edge Avvia l'applicazione o il desktop direttamente.

Nota Con Citrix 4.5 Receiver e XenDesktop, siverificano problemi noti relativi all'avvio delgruppo di consegna.

Nessuna

Mac Safari, Firefox Avvia l'applicazione o il desktop direttamente Nessuna

Chrome Avvia l'applicazione o il desktop direttamente Nessuna

Windows Surface Chrome Scarica il file ICA con estensione .ica Dopol'associazione del tipo di file a Citrix Receiver,avvia l'applicazione o il desktopautomaticamente.

Nel browser, associare il tipo difile .ica a Citrix Receiver.

Android Chrome Scarica il file ICA Fare clic sul file ICA per avviare ildesktop o l'applicazione.

iOS Safari Scarica il file ICA Fare clic sul file ICA per avviare ildesktop o l'applicazione.

Chrome Non è in grado di scaricare il file ICA Questo scenario non è supportato.

Consentire il plug-in Citrix Receiver in FirefoxIn Firefox, quando gli utenti avviano un'applicazione pubblicata da Citrix, viene richiesto di consentire ilplug-in Citrix Receiver.

Consenti a https://IdentityManagerHostname di eseguire Citrix Receiver?

Gli utenti devono fare clic su Consenti ora o Consenti e ricorda per avviare l'applicazione.


VMware, Inc. 178

Impatto dell'aggiornamento sull'integrazione di risorsepubblicate da CitrixDopo l'aggiornamento di VMware Identity Manager o di un prodotto Citrix, non è necessaria alcunaconfigurazione aggiuntiva per mantenere l'integrazione tra VMware Identity Manager e le risorsepubblicate da Citrix.

Per aggiornare Integration Broker, è necessario prima disinstallare la vecchia versione e installare quellanuova.

Per reinstallare Citrix Receiver, consultare la documentazione Citrix.


VMware, Inc. 179

Consentire l'accesso adapplicazioni gestite dalla terzaparte in Workspace ONE 9È possibile aggiungere provider di identità dalla terza parte come origine dell'applicazione nel catalogoWorkspace ONE per semplificare la distribuzione di un numero elevato di applicazioni da questi fornitoridi identità per Workspace ONE. L'aggiunta di un provider di identità come origine dell'applicazionesemplifica il processo di aggiunta di singole applicazioni dal provider al catalogo dell'utente finale.

Le applicazioni Web che utilizzano il profilo di autenticazione SAML 2.0 possono essere aggiunte alcatalogo. La configurazione delle applicazioni è basata sulle impostazioni configurate nell'originedell'applicazione. Devono essere configurati solo il nome dell'applicazione e l'URL di destinazione.

Quando si aggiungono applicazioni, è possibile autorizzare utenti e gruppi all'applicazione e applicare uncriterio di accesso per controllare l'accesso degli utenti all'applicazione. Gli utenti possono accedere aqueste applicazioni nel portale Workspace ONE dai propri desktop e dispositivi mobili.

Le impostazioni configurate e i criteri dell'origine dell'applicazione dalla terza parte possono essereapplicati a tutte le applicazioni gestite dall'origine dell'applicazione.

Talvolta, alcuni provider di identità dalla terza parte inviano una richiesta di autenticazione senza indicarequale sia l'applicazione alla quale l'utente tenta di accedere. Se VMware Identity Manager riceve unarichiesta di autenticazione che non include le informazioni sull'applicazione, vengono applicate le regoledel criterio di accesso di backup configurate nell'origine dell'applicazione invece della regola impostataper l'applicazione dell'utente.

È possibile configurare i provider di identità seguenti come origini delle applicazioni nel catalogoWorkspace ONE .

n Okta

n Ping Federated Server da Ping Identity

n Active Directory Federation Services (ADFS)

Questo capitolo include i seguenti argomenti:n Aggiungere un'origine dell'applicazione al catalogo di Workspace ONE

n Autorizzare gli utenti per l'origine dell'applicazione

n Aggiungere applicazioni gestite dall'origine dell'applicazione

VMware, Inc. 180

Aggiungere un'origine dell'applicazione al catalogo diWorkspace ONEConfigurare l'origine dell'applicazione nella pagina Catalogo > Impostazioni per l'integrazione diapplicazioni di terzi con il catalogo di Workspace ONE. Dopo aver configurato l'origine dell'applicazione, èpossibile aggiungere applicazioni dall'origine nel catalogo di Workspace ONE.

Le impostazioni di configurazione più comuni sono impostate a livello di origine dell'applicazione. Leapplicazioni provenienti dall'origine dell'applicazione aggiunte al catalogo di Workspace ONE utilizzanoqueste impostazioni di configurazione. Se si configura una volta l'origine di applicazioni, è più sempliceaggiungere più applicazioni al catalogo.

Procedura


2 Fare clic sulla scheda Catalogo > App Web e fare clic su Impostazioni.

3 Selezionare Origini applicazioni.

4 Selezionare il tipo di origine dell'applicazione da configurare.

5 Immettere un nome descrittivo per l'origine dell'applicazione e fare clic su Avanti.

6 Modificare la configurazione dell'origine dell'applicazione.

Opzione Descrizione

URL/XML Selezionare URL/XML per utilizzare l'URL di rilevamento automatico, l'XMLmetadati o manualen URL individuazione automatica (metadati). Se i metadati XML sono

accessibili su Internet, specificare l'URL.n XML metadati. Se i metadati XML non sono accessibili su Internet ma sono

disponibili, incollare l'XML dei metadati nella casella di testo.n Configurazione manuale. Se i metadati XML non sono disponibili, configurare

manualmente l'XML nelle caselle di testo visualizzate.

URL stato inoltro Immettere una pagina di destinazione personalizzata a cui vengono indirizzati gliutenti da Workspace One dopo l'autenticazione all'URL Single Sign-On.

Opzioni di configurazione avanzate

Firma risposta Attivato. La risposta completa viene firmata.

Firma dichiarazione Attivarlo per firmare la dichiarazione.

Applica crittografia all'asserzione Se attivato, l'asserzione SAML viene crittografata. Affinché la crittografia funzioni,deve essere supportata la possibilità di leggere le dichiarazioni SAMLcrittografate.

Includi firma asserzione Abilitare questa opzione per includere il certificato di firma di Workspace ONEall'interno della risposta SAML. Il provider di servizi dell'applicazione potrebberichiedere questo certificato di firma incluso con la risposta SAML.

Algoritmo della firma Selezionare SHA256 con RSA come algoritmo hash crittografato protetto dautilizzare per la firma.

Algoritmo digest Selezionare SHA256.


VMware, Inc. 181

Opzione Descrizione

URL accesso applicazione Immettere l'URL della pagina di accesso del provider di servizi dell'applicazioneper attivare l'accesso a Workspace ONE avviato dal provider di servizi. Alcuniprovider di servizi di applicazioni non supportano le asserzioni Single Sign-Oninviate direttamente da Workspace ONE e richiedono invece che il processo diaccesso venga avviato dalla propria pagina di accesso.

Abilitazione della notifica di erroredell'autenticazione

Se abilitata, viene inviato una risposta ai guasti SAML al provider di serviziquando un tentativo di accesso non riesce.

Numero di proxy Impostare il numero di proxy per limitare il numero di livelli di proxy tra il providerdi servizi e il provider di identità dell'autenticazione.

Accesso API Consenti accesso API a questa applicazione.


8 Selezionare il criterio di accesso. Verificare che il criterio di accesso predefinito soddisfi i requisiti perquesta applicazione o selezionare un altro criterio di accesso dal menu a discesa.

L'origine dell'applicazione è configurata.


Aggiungere le applicazioni associate al catalogo.

Autorizzare gli utenti per l'origine dell'applicazioneImpostare i permessi per l'origine dell'applicazione su Tutti gli utenti. È possibile gestire i permessi dallepagine di configurazione specifiche delle applicazioni.

Procedura

1 Nella console di VMware Identity Manager, nella pagina Catalogo > App Web, selezionare l'originedell'applicazione dall'elenco.

2 Fare clic su Assegna.

3 Digitare TUTTI GLI UTENTI nella casella di ricerca per trovare e selezionare il gruppo TUTTI GLIUTENTI.


Tutti gli utenti possono accedere alle applicazioni gestite dell'origine dell'applicazione. È possibile gestire ipermessi dalle pagine di permessi specifiche delle applicazioni.


Il criterio di accesso viene impostato automaticamente sul criterio di accesso predefinito. Verificare che ilcriterio di accesso sia quello appropriato.

Aggiungere le singole applicazioni dall'origine dell'applicazione.


VMware, Inc. 182

Aggiungere applicazioni gestite dall'originedell'applicazioneDopo che il provider di identità è stato configurato come origine dell'applicazione, le applicazioni Web cheutilizzano il profilo di autenticazione SAML 2.0 possono essere aggiunte al catalogo di Workspace ONE.

Prerequisiti

Provider di identità di terzi configurato come origine dell'applicazione nella pagina Catalogo >Impostazioni.

Procedura

1 Accedere alla console di amministrazione di VMware Identity Manager.

2 Fare clic sulla scheda Catalogo > Web Apps.


4 Completare le informazioni sulla pagina Definizione e fare clic su Avanti.

Elemento delmodulo Descrizione

Nome Immettere il nome dell'applicazione.

Descrizione (Facoltativo) Aggiungere una descrizione dell'applicazione.

Icona (Facoltativo) Per aggiungere un'icona da visualizzare nella pagina dell'applicazioneWorkspace ONE degli utenti, fare clic su Scegli file per caricare un'icona.

PNG, JPG e ICON, fino a 4 MB. Le icone caricate saranno ridimensionate a 80X80 px.

Per evitare distorsioni, caricare icone con altezza e larghezza uguali e il più possibile vicino alledimensioni 80X80 px.

5 Nella pagina Configurazione, dal menu a discesa Tipo di autenticazione selezionare l'origine diapplicazioni per questa applicazione. Immettere l'URL di destinazione per l'applicazione.

Questo URL è l'URL del provider di identità per l'applicazione come rappresentato nell'originedell'applicazione oppure l'URL del provider di servizi.

La configurazione viene popolata con i valori di configurazione dell'origine di applicazioni.

6 Nella pagina Criteri di accesso, verificare che il criterio di accesso predefinito soddisfi i requisiti perquesta applicazione o selezionare un altro criterio di accesso dal menu a discesa.

Consultare la guida all'amministrazione di VMware Identity Manager, sezione Gestione dei criterio diaccesso.

L'applicazione viene aggiunta al catalogo di Workspace ONE e gli utenti possono accedereall'applicazione dal portale di Workspace ONE.


VMware, Inc. 183


Gli utenti assegnati all'origine dell'applicazione vengono assegnati automaticamente all'applicazione. Èpossibile modificare gli utenti e i gruppi che sono assegnati all'applicazione.


VMware, Inc. 184

Risoluzione dei problemi relativialla configurazione delle risorsedi VMware Identity Manager 10È possibile risolvere i problemi che si verificano dopo la configurazione delle risorse diVMware Identity Manager


n Risoluzione dei problemi di avvio

n Risoluzione dei problemi di integrazione di ThinApp

n Risoluzione dei problemi di integrazione di Horizon

n Risoluzione dei problemi di integrazione delle risorse pubblicate da Citrix

Risoluzione dei problemi di avvioÈ possibile risolvere gli errori di avvio delle risorse di Horizon, Horizon Cloud e Citrix visualizzando imessaggi di errore sulle cause della radice e le soluzioni consigliate nella console di VMware IdentityManager.

Procedura

1 Nella console di VMware Identity Manager, selezionare la scheda Dashboard > Report.

2 Selezionare Auditing eventi dall'elenco dei report.

3 In Tipo impostare LAUNCH o LAUNCH_ERROR.

4 Selezionare un intervallo di tempo e fare clic su Mostra.

Risoluzione dei problemi di integrazione di ThinAppUtilizzare queste informazioni per risolvere i problemi di configurazione di ThinApp in VMware IdentityManager.

Non è possibile avviare i pacchetti ThinApp dal portale utenteQuando un utente tenta di avviare un pacchetto ThinApp dal portale utente, è possibile che vengavisualizzato un messaggio del browser in cui viene chiesto all'utente di scaricare e installarel'applicazione VMware Identity Manager Desktop anche se l'applicazione è già installata e in esecuzione.

VMware, Inc. 185

Problema

Dopo aver installato l'applicazione VMware Identity Manager Desktop, quando l'utente apre il portaleutente in un browser di tale sistema Windows, accede e tenta di avviare un pacchetto ThinApp, èpossibile che venga visualizzato un messaggio che dice che l'applicazione VMware Identity ManagerDesktop deve essere installata nel sistema e il pacchetto ThinApp non viene avviato. Il messaggiopotrebbe essere visualizzato anche se il processo dell'applicazione VMware Identity Manager Desktop èin esecuzione nel sistema Windows. L'applicazione VMware Identity Manager Desktop potrebbesegnalare che tutti i file sono aggiornati.

Causa

Questo problema può verificarsi per più motivi.

Causa Descrizione

Il plug-in del browser diVMware Identity ManagerDesktop non è installatocorrettamente o non èattivato nella finestra delbrowser in cui l'utente statentando di avviare ilpacchetto ThinApp.

Poiché per l'esecuzione dei pacchetti ThinApp nel sistema Windows è necessario installarel'applicazione VMware Identity Manager Desktop, prima di avviare il pacchetto ThinApp, il portaleutente utilizza un plug-in del browser per verificare se l'applicazione è installata. Quando l'utente faclic sull'icona di un pacchetto ThinApp nel portale utente, il plug-in del browser di VMware IdentityManager Desktop verifica se l'applicazione è installata prima di avviare il pacchetto. Se il plug-in delbrowser non è installato e attivo nel browser, la verifica non può essere eseguita, viene visualizzatoil messaggio e il pacchetto non viene avviato.

Se durante il processo di installazione di VMware Identity Manager Desktop ci sono finestre delbrowser aperte, è possibile che il plug-in del browser non venga installato correttamente per talebrowser. Il plug-in potrebbe essere disattivato nel browser se l'utente disabilita il plug-in nella paginadei componenti aggiuntivi o dei plug-in del browser.

Il gestore del protocollopersonalizzato utilizzatoper avviare il pacchettoThinApp dal browser èstato disabilitato per ilbrowser in cui l'utente statentando di avviare ilpacchetto ThinApp.

Nel portale Workspace ONE, i pacchetti ThinApp sono rappresentati mediante un collegamento conun protocollo horizon://. Quando l'applicazione VMware Identity Manager Desktop vieneinstallata, il programma di installazione registra un gestore per il protocollo horizon://. Il gestoredel protocollo è un file eseguibile denominato HorizonThinAppLauncher.exe e viene registrato comegestore dalla voce del registro HKEY_CLASSES_ROOT\horizon\shell\open\command. Quandol'utente tenta di avviare un pacchetto ThinApp utilizzando l'icona corrispondente nel portaleWorkspace ONE, viene avviata l'applicazione HorizonThinAppLauncher.exe.

Se l'utente ha disabilitato l'utilizzo di tutti i gestori di protocollo nel browser o ha disabilitato l'utilizzodel gestore per il protocollo horizon://, non è possibile avviare i pacchetti ThinApp mediante leicone corrispondenti nel portale Workspace ONE. Quando viene avviato un gestore del protocollo, inalcuni browser viene visualizzato un avviso e l'utente può selezionare di eseguire il gestore delprotocollo. L'utilizzo del gestore del protocollo horizon:// potrebbe essere stato disabilitato nelmodo seguente. L'utente ha fatto clic sull'icona di un pacchetto ThinApp per la prima volta. Nellafinestra di dialogo di avviso del browser visualizzata per chiedere il permesso di eseguire il gestoredel protocollo l'utente ha selezionato No o un'opzione simile per impedire l'avvio e ha inoltreselezionato Ricorda la mia selezione o un'opzione simile che impedisce l'avvio di tutti icollegamenti di questo tipo. Poiché non è stato concesso il permesso di eseguire il gestore delprotocollo e questa selezione viene ricordata, non è possibile avviare alcun pacchetto ThinApp dalportale Workspace ONE.


VMware, Inc. 186

Soluzione

1 Verificare che l'utente abbia eseguito l'accesso all'applicazione VMware Identity Manager Desktopcon il proprio account utente VMware Identity Manager.

L'utente accede al cliente utilizzando l'icona di VMware Identity Manager nella barra delle applicazionidel sistema Windows.

2 Se il problema si verifica poco dopo l'installazione dell'applicazione nel sistema, chiudere tutte lefinestre del browser aperte, riaprire il browser, accedere al portale utente e provare ad avviare ilpacchetto ThinApp.

3 Se il problema persiste anche dopo aver chiuso le finestre del browser aperte e aver riaperto ilbrowser, verificare che il plug-in del browser sia presente nell'elenco di plug-in del browser e siaattivo.

Browser Descrizione

InternetExplorer

Per Internet Explorer, viene registrato un server COM anziché un componente aggiuntivo o un plug-in delbrowser. Per verificare se il server COM è installato, creare un file HTML di test con il contenuto seguente eaprirlo in Internet Explorer. Il risultato indica se il server COM è installato o meno.

<html><script type="text/vbscript">On Error Resume Next

dim objNameobjName = "HorizonAgentFinder.HorizonFinder"dim objSet obj = CreateObject(objName)

document.write(objName & " is ")if IsEmpty(obj) then document.write("not installed") else document.write("installed")end if</script></html>

Firefox Aprire Gestione componenti aggiuntivi di Firefox facendo clic su Strumenti > Componenti aggiuntivi. Nellapagina Plugin verificare che sia presente il plug-in del browser VMware Horizon Agent Finder e impostarlo suAttiva sempre.

Chrome Accedere a Impostazioni contenuti di Chrome aprendo la pagina Impostazioni e facendo clic su Mostraimpostazioni avanzate > Impostazioni contenuti. Fare clic su Gestisci singolo plug-in per visualizzarel'elenco dei plug-in. Verificare che sia presente il plug-in del browser VMware Horizon Agent Finder eimpostarlo su Consenti sempre l'esecuzione.

Safari perWindows

Aprire l'elenco dei plug-in installati di Safari facendo clic su Aiuto > Plug-in installati. Verificare chenell'elenco sia presente il plug-in del browser VMware Horizon Agent Finder. Verificare che il plug-in siaattivato per Safari.


VMware, Inc. 187

4 Verificare che la voce del registro HKEY_CLASSES_ROOT\horizon\shell\open\command esista eche il suo valore sia un percorso associato alla posizione del gestore del protocollo necessario,denominato HorizonThinAppLauncher.exe, in cui l'applicazione VMware Identity Manager Desktop èstata installata nel sistema Windows.

Se la voce del registro non esiste o non ha un valore associato alla posizione in cui l'applicazioneVMware Identity Manager Desktop è stata installata, disinstallare l'applicazione e reinstallarla.

5 Se la voce del registro esiste e ha un valore associato alla posizione dell'eseguibileHorizonThinAppLauncher.exe, verificare che l'eseguibile si trovi davvero in tale posizione e non siastato spostato o eliminato.

Se la voce del registro non esiste o non ha un valore associato alla posizione in cui l'applicazioneVMware Identity Manager Desktop è stata installata, disinstallare l'applicazione e reinstallarla.

6 Se la voce del registro esiste e ha un valore associato alla posizione dell'eseguibileHorizonThinAppLauncher.exe, verificare che il valore (Predefinito) per il valore del registroHKEY_CLASSES_ROOT\horizon abbia il valore di Dati uguale a URL:horizon Protocol e che il valore diProtocollo URL per la voce HKEY_CLASSES_ROOT\horizon esista.

Se il valore di Dati per il valore (Predefinito) della voce del registro HKEY_CLASSES_ROOT\horizonnon è impostato su URL:horizon Protocol, aggiornarlo per impostarlo su URL:horizon Protocol. Se ilvalore di Protocollo URL non esiste per la voce HKEY_CLASSES_ROOT\horizon, è possibile crearloutilizzando un valore con nome Protocollo URL e nessun valore di Dati.

7 Stabilire se l'utente ha disabilitato il protocollo horizon:// per il browser o se tutti i gestori diprotocollo sono disabilitati nel browser e, in tal caso, abilitare il gestore del protocollo per il browser inbase alle esigenze della propria organizzazione.

Nella maggior parte delle situazioni, i browser si basano sulle impostazioni nel registro perinformazioni sui gestori di protocollo disponibili per tale sistema Windows. Per alcuni browser, quandol'utente fa clic su un collegamento associato a un gestore di protocollo, viene visualizzata una finestradi dialogo che include una domanda simile a Do you want to allow this website to open aprogram on your computer? oppure un'affermazione simile a This link needs to be openedwith an application relativa alla necessità di avviare un'applicazione esterna per gestire ilcollegamento. La finestra di dialogo offre in genere all'utente l'opzione di non avviare l'applicazioneesterna e di ricordare tale scelta per tutti i collegamenti dello stesso tipo. I passaggi per abilitarenuovamente la possibilità di avviare l'applicazione associata al gestore del protocollo sono di solitodiversi in base al tipo di browser. Consultare la documentazione relativa al tipo di browser dell'utenteper informazioni su come abilitare i gestori di protocollo per tale tipo di browser.

Risoluzione dei problemi di integrazione di HorizonUtilizzare queste informazioni per risolvere i problemi relativi alla configurazione di Horizon 7 o Horizon 6in VMware Identity Manager.


VMware, Inc. 188

Gli utenti non riescono ad avviare le applicazioni o i desktop diHorizonGli utenti non riescono ad avviare le applicazioni o i desktop di Horizon 7 o Horizon 6 dal portale utente diVMware Identity Manager.

Problema

Gli utenti non riescono ad avviare le applicazioni o i desktop di Horizon 7 o Horizon 6 dal portale utente diVMware Identity Manager e nell'interfaccia utente viene visualizzato il messaggio di errore seguente:

Errore durante l'avvio della risorsa. Contattare l'amministratore di sistema.

Causa

È possibile che questo errore si verifichi se i metadati SAML nelle istanze del server di connessione diHorizon sono scaduti dopo l'ultima sincronizzazione.

Soluzione

1 Nella console di VMware Identity Manager, fare clic sulla scheda Catalogo > Raccolta app virtuali.

2 Selezionare la raccolta di app virtuali di Horizon e fare clic su Sincronizza per sincronizzare di nuovole risorse di Horizon con VMware Identity Manager.

Risoluzione dei problemi di integrazione delle risorsepubblicate da CitrixUtilizzare queste informazioni per risolvere i problemi di configurazione di risorse pubblicate da Citrix inVMware Identity Manager.

Vedere anche Risoluzione dei problemi di configurazione delle risorse pubblicate da Citrix in VMwareIdentity Manager.

Le risorse pubblicate da Citrix non sono disponibili inVMware Identity ManagerUn problema di comunicazione tra Integration Broker e PowerShell SDK potrebbe impedire alleapplicazioni e ai desktop pubblicati da Citrix di comparire nel catalogo di VMware Identity Manager.

Problema

Dopo aver integrato Citrix con VMware Identity Manager, le risorse pubblicate da Citrix non compaiononel catalogo di VMware Identity Manager.

Causa

È possibile che nella configurazione di Integration Broker si verifichi un problema che impedisce lacorretta comunicazione con PowerShell SDK.


VMware, Inc. 189

Soluzione

La presenza di un problema di configurazione di Integration Broker è risolvibile specificando gli URL in unbrowser. Questo metodo di risoluzione dell'errore può aiutare a determinare se il problema è correlato aun'errata configurazione nelle seguenti aree.

n Server farm Citrix

n risorse pubblicate da Citrix

n Permessi risorsa

Se una pagina Web non visualizza l'output previsto, mostra un errore e aggiunge le informazioni neiregistri di Integration Broker. Esaminare i registri di Integration Broker per procedere nel processo dirisoluzione del problema.

Procedura

1 Utilizzare un browser per controllare le informazioni sulla server farm Citrix.

a In un browser, inserire un URL come uno dei seguenti, sostituendo i segnaposto con leinformazioni appropriate.

n Citrix Server Farm 7.x

https://IBhostname/IB/API/RestServiceImpl.svc/hznxenapp/admin/xenfarminfo?computerName=XenAppServerHostname&xenappversion=Version7x


https://IBhostname/IB/API/RestServiceImpl.svc/hznxenapp/admin/xenfarminfo?computerName=XenAppServerHostname&xenappversion=Version65orLater

n Citrix Server Farm 5.5 o 6.0

https://IBhostname/IB/API/RestServiceImpl.svc/hznxenapp/admin/xenfarminfo?computerName=XenAppServerHostname&xenappversion=Legacy

b Consultare il contenuto della pagina Web e, se necessario, esaminare i registri di IntegrationBroker.

Se Integration Broker è configurato correttamente, la pagina visualizza informazioni sullaserver farm Citrix, come le seguenti.

"[{\"FarmName\":\"test data\",\"ServerVersion\":\"6.0.6410\",\"AdministratorType\":\"Full\",\"SessionCount\":\"2\",\"MachineName\":\"testdata\"}]”

Se la pagina Web non visualizza le informazioni sulla server farm, a Integration Brokervengono inviate informazioni di registro. Per approssimarsi ulteriormente alla risoluzione delproblema, esaminare i registri dell'host di Integration Broker in %programdata%/VMware/HorizonIntegrationBroker.


VMware, Inc. 190

2 Utilizzare un browser per elencare tutte le risorse pubblicate da Citrix nella server farm.



Per elencare tutte le applicazioni:

https://IBhostname/IB/API/RestServiceImpl.svc/hznxenapp/admin/applications?computerName=XenAppServerHostname&xenappversion=Version7x

Per elencare tutti i gruppi di consegna:

https://IBhostname/IB/API/RestServiceImpl.svc/hznxenapp/admin/deliveryGroups?computerName=XenAppServerHostname&xenappversion=Version7x


https://IBhostname/IB/API/RestServiceImpl.svc/hznxenapp/admin/applications?computerName=XenAppServerHostname&xenappversion=Version65orLater


https://IBhostname/IB/API/RestServiceImpl.svc/hznxenapp/admin/applications?computerName=XenAppServerHostname&xenappversion=Legacy


Se Integration Broker è configurato correttamente, la pagina visualizza l'elenco di tutte lerisorse presenti nella server farm Citrix.

Se la pagina Web non visualizza un elenco di risorse, a Integration Broker vengono inviateinformazioni di registro. Per approssimarsi ulteriormente alla risoluzione del problema,esaminare i registri dell'host di Integration Broker in %programdata%/VMware/HorizonIntegrationBroker.


VMware, Inc. 191

3 Utilizzare un browser per controllare i permessi relativi a una singola risorsa pubblicata da Citrix.


Sostituire il segnaposto ApplicationName con il nome dell'applicazione che si staspecificando.


Per controllare un'applicazione:

https://IBhostname/IB/API/RestServiceImpl.svc/hznxenapp/admin/entitlements?computerName=XenAppServerHostname&xenappversion=Version7x&appName=ApplicationName

Per controllare un gruppo di consegna:

https://IBhostname/IB/API/RestServiceImpl.svc/hznxenapp/admin/deliveryGroup/entitlements?computerName=XenAppServerHostname&xenappversion=Version7x&deliveryGroupName=deliveryGroupName


https://IBhostname/IB/API/RestServiceImpl.svc/hznxenapp/admin/entitlements?computerName=XenAppServerHostname&xenappversion=Version65orLater&appName=ApplicationName


https://IBhostname/IB/API/RestServiceImpl.svc/hznxenapp/admin/entitlements?computerName=XenAppServerHostname&xenappversion=Legacy&appName=ApplicationName


Se Integration Broker è configurato correttamente, la pagina visualizza l'elenco di tutti ipermessi dell'applicazione o del gruppo di consegna specificato.

Se la pagina Web non visualizza un elenco di permessi, a Integration Broker vengono inviateinformazioni di registro. Per approssimarsi ulteriormente alla risoluzione del problema,esaminare i registri dell'host di Integration Broker in %programdata%/VMware/HorizonIntegrationBroker.

Non è possibile avviare applicazioni o desktop pubblicati da CitrixGli amministratori o gli utenti non possono avviare le applicazioni o i desktop pubblicati da Citrix per cuisono autorizzati.


VMware, Inc. 192

Problema

Le applicazioni e i desktop pubblicati da Citrix e i permessi degli utenti vengono sincronizzati conVMware Identity Manager, ma gli amministratori o gli utenti non possono avviare le applicazioni o idesktop per cui sono autorizzati.

Soluzione

Per risolvere questo problema, accedere all'istanza di Windows Server in cui è installato IntegrationBroker e verificare che sia possibile eseguire l'applicazione o il desktop direttamente utilizzandol'interfaccia di Citrix.

Se non è possibile eseguire l'applicazione o il desktop direttamente dal server di Integration Broker,controllare le impostazioni del firewall nel server di Integration Broker e verificare che le porte necessarieper i server XenApp non siano bloccate.

Gli utenti che accedono alle risorse pubblicate da Citrix ricevonoun errore di crittografiaLe proprietà ICA in VMware Identity Manager devono includere la proprietà di crittografia impostata sullostesso livello di crittografia configurato nei server XenApp della farm. In caso contrario, gli utenti nonpossono accedere alle applicazioni o ai esktop pubblicati da Citrix.

Problema

Quando un utente si connette a una risorsa pubblicata da Citrix da VMware Identity Manager, vienevisualizzato il messaggio di errore seguente.

Non si dispone del livello di crittografia appropriato per accedere a questa sessione

Causa

VMware Identity Manager non imposta i livelli di crittografia. Se il livello di crittografia impostato nel serverXenApp è più elevato di quello predefinito utilizzato in Citrix Receiver, viene visualizzato l'erroreseguente.

È necessario impostare un livello di crittografia più elevato in VMware Identity Manager.

Soluzione


2 Fare clic sulla scheda Catalogo > App virtuali, quindi fare clic su Impostazioni.

3 Nel riquadro a sinistra, fare clic su Citrix XenApp o Citrix XenDesktop, in base alla propriadistribuzione.


VMware, Inc. 193

4 Apportare le modifiche seguenti nelle sezioni Configurazione ICA e Configurazione ICA NetScaler.

a Nella casella di testo Proprietà client ICA, impostare il livello di crittografia con la seguenteproprietà:

EncryptionLevelSession=EncRC5-128

In questo esempio il livello di crittografia viene impostato su 128, ma è necessario modificarloimpostandolo sul livello configurato nei server XenApp.

b Nella casella di testo Proprietà avvio ICA, impostare il livello di crittografia immettendo omodificando la proprietà seguente:

[EncRC5-128]

DriverNameWin16=pdc128w.dll

DriverNameWin32=pdc128n.dll

In questo esempio il livello di crittografia viene impostato su 128, ma è necessario modificarloimpostandolo sul livello configurato nei server XenApp.

Quando gli utenti avviano una risorsa pubblicata da Citrix, nelbrowser viene visualizzato un errore server interno 500La mancata corrispondenza tra le configurazioni del server farm di Citrix e VMware Identity Managerpotrebbe causare il non corretto avvio delle risorse pubblicate da Citrix.

Problema

L'avvio di una risorsa pubblicata da Citrix non viene eseguito correttamente poiché nel browser vienevisualizzato un errore server interno 500.

Causa

Un errore 500 si verifica quando le informazioni del server farm di Citrix specificate nella console diVMware Identity Manager non corrispondono alla configurazione del server Citrix.

Soluzione

1 Prendere nota delle impostazioni del tipo di trasporto, del numero della porta e del numero della portadi inoltro SSL di ogni server farm integrato con la distribuzione di VMware Identity Manager in uso.



4 Fare clic sul raccolta di app virtuali di Citrix, quindi su Modifica.

5 Nella procedura guidata di modifica della raccolta di Citrix XenApp, fare clic su Server farm nelriquadro a sinistra, quindi fare clic sulla server farm da modificare.

6 In Preferenza di avvio, Web Interface SDK, modificare le impostazioni di Tipo di trasporto, Porta ePorta di inoltro SSL in modo che corrispondano alle impostazioni della configurazione del serverCitrix.


VMware, Inc. 194


8 Ripetere questi passaggi per modificare le impostazioni di ogni server farm.

Un problema di memoria impedisce la corretta configurazione diIntegration BrokerQuando si integra VMware Identity Manager con la server farm Citrix versione 6.0 e precedenti, lamemoria insufficiente assegnata a PowerShell SDK determina un errore.

Problema

Quando si esegue il comando Invoke-Command per verificare la comunicazione remota di PowerShell,viene visualizzato un errore di memoria insufficiente. Viene richiesto di eseguire il comando Invoke-Command durante GUID-A51BFD94-9975-41C7-A9E5-ADB854ADAA6E#GUID-A51BFD94-9975-41C7-A9E5-ADB854ADAA6E.

Causa

Nel sistema Windows in cui viene effettuata la comunicazione remota di PowerShell, la memoriaassegnata a PowerShell SDK potrebbe essere insufficiente per il numero di risorse pubblicate Citrix.

Soluzione

È possibile aumentare la memoria assegnata a Powershell SDK.

Procedura

1 Quando l'errore viene visualizzato, eseguire il comando per aumentare la memoria assegnata, adesempio

winrm set winrm/config/winrs '@{MaxMemoryPerShellMB="1024"}'

2 Eseguire nuovamente il comando Invoke-Command e portare a termine l'attività.

Errore di risorsa non disponibile all'avvio di desktop XenApp 7.xGli utenti non riescono ad avviare un desktop XenApp 7.x. Viene visualizzato un errore Risorsa nondisponibile.

Problema

Durante l'avvio di un desktop da un gruppo di consegna XenApp 7.x, gli utenti ricevono un erroreRisorsa non disponibile.

Causa

I cataloghi della macchina creati mediante il server Citrix Machine Creation hanno l'opzione di gestioneaccensione attivata per impostazione predefinita. Ciò fa sì che la macchina venga spentaautomaticamente in seguito allo scollegamento.


VMware, Inc. 195

Soluzione

1 Disattivare l'opzione di gestione accensione per il gruppo di consegna sul server Citrix XenApp 7.x.

2 Sincronizzare di nuovo le risorse pubblicate con Citrix con il servizio VMware Identity Manager.

Non è possibile avviare il desktop dalla farm di Citrix XenDesktopin Windows 7In Windows 7, gli utenti non riescono ad avviare i desktop da una farm di Citrix XenDesktop quando SSLè abilitato per Integration Broker.

Problema

Se SSL è abilitato per Integration Broker, quando gli utenti avviano un desktop in Windows 7, a volte ildesktop non viene avviato e viene visualizzato un messaggio di errore che indica che la connessione aldesktop non è riuscita con lo stato 1030. Questo problema si verifica a volte in Firefox, ma è possibile chesi verifichi anche in altri browser.

Soluzione

Per ulteriori informazioni su questo problema, vedere l'articolo di Citrix Knowledge Center relativo alla risoluzione dell'errore 1030 nell'immagine di Windows 7.

L'avvio di risorse pubblicate da Citrix non riesce se la porta XML èimpostata in modo erratoL'avvio di risorse pubblicate da Citrix da una server farm Citrix 6.x o 7.x non riesce se la porta XML èimpostata in modo errato in VMware Identity Manager.

Problema

L'avvio di risorse pubblicate da Citrix da una server farm Citrix 6.x o 7.x non riesce se la porta XML èimpostata in modo errato in VMware Identity Manager.

Soluzione

Assicurarsi che la porta XML sia impostata correttamente.

In XenApp 6.x o ambienti precedenti, chiedere all'amministratore di Citrix di eseguire CTXXMLS. EXE perverificare la porta passare alla seguente posizione all'interno del Registro di sistema sul server digestione XenApp:

HKLM/SYSTEM/CurrentControlSet/Services/CtxHttp | TcpPort=

Verificare il numero di porta. Per impostazione predefinita la porta è impostata su 80, ma comunementeviene modificata in 8080 o 88. Assicurarsi che la porta corretta sia impostata nella configurazione di Citrixin VMware Identity Manager nella pagina Catalogo > Gestisci applicazioni Desktop > Applicazionepubblicata da Citrix.

Per XenDesktop 7.x, vedere https://support.citrix.com/article/CTX127945 per informazioni sulla verificadella porta XML.


VMware, Inc. 196

http://support.citrix.com/article/CTX133773

https://support.citrix.com/article/CTX127945

La sincronizzazione di risorse Citrix non riesce se il Gruppovisibilità limitata non contiene utenti o gruppiLa sincronizzazione di risorse Citrix non riesce se l'impostazione Gruppo visibilità limitata è selezionata enon contiene alcun utente o gruppo AD.

Problema

In XenDesktop e XenApp 7.9 e versioni successive, se l'impostazione Gruppo visibilità limitata èselezionato e non contiene alcun utente o gruppo, la sincronizzare con VMware Identity Manager nonriesce.

Causa

Se è impostato, il Gruppo visibilità limitata deve contenere utenti o gruppi.

Soluzione

1 Individuare il nome reale dell'applicazione eseguendo il seguente comando PowerShell:

asnp citrix*

Get-brokerapplication-browsername nameOfCitrixPublishedResource

Nei dettagli dell'applicazione che viene visualizzato, cercare il nome dell'applicazione.

2 In Citrix Studio, trovare l'applicazione con lo stesso nome, modificare la proprietà Visibilità limitata eaggiungere all'elenco utenti e gruppi.

Problemi di sincronizzazione se le applicazioni pubblicate o idesktop in un sito non contengono utenti validiSe le applicazioni o i desktop pubblicati da Citrix non contengono utenti validi, la sincronizzazione aVMware Identity Manager non funziona.

Problema

Tutte le applicazioni e tutti i desktop pubblicati da Citrix in un sito devono contenere utenti validi. Se èstato eliminato un utente o gruppo e tale utente o gruppo non viene rimosso da una risorsa pubblicata daCitrix, l'applicazione o il desktop Citrix mostra un SID orfano. Ciò impedisce la sincronizzazione aVMware Identity Manager.

Per controllare il problema, è possibile utilizzare l'API seguente:

http://CitrixBrokerFQDN:80/IB/API/RestServiceImpl.svc/hznxenapp/admin/entitlements?

computerName=IBFQDN&xenappversion=VersionNumber&appName=applicationName

Il file risultante contiene le risorse vuote. Output di esempio:

"[{\"IncludedUsers\":\"DomainName\\\\USERNAME:User

$S-1-5-21-1097426297-1557994628-1672037986-53944:Group\"}]"


VMware, Inc. 197

Causa

Alcune applicazioni o alcuni desktop pubblicati nel sito non contengono utenti validi.

Soluzione

Assicurarsi che tutte le applicazioni e tutti i desktop pubblicati in un sito contengano utenti validi.

I permessi di Citrix non compaiono in VMware Identity ManagerI permessi di Citrix non compaiono in VMware Identity Manager.

Problema

I permessi per un gruppo di applicazioni o consegna sono impostati sul server Citrix ma non appaiono inVMware Identity Manager.

Causa

Utenti e gruppi che dispongono del permesso per il gruppo di applicazioni o consegna potrebbero nonessere sincronizzati con VMware Identity Manager.

Soluzione

Verificare che gli utenti e i gruppi siano sincronizzati con VMware Identity Manager.

1 Accedere alla Console di gestione di Citrix e individuare l'applicazione che non dispone di alcunpermesso.

2 Prendere nota degli utenti e dei gruppi di Active Directory che dispongono delle autorizzazioninecessarie per avviare l'applicazione nella Console di gestione di Citrix.

3 Accedere alla console di amministrazione di VMware Identity Manager, fare clic sulla scheda Utenti egruppi e verificare che gli utenti e i gruppi vengano riportati nell'elenco.

È inoltre possibile utilizzare la casella di ricerca in alto a destra nella pagina.

4 Se vengono visualizzati gli utenti e i gruppi, sincronizzare di nuovo le risorse di Citrix dalla paginaCatalogo > Raccolta app virtuali.

Nota Gli utenti e i gruppi devono esistere in VMware Identity Manager prima che sia possibileeffettuare la sincronizzazione delle risorse di Citrix. Se non esistono, la sincronizzazione verràeseguita ma non verranno aggiornati i permessi.

5 Se gli utenti e i gruppi non esistono in VMware Identity Manager, procedere come segue.

a Controllare dove utenti e gruppi esistono in Active Directory (utilizzando Utenti Active Directory eComputer Snapping).

b Nella console di VMware Identity Manager, aggiornare i DN di sincronizzazione AD per gli utentie i gruppi nelle pagine delle Impostazioni di sincronizzazione della directory.


VMware, Inc. 198

c Quando gli utenti e i gruppi vengono visualizzati nella console di VMware Identity Manager,sincronizzare nuovamente le risorse di Citrix.

Al termine della sincronizzazione i permessi compaiono in VMware Identity Manager.

Eccezione durante la sincronizzazione se Identità pool diapplicazioni non è configuratoSi verifica un'eccezione durante la sincronizzazione di risorse Citrix a VMware Identity Manager a causadi un errore comune nella configurazione di Integration Broker in cui è stata configurata l'impostazione diidentità per il pool di applicazioni errato.

Problema

Durante la sincronizzazione, si verifica l'eccezione seguente nel Registro di Integration Broker.

IntegrationBrokerLogger Error 1002 2017-04-04 19:10:38,936 (16)

HznXenIntegrationBroker.ApplicationException.ServiceErrorHandler - Connessione al

server remoto non riuscita con il seguente messaggio di errore: Il client non è in

grado di connettersi alla destinazione specificata nella richiesta. Verificare che

il servizio nella destinazione sia in esecuzione e accetti le richieste. Consultare

i registri e la documentazione per il servizio WS-Management in esecuzione nella

destinazione, nella maggior parte dei casi IIS o Gestione remota Windows. Se la

destinazione è il servizio Gestione remota Windows, eseguire il comando seguente

nella destinazione per analizzare e configurare il servizio Gestione remota Windows:

"quickconfig winrm". Per ulteriori informazioni, vedere l'argomento della Guida

about_Remote_Troubleshooting. in

System.Management.Automation.Runspaces.AsyncResult.EndInvoke()

Causa

Questo errore si verifica se l'impostazione di Identità non è configurata correttamente o se è configurataper il pool di applicazioni errato.

Soluzione

Configurare l'impostazione di Identità nel pool di applicazioni collegato a Integration Broker. Può trattarsidi un pool diverso dal pool di applicazioni predefinito.

Per verificare se il pool di applicazioni sia quello corretto:

1 In Gestione IIS, fare clic su Pool di applicazioni nel riquadro a sinistra.

2 Fare clic con il pulsante destro del mouse sul pool di applicazioni e selezionare Visualizzaapplicazioni.

3 Verificare che Integration Broker sia visualizzato nell'elenco delle applicazioni.

Per configurare l'impostazione di Identità per il pool di applicazioni, seguire le istruzioni riportate in Configurazione delle impostazioni di IIS Manager.


VMware, Inc. 199

Il file ICA non viene creato durante l'avvio delle risorse CitrixDurante l'avvio delle risorse Citrix, il file ICA non viene creato e si verifica un'eccezione.

Problema

Quando gli utenti tentano di avviare una risorsa Citrix, non viene creato il file ICA e viene visualizzataun'eccezione simile alla seguente nel Registro di Integration Broker.

IntegrationBrokerLogger Information 1004 2017-05-02 11:50:42,093 (8)

HznXenIntegrationBroker.API.RestServiceImpl - Get ICA file contents for

AppNameCitrix.MPS.App.XA65Test.Airwatch Notepad Test, Farm Name: XA65Test, Server

Name: serverName, Username: user1 IntegrationBrokerLogger Error 1002 2017-05-02

11:50:42,093 (8) HznXenIntegrationBroker.ApplicationException.ServiceErrorHandler -

WebPNBuilder implementation class WebPNImpl!

com.citrix.wing.webpnimpl.WebPNBuilderImpl not found at

com.citrix.wing.webpn.WebPNBuilder.getInstance() at

HznXenIntegrationBroker.XenAppSDK.Impl.XenAppSDKClient.CreateUserContext(UserPrincip

al userPrincipal, String appName, Configuration configuration) at

HznXenIntegrationBroker.XenAppSDK.Impl.XenAppSDKClient.GenerateICAFileCommon(UserPri

ncipal userPrincipal, String appName, Configuration configuration) at

HznXenIntegrationBroker.XenAppSDK.Impl.XenAppSDKClient.GenerateICAFile(UserPrincipal

userPrincipal, String farmName, String serverName, String serverPort, String

appName, XMLServiceTransportProtocol xmlserviceTransportProtocol, Int32

sslRelayPort)

Soluzione

Reinstallare Microsoft Visual J# 2.0 sul server di Integration Broker.

Riavvio di Integration BrokerSe Integration Broker non risponde, riavviare IIS sul server Windows.

Problema

Integration Broker non risponde e deve essere riavviato.

Soluzione

1 Aprire la finestra del prompt dei comandi come amministratore.

2 Digitare iisreset.


VMware, Inc. 200

) - VMware Identity Manager...Configurazione delle impostazioni di VMware Identity Manager per...

Documents

Transcript of ) - VMware Identity Manager...Configurazione delle impostazioni di VMware Identity Manager per...