Configurazione risorse in VMware delle Identity Manager 3 ... · Capitolo 9Consentire l'accesso ad...

Configurazione dellerisorse in VMwareIdentity Manager 3.3 (inlocale)SETT 2018VMware Identity Manager 3.3

Configurazione delle risorse in VMware Identity Manager 3.3 (in locale)

VMware, Inc. 2

È possibile trovare la documentazione tecnica più aggiornata sul sito Web di VMware all'indirizzo:

https://docs.vmware.com/it/

Il sito Web di VMware fornisce, inoltre, gli ultimi aggiornamenti di prodotto.

In caso di commenti sulla presente documentazione, inviare un messaggio all'indirizzo:

[email protected]

Copyright © 2013–2018 VMware, Inc. Tutti i diritti riservati. Informazioni sul copyright e sul marchio commerciale.

VMware, Inc.3401 Hillview Ave.Palo Alto, CA 94304www.vmware.com

VMware, Inc.Centro Leoni Palazzo AVia Spadolini 5Ground FloorMilan, MI 20121tel: +39 02 30412700fax: +39 02 30412701www.vmware.com/it

https://docs.vmware.com/it/

mailto:[email protected]

http://pubs.vmware.com/copyright-trademark.html

Sommario

Configurazione delle risorse in VMware Identity Manager (in locale) 6

1 Introduzione alla configurazione delle risorse in VMware Identity Manager 7

2 Consentire l'accesso alle applicazioni Web 9

Aggiunta di un'applicazione Web al catalogo 10

Assegnazione di utenti e gruppi a un'applicazione Web 14

Modifica di un'applicazione Web 16

Copia di un'applicazione Web 16

Esportazione di un'applicazione Web 17

Importazione di un'applicazione Web 17

Eliminazione di un'applicazione Web dal catalogo 18

Creazione e selezione di categorie per le applicazioni 18

Aggiunta di più tenant di app Web 19

Aggiunta di applicazioni OpenID Connect al catalogo 20

Utilizzo degli adattatori di provisioning 23

Gestione delle impostazioni delle app Web 24

Informazioni aggiuntive 25

3 Utilizzo delle raccolte di app virtuali per le integrazioni di desktop 26

Informazioni sulle raccolte di app virtuali 26

Creazione di raccolte di app virtuali 29

Modifica delle raccolte di app virtuali 31

Eliminazione delle raccolte di app virtuali 31

Monitoraggio delle raccolte di app virtuali 32

Migrazione delle configurazioni esistenti a Raccolta app virtuali 33

4 Consentire l'accesso a pool di desktop e applicazioni View, Horizon 6 oppure

Horizon 7 37Informazioni sull'integrazione di pod Horizon indipendenti 38

Informazioni sull'integrazione di distribuzioni Cloud Pod Architecture (CPA) di Horizon Cloud 39

Configurazione di pod Horizon e federazioni di pod in VMware Identity Manager 45

Attivazione di URL di accesso client multipli per gli intervalli di rete personalizzati 54

Avvio delle risorse di Horizon tramite gateway di convalida 56

Visualizzazione delle informazioni di connessione per i pool di applicazioni e desktop di Horizon 57

Visualizzazione dei permessi di utenti e gruppi per i pool di desktop e applicazioni di Horizon 58

Impostazione di criteri di accesso per applicazioni e desktop specifici 58

Permettere agli utenti di reimpostare i propri desktop di Horizon in VMware Identity Manager 59

VMware, Inc. 3

Visualizzazione delle opzioni di avvio per applicazioni e desktop di Horizon 60

Avvio di un desktop o di un'applicazione di Horizon 62

5 Fornire accesso a desktop e applicazioni di VMware Horizon Cloud Service 64

Integrazione di desktop e applicazioni di Horizon Cloud 65

Visualizzazione dei dettagli sui pool di desktop e applicazioni di Horizon Cloud 73

Visualizzazione dei permessi di utenti e gruppi per i desktop e le applicazioni di Horizon Cloud 74


Permettere agli utenti di reimpostare desktop Horizon Cloud 75

Utilizzo di un desktop o un'applicazione di Horizon Cloud 76

6 Consentire l'accesso a pacchetti VMware ThinApp 77

Integrazione di pacchetti VMware ThinApp 78

Autorizzazione di utenti e gruppi per i pacchetti ThinApp 89

Distribuzione e gestione di pacchetti ThinApp con VMware Identity Manager 92

Aggiornamento di pacchetti ThinApp gestiti dopo la distribuzione in VMware Identity Manager 96

Eliminazione di pacchetti ThinApp da VMware Identity Manager 103

Impostazione dei pacchetti ThinApp come compatibili con VMware Identity Manager 103

Modifica della cartella di condivisione dei pacchetti ThinApp 106


7 Configurazione di VMware Identity Manager Desktop 108

Opzioni del programma d'installazione da riga di comando per VMware Identity Manager Desktop 109

Installazione dell'applicazione VMware Identity Manager Desktop con impostazioni uguali in più

sistemi Windows 116

Aggiunta dei file del programma di installazione di VMware Identity Manager Desktop alle

appliance virtuali di VMware Identity Manager 117

Utilizzo dell'applicazione da riga di comando hws-desktop-ctrl.exe 118

8 Consentire l'accesso a risorse pubblicate Citrix 120

Panoramica dell'integrazione delle risorse pubblicate da Citrix 120

Componenti di richiesti per l'integrazione di Citrix 122

Progettazione integrazione di alto livello 122

Prerequisiti per l'integrazione di Citrix 127

Configurazione di server farm Citrix in VMware Identity Manager 155

Configurazione di avvio di risorse Citrix in VMware Identity Manager 161

Configurazione delle impostazioni di VMware Identity Manager per l'integrazione di Citrix 167

Impatto dell'aggiornamento sull'integrazione di risorse pubblicate da Citrix 174

9 Consentire l'accesso ad applicazioni gestite dalla terza parte in

Workspace ONE 176Aggiungere un'origine dell'applicazione al catalogo di Workspace ONE 177


VMware, Inc. 4

Autorizzare gli utenti per l'origine dell'applicazione 178

Aggiungere applicazioni gestite dall'origine dell'applicazione 179

10 Risoluzione dei problemi relativi alla configurazione delle risorse di

VMware Identity Manager 181Risoluzione dei problemi di avvio 181

Risoluzione dei problemi di integrazione di ThinApp 181

Risoluzione dei problemi di integrazione di Horizon 184

Risoluzione dei problemi di integrazione delle risorse pubblicate da Citrix 185


VMware, Inc. 5

Configurazione delle risorse inVMware Identity Manager (in locale)

Configurazione delle risorse in VMware Identity Manager fornisce informazioni sull'aggiunta di risorse alcatalogo di VMware Identity Manager e sul renderle disponibili ai sistemi degli utenti, come ad esempiodai loro desktop e dai dispositivi mobili. Le risorse supportate includono applicazioni Web, desktop eapplicazioni di VMware Horizon®, desktop e applicazioni di VMware Horizon® Cloud Service™, risorsepubblicate da Citrix e pacchetti VMware ThinApp®.

DestinatariQueste informazioni sono dirette a chiunque configuri e amministri le risorse perVMware Identity Manager. Sono scritte per amministratori di sistema Windows o Linux esperti che hannofamiliarità con la tecnologia delle macchine virtuali e le operazioni di data center.

VMware, Inc. 6

Introduzione alla configurazionedelle risorse inVMware Identity Manager 1Dopo aver installato e configurato VMware Identity Manager, per consentire agli utenti di accedere allerisorse supportate, è necessario configurare le risorse nella console di VMware Identity Manager. Trannele applicazioni Web, ogni tipo di risorsa richiede l'integrazione di VMware Identity Manager con un altroprodotto o componente.

È possibile integrare con VMware Identity Manager i seguenti tipi di risorse:

n applicazioni Web

n Applicazioni e desktop di VMware Horizon® Cloud Service™

n Pool di applicazioni e desktop di VMware Horizon® 7, Horizon 6 e View

n risorse pubblicate da Citrix

n Applicazioni compresse VMware ThinApp®

Tali risorse vengono integrate dalle schede Catalogo nella console di VMware Identity Manager.

Per integrare applicazioni Web, utilizzare la scheda Catalogo > App Web.

Per integrare e gestire pool di applicazioni e desktop di Horizon, applicazioni e desktop di Horizon Cloud,risorse pubblicate da Citrix o applicazioni compresse ThinApp, utilizzare la scheda Catalogo > Appvirtuali.

VMware, Inc. 7

È possibile gestire le impostazioni per le risorse integrate dalle pagine seguenti.

n Le impostazioni globali sono disponibili nella scheda Catalogo > Impostazioni.

n Le impostazioni per le applicazioni Web sono disponibili dal pulsante Impostazioni nella schedaCatalogo > App Web.

n Le impostazioni per Horizon, Horizon Cloud, ThinApp e le risorse pubblicate da Citrix sono disponibilidal pulsante Impostazioni nella scheda Catalogo > App virtuali.

È inoltre possibile gestire le impostazioni per le singole applicazioni facendo clic sull'applicazione nellapagina Catalogo > App Web o Catalogo > App virtuali e modificando la configurazione.


VMware, Inc. 8

Consentire l'accesso alleapplicazioni Web 2È possibile aggiungere applicazioni Web al catalogo di VMware Identity Manager e assegnarle a utenti egruppi per consentire agli utenti di accedervi dall'app o dal portale di Workspace ONE. Abilitare SingleSign-On (SSO) per le applicazioni utilizzando un protocollo di federazione, come ad esempio SAML 2.0,per configurare le applicazioni.

È possibile applicare criteri di accesso alle applicazioni per controllare l'accesso degli utenti in base aicriteri, come ad esempio tipo di dispositivo o all'intervallo di rete dell'utente. È possibile creare criteri diaccesso per una singola applicazione, per un set di applicazioni o per tutte le applicazioni nel catalogo.Quando si aggiunge un'applicazione al catalogo, si seleziona il criterio di accesso da utilizzare.

È anche possibile impostare un flusso di approvazione in modo che gli utenti debbano richiederel'accesso a un'applicazione e che la richiesta debba essere approvata prima di poter utilizzarel'applicazione.

È possibile aggiungere i seguenti tipi di applicazioni Web al catalogo:

n Applicazioni SAML 2.0

n Applicazioni SAML 1.1

SAML 1.1 è uno standard di autenticazione SAML precedente. Per maggiore sicurezza, èconsigliabile implementare SAML 2.0.

n Applicazioni WS-Federation 1.2

n Applicazioni OpenID Connect

n Applicazioni che non utilizzano un protocollo di federazione

n Applicazioni associate a fornitori di identità di terze parti quali Okta, Ping e ADFS.

Per aggiungere queste applicazioni, è necessario prima configurare il fornitore di identità di terze particome origine di applicazioni in VMware Identity Manager. Vedere

Capitolo 9Consentire l'accesso ad applicazioni gestite dalla terza parte in Workspace ONE perinformazioni.

Prima di impostare le applicazioni Web nel catalogo, prendere in considerazione i seguenti aspetti.

n Se si configura l'applicazione Web per utilizzare un protocollo di federazione, utilizzare SAML 2.0,SAML 1.1, WS-Federation 1.2 o OpenID Connect. La configurazione dell'applicazione Web per l'usodi un protocollo di federazione non è un requisito.

VMware, Inc. 9

n Gli utenti a cui si intende concedere il permesso di accedere all'applicazione Web devono essereutenti registrati di tale applicazione. In alternativa, è possibile configurare l'adattatore di provisioningper l'applicazione, se disponibile, in modo che esegua il provisioning degli utenti diVMware Identity Manager nell'applicazione.

n Se l'applicazione Web è un'applicazione multitenant, il servizio indirizzerà all'istanza dell'applicazione.

Requisiti dei ruoli per la gestione di applicazioni WebI seguenti ruoli possono gestire le applicazioni Web:

n Super amministratore

n Ruolo di amministratore personalizzato con la seguente configurazione:

Servizio: Catalogo

Azioni: Gestisci applicazioni Web, Gestisci origini app, Gestisci app di terze parti, come applicabile

Risorse: Tutte le risorse o risorse specifiche, come applicabile

Per assegnare applicazioni a utenti e gruppi, il ruolo deve includere l'azione Gestisci permessi.

Per ulteriori informazioni sui ruoli, vedere "Gestione dei ruoli di amministratore" in Amministrazione diVMware Identity Manager.

Questo capitolo include i seguenti argomenti:

n Aggiunta di un'applicazione Web al catalogo

n Assegnazione di utenti e gruppi a un'applicazione Web

n Modifica di un'applicazione Web

n Copia di un'applicazione Web

n Esportazione di un'applicazione Web

n Importazione di un'applicazione Web

n Eliminazione di un'applicazione Web dal catalogo

n Creazione e selezione di categorie per le applicazioni

n Aggiunta di più tenant di app Web

n Aggiunta di applicazioni OpenID Connect al catalogo

n Utilizzo degli adattatori di provisioning

n Gestione delle impostazioni delle app Web

n Informazioni aggiuntive

Aggiunta di un'applicazione Web al catalogoÈ possibile aggiungere applicazioni Web al catalogo selezionandole dal catalogo di applicazioni cloudoppure creando nuove applicazioni.


VMware, Inc. 10

Il catalogo di applicazioni cloud contiene le applicazioni Web aziendali di uso comune. Questeapplicazioni sono configurate parzialmente ed è necessario fornire informazioni aggiuntive percompletare il record dell'applicazione. Il completamento della configurazione rimanente necessariapotrebbe richiedere anche la collaborazione dei rappresentanti degli account dell'applicazione Web.

Molte delle applicazioni nel catalogo di applicazioni cloud utilizzano SAML 2.0 o 1.1 per scambiare dati diautenticazione e autorizzazione per abilitare l'autenticazione Single Sign-On da Workspace ONEall'applicazione Web.

Quando si crea una nuova applicazione, è necessario immettere tutte le informazioni di configurazioneper l'applicazione. La configurazione varia in base al tipo di applicazione che si sta aggiungendo. Per leapplicazioni senza protocollo di federazione, è necessario solo un URL di destinazione.

Le applicazioni di provider di identità di terze parti configurati come origini di applicazioni in VMwareIdentity Manager vengono aggiunte come nuove applicazioni.

Quando si aggiunge un'applicazione, si seleziona anche un criterio di accesso per controllare l'accessodegli utenti all'applicazione. È disponibile un criterio di accesso predefinito ed è anche possibile crearenuovi criteri dalla pagina Gestione identità e accessi > Gestisci > Criteri. Per informazioni sui criteri diaccesso, vedere Amministrazione di VMware Identity Manager.

Prerequisiti

n Ottenere le informazioni di configurazione per l'applicazione.

n Creare un criterio di accesso se non si desidera utilizzare il criterio di accesso predefinito. È possibilecreare criteri di accesso dalla pagina Gestione identità e accessi > Gestisci > Criteri.

n Creare categorie se si desidera raggruppare applicazioni in categorie. È disponibile una categoriapredefinita Consigliato. È possibile creare categorie dalla pagina Catalogo > App Web facendo clicsu Categorie e digitando il nome della categoria nella casella di testo.

n Creare gruppi di utenti, se necessario. È possibile creare gruppi dalla scheda Utenti e gruppi >Gruppi.

Procedura

1 Nella console di VMware Identity Manager, selezionare la scheda Catalogo > App Web .

2 Fare clic su Nuovo.

Viene visualizzata la procedura guidata per la nuova applicazione SaaS.

3 Selezionare un'applicazione dal catalogo di applicazioni cloud o crearne una nuova.

n Per selezionare un'applicazione dal catalogo di applicazioni cloud, digitarne il nome nella caselladi ricerca oppure fare clic su "o sfoglia nel catalogo" e selezionarla nell'elenco delleapplicazioni.

I campi nelle pagine della definizione e della configurazione sono popolati parzialmente.

n Per creare una nuova applicazione, immetterne il nome nel campo Nome.


VMware, Inc. 11

4 Nella pagina Definizione, immettere le informazioni necessarie.

Opzione Descrizione

Nome Immettere un nome univoco per l'applicazione.

Descrizione (Facoltativo) Inserire una descrizione dell'applicazione.

Icona (Facoltativo) Caricare un'icona per l'applicazione. Sono supportate icone neiformati di file PNG, JPG e ICON, con dimensione massima di 4MB.

L'icona deve essere almeno 180 x 180 pixel. Se l'icona è troppo piccola non verràvisualizzata. In questo caso, viene visualizzata l'icona di Workspace ONE.

Categoria (Facoltativo) Per aggiungere l'applicazione a una categoria, selezionarla dalmenu a discesa. Le categorie devono essere già state create.

È disponibile una categoria predefinita Consigliato. Selezionarla se si desiderache l'applicazione venga visualizzata nella pagina Consigliato in Workspace ONE.Se si desidera che l'app venga visualizzata nella pagina Segnalibri degli utenti,selezionare la categoria Consigliato e nella pagina Catalogo > Impostazioni >Configurazione portale utente, selezionare Mostra app consigliate nellascheda Segnalibri.

5 Fare clic su Avanti.

6 Nella pagina Configurazione, immettere i dettagli della configurazione dell'applicazione.

Per le applicazioni che vengono aggiunte dal catalogo di applicazioni cloud, alcuni campi sonoprecompilati con informazioni specifiche per ogni applicazione Web. Alcuni elementi precompilatisono modificabili, mentre altri non lo sono. Le informazioni necessarie variano da applicazione adapplicazione.


VMware, Inc. 12

Per le applicazioni che vengono aggiunte come nuove applicazioni, i campi variano in base al tipo diautenticazione selezionato.

Per informazioni su campi specifici, fare clic sull'icona delle informazioni accanto al campo.

Opzione Descrizione

Single Sign-On Tipo di autenticazionePer le applicazioni che vengono aggiunte dal catalogo di applicazioni cloud, il tipodi autenticazione è preselezionato. Per le nuove applicazioni, selezionare il tipo diautenticazione, se applicabile. Se l'applicazione non utilizza un protocollo difederazione, selezionare Collegamento applicazione Web.

Sono disponibili le seguenti opzioni:n SAML 2.0

Se l'applicazione Web supporta SAML 2.0, uno standard basato su XML perlo scambio sicuro di informazioni di autenticazione e autorizzazione,selezionare questa opzione per abilitare Single Sign-On da Workspace ONEall'applicazione.

n SAML 1.1

Se l'applicazione Web supporta SAML 1.1, selezionare questa opzione perabilitare Single Sign-On da Workspace ONE all'applicazione.

n WSFed 1.2

Se l'applicazione Web supporta l'autenticazione WS-Federation 1.2,selezionare questa opzione per abilitare Single Sign-On da Workspace ONEall'applicazione.

n OpenID Connect

Se l'applicazione supporta OpenID Connect, un protocollo di autenticazionebasato sul protocollo OAuth 2.0, selezionare questa opzione per abilitareSingle Sign-On da Workspace ONE all'applicazione.

n Tutti i provider di identità di terze parti configurati come origini di applicazioniin VMware Identity Manager, ad esempio Okta.

Selezionare questa opzione per aggiungere un'applicazione da un'origine diapplicazioni. Le origini di applicazioni vengono visualizzate nell'elenco solo sesono già configurate nella pagina delle impostazioni delle app Web. Quandosi seleziona un'origine di applicazioni, è sufficiente immettere l'URL didestinazione dell'applicazione dato che la parte restante della configurazioneè già stata completata nell'origine di applicazioni.

n Collegamento applicazione Web

Selezionare questa opzione se l'applicazione non utilizza un protocollo difederazione. È sufficiente immettere l'URL di destinazione dell'applicazione.

ConfigurazioneI campi visualizzati variano in base al tipo di autenticazione selezionato. Fare clicsull'icona delle informazioni per visualizzare una descrizione di ciascun campo.

Se si seleziona un'origine di applicazioni o Collegamento applicazione Web, èsufficiente immettere solo l'URL di destinazione dell'applicazione.

Parametri dell'applicazione Per le applicazioni aggiunte dal catalogo di applicazioni cloud, potrebbero essereelencati parametri. Se un parametro è nell'elenco e non ha un valore predefinito,immettere un valore per consentire l'avvio dell'applicazione. Se è fornito un valorepredefinito questo può essere modificato.


VMware, Inc. 13

Opzione Descrizione

Per le nuove applicazioni, aggiungere i parametri necessari.

Nota Questa sezione non viene visualizzata quando come tipo di autenticazionesono selezionati OpenID Connect, un'origine di applicazioni o Collegamentoapplicazione Web.

Proprietà avanzate Le proprietà avanzate includono le opzioni per firmare e crittografare le asserzioniSAML. Le proprietà che è possibile configurare variano in base al tipo diautenticazione selezionato. Fare clic sull'icona delle informazioni per visualizzareuna descrizione di ciascun campo.

Nota Questa sezione non viene visualizzata quando come tipo di autenticazionesono selezionati OpenID Connect, un'origine di applicazioni o Collegamentoapplicazione Web.

Apri in VMware Browser Selezionare questa opzione se si desidera che l'app Workspace ONE apral'applicazione in VMware Browser, che offre un'alternativa sicura al browser Webnativo.


8 Nella pagina Criteri di accesso, selezionare il criterio di accesso per gestire l'accesso degli utentiall'applicazione.

Il criterio default_access_policy_set è selezionato per impostazione predefinita.

9 Nella pagina Riepilogo, rivedere le selezioni e fare clic su Salva oppure su Salva e assegna perassegnare l'applicazione a utenti e gruppi.

Se non si assegna l'applicazione ad alcun utente o gruppo, è possibile farlo in un secondo momentoselezionando l'applicazione nella pagina Catalogo > App Web e facendo clic su Assegna.

10 Se si fa clic su Salva e assegna, assegnare l'applicazione a utenti e gruppi.

a Aggiungere utenti e gruppi digitandone il nome nella casella di ricerca e selezionandolo neirisultati.

b Selezionare il tipo di distribuzione per ciascun utente e gruppo.

Indipendentemente dal fatto che si selezioni l'opzione Attivata dall'utente o Automatica,l'applicazione viene visualizzata nella pagina Catalogo in Workspace ONE. Gli utenti possonoeseguire l'applicazione dalla pagina Catalogo o aggiungere un segnalibro all'applicazione edeseguirla dalla pagina Segnalibri. Se si intende configurare un flusso di approvazione perl'applicazione, selezionare Attivata dall'utente.

c Fare clic su Salva.

L'applicazione viene aggiunta al catalogo e viene visualizzata nell'elenco delle applicazioni nella schedaCatalogo > App Web.

Assegnazione di utenti e gruppi a un'applicazione WebDopo aver aggiunto applicazioni Web al catalogo, è possibile assegnarle a utenti e gruppi.


VMware, Inc. 14

Quando si autorizza un utente a un'applicazione Web, l'utente può visualizzare e avviare l'applicazionedall'app o dal portale Workspace ONE. Se si rimuove il permesso dell'utente, questo non potrà vedere néavviare l'applicazione.

In molti casi, il modo più efficace per autorizzare gli utenti è per assegnare le applicazioni Web a ungruppo di utenti.

Prerequisiti

Creare gruppi, se necessario. È possibile creare gruppi dalla scheda Utenti e gruppi > Gruppi.

Procedura

1 Accedere alla console di VMware Identity Manager.

2 Autorizzare gli utenti a un'applicazione Web.

Metodo Descrizione

Accedere a un'applicazione Web eassegnarla a utenti o gruppi

a Selezionare la scheda Catalogo > App Web.

b Fare clic sull'applicazione Web.

c Fare clic su Assegna.

d Selezionare utenti e gruppi digitando il nome nella casella di ricerca eselezionandoli dai risultati.

e Selezionare il tipo di distribuzione per ciascun utente e gruppo.

Indipendentemente dalla selezione o meno dell'opzioen Attivata dall'utenteo Automatica, l'applicazione viene aggiunta alla pagina Catalogo inWorkspace ONE. Gli utenti possono eseguire l'applicazione dalla paginaCatalogo o creare un segnalibro che punta a essa per eseguirla dalla paginadei segnalibri. Tuttavia, se si desidera impostare un flusso di approvazioneper l'applicazione, selezionare Attivata dall'utente.

f Fare clic su Salva.

Accedere a un utente o gruppo eaggiungere i permessi perl'applicazione Web all'utente o algruppo.

a Fare clic sulla scheda Utenti e gruppi.b Selezionare la scheda Utenti o la scheda Gruppi.c Fare clic sul nome di un utente o gruppo.

d Fare clic sulla scheda App, quindi su Aggiungi permesso.

e Nell'elenco a discesa Tipo di applicazione, selezionare Applicazioni Web.

f Selezionare le caselle di controllo corrispondenti alle applicazioni Web per cuisi desidera autorizzare l'utente o il gruppo.

g Nella colonna DISTRIBUZIONE selezionare la modalità di attivazione di ogniapplicazione Web.

Indipendentemente dalla selezione o meno dell'opzioen Attivata dall'utenteo Automatica, l'applicazione viene aggiunta alla pagina Catalogo inWorkspace ONE. Gli utenti possono eseguire l'applicazione dalla paginaCatalogo o creare un segnalibro che punta a essa per eseguirla dalla paginadei segnalibri. Tuttavia, se si desidera impostare un flusso di approvazioneper l'applicazione, selezionare Attivata dall'utente.

h Fare clic su Salva.

L'utente o il gruppo selezionato ora ha il permesso di utilizzare l'applicazione Web.


VMware, Inc. 15

Modifica di un'applicazione WebÈ possibile modificare tutte le applicazioni Web aggiunte al catalogo di VMware Identity Manager. Èpossibile modificare la definizione dell'applicazione, la configurazione, il criterio di accesso e leassegnazioni degli utenti.

Procedura


2 Fare clic sull'applicazione da modificare.

3 Fare clic su Modifica.

4 Seguire la procedura guidata Modifica applicazione SaaS per modificare l'applicazione comerichiesto.

Il processo è uguale a quello per la creazione di una nuova applicazione. Vedere Aggiunta diun'applicazione Web al catalogo.

Copia di un'applicazione WebÈ possibile creare una copia di un'applicazione Web nel catalogo e modificarla in modo da creare unanuova applicazione. La copia di un'applicazione è utile quando si desidera aggiungere un'altraapplicazione con una configurazione simile o quando si aggiungono più tenant di un'applicazione.

Procedura


2 Fare clic sull'applicazione che si desidera copiare.

3 Fare clic su Copia.

4 Seguire la procedura guidata Copia applicazione SaaS per configurare la nuova applicazione.

a Assicurarsi di immettere un nuovo nome per l'applicazione copiata. Per impostazione predefinita,il nome viene cambiato in applicationName_Copy.

b Modificare la configurazione di base alle necessità.

Il processo è uguale a quello per la creazione di una nuova applicazione. Vedere Aggiunta diun'applicazione Web al catalogo.


5 Nella pagina Riepilogo, rivedere le selezioni e fare clic su Salva oppure su Salva e assegna perassegnare l'applicazione a utenti e gruppi. Le assegnazioni di utenti e gruppi dall'applicazioneoriginale non vengono copiate alla nuova applicazione.



VMware, Inc. 16






Esportazione di un'applicazione WebÈ possibile esportare e importare un'applicazione Web da un'istanza di VMware Identity Manager aun'altra. Ad esempio si può scegliere di importare un'applicazione dall'ambiente di gestione temporaneaall'ambiente di produzione.

Questo processo prevede l'esportazione del pacchetto applicazione da un'istanza e la sua importazionenell'altra. L'applicazione potrebbe non richiedere ulteriore configurazione, specialmente se è stata testataapprofonditamente nell'ambiente originario.

Procedura

1 Accedere alla console dell'istanza di VMware Identity Manager da cui esportare un'applicazione Web.

2 Selezionare la scheda Catalogo > App Web.

3 Fare clic sull'applicazione che si desidera esportare.

4 Fare clic su Esporta.

Il pacchetto dell'applicazione viene scaricato nel sistema come file zip.

Operazioni successive

Importare il pacchetto applicazione nell'istanza di VMware Identity Manager in cui si desidera utilizzarlo.

Importazione di un'applicazione WebÈ possibile esportare e importare un'applicazione Web da un'istanza di VMware Identity Manager aun'altra. Ad esempio si può scegliere di importare un'applicazione dall'ambiente di gestione temporaneaall'ambiente di produzione.

Prerequisiti

L'applicazione è stata esportata da un'altra istanza di VMware Identity Manager.

Procedura

1 Accedere alla console dell'istanza di VMware Identity Manager in cui importare un'applicazione Web.


VMware, Inc. 17

2 Selezionare la scheda Catalogo > App Web.

3 Fare clic su Altro > Importa.

4 Selezionare il file zip dell'applicazione e fare clic su Apri.

L'applicazione viene caricata.

Eliminazione di un'applicazione Web dal catalogoÈ possibile eliminare applicazioni Web dal catalogo di VMware Identity Manager che non occorre piùfornire agli utenti. Quando si elimina un'applicazione, questa non è più disponibile a tutti gli utenti inWorkspace ONE.

Procedura


2 Fare clic sull'applicazione da eliminare.

3 Fare clic su Elimina.

Creazione e selezione di categorie per le applicazioniÈ possibile raggruppare le applicazioni Web in categorie per rendere più semplice la ricerca delleapplicazioni. Ad esempio, è possibile creare una categoria denominata Benefit e assegnare a essa leapplicazioni stipendio, assicurazione e 401K.

In aggiunta alle categorie create, è disponibile anche una categoria Consigliato. Selezionare questacategoria per le applicazioni che si desidera aggiungere alla pagina Consigliato in Workspace ONE. Èpossibile utilizzare la categoria Consigliato anche per posizionare applicazioni specifiche direttamentenelle pagine dei segnalibri degli utenti. Eseguire questa operazione selezionando la categoriaConsigliato per le applicazioni e quindi selezionando Mostra app consigliate nella scheda Segnalibrinella pagina Impostazioni > Catalogo > Configurazione portale utente.

Esistono diversi modi per selezionare categorie per le applicazioni.

n Selezionare le categorie durante l'aggiunta di un'applicazione nel catalogo, se le categorie sono giàstate create.

n Modificare un'applicazione per selezionare le categorie.

n Associare categorie a più applicazioni contemporaneamente dalla scheda Catalogo > App Web.

Procedura


2 Fare clic su Categorie.

3 Nella casella di testo visualizzata, digitare un nome per la nuova categoria e selezionare Aggiungicategoria newCategoryName.


VMware, Inc. 18

4 Assegnare applicazioni alla la categoria.

a Nella scheda Catalogo > App Web, selezionare le applicazioni da aggiungere alla categoria.

b Fare clic sul menu a discesa Categorie e selezionare la categoria creata.

Aggiunta di più tenant di app WebVMware Identity Manager supporta l'aggiunta di più tenant di un provider di servizi a un'istanza diVMware Identity Manager. Se esistono più tenant di un'app come Office 365 che può essere utilizzata dadiverse linee di business all'interno dell'organizzazione, è possibile aggiungere tutti i tenant a una singolaistanza di VMware Identity Manager. Questo consente di gestire SSO e l'accesso a tutti i tenant daun'unica posizione.

Per aggiungere più tenant, aggiungere più copie dell'app al catalogo di VMware Identity Manager e quindimodificare la configurazione di ogni copia. Mappare ogni copia dell'app a un tenant diverso del provider diservizi. Ogni tenant può avere uno o più domini. È inoltre necessario autorizzare gli utenti alla copiaappropriata dell'app.

Quando gli utenti accedono a Workspace ONE e fanno clic sull'app a cui sono autorizzati, viene avviatal'app corretta. Quando gli utenti accedono al provider di servizi direttamente, il provider di servizi effettuaautomaticamente il reindirizzamento a VMware Identity Manager per l'autenticazione, eVMware Identity Manager effettua l'autenticazione dell'utente e avvia l'app corretta in base ai permessidell'utente.

Procedura



3 Selezionare l'app dal catalogo di applicazioni cloud digitando il suo nome nella casella di ricerca ofacendo clic su "Sfoglia dal catalogo" e selezionarla.

I campi nelle pagine della definizione e della configurazione sono popolati parzialmente.

4 Seguire la procedura guidata per configurare l'applicazione e fare clic su Salva.

5 Creare una copia dell'app eseguendo una delle seguenti opzioni:

n Creare una nuova app facendo clic su Nuovo nella pagina Catalogo > App Web e aggiungendol'app dal catalogo delle applicazioni cloud.

n Copiare l'applicazione facendo clic sull'applicazione nella pagina Catalogo > App Web, quindifacendo clic su Copia.

Modificare i campi, come il nome e la descrizione, in modo da identificare facilmente la nuova app.

6 Configurare ciascuna copia dell'app per il tenant appropriato.

n Mappare ogni copia dell'app a un tenant di provider di servizi diverso.


VMware, Inc. 19

n Verificare che gli utenti siano univoci in tutti i domini e i tenant del provider di servizi.

Nota Se gli utenti non sono univoci, verificare che gli URL POST del provider di servizi, ovverogli URL del servizio consumer di asserzione specificati nella console di amministrazione diVMware Identity Manager, siano univoci nei tenant.

7 Configurare i permessi degli utenti per ogni copia dell'app. Autorizzare gli utenti al tenant appropriato.

a Nella scheda Catalogo > App Web, fare clic sulla copia dell'app che corrisponde al tenant.

b Fare clic su Assegna.

c Selezionare utenti e gruppi digitando i nomi nella casella di ricerca e selezionandoli dai risultati.

d Selezionare il tipo di distribuzione per ciascun utente e gruppo.

Indipendentemente dalla selezione o meno dell'opzione Attivata dall'utente o Automatica,l'applicazione viene aggiunto alla pagina Catalogo in Workspace ONE. Gli utenti possonoeseguire l'applicazione dalla pagina Catalogo o spostarla nella pagina Segnalibri. Tuttavia, se sidesidera impostare un flusso di approvazione per l'app, è necessario selezionare Attivatadall'utente per l'app.

e Fare clic su Salva.

Aggiunta di applicazioni OpenID Connect al catalogoÈ possibile aggiungere applicazioni che utilizzano il protocollo di autenticazione OpenID Connect aVMware Identity Manager e gestirle come qualsiasi altra applicazione nel catalogo. È possibile applicareun criterio di accesso per ogni applicazione per specificare la modalità con cui gli utenti vengonoautenticati in base ai criteri, come ad esempio l'intervallo di rete e il tipo di dispositivo. Dopo aver aggiuntol'applicazione, questa viene assegnata a utenti e gruppi.

Per aggiungere un'applicazione OpenID Connect, specificare URL di destinazione, URL direindirizzamento, ID client e segreto client dell'applicazione.

Quando si aggiunge un'applicazione OpenID Connect al catalogo, in VMware Identity Manager vienecreato automaticamente un client OAuth 2.0 per l'applicazione. Il client viene creato con le informazioni diconfigurazione specificate all'aggiunta dell'applicazione, che includono URL di destinazione, URL direindirizzamento, ID client e segreto client. Tutti gli altri parametri utilizzano i valori predefiniti. Questiincludono:

n Tipo di concessione: authorization_code, refresh_token

n Ambito: admin, openid, user

n Visualizzazione concessione utente: false

n TTL (time-to-live) token di accesso: 3 ore

n TTL (time-to-live) token di aggiornamento: abilitato e impostato su 90 giorni

n TTL inattivo token di aggiornamento: 4 giorni


VMware, Inc. 20

È possibile visualizzare il client OAuth 2.0 per l'applicazione dalla scheda Client nella pagina Catalogo >Impostazioni > Accesso remoto app. Fare clic sul nome del client per visualizzare le informazioni diconfigurazione. Non modificare alcun campo nel client.

Importante Non eliminare il client OAuth 2.0 associato all'applicazione, altrimenti l'applicazione nonsarà più disponibile agli utenti.

Quando si elimina l'applicazione dal catalogo, viene eliminato anche il client OAuth 2.0.

Flusso di autenticazione quando si accede all'applicazione daWorkspace ONEQuando un utente fa clic sull'applicazione in Workspace ONE, il flusso di autenticazione è il seguente:

1 L'utente fa clic sull'applicazione in Workspace ONE.

2 VMware Identity Manager reindirizza l'utente per l'URL di destinazione.

3 L'applicazione reindirizza l'utente a VMware Identity Manager con una richiesta di autorizzazione.

4 VMware Identity Manager autentica l'utente in base al criterio di autenticazione specificato perl'applicazione.

5 VMware Identity Manager controlla se l'utente è autorizzato per l'applicazione.

6 VMware Identity Manager invia il codice di autorizzazione per l'URL di reindirizzamento.

7 Utilizzando il codice di autorizzazione, l'applicazione richiede il token di accesso.

8 VMware Identity Manager invia il token ID, il token di accesso e il token di aggiornamentoall'applicazione.

Flusso di autenticazione quando si accede all'applicazionedirettamente dal provider di serviziQuando un utente accede all'applicazione direttamente dal provider di servizi, il flusso di autenticazione èil seguente:

1 L'utente fa clic sull'applicazione.

2 L'utente viene reindirizzato a VMware Identity Manager per l'autenticazione.

3 VMware Identity Manager autentica l'utente in base al criterio di autenticazione specificato perl'applicazione.

4 VMware Identity Manager controlla se l'utente è autorizzato per l'applicazione.

5 VMware Identity Manager invia un token ID al provider di servizi.

Aggiunta di un'applicazione OpenID ConnectLe applicazioni OpenID Connect possono essere aggiunte al catalogo di VMware Identity Manager dallascheda Catalogo > App Web.


VMware, Inc. 21

Prerequisiti

n Ottenere URL di destinazione, URL di reindirizzamento, ID client e segreto client per l'applicazione.

n Creare un criterio di accesso se non si desidera utilizzare il criterio di accesso predefinito. È possibilecreare criteri di accesso dalla pagina Gestione identità e accessi > Gestisci > Criteri.

n Creare categorie, se necessario. È possibile creare categorie dalla pagina Catalogo > App Webfacendo clic su Categorie e digitando il nome della categoria nella casella di testo.

n Creare gruppi di utenti, se necessario. È possibile creare gruppi dalla scheda Utenti e gruppi >Gruppi.

Procedura



3 Nella pagina Definizione della procedura guidata relativa alla nuova applicazione SaaS, immettere leinformazioni richieste.

Opzione Descrizione

Nome Immettere un nome univoco per l'applicazione.

Descrizione (Facoltativo) Inserire una descrizione dell'applicazione.

Icona (Facoltativo) Caricare un'icona per l'applicazione. Sono supportate icone neiformati di file PNG, JPG e ICON, con dimensione massima di 4MB.

L'icona deve essere almeno 180 x 180 pixel. Se l'icona è troppo piccola non verràvisualizzata. In questo caso, viene visualizzata l'icona di Workspace ONE.

Categoria (Facoltativo) Per aggiungere l'applicazione a una categoria, selezionarla dalmenu a discesa. Le categorie devono essere già state create.

È disponibile anche la categoria predefinita Consigliato. Selezionarla se sidesidera che l'applicazione venga visualizzata nella pagina Consigliato inWorkspace ONE. Se si desidera che l'app venga inclusa nella pagina Segnalibridegli utenti, selezionare la categoria Consigliato e nella pagina Catalogo >Impostazioni > Configurazione portale utente, selezionare Mostra app consigliatenella scheda Segnalibri.


5 Nella pagina Configurazione, immettere le informazioni di configurazione richieste.

Opzione Descrizione

Tipo di autenticazione Selezionare OpenID Connect.

URL di destinazione URL dell'applicazione a cui verranno indirizzati gli utenti quando fanno clicsull'app in Workspace ONE.

Reindirizza URL URL a cui VMware Identity Manager invierà il codice di autorizzazione.

ID client Identificatore del client che l'app includerà nelle richieste di autenticazione inviatea VMware Identity Manager. L'ID del client deve essere univoco per il tenant.


VMware, Inc. 22

Opzione Descrizione

Segreto client Segreto che l'applicazione utilizzerà per identificarsi nelle richieste diautenticazione inviate a VMware Identity Manager.

Apri in VMware Browser Selezionare questa opzione se si desidera che l'app Workspace ONE apral'applicazione in VMware Browser, che offre un'alternativa sicura al browser Webnativo.


7 Nella pagina Criteri di accesso, selezionare il criterio di accesso per gestire l'accesso degli utentiall'applicazione.

Il criterio default_access_policy_set è selezionato per impostazione predefinita. Per informazioni sullacreazione e la gestione dei criteri di accesso, vedere Amministrazione di VMware Identity Manager.

8 Nella pagina Riepilogo, rivedere le selezioni e fare clic su Salva oppure su Salva e assegna perassegnare l'applicazione a utenti e gruppi.






10 Fare clic su Salva.

L'applicazione viene aggiunta al catalogo. Per modificare la configurazione dell'applicazione in qualsiasimomento, selezionare l'applicazione nella pagina Catalogo > App Web e fare clic su Modifica.

Utilizzo degli adattatori di provisioningIl provisioning consente la gestione automatica degli utenti dell'applicazione da un unico sito. Gliadattatori di provisioning consentono alle applicazioni Web di recuperare informazioni specifiche dalservizio VMware Identity Manager in base alle necessità. Ad esempio, quando è abilitato il provisioningautomatico degli utenti in Google Apps, le informazioni necessarie dell'account utente, come il nomeutente, il nome e il cognome, possono essere recuperate dal servizio VMware Identity Manager.

Se il provisioning è abilitato per un'applicazione Web, quando si concede a un utente l'accessoall'applicazione nel servizio VMware Identity Manager, viene eseguito il provisioning dell'utentenell'applicazione Web.


VMware, Inc. 23

Configurare l'adattatore di provisioning per un'applicazione quando si aggiunge l'applicazione al catalogodalla scheda Catalogo > App Web.

Il servizio VMware Identity Manager attualmente include adattatori di provisioning per le seguentiapplicazioni:

n Google Apps

Vedere Esempio: Utilizzo dell'adattatore di provisioning di Google Apps.

n Office 365

n Socialcast

Gestione delle impostazioni delle app WebLe impostazioni per le applicazioni Web sono disponibili dal pulsante Impostazioni nella paginaCatalogo > App Web nella console di VMware Identity Manager.

Dalla pagina Impostazioni è possibile abilitare un flusso di approvazione per le applicazioni, configurare ifornitori di identità di terze parti come origini di applicazioni e gestire metadati SAML.

Impostazione Descrizione

Approvazioni Quando sono abilitate le approvazioni, gli utenti devonorichiedere l'accesso alle applicazioni prima di poter utilizzare leapplicazioni dal catalogo di Workspace ONE.

Per informazioni sull'impostazione delle di approvazioni,vedere Amministrazione di VMware Identity Manager.

Metadati SAML È possibile scaricare il certificato della firma SAML di VMwareIdentity Manager autofirmato e i metadati SAML dalla schedaScarica metadati SAML. Se si desidera ottenere un certificatoda un'autorità di certificazione (CA) di terze part, è possibilegenerare una richiesta di firma certificato (CSR) dalla schedaGenera CSR, ottenere il certificato e caricarlo nella stessascheda.

Per ulteriori informazioni sulla gestione dei metadati SAML,vedere "Gestione del catalogo" in Amministrazione di VMwareIdentity Manager

Origini applicazioni È possibile configurare determinati fornitori di identità terzi,come ad esempio OKTA o ADFS, come origini di applicazioni equindi aggiungere le applicazioni associate al catalogo.

Per informazioni sull'impostazione delle origini di applicazioni,vedere Capitolo 9Consentire l'accesso ad applicazioni gestitedalla terza parte in Workspace ONE.


VMware, Inc. 24

Informazioni aggiuntiveSono disponibili informazioni aggiuntive sulla configurazione di SSO (Single Sign-On) basato su SAMLper applicazioni Web specifiche, come Office 365 e Google Apps. Sono incluse informazioni sugliadattatori del provisioning, se applicabili.

Fare riferimento alla pagina della documentazione relativa alle integrazioni di VMware Identity Manager.


VMware, Inc. 25

https://www.vmware.com/support/pubs/vidm_webapp_sso.html

Utilizzo delle raccolte di appvirtuali per le integrazioni didesktop 3Oltre alle applicazioni Web, è possibile integrare desktop e applicazioni di Horizon, applicazioni e desktopdi Horizon Cloud, risorse pubblicate da Citrix e applicazioni ThinApp con VMware Identity Manager. Apartire dalla versione 3.1, queste risorse sono gestite con la nuova funzione delle raccolte di app virtuali.

Questo capitolo include i seguenti argomenti:n Informazioni sulle raccolte di app virtuali

n Creazione di raccolte di app virtuali

n Modifica delle raccolte di app virtuali

n Eliminazione delle raccolte di app virtuali

n Monitoraggio delle raccolte di app virtuali

n Migrazione delle configurazioni esistenti a Raccolta app virtuali

Informazioni sulle raccolte di app virtualiÈ possibile integrare desktop e applicazioni di Horizon, applicazioni e desktop di Horizon Cloud, risorsepubblicate da Citrix e pacchetti ThinApp con il servizio VMware Identity Manager. A partire dalla versione3.1, queste risorse vengono gestite tramite raccolte di app virtuali.

Una raccolta di app virtuali contiene le informazioni di configurazione per un'integrazione, tra cui il tipo dirisorsa, i server da cui si desidera sincronizzare risorse, il connettore da utilizzare per la sincronizzazionee la pianificazione della sincronizzazione.

È possibile creare una o più raccolte di app virtuali per qualsiasi tipo di risorsa, ad eccezione dei pacchettiThinApp per cui è possibile creare solo un'unica raccolta. Ad esempio, per integrare una distribuzione di50 farm di Citrix XenApp, è possibile impostare 10 raccolte di app virtuali in VMware Identity Manager,con 5 farm in ogni raccolta. Ciò consente di facilitare la gestione della configurazione e di rendere piùveloce la sincronizzazione dato che ogni raccolta viene sincronizzata separatamente.

È anche possibile utilizzare connettori diversi per ogni raccolta al fine di distribuire il carico disincronizzazione.

VMware, Inc. 26

La pagina di configurazione delle app virtuali, accessibile passando a Catalogo > App virtuali >Configurazione app virtuali nella console di VMware Identity Manager, costituisce un punto centrale perla gestione di tutte le integrazioni di risorse. Da questa pagina è possibile creare e modificare le raccolte,monitorare lo stato di sincronizzazione di tutte le raccolte, visualizzare gli avvisi e sincronizzaremanualmente.

Vantaggi nell'utilizzo delle raccolte di app virtualiI vantaggi di utilizzare la funzione di raccolta delle app virtuali sono i seguenti:

n Una posizione centrale dalla quale gestire tutte le integrazioni di risorse

n Gestire tutti i tipi di risorse

n Gestire la configurazione e le impostazioni di sincronizzazione per ogni raccolta

n Monitorare lo stato di sincronizzazione di tutte le raccolte

n Possibilità di sincronizzare set di dati più piccoli mediante l'impostazione di più raccolte per unagrande integrazione di risorse. Ad esempio è possibile creare raccolte separate per ogni pod diHorizon o per ogni farm XenApp.

n Possibilità di impostare raccolte separate per domini diversi. Più domini non richiedono una relazionedi attendibilità se si utilizzano raccolte separate per ciascun dominio.

Requisiti per le raccolte di app virtualiLa funzione di raccolta app virtuali presenta i seguenti requisiti:

n Tutte le istanze del servizio VMware Identity Manager devono essere versione 3.1 o successiva.

n Tutti i connettori utilizzati per sincronizzare le risorse devono essere versione 2017.12.1.0 osuccessiva.


VMware, Inc. 27

n A partire da VMware Identity Manager 3.2, è necessario un ruolo Amministratore con privilegiavanzati per poter iniziare con le raccolte di app virtuali.

n In una nuova installazione, il ruolo Amministratore con privilegi avanzati è necessario per poteraccedere inizialmente alla pagina di configurazione delle app virtuali. Quando si seleziona lascheda Catalogo > App virtuali e si fa clic su Configurazione app virtuale per la prima volta,viene visualizzata una pagina di informazioni; fare clic su Inizia per visualizzare la pagina diconfigurazione delle app virtuali. Questo flusso di avvio iniziale richiede il ruolo di amministratorecon privilegi avanzati.

Successivamente, è possibile utilizzare qualsiasi ruolo che può eseguire le seguenti azioni nelservizio del catalogo:

n Gestisci applicazioni Desktop: per creare, modificare o eliminare raccolte app virtualipubblicate da Horizon, Horizon Cloud e Citrix

n Gestisci ThinApps: per creare, modificare o eliminare raccolte di ThinApp

n Per le installazioni aggiornate alla versione 3.2 o successive da versioni precedenti, il ruoloAmministratore con privilegi avanzati è necessario per eseguire la migrazione delle configurazionidelle risorse esistenti in raccolte di app virtuali.

Una volta migrate le risorse, è possibile utilizzare qualsiasi ruolo che può eseguire le seguentiazioni nel servizio del catalogo:

n Gestisci applicazioni Desktop: consente di creare, modificare o eliminare raccolte app virtualipubblicate da Horizon, Horizon Cloud e Citrix

n Gestisci ThinApps: consente di creare, modificare o eliminare raccolte di ThinApp

Nota Nei casi in cui il vecchio menu Gestisci applicazioni desktop è ancora disponibile, il ruoloAmministratore di sola lettura è sufficiente per modificare e gestire le configurazioni esistenti dalmenu.

n Se è stato effettuato l'aggiornamento alla versione 3.2 o successive da una versione precedente enon sono state configurate tutte le risorse, si applica lo scenario di una nuova installazione.

Migrazione da versioni precedentiLa funzione Raccolta app virtuali è stata introdotta in VMware Identity Manager 3.1.

Con le raccolte di app virtuali, nel servizio VMware Identity Manager vengono archiviate le configurazionidelle risorse anziché il connettore. Queste sono gestite dalla pagina di configurazione Catalogo > Appvirtuali > Configurazione app virtualeinvece che dalle pagine Catalogo > Catalogo applicazioni >Gestisci applicazioni Desktop > Tipo di risorsa.

Nelle nuove installazioni, la pagina di configurazione delle app virtuali viene automaticamente attivata.Per integrare le risorse di Horizon, Horizon Cloud, Citrix o ThinApp, creare una o più raccolte.

Per l'aggiornamento da versioni precedenti, è disponibile un percorso di migrazione per il mantenimentodelle integrazioni delle risorse esistenti. Vedere Migrazione delle configurazioni esistenti a Raccolta appvirtuali per informazioni.


VMware, Inc. 28

Creazione di raccolte di app virtualiÈ possibile creare una o più raccolte di app virtuali per ogni tipo di integrazione come risorse pubblicateda Citrix o Horizon Cloud.

Prerequisiti

n Tutte le istanze del servizio VMware Identity Manager devono essere versione 3.1 o successiva.

n Tutti i connettori utilizzati per sincronizzare le risorse devono essere versione 2017.12.1.0 osuccessiva.

n A partire dalla versione 3.2, sono necessari i seguenti ruoli di amministratore:

n Per iniziare raccolte app virtuali, utilizzare il ruolo amministratore super. Vedere Informazioni sulleraccolte di app virtuali per ulteriori informazioni.

n Per creare, modificare o eliminare raccolte app virtuali pubblicate da Horizon, Horizon Cloud eCitrix, utilizzare qualsiasi ruolo che possa eseguire l'azione Gestisci app desktop nel servizio delcatalogo.

n Per creare, modificare o eliminare raccolte ThinApps, utilizzare qualsiasi ruolo che possaeseguire l'azione Gestisci ThinApps nel servizio del catalogo.

Procedura

1 Nella console di VMware Identity Manager, selezionare la scheda Catalogo > App virtuali, quindifare clic su Configurazione app virtuali.

Se questa è la prima volta che si accede a pagina, viene visualizzata una pagina delle informazioni.Fare clic su Inizia per procedere.

2 Fare clic su Aggiungi App virtuali in alto a destra della pagina e selezionare il tipo di integrazione,ad esempio Applicazione pubblicata Citrix.


VMware, Inc. 29

3 Immettere le informazioni di configurazione.

I campi seguenti sono comuni a tutti i tipi di integrazioni.

Opzione Descrizione

Nome Immettere un nome univoco per la raccolta.

Sincronizza connettori Selezionare il connettore che si desidera utilizzare per sincronizzare le risorsenella raccolta. Se è stato configurato un cluster di connettori per l'altadisponibilità, fare clic su Aggiungi connettore e selezionare gli altri connettorinel cluster nell'ordine di failover.

Frequenza di sincronizzazione Selezionare la frequenza con cui si desidera sincronizzare le risorse nellaraccolta. Se non si desidera configurare una pianificazione di sincronizzazioneautomatica, selezionare Manualmente.

Criterio di attivazione Selezionare come le risorse vengono rese disponibili agli utenti in WorkspaceONE.

Con entrambe le opzioni Attivata dall'utente e Automatico, le risorse vengonoaggiunte alla pagina Catalogo. Gli utenti possono utilizzare le risorse dalla paginaCatalogo o spostarle nella pagina Segnalibri. Tuttavia, per configurare un flussodi approvazione per le app, è necessario selezionare l'opzione Attivata dall'utenteper quell'app.

Il criterio di attivazione qui selezionato si applica a tutti i permessi utente per tuttele risorse nella raccolta. È possibile modificare il criterio di attivazione per utentisingoli o gruppi per risorsa dalla pagina Permessi dell'applicazione o del desktop.

Se si desidera impostare un flusso di approvazione, è consigliabile impostare ilcriterio di attivazione per la raccolta su Attivata dall'utente.

4 Nei campi rimanenti, immettere le informazioni di configurazione per l'integrazione, che è diversa per

ogni tipo di integrazione.

n Per un'integrazione di Horizon in locale, vedere Configurarazione di pod Horizon e federazioni dipod in VMware Identity Manager per ulteriori informazioni.

n Per un'integrazione di Horizon Cloud Service, vedere Configurazione di tenant Horizon Cloud inVMware Identity Manager per ulteriori informazioni.

n Per un'integrazione di applicazioni pubblicate da Citrix, vedere Configurazione di server farmCitrix in VMware Identity Manager per ulteriori informazioni.

n Per un'integrazione di ThinApp, vedere Configurazione dell'accesso di VMware Identity Managerai pacchetti ThinApp per ulteriori informazioni.


Viene creata la raccolta. È possibile visualizzare e modificare la raccolta dalla pagina Configurazioneapp virtuali.


Le risorse nella nuova raccolta non vengono ancora sincronizzate. Se è stata impostata unapianificazione di sincronizzazione per la raccolta, le risorse saranno sincronizzate al momentoprogrammato successivo. Per sincronizzare manualmente le risorse, fare clic sul pulsante Sincronizzaaccanto alla raccolta nella pagina Configurazione app virtuali.


VMware, Inc. 30

Modifica delle raccolte di app virtualiÈ possibile modificare tutte le raccolte di app virtuali, per tutti i tipi di integrazioni, dalla paginaConfigurazione app virtuali nella console di VMware Identity Manager.

Prerequisiti




Procedura

1 Nella console di VMware Identity Manager, selezionare la scheda Catalogo > App virtuali, quindifare clic su Configurazione app virtuale.

2 Fare clic sul nome della raccolta da modificare.

3 Modificare la pagina della raccolta.

È possibile modificare le impostazioni seguenti:

n Il nome della raccolta

n La frequenza di sincronizzazione

n Il connettore utilizzato per sincronizzare le risorse per la raccolta

n Impostazioni di configurazione per l'integrazione

Nota In una raccolta di app virtuali di Horizon, è possibile modificare un pod di Horizon che è stataaggiunto in precedenza. Rimuovere il pod dalla raccolta e aggiungerlo di nuovo.



Dopo aver modificato una raccolta, è consigliabile eseguire una sincronizzazione. Passare alla paginaCatalogo > App virtuali > Configurazione app virtuale e fare clic su Sincronizza nella colonna Azioniper la raccolta.

Eliminazione delle raccolte di app virtualiÈ possibile eliminare le raccolte di app virtuali dalla pagina Configurazione di app virtuali nella console diVMware Identity Manager.


VMware, Inc. 31

Quando si elimina una raccolta, tutte le applicazioni e i desktop sincronizzati dalla raccolta vengonoeliminati. Quando si elimina una raccolta di Horizon o Citrix, vengono eliminati anche i critericorrispondenti configurati negli intervalli di rete. Quando si elimina una raccolta di Horizon o HorizonCloud, viene eliminato anche l'artefatto di federazione.

Prerequisiti




Procedura

1 Nella console di VMware Identity Manager, selezionare la scheda Catalogo > App virtuali, quindifare clic su Configurazione app virtuale.

2 Nella tabella, trovare la raccolta da eliminare e fare clic su Elimina nella colonna Azioni.

Monitoraggio delle raccolte di app virtualiDalla pagina Configurazione app virtuale è possibile monitorare lo stato di sincronizzazione di tutte lerisorse. È inoltre possibile visualizzare gli avvisi.

Procedura


Vengono elencate tutte le raccolte, per tutti i tipi di integrazioni di risorse.

2 Visualizzare lo stato di sincronizzazione nella colonna Stato sincronizzazione per ogni raccolta. Sincronizzazione non ancora

eseguita

La raccolta viene creata ma non ancora sincronizzata. Fare clic su Sincronizzaper sincronizzare manualmente o attendere la sincronizzazione pianificatasuccessiva, se impostata.

Data e ora dell'ultima

sincronizzazione completata

L'ultima volta che la sincronizzazione è stata completata.

3 Per visualizzare gli avvisi, fare clic su Avvisi.

Ad esempio, viene visualizzato un avviso se per un utente non è stato possibile completare lasincronizzazione.

Nota Vengono visualizzati tutti gli avvisi, non solo quelle che si riferiscono a raccolte di app virtuali.Visualizzare l'elenco per trovare gli avvisi pertinenti alle raccolte.


VMware, Inc. 32

Migrazione delle configurazioni esistenti a Raccolta appvirtualiLa funzionalità Raccolta app virtuali è stata introdotta in VMware Identity Manager 3.1. Con le raccolte diapp virtuali, nel servizio VMware Identity Manager vengono archiviate le configurazioni delle risorseanziché il connettore. Queste sono gestite dalla pagina Catalogo > App virtuali > Configurazione appvirtualeinvece che dalle pagine Catalogo > Catalogo applicazioni > Gestisci applicazioni Desktop >Tipo di risorsa.

In VMware Identity Manager 3.1 e 3.2, il vecchio menu Gestisci applicazioni desktop vecchio continua aessere disponibile. Si può scegliere se eseguire la migrazione delle integrazioni esistenti alle raccolte diapp virtuali o continuare a gestirle dall'interfaccia utente Gestisci applicazioni Desktop.

A partire da VMware Identity Manager 3.3, l'interfaccia utente Gestisci applicazioni Desktop non è piùsupportata. È necessario migrare le integrazioni di risorse esistenti a raccolte di app virtuali, se non si ègià provveduto a farlo. L'unico scenario in cui è disponibile l'interfaccia utente Gestisci applicazioniDesktop è se si utilizza un connettore precedente alla versione 2017.12.1.0.

In VMware Identity Manager 3.3, si può iniziare con le raccolte di app virtuali direttamente o seguire unpercorso di migrazione, in base al proprio scenario di installazione.

n Nelle nuove installazioni è possibile creare nuove raccolte di app virtuali per le risorse di Horizon,Horizon Cloud, Citrix o ThinApp. Selezionare la scheda Catalogo > App virtuali, quindi fare clic suConfigurazione app virtuali. Rivedere le informazioni nella pagina e fare clic su Inizia per accederealla nuova pagina in cui è possibile creare raccolte di app virtuali.

n Se si esegue l'aggiornamento a VMware Identity Manager 3.3 e tutti i connettori sono versione2017.12.1.0 o successive, è necessario eseguire la migrazione di ogni configurazione esistente chesono stati ancora gestite tramite l'interfaccia utente Gestisci applicazioni desktop alle raccolte di appvirtuali.

Fare clic sulla scheda Catalogo > App virtuali, quindi fare clic su Gestisci applicazioni desktop.Rivedere le informazioni nella pagina e fare clic su Inizia per utilizzare la procedura guidata dimigrazione. Vedere Utilizzo della procedura guidata di migrazione per eseguire la migrazione alleraccolte di app virtuali.

Dopo la migrazione delle configurazioni esistenti viene abilitata la nuova pagina Configurazione appvirtuali, che consente di visualizzare e modificare le configurazioni migrate e di crearne di nuove. Peraccedere alla pagina in qualsiasi momento, selezionare la scheda Catalogo > App virtuali, quindifare clic su Configurazione app virtuale. Il pulsante Gestisci applicazioni desktop non comparepiù dopo la migrazione.


VMware, Inc. 33

n Se esegue l'aggiornamento da una versione precedente e si dispone di almeno un connettore,autonomo o integrato, la cui versione è precedente alla 2017.12.1.0, non è possibile creare nuoveraccolte di app virtuali. Migrare le configurazioni esistenti a raccolte di app virtuali mediantel'aggiornamento di tutti i connettori a 2017.12.1.0 o versione successiva, e successivamente utilizzarela procedura guidata di migrazione.

Fino a quando non si esegue l'aggiornamento tutti i connettori, è possibile accedere alleconfigurazioni esistente dal menu Gestisci applicazioni desktop nella pagina Catalogo > Appvirtuali.

Importante n Per creare nuove raccolte di app virtuali o per effettuare la migrazione di configurazioni esistenti a

raccolte di app virtuali, tutte le istanze del servizio VMware Identity Manager devono essere 3.1 osuccessiva e tutti i connettori devono essere versione 2017.12.1.0 o successiva.

n A partire dalla versione 3.2, il ruolo Amministratore con privilegi avanzati è necessario per accedereinizialmente alla pagina di configurazione delle app virtuali e per eseguire la migrazione delle risorseesistenti. Vedere Informazioni sulle raccolte di app virtuali per ulteriori informazioni.

Utilizzo della procedura guidata di migrazione per eseguire lamigrazione alle raccolte di app virtualiUtilizzare la procedura guidata di migrazione per migrare configurazioni delle risorse esistentidall'interfaccia utente Gestisci applicazioni desktop disponibile nelle release precedenti alle raccolte diapp virtuali.

È necessario effettuare la migrazione di tutte le configurazioni delle risorse esistenti nello stessomomento. Ad esempio, se sono configurate applicazioni ThinApp e Horizon Cloud, selezionarle entrambenella procedura guidata di migrazione. La procedura guidata di migrazione è pensata per essere utilizzatauna sola volta per eseguire la migrazione di tutte le risorse nello stesso momento. Dopo essere stataeseguita una volta, non sarà più disponibile.

Nota In un ambiente di hosting, il processo di migrazione potrebbe richiedere un po' di tempo.

Prerequisiti

n Aggiornare tutte le istanze del servizio di VMware Identity Manager alla versione 3.1 o successiva etutte le istanze del connettore alla versione 2017.12.1.0 o successiva.

n A partire dalla versione 3.2 di VMware Identity Manager, il ruolo Amministratore super è necessarioper accedere inizialmente alla pagina di Configurazione app virtuale e per eseguire la migrazione.Vedere Informazioni sulle raccolte di app virtuali per ulteriori informazioni.

Procedura

1 Nella console di VMware Identity Manager, selezionare la scheda Catalogo > App virtuali, quindifare clic su Gestisci applicazioni desktop.

2 Rivedere le informazioni e fare clic su Inizia.


VMware, Inc. 34

3 Nella procedura guidata di migrazione, per ogni tipo di risorsa, selezionare il worker del connettoreche è stato utilizzato per la configurazione nell'installazione precedente.

L'elenco a discesa per ogni tipo di risorsa elenca solo i connettori che avevano quella risorsaconfigurata.

Se la risorsa è stata configurata su più connettori per l'alta disponibilità, tutti i connettori vengonovisualizzati nell'elenco. L'etichetta Sincronizzazione automatica in corso o Sincronizzazionemanuale in corso indica se è stata impostata una pianificazione di sincronizzazione per la risorsa sutale connettore o se è stata impostata la sincronizzazione manuale. Selezionare il connettore conl'etichetta Sincronizzazione automatica in corso. Questa rappresenta anche la selezionepredefinita per ogni elenco.

Attenzione Assicurarsi di effettuare una selezione per tutte le configurazioni esistenti. La proceduraguidata di migrazione è pensata per essere utilizzata una sola volta per eseguire la migrazione ditutte le risorse nello stesso momento. Dopo essere stata eseguita una volta, non sarà più disponibile.

4 Fare clic su Migra configurazioni.

In un ambiente di hosting, il processo di migrazione potrebbe richiedere un po' di tempo.

Le configurazioni delle risorse esistenti vengono migrate. Viene creata una raccolta di app virtuali perogni tipo di configurazione. Queste raccolte vengono visualizzate nella pagina di Configurazione appvirtuale che viene visualizzata una volta completata la migrazione. Per visualizzare o modificare unaraccolta, fare clic sul suo nome.

Per accedere alla pagina Configurazione app virtuale in qualsiasi momento, selezionare la schedaCatalogo > App virtuali e fare clic su Configurazione app virtuale. Il menu Gestisci applicazionidesktop non è disponibile dopo la migrazione.

Per informazioni sulla risoluzione dei problemi relativi alle raccolte di app virtuali, visualizzare sia il file diregistro del connettore, connector.log, che il file registro del servizio, horizon.log. Su appliancevirtuali Linux, i file di registro si trovano nella directory /opt/vmware/horizon/workspace/logs. Suserver Windows, i file di registro si trovano nella directoryinstall_dir\IDMConnector_or_VMwareIdentityManager\opt\vmware\horizon\workspace\logs.


VMware, Inc. 35


n A ogni nuova raccolta di app virtuali viene aggiunto un solo connettore, quello selezionato nellaprocedura guidata di migrazione. Se è stato configurato un cluster di connettori per l'alta disponibilità,modificare le raccolte e aggiungere gli altri connettori.

n Viene creata una singola raccolta di app virtuali per ogni configurazione migrata. Per le integrazioni digrandi dimensioni, con molti server e app, prendere in considerazione la suddivisione della raccolta inpiù raccolte per semplificare la gestione e rendere più veloce la sincronizzazione. La funzionalità diraccolta app virtuali consente di creare più raccolte per ogni tipo di integrazione, eccetto per leintegrazioni di ThinApp.


VMware, Inc. 36

Consentire l'accesso a pool didesktop e applicazioni View,Horizon 6 oppure Horizon 7 4L'integrazione di Horizon 7, Horizon 6 o View con il servizio VMware Identity Manager consente di fornireagli utenti la possibilità di accedere ad applicazioni e desktop Horizon autorizzati dal portale o dall'app diWorkspace ONE. È possibile integrare pod Horizon indipendenti, consistenti in istanze di HorizonConnection Server, e federazioni di pod, che contengono più pod e possono trovarsi su più siti e datacenter.

La distribuzione e la gestione dei pool di desktop e applicazioni avvengono nell'interfaccia di HorizonAdministrator. È anche possibile creare permessi per utenti e gruppi di Active Directory in Horizon, non inVMware Identity Manager. È necessario sincronizzare tali utenti e gruppi nel servizioVMware Identity Manager da Active Directory prima di procedere all'integrazione con il Horizon.

Per integrare i pod e le federazioni pod di Horizon con VMware Identity Manager, è necessario creareuna o più raccolte di app virtuali nella console di VMware Identity Manager. Le raccolte contengono leinformazioni di configurazione per i pod e le federazioni di pod, nonché le impostazioni disincronizzazione. Le risorse e i permessi di Horizon vengono sincronizzati a VMware Identity Manager.

Nella console di VMware Identity Manager, è possibile visualizzare i desktop e le applicazioni di Horizon.Sarà inoltre possibile visualizzare permessi di utenti e gruppi.

Gli utenti finali possono avviare applicazioni e desktop autorizzati dal portale o dall'app di WorkspaceONE. Questi desktop e queste app sono accessibili tramite HTML in un browser o mediante un protocollodi visualizzazione supportato in VMware Horizon Client.

Versioni supportateVMware Identity Manager supporta le seguenti versioni e funzionalità.

n L'integrazione di pod Horizon indipendenti è supportata per View 5.3 e versioni successive.

n L'integrazione di federazioni di pod, create utilizzando la funzionalità Cloud Pod Architecture, èsupportata per Horizon 6.2 e versioni successive.

n HTML Access è supportato per Horizon 6.1.1 e versioni successive.

n L'SSO certificati è supportato per Horizon 7.x.

Per le più recenti informazioni di supporto, vedere la tabella di interoperabilità dei prodotti VMware.

VMware, Inc. 37


n Informazioni sull'integrazione di pod Horizon indipendenti

n Informazioni sull'integrazione di distribuzioni Cloud Pod Architecture (CPA) di Horizon Cloud

n Configurazione di pod Horizon e federazioni di pod in VMware Identity Manager

n Attivazione di URL di accesso client multipli per gli intervalli di rete personalizzati

n Avvio delle risorse di Horizon tramite gateway di convalida

n Visualizzazione delle informazioni di connessione per i pool di applicazioni e desktop di Horizon

n Visualizzazione dei permessi di utenti e gruppi per i pool di desktop e applicazioni di Horizon

n Impostazione di criteri di accesso per applicazioni e desktop specifici

n Permettere agli utenti di reimpostare i propri desktop di Horizon in VMware Identity Manager

n Visualizzazione delle opzioni di avvio per applicazioni e desktop di Horizon

n Avvio di un desktop o di un'applicazione di Horizon

Informazioni sull'integrazione di pod HorizonindipendentiPer integrare pod Horizon in VMware Identity Manager, creare una o più raccolte di app virtuali nellaconsole di VMware Identity Manager. Le raccolte contengono le informazioni di configurazione per iserver di connessione Horizon, nonché le impostazioni di sincronizzazione.

Prima di eseguire qualsiasi attività di integrazione nella console di VMware Identity Manager, configurareHorizon. È possibile creare e configurare i pool di desktop e applicazioni in Horizon Administrator, non inVMware Identity Manager. In Horizon Administrator vanno impostati anche i permessi per gli utenti e igruppi di Active Directory.

L'integrazione di pod Horizon con VMware Identity Manager comporta le seguenti attività di alto livello.

n Distribuire e configurare server di Horizon.

n Distribuire i pool di desktop e applicazioni di Horizon, con i permessi impostati per gli utenti e i gruppidi Active Directory.

n Sincronizzare gli utenti e i gruppi di Active Directory che sono autorizzati ai pool di applicazioni edesktop nelle istanze di Horizon Connection Server nel servizio di VMware Identity Managerutilizzando la sincronizzazione directory.

Successivamente, quando si configurano pod Horizon nella console di VMware Identity Manager, èpossibile selezionare anche l'opzione Esegui sincronizzazione delle directory. Selezionare questaopzione se si desidera che la sincronizzazione della directory venga eseguita come parte dellasincronizzazione delle risorse quando tutti gli utenti e i gruppi autorizzati per i pool di Horizon nelleistanze di Horizon Connection Server che vengono sincronizzate mancano nella directory diVMware Identity Manager.


VMware, Inc. 38

n Aggiungere VMware Identity Manager allo stesso dominio di Active Directory di Horizon se si intendesincronizzare tutte le istanze di Horizon Connection Server 5.x o utilizzare l'opzione Eseguisincronizzazione delle directory. Entrambe queste configurazioni utilizzano una modalità disincronizzazione alternativa, che richiede l'aggiunta al dominio.

n Creare una o più raccolte di app virtuali per i pod Horizon in VMware Identity Manager.

n Configurare l'autenticatore SAML in Horizon Connection Server. Nella pagina di configurazione diAuthenticator, è necessario utilizzare sempre il nome di dominio completo diVMware Identity Manager.

Requisiti per l'integrazione di pod HorizonDurante l'impostazione di pod Horizon, verificare che siano soddisfatti i requisiti per l'integrazione diVMware Identity Manager.

n Distribuire i server di connessione di Horizon sulla porta predefinita 443 o su una portapersonalizzata.

n Verificare di avere una voce DNS e un indirizzo IP risolvibili durante la ricerca inversa di ogni HorizonConnection Server nella configurazione. VMware Identity Manager richiede la ricerca inversa diistanze di Horizon Connection Server, Horizon Security Server e bilanciamento del carico. Se laricerca inversa non è configurata correttamente, l'integrazione di VMware Identity Manager conHorizon non riuscirà.

n Distribuire e configurare i pool e i desktop di Horizon con i permessi impostati per gli utenti e i gruppidi Active Directory. Assicurarsi che gli utenti abbiano i permessi corretti.

n Durante la configurazione dei pool di desktop, assicurarsi che l'opzione Scollega automaticamentein seguito alla disconnessione sia impostata su 1 o 2 minuti e non su immediatamente.

n Assicurarsi di creare pool nella cartella principale del server Horizon. Se si creano pool in una cartellache non sia la cartella radice, VMware Identity Manager non potrà interrogare tali pool e permessiHorizon.

n Si consiglia di estendere il periodo di scadenza dei metadati SAML a 90 giorni sui server diconnessione di Horizon. Vedere Modifica del periodo di scadenza per i metadati del provider di servizisul server di connessione di View per maggiori informazioni.

Informazioni sull'integrazione di distribuzioni Cloud PodArchitecture (CPA) di Horizon CloudOltre a integrare pod di visualizzazione con VMware Identity Manager, è possibile integrare distribuzioniCloud Pod Architecture (CPA) di Horizon.


VMware, Inc. 39

http://pubs.vmware.com/horizon-7-view/topic/com.vmware.horizon-view.administration.doc/GUID-3E170C23-097F-46D0-82BD-7CACFF04FC9A.html


Figura 4‑1. Integrazione di federazioni di pod di View con VMware Identity Manager

Pod 1

VCS 1

VCS 2

Replica LDAP

Pod 2

VCS 3

VCS 4

Replica LDAP

Pod 3

VCS 5

VCS 6

Replica LDAP

Federazione CPA

Sito A Sito B

Pod indipendente

Replica LDAP globale

VMware Identity Manager on-premise

connettore Servizio

La funzionalità Cloud Pod Architecture di Horizon Cloud collega più pod Horizon in modo da formare ununico grande ambiente di gestione e controllo di desktop e applicazioni, denominato federazione di pod.Una federazione di pod può comprendere più siti e più data center.

È possibile integrare una o più federazioni di pod con il servizio VMware Identity Manager. Si noti che lefederazioni di pod sono create e gestite in Horizon, e che i permessi di utenti e gruppi rispetto ai desktope ai pool di applicazioni della federazione di pod vengono impostati in Horizon. Le risorse e i permessivengono sincronizzati a VMware Identity Manager.

Le federazioni di pod hanno permessi globali, che consentono di autorizzare gli utenti ad accedere adesktop e applicazioni a cui è possibile accedere da qualsiasi pod della federazione di pod. Un permessoglobale può essere formato da risorse di più pod della federazione. Ad esempio, un permesso desktopglobale potrebbe contenere pool di tre diversi pod in tre diversi data center. Sui singoli pod dellafederazione di pod possono anche essere configurati permessi locali. È possibile sincronizzare permessiglobali e locali conVMware Identity Manager.

L'integrazione di una federazione di pod con il servizio VMware Identity Manager comporta le seguentiattività di alto livello nella console di VMware Identity Manager:

n Aggiunta di tutti i pod che formano la federazione di pod, specificando i dettagli di Horizon ConnectionServer per ciascuno di essi.

Nonostante VMware Identity Manager possa sincronizzare i permessi globali da qualsiasi pod dellafederazione di pod, deve connettersi a ciascun pod per sincronizzare i metadati richiesti perl'autenticazione SAML. Deve anche connettersi ai pod per sincronizzare i permessi locali, seopportuno.


VMware, Inc. 40

n Aggiungere i dettagli della federazione di pod e specificare l'URL di avvio globale. L'URL di avvioglobale, che è in genere l'URL del bilanciamento del carico, viene utilizzate per avviare desktop eapplicazioni con permessi globali.

È possibile personalizzare l'URL di avvio globale per specifici intervalli di rete, ad esempio perl'accesso interno ed esterno.

n Sincronizzare risorse e permessi dalla federazione di pod al servizio VMware Identity Manager.

Nota Solo permessi globali con criterio di ambito Tutti i siti in una federazione di pod vengonosincronizzati. Il criterio di ambito Tutti i siti delimita l'ambito della ricerca di applicazioni o desktop atutti i pod compresi nella federazione di pod.

n Per personalizzare l'URL di avvio globale è necessario impostare gli URL di accesso al client perspecifici intervalli di rete. Tali URL sono utilizzati per avviare risorse con permessi globali dallafederazione di pod. Per impostazione predefinita, l'URL di avvio globale specificato quando siaggiunge la federazione viene utilizzato come URL di avvio globale per tutti gli intervalli di rete.

n Specificare gli URL di accesso al client per ogni pod nella federazione che disponga di permessilocali configurati. Tali URL sono usati per avviare dal pod desktop e applicazioni con permessi locali.Un URL di accesso al client può essere un URL di Horizon Connection Server, un URL di SecurityServer o un URL di bilanciamento del carico. Gli URL di accesso al client vengono impostati perspecifici intervalli di rete. Per impostazione predefinita, l'URL di Horizon Connection Serverspecificato quando si aggiunge il pod viene utilizzato come URL di accesso al client per tutti gliintervalli di rete.

Quando si integra una federazione di pod al servizio VMware Identity Manager, quest'ultimo effettua leseguenti operazioni:

n Sincronizza tutti i permessi globali con criterio di ambito Tutti i siti dalla federazione di pod.

n Sincronizza i permessi locali, se selezionati, dai pod che fanno parte della federazione di pod.

n Sincronizza i metadati da tutti gli Horizon Connection Server nella federazione di pod.

n Consente agli utenti finali di accedere alle applicazioni e ai desktop di Horizon dal portale WorkspaceONE.

Gli utenti finali possono accedere alle applicazioni e ai desktop di Horizon dal portale Workspace ONE.Tutte le risorse per le quali dispongono di permessi, globali o locali, vengono visualizzate. Applicazioni edesktop vengono avviati in Horizon Client. Quando un utente avvia un'applicazione o un desktop conpermessi locali, l'avvio avviene dall'Horizon Connection Server al quale l'utente si connette. Le risorsecon permessi globali vengono avviate dall'Horizon Connection Server nel quale si trova la risorsa.

Esempio di distribuzione di Cloud Pod ArchitectureIl seguente diagramma mostra un esempio di distribuzione Cloud Pod Architecture e in che modo siaintegrata al servizio VMware Identity Manager.


VMware, Inc. 41

Figura 4‑2. Esempio di distribuzione di Cloud Pod Architecture

Pod 1 (P1)

Federazione 1 (F1)

Serverdi sicurezza

Serverdi sicurezza

Serverdi connessione


URL E1LB

URL I1LB

URL EGLB

globale

Pod 2 (P2)

Serverdi sicurezza

Serverdi sicurezza



URL E2LB

URL I2LB

Pod 3 (P3)



URL I3LB

URL IGLB

globale

Internet Interno

connettore

Sinc 1Locale

Sinc 2Locale

Sinc 3Locale

Sinc 4Locale

APIsinc Servizio

VMware Identity Manager on-premise

Questo diagramma illustra un esempio di distribuzione di federazione di pod. Una federazione di pod,denominata Federazione 1, viene creata in Horizon 6. Ha tre pod, Pod 1, Pod 2 e Pod 3. Pod 1 e Pod 2sono configurati con istanze di Security Server per ogni Horizon Connection Server e un bilanciamentodel carico esterno per l'accesso esterno, e con un bilanciamento del carico interno per l'accesso interno.Pod 3 è configurato per il solo accesso interno con un bilanciamento del carico interno. La federazione dipod nel suo complesso ha un bilanciamento del carico globale esterno e un bilanciamento del caricoglobale interno.

Pool di desktop e applicazioni sono distribuiti nei pod. I permessi globali sono configurati per Federazione1 e sono configurati anche permessi locali per i singoli pod.

Federazione 1 è integrata con il servizio VMware Identity Manager Il servizio VMware Identity Managersincronizza i permessi globali e quelli locali da Federazione 1. Poiché i permessi globali sono replicati inogni pod, sincronizza i permessi globali da Pod 1. Sincronizza inoltre i permessi locali da Pod 1, Pod 2 ePod 3.


VMware, Inc. 42

Gli utenti finali possono visualizzare nel portale Workspace ONE di VMware Identity Manager tutte leapplicazioni e i desktop per i quali sono autorizzati tramite permessi globali o locali. Quando un utenteavvia un desktop o un'applicazione con permessi globali, la richiesta di avvio passa al bilanciamento delcarico globale interno o esterno, EG URL o IG URL, in base all'intervallo di rete dell'utente. Se la risorsaproviene da un permesso locale, la richiesta di avvio passa al bilanciamento del carico interno o esternodel pod su cui è distribuita la risorsa, in base all'intervallo di rete dell'utente. Ad esempio, per una risorsasu Pod 2, la richiesta passa a URL I2 o URL E2.

Requisiti per l'integrazione di federazioni di pod HorizonL'integrazione di federazioni di pod Horizon con VMware Identity Manager richiede che venganosoddisfatti i seguenti requisiti.

n VMware Identity Manager supporta la funzionalità Cloud Pod Architecture in Horizon 6.2 e versionisuccessive, sia per applicazioni sia per desktop.

n È possibile integrare un massimo di 10 federazioni di pod con il servizio VMware Identity Manager.Ogni federazione può contenere fino a 7 pod.

n Distribuire istanze di Horizon Connection Server sulla porta predefinita 443 o su una portapersonalizzata.

n Verificare di avere una voce DNS e un indirizzo IP risolvibili durante la ricerca inversa di ogni istanzadi Horizon Connection Server nell'ambiente. VMware Identity Manager richiede la ricerca inversa diistanze di Horizon Connection Server, Security Server e bilanciamento del carico. Se la ricercainversa non è configurata correttamente, l'integrazione di VMware Identity Manager con Horizon nonriuscirà.

n Il connettore VMware Identity Manager, che è un componente del servizio, deve poter raggiungeretutte le istanze di Horizon Connection Server nella federazione di pod.

n L'autenticazione SAML deve essere configurata in Horizon, con il servizio diVMware Identity Manager specificato come fornitore di identità. È necessario utilizzare il nome didominio completo del servizio come parte dell'URL. È raccomandata la configurazionedell'autenticazione SAML su tutte le istanze di Horizon Connection Server nella federazione di pod.Vedere Configurazione dell'autenticazione SAML per ulteriori informazioni.

Si consiglia di estendere a 90 giorni il periodo di scadenza dei metadati SAML nelle istanze diHorizon Connection Server. Vedere Modifica del periodo di scadenza per i metadati del provider diservizi sul server di connessione di View per maggiori informazioni.

n I certificati di Horizon Connection Server saranno sincronizzati con VMware Identity Manager.

n Distribuire pool di applicazioni e desktop nei pod Horizon.

n Durante la configurazione dei pool di desktop, assicurarsi che l'opzione Scollegaautomaticamente in seguito alla disconnessione sia impostata su 1 o 2 minuti e non suimmediatamente.


VMware, Inc. 43



n Assicurarsi di creare pool di Horizon nella cartella principale. Se si creano pool in una cartella chenon sia la cartella radice, VMware Identity Manager non potrà interrogare tali pod e permessiHorizon.

Se si aggiungono o rimuovono pool di applicazioni o desktop dopo l'integrazione conVMware Identity Manager, le modifiche risulteranno visibili nel servizio VMware Identity Manager solodopo aver effettuato nuovamente la sincronizzazione.

n È necessario creare la federazione di pod inizializzando la funzionalità Cloud Pod Architecture da unodei pod e inserendo tutti gli altri pod alla federazione prima di effettuare l'integrazione con il servizioVMware Identity Manager. I permessi globali sono replicati ai pod quando questi vengono inseritinella federazione.

Se si inserisce un pod nella federazione o lo si rimuove dopo l'integrazione con il servizioVMware Identity Manager, è necessario modificare i dettagli relativi alla federazione di pod nellaconsole di VMware Identity Manager per aggiungere o rimuovere il pod, salvare le modifiche eripetere la sincronizzazione.

n Nell'ambiente Horizon, creare permessi globali nella federazione di pod per concedere i permessi agliutenti o ai gruppi di Active Directory per utilizzare desktop e applicazioni.

n I permessi globali che si desidera sincronizzare a VMware Identity Manager devono presentare ilcriterio di ambito Tutti i siti impostato. I permessi con altri criteri di ambito non vengono sincronizzati.

n Per consentire agli utenti finali di avviare desktop o applicazioni in un browser Web, selezionare

l'opzione HTML Access per il permesso globale in Horizon.


VMware, Inc. 44

n (Facoltativo) Creare permessi locali sui pod, se richiesto.

Per ulteriori informazioni sulla configurazione di Horizon, consultare la documentazione di Horizon 6oppure Horizon 7.

Configurazione di pod Horizon e federazioni di pod inVMware Identity ManagerPer configurare pod Horizon e federazioni di pod in VMware Identity Manager, configurare l'ambiente diVMware Identity Manager, creare una o più raccolte di app virtuali per l'integrazione, specificare gli URLdi accesso client per intervalli di rete specifici e configurare l'autenticazione SAML.

Configurazione dell'ambiente di VMware Identity ManagerDopo aver configurato l'ambiente di Horizon, è necessario impostare l'ambiente VMware Identity Managerprima di integrare pod Horizon e federazioni di pod con il servizio VMware Identity Manager.

Prerequisiti

n Se si intende sincronizzare tutte le istanze di Horizon Connection Server 5.x o utilizzare l'opzioneEsegui sincronizzazione delle directory, è necessario unire VMware Identity Manager allo stessodominio di Active Directory di Horizon. Verificare di disporre di un nome utente e una password diActive Directory, con i diritti per entrare nel dominio. Per ulteriori informazioni sui diritti necessari pereseguire l'unione a un dominio, vedere "Integrazione con Active Directory" in Integrazione delladirectory con VMware Identity Manager.

Nota In una installazione di VMware Identity Manager in Windows, il server Windows è già unito aldominio.

Procedura

1 Verificare che distinguishedName sia impostato come un attributo obbligatorio per la directory diVMware Identity Manager e mappato all'attributo distinguishedName di Active Directory.

Gli attributi devono essere contrassegnati come obbligatori prima che la directory venga creata. Dopola creazione della directory, gli attributi non possono essere infatti modificati da facoltativi aobbligatori.

a Nella VMware Identity Managerconsole di, passare alla pagina Gestione identità e accessi >Configurazione > Attributi utente.

b In Attributi predefiniti, selezionare la casella di controllo Obbligatorio per distinguishedName.


d Durante la creazione della directory, mappare l'attributo distinguishedName all'attributo di ActiveDirectory distinguishedName.


VMware, Inc. 45

2 Sincronizzare gli utenti e i gruppi che dispongono di autorizzazioni globali o locali in Horizon da ActiveDirectory al servizio VMware Identity Manager mediante la sincronizzazione della directory.

a Per visualizzare gli utenti e i gruppi correnti, fare clic sulla scheda Utenti e gruppi.

b Selezionare la scheda Gestione identità e accessi > Directory.

c Selezionare la directory appropriata.

d Se necessario, modificare le impostazioni della directory e fare clic su Sincronizza ora.

Nota Gli utenti devono disporre del set di attributi userPrincipalName. Se l'attributouserPrincipalName non è impostato per un utente, è possibile che l'utente non sia in grado dieseguire desktop e applicazioni.

3 Se possibile, stabilire una connessione a più domini o a domini a più foreste sicuri in Active Directory.Per informazioni, vedere Installazione e configurazione di VMware Identity Manager.

4 (solo appliance virtuali Linux di VMware Identity Manager) Aggiungere la directoryVMware Identity Manager allo stesso dominio di Active Directory di Horizon se si sta sincronizzandoun Horizon Connection Server 5.x istanze o se si intende utilizzare l'opzione Esegui sincronizzazionedelle directory. Entrambe queste configurazioni utilizzano una modalità di sincronizzazionealternativa, che richiede l'aggiunta al dominio.

a Selezionare a scheda Gestione identità e accessi.

b Fare clic su Configura e selezionare la scheda Connettori.

c Fare clic su Entra in dominio accanto alla directory appropriata.


VMware, Inc. 46

d Immettere le informazioni per il dominio di Active Directory e fare clic su Entra in dominio. Nonutilizzare caratteri non ASCII quando si specificano le informazioni sul dominio.

Opzione Descrizione

Dominio Selezionare il dominio a cui aggiungersi oppure selezionare Dominiopersonalizzato e digitare il nome del dominio. Assicurarsi di digitare il nomedi dominio completo di Active Directory, ad esempio server.esempio.com.

Nota Il nome di dominio completo di Active Directory deve essere nellostesso dominio delle istanze del server di connessione a View. In casocontrario, la propria distribuzione riporterà un errore.

Utente di dominio Digitare il nome utente di un account di Active Directory che disponga delleautorizzazioni necessarie per aggiungere sistemi a tale dominio di ActiveDirectory.

Password di dominio Digitare la password per l'utente. Tale password non viene archiviata daVMware Identity Manager.

Unità organizzativa (UO) del dominioda aggiungere

(Facoltativo) Unità organizzativa (UO) da aggiungere. Questa opzioneconsente di aggiungere il computer all'unità organizzativa specificata, anzichéall'unità organizzativa dei computer predefinita.

Ad esempio, ou=testou,dc=test,dc=example,dc=com.

e Verificare che VMware Identity Manager e i server di Horizon siano nello stesso dominio.

Nota In una installazione di VMware Identity Manager in Windows, questo passaggio non ènecessario perché il server Windows è già unito al dominio.

Configurarazione di pod Horizon e federazioni di pod inVMware Identity ManagerConfigurare pod Horizon e federazioni di pod nella console di VMware Identity Manager per sincronizzarerisorse e permessi con il servizio VMware Identity Manager.

Per configurare i POD e federazioni di pod, creare una o più raccolte di app virtuali nella pagina Catalogo> App virtuali e immettere la informazioni di configurazione, quali server di connessione di Horizon dacui sincronizzare risorse e permessi, dettagli sulla federazione di pod, connettore di VMware IdentityManager da utilizzare per la sincronizzazione e impostazioni dell'amministratore quali il client di avviopredefinito.

È possibile aggiungere tutti i pod Horizon e le federazioni di pod in una raccolta oppure creare piùraccolte, in base alle proprie esigenze. Ad esempio, si può scegliere di creare raccolte separate per ognifederazione di pod o per ciascun pod per facilitare la gestione e distribuire il carico di sincronizzazione trapiù connettori. Altrimenti è possibile scegliere di includere tutti i pod e le federazioni di pod in una raccoltaa scopo di test e avere un'altra raccolta identica per il proprio ambiente di produzione.

Dopo aver aggiunto i pod, configurare gli URL di accesso client per intervalli di rete specifici.


VMware, Inc. 47

Prerequisiti

n Configurazione di Horizon in base a Requisiti per l'integrazione di pod Horizon e Requisiti perl'integrazione di federazioni di pod Horizon.

n Configurazione di VMware Identity Manager in base a Configurazione dell'ambiente di VMwareIdentity Manager.

n Per ogni pod Horizon, accertarsi di disporre dele credenziali di un utente con ruolo di amministratore.

n È necessario utilizzare un ruolo amministratore che possa eseguire l'azione Gestisci applicazionidesktop nel servizio del catalogo.

Procedura


2 Selezionare la scheda Catalogo > App virtuali, quindi fare clic su Configurazione app virtuali.

3 Fare clic su Aggiungi app virtuali e scegliere Horizon View in locale.

4 Immettere un nome univoco per la raccolta.

5 Dal menu a discesa Sincronizza connettori, selezionare il connettore che si desidera utilizzare persincronizzare le risorse in questa raccolta.

Se sono stati configurati più connettori per l'alta disponibilità, fare clic su Aggiungi connettore eselezionare gli altri connettori. L'ordine in cui sono elencati i connettori determina l'ordine di failover.

6 Nella sezione Pod Horizon, fornire le informazioni di configurazione per i pod Horizon che si stannoaggiungendo a questa raccolta.

Server diconnessione

Immettere il nome host completo dell'istanza di Server di connessione di Horizon, come adesempio viewconnectionserver.esempio.com. Il nome di dominio deve corrisponde esattamente alnome del dominio a cui è stata aggiunta l'istanza di Server di connessione di Horizon.

Nome utente Immettere il nome utente dell'amministratore per il pod. L'utente deve disporre del ruolo diamministratore in Horizon.

Password Immettere la password dell'amministratore per il pod.

Autenticazione consmart card

Se gli utenti utilizzano l'autenticazione con smart card per accedere al pod al posto delle password,selezionare la casella di controllo.

Funzionalità TrueSSO attivata

Selezionare questa opzione se la funzionalità True SSO è attivata in Horizon. Questa opzione siapplica solo alle versioni di Horizon che supportano la funzione True SSO.

Quando la funzione True SSO è attivata in Horizon, gli utenti non devono utilizzare una passwordper accedere al proprio desktop di Windows. Tuttavia, se gli utenti sono collegati a VMware IdentityManager mediante un metodo di autenticazione senza password come SecurID, quando avviano iloro desktop di Windows gli verrà richiesta una password. È possibile selezionare questa opzioneper impedire che venga visualizzata una finestra di dialogo per la password in questo scenario.

Sincronizzapermessi locali

Se per il pod sono configurati i permessi locali, selezionare questa opzione.

Ad esempio:


VMware, Inc. 48

7 Per aggiungere più pod alla raccolta, fare clic su Aggiungi Pod e immettere le informazioni di

configurazione per ogni pod.

8 Per aggiungere una federazione di pod, eseguire i passaggi seguenti.

a Selezionare la casella di controllo Attiva nella sezione Configurazione architettura pod diHorizon Cloud.

b Immettere le informazioni di configurazione della federazione di pod.

Opzione Descrizione

Nome federazione Nome della federazione di pod.

Aggiungi pod Horizon Selezionare tutti i pod che appartengono alla federazione di pod. L'elencovisualizza tutti i pod aggiunti alla raccolta.

Selezionare ciascun pod e fare clic su Aggiungi all'elenco.

Pod selezionati È possibile riordinare o rimuovere i pod.

URL di avvio URL di avvio globale da utilizzare per avviare le applicazioni o i desktop conpermessi globali. Ad esempio federationA.example.com.

In genere, l'URL di avvio corrisponde all'URL del bilanciamento del caricoglobale della federazione di pod. L'URL di avvio per intervalli di rete specificipuò essere personalizzato in una fase successiva del processo diconfigurazione.

c Per aggiungere un'altra federazione di pod, fare clic su Aggiungi federazione e immettere le

informazioni di configurazione.

Nota Se la raccolta include solo singoli pod Horizon che non appartengono a una federazione dipod, non abilitare questa opzione.

Ad esempio:


VMware, Inc. 49

9 Selezionare la casella di controllo Non sincronizzare applicazioni duplicate per impedire che le

applicazioni duplicate vengano sincronizzate da più server.

Quando VMware Identity Manager viene distribuito in più data center, le stesse risorse vengonoconfigurate in tutti i data center. La selezione di questa opzione impedisce la duplicazione dei pool didesktop o applicazioni nel catalogo di VMware Identity Manager.

10 Selezionare la casella di controllo Configurazione di Horizon Connection Server 5.x se si stannoconfigurando istanze di View Connection Server 5.x.

Se si seleziona questa opzione, viene abilitata la modalità alternativa per la sincronizzazione dellerisorse richiesta da View 5.x.

Nota Se si seleziona l'opzione Esegui sincronizzazione delle directory, viene selezionataautomaticamente anche l'opzione Configurazione di Horizon Connection Server 5.x poichéentrambe le opzioni dipendono dalla modalità alternativa di sincronizzazione delle risorse.

11 Selezionare la casella di controllo Esegui sincronizzazione delle directory se si desidera che lasincronizzazione della directory venga eseguita come parte della sincronizzazione delle risorsequando tutti gli utenti e i gruppi che dispongono del permesso di utilizzare i pool di Horizon nelleistanze di Horizon Connection Server mancano nella directory di VMware Identity Manager.

L'opzione Esegui sincronizzazione delle directory non si applica alle federazioni di pod. Se nelladirectory di VMware Identity Manager mancano utenti e gruppi con permessi globali, lasincronizzazione della directory non viene attivata.


VMware, Inc. 50

Gli utenti e i gruppi sincronizzati mediante questo processo possono essere gestiti come qualsiasialtro utente aggiunto in seguito alla sincronizzazione della directory di VMware Identity Manager.

Importante Quando si utilizza l'opzione Esegui sincronizzazione delle directory, la sincronizzazionerichiede più tempo.

Nota Quando viene selezionata questa opzione, viene selezionata automaticamente anchel'opzione Configurazione di Horizon Connection Server 5.x poiché entrambe le opzioni dipendonodalla modalità alternativa di sincronizzazione delle risorse.

12 Nell'elenco a discesa Client di avvio predefinito, selezionare il client predefinito in cui avviare leapplicazioni o i desktop di Horizon.

Opzione Descrizione

NESSUNO A livello di amministratore non è impostata alcuna preferenza predefinita. Sequesta opzione è impostata su Nessuno e non è impostata alcuna preferenzadell'utente finale, l'impostazione Protocollo di visualizzazione predefinito diHorizon viene utilizzata per determinare la modalità di avvio del desktop odell'applicazione.

BROWSER I desktop e le applicazioni di Horizon vengono avviati in un browser Web perimpostazione predefinita. Se impostate, le preferenze dell'utente finale hanno laprecedenza su questa impostazione.

NATIVO I desktop e le applicazioni di Horizon vengono avviati in Horizon Client perimpostazione predefinita. Se impostate, le preferenze dell'utente finale hanno laprecedenza su questa impostazione.

Questa impostazione si applica a tutti gli utenti per tutte le risorse in questa raccolta.

Alle impostazioni di avvio predefinite del client viene applicato l'ordine di precedenza seguente, dallapiù alta alla più bassa:

a Impostazione della preferenza dell'utente finale nel portale Workspace ONE. Questa opzione nonè disponibile nell'app Workspace ONE.

b Impostazione Client di avvio predefinito dell'amministratore per la raccolta, impostata nellaconsole di VMware Identity Manager.

c Impostazione di Horizon Protocollo di visualizzazione remoto > Protocollo di visualizzazionepredefinito per il pool di desktop o applicazioni in Horizon Administrator. Se ad esempio ilprotocollo di visualizzazione è impostato su PCoIP, l'applicazione o il desktop viene avviato inHorizon Client.

13 Dal menu a discesa Frequenza di sincronizzazione, selezionare con quale frequenza sincronizzarele risorse in questa raccolta.

È possibile impostare una pianificazione di sincronizzazione regolare o scegliere di sincronizzaremanualmente. Se si seleziona Manuale, è necessario fare clic su Sincronizza nella paginaConfigurazione app virtuali dopo aver impostato la raccolta e ogni volta che si verifica uncambiamento nei permessi o nelle risorse di View.


VMware, Inc. 51

14 Nell'elenco a discesa Criterio di attivazione selezionare il modo in cui le risorse di Horizon vengonorese disponibili agli utenti in Workspace ONE.

Con entrambe le opzioni Attivata dall'utente e Automatico, le risorse vengono aggiunte alla paginaCatalogo. Gli utenti possono utilizzare le risorse dalla pagina Catalogo o spostarle nella paginaSegnalibri. Tuttavia, per configurare un flusso di approvazione per le app, è necessario selezionarel'opzione Attivata dall'utente per quell'app.

Il criterio di attivazione selezionato in questa pagina si applica a tutti i permessi utente per tutte lerisorse nella raccolta. È possibile modificare il criterio di attivazione per utenti singoli o gruppi perrisorsa dalla pagina Permessi dell'applicazione o del desktop.

Se si desidera impostare un flusso di approvazione, è consigliabile impostare il criterio di attivazioneper la raccolta su Attivata dall'utente.


La raccolta viene creata e visualizzata nella pagina Configurazione app virtuali. Le risorse nellaraccolta non vengono ancora sincronizzate.

16 Per sincronizzare le risorse della raccolta in VMware Identity Manager, fare clic su Sincronizza nellapagina Configurazione app virtuali.

Ogni volta che vengono modificate le impostazioni in Horizon, ad esempio quando si aggiunge unpermesso o un utente, è necessaria una sincronizzazione per propagare le modifiche inVMware Identity Manager.

17 Configurare gli URL di accesso al client per i pod e le federazioni di pod.

Gli URL vengono personalizzati per intervalli di rete specifici. Ad esempio, generalmente si impostanoURL di avvio differenti per gli accessi interni ed esterni.

a Rivedere gli intervalli di rete e creare nuovi, se necessario.

n Fare clic sulla scheda Gestione identità e accessi > Criteri.

n Fare clic su Intervalli di rete.

n Rivedere gli intervalli di rete e fare clic su Aggiungi intervallo di rete per aggiungere nuoviintervalli, se necessario.

b Fare clic sulla scheda Catalogo > App virtuali, quindi fare clic su Impostazioni app virtuali.

c Fare clic su Impostazioni di rete.


VMware, Inc. 52

d Selezionare l'intervallo di rete da configurare.

La sezione Visualizza federazione CPA mostra l'URL di avvio globale delle federazioni di podaggiunte alla raccolta. La sezione Pod di View elenca tutti i pod di View aggiunti alla raccolta incui è selezionata l'opzione Sincronizza permessi locali.

e Nella sezione Visualizza federazione CPA, per l'URL di avvio globale, specificare il nome didominio completo del server a cui indirizzare le richieste di avvio per permessi globali provenientida questo intervallo di rete. Questo in genere corrisponde all'URL del bilanciamento del caricoglobale della distribuzione della federazione di pod di View.

Ad esempio: lb.esempio.com

L'URL di avvio globale è utilizzato per avviare le risorse con permessi globali.

f Nella sezione Pod di View, per ogni pod, specificare il nome di dominio completo del server a cuiindirizzare le richieste di avvio per permessi locali provenienti da questo intervallo di rete. Èpossibile specificare un'istanza del server di connessione di Horizon, un bilanciamento del caricoo un server di sicurezza. Ad esempio, se si sta modificando un intervallo che fornisce accessointerno, si può specificare il bilanciamento del carico interno per il pod.


L'URL di accesso client è utilizzato per avviare risorse con permessi locali dal pod.

Nota Per informazioni sulle opzioni di Esegui wrapping dell'artefatto in JWT e Destinatari inJWT, vedere Avvio delle risorse di Horizon tramite gateway di convalida.

g Fare clic su Fine.

Vedere anche Attivazione di URL di accesso client multipli per gli intervalli di rete personalizzati.


VMware, Inc. 53

Configurazione dell'autenticazione SAMLPer fornire agli utenti la possibilità di eseguire un'applicazione o un desktop Horizon dal servizioVMware Identity Manager e utilizzare Single Sign-On da VMware Identity Manager per l'applicazione o ildesktop, configurare l'autenticazione SAML in Horizon.

L'autenticazione SAML deve essere configurata in almeno un'istanza del Server di connessione Horizonin un pod. È consigliata la configurazione dell'autenticazione SAML su tutte le istanze in un pod.

Se l'autenticazione SAML è disabilitata su alcune delle istanze del Server di connessione Horizon in unpod, VMware Identity Manager utilizza le altre istanze e la sincronizzazione continua a funzionare.Tuttavia, è necessario assicurarsi che qualsiasi istanza con autenticazione SAML disabilitata non siautilizzata per l'avvio. Non utilizzare l'istanza nell'URL di accesso client o, se l'URL di accesso client puntaa un bilanciamento del carico, come uno dei nodi nel bilanciamento del carico. In questo caso gli utentinon potranno eseguire le applicazioni o i desktop Horizon.

Se l'autenticazione SAML è disabilitata su tutte le istanze Server di connessione Horizon nel pod, lasincronizzazione non riesce.

Nota Non è necessario configurare l'autenticazione SAML se l'organizzazione utilizza l'autenticazionecon smart card per visualizzare le risorse utilizzando un fornitore di identità di terze parti.

Procedura

1 Accedere ad Horizon Administrator in qualità di utente con ruolo di Amministratore assegnato.

2 Configurare l'autenticazione SAML per le istanze del Server di connessione Horizon. È necessarioutilizzare il nome di dominio completo del servizio di VMware Identity Manager nella pagina diconfigurazione di Authenticator.

Importante L'ora dei server Horizon e VMware Identity Manager deve essere sincronizzata. Se l'oradei server non è sincronizzata, al tentativo di eseguire un desktop o un'applicazione Horizon vienevisualizzato un messaggio di SAML non valido.

Attivazione di URL di accesso client multipli per gliintervalli di rete personalizzatiSe si utilizzano URL di accesso client multipli per intervalli di rete diversi, è necessario modificarel'intervallo di rete predefinito affinché l'utente finale possa connettersi all'URL di accesso client e alnumero di porta corretti. Se queste impostazioni non vengono aggiornate, Horizon Client non verràeseguito.

Procedura



VMware, Inc. 54

2 Rivedere gli intervalli di rete e creare nuovi, se necessario.

a Fare clic sulla scheda Gestione identità e accessi > Criteri.

b Fare clic su Intervalli di rete.

c Rivedere gli intervalli di rete e fare clic su Aggiungi intervallo di rete per aggiungere nuoviintervalli, se necessario.

3 Fare clic sulla scheda Catalogo > App virtuali, quindi fare clic su Impostazioni app virtuali.

4 Selezionare Impostazioni di rete.

5 Selezionare l'intervallo di rete da configurare.

La sezione Visualizza federazione CPA viene visualizzata solo se sono state integrate federazioni dipod. In questa sezione vengono elencati gli URL di avvio globale specificati per le federazioni di pod.La sezione Pod di View elenca tutti i pod di View in cui è selezionata l'opzione Sincronizzapermessi locali.

6 Nella sezione Visualizza federazione CPA, per l'URL di avvio globale, specificare il nome di dominiocompleto del server a cui indirizzare le richieste di avvio per permessi globali provenienti da questointervallo di rete. Questo in genere corrisponde all'URL del bilanciamento del carico globale delladistribuzione della federazione di pod di View.


L'URL di avvio globale è utilizzato per avviare le risorse con permessi globali.

7 Nella sezione Pod di View, per ogni pod, specificare il nome di dominio completo del server a cuiindirizzare le richieste di avvio per permessi locali provenienti da questo intervallo di rete. È possibilespecificare un'istanza del server di connessione di Horizon, un bilanciamento del carico o un server disicurezza. Ad esempio, se si sta modificando un intervallo che fornisce accesso interno, si puòspecificare il bilanciamento del carico interno per il pod.


L'URL di accesso client è utilizzato per avviare risorse con permessi locali dal pod.

Nota Per informazioni sulle opzioni di Esegui wrapping dell'artefatto in JWT e Destinatari inJWT, vedere Avvio delle risorse di Horizon tramite gateway di convalida.

8 Verificare che ogni intervallo di rete dell'ambiente contenga un URL di accesso client.

Importante Se il dato non è specificato per un intervallo di rete, gli utenti finali che avviano risorsetramite quell'intervallo di rete potrebbero riscontrare problemi.


VMware, Inc. 55

Avvio delle risorse di Horizon tramite gateway diconvalidaQuando il servizio VMware Identity Manager è integrato con un gateway di convalida, come ad esempioF5, l'artefatto di wrapping nell'impostazione di JWT deve essere attivato nel servizioVMware Identity Manager per autenticare le risorse di Horizon assegnate agli utenti.

Quando l'artefatto di wrapping in JWT è attivato per l'autenticazione di una richiesta di avvio delle risorsedi Horizon, il servizio VMware Identity Manager genera un token JWT con firma digitale che includel'artefatto SAML per consentire la verifica.

Questo token JWT viene inviato al gateway durante la convalida nel DMZ. Il gateway convalida il tokenJWT da VMware Identity Manager ed estrae il valore dell'artefatto SAML dal token. Il gateway inoltra larichiesta con il valore reale dell'artefatto SAML al server di Horizon Connector. Il server del connettoreverifica la richiesta e l'utente accede alla risorsa di Horizon.

Se l'artefatto di wrapping in JWT non è attivato, il gateway di convalida non trasferisce l'artefatto al serverdi connessione di Horizon per la convalida e l'autenticazione ha esito negativo.

Prerequisiti

Il gateway di convalida è configurato con i seguenti dettagli di VMware Identity Manger.

n Certificato SSL

n ID e segreto del client OAuth2

n URL dell'endpoint di convalida di VMware Identity Manager

Procedura


2 Selezionare la scheda Catalogo > App virtuali, quindi fare clic su Impostazioni app virtuali.

3 Fare clic su Impostazioni di rete e selezionare l'intervallo di rete di indirizzi IP che può utilizzare larisorsa di Horizon.

La sezione Pod di View elenca tutti i pod di View aggiunti alla raccolta in cui è selezionata l'opzioneSincronizza permessi locali. Vedere Configurarazione di pod Horizon e federazioni di pod in VMwareIdentity Manager per la procedura di configurazione degli URL di accesso al client pod e federazionidi pod.

4 Nella sezione Pod di View, selezionare la casella di controllo Esegui wrapping dell'artefatto in JWTnell'ambiente Horizon configurato.

5 Se più di un gateway di convalida è in grado di elaborare richieste, creare identificatori univoci eaggiungere i nomi nella casella di testo Destinatari in JWT.

Questo nome dei destinatari è configurato nella configurazione del gateway di convalida e vieneutilizzato per verificare che il gateway coincida con i destinatari desiderati. Se i destinatari in JWT noncorrispondono al nome del gruppo di destinatari configurato qui, la richiesta viene rifiutata.


VMware, Inc. 56

6 Fare clic su Fine.


I nomi univoci dei destinatari aggiunti devono inoltre essere aggiunti nella configurazione del gateway diconvalida.

Visualizzazione delle informazioni di connessione per ipool di applicazioni e desktop di HorizonÈ possibile visualizzare le informazioni relative alla connessione tra VMware Identity Manager e un pooldi applicazioni o desktop di Horizon.

Procedura


2 Fare clic sulla scheda Catalogo > App virtuali.

3 Per visualizzare i pool di desktop, fare clic su Qualsiasi tipo di applicazione > Desktop HorizonView. Per visualizzare i pool di applicazioni, fare clic su Qualsiasi tipo di applicazione >Applicazioni Horizon View.

4 Fare clic sul pool di applicazioni o desktop.

5 Fare clic su Dettagli a sinistra.

6 Visualizzare le informazioni di connessione, che consistono negli attributi recuperati dall'istanza delserver di connessione di Horizon.

Per dettagli su questi attributi, vedere la documentazione di Horizon.


VMware, Inc. 57

Visualizzazione dei permessi di utenti e gruppi per i pooldi desktop e applicazioni di HorizonÈ possibile visualizzare per quali pool di desktop e applicazioni di Horizon sono autorizzati gli utenti e igruppi.

Prerequisiti

n Per visualizzare gli aggiornamenti più recenti, sincronizzare manualmente le risorse e i permessidalle istanze del Server di connessione Horizon in VMware Identity Manager facendo clic suSincronizza nella pagina Configurazione app virtuali.

Procedura


2 Visualizzare i permessi di utenti e gruppi nei pool di desktop e applicazioni di Horizon.

Opzione Azione

Visualizzare utenti e gruppi autorizzatiper un pool di desktop o applicazionispecifico di Horizon.

a Fare clic sulla scheda Catalogo > App virtuali.b Fare clic su Qualsiasi tipo di applicazione > Desktop Horizon View o

Applicazioni Horizon View.

c Fare clic sull'icona relativa al pool di View per cui si desidera visualizzare ipermessi.

Per impostazione predefinita, la scheda Permessi è selezionata. I permessi deigruppi e quelli degli utenti sono riportati in tabelle separate.

Visualizzare i permessi dei pool didesktop e applicazioni di Horizon perun utente o un gruppo specifico.

a Fare clic sulla scheda Utenti e gruppi.b Selezionare la scheda Utenti o la scheda Gruppi.c Fare clic sul nome di un singolo utente o gruppo.

d Fare clic sulla scheda App.

Verranno visualizzati i pool di desktop e applicazioni di Horizon per cui l'utente o ilgruppo è autorizzato.

Impostazione di criteri di accesso per applicazioni edesktop specificiIl set di criteri di accesso predefinito si applica a tutte le applicazioni e i desktop nel catalogo. È inoltrepossibile impostare criteri di accesso per singole applicazioni o pool di desktop, che sostituiscono ilcriterio di accesso predefinito.

È possibile applicare un criterio di accesso a una o più applicazioni e desktop dalla pagina Criteri oseleziona il criterio di accesso per un'applicazione specifica dalla pagina di configurazionedell'applicazione.

Per ulteriori informazioni sui criteri di accesso, vedere la guida all'amministrazione di VMware IdentityManager.


VMware, Inc. 58

Procedura

1 Per applicare un criterio di accesso alle applicazioni e ai desktop dalla pagina Criteri, procedere comesegue.

a Nella console di VMware Identity Manager, passare alla pagina Gestione identità e accesso>Gestisci> Criteri.

b Fare clic su un criterio per modificarlo oppure fare clic su Aggiungi criterio per creare un nuovocriterio.

c Nella pagina del criterio, modificare o definire il criterio.

d Nella sezione Applicabile a, selezionare le applicazioni a cui si desidera applicare il criterio.


2 Per selezionare un criterio di accesso per un'applicazione specifica dalla pagina di configurazionedell'applicazione, seguire questi passaggi.

a Fare clic sulla scheda Catalogo > App virtuali.

b Fare clic sull'applicazione.

c Nel riquadro a sinistra fare clic su Criteri di accesso.

d Selezionare il criterio di accesso per l'applicazione e fare clic su Salva.

Permettere agli utenti di reimpostare i propri desktop diHorizon in VMware Identity ManagerA seconda di come si configura Horizon e VMware Identity Manager, gli utenti possono reimpostare undesktop di Horizon che non risponde da Workspace ONE.

Quando si configura Horizon per permettere agli utenti di reimpostare i propri desktop, la configurazionesi applica sia a Horizon che a VMware Identity Manager.

L'opzione di reimpostazione desktop da Workspace ONE è disponibile in VMware Identity Manager 3.2 econnettore 2018.1.1.0 e versioni successive. Verificare che tutti i connettori siano versione 2018.1.1.0 oversione successiva, altrimenti il comando di reimpostazione non verrà visualizzato. L'opzione èsupportata per:

n Horizon 7.x o pod successivi

n Desktop Horizon dedicati e mobili

Prerequisiti

n Configurare Horizon per permettere agli utenti di reimpostare i propri desktop. Consultare ladocumentazione di View, Horizon 6 o Horizon 7, nello specifico la guida di amministrazione di View.

n Verificare che sia in uso VMware Identity Manager 3.2 o versione successiva e il connettore2018.1.1.0 o versione successiva. Tutti i connettori devono essere versione 2018.1.1.0 o versionesuccessiva.


VMware, Inc. 59

n Per assicurarsi che desktop di Horizon specifici siano reimpostabili dagli utenti, gli URL di accessoclient dei rispettivi pod devono avere certificati attendibili. Se gli URL hanno certificati firmati da root oautofirmati, configurare VMware Identity Manager per considerare questi certificati attendibili. VedereInstallazione e configurazione di VMware Identity Manager per informazioni sull'applicazione di uncertificato root.

Procedura

u (Facoltativo) Verificare che VMware Identity Manager elenchi un dato desktop come reimpostabiledagli utenti.

a Nella VMware Identity Managerconsole di, selezionare la scheda Catalogo > App virtuali.

b Dal menu a discesa Qualsiasi tipo di applicazione, selezionare Desktop Horizon View.

c Fare clic sul nome del desktop.

d Fare clic su Dettagli.

e Confermare che l'impostazione Reimpostazione consentita sia impostata su true.

Se l'impostazione è false, Horizon non è configurato per permettere agli utenti di reimpostare ildesktop.


Se un desktop Horizon non risponde più ai comandi, l'amministratore o gli utenti possono reimpostare ildesktop scegliendo il comando Reimposta a esso relativo.

Visualizzazione delle opzioni di avvio per applicazioni edesktop di HorizonLe applicazioni e i desktop di Horizon possono essere avviati da Workspace ONE in Horizon Client o inun browser Web, in base alla modalità di configurazione del desktop o dell'applicazione in Horizon. Seun'applicazione o un desktop di Horizon è configurato solo per Horizon Client, gli utenti devono installareil Horizon Client nei loro sistemi.

La funzionalità HTML Access di Horizon offre agli amministratori di Horizon la possibilità di configurare undesktop o un'applicazione per i browser. Questa configurazione viene eseguita in Horizon e non ènecessaria alcuna configurazione in VMware Identity Manager. In Horizon 7, l'impostazione ConsentiHTML Access per desktop e applicazioni in questa farm determina se gli utenti di VMware IdentityManager possono avviare desktop o applicazioni da tale farm in un browser.

VMware Identity Manager supporta HTML Access per Horizon 6.1.1 e versioni successive.


VMware, Inc. 60

VMware Identity Manager supporta anche tutti i protocolli di visualizzazione supportati da Horizon perHorizon Client. Per Horizon 7, VMware Identity Manager supporta il protocollo Blast oltre a PCoIP e RDPper Horizon Client 4.0. Quando gli utenti di VMware Identity Manager avviano un desktop oun'applicazione in Horizon Client, viene utilizzato il protocollo impostato per la farm in Horizon.

Nota In Horizon, oltre a impostare il protocollo di visualizzazione predefinito, gli amministratori possonospecificare se consentire agli utenti di scegliere un protocollo di visualizzazione. Se si desiderasupportare le versioni di Horizon Client che non supportano il protocollo predefinito, è consigliabileconsentire agli utenti di scegliere il protocollo di visualizzazione. In caso contrario, l'applicazione o ildesktop non potrà essere avviato.

Per informazioni sulla configurazione delle opzioni di avvio e dei protocolli di visualizzazione, vedere ladocumentazione di Horizon 7, Horizon 6 o View.

Nella console di VMware Identity Manager, è possibile verificare le opzioni di avvio supportate da undesktop o un'applicazione di Horizon.

Procedura


2 Fare clic sulla scheda Catalogo > App virtuali.

3 Per visualizzare i pool di desktop, fare clic su Qualsiasi tipo di applicazione > Desktop HorizonView. Per visualizzare le applicazioni, fare clic su Qualsiasi tipo di applicazione > ApplicazioniHorizon View.

4 Fare clic sull'applicazione o sul desktop.

5 Fare clic su Dettagli a sinistra.

Il campo Tipi di client supportati include le opzioni di avvio.


VMware, Inc. 61

Il valore del campo può essere NATIVO o BROWSER oppure entrambi. Se è presente solo il valoreNATIVO, l'applicazione o il desktop può essere avviato solo in Horizon Client. Gli utenti devonoinstallare Horizon Client nei loro sistemi prima di avviare l'applicazione da Workspace ONE. Se èpresente il valore BROWSER, gli utenti possono avviare l'applicazione o il desktop in un browser. Sesono specificati entrambi i valori, gli utenti possono selezionare la modalità di avvio dell'applicazione.

Nota Per le integrazioni di Horizon 7, l'opzione Consenti HTML Access per desktop eapplicazioni in questa farm deve essere abilitata in Horizon 7 affinché l'opzione BROWSER vengavisualizzata nell'elenco Tipi di client supportati.

Avvio di un desktop o di un'applicazione di HorizonGli utenti possono avviare applicazioni e desktop di Horizon per cui sono autorizzati dal portale o dall'appdi Workspace ONE.

In base alla loro configurazione in Horizon, è possibile avviare un'applicazione o un desktop in HorizonClient o in un browser. Per le applicazioni e i desktop che possono essere avviati solo in Horizon Client, ènecessario installare Horizon Client nei sistemi corrispondenti. Per le applicazioni e i desktop chepossono essere avviati in Horizon Client oppure in un browser, gli utenti possono selezionare il metodo diavvio.

Gli utenti possono inoltre impostare la loro preferenza di avvio predefinita nella pagina Preferenze nelportale Workspace ONE. Questa preferenza dell'utente ha la precedenza su qualsiasi preferenza di avviopredefinita impostata a livello di amministratore.

Nota Gli utenti non possono impostare una preferenza di avvio predefinita nell'app Workspace ONE.

Prerequisiti

In base a come è configurata l'applicazione o il desktop in Horizon, è possibile che gli utenti debbanoinstallare Horizon Client.

Per conoscere le versioni di Horizon Client supportate, vedere la tabella di interoperabilità dei prodottiVMware all'indirizzo http://www.vmware.com/resources/compatibility/sim/interop_matrix.php.

Procedura

1 Accedere al portale Workspace ONE.

2 Fare clic su Apri sul desktop o nell'applicazione che si desidera utilizzare, selezionare il metodo diavvio e fare clic su Apri.

Nota In base a come è configurato il desktop o l'applicazione e alle proprie preferenze, potrebbeessere necessario installare Horizon Client nel sistema.


VMware, Inc. 62

Se si sceglie l'opzione Sfoglia, l'applicazione o il desktop viene avviato in un browser. Se si utilizzaHorizon 6.1.1 o versione successiva, la finestra del browser visualizza anche una barra HTML Access.

Nota Se i metadati SAML nelle istanze di Horizon Connection Server sono scaduti, l'applicazione o ildesktop non verrà avviato. Per risolvere il problema, è necessario sincronizzare nuovamente le risorse diHorizon in VMware Identity Manager. Nella pagina di configurazione App virtuale, fare clic suSincronizza per la raccolta appropriata.


VMware, Inc. 63

Fornire accesso a desktop eapplicazioni diVMware Horizon Cloud Service 5VMware Horizon Cloud Service con un'infrastruttura ospitata o locale può essere integrato con il servizioVMware Identity Manager.

Integrando Horizon Cloud con il servizio VMware Identity Manager permette di offrire agli utenti lapossibilità di accedere alle applicazioni e ai desktop di Horizon Cloud per cui sono autorizzati dal portaleo dall'app Workspace ONE. In questo modo, gli utenti possono accedere a tutte le applicazioni dei lorodispositivi da un'unica posizione.

I pool di desktop e applicazioni, denominati anche assegnazioni, vengono configurati nel tenant diHorizon Cloud. Anche i permessi di utenti e gruppi vengono impostati nel tenant di Horizon Cloud e nonnel servizio VMware Identity Manager. È necessario sincronizzare tali utenti e gruppi nel servizioVMware Identity Manager da Active Directory prima di procedere all'integrazione con il tenant diHorizon Cloud.

Per integrare Horizon Cloud in VMware Identity Manager, creare una o più raccolte di app virtuali nellaconsole di VMware Identity Manager. Le raccolte contengono le informazioni di configurazione per itenant di Horizon Cloud, nonché le impostazioni di sincronizzazione.

È possibile impostare una pianificazione di sincronizzazione per ogni raccolta al fine di sincronizzareregolarmente risorse e permessi dei tenant di Horizon Cloud con il servizio VMware Identity Manager.

Dopo aver effettuato l'integrazione del tenant di Horizon Cloud con VMware Identity Manager, i desktop ele applicazioni di Horizon Cloud saranno visibili nella console di VMware Identity Manager. Sarà inoltrepossibile visualizzare permessi di utenti e gruppi.

Gli utenti finali possono avviare app e desktop autorizzati dal portale o dall'app Workspace ONE. Èpossibile accedere a questi desktop e applicazioni utilizzando un browser o da VMware Horizon®

Client™. Sono supportate le versioni 3.4 e successive di Horizon Client.


n Integrazione di desktop e applicazioni di Horizon Cloud

n Visualizzazione dei dettagli sui pool di desktop e applicazioni di Horizon Cloud

n Visualizzazione dei permessi di utenti e gruppi per i desktop e le applicazioni di Horizon Cloud


n Permettere agli utenti di reimpostare desktop Horizon Cloud

VMware, Inc. 64

n Utilizzo di un desktop o un'applicazione di Horizon Cloud

Integrazione di desktop e applicazioni di Horizon CloudPer integrare con il servizio VMware Identity Manager desktop e applicazioni di Horizon Cloud, creareuno o più raccolte di app virtuali nella console di VMware Identity Manager, configurare i dettagli deltenant di Horizon Cloud nella raccolta e sincronizzare le risorse e permessi dal tenant di Horizon Cloud. Èinoltre necessario configurare l'autenticazione SAML per abilitare la relazione di attendibilità tra il tenantdi Horizon Cloud e il servizio VMware Identity Manager.

Integrazione di più istanze di Horizon CloudÈ possibile integrare più tenant di Horizon Cloud con una singola istanza di VMware Identity Manager inmodo che sia possibile sincronizzare in un'unica posizione risorse e permessi di Horizon Cloud da tutti itenant, gestire centralmente l'autenticazione e i criteri di accesso, nonché fare in modo che gli utenti finalicon permessi in diversi tenant possano essere serviti da un singolo portale o app.

VMware Identity Manager supporta l'integrazione con i seguenti tipi di ambienti Horizon Cloud:

n Infrastruttura ospitata di Horizon Cloud (Soft-Layer e Azure)

n Infrastruttura locale di Horizon Cloud

Durante l'integrazione di più tenant di Horizon Cloud, tenere presenti le considerazioni seguenti.

n Un singolo connettore, ovvero il componente di VMware Identity Manager che sincronizza le risorse ei permessi di Horizon Cloud nel servizio VMware Identity Manager può sincronizzare le risorse e ipermessi di più tenant di Horizon Cloud.

n Ogni tenant di Horizon Cloud può fornire permessi per gli utenti in differenti istanze e domini di ActiveDirectory. Assicurarsi di aggiungere tutte le directory e i domini pertinenti a VMware Identity Managerin modo che tutti gli utenti con permessi in uno qualsiasi dei tenant di Horizon Cloud venganosincronizzati con VMware Identity Manager.

n Se le appliance del tenant dispongono di certificati autofirmati, è necessario caricare il certificatoautofirmato come certificato root attendibile in VMware Identity Manager. Quando si integrano piùtenant di Horizon Cloud, è necessario assicurarsi che tutti i certificati abbiano lo stesso certificatoroot, dato che è possibile caricare un solo certificato root in VMware Identity Manager.

n VMware Identity Manager non può accedere e sincronizzare i permessi da un tenant in cui è abilitatal'autenticazione a due fattori.

n In VMware Identity Manager, è possibile aggiungere tutti i tenant di Horizon Cloud in unaconfigurazione, denominata Raccolta app virtuali, oppure creare più configurazioni. Quando tutti itenant di Horizon Cloud vengono aggiunti a una configurazione, se VMware Identity Manager nonpuò accedere a uno dei tenant, crea un avviso e continua a sincronizzare risorse e permessi deglialtri tenant.

n Assicurarsi di configurare l'autenticazione SAML in ogni tenant di Horizon Cloud che si integra conVMware Identity Manager.


VMware, Inc. 65

Prerequisiti per l'integrazionePrima di integrare Horizon Cloud con VMware Identity Manager, assicurarsi che siano soddisfatti iprerequisiti.

n Verificare di disporre della seguente configurazione:

n Una distribuzione locale di VMware Identity Manager

L'integrazione di tenant di Horizon Cloud multipli con una singola istanza diVMware Identity Manager è supportata in VMware Identity Manager 3.x e versioni successive.

n Se si utilizza un connettore esterno aggiuntivo, verificare che la versione sia 2016.1.1 osuccessiva. L'integrazione con tenant di Horizon Cloud multipli è supportata nel connettore2017.8.1.0 e versioni successive.

n Uno o più tenant di Horizon Cloud accessibili tramite il servizio di VMware Identity Manager. Perconfigurarlo, consultare il rappresentante di Horizon Cloud.

Importante Per il corretto funzionamento della distribuzione di VMware Identity Manager e deitenant di Horizon Cloud, è necessaria la connettività VPN.

n Verificare che ogni tenant di Horizon Cloud soddisfi i requisiti seguenti.

n Il nome del tenant deve essere un nome di dominio completo (FQDN), non un semplice nomehost. Ad esempio, dovrà essere server-ta1.example.com anziché server-ta1.

n Le appliance del tenant dovrebbero avere certificati firmati validi emessi da un CA. Il certificatodeve corrispondere al nome di dominio completo FQDN dell'appliance del tenant. Se le appliancedel tenant dispongono di certificati autofirmati, è necessario caricare il certificato autofirmatocome certificato root attendibile in VMware Identity Manager. Quando si integrano più tenant diHorizon Cloud, è necessario assicurarsi che tutti i certificati abbiano lo stesso certificato root,dato che è possibile caricare un solo certificato root in VMware Identity Manager.

n Verificare che l'ora dei tenant di Horizon Cloud e l'ora del servizio di VMware Identity Manager sianosincronizzate. In caso contrario, è possibile che si verifichi un errore di SAML non valido quando gliutenti avviano desktop e applicazioni di Horizon Cloud.

n Creare e configurare pool di desktop e applicazioni, denominati anche assegnazioni, nella console diamministrazione del tenant di Horizon Cloud. Nel tenant di Horizon Cloud, è possibile creare iseguenti tipi di pool:

n Pool di desktop dinamici, detti anche assegnazione di desktop mobili

n Pool di desktop statici, detti anche assegnazione di desktop dedicati

n Pool basati su sessione con desktop, detti anche assegnazione di desktop di sessione

n Pool basati su sessione con applicazioni, detti anche assegnazione di applicazione remota

Per ulteriori informazioni sui tipi di pool, consultare la documentazione di Horizon Cloud.


VMware, Inc. 66

n Impostare i permessi di utenti e gruppi per i desktop e le applicazioni di Horizon Cloud nella consoledi amministrazione del tenant di Horizon Cloud.

Nota Solo i permessi per gli utenti appartenenti a un gruppo registrato vengono sincronizzati. Gliutenti che non appartengono ad alcun gruppo non vedranno i propri permessi inVMware Identity Manager.

n Nella console di VMware Identity Manager, verificare che utenti e gruppi con permessi Horizon Cloudvengano sincronizzati da Active Directory a VMware Identity Manager utilizzando la sincronizzazionedelle directory.

Seguire queste indicazioni:

n Se si stanno integrando tenant di Horizon Cloud multipli, assicurarsi di aggiungere tutte ledirectory rilevanti e i domini a VMware Identity Manager in modo che gli utenti con permessi inuno qualsiasi dei tenant di Horizon Cloud vengano sincronizzati con VMware Identity Manager.

n È necessario impostare sAMAccountName come attributo di ricerca directory per la directory inVMware Identity Manager.

n Verificare che distinguishedName sia impostato come un attributo obbligatorio per la directory diVMware Identity Manager e mappato all'attributo distinguishedName di Active Directory.

Gli attributi devono essere contrassegnati come obbligatori prima che la directory venga creata.Dopo la creazione della directory, gli attributi non possono essere infatti modificati da facoltativi aobbligatori.

1 Nella console di VMware Identity Manager, passare alla pagina Gestione identità e accessi> Configurazione > Attributi utente.

2 In Attributi predefiniti, selezionare la casella di controllo Obbligatorio perdistinguishedName.


4 Durante la creazione della directory, mappare l'attributo distinguishedName all'attributo diActive Directory distinguishedName.

Configurazione di tenant Horizon Cloud inVMware Identity ManagerPer integrare i tenant Horizon Cloud con il servizio VMware Identity Manager , creare una raccolta di appvirtuali nella console di VMware Identity Manager, che contiene informazioni sul tenant Horizon Cloud,nonché le impostazioni di sincronizzazione e i permessi e le risorse di sincronizzazione dal tenantHorizon Cloud al servizio di VMware Identity Manager.

Se si dispone di più tenant Horizon Cloud, è possibile creare raccolte di app virtuali separate per ciascuntenant o configurare tutti i tenant in un'unica raccolta, in base alle proprie esigenze. Ogni raccolta vienesincronizzata separatamente.


VMware, Inc. 67

Prerequisiti

n Assicurarsi che siano soddisfatti i prerequisiti descritti in Prerequisiti per l'integrazione Vedere anche Integrazione di più istanze di Horizon Cloud.


Procedura



3 Fare clic su Aggiungi app virtuali e scegliere Horizon Cloud.



Se sono stati configurati più connettori per l'alta disponibilità, fare clic su Aggiungi connettore eselezionare i connettori. L'ordine in cui sono elencati i connettori determina l'ordine di failover.

6 Nella sezione Tenant, immettere le informazioni sul tenant Horizon Cloud.

Importante Non utilizzare caratteri non ASCII quando si specificano le informazioni sul dominio.

Opzione Descrizione

Host tenant Nome completo (FQDN) dell'host del tenant di Horizon Cloud. Ad esempiotenant1.example.com

Porta tenant Numero di porta dell'host del tenant di Horizon Cloud. Ad esempio 443

Utente amministratore Nome utente dell'account amministratore del tenant di Horizon Cloud. Adesempio tenantadmin

Password amministratore Password dell'account amministratore del tenant di Horizon Cloud.

Dominio amministratore Nome dominio NETBIOS di Active Directory nel quale risiede l'amministratore deltenant di Horizon Cloud.

Domini da sincronizzare Nomi di dominio NETBIOS di Active Directory per la sincronizzazione di risorse epermessi di Horizon Cloud.

Nota Per il valore di campo viene fatta distinzione tra lettere maiuscole eminuscole. Assicurarsi di utilizzare le lettere maiuscole e minuscole correttequando si immettono i nomi.

URL del servizio consumerdichiarazione

URL in cui pubblicare la dichiarazione SAML. Questo URL corrisponde in genereal nome host o all'indirizzo IP mobile del tenant di Horizon Cloud o all'URL diUnified Access Gateway. Ad esempio https://mytenant.example.com.


VMware, Inc. 68

Opzione Descrizione

Funzionalità True SSO abilitata inHorizon Cloud

Selezionare questa opzione se la funzionalità True SSO è attivata per il tenantHorizon Cloud.

Quando la funzione True SSO è attivata nel tenant Horizon Cloud, gli utenti nondevono utilizzare una password per accedere al proprio desktop di Windows.

Tuttavia, se gli utenti sono collegati a VMware Identity Manager mediante unmetodo di autenticazione senza password come SecurID, quando avviano i lorodesktop di Windows gli verrà richiesta una password. È possibile selezionarequesta opzione per impedire che venga visualizzata una finestra di dialogo per lapassword in questo scenario.

Mappatura ID personalizzata È possibile personalizzare l'ID utente utilizzato nella risposta SAML quando gliutenti avviano i desktop e le applicazioni di Horizon Cloud. Per impostazionepredefinita, viene utilizzato il nome dell'entità utente. Si può scegliere di utilizzarealtri formati dell'ID nome, come nOMeAccountsAML, oppure l'indirizzo e-mail epersonalizzare il valore.

Formato ID nome: selezionare il formato dell'ID nome, come Indirizzo e-mail oNome entità utente. Il valore predefinito è Non specificato (nome utente).Valore ID nome: fare clic su Selezionare da suggerimenti e scegliere un valorein un elenco di valori predefiniti oppure fare clic su Valore personalizzato eimmettere il valore. Questo valore può essere qualsiasi espressione ExpressionLanguage (EL) valida, come ${user.userName}@${user.domain}. Il valorepredefinito è ${user.userPrincipalName}.

Nota Assicurarsi che gli attributi utilizzati nell'espressione siano attributi mappatinella directory di VMware. È possibile visualizzare gli attributi mappati nellascheda Impostazioni di sincronizzazione della directory. Nell'esempio precedente,userName, userPrincipalName e domain sono gli attributi di directory mappati.

La possibilità di selezionare il formato dell'ID nome è utile negli scenari seguenti:n Quando si sincronizzano gli utenti di più sottodomini, è possibile che il nome

dell'entità utente non funzioni. È possibile utilizzare un formato dell'ID nomediverso, come nOMeAccountsAML, oppure l'indirizzo e-mail per identificaregli utenti in modo univoco.

Importante Assicurarsi che l'impostazione del formato dell'ID nome sia la stessain Horizon Cloud e in VMware Identity Manager.

Ad esempio:


VMware, Inc. 69

7 Per aggiungere un altro tenant Horizon Cloud alla raccolta, fare clic su Aggiungi tenant e immettere

le informazioni di configurazione per il tenant.

8 Nell'elenco a discesa Client di avvio predefinito, selezionare il client predefinito in cui avviare leapplicazioni o i desktop di Horizon Cloud.

Opzione Descrizione

NESSUNO A livello di amministratore non è impostata alcuna preferenza predefinita. Sequesta opzione è impostata su Nessuno e non è impostata alcuna preferenzadell'utente finale, l'impostazione Protocollo predefinito di Horizon Cloud vieneutilizzata per determinare la modalità di avvio del desktop o dell'applicazione.

BROWSER I desktop e le applicazioni di Horizon Cloud vengono avviati in un browser Webper impostazione predefinita. Se impostate, le preferenze dell'utente finale hannola precedenza su questa impostazione.

NATIVO I desktop e le applicazioni di Horizon Cloud vengono avviati in Horizon Client perimpostazione predefinita. Se impostate, le preferenze dell'utente finale hanno laprecedenza su questa impostazione.

Questa impostazione si applica a tutti gli utenti per tutte le risorse di Horizon Cloud in questa raccolta.

Alle impostazioni di avvio predefinite del client viene applicato l'ordine di precedenza seguente, dallapiù alta alla più bassa:

a Impostazione della preferenza dell'utente finale nel portale Workspace ONE. Questa opzione nonè disponibile nell'app Workspace ONE.

b Impostazione Client di avvio predefinito dell'amministratore per la raccolta, impostata nellaconsole di VMware Identity Manager.

c Impostazioni del protocollo predefinito di Horizon Cloud


VMware, Inc. 70


È possibile impostare una pianificazione di sincronizzazione regolare o scegliere di sincronizzaremanualmente. Se si seleziona Manuale, è necessario fare clic su Sincronizza nella paginaConfigurazione app virtuali dopo aver impostato la raccolta e ogni volta che si verifica uncambiamento nei permessi o nelle risorse di Horizon Cloud.

10 Nell'elenco a discesa Criterio di attivazione selezionare il modo in cui le risorse di Horizon Cloudvengono rese disponibili agli utenti in Workspace ONE.





La raccolta viene creata e visualizzata nella pagina App virtuali.

12 Per sincronizzare le risorse e i permessi nella raccolta, fare clic su Sincronizza nella paginaConfigurazione app virtuali.

Ogni volta che si verifica un cambiamento nelle risorse o nei permessi in Horizon Cloud, affinché lemodifiche si propaghino in VMware Identity Manager è necessaria una sincronizzazione.


Configurare l'autenticazione SAML nel tenant di Horizon Cloud per abilitare la relazione di attendibilità trail servizio VMware Identity Manager e il tenant di Horizon Cloud.

Configurazione dell'autenticazione SAML nel tenant diHorizon CloudDopo aver creato una raccolta di app virtuali per il tenant di Horizon Cloud nella console di VMwareIdentity Manager, configurare l'autenticazione SAML nel tenant di Horizon Cloud.

Se si stanno integrando più tenant di Horizon Cloud, assicurarsi di configurare l'autenticazione SAML intutti i tenant.

Nota Data e ora dell'appliance del tenant di Horizon Cloud e di VMware Identity Manager devono esseresincronizzate. Se l'orario non è sincronizzato, al tentativo di avviare desktop e applicazioni diHorizon Cloud viene visualizzato un messaggio di SAML non valido.


VMware, Inc. 71

Procedura

1 Nella console di VMware Identity Manager, selezionare la scheda Catalogo > App Web, quindi fareclic su Impostazioni.

2 Nel riquadro a sinistra, in App di SaaS, fare clic su Metadati SAML.

3 Nella scheda Scarica metadati SAML, fare clic su Copia URL accanto al collegamento Metadati delprovider di identità (IdP).

L'URL, in un formato simile ahttps://VMwareIdentityManagerFQDN/SAAS/API/1.0/GET/metadata/idp.xml, viene copiato negliappunti.

4 Accedere al tenant di Horizon Cloud.

5 Passare a Impostazioni > Gestione identità.


7 Configurare le impostazioni richieste.

Opzione Descrizione

URL di Identity Manager L'URL dei metadati del provider di identità di VMware Identity Manager copiato.L'URL in genere corrisponde al seguente formato:

https://VMwareIdentityManagerFQDN/SAAS/API/1.0/GET/metadata/idp.xml

Timeout token SSO (Facoltativo) Periodo di tempo, in minuti, trascorso il quale si verifica il timeout deltoken SSO.

Centro dati Nome del centro dati di Horizon Cloud. Selezionare il nome dall'elenco a discesa.

Indirizzo tenant Indirizzo del tenant di Horizon Cloud. Specificare l'indirizzo IP mobile o il nomehost dell'appliance del tenant di Horizon Cloud, oppure l'indirizzo IP o il nomehost Unified Access Gateway. Ad esempio mytenant.example.com.


VMware, Inc. 72

In Horizon Cloud in Azure vengono visualizzate le seguenti impostazioni.

Opzione Descrizione

URL di VMware Identity Manager L'URL dei metadati del provider di identità di VMware Identity Manager copiato.L'URL in genere corrisponde al seguente formato:

https://VMwareIdentityManagerFQDN/SAAS/API/1.0/GET/metadata/idp.xml

Timeout token SSO (Facoltativo) Periodo di tempo, in minuti, trascorso il quale si verifica il timeout deltoken SSO.

Posizione Selezionare una posizione per filtrare l'elenco a discesa Nodo con i nodi associatia quella posizione.

Nodo Selezionare il nodo da integrare con VMware Identity Manager.

Centro dati Nome del centro dati di Horizon Cloud. Selezionare il nome dall'elenco a discesa.

Indirizzo tenant Indirizzo del tenant di Horizon Cloud. Specificare l'indirizzo IP mobile o il nomehost dell'appliance del tenant di Horizon Cloud, oppure l'indirizzo IP o il nomehost Unified Access Gateway. Ad esempio mytenant.example.com.


Se l'integrazione ha esito positivo, lo stato è verde.

9 Per bloccare l'accesso degli utenti, eccetto tramite VMware Identity Manager, fare clic su Configura emodificare le impostazioni.

Opzione Descrizione

Forza gli utenti remoti verso IdentityManager

Selezionare Sì per bloccare l'accesso degli utenti remoti, eccetto tramite IDM.Opzione visualizzata solo se lo stato di Identity Manager è verde.

Forza gli utenti interni verso IdentityManager

Selezionare Sì per bloccare l'accesso degli utenti interni, eccetto tramite IDM.Opzione visualizzata solo se lo stato di Identity Manager è verde.

L'integrazione è completa. Dopo la sincronizzazione delle risorse di Horizon Cloud in VMware IdentityManager, è possibile visualizzare i pool di applicazioni e desktop di Horizon Cloud nella console diVMware Identity Manager e gli utenti finali possono avviare le risorse per cui sono autorizzati dall'app odal portale Workspace ONE.

Visualizzazione dei dettagli sui pool di desktop eapplicazioni di Horizon CloudNella console di VMware Identity Manager, è possibile visualizzare informazioni sui pool di desktop eapplicazioni di Horizon Cloud sincronizzati.

Procedura


2 Selezionare la scheda Catalogo > App virtuali.

3 Fare clic su Qualsiasi tipo di applicazione e selezionare Desktop Horizon Cloud o ApplicazioniHorizon Cloud.

4 Selezionare un pool di desktop o di applicazioni.


VMware, Inc. 73

5 Fare clic su Dettagli.

Verranno visualizzati gli attributi recuperati dal tenant di Horizon Cloud. Per informazioni su questiattributi, consultare la documentazione di Horizon Cloud.

Visualizzazione dei permessi di utenti e gruppi per idesktop e le applicazioni di Horizon CloudNella console di VMware Identity Manager, è possibile visualizzare i permessi di Horizon Cloud per utentie gruppi specifici.

I permessi di utenti e gruppi per le risorse di Horizon Cloud vengono impostati nell'interfacciaamministrativa del tenant di Horizon Cloud e non possono essere modificati dalla console diVMware Identity Manager.

Prerequisiti

Per visualizzare gli aggiornamenti più recenti, sincronizzare manualmente le risorse e i permessi daltenant di Horizon Cloud in VMware Identity Manager facendo clic su Sincronizza per la raccolta diHorizon Cloud nella pagina Configurazione app virtuali.

Procedura


2 Visualizzare i permessi di utenti e gruppi per i desktop e le applicazioni di Horizon Cloud.

Opzione Azione

Visualizzare utenti e gruppi autorizzatiper un pool di desktop o applicazionispecifico di Horizon Cloud.

a Fare clic sulla scheda Catalogo > App virtuali.b Fare clic su Qualsiasi tipo di applicazione > Desktop Horizon Cloud o

Applicazioni Horizon Cloud.

c Selezionare il pool per cui si desidera visualizzare i permessi.

Per impostazione predefinita, la scheda Permessi è selezionata. I permessi deigruppi e quelli degli utenti sono riportati in tabelle separate.

Visualizzare i permessi dei pool didesktop e applicazioni di HorizonCloud per un utente o un gruppospecifico.



Verranno visualizzati i pool di desktop e applicazioni di Horizon Cloud per cuil'utente o il gruppo è autorizzato.



VMware, Inc. 74



Procedura












Permettere agli utenti di reimpostare desktop HorizonCloudA seconda di come l'impostazione è configurato in Horizon Cloud, gli utenti possono reimpostare desktopdi Horizon Cloud dedicati da Workspace ONE. Gli utenti possono ad esempio reimpostare i propridesktop se questi non rispondono più ai comandi.

L'opzione per consentire agli utenti di reimpostare i propri desktop è configurata in Horizon Cloud, non inVMware Identity Manager. L'impostazione è supportata in VMware Identity Manager 3.2 e nel connettore2018.1.1.0 e versioni successive. Verificare che tutti i connettori siano della versione 2018.1.1.0 oversione successiva.

Solo i desktop di Horizon Cloud dedicati possono essere reimpostati da Workspace ONE.

Se Horizon Cloud consente agli utenti di reimpostare i desktop, il comando di reimpostazione èdisponibile in Workspace ONE per il desktop. Il comando viene visualizzato solo per i desktop per cui èconsentita la reimpostazione.


VMware, Inc. 75

Utilizzo di un desktop o un'applicazione di Horizon CloudGli utenti finali possono avviare applicazioni e desktop di Horizon Cloud per cui sono autorizzati dalportale o dall'app di Workspace ONE.

In base alla modalità di configurazione di un'applicazione o un desktop nel tenant di Horizon Cloud, èpossibile avviare tale applicazione o desktop in Horizon Client oppure in un browser. Per le applicazioni oi desktop che sono configurati solo per Horizon Client, gli utenti devono installare Horizon Client nei proprisistemi. Per le applicazioni e i desktop che sono configurati sia per Horizon Client che per i browser, gliutenti possono selezionare il metodo di avvio.

Gli utenti possono inoltre impostare la loro preferenza di avvio predefinita nella pagina Preferenze nelportale Workspace ONE. Questa preferenza dell'utente ha la precedenza su qualsiasi preferenza di avviopredefinita impostata a livello di amministratore.

Nota Gli utenti non possono impostare una preferenza di avvio predefinita nell'app Workspace ONE.

Prerequisiti

In base a come è configurata l'applicazione o il desktop nel tenant di Horizon Cloud, è possibile che gliutenti debbano installare Horizon Client.

Per conoscere le versioni di Horizon Client supportate, vedere la tabella di interoperabilità dei prodottiVMware all'indirizzo http://www.vmware.com/resources/compatibility/sim/interop_matrix.php.

Procedura

1 Accedere al portale Workspace ONE.

2 Fare clic su Apri sul desktop o nell'applicazione che si desidera utilizzare, selezionare il metodo diavvio e fare clic su Apri.

Nota In base a come è configurato il desktop o l'applicazione e alle proprie preferenze, potrebbeessere necessario installare Horizon Client nel sistema.


VMware, Inc. 76

Consentire l'accesso a pacchettiVMware ThinApp 6Con VMware Identity Manager è possibile distribuire e gestire in modo centralizzato pacchetti ThinApp,ovvero applicazioni Windows virtualizzate utilizzate su sistemi Windows. Gli utenti con permessi chedispongono dell'applicazione VMware Identity Manager Desktop installata sui propri sistemi Windowspossono avviare e utilizzare i pacchetti ThinApp per i quali hanno i permessi su tali sistemi Windows.

Nei processi di acquisizione e build di ThinApp, viene creata un'applicazione virtuale da un'applicazioneWindows. Tale applicazione Windows virtualizzata può essere eseguita su un sistema Windows senzache il sistema abbia l'applicazione originale installata. Il pacchetto ThinApp è costituito da una serie di filedi applicazioni virtuali generati eseguendo i processi di acquisizione e build di ThinApp su un'applicazioneWindows. Il pacchetto include il file del contenitore dati primario e i file dei punti di accesso per accedereall'applicazione Windows.

Non tutti i pacchetti ThinApp sono compatibili con VMware Identity Manager. Quando si acquisisceun'applicazione Windows, le impostazioni predefinite del processo di acquisizione e generazione diThinApp determinano la creazione di un pacchetto che VMware Identity Manager non può distribuire egestire. Viene creato un pacchetto ThinApp che VMware Identity Manager può distribuire e gestireimpostando i parametri appropriati durante i processi di acquisizione e build. Consultare ladocumentazione di VMware ThinApp per informazioni dettagliate sulle funzioni di ThinApp e sui parametriappropriati da utilizzare per creare un pacchetto compatibile con VMware Identity Manager.

Dopo aver integrato VMware Identity Manager con il repository ThinApp, è possibile individuare nelproprio catalogo i pacchetti ThinApp nel repository che VMware Identity Manager può distribuire e gestire.Quando i pacchetti ThinApp sono presenti nel catalogo di VMware Identity Manager, è possibile fornirepermessi a utenti e gruppi per tali pacchetti ThinApp e, facoltativamente, configurare informazioni dimonitoraggio delle licenze per ogni pacchetto.

Nota L'integrazione di ThinApp attualmente è supportata con il solo connettore basato su Linux. Non èsupportata con il connettore basato su Windows.


n Integrazione di pacchetti VMware ThinApp

n Autorizzazione di utenti e gruppi per i pacchetti ThinApp

n Distribuzione e gestione di pacchetti ThinApp con VMware Identity Manager

n Aggiornamento di pacchetti ThinApp gestiti dopo la distribuzione in VMware Identity Manager

VMware, Inc. 77

n Eliminazione di pacchetti ThinApp da VMware Identity Manager

n Impostazione dei pacchetti ThinApp come compatibili con VMware Identity Manager

n Modifica della cartella di condivisione dei pacchetti ThinApp


Integrazione di pacchetti VMware ThinAppPer utilizzare VMware Identity Manager per distribuire e gestire applicazioni compresse con VMware®

ThinApp®, è necessario disporre di un repository ThinApp che contenga i pacchetti ThinApp, fareriferimento a tale repository e sincronizzare i pacchetti. Una volta terminato il processo disincronizzazione, i pacchetti ThinApp saranno disponibili nel proprio catalogo diVMware Identity Manager e sarà possibile autorizzarli per gli utenti e i gruppi diVMware Identity Manager.

ThinApp consente la virtualizzazione delle applicazioni mediante il disaccoppiamento dell'applicazione dalsistema operativo sottostante e le relative librerie e framework e l'integrazione di un'applicazione di unsingolo file eseguibile detto pacchetto applicativo. Perché questi pacchetti siano gestiti daVMware Identity Manager, è necessario che siano abilitati con le opzioni appropriate. Ad esempio, nellaprocedura guidata di ThinApp Setup Capture, si seleziona la casella di spunta Gestisci con area dilavoro. Per maggiori informazioni sulle funzioni ThinApp e su come abilitare le proprie applicazioni per lagestione con VMware Identity Manager, fare riferimento alla documentazione di VMware ThinApp.

Di solito, queste operazioni vengono effettuate per connettere VMware Identity Manager al repository esincronizzare i pacchetti come parte della configurazione, sia globale che del proprio ambienteVMware Identity Manager. Il repository ThinApp deve essere una condivisione di rete accessibile aVMware Identity Manager mediante un percorso UNC (Uniform Naming Convention).VMware Identity Manager sincronizza regolarmente questa condivisione di rete per ottenere i metadatidei pacchetti ThinApp necessari a VMware Identity Manager per distribuire e gestire i pacchetti. Vedere Requisiti di VMware Identity Manager per i pacchetti ThinApp e il repository della condivisione di rete.

La condivisione di rete può essere una condivisione CIFS (Common Internet File System) o unacondivisione DFS (Distributed File System). La condivisione DFS può essere una singola condivisione fileServer Message Block (SMB) o più condivisioni file SMB organizzate come un file system distribuito.Sono supportate condivisioni CIFS e DFS in esecuzione su sistemi di archiviazione NetApp. Sonosupportate anche le condivisioni DFS su sistemi di archiviazione Isilon.

Requisiti di VMware Identity Manager per i pacchetti ThinApp e ilrepository della condivisione di reteQuando si acquisiscono e archiviano applicazioni ThinApp per distribuirle da VMware Identity Manager, ènecessario soddisfare requisiti specifici.


VMware, Inc. 78

Requisiti dei pacchetti ThinAppPer creare o ricreare pacchetti ThinApp che possano essere gestiti da VMware Identity Manager, ènecessario utilizzare una versione di ThinApp supportata da VMware Identity Manager.VMware Identity Manager supporta ThinApp 4.7.2 e versioni successive. Per informazioni aggiornatesulle versioni supportate, vedere le tabelle di interoperabilità dei prodotti VMware all'indirizzohttp://www.vmware.com/resources/compatibility/sim/interop_matrix.php.

È necessario avere pacchetti ThinApp che possano essere gestiti da VMware Identity Manager. Nelprocesso di acquisizione e creazione di ThinApp, è possibile creare sia pacchetti che possono esseregestiti da VMware Identity Manager sia pacchetti che non possono essere gestiti. Ad esempio, quando siutilizza la procedura guidata ThinApp Setup Capture per acquisire un'applicazione, è possibile creare unpacchetto che può essere gestito da VMware Identity Manager selezionando la casella di controlloGestisci con Workspace. Consultare la documentazione di VMware ThinApp per informazionidettagliate sulle funzioni di ThinApp e sui parametri appropriati da utilizzare per creare un pacchettocompatibile con VMware Identity Manager.

Per i pacchetti ThinApp esistenti, è possibile utilizzare il comando relink - h per attivare i pacchetti perVMware Identity Manager. Per informazioni su come convertire i pacchetti ThinApp esistenti in pacchettiche possano essere gestiti da VMware Identity Manager, vedere la Guida all'amministrazione diVMware Identity Manager.

È necessario memorizzare i pacchetti ThinApp in una condivisione di rete che soddisfi la combinazione direquisiti data da tipo di condivisione di rete, accesso al repository e modalità di distribuzione dei pacchettiThinApp desiderata in base alle esigenze dell'organizzazione.

Requisiti del repository della condivisione di reteI pacchetti ThinApp devono risiedere in una condivisione di rete, nota anche come repository deipacchetti ThinApp. La condivisione di rete deve essere accessibile utilizzando un percorso UNC (UniformNaming Convention) da ogni sistema che esegue l'applicazione VMware Identity Manager Desktop,utilizzata per accedere ai pacchetti ThinApp. Ad esempio, una condivisione di rete denominata appsharesu un host con nome server è accessibile utilizzando il percorso UNC \\server\appshare. Il nome didominio completo della cartella della condivisione di rete deve essere risolvibile daVMware Identity Manager.

La condivisione di rete può essere una condivisione CIFS (Common Internet File System) o unacondivisione DFS (Distributed File System). La condivisione DFS può essere una singola condivisione fileServer Message Block (SMB) o più condivisioni file SMB organizzate come un file system distribuito.Sono supportate condivisioni CIFS e DFS in esecuzione su sistemi di archiviazione NetApp. Sonosupportate anche le condivisioni DFS su sistemi di archiviazione Isilon.


VMware, Inc. 79

La condivisione di rete deve rispettare i criteri appropriati per il tipo di accesso configurato inVMware Identity Manager da utilizzare per accedere al repository di pacchetti ThinApp: accesso basatosu dominio o accesso basato su account. Il tipo di accesso determina le combinazioni consentite per iseguenti aspetti:

n Se si utilizza una condivisione di rete CIFS o una condivisione di rete DFS per il repository dipacchetti ThinApp.

n Se occorre unire VMware Identity Manager e l'host della condivisione di rete allo stesso dominio diActive Directory.

n Se il sistema Windows dell'utente deve essere unito al dominio Active Directory per utilizzare ipacchetti ThinApp.

n La modalità d'installazione dei pacchetti ThinApp impostata nell'applicazione VMware IdentityManager Desktop installata, utilizzata per ottenere ed eseguire le applicazioni virtualizzate nelsistema Windows in cui l'applicazione è installata. La modalità d'installazione pacchetti utilizzata nelsistema Windows dell'utente viene impostata durante l'installazione dell'applicazione VMware IdentityManager Desktop nel sistema Windows in oggetto. La modalità d'installazione pacchetti determina lamodalità di distribuzione di ThinApp utilizzata da quel sistema Windows, modalità download omodalità trasmissione in streaming.


VMware, Inc. 80

Tipo diaccesso

Tipo dicondivisione direte

Requisiti inVMware Identity Manager Requisiti nel sistema Windows dell'utente

Accessobasatosuldominio

Quando si utilizzal'accesso basato suldominio, è possibileutilizzare unacondivisione CIFSper il repository dipacchetti ThinApp.

Non è possibileutilizzare unacondivisione DFSper l'accesso basatosu dominio. Se sidispone di unacondivisione DFS, ènecessario utilizzarel'accesso basato suaccount.

È necessario unireVMware Identity Manager al dominiodi Active Directory affinché possaunirsi alla condivisione di rete diWindows e accedere ai pacchetti.

Per ulteriori informazioni su comeconfigurare VMware Identity Managerper unirsi al dominio, vedere ladocumentazione sulla configurazionedi Kerberos in Installazione econfigurazione diVMware Identity Manager.

Nota L'autenticazione Windows nonè richiesta.

La condivisione di rete devesupportare l'autenticazione e ipermessi sui file basati sugli accountcomputer. VMware Identity Manageraccede alla condivisione di rete conl'account computer diVMware Identity Manager nel dominio.

I permessi di cartelle e file dellacondivisione di rete devono essereconfigurati in modo tale che la lorocombinazione consenta l'accesso inlettura per l'account computer diVMware Identity Manager nel dominio.

Affinché l'utente possa utilizzare i pacchettiThinApp per cui è autorizzato, è necessario che ilsuo sistema Windows venga unito al dominioActive Directory.

Tutti i sistemi seguenti devono essere uniti allostesso dominio:n Il sistema Windows dell'utenten VMware Identity Managern L'host dell'unità della condivisione di rete con i

pacchetti ThinApp

Quando si utilizza l'accesso basato su dominio,sono consentite le seguenti modalitàd'installazione per i pacchetti ThinApp.n COPY_TO_LOCAL. Con questa modalità

d'installazione, i pacchetti vengono scaricatinel sistema Windows del client. La modalitàd'installazione corrisponde all'uso dellamodalità di download di ThinApp perl'applicazione virtualizzata. L'account utilizzatoper accedere al sistema Windows del client èl'account utente utilizzato per copiare ipacchetti dalla condivisione di rete al sistemaWindows del cliente, e tale account deve averei permessi per leggere i pacchetti e copiare ifile da quella condivisione di rete. Quando ilpacchetto è stato scaricato nel sistemaWindows del client e l'utente ha avviato ilpacchetto, l'applicazione virtualizzata vieneeseguita localmente nel sistema Windows delclient.

n RUN_FROM_SHARE. Con questa modalitàd'installazione, i pacchetti non vengonoscaricati nel sistema Windows del client.L'utente avvia i pacchetti utilizzandocollegamenti sul desktop locale e leapplicazioni virtualizzate vengono eseguitedalla condivisione di rete utilizzando lamodalità di trasmissione in streaming diThinApp. L'account utilizzato per accedere alsistema Windows del client è l'account utente


VMware, Inc. 81

Tipo diaccesso



utilizzato per eseguire i pacchetti dallacondivisione di rete, e tale account deve averei permessi per leggere ed eseguire file daquella condivisione di rete.

Nota RUN_FROM_SHARE è la scelta piùadatta per i sistemi Windows che avrannosempre connettività alla condivisione di retedei pacchetti ThinApp. I sistemi Windows piùadatti alla descrizione sono i desktop di View,perché sono sempre connessi al propriodominio. I desktop di View dinamici, ostateless, utilizzano in modo ottimaleRUN_FROM_SHARE per evitare l'uso dellerisorse coinvolte nel download dei pacchettinel sistema Windows.

La modalità d'installazione COPY_TO_LOCALviene impostata come modalità predefinita quandosi installa l'applicazione VMware Identity ManagerDesktop su un sistema Windows utilizzando laversione grafica del programma di installazione delclient. Per impostare una modalità d'installazionedifferente come modalità predefinita per i pacchetti,è necessario eseguire l'installazione del client dallariga di comando. Vedere Opzioni del programmad'installazione da riga di comando per VMwareIdentity Manager Desktop.

Importante La modalità HTTP_DOWNLOADrichiede che l'URL del provider di identità siaraggiungibile dal computer Windows dell'utente. Lemodalità RUN_FROM_SHARE eCOPY_TO_LOCAL richiedono che la condivisioneThinApp sia raggiungibile dal computer Windowsdell'utente.

Accessobasato suaccount

Quando si utilizzal'accesso basatosull'account, èpossibile utilizzareuna condivisioneCIFS o unacondivisione DFSper il repository dipacchetti ThinApp.

È necessario configurareVMware Identity Manager perutilizzare un account utente dicondivisione e una password peraccedere alla condivisione di rete e aipacchetti.

L'accoppiata valida di account utentedi condivisione e password deveconsentire l'accesso in lettura alpercorso UNC della cartella dellacondivisione di rete.

Affinché l'utente possa utilizzare i pacchettiThinApp per cui è autorizzato, il suo sistemaWindows non deve essere unito al dominio ActiveDirectory. L'autenticazione Windows non èrichiesta.

Il sistema Windows dell'utente,VMware Identity Manager e l'host dellacondivisione di rete con i pacchetti ThinApp nondevono essere uniti allo stesso dominio ActiveDirectory.


VMware, Inc. 82

Tipo diaccesso



Non è necessario unireVMware Identity Manager al dominioActive Directory per poter accederealla condivisione di rete.

Nota Nella console diVMware Identity Manager, ènecessario completare la pagina Entrain dominio prima di poter utilizzare lapagina Pacchetti ThinApp.

Nota L'accesso basato su account ènecessario se si utilizza lacondivisione di NetApp.

Quando si utilizza l'accesso basato su account,sono consentite le seguenti modalitàd'installazione per i pacchetti ThinApp.n Se il sistema Windows dell'utente non è unito

al dominio, il client deve utilizzare la modalitàd'installazione HTTP_DOWNLOAD perottenere l'applicazione virtualizzata. Lamodalità d'installazione corrisponde all'usodella modalità di download di ThinApp perl'applicazione virtualizzata.

VMware Identity Manager utilizza l'accountutente di condivisione per recuperare ipacchetti dal repository.

n Se l'utente unisce il sistema Windows aldominio, il client può utilizzare la modalitàd'installazione COPY_TO_LOCAL o lamodalità d'installazione RUN_FROM_SHAREper eseguire i pacchetti ThinApp autorizzatiagli utenti. L'account utilizzato per accedere alsistema Windows del client è l'account utente


VMware, Inc. 83

Tipo diaccesso



utilizzato per ottenere i pacchetti dallacondivisione di rete, e tale account deve averei permessi appropriati sulla condivisione direte.

Se il sistema Windows dell'utente può essere unitoal dominio in alcuni momenti e non unito in altri, èpossibile installare il client con la modalitàCOPY_TO_LOCAL e con l'opzioneAUTO_TRY_HTTP attivata, purchéVMware Identity Manager sia configurato perl'accesso basato su account.

Con questa configurazione, il client in prima battutatenta di utilizzare la modalità COPY_TO_LOCALper scaricare i pacchetti. Se in quel momento ilsistema Windows dell'utente non è unito aldominio, il tentativo di copia dei pacchetti terminacon esito negativo. Ma se è selezionata l'opzioneAUTO_TRY_HTTP, il client tenta immediatamentedi utilizzare HTTP per scaricare i pacchetti. Questacombinazione di COPY_TO_LOCAL eAUTO_TRY_HTTP è l'impostazione predefinitaquando si installa l'applicazione VMware IdentityManager Desktop su un sistema Windowsutilizzando la versione grafica del programma diinstallazione del client.

Affinché il tentativo di scaricare i pacchettiutilizzando la modalità HTTP_DOWNLOAD abbiasuccesso, è necessario cheVMware Identity Manager sia configurato perl'accesso basato su account.

Importante La modalità HTTP_DOWNLOADrichiede che l'URL del provider di identità siaraggiungibile dal computer Windows dell'utente. Lemodalità RUN_FROM_SHARE eCOPY_TO_LOCAL richiedono che la condivisioneThinApp sia raggiungibile dal computer Windowsdell'utente.

Inoltre, il repository di pacchetti ThinApp deve soddisfare i seguenti criteri in base alla situazionedescritta.

n Quando le impostazioni coinvolgono sistemi che si uniscono al dominio Active Directory, assicurarsiche vi sia uno spazio nomi indipendente che impedisce ai computer membri del dominio di accederealla condivisione di rete che contiene i pacchetti ThinApp. Uno spazio nomi indipendente si verificaquando il nome di un dominio di Active Directory è diverso dallo spazio nomi DNS utilizzato dallemacchine presenti in quel dominio.


VMware, Inc. 84

n I permessi di condivisione e file della condivisione di rete devono essere configurati per fornireaccesso in lettura e l'autorizzazione a eseguire applicazioni per gli utenti che desiderano eseguire leapplicazioni ThinApp utilizzando l'opzione COPY_TO_LOCAL o RUN_FROM_SHARE.

Ad esempio, per gli account Active Directory degli utenti che desiderano eseguire le applicazioniThinApp in modalità trasmissione in streaming, l'impostazione del permesso della Cartella condivisasu Lettura e il permesso NTFS Lettura ed esecuzione fornisce loro l'accesso in lettura e lapossibilità di eseguire le applicazioni.

L'impostazione del permesso NTFS Lettura ed esecuzione è necessaria per poter eseguireun'applicazione ThinApp utilizzando la modalità di trasmissione in streaming di ThinApp, checorrisponde alla modalità d'installazione RUN_FROM_SHARE dell'applicazione VMware IdentityManager Desktop. Se l'organizzazione richiede che il permesso NTFS sia impostato su Lettura, gliutenti possono utilizzare la modalità download di ThinApp per l'applicazione virtualizzata. La modalitàdownload di ThinApp corrisponde all'installazione del client Windows con la modalità d'installazioneCOPY_TO_LOCAL o con la modalità d'installazione HTTP_DOWNLOAD. Con una di questemodalità d'installazione, le applicazioni vengono scaricate nei sistemi Windows e avviate localmente.

Entrambe le condivisioni di rete CIFS e DFS devono avere i pacchetti ThinApp organizzati insottodirectory singole all'interno di una directory sotto lo spazio nomi, non sottodirectory nello spazionomi stesso, come ad esempio \\server\appshare\thinapp1, \\server\appshare\thinapp2 ecosì via. Vedere Creazione di una condivisione di rete per i pacchetti ThinApp gestiti da VMwareIdentity Manager.

Creazione di una condivisione di rete per i pacchetti ThinAppgestiti da VMware Identity ManagerSe si desidera attivare le funzionalità di gestione di VMware ThinApp di VMware Identity Manager econsentire agli utenti di accedere ai pacchetti ThinApp dal catalogo, è necessario creare una condivisionedi rete e memorizzare i pacchetti ThinApp nella cartella della condivisione di rete.

VMware Identity Manager ottiene i metadati sui pacchetti ThinApp di cui necessita dalla condivisione difile di rete.

Prerequisiti

n Verificare che i pacchetti ThinApp soddisfino i requisiti di VMware Identity Manager.

n Assicurarsi di disporre dell'accesso e dei permessi necessari per creare una condivisione di file direte nell'ambiente IT che soddisfi i requisiti di VMware Identity Manager per i pacchetti ThinApp.

Procedura

1 Creare una condivisione di rete che soddisfa i requisiti di VMware Identity Manager per i pacchettiThinApp.


VMware, Inc. 85

2 Nella condivisione di rete, creare una sottocartella per ogni pacchetto ThinApp.

Di solito, il nome che viene assegnato alla sottocartella corrisponde al nome dell'applicazioneThinApp, o almeno indica l'applicazione presente nella cartella. Ad esempio, se la condivisione di retesi chiama appshare su un host denominato server e l'applicazione è denominata abceditor, allorala sottocartella per il pacchetto ThinApp sarà \\server\appshare\abceditor.

Nota Non utilizzare caratteri non ASCII quando si creano i nomi delle sottocartelle della condivisionedi rete per i pacchetti ThinApp da distribuire mediante VMware Identity Manager. I caratteri non ASCIInon sono supportati.

3 Copiare i file relativi a ciascun pacchetto ThinApp, come i file EXE e DAT corrispondenti, nellasottocartella a cui è stato assegnato il nome relativo all'applicazione virtualizzata del pacchetto.

Dopo aver copiato i file si avrà una serie di sottocartelle e di file simili ai seguenti:

n \\server\appshare\abceditor\abceditor.exe

n \\server\appshare\abceditor\abceditor.dat


Configurare l'accesso di VMware Identity Manager ai pacchetti ThinApp.

Configurazione dell'accesso di VMware Identity Manager aipacchetti ThinAppPer configurare VMware Identity Manager affinché gli utenti possano accedere ai pacchetti ThinApp,creare una raccolta di app virtuali con tutte le informazioni di configurazione, quali il percorso diarchiviazione dei pacchetti, il connettore da utilizzare per la sincronizzazione e la pianificazione dellasincronizzazione.

È possibile creare una singola raccolta di app virtuali per tutte le integrazioni di ThinApp.

Prerequisiti

n Creare una condivisione di rete con la configurazione appropriata e archiviare i pacchetti ThinAppnella posizione corretta all'interno della condivisione di rete. Vedere Creazione di una condivisione direte per i pacchetti ThinApp gestiti da VMware Identity Manager.

n Assicurarsi di avere il percorso UNC alla cartella della condivisione di rete dove sono archiviati ipacchetti ThinApp.

n Se il connettore non è già unito al dominio, assicurarsi di avere un nome di dominio Active Directory eil nome utente e la password di un account nella stessa Active Directory con i diritti necessari pereffettuare l'unione al dominio. Anche se si utilizza l'accesso basato su account, la console diVMware Identity Manager richiede il completamento della pagina Entra in dominio prima di poterutilizzare la pagina Pacchetti ThinApp.


VMware, Inc. 86

Per attivare l'accesso basato su dominio, è necessario anche unire VMware Identity Manager allostesso dominio Active Directory a cui è unito il repository di pacchetti ThinApp. Assicurarsi di avere ilnome del dominio Active Directory utilizzato dalla condivisione di rete e il nome utente e la passworddi un account nella stessa Active Directory dotato dei diritti necessari per effettuare l'unione aldominio. L'account Active Directory è utilizzato per unire VMware Identity Manager al dominio.

n Quando si attiva l'accesso basato su account, assicurarsi di avere un nome utente e una passwordcon l'autorizzazione di lettura sulla condivisione di rete. Vedere Requisiti di VMware Identity Managerper i pacchetti ThinApp e il repository della condivisione di rete.

Nota A meno che non si desideri limitare l'uso dei pacchetti ThinApp ai sistemi Windows uniti aldominio per tutte le situazioni di runtime, è consigliabile attivare l'accesso basato su account inaggiunta all'accesso basato su dominio. Questa combinazione offre la massima flessibilità persupportare situazioni di runtime in cui gli utenti devono poter utilizzare i pacchetti ThinApp per cuisono autorizzati senza dover unire i propri sistemi Windows al dominio.

n È necessario utilizzare un ruolo amministratore che possa eseguire l'azione Gestisci ThinApp nelservizio del catalogo.

Procedura

1 (Solo appliance virtuale VMware Identity Manager Linux) Se il connettore non è già unito al dominio,unirlo al dominio Active Directory.

a Accedere alla console di VMware Identity Manager.

b Selezionare la scheda Gestione identità e accessi.

c Fare clic su Configura.

d Nella pagina Connettori, fare clic su Entra in dominio nella riga del connettore appropriata.

e Nella pagina Entra in dominio, immettere le informazioni del dominio Active Directory e fare clicsu Entra in dominio.

Importante Non utilizzare caratteri non ASCII quando si immettono nome di dominio ActiveDirectory (AD), nome utente di AD e password di AD. Nei campi d'immissione della console diVMware Identity Manager non sono supportati i caratteri non ASCII.

Opzione Descrizione

Dominio AD Specificare il nome di dominio completo di Active Directory. Un esempio èHS.TRDOT.COM.

Nome utente AD Immettere il nome utente di un account dell'istanza di Active Directory chedispone delle autorizzazioni necessarie per aggiungere sistemi a tale dominioActive Directory.

Password AD Immettere la password associata al nome utente AD. Tale password nonviene archiviata da VMware Identity Manager.

La pagina Entra in dominio viene aggiornata e visualizza un messaggio per comunicare l'aggiuntadell'utente al dominio.


VMware, Inc. 87


3 Fare clic su Aggiungi app virtuali e selezionare Applicazione ThinApp.



Se sono stati configurati più connettori per l'alta disponibilità, fare clic su Aggiungi connettore eselezionare tutti i connettori visualizzati nell'elenco. L'ordine in cui sono elencati i connettoridetermina l'ordine di failover.

Importante Assicurarsi di aggiungere tutti i connettori. Quando si avvia un'applicazione utilizzandola modalità HTTP_DOWNLOAD, la richiesta può essere inviata a uno qualsiasi dei connettori.

6 Nella casella di testo Percorso, immettere il percorso della cartella condivisa in cui si trovano lecartelle dei pacchetti ThinApp, utilizzando il formato di percorsi UNC \\server\share\subfolder.Ad esempio \\DirectoryHost\ThinAppFileShare . Per DirectoryHost, fornire il nome host e nonl'indirizzo IP.

Per le condivisioni di rete sia CIFS che DFS, il percorso deve essere una directory sotto lo spazionomi e non lo spazio nomi stesso.

7 Per abilitare l'accesso basato su account per i pacchetti ThinApp archiviati, selezionare la casella dicontrollo e immettere i valori nelle caselle di testo Condividi utente e Condividi password.

L'accesso basato su account è necessario nei seguenti casi:

n Per sistemi di archiviazione NetApp e condivisioni di rete DFS di altri brand

n Se si utilizza la modalità di distribuzione download HTTP

n Se si desidera che gli utenti siano in grado di utilizzare i rispettivi pacchetti ThinApp autorizzati insistemi Windows non uniti al dominio

Opzione Descrizione

Condividi utente Immettere il nome utente di un account dotato di accesso in lettura allacondivisione di rete.

Condividi password Immettere la password associata all'account utente Condividi utente.


È possibile impostare una pianificazione di sincronizzazione regolare o scegliere di sincronizzaremanualmente. Se si seleziona Manuale, è necessario fare clic su Sincronizza nella paginaConfigurazione app virtuali dopo aver impostato la raccolta e ogni volta che si verifica uncambiamento nei pacchetti ThinApp.


VMware, Inc. 88

9 Nell'elenco a discesa Tipo di attivazione selezionare il modo in cui le applicazioni compresseThinApp vengono rese disponibili agli utenti in Workspace ONE.





La raccolta viene creata e visualizzata nella pagina App virtuali. Le applicazioni non vengono ancorasincronizzate.

11 Per sincronizzare le applicazioni nella raccolta, fare clic su Sincronizza accanto alla raccolta nellapagina Configurazione app virtuali.

Ogni volta che si verifica un cambiamento nei permessi o nelle applicazioni ThinApp, affinché lemodifiche si propaghino in VMware Identity Manager è necessaria una sincronizzazione.

VMware Identity Manager ora è configurato in modo da poter autorizzare gruppi e utenti ai pacchettiThinApp, e gli utenti possono eseguire i pacchetti ThinApp per cui sono autorizzati utilizzandol'applicazione VMware Identity Manager Desktop installata nei loro sistemi Windows.


Autorizzare i gruppi e gli utenti ai pacchetti ThinApp. Per informazioni, vedere Amministrazione diVMware Identity Manager.

Autorizzazione di utenti e gruppi per i pacchetti ThinAppÈ possibile autorizzare utenti e gruppi per applicazioni di Windows acquisite come pacchetti ThinApp.

Ai pacchetti ThinApp è possibile autorizzare solo utenti di VMware Identity Manager, utenti che sono statiimportati dal server di directory. Quando si autorizza un utente a un pacchetto ThinApp, l'utente vedel'applicazione e può avviarla dall'applicazione VMware Identity Manager Desktop sul proprio sistema. Sesi rimuove il permesso, l'utente non potrà vedere né avviare l'applicazione.

Spesso il modo più efficace per autorizzare gli utenti ai pacchetti ThinApp consiste nell'aggiungere ilpermesso al pacchetto ThinApp a un gruppo di utenti. In determinate situazioni è più appropriatoautorizzare singoli utenti a un pacchetto ThinApp.


VMware, Inc. 89

Prerequisiti

Impostare una raccolta di app virtuali per i pacchetti ThinApp dalla pagina Catalogo > App virtuali >Configurazione app virtuali. Dopo aver creato la raccolta, sincronizzare i pacchetti ThinApp conVMware Identity Manager. Quando i pacchetti ThinApp vengono sincronizzati con il catalogo, è possibilefornire a utenti e gruppi i permessi necessari per accedervi.

Procedura



VMware, Inc. 90

2 Autorizzare gli utenti a un pacchetto ThinApp.

Opzione Descrizione

Accedere a un pacchetto ThinApp eautorizzare utenti e gruppi al suoutilizzo.

a Fare clic sulla scheda Catalogo > App virtuali.b Fare clic su Qualsiasi tipo di applicazione > Pacchetti ThinApp.

c Fare clic sul pacchetto ThinApp per autorizzare utenti e gruppi al suo utilizzo.

Per impostazione predefinita, la scheda Permessi è selezionata. I permessidei gruppi sono elencati in una tabella e i permessi degli utenti in un'altratabella.

d Fare clic su Aggiungi permesso di gruppo o Aggiungi permesso utente.

e Specificare i nomi dei gruppi e degli utenti.

Per cercare utenti o gruppi è sufficiente iniziare a digitare qualche lettera elasciare che la funzione di completamento automatico mostri le opzionicorrispondenti. È possibile scegliere Sfoglia per visualizzare l'elencocompleto.

f Selezionare il metodo di attivazione per il pacchetto ThinApp dal menu adiscesa.

Con entrambe le opzioni Attivata dall'utente e Automatico, le risorsevengono aggiunte alla pagina Catalogo. Gli utenti possono utilizzare lerisorse dalla pagina Catalogo o spostarle nella pagina Segnalibri. Tuttavia,per configurare un flusso di approvazione per le app, è necessarioselezionare l'opzione Attivata dall'utente per quell'app.

g Fare clic su Salva.

Accedere a un utente o gruppo eaggiungere i permessi per il pacchettoThinApp all'utente o al gruppo.



e Fare clic su Aggiungi permesso.

f Nell'elenco a discesa Tipo di applicazione, selezionare Pacchetti ThinApp.

g Fare clic sulle caselle di controllo accanto ai pacchetti ThinApp per cui sidesidera autorizzare l'utente o il gruppo.

h Nella colonna DISTRIBUZIONE, selezionare il metodo di attivazione per ilpacchetto ThinApp.

Con entrambe le opzioni Attivata dall'utente e Automatico, le risorsevengono aggiunte alla pagina Catalogo. Gli utenti possono utilizzare lerisorse dalla pagina Catalogo o spostarle nella pagina Segnalibri. Tuttavia,per configurare un flusso di approvazione per le app, è necessarioselezionare l'opzione Attivata dall'utente per quell'app.

i Fare clic su Salva.

Gli utenti o i gruppi selezionati ora sono autorizzati a utilizzare il pacchetto ThinApp.


Verificare che nei sistemi Windows degli utenti sia installata l'applicazione VMware Identity ManagerDesktop.


VMware, Inc. 91

Distribuzione e gestione di pacchetti ThinApp conVMware Identity ManagerPrima che gli utenti di VMware Identity Manager possano eseguire i loro pacchetti ThinApp registratimediante VMware Identity Manager, questi dovranno avere l'applicazione VMware Identity ManagerDesktop installata e in esecuzione sui relativi sistemi Windows.

I pacchetti ThinApp sono applicazioni di Windows virtualizzate. I pacchetti ThinApp sono distribuiti suisistemi Windows e un utente collegato al sistema può avviare ed eseguire solo quei pacchetti ThinAppregistrati sul sistema. VMware Identity Manager può distribuire e gestire i pacchetti ThinApp che sonocompatibile con VMware Identity Manager.

Per avviare ed eseguire correttamente una di queste applicazioni virtualizzate nella sessione Windowsdell'utente, sono necessari i seguenti elementi:

n Il pacchetto ThinApp dell'applicazione virtualizzata deve essere registrato per l'uso di quell'utente daVMware Identity Manager.

n Una DLL specifica deve essere disponibile su tale sistema Windows.

n Il processo hws-desktop-client.exe deve essere in esecuzione.

Quando viene creato un pacchetto ThinApp compatibile, questo viene configurato per caricare unadeterminata DLL quando l'utente collegato avvia l'applicazione virtualizzata nella relativa sessione diWindows. In quel momento, l'applicazione virtualizzata prova a caricare la DLL. Una volta caricata, la DLLprova a verificare insieme all'applicazione VMware Identity Manager Desktop installata in locale se ilpacchetto ThinApp è registrato sul desktop Windows per quell'utente. L'applicazione VMware IdentityManager Desktop installata in locale determina se l'applicazione è registrata per quell'utente senzacomunicare con VMware Identity Manager. Se l'applicazione è registrata sul desktop Windows perl'utente, VMware Identity Manager Desktop prova a verificare quando è stata eseguita l'ultimasincronizzazione con VMware Identity Manager. Se l'applicazione VMware Identity Manager Desktopconferma che la sincronizzazione rientra nel periodo di tolleranza offline per il client installato, il clientconsentirà l'esecuzione dell'applicazione.

Poiché tale DLL è disponibile sul sistema Windows solo se è installata l'applicazione VMware IdentityManager Desktop e poiché il processo hws-desktop-client.exe è in esecuzione solo se l'applicazioneVMware Identity Manager Desktop è in esecuzione su tale sistema, l'applicazione VMware IdentityManager Desktop dovrà essere installata sul sistema Windows per eseguire i pacchetti ThinApp che sonodistribuiti e gestiti da VMware Identity Manager.


VMware, Inc. 92

Distribuzione dell'applicazione VMware Identity Manager Desktopper l'uso dei pacchetti ThinAppL'applicazione VMware Identity Manager Desktop può essere installata facendo doppio clic sul file EXEdel programma di installazione, avviando il file eseguibile utilizzando le opzioni della riga di comandooppure eseguendo uno script che utilizza le opzioni della riga di comando. Per installare l'applicazione,sono richiesti i privilegi da amministratore. Per informazioni sull'installazione dell'applicazione VMwareIdentity Manager Desktop facendo doppio clic sul file EXE del programma di installazione, vedere laGuida per l'utente di VMware Identity Manager .

La configurazione dell'applicazione installata determina il modo in cui un pacchetto ThinApp che èdistribuito da VMware Identity Manager viene distribuito sul sistema Windows. Per impostazionepredefinita, quando l'applicazione VMware Identity Manager Desktop è installata facendo doppio sul fileEXE del programma di installazione, il client viene configurato per distribuire i pacchetti ThinApputilizzando la modalità di distribuzione COPY_TO_LOCAL con l'opzione AUTO_TRY_HTTP abilitata. Taliopzioni del programma di installazione predefinito risultano in ciò che è detto modalità di distribuzione didownload. Con le impostazioni predefinite COPY_TO_LOCAL e AUTO_TRY_HTTP, l'applicazione clientprova prima a scaricare i pacchetti ThinApp copiandoli sull'endpoint del sistema Windows e, se il primotentativo non riesce, prova a scaricarli mediante HTTP.

Se VMware Identity Manager è configurato per l'accesso basato su account al repository ThinApp,l'applicazione client potrà scaricare i pacchetti ThinApp mediante HTTP. Una volta scaricati i pacchettiThinApp sul sistema locale Windows, l'utente potrà eseguire le applicazioni virtualizzate sul sistemalocale.

Per evitare che le applicazioni virtualizzate vengano scaricate sul sistema Windows locale e utilizzinospazio sul sistema, è possibile far sì che gli utenti eseguano i pacchetti ThinApp dalla condivisione di reteutilizzando una modalità di distribuzione in streaming. Affinché gli utenti eseguano i pacchetti ThinApputilizzando la modalità in streaming, è necessario installare l'applicazione VMware Identity ManagerDesktop sui sistemi Windows utilizzando un processo di installazione della riga di comando. Il programmadi installazione è dotato di opzioni della riga di comando che possono essere utilizzate per impostare lamodalità di distribuzione in runtime per i pacchetti ThinApp. Per impostare la modalità di distribuzione inruntime per lo streaming dei pacchetti ThinApp, utilizzare l'opzione del programma di installazioneRUN_FROM_SHARE.

Un metodo per l'installazione dell'applicazione VMware Identity Manager Desktop su più sistemi Windowsconsiste nell'utilizzare uno script per installare l'applicazione in maniera non presidiata sui sistemiWindows. È possibile installare il client in maniera non presidiata su più sistemi Windows nello stessomomento.

Nota Un'installazione non presidiata non visualizza messaggi né finestre durante il processo diinstallazione.

Impostare un valore nello script per indicare se i client installati mediante quello script distribuiscono ipacchetti ThinApp utilizzando la modalità in streaming ThinApp, l'opzione RUN_FROM_SHARE o unadelle modalità di download ThinApp, come l'opzione COPY_TO_LOCAL o HTTP_DOWNLOAD.


VMware, Inc. 93

Determinazione della modalità di distribuzione appropriata per ipacchetti ThinApp su endpoint WindowsLa configurazione dell'applicazione VMware Identity Manager Desktop sull'endpoint Windows determinase un pacchetto ThinApp distribuito mediante VMware Identity Manager viene distribuito in modalità distreaming ThinApp, RUN_FROM_SHARE, o con una delle modalità di download, COPY_TO_LOCAL oHTTP_DOWNLOAD. Quando si crea lo script per installare l'applicazione VMware Identity ManagerDesktop su endpoint Windows in maniera non presidiata, come ad esempio su desktop e laptop, vengonoimpostate le opzioni che definiscono la modalità di distribuzione dei pacchetti ThinApp. Scegliere lamodalità di distribuzione che meglio si adatta al proprio ambiente di rete per gli endpoint selezionati,considerando dettagli quali la latenza di rete.

Con la modalità in streaming, quando l'applicazione VMware Identity Manager Desktop vienesincronizzata con VMware Identity Manager, il client scarica i collegamenti dell'applicazione per leapplicazioni virtualizzate dei pacchetti ThinApp sul desktop Windows e quando l'utente avvia i pacchettiThinApp, le applicazioni virtualizzate vengono eseguite dalla condivisione file su cui si trovano i pacchetti.

Pertanto, la modalità in streaming è più adatta per sistemi che saranno sempre connessi alla condivisionedi rete, come ad esempio i desktop View.

Con la modalità di download, al primo uso o aggiornamento di un pacchetto ThinApp, l'utente deveattendere prima che il pacchetto ThinApp sia scaricato sul sistema Windows e che vengano creati icollegamenti. Dopo il download iniziale, l'utente avvia ed esegue l'applicazione Windows virtualizzata sulsistema locale.

Importante Per i desktop View non permanenti, noti anche come desktop View mobili o senza stato, èprevisto che il client venga impostato per utilizzare la modalità in streaming ThinApp utilizzando l'opzionedel programma di installazione della riga di comando /v INSTALL_MODE=RUN_FROM_SHARE durantel'installazione del client. L'opzione RUN_FROM_SHARE fornisce l'esperienza di runtime ottimale perutilizzare i pacchetti ThinApp sui desktop View mobili. Vedere Opzioni del programma d'installazione dariga di comando per VMware Identity Manager Desktop.

Importante La modalità HTTP_DOWNLOAD richiede che l'URL del provider di identità sia raggiungibiledal computer Windows dell'utente. Le modalità RUN_FROM_SHARE e COPY_TO_LOCAL richiedonoche la condivisione ThinApp sia raggiungibile dal computer Windows dell'utente.


VMware, Inc. 94

Tabella 6‑1. Modalità di distribuzione ThinApp per le applicazioni virtualizzate acquisitecome pacchetti ThinApp

Modalità Descrizione

modalità di streamingThinApp

In modalità in streaming ThinApp, le applicazioni virtualizzate sono sottoposte a streaming ogni voltache vengono avviate. Questo metodo evita di utilizzare spazio su disco sul desktop durante la copiadelle applicazioni virtualizzate. Affinché le applicazioni possano essere eseguite, il desktop deveessere connesso alla condivisione di rete dei pacchetti ThinApp.

I seguenti ambienti possono fornire la coerenza e la stabilità richieste:n Desktop View, siano essi senza stato o permanenti, con connettività eccellente alla condivisione

di file su cui si trovano i pacchetti ThinApp.n Gli utenti con i desktop Windows che non sono desktop View, che sono condivisi da più utenti.

Questa situazione evita l'accumulo su disco di applicazioni specifiche scaricate dall'utente efornisce un accesso rapido alle applicazioni senza provocare un ritardo per i download di unutente.

L'account utilizzato dall'utente per accedere al sistema Windows è utilizzato per ottenere i pacchettiThinApp dalla condivisione di rete. Tale account deve disporre delle autorizzazioni appropriate sullacondivisione di rete per leggere ed eseguire i file sulla condivisione.

modalità di downloadThinApp

In modalità di download ThinApp, le applicazioni vengono scaricate sull'endpoint Windows. L'utenteesegue l'applicazione virtualizzata in locale sull'endpoint. La modalità di download ThinApp potrebbeessere più adatta per i seguenti casi:n Desktop View permanentin Desktop collegati a una LAN che sono periodicamente offlinen Una LAN con scarsa latenza di rete

VMware Identity Manager fornisce due diverse opzioni per la modalità di download ThinApp:COPY_TO_LOCAL e HTTP_DOWNLOAD. Se il client è configurato per COPY_TO_LOCAL,l'endpoint Windows deve far parte dello stesso dominio della condivisione di file a meno che non siaabilitata l'opzione AUTO_TRY_HTTP e VMware Identity Manager sia configurato per l'accesso basatosu account sulla condivisione di rete dei pacchetti ThinApp.

Se è abilitata l'opzione AUTO_TRY_HTTP e VMware Identity Manager è configurato per l'accessobasato su account, se l'endpoint Windows non fa parte dello stesso dominio e il primo tentativo didownload del pacchetto ThinApp non riesce, l'applicazione VMware Identity Manager Desktopproverà a scaricare automaticamente i pacchetti ThinApp utilizzando il protocollo HTTP come per lamodalità HTTP_DOWNLOAD. Con HTTP_DOWNLOAD, l'endpoint Windows non deve far parte dellostesso dominio della condivisione di file. Tuttavia, i tempi di copia e sincronizzazione di quando siutilizza HTTP_DOWNLOAD sono significativamente più lunghi di quando si usa COPY_TO_LOCAL.

Importante Se VMware Identity Manager non è abilitato per l'accesso basato su account, ildownload mediante il protocollo HTTP non funziona, anche se l'opzione AUTO_TRY_HTTP è abilitatao se il client è configurato con l'opzione HTTP_DOWNLOAD.

Quando si utilizza COPY_TO_LOCAL, l'account utilizzato dall'utente per accedere al sistemaWindows è utilizzato per ottenere i pacchetti ThinApp dalla condivisione di rete. Tale account devedisporre delle autorizzazioni appropriate sulla condivisione di rete per leggere e copiare i file dallacondivisione. Se si utilizza HTTP_DOWNLOAD, l'account utente della condivisione che si specificanella console di VMware Identity Manager quando si configura l'accesso da VMware Identity Manageralla condivisione di rete dei pacchetti ThinApp è l'account utilizzato per scaricare i pacchetti ThinApp.Tale account utente della condivisione deve disporre dell'autorizzazione di lettura sulla condivisione direte dei pacchetti ThinApp per copiare i file dalla condivisione.

La condivisione di rete dei pacchetti ThinApp deve rispondere ai requisiti appropriati per la modalità didistribuzione impostata per gli endpoint Windows. Vedere Installazione e configurazione diVMware Identity Manager.


VMware, Inc. 95

Periodo di grazia offline e pacchetti ThinAppIl periodo di grazia offline è il periodo di tempo per cui è possibile avviare ed eseguire un'applicazionevirtualizzata su un sistema Windows senza alcuna sincronizzazione con VMware Identity Manager.

I pacchetti ThinApp sono applicazioni Windows virtualizzate che possono essere distribuite daVMware Identity Manager su sistemi Windows. Quando VMware Identity Manager distribuisce unpacchetto ThinApp sul sistema Windows per la prima volta per l'utente collegato al sistema, leapplicazioni virtualizzate del pacchetto vengono registrate sul sistema Windows per l'uso dell'utente. Aldesktop di Windows vengono aggiunti i collegamenti appropriati e l'utente potrà avviare le applicazionivirtualizzate utilizzando tali collegamenti come per le applicazioni Windows standard installate sulsistema.

Quando un utente avvia una delle applicazioni virtualizzate distribuite sul sistema Windows daVMware Identity Manager, il pacchetto ThinApp richiede l'autorizzazione per l'esecuzione dall'agentThinApp in esecuzione sul sistema. L'agent ThinApp verifica le condizioni riportate di seguito.

n Verifica se l'applicazione è registrata sul desktop di Windows per l'utente collegato.

n Verifica se il sistema Windows è stato sincronizzato con VMware Identity Manager nel periodo digrazia offline consentito.

Se entrambe queste condizioni sono vere, l'agent ThinApp consente l'esecuzione dell'applicazionevirtualizzata.

La frequenza con cui l'applicazione VMware Identity Manager Desktop viene sincronizzata conVMware Identity Manager è impostata dall'opzione del programma di installazione POLLINGINTERVAL.Per impostazione predefinita, la frequenza è ogni 5 minuti. Per impostazione predefinita, il periodo digrazia offline è impostato su 30 giorni. Se un sistema Windows ha una connettività di rete per collegarsi aVMware Identity Manager in qualsiasi momento in un intervallo di 30 giorni, l'applicazione può esseresincronizzata con VMware Identity Manager e le applicazioni virtualizzate possono essere eseguite.

Tuttavia, se il sistema Windows non ha connettività di rete per collegarsi a VMware Identity Manager,l'applicazione non potrà essere sincronizzata con VMware Identity Manager. Le applicazioni virtualizzateregistrate sul sistema Windows potranno essere eseguite sul sistema disconnesso fino all'ora impostatadal periodo di grazia offline.

Aggiornamento di pacchetti ThinApp gestiti dopo ladistribuzione in VMware Identity ManagerDopo aver aggiunto un pacchetto ThinApp al catalogo della propria organizzazione e aver concesso agliutenti di VMware Identity Manager l'accesso a tale pacchetto, è possibile che si desideri aggiornare ilpacchetto e fare in modo che gli utenti usino una versione nuova o rigenerata del pacchetto ThinAppsenza dover annullare l'accesso degli utenti al pacchetto corrente e concedere loro l'accesso al nuovopacchetto.


VMware, Inc. 96

È possibile che si debba rendere disponibile un pacchetto ThinApp aggiornato perché viene rilasciata unanuova versione dell'applicazione Windows per tale pacchetto o perché il creatore del pacchetto hamodificato i valori dei parametri utilizzati dal pacchetto.

ThinApp 4.7.2 e le versioni successive includono un meccanismo di aggiornamento per i pacchettiThinApp utilizzati in VMware Identity Manager. Tale meccanismo è diverso da quelli utilizzati per ipacchetti ThinApp esterni a un ambiente VMware Identity Manager. Il pacchetto ThinApp deve essereaggiornato con questo meccanismo affinché sia possibile distribuirlo in VMware Identity Manager e fare inmodo che gli utenti possano visualizzare automaticamente la nuova versione.

Per i pacchetti ThinApp gestiti in VMware Identity Manager, due parametri Package.ini vengono utilizzatida VMware Identity Manager per stabilire se un pacchetto è una versione aggiornata di un altropacchetto.

AppID Identificatore univoco del pacchetto ThinApp in VMware Identity Manager.A tutti i punti di ingresso (eseguibili) per l'applicazione del pacchetto vieneassegnato lo stesso AppID. Dopo la sincronizzazione di un pacchettoThinApp con il catalogo di VMware Identity Manager della propriaorganizzazione, l'AppID del pacchetto viene visualizzato nella colonnaGUID della pagina delle risorse del pacchetto ThinApp. Questo valoreinclude caratteri alfanumerici in un modello di set di caratteri, separati unodall'altro da trattini, come nell'esempio seguente:

XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX

VMware Identity Manager considera ogni pacchetto ThinApp con lo stessoAppID come una versione della stessa applicazione.

VersionID Numero di versione del pacchetto ThinApp. VMware Identity Managerutilizza VersionID per tenere traccia delle diverse versioni del pacchettoThinApp gestito. È possibile aumentare il valore di VersionID di un'unità(1) per contrassegnare il pacchetto ThinApp come aggiornamento di unaltro pacchetto mantenendo lo stesso AppID.

Il pacchetto aggiornato deve essere posizionato in una nuova cartella nella cartella di condivisione di reteconfigurata per i pacchetti ThinApp gestiti. Vedere Installazione e configurazione diVMware Identity Manager. Quando VMware Identity Manager esegue la sincronizzazione pianificata conla cartella della condivisione di rete e incontra un'applicazione con lo stesso AppID di un'altra


VMware, Inc. 97

applicazione, confronta i valori di VersionID. Il pacchetto ThinApp con il VersionID più alto vieneutilizzato come aggiornamento più recente. VMware Identity Manager incorpora automaticamente ipermessi utente precedenti nel pacchetto ThinApp con il VersionID più alto e i collegamenti ai sistemidegli utenti vengono sincronizzati per puntare al pacchetto aggiornato.

Importante Il parametro standard InventoryName di ThinApp è importante per aggiornarecorrettamente i pacchetti ThinApp gestiti. Entrambi i pacchetti ThinApp, quello precedente e quelloaggiornato, devono avere lo stesso valore per il parametro InventoryName. Se la persona che crea ilpacchetto ThinApp modifica il valore di InventoryName in un pacchetto e quindi crea un pacchettoaggiornato, è necessario assicurarsi che i valori di InventoryName corrispondano per fare in modo chegli aggiornamenti funzionino correttamente in VMware Identity Manager.

Per dettagli sui vari parametri utilizzati nel file Package.ini di un pacchetto ThinApp, vedere la guida diriferimento ai parametri Package.ini di ThinApp

Aggiornamento di un pacchetto ThinApp gestitoL'aggiornamento di un pacchetto ThinApp già gestito da VMware Identity Manager e nel catalogo dellapropria organizzazione implica l'esecuzione di più passaggi. È possibile che il pacchetto ThinAppaggiornato venga fornito da un altro gruppo della propria organizzazione. Per fare in modo cheVMware Identity Manager possa utilizzare automaticamente il pacchetto aggiornato al posto di quelloesistente per gli utenti autorizzati, è necessario assicurarsi che il pacchetto aggiornato sia stato creatoutilizzando lo stesso AppID del pacchetto corrente, che abbia un valore di VersionID maggiore delvalore VersionID del pacchetto esistente e che sia abilitato per la gestione da VMware Identity Manager.

Prerequisiti

Verificare di poter accedere alla posizione in cui si trovano i pacchetti ThinApp gestiti e di poter crearesottocartelle in tale posizione.


Dopo la successiva sincronizzazione del pacchetto ThinApp, nel catalogo di VMware Identity Managerverrà visualizzata la nuova versione del pacchetto ThinApp aggiornato. Se si desidera che la nuovaversione venga riportata nella pagina delle risorse del pacchetto ThinApp, è possibile eseguire unasincronizzazione manuale utilizzando la pagina App in pacchetto - pagina ThinApp della console diVMware Identity Manager.

Ottenimento dei valori AppID e VersionID di un pacchetto ThinApp gestitoPer essere certi che VMware Identity Manager utilizzi automaticamente il pacchetto ThinApp aggiornatoal posto di quello corrente, è necessario creare il pacchetto ThinApp utilizzando il AppID del pacchettoThinApp correntemente gestito e un valore di VersionID maggiore di quello della versione corrente.

Quando viene utilizzato il processo Configura acquisizione per creare un pacchetto ThinApp aggiornato, ilvalore di AppID viene richiamato automaticamente dal programma Configura acquisizione dagli eseguibilidel pacchetto ThinApp esistenti e il valore di VersionID viene incrementato. Tuttavia, la persona checrea il pacchetto ThinApp aggiornato potrebbe utilizzare un metodo differente per la creazione del


VMware, Inc. 98

pacchetto aggiornato. Se per creare il pacchetto ThinApp aggiornato non viene utilizzato il processoConfigura acquisizione, la persona che crea il pacchetto deve ottenere i valori AppID e VersionID per ilpacchetto ThinApp correntemente gestito da VMware Identity Manager. I valori AppID e VersionID sonovisualizzati sulle pagine delle risorse del pacchetto ThinApp nella console di VMware Identity Manager.

Procedura

1 Nella console di VMware Identity Manager, selezionare la scheda Catalogo > App virtuali.

2 Fare clic su Qualsiasi tipo di applicazione > Pacchetti ThinApp.

3 Fare clic sul pacchetto ThinApp per aprirne la pagina delle risorse.

4 Fare clic su Dettagli.

5 Prendere nota del valore riportato nel campo Versione sulla pagina Dettagli.

6 Fare clic su Pacchetto ThinApp per visualizzare la pagina Pacchetto ThinApp.

7 Prendere nota del valore AppID riportato nella colonna GUID.

Il valore riportato nella colonna è il valore utilizzato da VMware Identity Manager per identificarequesto pacchetto ThinApp.


La persona che crea il pacchetto ThinApp aggiornato deve completare le operazioni riportate in Creazione del pacchetto ThinApp aggiornato.

Creazione del pacchetto ThinApp aggiornatoPer la creazione del pacchetto aggiornato vengono utilizzati i valori AppID e VersionID dei pacchettiThinApp correntemente gestiti. Il pacchetto aggiornato utilizza lo stesso valore AppID e un valoreVersionID più alto.

Talvolta il pacchetto ThinApp aggiornato viene fornito da un altro ufficio dell'organizzazione. La personache crea il pacchetto ThinApp aggiornato può utilizzare uno dei metodi descritti.

Prerequisiti

Assicurarsi di avere i valori di AppID e VersionID del pacchetto ThinApp corrente eseguendo i passaggiin Ottenimento dei valori AppID e VersionID di un pacchetto ThinApp gestito.

Verificare di avere una versione del programma ThinApp compatibile con la versione diVMware Identity Manager. Per informazioni su versioni di ThinApp specifiche, vedere le tabelle diinteroperabilità dei prodotti VMware all'indirizzohttp://www.vmware.com/resources/compatibility/sim/interop_matrix.php.


VMware, Inc. 99

Procedura

u Utilizzando una versione del programma ThinApp supportata da VMware Identity Manager, creare ilpacchetto ThinApp aggiornato utilizzando uno dei metodi disponibili.

Opzione Descrizione

Rieseguire l'acquisizione utilizzandoSetup Capture.

Utilizzare questo metodo quando la cartella del progetto per il pacchetto ThinAppesistente gestito da VMware Identity Manager non è disponibile. Per creare unpacchetto aggiornato con Setup Capture, sono necessari solo i seguenti elementi:n Gli eseguibili dell'applicazione dal pacchetto ThinApp esistenten Il programma d'installazione dell'applicazionen Setup Capture e il programma ThinApp in una versione supportata da

VMware Identity Manager.

Durante il processo di acquisizione, scegliere di gestire il pacchetto conVMware Identity Manager e specificare che il pacchetto è un aggiornamento di unpacchetto ThinApp di base esistente. Sfogliare la cartella che contiene glieseguibili del pacchetto ThinApp correntemente gestito. Accedere alla cartella enon specificare gli eseguibili.

Con questo metodo non è necessario ottenere i valori AppID o VersionID primadi aver creato il pacchetto aggiornato. Dopo aver specificato che il pacchetto è unaggiornamento e dopo aver specificato la versione precedente in Setup Capture,il processo di acquisizione legge l'AppID del pacchetto precedente e lo riutilizzaper il pacchetto aggiornato. Il processo fornisce anche un VersionIDincrementato per il pacchetto aggiornato, e assegna lo stesso InventoryName.

Aggiornare manualmente il filePackage.ini, quindi ricostruire ilpacchetto.

Utilizzare questo metodo quando non si dispone del programma d'installazioneper il processo di riacquisizione oppure quando occorre aggiornare il pacchettocon una versione di ThinApp più recente e si desidera aggiornare più di quanto ilcomando relink possa gestire. Poiché la rigenerazione di un pacchetto integrale modifiche al file system e al registro che provengono da una nuova versione diThinApp, una rigenerazione rileverebbe tali modifiche proprio come quando unanuova versione di ThinApp fornisce un nuovo parametro Package.ini daimpostare.

Per contrassegnare il nuovo pacchetto come un aggiornamento, modificare iseguenti parametri di VMware Identity Manager nella sezione [Build Options]del file Package.ini:n Impostare il parametro AppID per farlo corrisponde al valore di AppID

dell'applicazione ThinApp correntemente gestita. Non è possibile riutilizzareun valore di genid per AppID, poiché in quel caso verrebbe generato unnuovo valore di AppID per il pacchetto aggiornato e VMware Identity Managernon riconoscerebbe il nuovo pacchetto come aggiornamento di quelloesistente.

n Incrementare il valore del parametro VersionID a un intero più alto rispettoal pacchetto ThinApp correntemente gestito. Se non c'è alcun parametroVersionID impostato per il pacchetto correntemente gestito, perimpostazione predefinita il suo valore è 1, e sarebbe necessario aggiungereuna riga per il parametro VersionID in Package.ini e impostarlo sul valore 2(VersionID = 2).


VMware, Inc. 100

Opzione Descrizione

n Assicurarsi che il valore del parametro InventoryName corrisponda al valoredi InventoryName del pacchetto correntemente gestito. I valori diInventoryName per il pacchetto corrente e il pacchetto aggiornato devonocoincidere.

Utilizzare il comando relink -h con leopzioni AppID e VersionID.

Utilizzare questo metodo in uno dei seguenti casi:n Non è presente la cartella di progetto per l'applicazione.n Il pacchetto è stato già acquisito, costruito e testato all'esterno di un ambiente

VMware Identity Manager e gli unici passaggi rimanenti sono attivare ilpacchetto aggiornato per VMware Identity Manager e collocarlo nellacondivisione di rete utilizzata da VMware Identity Manager.

n Si sta aggiornando il pacchetto solo per aggiornare il runtime di ThinApp per ilpacchetto al fine di incorporare le correzioni agli errori disponibili nella nuovaversione di ThinApp.

Se ad esempio è stata cambiata la directory di progetto, incluso il file Package.ini,per un'applicazione virtuale, ricostruito il pacchetto e testato il pacchetto,l'ambiente di test potrebbe non essere stato VMware Identity Manager. Ilpassaggio finale di aggiornamento dell'applicazione è l'aggiornamento perVMware Identity Manager. A quel punto, il percorso più semplice consistenell'utilizzare il comando relink -h invece di riacquisire o ricostruire.

Nota Il runtime ThinApp viene aggiornato quando si esegue il comando relink-h su un pacchetto ThinApp.

È possibile eseguire il comando relink dalla directory Programmi di ThinApp pervisualizzare la guida della sintassi del comando.

Quando il pacchetto ThinApp esistente è già attivato per l'uso da parte diVMware Identity Manager, è possibile eseguire il comando seguente perriutilizzare l'AppID esistente del pacchetto e incrementare VersionID:

relink -h -VersionID + cartella-eseguibile/*.*

Dove executable-folder è una cartella contenente gli eseguibili del pacchettoThinApp da aggiornare.

Importante Quando si utilizza il comando relink, non sarà possibile fareriferimento alla cartella degli eseguibili del pacchetto sulla condivisione di reteutilizzata per i pacchetti ThinApp nell'ambiente di VMware Identity Manager.Quando aggiorna il runtime ThinApp, il comando converte i vecchi eseguibili in fileBAK e scrive tali file, insieme ai nuovi file, nella cartella. Poiché la condivisione direte di solito non consente la scrittura, è necessario che il nuovo collegamentopunti a una copia della cartella di eseguibili.

Altri casi di utilizzo del comando relink, inclusa l'attivazione di un pacchettoThinApp per l'uso in un ambiente VMware Identity Manager, sono illustratinell'articolo della knowledge base di VMware all'indirizzohttp://kb.vmware.com/kb/2021928.

È disponibile un set di file (file EXE e facoltativamente file DAT) per il pacchetto ThinApp aggiornato.


Copiare i file in una nuova sottocartella nella condivisione di rete, completando i passaggi in Copiare unpacchetto ThinApp aggiornato nella condivisione di rete.


VMware, Inc. 101

Copiare un pacchetto ThinApp aggiornato nella condivisione di reteDopo aver creato un pacchetto ThinApp aggiornato, copiare i file corrispondenti in una nuovasottocartella allo stesso livello della sottocartella esistente nella condivisione di rete.

Prerequisiti

Assicurarsi di disporre dei file necessari per il pacchetto ThinApp aggiornato in seguito al completamentodei passaggi descritti in Creazione del pacchetto ThinApp aggiornato e all'incremento del valore diVersionID.

Assicurarsi di avere accesso alla condivisione di rete e di poter creare sottocartelle e copiare fine in esse.

Procedura

1 Nella cartella della condivisione di rete, creare una nuova sottocartella per il pacchetto ThinAppaggiornato.

Mantenere la sottocartella esistente del pacchetto ThinApp che si sta aggiornando e non alterarne ilcontenuto.

A seguito della successiva sincronizzazione pianificata, VMware Identity Manager ignora il pacchettoprecedente, quando riconosce che il nuovo pacchetto ha lo stesso valore di AppID e un valore diVersionID più elevato.

Di solito, il nome che viene assegnato alla sottocartella corrisponde al nome dell'applicazioneThinApp, o almeno indica l'applicazione presente nella cartella. Ad esempio, se la condivisione di retesi chiama appshare su un host denominato server e l'applicazione è denominata abceditor, allorala sottocartella per il pacchetto ThinApp sarà \\server\appshare\abceditor.

Nota Non utilizzare caratteri non ASCII quando si creano i nomi delle sottocartelle della condivisionedi rete per i pacchetti ThinApp da distribuire mediante VMware Identity Manager. I caratteri non ASCIInon sono supportati.

2 Copiare i file EXE e DAT del pacchetto ThinApp aggiornato nella nuova sottocartella.

3 (Facoltativo) Se non si desidera attendere la successiva sincronizzazione, è possibile sincronizzaremanualmente VMware Identity Manager con la condivisione di rete dalla pagina App in pacchetto -ThinApp della console di VMware Identity Manager.

Quando VMware Identity Manager esegue la sincronizzazione pianificata con la cartella dellacondivisione di rete e incontra un'applicazione con lo stesso AppID di un'altra applicazione, confrontai valori di VersionID. Il pacchetto ThinApp con il VersionID più alto viene utilizzato comeaggiornamento più recente. VMware Identity Manager incorpora automaticamente i permessi utenteprecedenti nel pacchetto ThinApp con il VersionID più alto e i collegamenti ai sistemi degli utentivengono sincronizzati per puntare al pacchetto aggiornato.


VMware, Inc. 102

Eliminazione di pacchetti ThinApp daVMware Identity ManagerÈ possibile rimuovere in modo permanente un pacchetto ThinApp da VMware Identity Manager.

Quando si elimina un pacchetto ThinApp da VMware Identity Manager, lo si rimuove in modopermanente. Non sarà più possibile autorizzare gli utenti al pacchetto ThinApp a meno che non lo siaggiunga nuovamente a VMware Identity Manager.

Procedura

1 Eliminare la sottocartella del pacchetto ThinApp dalla condivisione file di rete, ovvero dal repository dipacchetti ThinApp connesso a VMware Identity Manager.

2 Eliminare l'applicazione da VMware Identity Manager.

a Accedere alla console di VMware Identity Manager.

b Fare clic sulla scheda Catalogo > App virtuali.

c Fare clic su Qualsiasi tipo di applicazione > Pacchetti ThinApp.

d Cercare il pacchetto ThinApp da eliminare.

e Fare clic sul nome del pacchetto ThinApp per visualizzare la relativa pagina di risorse.

f Fare clic su Elimina, leggere il messaggio di conferma e scegliere Sì per procedere conl'eliminazione.

Il pacchetto ThinApp non esiste più nel catalogo di VMware Identity Manager.

Impostazione dei pacchetti ThinApp come compatibilicon VMware Identity ManagerÈ possibile convertire un pacchetto ThinApp da uno che non è compatibile con VMware Identity Managerin uno che VMware Identity Manager può distribuire e gestire. È possibile utilizzare uno dei seguentimetodi: utilizzare il comando ThinApp 4.7.2 relink, rigenerare il pacchetto dai file di progetto ThinAppdopo aver modificato il file Package.ini per aggiungere i parametri necessari diVMware Identity Manager oppure acquisire nuovamente l'applicazione Windows con le impostazioniappropriate di VMware Identity Manager selezionate nel programma ThinApp Setup Capture.

Nota Un pacchetto ThinApp che è compatibile con VMware Identity Manager può essere utilizzato peruna distribuzione di VMware Identity Manager. Solo gli utenti di VMware Identity Manager che hannoinstallato l'applicazione di VMware Identity Manager Desktop possono avviare ed eseguire questipacchetti abilitati. Durante il runtime, il pacchetto ThinApp carica una DLL denominata specificamente eutilizza tale DLL per verificare il permesso dell'utente con VMware Identity Manager. Poiché la DLL èinstallata con l'applicazione VMware Identity Manager Desktop, questi pacchetti ThinApp possono essereeseguiti solo su sistemi Windows su cui è installata l'applicazione VMware Identity Manager Desktop.


VMware, Inc. 103

Prerequisiti

Verificare di disporre dell'accesso agli elementi necessari per il metodo scelto.

n Se si utilizza il comando relink, verificare di disporre dei file eseguibili per il pacchetto ThinApp cheviene convertito e l'applicazione relink.exe di ThinApp 4.7.2.

n Se si aggiorna il file Package.ini del progetto ThinApp e si rigenera il pacchetto, verificare didisporre dei file di progetto necessari dal programma ThinApp 4.7.2 per la rigenerazione.

n Se si acquisisce di nuovo l'applicazione Windows, verificare di disporre del programma SetupCapture ThinApp 4.7.2 e del programma di installazione dell'applicazione richiesti dal programma peracquisire di nuovo l'applicazione. Fare riferimento alla Guida per l'utente di ThinApp per maggioridettagli.

Verificare di poter accedere alla condivisione di rete ThinApp utilizzata da VMware Identity Manager e dipoter creare sottocartelle e copiare i file.


VMware, Inc. 104

Procedura

u Utilizzando una versione del programma ThinApp supportata da VMware Identity Manager, creare unpacchetto ThinApp compatibile utilizzando uno dei metodi disponibili.

Opzione Descrizione

Utilizzare il comando relink -h. L'uso del comando relink -h è il metodo più semplice. Utilizzare il programmarelink.exe da ThinApp 4.7.2 o versione successiva. Utilizzare questo metodo inuno dei seguenti casi:n Non è possibile utilizzare il metodo di rigenerazione in quanto non è presente

la cartella di progetto.n L'uso di Setup Capture per acquisire di nuovo l'applicazione richiede troppo

tempo.n Non si dispone del programma di installazione dell'applicazione richiesto per

la riacquisizione con Setup Capture.

Nota Il runtime ThinApp viene aggiornato quando si esegue il comando relink-h su un pacchetto ThinApp.

È possibile eseguire il comando relink dalla directory Programmi di ThinApp pervisualizzare la guida della sintassi del comando.

Per creare un pacchetto compatibile, utilizzare la sintassi di base del comando:

relink -h cartella-eseguibile/*.*

dove cartella-eseguibile è una cartella contenente gli eseguibili del pacchettoThinApp che si desidera aggiornare.

Importante Quando si utilizza il comando relink, non sarà possibile fareriferimento alla cartella degli eseguibili del pacchetto sulla condivisione di reteutilizzata per i pacchetti ThinApp nell'ambiente di VMware Identity Manager.Quando aggiorna il runtime ThinApp, il comando converte i vecchi eseguibili in fileBAK e scrive tali file, insieme ai nuovi file, nella cartella. Poiché la condivisione direte di solito non consente la scrittura, è necessario che il nuovo collegamentopunti a una copia della cartella di eseguibili.

Altri casi di utilizzo per il comando relink sono descritti nell'articolo dellaknowledge base VMware all'indirizzo http://kb.vmware.com/kb/2021928.

Aggiornare manualmente il filePackage.ini con i parametri necessari,quindi rigenerare il pacchetto.

Utilizzare questo metodo quando non è disponibile il programma di installazionedell'applicazione per il processo di riacquisizione, se si desidera evitare laconfigurazione up-front richiesta dalla riacquisizione dell'applicazione o se sidesidera integrare le funzionalità da una versione più recente di ThinApp più diquanto farebbe il comando relink. Poiché la rigenerazione di un pacchettointegra le modifiche al file system e al registro che provengono da una nuovaversione di ThinApp, una rigenerazione rileverebbe tali modifiche proprio comequando una nuova versione di ThinApp fornisce un nuovo parametro Package.inida impostare.

Nella sezione [Build Options] del file Package.ini, aggiungere i seguentiparametri:

;--- VMware Identity Manager Parameters ---AppID=genidNotificationDLLs=hzntapluginlugin.dll

hzntaplugin.dll è la DLL che il runtime ThinApp richiama per verificare i permessidell'utente di VMware Identity Manager per l'uso dell'applicazione virtualizzata.


VMware, Inc. 105

Opzione Descrizione

Facoltativamente, è possibile includere il parametro HorizonOrgURL e impostarlosul proprio nome di dominio completo di VMware Identity Manager. VedereInstallazione e configurazione di VMware Identity Manager.

Acquisire di nuovo l'applicazioneutilizzando Setup Capture, quindiselezionare le impostazioni necessariedi VMware Identity Manager.

Utilizzare questo metodo se si desidera acquisire di nuovo l'applicazione piuttostoche utilizzare uno degli altri metodi. Per creare un pacchetto compatibileutilizzando ThinApp Setup Capture, selezionare le impostazioni appropriate nellaprocedura guidata per gestire il pacchetto con VMware Identity Manager duranteil processo di acquisizione. Vedere la guida per l'utente di ThinApp per i dettaglidel processo di acquisizione.

È disponibile una serie di file (file EXE e facoltativamente file DAT) per un pacchetto ThinApp che puòessere distribuito e gestito da VMware Identity Manager.


Per le operazioni da eseguire per aggiungere i pacchetti ThinApp alla condivisione di rete, vedere Creazione di una condivisione di rete per i pacchetti ThinApp gestiti da VMware Identity Manager.

Modifica della cartella di condivisione dei pacchettiThinAppDopo aver configurato l'accesso di VMware Identity Manager ai pacchetti ThinApp, l'ambiente IT potrebbecambiare in modo tale da avere i pacchetti ThinApp in una nuova posizione. Se si verifica questaeventualità, aggiornare il percorso alla nuova posizione dalla console di VMware Identity Manager.

Prerequisiti

Verificare che la nuova posizione di condivisione di rete soddisfi i requisiti di condivisione di rete descrittiin Requisiti di VMware Identity Manager per i pacchetti ThinApp e il repository della condivisione di rete.

Procedura



3 Fare clic sul nome della raccolta di ThinApp.

4 Cambiare il valore nella casella di testo Percorso inserendo quello della nuova cartella condivisa incui si trovano i pacchetti ThinApp, utilizzando il formato di percorsi UNC.

5 (Facoltativo) Se la condivisione di rete precedente era una condivisione CIFS e quella nuova è unacondivisione DFS, selezionare la casella di controllo Abilita accesso basato su account eimmettere il nome e la password di un utente dotato di accesso in lettura alla condivisione di rete.



VMware, Inc. 106




Procedura













VMware, Inc. 107

Configurazione di VMwareIdentity Manager Desktop 7Per poter eseguire i pacchetti ThinApp per loro registrati utilizzando VMware Identity Manager, ènecessario che sui sistemi Windows degli utenti di VMware Identity Manager sia installata e inesecuzione l'applicazione VMware Identity Manager Desktop.

L'applicazione VMware Identity Manager Desktop può essere installata facendo doppio clic sul fileeseguibile del relativo programma d'installazione e completando l'installazione guidata, avviando il fileeseguibile con le opzioni da riga di comando o eseguendo uno script che utilizza le opzioni da riga dicomando. Per installare l'applicazione, sono richiesti i privilegi da amministratore.

La configurazione dell'applicazione VMware Identity Manager Desktop sull'endpoint Windows determinase un pacchetto ThinApp distribuito mediante VMware Identity Manager viene distribuito in modalità distreaming ThinApp, RUN_FROM_SHARE, o con una delle modalità di download, COPY_TO_LOCAL oHTTP_DOWNLOAD. Quando si crea lo script per installare VMware Identity Manager Desktop inmodalità silenziosa negli endpoint Windows, ad esempio in computer desktop e portatili, è possibilespecificare le opzioni che impostano la modalità di distribuzione dei pacchetti ThinApp. Scegliere lamodalità di distribuzione che meglio si adatta al proprio ambiente di rete per gli endpoint selezionati,considerando dettagli quali la latenza di rete.

Importante La modalità HTTP_DOWNLOAD richiede che l'URL del provider di identità sia raggiungibiledal computer Windows dell'utente. Le modalità RUN_FROM_SHARE e COPY_TO_LOCAL richiedonoche la condivisione ThinApp sia raggiungibile dal computer Windows dell'utente.

Nota Se durante l'installazione dell'applicazione VMware Identity Manager Desktop sono aperte finestredel browser, all'avvio dei pacchetti ThinApp dal portale utente possono verificarsi dei problemi. Chiuderetutte le finestre del browser prima dell'installazione dell'applicazione oppure, immediatamente dopo averinstallato l'applicazione, riavviare il browser. Vedere Non è possibile avviare i pacchetti ThinApp dalportale utente.


n Opzioni del programma d'installazione da riga di comando per VMware Identity Manager Desktop

n Installazione dell'applicazione VMware Identity Manager Desktop con impostazioni uguali in piùsistemi Windows

n Aggiunta dei file del programma di installazione di VMware Identity Manager Desktop alle appliancevirtuali di VMware Identity Manager

VMware, Inc. 108

n Utilizzo dell'applicazione da riga di comando hws-desktop-ctrl.exe

Opzioni del programma d'installazione da riga dicomando per VMware Identity Manager DesktopÈ possibile impostare svariate opzioni per l'applicazione VMware Identity Manager Desktop quando siesegue il relativo programma d'installazione dalla riga di comando o con uno script di distribuzione.

Opzioni da riga di comando disponibili per il programmad'installazione di the VMware Identity Manager DesktopDopo aver scaricato il file .exe del programma d'installazione dell'applicazione client su un sistemaWindows, è possibile visualizzare l'elenco delle opzioni d'installazione eseguendo il comando seguente:

VMware-Identity-Manager-Desktop-n.n.n-nnnnnnn /?

dove n.n.n-nnnnnnn rappresenta la versione e il numero di build del file. Appare una finestra di dialogocon l'elenco delle opzioni d'installazione disponibili per l'installazione dell'applicazione client dalla riga dicomando o con uno script di distribuzione.

Tabella 7‑1. Opzioni programma d'installazione da riga di comando

Opzioneprogrammad'installazione

Valore Descrizione

/? Visualizza le opzioni programma d'installazione da riga dicomando.

/a Esegue un'installazione amministrativa.

Per ulteriori informazioni, vedere la documentazione delprogramma d'installazione di Windows.

/a percorso completo dell'installazioneamministrativa esistente

Applica una patch a un'installazione amministrativa esistente.

/s Nasconde la finestra di dialogo dell'inizializzazione durantel'installazione.

Per installare in modalità silenziosa, utilizzare /s /v/qn.

In modalità silenziosa, durante l'installazione non vienevisualizzato alcun messaggio, finestra di dialogo o richiestad'immissione. Generalmente, questa opzione è utilizzata quandosi crea uno script di distribuzione per eseguire il programmad'installazione.

/v coppie key-value Set di parametri da passare al programma d'installazione,specificati in coppie key-value. Utilizzare il formato key=value.Questi argomenti configurano le opzioni di runtime per i pacchettiThinApp e in generale per VMware Identity Manager Desktop.

/c Cancella le informazioni di registrazione dell'installazione.


VMware, Inc. 109

https://msdn.microsoft.com/en-us/library/aa367541%28VS.85%29.aspx

https://msdn.microsoft.com/en-us/library/aa367541%28VS.85%29.aspx

Tabella 7‑1. Opzioni programma d'installazione da riga di comando (Continua)

Opzioneprogrammad'installazione

Valore Descrizione

/l [percorso completo del file di registro] Esegue la registrazione dettagliata e salva in un file di registrospecificato.

Se non si specifica un file di registro, viene utilizzato un file diregistro predefinito in %TEMP%.

/x Decomprime il programma d'installazione nella cartella %TEMP%.

Coppie chiave-valore per l'opzione /vÈ possibile utilizzare le seguenti coppie chiave-valore per l'opzione /v del programma d'installazione.


VMware, Inc. 110

Tabella 7‑2. Chiavi per l'opzione da riga di comando /v del programma d'installazione

Chiave Valore Descrizione

WORKSPACE_SERVER

Nome host o URLdel servizio diVMware IdentityManager

fornisce il nome host o l'URL del servizio di VMware Identity Manager, perpermettere all'applicazione VMware Identity Manager Desktop di comunicare conil servizio. Il protocollo richiesto è HTTPS. Racchiudere il valore tra virgolette.

Utilizzare il seguente formato:

WORKSPACE_SERVER="https://VMwareIdentityManagerFQDN"

oppure

WORKSPACE_SERVER="VMwareIdentityManagerHostName"

Ad esempio:

WORKSPACE_SERVER="https://myserver.mycompany.com"

WORKSPACE_SERVER="myserver"

INSTALL_MODE Uno dei seguenti:

COPY_TO_LOCAL

HTTP_DOWNLOAD

RUN_FROM_SHARE

Imposta la modalità di distribuzione per definire come l'applicazione VMwareIdentity Manager Desktop dovrà ottenere i pacchetti ThinApp in runtime. Ipacchetti ThinApp sono applicazioni di Windows virtualizzate. I pacchetti ThinApprisiedono in una condivisione di rete integrata con VMware Identity Manager.n COPY_TO_LOCAL: i pacchetti autorizzati per l'utente vengono scaricati nel

sistema Windows del client tramite copia di file. Quando l'utente avvia unpacchetto ThinApp, l'applicazione virtualizzata viene eseguita localmente suquel sistema. Prima che l'utente scarichi e utilizzi un pacchetto ThinAppautorizzato e continui la sincronizzazione dei pacchetti nel sistema Windowsclient, quest'ultimo deve essere già unito allo stesso dominio Active Directorya cui è appartiene la condivisione di rete dei pacchetti ThinApp. L'accountdell'utente utilizzato per accedere al sistema Windows è l'account utilizzatoper ottenere i pacchetti ThinApp dalla condivisione di rete. Tale account devedisporre delle autorizzazioni appropriate sulla condivisione di rete per leggeree copiare i file dalla condivisione.

Importante La modalità COPY_TO_LOCAL richiede che la condivisione diThinApp sia raggiungibile dal sistema Windows dell'utente.

n HTTP_DOWNLOAD: i pacchetti autorizzati per l'utente vengono scaricati nelsistema Windows del client utilizzando il protocollo HTTP. Quando l'utenteavvia un pacchetto ThinApp, l'applicazione virtualizzata viene eseguitalocalmente su quel sistema. L'applicazione VMware Identity Manager Desktoputilizza l'account del sistema VMware Identity Manager dell'utente perautenticarsi in VMware Identity Manager e ottenere l'elenco dei pacchettiautorizzati per l'utente da scaricare. L'account utente della condivisione fornitonella console di VMware Identity Manager per l'attivazione dell'accessobasato su account alla condivisione di rete dei pacchetti ThinApp corrispondeall'account utilizzato da VMware Identity Manager per accedere ai pacchettiThinApp dal repository. Questo account utente della condivisione perVMware Identity Manager richiede l'autorizzazione in lettura sulla condivisionedi rete. L'account che l'utente ha utilizzato per accedere al sistema Windowsdel client e l'account del sistema VMware Identity Manager dell'utente nonrichiedono alcuna autorizzazione sulla condivisione di rete. Il sistemaWindows del client non deve essere unito allo stesso dominio a cui appartiene


VMware, Inc. 111

Tabella 7‑2. Chiavi per l'opzione da riga di comando /v del programma d'installazione(Continua)


la condivisione di rete dei pacchetti ThinApp. Questo metodo di download ingenere è più lento rispetto ad altre modalità. Il vantaggio di questa modalità èche il sistema Windows del client non deve essere unito al dominio ActiveDirectory per ottenere ed eseguire l'applicazione virtualizzata.

Importante Affinché l'opzione HTTP_DOWNLOAD funzioni, l'integrazionedei pacchetti ThinApp in VMware Identity Manager deve essere configurataper l'accesso basato su account. Vedere Installazione e configurazione diVMware Identity Manager.

Importante Per VMware Identity Manager 2.6 e versioni successive inWindows 2008 R2 o Windows 7, l'opzione HTTP_DOWNLOAD non funzionaa meno che non venga abilitato TLS 1.0 in VMware Identity Manager oppureTLS 1.1. o 1.2 nel sistema Windows 2008 R2 o Windows 7. Per abilitare TLS1.0 in VMware Identity Manager, vedere l'articolo 2144805 della KnowledgeBase. Per abilitare TLS 1.1 o 1.2 nel sistema Windows, vedere ladocumentazione Microsoft all'indirizzo https://support.microsoft.com/en-us/kb/3140245.

Importante La modalità HTTP_DOWNLOAD richiede che l'URL IDP siaraggiungibile dal sistema Windows dell'utente.

n RUN_FROM_SHARE: l'applicazione virtualizzata viene trasferita al sistemaWindows del client dalla condivisione di rete quando l'utente avvia il pacchettoThinApp. L'opzione RUN_FROM_SHARE è la più adatta per i sistemiWindows che hanno sempre connettività alla condivisione di rete doverisiedono i pacchetti ThinApp, dato che i pacchetti ThinApp non sono presentinel sistema Windows e le applicazioni virtualizzate vengono eseguite solo se ilsistema Windows può connettersi alla condivisione di rete. Il sistema Windowsdel client deve essere unito allo stesso dominio Active Directory a cuiappartiene la condivisione di rete dei pacchetti ThinApp. L'account dell'utente


VMware, Inc. 112

https://kb.vmware.com/kb/2144805

https://kb.vmware.com/kb/2144805

https://support.microsoft.com/en-us/kb/3140245

https://support.microsoft.com/en-us/kb/3140245



utilizzato per accedere al sistema Windows è l'account utilizzato per ottenere ipacchetti ThinApp dalla condivisione di rete. Tale account deve disporre delleautorizzazioni appropriate sulla condivisione di rete per leggere ed eseguire ifile sulla condivisione.

Importante La modalità RUN_FROM_SHARE richiede che la condivisione diThinApp sia raggiungibile dalla macchina Windows dell'utente.

Il valore predefinito è COPY_TO_LOCAL.

Per tutte le modalità, la condivisione di rete deve avere le autorizzazioni su file econdivisione appropriate. Vedere Installazione e configurazione diVMware Identity Manager.

Importante Quando si installa VMware Identity Manager Desktop in desktopView dinamici, utilizzare l'opzione RUN_FROM_SHARE per impedire la copia deipacchetti ThinApp in questi sistemi desktop di View stateless.

Quando l'applicazione VMware Identity Manager Desktop viene installata con unadi queste configurazioni, l'account dell'utente che accede al sistema Windowsdeve avere le autorizzazioni su file e condivisione appropriate sulla condivisione direte per poter ottenere i pacchetti ThinApp:n L'opzione RUN_FROM_SHAREn L'opzione COPY_TO_LOCAL, senza avere anche l'opzione

AUTO_TRY_HTTP attivata e l'accesso basato su account configurato inVMware Identity Manager

POLLING_INTERVAL

Frequenza insecondi

Imposta la frequenza, in secondi, della sincronizzazione tra l'applicazione VMwareIdentity Manager Desktop installata e VMware Identity Manager per verificare lapresenza di nuovi pacchetti ThinApp o permessi. Se non specificato, vieneapplicato il valore predefinito di 300 secondi (5 minuti).

Ad esempio:

POLLING_INTERVAL=600

ENABLE_AUTOUPDATE

0 o 1 Attiva o disattiva il controllo di aggiornamento automatico e l'attività di download.Se attivata, l'applicazione VMware Identity Manager Desktop installata controllaautomaticamente se è disponibile un'applicazione più recente per il download. Seè disponibile una versione più recente, l'applicazione VMware Identity ManagerDesktop viene scaricata e aggiornata automaticamente alla versione più recente.Questa opzione è attivata per impostazione predefinita.

Impostare il valore di questa variabile su 0 per disattivare l'aggiornamentoautomatico. Se non specificato, viene applicato il valore predefinito 1.

L'installazione di aggiornamenti automatici richiede privilegi di amministratore.


VMware, Inc. 113



SHARED_CACHE 0 o 1 Determina se la cache del pacchetto ThinApp si trova in una cartella comune nelsistema Windows in cui si sta installando l'applicazione client. Impostare il valoredi questa variabile su 1 per specificare che tutti gli account utente nel sistemaWindows condividono una posizione di cache comune. Per impostazionepredefinita, la cartella comune è %ProgramData%\VMware\Identity ManagerDesktop\thinapp.

Se non specificato, viene applicato il valore predefinito 0 e ogni account utente diWindows ottiene la propria cache; la posizione predefinita è %LOCALAPPDATA%\VMware\Identity Manager Desktop\thinapp.

Nota Se si specifica una cache condivisa, l'applicazione VMware IdentityManager Desktop non elimina automaticamente i pacchetti ThinApp da questacache condivisa. Dato che SHARED_CACHE=1 indica che tutti gli account utentenel sistema Windows condividono la stessa posizione, i pacchetti devonorimanere nella posizione condivisa in modo che gli utenti autorizzati possanoutilizzarli, anche quando si rimuovono i permessi a un utente. Quando si annullanoi permessi di un utente dal pacchetto ThinApp, l'applicazione VMware IdentityManager Desktop annulla la registrazione del pacchetto per l'utente. Gli altri utentiautorizzati di quel sistema Windows possono continuare a utilizzare il pacchettoThinApp. È possibile eliminare manualmente la cache comune per liberare spaziose nessun account utente sul sistema Windows è autorizzato a utilizzare pacchettiThinApp. Ogni pacchetto ThinApp ha la propria cartella all'interno della posizionedella cache.

CACHE_DIR Percorso dellacartella

Impostare la posizione in cui i pacchetti ThinApp saranno memorizzati in cachelocalmente se sono utilizzate le modalità d'installazione HTTP_DOWNLOAD oCOPY_TO_LOCAL. Questo valore è impostato per sistema, non per utente,pertanto è necessario utilizzare variabili d'ambiente quali %LOCALAPPDATA%,per selezionare posizioni specifiche degli utenti. Accertarsi di utilizzare il caratteredi escape % nella riga di comando per impedire l'espansione immediata. Adesempio:

CACHE_DIR=^%LOCALAPPDATA^%\cache

AUTO_TRY_HTTP 0 o 1 Quando l'applicazione VMware Identity Manager Desktop viene installata conl'opzione COPY_TO_LOCAL e per VMware Identity Manager è configuratol'accesso basato su account, l'opzione AUTO_TRY_HTTP determina se il clientdeve provare a scaricare automaticamente i pacchetti ThinApp autorizzati perl'utente utilizzando il protocollo HTTP, in modo simile all'opzioneHTTP_DOWNLOAD, se il primo tentativo di download non riesce. Questa opzioneè attivata per impostazione predefinita. Impostare il valore di questa opzione su 0per disattivare automaticamente i tentativi di download del protocollo HTTP.

Importante Affinché l'opzione AUTO_TRY_HTTP funzioni, l'integrazione deipacchetti ThinApp in VMware Identity Manager deve essere configurata perl'accesso basato su account. Vedere Requisiti di VMware Identity Manager per ipacchetti ThinApp e il repository della condivisione di rete.


VMware, Inc. 114



INSTALL_MODULES

thinapp Elenco di valori delimitati da virgole che specifica quali moduli installare.Attualmente è disponibile solo il modulo thinapp.

MIGRATE_ACTION Uno dei seguenti:

MOVE

COPY

NONE

Se è installata la vecchia applicazione Workspace per Windows, il programmad'installazione eseguirà la migrazione dei dati e delle impostazionidall'applicazione precedente a quella nuova. Il valore predefinito è MOVE.

In base al valore specificato, le seguenti impostazioni vengono spostate, copiate oignorate.

Pacchetti ThinApp in cacheI pacchetti ThinApp scaricati vengono copiati dalla cache di Workspace perWindows, %LOCALAPPDATA%\VMware\Horizon ThinApp\PackageCache, allanuova posizione della cache, %LOCALAPPDATA%\VMware\Identity ManagerDesktop\thinapp. I nomi delle cartelle all'interno della cartella della cachesaranno modificati.

Importante Le proprietà impostate per VMware Identity Manager durantel'installazione hanno la priorità rispetto a qualsiasi valore migrato per questeproprietà. Se ad esempio INSTALL_MODE in Workspace per Windows è statoimpostato su COPY_TO_LOCAL e durante l'installazione di Identity ManagerDesktop si specifica /v INSTALL_MODE=HTTP_DOWNLOAD, INSTALL_MODE vieneimpostata su HTTP_DOWNLOAD.

Esempio: Utilizzo delle opzioni del programma d'installazione diVMware Identity Manager Desktop da riga di comandoSe l'istanza di VMware Identity Manager ha l'URL https://identitymanagerFQDN eVMware Identity Manager è configurato per l'accesso basato su account nella condivisione di rete deipacchetti ThinApp, e si desidera installare l'applicazione VMware Identity Manager Desktop in modalitàsilenziosa su più desktop di quella istanza di VMware Identity Manager con queste opzioni:

n Opzione d'installazione di ThinApp impostata su HTTP_DOWNLOAD, poiché si prevede che questisistemi Windows molto probabilmente non saranno unità al dominio. VMware Identity Manager ècorrettamente configurato per l'accesso basato su account sulla condivisione di rete dei pacchettiThinApp.

n Il client controlla la presenza di nuovi pacchetti e permessi con VMware Identity Manager ogni 60secondi.

È possibile creare uno script che richiami il comando seguente:

VMware-Identity-Manager-Desktop-n.n.n-nnnnnnn.exe /s

/v/qn WORKSPACE_SERVER="https://identitymanagerFQDN" INSTALL_MODE=HTTP_DOWNLOAD POLLING_INTERVAL=60

dove n.n.n-nnnnnnn viene sostituito dalla parte di nome file corrispondente al nome del programmad'installazione di VMware Identity Manager Desktop scaricato.


VMware, Inc. 115

Installazione dell'applicazione VMware Identity ManagerDesktop con impostazioni uguali in più sistemi WindowsPer distribuire l'applicazione VMware Identity Manager Desktop in più sistemi Windows applicando lestesse impostazioni di configurazione in tutti i sistemi, è possibile implementare uno script che installal'applicazione VMware Identity Manager Desktop utilizzando le opzioni di installazione da riga dicomando.

Importante Quando si distribuisce VMware Identity Manager Desktop in modalità silenziosa, i messaggidi errore non vengono visualizzati a schermo. Per verificare l'eventuale comparsa di errori duranteun'installazione silenziosa, monitorare la cartella %TEMP% e controllare se vengono creati nuovi filevminst.XXXXXX.log. In questi file vengono registrati i messaggi di errore di un'installazione silenziosanon riuscita.

In genere, questo scenario di distribuzione è utilizzato per sistemi Windows che sono desktop di View.Per una descrizione delle impostazioni da utilizzare per desktop di View non permanenti (definiti anchedinamici o stateless), vedere GUID-43458142-EC18-4EE7-AD9D-13B7CC6FEF44#GUID-43458142-EC18-4EE7-AD9D-13B7CC6FEF44.

Prerequisiti

n Verificare che i sistemi Windows eseguano i sistemi operativi Windows supportati dalla versionedell'applicazione VMware Identity Manager Desktop che si sta installando. Consultare la Guida per gliutenti di VMware Identity Manager o le note sulla versione.

n Verificare che sui sistemi Windows siano installati browser supportati.

n Se si desidera eseguire un comando per conoscere le opzioni disponibili prima di creare lo script didistribuzione, è necessario disporre di un sistema Windows su cui eseguire il comando. Il comandoper elencare le opzioni è disponibile solo su un sistema Windows. Vedere Opzioni del programmad'installazione da riga di comando per VMware Identity Manager Desktop.

Procedura

1 Ottenere il file eseguibile del programma d'installazione di VMware Identity Manager Desktop ecollocarlo nel sistema da cui si desidera eseguire il programma d'installazione in modalità silenziosa.

Un metodo per ottenere il file eseguibile è scaricarlo utilizzando la pagina di download del sistemaVMware Identity Manager. Se il sistema VMware Identity Manager è stato configurato per fornire ilprogramma d'installazione dell'applicazione Windows dalla pagina di download, è possibile scaricareil file eseguibile aprendo l'URL della pagina di download in un browser.


VMware, Inc. 116

2 Utilizzando le opzioni da riga di comando del programma d'installazione, creare uno script didistribuzione che soddisfi le esigenze della propria organizzazione.

Esempi di script utilizzabili sono script dei criteri di gruppo di Active Directory, script di accesso, scriptVB, file batch, SCCM e così via.

Ad esempio, se l'URL dell'istanza di VMware Identity Manager è https://identitymanagerFQDN, sidesidera installare in modalità silenziosa il client Windows in sistemi Windows che si prevedesaranno utilizzati fuori dal dominio, con la modalità di distribuzione ThinApp impostata su modalitàdownload e si desidera sincronizzare l'applicazione VMware Identity Manager Desktop con il serverogni 60 secondi, è possibile creare uno script che richiami il comando seguente:

VMware-Identity-Manager-Desktop-n.n.n-nnnnnnn.exe /s

/v /qn WORKSPACE_SERVER="https://identitymanagerFQDN" INSTALL_MODE=HTTP_DOWNLOAD

POLLING_INTERVAL=60

dove n.n.n-nnnnnnn viene sostituito dalla parte di nome file corrispondente a quello del file scaricato.

3 Eseguire lo script di distribuzione sui sistemi Windows.

Se l'installazione silenziosa ha esito positivo, l'applicazione VMware Identity Manager Desktop vienedistribuita nei sistemi Windows. Gli utenti che accedono a questi sistemi Windows possono accedere allerisorse per cui sono autorizzati.

Nota Un pacchetto ThinApp autorizzato a un utente viene trasmesso o scaricato e memorizzato incache nel sistema Windows dell'utente allo scadere dell'intervallo di polling. In questo modo gli utentipotranno vedere il pacchetto ThinApp elencato quando accedono al portale utente diVMware Identity Manager. Il pacchetto ThinApp non viene avviato finché il client non sincronizzal'applicazione al successivo intervallo di polling.


Verificare che VMware Identity Manager Desktop sia installato correttamente sui sistemi Windowsprovando a eseguire alcune delle tipiche attività degli utenti.

Aggiunta dei file del programma di installazione diVMware Identity Manager Desktop alle appliance virtualidi VMware Identity ManagerQuando vengono rilasciate nuove versioni di VMware Identity Manager Desktop, è necessario copiare einstallare il file zip dalla pagina Download VMware su ogni appliance virtuale di VMware Identity Managerpresente nella propria distribuzione. Eseguire il comando check-client-updates.pl per distribuire i filedel programma di installazione e riavviare il servizio Tomcat su ogni appliance virtuale.


VMware, Inc. 117

Prerequisiti

n Per installare e aggiornare automaticamente l'applicazione VMware Identity Manager Desktop gliutenti devono disporre dei privilegi da amministratore. Se gli utenti non dispongono dei privilegi daamministratore, sarà possibile utilizzare gli strumenti di distribuzione software per distribuire eaggiornare l'applicazione per gli utenti.

n Pianificare l'aggiunta di tali file del programma di installazione alle appliance virtuali di VMwareIdentity Manager durante un periodo di manutenzione in quanto l'appliance virtuale viene riavviata equesto potrebbe interrompere l'accesso dell'utente.

Procedura

1 Scaricare il file zip di VMware Identity Manager Desktop dalla pagina My VMware Downloads su uncomputer che possa accedere all'appliance virtuale di VMware Identity Manager.

2 Copiare il file zip in un percorso temporaneo sull'appliance virtuale. Ad esempio:

scp filen.n.n-nnnnnnn.zip [email protected]:/tmp/

3 Accedere all'appliance virtuale come utente root.

4 Decomprimere lo zip e installare il nuovo file nella directory Download.

/usr/local/horizon/scripts/check-client-updates.pl --install --clientfile /tmp/file.n.n.n-nnnnn.zip

Questo script decomprime automaticamente i file e copia il file del programma di installazione diVMware Identity Manager Desktop per i computer Windows nelladirectory /opt/vmware/horizon/workspace/webapps/ROOT/client. Lo script aggiornaautomaticamente nella directory /opt/vmware/horizon/workspace/webapps/ROOT/client/cds eaggiorna il valore del parametro dell'URL per il collegamento dei download.

5 Riavviare il servizio Tomcat sull'appliance virtuale.

6 Ripetere questi passi per ogni appliance virtuale di VMware Identity Manager presente nel proprioambiente.

Gli utenti possono scaricare l'applicazione Identity Manager Desktop dai relativi account diVMware Identity Manager o con il collegamento di download,https://IdentityManagerFQDN/download. Le applicazioni Identity Manager Desktop degli utentivengono aggiornate automaticamente quando si scarica la nuova versione.

Utilizzo dell'applicazione da riga di comando hws-desktop-ctrl.exeL'applicazione VMware Identity Manager Desktop include un'applicazione da riga di comando, hws-desktop-ctrl.exe, che può essere utilizzata per eseguire operazioni relative all'utilizzo dei pacchettiThinApp nel sistema Windows dell'utente.


VMware, Inc. 118

Il processo di installazione per l'applicazione VMware Identity Manager Desktop installa hws-desktop-ctrl.exe nella cartella HorizonThinApp che si trova nella posizione della directory di Windows in cui èinstallata l'applicazione VMware Identity Manager Desktop.

Per utilizzare l'applicazione hws-desktop-ctrl.exe per eseguire uno dei suoi comandi supportati, usare ilformato seguente.

hws-desktop-ctrl.exe command options

Comando Descrizione

hws-desktop-ctrl.exe recheck Questo comando esegue immediatamente una verifica dei permessi dei pacchettiThinApp associati all'account utente che ha eseguito l'accesso all'applicazione VMwareIdentity Manager Desktop. Qualsiasi nuovo pacchetto ThinApp autorizzato o aggiornatodi recente viene sincronizzato.

hws-desktop-ctrl.exe set

InstallMode=install_mode

Questo comando modifica la modalità di distribuzione di ThinApp utilizzata per i pacchettiThinApp nel sistema Windows. Poiché questo comando modifica le chiavi del registroassociate alla modalità di distribuzione di ThinApp, solo gli amministratori che dispongonodelle autorizzazioni appropriate per il registro possono modificare la modalità diinstallazione mediante questo comando.

I valori disponibili per install_mode sono:n CopyToLocal

n RunFromShare

n HttpDownload

hws-desktop-ctrl.exe

authorize guid=ThinApp_GUID

path=package_path

Questo comando verifica se un pacchetto ThinApp può essere avviato, ma non avviaeffettivamente il pacchetto ThinApp. Specificare il GUID del pacchetto ThinApp e ilpercorso del file eseguibile del pacchetto. Se la modalità di download di ThinApp vieneutilizzata per i pacchetti nel sistema client Windows, il percorso è relativo alla cartella rootdella cache locale, ovvero lo stesso del percorso relativo al root del repository. Unesempio è

hws-desktop-ctrl.exe authorize guid= 436E1D7D-552C-4F70-8197-DB1B05D30394 path="FileZilla Client 3.3.2/FileZilla.exe"

Il GUID del pacchetto ThinApp, il percorso dell'applicazione e il nome del file eseguibilesono disponibili nella pagina delle risorse corrispondente della console di VMware IdentityManager.

hws-desktop-ctrl.exe quit Questo comando indica all'applicazione VMware Identity Manager Desktop di eseguireun'uscita pulita.

hws-desktop-ctrl.exe launch

app=package_path

url=launch_url

Questo comando viene utilizzato per avviare manualmente un pacchetto ThinApp, in cuipackage_path è il percorso del file eseguibile del pacchetto e launch_url è l'URL delprotocollo di VMware Identity Manager per tale pacchetto nel formatohorizon://package_path. Un esempio è

hws-desktop-ctrl.exe launch app="FileZilla Client 3.3.2/FileZilla.exe" url="horizon://FileZilla Client 3.3.2/FileZilla.exe"

Questo comando non viene in genere utilizzato dagli utenti finali, che possono avviare iloro pacchetti ThinApp autorizzati dal portale Workspace ONE. Il comando viene di solitousato per il debug.


VMware, Inc. 119

Consentire l'accesso a risorsepubblicate Citrix 8È possibile integrare la distribuzione Citrix con VMware Identity Manager per fornire agli utenti diWorkspace ONE l'accesso alle risorse pubblicate da Citrix.


n Panoramica dell'integrazione delle risorse pubblicate da Citrix

n Componenti di richiesti per l'integrazione di Citrix

n Progettazione integrazione di alto livello

n Prerequisiti per l'integrazione di Citrix

n Configurazione di server farm Citrix in VMware Identity Manager

n Configurazione di avvio di risorse Citrix in VMware Identity Manager

n Configurazione delle impostazioni di VMware Identity Manager per l'integrazione di Citrix

n Impatto dell'aggiornamento sull'integrazione di risorse pubblicate da Citrix

Panoramica dell'integrazione delle risorse pubblicate daCitrixÈ possibile consentire agli utenti di Workspace ONE di accedere alle risorse pubblicate da Citrixintegrando la distribuzione di Citrix con VMware Identity Manager. Le risorse pubblicate Citrix includonoapplicazioni e desktop nelle server farm Citrix XenApp e Citrix XenDesktop. I desktop vengono anchedenominati gruppi di consegna pubblicati Citrix.

Gestire i desktop e le applicazioni pubblicate da Citrix nell'interfaccia amministrativa di Citrix. Anche ipermessi di utenti e gruppi vengono impostati nell'interfaccia di Citrix, non nel servizioVMware Identity Manager. È necessario sincronizzare tali utenti e gruppi al servizioVMware Identity Manager da Active Directory prima di procedere all'integrazione con le server farm Citrix.

Per integrare server farm Citrix con VMware Identity Manager, creare una o più raccolte app virtuali nellaconsole di VMware Identity Manager. Le raccolte contengono le informazioni di configurazione per leserver farm, nonché le impostazioni di sincronizzazione.

È possibile impostare una pianificazione di sincronizzazione per ogni raccolta al fine di sincronizzareregolarmente risorse e permessi dalle server farm Citrix con il servizio VMware Identity Manager.

VMware, Inc. 120

Dopo aver integrato la server farm Citrix, è possibile visualizzare i permessi e le risorse sincronizzatenella console di VMware Identity Manager. È anche possibile modificare le impostazioni di sessioni ICA,come ad esempio le impostazioni che controllano la risoluzione o la compressione. È possibileconfigurare le impostazioni globalmente, per tutte le risorse Citrix nel catalogo diVMware Identity Manager, oppure per risorse Citrix individuali.

Gli utenti finali possono avviare applicazioni e desktop pubblicati da Citrix dal portale o dall'appWorkspace ONE. Possono installare Citrix Receiver sui loro sistemi e dispositivi per accedere alle risorseper cui sono autorizzati.

Nota VMware Identity Manager supporta distribuzioni di Citrix che includono Citrix NetScaler.

Versioni supportaten VMware Identity Manager supporta Citrix XenApp 6.0 e 6.5, XenApp e XenDesktop 7.x, nonché Citrix

Virtual Apps e Desktops 7 1808.

Nota A partire VMware Identity Manager 3.3, XenApp 5.x non è più supportato.

n VMware Identity Manager supporta Citrix StoreFront API 2.6 e versioni successive.

n I sistemi operativi supportati per Integration Broker, ovvero il componente diVMware Identity Manager che comunica con la server farm Citrix, sono Windows Server 2008 R2,Windows Server 2012, Windows Server 2012 R2 e Windows Server 2016.

n Requisiti della versione di Integration Broker:

Versione di VMware Identity Manager o Connector Versione di Integration Broker supportata

VMware Identity Manager 3.3 3.3

VMware Identity Manager Connector 2018.8.1.0 (connettorepubblicato con VMware Identity Manager 3.3)

3.3



3.2


VMware Identity Manager Connector 2017.12.1.0(connettore pubblicato con VMware Identity Manager 3.1)

3.1

VMware Identity Manager 3.0 3,0


3,0


VMware, Inc. 121


VMware Identity Manager 2.9.1 o versioni precedenti 2.9.1 o versioni precedenti

VMware Identity Manager Connector 2.9.1 o versioniprecedenti

2.9.1 o versioni precedenti

Nota Per utilizzare le API di Citrix StoreFront, è necessario Integration Broker 2.9.1 o versionesuccessiva. Per utilizzare XenApp o XenDesktop 7.x, è necessario Integration Broker 2.6 o versionesuccessiva. Per utilizzare la funzionalità NetScaler, è necessario Integration Broker 2.4 o versionesuccessiva.

Nota È consigliabile utilizzare la versione più recente di VMware Identity Manager e relativi componenti.

Componenti di richiesti per l'integrazione di CitrixPer integrare una distribuzione Citrix con il servizio VMware Identity Manager, sono necessari icomponenti riportati di seguito.

n Un'istanza di VMware Identity Manager installata on-premise.

n Un'istanza di Integration Broker installata su un server Windows supportato in locale. IntegrationBroker, un componente di VMware Identity Manager, è il componente che comunica con i farm delserver Citrix.

È possibile scaricare Integration Broker dal sito https://my.vmware.com.

n Una distribuzione Citrix on-premise.

Durante la distribuzione dei componenti, assicurarsi di rispondere ai requisiti riportati di seguito:

n Il servizio VMware Identity Manager deve poter comunicare con Integration Broker. Se sidistribuiscono più istanze dell'appliance del servizio, assicurarsi che tutte possano comunicare conIntegration Broker.

n Integration Broker deve poter comunicare con la server farm Citrix.

Nota È consigliabile utilizzare la versione più recente di VMware Identity Manager e relativi componenti.

Progettazione integrazione di alto livelloVMware Identity Manager utilizza Integration Broker e altri componenti per sincronizzare le risorsepubblicate da Citrix con VMware Identity Manager e per avviare le risorse dal portale o dall'appWorkspace ONE.

Sincronizzazione di risorse e permessi pubblicati da CitrixVMware Identity Manager sincronizza applicazioni e desktop pubblicati da Citrix, nonché permessi utente,dalla server farm Citrix al servizio VMware Identity Manager. È possibile impostare una pianificazione disincronizzazione per sincronizzare permessi e risorse a intervalli regolari.


VMware, Inc. 122

La farm Citrix è l'origine di tutte le operazioni supportate in VMware Identity Manager. È possibile gestirele risorse e autorizzare gli utenti all'utilizzo di tali risorse in Citrix.

Quando le risorse o i permessi vengono aggiunti, modificati o eliminati nella farm Citrix, le informazioni inVMware Identity Manager vengono aggiornate dopo una sincronizzazione.

Diagramma dell'architettura di sincronizzazione

WorkspaceONE

Configurazione di VMware Identity

Manager

Servizio VMware Identity

Manager

ActiveDirectory

connettore PowerShell

CitrixReceiver

4 3

2

3

21

• Receiver Client• HTML5 Receiver• Receiver For Web (Browser)

Integration Broker

1

Host sessione

Componenti di Citrix

Configurazione Citrix

StoreFront

Controller

Server XML Host sessione

Host sessione

n Gli utenti e i gruppi vengono sincronizzati dalla directory aziendale al servizio VMware IdentityManager mediante di VMware Identity Manager Connector.

n I permessi e le risorse pubblicati da Citrix vengono sincronizzati dalla server farm Citrix a VMwareIdentity Manager mediante il connettore, Integration Broker e PowerShell SDK.

Avvio di applicazioni e desktop pubblicati da CitrixVMware Identity Manager utilizza il componente Integration Broker e Citrix Web Interface SDK o RESTAPI Citrix StoreFront per avviare le applicazioni pubblicate da Citrix dal portale o dall'app WorkspaceONE. È possibile configurare l'accesso interno ed esterno alle risorse pubblicate da Citrix. Gli utenti finalidevono installare Citrix Receiver sul proprio sistema o dispositivo per avviare i desktop e le applicazioni.


VMware, Inc. 123

Diagramma dell'architettura di avvio (accesso interno)

WorkspaceONE


Manager

Web InterfaceSDK/

StoreFront API

REST API Autenticazione

e richiesta di file ICA

File ICA

Citrix Receiver

1

45

3

6

2

connettore Integration Broker

Host sessione



StoreFront

Controller

Server XML

Server STA

Host sessione

Host sessione

1 Un utente avvia un'applicazione o un desktop pubblicato da Citrix dal portale o dall'app WorkspaceONE.

2 La richiesta passa al servizio VMware Identity Manager, al connettore e a Integration Broker.

3 Integration Broker comunica con la server farm Citrix tramite Web Interface SDK o REST APIStoreFront per eseguire l'autenticazione e richiedere il file ICA.

4 Il file ICA viene recuperato e inviato all'app o al portale Workspace ONE.

5 Il file ICA viene inviato a Citrix Receiver.

6 Citrix Receiver avvia l'applicazione o il desktop.


VMware, Inc. 124

Diagramma dell'architettura di avvio (accesso esterno)

WorkspaceONE

Host sessione




Manager

Web InterfaceSDK/

StoreFront API

StoreFrontREST API

Autenticazione e richiesta di file ICA

File ICA

Citrix Receiver

1

45

3

6

8

7

2

NetScaler

connettore Integration Broker

Controller

Server XML

Server STA

Host sessione

Host sessione

1 Un utente avvia un'applicazione o un desktop pubblicato da Citrix dal portale o dall'app WorkspaceONE.

2 La richiesta passa al servizio VMware Identity Manager, al connettore e a Integration Broker.

3 Integration Broker comunica con la server farm Citrix tramite Web Interface SDK o REST APIStoreFront per eseguire l'autenticazione e richiedere il file ICA.

4 Il file ICA viene recuperato e inviato all'app o al portale Workspace ONE.

5 Il file ICA viene inviato a Citrix Receiver.

6 Citrix Receiver comunica con NetScaler.

7 NetScaler comunica con il server STA Citrix con il ticket STA e recupera le informazioni del serverdella sessione Citrix.

8 NetScaler comunica con il server host della sessione Citrix e crea una sessione per l'avviodell'applicazione.

Nota Nella versione 7.x, il server host della sessione Citrix è il server Citrix VDA. Nella versione 6.5,è il server Citrix Worker.


VMware, Inc. 125

Utilizzo di REST API StoreFront o di Web Interface SDK per l'avvioIntegration Broker può utilizzare Citrix Web Interface SDK e REST API Citrix StoreFront per comunicarecon la distribuzione Citrix e avviare applicazioni e desktop. Quando si utilizza REST API StoreFront,Integration Broker opera come un client REST. Web Interface SDK e REST API StoreFront vengonoutilizzati per eseguire l'autenticazione e generare il file ICA dalla distribuzione Citrix.

È possibile specificare l'opzione da utilizzare selezionando l'opzione Usa StoreFront o Usa Web InterfaceSDK nella pagina di configurazione di Citrix nella console di VMware Identity Manager.

Un'istanza di Integration Broker può utilizzare sia Web Interface SDK sia REST API StoreFront. Se sidesidera comunicare con una farm Citrix mediante Web Interface SDK e con un'altra farm di Citrixmediante la REST API di StoreFront, effettuare le selezioni appropriate per entrambe.

Per utilizzare l'opzione REST API StoreFront, disponibile in VMware Identity Manager 2.9.1 e versionisuccessive, assicurarsi che siano soddisfatti i requisiti seguenti.

n Utilizzare l'API StoreFront 2.6 o versione successiva.

n Installare Integration Broker 2.9.1 o versione successiva.

n Assicurarsi che StoreFront sia supportato dalla versione di XenApp o XenDesktop in uso.

n Assicurarsi che Integration Broker possa comunicare con il server di StoreFront.

Quando si abilita REST API StoreFront, Integration Broker comunica con il server di StoreFront pergenerare il file ICA.

n Nel server di StoreFront, quando si configura l'autenticazione per un archivio, i domini attendibilipossono essere configurati per il metodo di autenticazione "Nome utente e password". Se siconfigurano domini attendibili, assicurarsi di aggiungere i nomi dei domini nel formato nome dominiocompleto all'elenco di "Domini attendibili". Se si utilizzano nomi NetBIOS per StoreFront, aggiungereil nome dominio completo oltre il nome NetBIOS. VMware Identity Manager richiede il nome dominiocompleto. Se solo il nome NetBIOS viene aggiunto, l'avvio dell'applicazione e del desktop Citrix daWorkspace ONE avrà esito negativo.


VMware, Inc. 126

Nota Per utilizzare REST API StoreFront, non è necessario scaricare o copiare file aggiuntivinell'installazione.

Prerequisiti per l'integrazione di CitrixPrima di configurare i dettagli della server farm Citrix nella console di VMware Identity Manager, ènecessario completare alcune attività preliminari obbligatorie. È necessario distribuire e configurareIntegration Broker, un componente di VMware Identity Manager, su un Windows Server supportato econfigurare la comunicazione remota di Citrix PowerShell per abilitare la comunicazione tra IntegrationBroker e la server farm Citrix.

Le attività di alto livello includono quanto segue:

n Preparare Windows Server per l'installazione di Integration Broker.

n Aggiungere ruoli e funzionalità.

n Installare Microsoft J# 2.0 Redistributable Package.

Microsoft J# 2.0 non è necessario se si intende utilizzare REST API Storefront anziché Citrix WebInterface SDK per connettersi alla server farm Citrix.

n Installare Integration Broker.

n Scaricare e installare Integration Broker.

n Configurare le impostazioni di Gestione IIS per Integration Broker.

n Configurare il binding HTTPS per Integration Broker.

n Impostare la comunicazione remota di Citrix PowerShell per attivare le chiamate remote tra il serverdi Integration Broker e la server farm Citrix.

n Installare Citrix PowerShell SDK sul server di Integration Broker.


VMware, Inc. 127

n Abilitare la comunicazione remota di PowerShell sui server Citrix (solo per Citrix 6.0).

n Scaricare e copiare i file dll di Citrix Web Interface SDK.

Citrix Web Interface SDK non è necessario se si intende utilizzare REST API di Storefront per laconnessione alla server farm Citrix.

Guardare il video seguente per una panoramica del processo.

Installazione di Integration Broker per desktop e applicazioni pubblicate da Citrix(http://link.brightcove.com/services/player/bcpid2296383276001?bctid=ref:video_integration_broker_citrix)

Informazioni sulla distribuzione di Integration BrokerIntegration Broker è un componente di VMware Identity Manager utilizzato per comunicare con la serverfarm Citrix. Installare Integration Broker in locale su un server Windows supportato.

Attenersi alle linee guida quando si distribuisce Integration Broker.

n È possibile installare Integration Broker su Windows Server 2016, Windows Server 2012 R2,Windows Server 2012 o Windows Server 2008 R2.

Tabella 8‑1. Requisiti del server di Integration Broker

Requisito Note

Windows Server 2016, Windows Server 2012 R2, WindowsServer 2012 o Windows Server 2008 R2 con processoredual core

4 GB RAM

30 GB Include lo spazio di archiviazione richiesto per il sistemaoperativo Windows.

n Requisiti della versione di Integration Broker:




3.3



3.2


VMware Identity Manager Connector 2017.12.1.0(connettore pubblicato con VMware Identity Manager 3.1)

3.1

VMware Identity Manager 3.0 3,0


3,0


VMware, Inc. 128

http://link.brightcove.com/services/player/bcpid2296383276001?bctid=ref:video_integration_broker_citrix

http://link.brightcove.com/services/player/bcpid2296383276001?bctid=ref:video_integration_broker_citrix


VMware Identity Manager 2.9.1 o versioni precedenti 2.9.1 o versioni precedenti

VMware Identity Manager Connector 2.9.1 o versioniprecedenti

2.9.1 o versioni precedenti

Nota Per utilizzare REST API di Citrix StoreFront, è necessario Integration Broker 2.9.1 o versionesuccessiva. Per utilizzare XenApp o XenDesktop 7.x, è necessario Integration Broker 2.6 o versionesuccessiva. Per utilizzare la funzionalità NetScaler, è necessario Integration Broker 2.4 o versionesuccessiva.

Nota È consigliabile utilizzare la versione più recente di VMware Identity Manager e relativicomponenti.

n VMware Identity Manager Connector deve poter comunicare con Integration Broker. Se sono presentipiù istanze del connettore, verificare che tutte possano comunicare con Integration Broker.

Nota È necessario connettersi tramite SSL a qualsiasi istanza di Integration Broker utilizzata perl'avvio.

n Una singola istanza di Integration Broker può supportare più ambienti Citrix 6.x e 7.x.

n Se si utilizza VMware Enterprise Systems Connector su Windows, seguire queste indicazioni.

n Scaricare Integration Broker dalla pagina del prodotto VMware Identity Manager in My VMware.

n È consigliabile installare Integration Broker e VMware Enterprise Systems Connector in serverdiversi.

n Se si installa Integration Broker nello stesso server del connettore, assicurarsi che le porte deibinding HTTP e HTTPS non siano in conflitto con le porte utilizzate dal componente VMwareIdentity Manager Connector.

Il componente VMware Identity Manager Connector utilizza sempre la porta 80. Utilizza anche laporta 443, a meno che durante l'installazione non venga configurata un'altra porta.

n Durante l'installazione del connettore, viene generato un certificato autofirmato. Se si installaIntegration Broker nello stesso server del connettore, è possibile utilizzare questo certificato.Installare il certificato in Microsoft Store e utilizzarlo per il binding HTTPS.

n Prima di iniziare, pianificare la strategia di distribuzione. Vedere Modelli di distribuzione di IntegrationBroker per le raccomandazioni relative agli scenari più comuni.

Modelli di distribuzione di Integration BrokerDistribuire una o più istanze di Integration Broker, in base alle esigenze dell'azienda. I seguenti modelli didistribuzione sono basati su scenari comuni.


VMware, Inc. 129

https://my.vmware.com

Ambienti di prototipazione

Negli ambienti di prototipazione, dove si configurano solo poche applicazioni pubblicate da Citrix inVMware Identity Manager per acquisire familiarità con il processo di integrazione e con l'esperienzadell'utente finale, è consigliabile configurare una singola istanza di Integration Broker. Selezionare lastessa istanza di Integration Broker come Integration Broker per la sincronizzazione e SSO IntegrationBroker nella raccolta di app virtuali.

VMware IdentityManager Service

Connettore VMwareIdentity Manager

IntegrationBroker

Sincronizza

Avvia

Ambienti di test

In piccoli ambienti di test, in cui si desidera testare il flusso intero inclusi sincronizzazione e avvio, èconsigliabile distribuire due istanze di Integration Broker, una per la sincronizzazione di risorse epermessi e l'altra per l'avvio di risorse. In questo scenario, in genere si integrano solo alcune applicazionie non si prevede un gran numero di utenti che avviano contemporaneamente le applicazioni.

Selezionare una delle istanze come Integration Broker per la sincronizzazione e l'altra come SSOIntegration Broker nella raccolta di app virtuali.



IntegrationBroker

IntegrationBroker

Sincronizza

Avvia

Ambienti di produzione

Negli ambienti di produzione, è consigliabile configurare un cluster di istanze di Integration Broker dietroun bilanciamento del carico a scopi di alta disponibilità e bilanciamento del carico. Se una delle istanze diIntegration Broker non è disponibile, la sincronizzazione e l'avvio restano disponibili perché le richiestevengono reindirizzate a un'altra istanza del cluster.

Immettere le informazioni sul bilanciamento del carico nei campi Sincronizza Integration Broker e SSOIntegration Broker nella raccolta di app virtuali.


VMware, Inc. 130



IntegrationBroker

Bilanciamentodel carico

IntegrationBroker

Sincronizza

Avvia

Ambienti di produzione su larga scala

Negli ambienti di produzione di grandi dimensioni che integrano un gran numero di applicazioni e sonosoggetti a un traffico elevato, è consigliabile configurare cluster di Integration Broker separati persincronizzare e avviare. Configurare ciascun cluster dietro un bilanciamento del carico. Questaimplementazione offre la flessibilità di aumentare il numero di istanze in base a esigenze specifiche. Sead esempio si verificano ritardi a causa di un numero elevato di avvii simultanei, è possibile aggiungerepiù istanze di Integration Broker al cluster utilizzato per l'avvio.

Immettere i bilanciamenti del carico appropriati nei campi Sincronizza Integration Broker e SSOIntegration Broker nella raccolta di app virtuali.

Nota Per un'istanza di Integration Broker che viene utilizzata solo per l'avvio e non per lasincronizzazione, non è necessario configurare la comunicazione remota di Citrix PowerShell. Inoltre, sesi utilizzano le REST API di StoreFront per connettersi alla server farm Citrix, non è necessario scaricareCitrix Web Interface SDK.


VMware, Inc. 131



IntegrationBroker

IntegrationBroker

Bilanciamentodel carico

Bilanciamentodel carico Integration

Broker

Sincronizza

Avvia

Preparazione di Windows Server per l'installazione di IntegrationBrokerPrima di installare Integration Broker, è necessario configurare il server Windows.

I seguenti sistemi operativi sono supportati per il server Integration Broker.

n Windows Server 2008 R2

n Windows Server 2012

n Windows Server 2012 R2

n Windows Server 2016

Nota Vedere le tabelle di interoperabilità dei prodotti VMware all'indirizzohttp://www.vmware.com/resources/compatibility/sim/interop_matrix.php per informazioni aggiornate sulleversioni supportate.


VMware, Inc. 132

Aggiunta di ruoli e funzionalità di Windows Server (Windows Server 2012 R2,2012 o 2008 R2)Aggiungere i ruoli, le funzionalità e i servizi dei ruoli necessari nel server Integration Broker.

Nota Le fasi illustrate in questa procedura fanno riferimento all'interfaccia utente di Windows Server2012 R2 o Windows Server 2012. Dove applicabile, sono riportate le eventuali differenze per WindowsServer 2008 R2.

Per aggiungere ruoli e servizi in Windows Server 2016, vedere Aggiunta di ruoli e funzionalità di WindowsServer (Windows Server 2016).

Prerequisiti

n Verificare che siano installati gli ultimi aggiornamenti di Windows Server 2008 R2, Windows Server2012 o Windows Server 2012 R2. Per verificare la disponibilità di aggiornamenti, selezionarePannello di controllo > Windows Update.

n Creare un pool di applicazioni, se necessario. È possibile utilizzare il pool di applicazioni predefinito ocreare un pool di applicazioni dedicato a Integration Broker.

Procedura

1 Selezionare Start > Server Manager.

2 In Server Manager, selezionare Gestisci > Aggiungi ruoli e funzionalità.

3 Nella procedura guidata Aggiungi ruoli e funzionalità, fare clic su Avanti fino a quando non vienevisualizzata la pagina Ruoli server.


VMware, Inc. 133

4 Selezionare i seguenti ruoli, quindi fare clic su Avanti.

Ruoli n Server applicazionin Servizi file e archiviazionen Server Web (IIS)

Nota Quando si seleziona il Server Web (IIS), viene visualizzata una finestra di dialogo che chiede diconfermare le funzionalità necessarie per il Server Web (IIS). Verificare che sia incluso Strumenti di gestione ,quindi fare clic su Aggiungi funzionalità.


VMware, Inc. 134

5 Nella pagina Funzionalità, selezionare le funzionalità seguenti.

Funzionalità n Funzionalità .NET Framework 3.5n .NET Framework 3.5 (include .NET 2.0 e 3.0)n Attivazione HTTP

Quando si seleziona Attivazione HTTP, viene visualizzata una finestra di dialogo che chiede diconfermare le funzionalità necessarie per l'attivazione HTTP. Fare clic su Aggiungi funzionalità.

Nota In Windows Server 2008 R2, selezionare queste opzioni:n Funzionalità .NET Framework 3.5

n .NET Framework 3.5n Attivazione di WCF

n Attivazione HTTP

n HWC (Hostable Web Core) di IISn Servizio Attivazione processo Windowsn Estensione IIS di Gestione remota Windows

Ad esempio:

Figura 8‑1. Windows Server 2012 R2

6 Fare clic su Avanti, quindi fare ancora clic su Avanti per visualizzare la pagina Servizi ruolo serverapplicazioni.


VMware, Inc. 135

7 Nella pagina Servizi ruolo server applicazioni, selezionare i seguenti servizi ruolo.

Servizi ruoloserverapplicazioni

Servizi ruolo server applicazionin .NET Framework 4.5 (non cambiare se preselezionato)n Supporto Server Web (IIS)

Nota Quando si seleziona il Server Web (IIS), viene visualizzata una finestra di dialogo che chiede diconfermare le funzionalità necessarie per il Server Web (IIS). Fare clic su Aggiungi funzionalità.

n Supporto per il servizio Attivazione processo Windowsn Attivazione HTTP

Per esempio:

8 Fare clic su Avanti, quindi fare ancora clic su Avanti per visualizzare la pagina Servizi ruolo RuoloServer Web (IIS).


VMware, Inc. 136

9 Nella pagina Servizi ruolo Ruolo Server Web (IIS), selezionare i seguenti servizi ruolo.

Servizi ruolo Ruolo Server Web(IIS)

n Server Webn Accettare le impostazioni predefiniten Abilitare l'opzione seguente:

n Strumenti di gestionen Console di gestione IISn Compatibilità di gestione IIS 6

Per esempio:


11 Fare clic su Installa.

12 Al termine dell'installazione, fare clic su Chiudi per chiudere la procedura guidata Aggiungi ruoli efunzionalità.


Installare Microsoft Visual J# 2.0 Redistributable Package, se necessario.

Aggiunta di ruoli e funzionalità di Windows Server (Windows Server 2016)Aggiungere le funzionalità e i ruoli di Windows Server necessari nel server Integration Broker.

Nota I passaggi di questa procedura si riferiscono all'interfaccia utente di Windows Server 2016. PerWindows Server 2012 R2, Windows Server 2012 e Windows Server 2008 R2, vedere Aggiunta di ruoli efunzionalità di Windows Server (Windows Server 2012 R2, 2012 o 2008 R2).

Prerequisiti

n Verificare che sia installato Windows Server 2016 con gli aggiornamenti più recenti.


VMware, Inc. 137

n Creare un pool di applicazioni, se necessario. È possibile utilizzare il pool di applicazioni predefinito ocreare un pool di applicazioni dedicato a Integration Broker.

Procedura

1 Selezionare Start > Server Manager.

2 In Server Manager, selezionare Gestisci > Aggiungi ruoli e funzionalità.

3 Nella procedura guidata Aggiungi ruoli e funzionalità, fare clic su Avanti fino a quando non vienevisualizzata la pagina Ruoli server.

4 Nella pagina Ruoli server, selezionare i seguenti ruoli.

n Servizi file e archiviazione

n Servizi di archiviazione

n Server Web (IIS)

n Server Web


VMware, Inc. 138

n Strumenti di gestione


VMware, Inc. 139


6 Nella pagina Funzionalità, selezionare le funzionalità seguenti.

n Funzionalità .NET Framework 3.5

n .NET Framework 3.5 (include .NET 2.0 e 3.0)

n Attivazione HTTP

Quando si seleziona Attivazione HTTP, viene visualizzata una finestra di dialogo che chiededi confermare le funzionalità necessarie per l'attivazione HTTP. Fare clic su Aggiungifunzionalità.

n Funzionalità di .NET Framework 4.6

n .NET Framework 4.6

n ASP.NET 4.6

n Servizi WCF

n Gestione Criteri di gruppo

n HWC (Hostable Web Core) di IIS

n Estensione IIS OData gestione

n Media Foundation

n Accodamento messaggi

n Servizi Accodamento messaggi


VMware, Inc. 140

n Strumenti di amministrazione remota del server

n Supporto per la condivisione di file SMB 1.0/CIFS

n Client Telnet

n Funzionalità di Windows Defender


VMware, Inc. 141

n Windows PowerShell

n Servizio Attivazione processo Windows

n Estensione IIS di Gestione remota Windows

n Supporto di Wow64


VMware, Inc. 142

7 Fare clic su Avanti e nella pagina di conferma, fare clic su Installa.

8 Al termine dell'installazione, fare clic su Chiudi per chiudere la procedura guidata Aggiungi ruoli efunzionalità.


Installare Microsoft Visual J# 2.0 Redistributable Package, se necessario.

Installare Microsoft Visual J# 2.0 64-bit Redistributable PackageScaricare e installare Microsoft Visual J#® 2.0 64-bit Redistributable Package - Second Edition. Questopassaggio non è necessario se si intende utilizzare la REST API Citrix StoreFront anziché Citrix WebInterface SDK per connettersi alla server farm Citrix.

Procedura

1 Scaricare Microsoft Visual j# 2.0 64-bit Redistributable Package - Second Edition dal sito Web diMicrosoft.

2 Fare doppio clic sul file vjredist.exe e seguire la procedura guidata per installare il pacchetto.

Distribuire Integration BrokerPer distribuire Integration Broker, scaricare e installare Integration Broker su un server Windowssupportato, configurare le impostazioni di Gestione IIS e impostare i binding HTTP e HTTPS.

Installazione di Integration BrokerInstallare Integration Broker sul server Windows che è stato configurato.


VMware, Inc. 143

Prerequisiti

n Preparare il server Windows. Vedere Preparare il Server Windows per l'installazione di IntegrationBroker.

n Scaricare Integration Broker dalla pagina del prodotto VMware Identity Manager in My VMware.

Procedura

1 Accedere come amministratore di Windows.

2 Fare clic sul file setup.exe per eseguire il programma di installazione di Integration Broker.

3 Accettare l'accordo di licenza con l'utente finale.

4 Immettere la posizione Web in cui installare Integration Broker.

5 (Facoltativo) Se per Integration Broker è stato creato un pool di applicazioni separato, selezionare ilpool di applicazioni.

Attenzione Non cambiare il nome della directory virtuale.

6 Fare clic su Avanti per completare l'installazione di Integration Broker.


Configurare le impostazioni di Gestione IIS.

Configurazione delle impostazioni di IIS ManagerConfigurare le impostazioni di IIS Manager obbligatorie per Integration Broker.

Nota I passaggi di questa procedura fanno riferimento all'interfaccia utente di Windows Server 2012 oWindows Server 2012 R2.

Prerequisiti

Le credenziali per l'utente di Identity. L'utente di Identity deve soddisfare i seguenti requisiti:

n Utente del dominio

n Privilegi per abilitare la comunicazione remota di PowerShell nel server Integration Broker:

a Avviare PowerShell con privilegi di amministratore

b Avviare Enable-PSRemoting

n Uno dei seguenti ruoli nel server Citrix:

n Almeno Amministratore sola lettura (versione 7.x) o Amministratore sola visualizzazione(versione 6. x)

n Un ruolo di amministratore personalizzato che disponga delle autorizzazioni per eseguire iseguenti cmdlet di PowerShell. Questi cmdlet vengono utilizzati per recuperare applicazioni,server, farm e informazioni sulle icone dalla server farm Citrix.


VMware, Inc. 144

https://my.vmware.com

Su XenApp 6.5:

Get-XAApplication

Get-XAServer

Get-XAAccount

Get-XAApplicationIcon

Get-XAFarm

Su XenApp o XenDesktop 7.x:

Get-BrokerApplication

Get-BrokerIcon

Get-BrokerDesktopGroup

Get-BrokerAccessPolicyRule

Get-BrokerAppEntitlementPolicyRule

Get-BrokerIcon

Get-BrokerEntitlementPolicyRule

Procedura

1 Fare clic su Start > Server Manager.

2 In Server Manager, selezionare Strumenti > Internet Information Services (IIS) Manager.

3 In IIS Manager, configurare il pool di applicazioni che è stato selezionato durante l'installazione diIntegration Broker.

Suggerimento Per verificare il pool di applicazioni corretto, fare clic su Pool di applicazioni nelriquadro a sinistra, fare clic con il pulsante destro del mouse sul pool di applicazioni e scegliereVisualizza applicazioni, quindi verificare che Integration Broker sia visualizzato nell'elenco.

a Nel riquadro a sinistra, fare clic su Pool di applicazioni.

b Selezionare il pool di applicazioni utilizzato per Integration Broker.

c Nel riquadro a destra, fare clic su Impostazioni avanzate.


VMware, Inc. 145

d Nella finestra di dialogo Impostazioni avanzate, configurare le seguenti impostazioni.

Opzione Descrizione

Versione CLR .NET Verificare che il valore sia v2.0.

Nota In Windows 2012 e Windows 2012 R2, il pool di applicazioni potrebbeessere stato configurato per una versione di .NET diversa per impostazionepredefinita. Assicurarsi di configurarlo su v2.0.

Attivare le applicazioni a 32 bit Impostare il valore su True.

Identità 1 Fare clic su Identity.

2 Fare clic sull'icona ....3 Nella finestra di dialogo Pool di applicazioni di Identity che viene

visualizzata, fare clic su Account personalizzato, quindi fare clic suImposta.

4 Immettere il nome utente e la password per l'utente di Identity. Vedere irequisiti per l'utente di Identity nella sezione Prerequisiti.

5 Fare clic su OK e poi ancora su OK.

e Fare clic su OK per chiudere la finestra di dialogo Impostazioni avanzate.


VMware, Inc. 146

Impostare il binding del sito HTTPS per Integration BrokerÈ necessario impostare il binding del sito HTTPS per Integration Broker. Per impostare il binding, ènecessario un certificato SSL per il server Integration Broker. È possibile ottenere un certificato daun'Autorità di certificazione o creare un certificato autofirmato.

Nota Se si utilizza VMware Enterprise Systems Connector in Windows e si installa Integration Brokernello stesso server del connettore, assicurarsi che le porte dei binding HTTP e HTTPS non siano inconflitto con le porte utilizzate dal componente VMware Identity Manager Connector.

Il componente VMware Identity Manager Connector utilizza sempre la porta 80. Utilizza anche la porta443, a meno che durante l'installazione non venga configurata un'altra porta. Per ulteriori informazionisulle porte utilizzate, vedere Installazione e configurazione di VMware Enterprise Systems Connector.

È consigliabile installare Integration Broker e VMware Enterprise Systems Connector in server diversi.

Prerequisiti

n Ottenere un certificato SSL per il server Integration Broker. È possibile ottenere un certificato daun'Autorità di certificazione o creare un certificato autofirmato. Installare il certificato nel MicrosoftStore nel server Integration Broker.

Vedere l'esempio: Creare un certificato autofirmato utilizzando Gestione IIS e l'esempio: Creare uncertificato autofirmato utilizzando OpenSSL.

Nota Se si utilizza VMware Enterprise Systems Connector in Windows e Integration Broker èinstallato nello stesso server del connettore, è possibile utilizzare il certificato autofirmato generatodurante l'installazione del connettore. Installare il certificato in Microsoft Store e utilizzarlo per ilbinding HTTPS.

Procedura

1 In Gestione IIS, nel riquadro a sinistra, fare clic sul sito Web in cui è installato Integration Broker.

Suggerimento Per verificare il sito Web corretto, è possibile espandere il sito nel riquadro a sinistrae verificare che Integration Broker sia elencato sotto di esso.

2 Nel riquadro a destra, sotto Modifica sito, fare clic su Binding.

3 Aggiungere il binding HTTPS mediante il certificato che è stato creato.

a Fare clic su Aggiungi.

b Nel campo Tipo , selezionare https.

c Se si utilizza IIS 8.0 o versioni successive, verificare che il campo Nome host sia vuoto. Nondeve contenere alcun valore.


VMware, Inc. 147

d Nel campo Certificato SSL , selezionare il certificato SSL che è stato creato.

Per esempio:

e Fare clic su OK.

4 Riavviare IIS.

a Aprire la finestra del prompt dei comandi come amministratore.

b Digitare iisreset.


Verificare i binding.

n Verificare che il binding HTTP produca l'output previsto digitandohttp://hostname /IB/API/RestServiceImpl.svc/ibhealthcheck nella barra degli indirizzi di un browser.

Output previsto:

All ok

n Verificare che il binding HTTPS produca l'output previsto digitandohttps://hostname /IB/API/RestServiceImpl.svc/ibhealthcheck nella barra degli indirizzi di un browser.

Output previsto:

All ok

Nota In Internet Explorer, l'output All ok non viene visualizzato direttamente. Al contrario, vienescaricato il file di output. Aprire il file per visualizzare l'output.

Esempio: Creare un certificato autofirmato utilizzando Gestione IIS

È possibile creare un certificato autofirmato per il server Integration Broker utilizzando Gestione IIS.

Procedura

1 Avviare Gestione IIS.

2 Passare a Certificati del server.


VMware, Inc. 148

3 Nel riquadro a destra, sotto Azione, selezionare Creare certificato autofirmato.

4 Seguire la procedura guidata per generare il certificato autofirmato.

Il certificato viene installato automaticamente nel Microsoft store nel server Integration Broker.


Utilizzare il certificato per il binding HTTPS per il sito Web di Integration Broker.

Esempio: creare un certificato autofirmato utilizzando OpenSSL

Queste istruzioni forniscono un esempio di come impostare un certificato autofirmato utilizzandoOpenSSL per Integration Broker.

Procedura

1 Creare un certificato autofirmato per il server Integration Broker.

2 Creare la cartella ibcerts da utilizzare come directory di lavoro.

3 Creare un file di configurazione utilizzando il comando vi openssl_ext.conf.

a Copiare e incollare i comandi OpenSSL riportati di seguito nel file di configurazione.

# openssl x509 extfile params

extensions = extend

[req] # openssl req params

prompt = no

distinguished_name = dn-param

[dn-param] # DN fields

C = US

ST = CA

O = VMware (Dummy Cert)

OU = Horizon Workspace (Dummy Cert)

CN = nomehost (il nome host della macchina virtuale su cui è installato Integration Broker)

emailAddress = EMAIL PROTECTED

[extend] # openssl extensions

subjectKeyIdentifier = hash

authorityKeyIdentifier = keyid:always

keyUsage = digitalSignature,keyEncipherment

extendedKeyUsage=serverAuth,clientAuth

[policy] # certificate policy extension data

Nota Immettere il valore di CN prima di salvare il file.

b Eseguire questo comando per generare una chiave privata.

openssl genrsa -des3 -out server.key 1024

c Immettere la passphrase per server.key, ad esempio vmware.


VMware, Inc. 149

d Ridenominare il file server.key in server.key.orig.

mv server.key server.key.orig

e Rimuovere la password associata alla chiave.

openssl rsa -in server.key.orig -out server.key

4 Creare una richiesta di firma certificato (CSR, certificate signing request) con la chiave generata. Laserver.csr sarà memorizzata nella directory di lavoro.

openssl req -new -key server.key -out server.csr -config ./openssl_ext.conf

5 Firmare la CSR.

openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt -extfile

openssl_ext.conf

Verrà visualizzato l'output previsto.

Signature ok subject=/C=US/ST=CA/O=VMware (Dummy Cert)/OU=Horizon Workspace

(Dummy Cert)/CN=w2-hwdog-xa.vmware.com/emailAddress=EMAIL PROTECTED Getting

Private key

6 Creare il formato P12.

openssl pkcs12 -export -in server.crt -inkey server.key -out server.p12

a Premere Invio al prompt per una password per l'esportazione.

Importante Non immettere una password.

L'output previsto sarà il file server.p12.

b Spostare il file server.p12 sulla macchina Windows su cui è installato Integration Broker.

c Dal prompt dei comandi, digitare mmc.

d Fare clic su File > Aggiungi o rimuovi snap-in.

e Nella finestra Snap-in, fare clic su Certificati e fare clic su Aggiungi.

f Selezionare il pulsante di opzione Account del computer.

7 Importare il certificato nell'archivio dei certificati root e personali.

a Scegliere Tutti i file nella finestra di dialogo.

b Selezionare il file server.p12.

c Fare clic sulla casella di spunta Esportabile.


VMware, Inc. 150

d Lasciare vuoto il campo della password.

e Accettare i valori predefiniti per i passi successivi.

8 Copiare il certificato nelle CA root sicure nella stessa console mmc.

9 Verificare che il contenuto del certificato includa tali elementi.

n Chiave privata

n CN nell'attributo dell'oggetto che corrisponde al nome host di Integration Broker

n Attributo di utilizzo della chiave esteso con l'autenticazione client e server abilitata

Abilitazione della comunicazione remota di Citrix PowerShellÈ necessario abilitare le chiamate remote tra Integration Broker e la server farm di Citrix impostando lacomunicazione remota di Citrix PowerShell.

Per configurare la comunicazione remota di Citrix PowerShell, installare Citrix PowerShell SDK sul serverdi Integration Broker e verificare che la comunicazione remota di PowerShell sia abilitata sui server Citrix.

Sul server di Integration Broker, è necessario installare la versione di Citrix PowerShell SDK appropriata.Se ci si connette a più versioni di server farm di Citrix, installare tutte le versioni di Citrix PowerShell SDKnecessarie sul server di Integration Broker, poiché gli SDK non sono compatibili con le versioniprecedenti.

La comunicazione remota di PowerShell deve essere abilitata sui server Citrix in modo che il server diIntegration Broker possa connettersi a tali server e recuperare informazioni necessarie come informazionisulle risorse, permessi e icone. È necessario abilitare la comunicazione remota di PowerShell solo suicontroller di recapito o sui broker XML che si configurano in VMware Identity Manager, e non su tutti iserver della server farm. In XenApp o XenDesktop 7.x, questi sono i controller di recapito che agisconoanche come broker XML. Nelle server farm Citrix 6.5 e 6.0, questi sono i server del broker XML.

Per la server farm Citrix 6.0, la comunicazione remota di Citrix PowerShell richiede un canale HTTPSsicuro per effettuare chiamate remote. Assicurarsi che i broker XML o i controller di recapito di Citrixdispongano di certificati SSL validi.

Installare Citrix PowerShell SDK nel server Integration BrokerÈ necessario installare Citrix PowerShell SDK sul server Integration Broker per consentire le connessionitra il server Integration Broker e la server farm Citrix.

Scaricare e installare la versione di Citrix PowerShell SDK corrispondente alla server farm Citrix che sidesidera integrare con VMware Identity Manager. Se ci si connette a più versioni di server farm di Citrix,installare tutte le versioni di Citrix PowerShell SDK necessarie sul server di Integration Broker, poiché gliSDK non sono compatibili con le versioni precedenti.

Procedura

1 Accedere al server Integration Broker.


VMware, Inc. 151

2 Se ci sta connettendo a XenApp o XenDesktop 7.x, eseguire i passaggi seguenti.

a Scaricare e installare Citrix Studio nel server Integration Broker.

b Verificare l'installazione.

1 Aprire Windows PowerShell come amministratore.

2 Immettere il comando:

Add-PSSnapin Citrix*

3 Immettere i comandi seguenti:

Get-BrokerDesktopGroup -AdminAddress CitrixDeliveryController

Get-ConfigSite -AdminAddress CitrixDeliveryController

Nota Se si ottiene un errore di autenticazione, impostare i criteri di esecuzione con ilcomando set-executionpolicy remotesigned, quindi riprovare i comandi.

3 Se ci si connette a Citrix server farm 6.5, procedere come segue.

a Scaricare e installare Citrix PowerShell SDK 6.5 nel server Integration Broker.

b Verificare l'installazione.

1 Aprire Program Files > Citrix PowerShell Module.

2 Immettere il comando:

Get-XAApplication -ComputerName CitrixServer

Verificare che l'elenco includa tutte le applicazioni con hosting di Citrix.

Nota Se il comando non riesce, verificare che il servizio XenApp Command Remoting sia inesecuzione sul server Citrix.

4 Se ci si connette al server farm Citrix 6.0, scaricare e installare Citrix PowerShell SDK 6.0 nel serverIntegration Broker.

Abilitazione della comunicazione remota di Citrix PowerShell sulla serverfarm CitrixAbilitare la comunicazione remota di Citrix PowerShell sulla server farm Citrix, se necessario.

n In Citrix XenApp o XenDesktop 7.x, verificare che sia abilitata la comunicazione remota di PowerShellnei controller di recapito a cui VMware Identity Manager si connetterà.

n In Citrix 6.5, verificare che il servizio Citrix XenApp Commands Remoting sia in esecuzione nei brokerXML a cui VMware Identity Manager si connetterà.

n In Citrix 6.0, abilitare la comunicazione remota di PowerShell. Vedere Configurazione del remoting diCitrix PowerShell su Citrix Server Farm 6.0.


VMware, Inc. 152

Configurazione del remoting di Citrix PowerShell su Citrix Server Farm 6.0

È necessario abilitare la comunicazione remota di Citrix PowerShell nei server Citrix XML Broker che sidesidera integrare con VMware Identity Manager. Il remoting di Citrix PowerShell consente le connessionitra Integration Broker e il farm del server Citrix.

Nota È necessario abilitare la comunicazione remota di Citrix PowerShell solo sui broker XML che siconfigureranno in VMware Identity Manager, e non su tutti i server nella server farm.

Prerequisiti

n Se Winrm non è installato, scaricarlo e installarlo dal sito Web Microsoft.

n Verificare che i broker Citrix XML dispongano di certificati SSL validi. Fare inoltre clic su Proprietà everificare che per i certificati sia abilitata l'opzione Autenticazione server.

Procedura

1 Aprire PowerShell in modalità amministratore.

2 Abilitare il remoting di Citrix PowerShell.

a Digitare il comando Get-Service winrm per verificare che Winrm sia installato nel server.

b Immettere il comando Enable-PSRemoting.

Questo comando abilita la comunicazione remota di PowerShell nel server.

c Installare Citrix PowerShell SDK 6.0.

d Abilitare il listener HTTPS di winrm dal prompt dei comandi.

1 Creare un certificato nel server.

2 Registrare l'identificazione personale del certificato.

3 Verificare che l'identificazione personale del certificato sia configurata.

winrm quickconfig -transport:https


VMware, Inc. 153

e Verificare che il listener sia stato creato.

winrm e winrm/config/listener

Il server è pronto per l'utilizzo.

f Dopo la creazione del listener, passare al server Integration Broker per verificare che lacomunicazione remota di PowerShell sia installata correttamente.

winrm identify -r:https://XENAPP_HOSTNAME:5986 -u:USERNAME

Output:

IdentifyResponse

ProtocolVersion=http://schemas.dmtf.org/wbem/wsman/1/wsman.xsd

ProductVendor=Microsoft Corporation

ProductVersion=OS: 6.0.6002 SP: 2.0 Stack: 2.0

Verificare la connessione per server farm CitrixDopo aver distribuito Integration Broker e configurato il la comunicazione remota di PowerShell, verificarela connessione al server farm Citrix.

Procedura

1 In un browser, immettere l'URL appropriato per la propria versione di farm Citrix.

n Server farm Citrix XenApp o XenDesktop 7.x

https://IBhostname/IB/API/RestServiceImpl.svc/hznxenapp/admin/xenfarminfo?computerName=XenAppServerHostname&xenappversion=Version7x

n Citrix server farm 6.5

https://IBhostname/IB/API/RestServiceImpl.svc/hznxenapp/admin/xenfarminfo?computerName=XenAppServerHostname&xenappversion=Version65orLater

n Citrix Server Farm 6.0

https://IBhostname/IB/API/RestServiceImpl.svc/hznxenapp/admin/xenfarminfo?computerName=XenAppServerHostname&xenappversion=Legacy

2 Rivedere l'output.

Se Integration Broker è configurato correttamente, la pagina visualizza informazioni sulla server farmCitrix, come le seguenti:

"[{\"FarmName\":\"test data\",\"ServerVersion\":\"

6.0.6410\",\"AdministratorType\":\"Full\",\"SessionCount\":\"2\",\"MachineName\"

:\"test data\"}]”

Se la pagina Web non visualizza le informazioni sul server farm, esaminare i registri sul serverIntegration Broker : %programdata%/VMware/HorizonIntegrationBroker.


VMware, Inc. 154

Scaricare Citrix Web Interface SDK 5.4Citrix Web Interface SDK è utilizzato per eseguire l'autenticazione e generare il file ICA da Citrix DeliveryController o dai broker XML per avviare desktop e applicazioni pubblicate da Citrix.

Nota Se si intende utilizzare la REST API Citrix StoreFront per comunicare con la farm Citrix pergenerare il file ICA, non è necessario installare Citrix Web Interface SDK.

Procedura

1 Scaricare Citrix Web Interface SDK 5.4 (file zip WISDK) dal sito Web Citrix.

2 Decomprimere il file wisdk.zip.

3 Copiare il contenuto della directory WI5_4_0_SDK/zipfiles/sdkdemo/wisdk nella directory diIntegration Broker predefinita c:\inetpub\wwwroot\IB\bin.

4 Riavviare IIS.

a Aprire la finestra del prompt dei comandi come amministratore.

b Digitare iisreset.

Configurazione di server farm Citrix inVMware Identity ManagerPer configurare server farm di Citrix XenApp e XenDesktop in VMware Identity Manager, creare una o piùraccolte di app virtuali nella pagina Configurazione app virtuali, le quali contengono informazioni diconfigurazione quali ad esempio i server Citrix da cui si desidera sincronizzare risorse e permessi,l'Integration Broker da utilizzare per sincronizzazione e SSO, il connettore di VMware Identity Manager dautilizzare per la sincronizzazione e le impostazioni dell'amministratore quali il client di avvio predefinito.

È possibile aggiungere tutte le server farm Citrix a una raccolta o creare più raccolte, in base alle proprieesigenze. Ad esempio, si può scegliere di creare una raccolta separata per ogni farm per facilitare lagestione e distribuire il carico di sincronizzazione tra connettori differenti. Altrimenti è possibile sceglieredi includere tutte le server farm in una raccolta per implementare un ambiente di test e avere un'altraraccolta identica per il proprio ambiente di produzione.

Prima di configurare le risorse pubblicate da Citrix in VMware Identity Manager, assicurarsi che venganosoddisfatti tutti i prerequisiti.

Seguire anche queste linee guida per le impostazioni della server farm Citrix.

n Sincronizzazione dei gruppi di consegna


VMware, Inc. 155

L'impostazione Tipo di consegna di un gruppo di consegna in Citrix determina il modo in cui VMwareIdentity Manager sincronizza il gruppo.

VMware Identity Manager sincronizza un gruppo di consegna solo se l'opzione Tipo di consegna èimpostato su Desktop e app o Solo desktop. Se Tipo di consegna del gruppo di consegna èimpostato su Solo app, le relative applicazioni verranno sincronizzate ma il gruppo di consegnastesso non verrà sincronizzato e non sarà presente nel catalogo di VMware Identity Manager.

Configurare di conseguenza i gruppi di consegna.

n In 7.9 XenApp e XenDesktop, se si utilizza l'opzione Gruppo visibilità limitata per limitare gli utenti,accertarsi che il Gruppo visibilità limitata contenga utenti o gruppi. Se non contiene alcun utente ogruppo, la sincronizzazione a VMware Identity Manager non funzionerà.

n Assicurarsi che tutte le applicazioni e tutti i desktop pubblicati in un sito contengano utenti validi. Se sielimina un utente o gruppo, assicurarsi di rimuovere l'utente o gruppo anche dalle risorse pubblicateda Citrix.

n Assicurarsi che gli utenti e i gruppi siano stati assegnati al Gruppo di consegna corretto.

Se si selezionano impostazioni per limitare gli utenti, assicurarsi che includano utenti e gruppi.

n XenApp e XenDesktop 7.x consentono di impostare permessi per tutti gli utenti autenticati a livello digruppo di consegna grazie all'impostazione che permette a tutti gli utenti autenticati di utilizzare ilgruppo di consegna corrente. VMware Identity Manager non supporta questa impostazione. Perassicurarsi che gli utenti abbiano i permessi corretti in VMware Identity Manager, impostare ipermessi espliciti per gli utenti e i gruppi.

Nota A partire VMware Identity Manager 3.3, XenApp 5.x non è più supportato. Impossibile aggiornare osalvare le configurazioni esistenti che includono un server XenApp 5.x, a meno che non si rimuova ilserver dalla configurazione. Dopo aver rimosso il server 5.x dalla configurazione e salvato laconfigurazione, tutte le risorse associate al server 5.x verranno rimosse dal catalogo durante lasincronizzazione successiva. Gli utenti potranno eseguire le risorse finché non verranno rimosse dalcatalogo.

Prerequisiti

n Configurare VMware Identity Manager. Per informazioni, vedere Installazione e configurazione diVMware Identity Manager e Amministrazione di VMware Identity Manager.

n Assicurarsi che gli utenti e gruppi con permessi Citrix siano stati sincronizzati dalla directoryaziendale a VMware Identity Manager utilizzando la sincronizzazione delle directory.

Durante la creazione della directory, assicurarsi di rendere obbligatorio l'attributouserPrincipalName.

Gli utenti devono disporre dell'attributo distinguishedName. Se l'attributo non è impostato per unutente, questo potrebbe non essere in grado di eseguire desktop e applicazioni.

n Distribuire Integration Broker e assicurarsi che siano soddisfatti tutti i prerequisiti descritti in Prerequisiti per l'integrazione di Citrix.


VMware, Inc. 156

n Se si utilizza un programma di bilanciamento del carico davanti a Integration Broker, prendere notadel nome host o dell'indirizzo IP del programma di bilanciamento del carico per utilizzarli durantequesta attività.

n Se si desidera utilizzare l'opzione Usa StoreFront, disponibile in VMware Identity Manager 2.9.1 eversioni successive, assicurarsi che siano soddisfatti i requisiti seguenti.

n Installare Integration Broker 2.9.1 o versione successiva.

n Assicurarsi che StoreFront sia supportato dalla versione di XenApp o XenDesktop in uso.

n Assicurarsi che Integration Broker possa comunicare con il server di StoreFront.

Quando si abilita REST API StoreFront, Integration Broker comunica con il server di StoreFrontper generare il file ICA.

n Nel server di StoreFront, se si configurano domini attendibili per il metodo di autenticazione"nome utente e password", assicurarsi di aggiungere i nomi dei domini in forma di nome dominiocompleto all'elenco dei "domini attendibili". VMware Identity Manager richiede il nome dominiocompleto. Per ulteriori informazioni, vedere Avvio di applicazioni e desktop pubblicati da Citrix.

n Consultare la documentazione di Citrix relativa alla versione di Citrix XenApp o XenDesktop in uso.


Procedura



3 Fare clic su Aggiungi app virtuali e selezionare Applicazione pubblicata Citrix.



Se sono stati configurati più connettori per l'alta disponibilità, fare clic su Aggiungi connettore eselezionare i connettori. L'ordine in cui sono elencati i connettori determina l'ordine di failover.

6 Nella sezione Sincronizza Integration Broker, fornire le informazioni relative all'istanza diIntegration Broker che si desidera utilizzare per sincronizzare le risorse.

a Immettere il nome di dominio completo e il numero di porta dell'Integration Broker per lasincronizzazione.

Se è stato configurato un programma di bilanciamento del carico prima di più istanze diIntegration Broker utilizzate per la sincronizzazione, immettere il nome host o l'indirizzo IP e ilnumero di porta del programma di bilanciamento del carico.


VMware, Inc. 157

b Per la connessione a Integration Broker tramite SSL, selezionare la casella di controllo Usa SSLe copiare e incollare il certificato SSL del server di Integration Broker.

Il certificato verrà utilizzato quando le risorse in questa raccolta app virtuali saranno sincronizzatein VMware Identity Manager.

7 Nella sezione SSO Integration Broker, fornire le informazioni relative all'istanza di Integration Brokerche si desidera utilizzare per avviare le risorse. È necessario connettersi all'SSO Integration Brokertramite SSL.

a Immettere il nome di dominio completo e il numero di porta dell'SSO Integration Broker.

Se è stato configurato un programma di bilanciamento del carico prima di più istanze diIntegration Broker utilizzate per fornire SSO, immettere il nome host dominio completo e ilnumero di porta del programma di bilanciamento del carico.

Nota Non utilizzare l'indirizzo IP.

b Nel campo Certificato SSL, copiare e incollare il certificato SSL del server di Integration Broker.

Il certificato verrà utilizzato durante l'avvio di risorse da questa raccolta app virtuali.

8 Nella sezione Server farm, immettere i dettagli della server farm Citrix.

Per aggiungere più farm, fare clic su +Aggiungi server farm.

Opzione Descrizione

Versione Selezionare la versione del server farm Citrix: 6.0, 6.5 o 7.x.

Nome server a Immettere il nome del server Citrix (broker XML). Ad esempio:

citrixserver.example.com

b Fare clic su Aggiungi all'elenco.

c Per specificare più server, immettere il nome di ogni server e fare clic suAggiungi all'elenco.

I server vengono visualizzati nell'elenco Server (ordine di failover).

Nota Nei broker XML deve essere abilitata la comunicazione remota diPowerShell.

Server (ordine di failover) Consente di organizzare i broker XML Citrix nell'ordine di failover utilizzando itasti freccia su e giù. VMware Identity Manager segue questo ordine durante SSOe in condizioni di failover.

Per rimuovere un server dall'elenco, selezionarlo e fare clic su Rimuovi.


VMware, Inc. 158

Opzione Descrizione

Usa StoreFront Selezionare questa opzione se si desidera che le risorse di XenApp venganoavviate mediante le REST API di Citrix StoreFront. Se questa opzione èselezionata, Integration Broker utilizza le REST API di Citrix StoreFront percomunicare con il server StoreFront e recuperare il file ICA.n Server StoreFront

Immettere l'URL del server StoreFront nel formato seguente:

transportType://storefrontServerFQDN/Citrix/storenameWeb

Ad esempio, http://xen76.example.com/Citrix/mystoreWeb.

Nota Questo è l'URL del sito Web del server di StoreFront.

Importante Immettere questo URL anche nel campo Host URL accessoclient quando si configurano intervalli della rete interna per XenApp.

Nota Se si seleziona o deseleziona l'opzione Usa StoreFront dopol'installazione e la sincronizzazione iniziali, assicurarsi di aggiornare l'URL diaccesso client per gli intervalli di rete.

Usa Web Interface SDK Selezionare questa opzione se si desidera che le risorse di XenApp venganoavviate utilizzando Citrix Web Interface SDK. Quando questa opzione èselezionata, Integration Broker utilizza Citrix Web Interface SDK per comunicarecon i componenti di Citrix e recuperare il file ICA.n Tipo di trasporto

Selezionare il tipo di trasporto utilizzato nella configurazione del server Citrix,ovvero HTTP, HTTPS o SSL RELAY.

Nota Il tipo di trasporto e la porta devono corrispondere alla configurazionedel server Citrix.

n Porta

Specificare la porta utilizzata nella configurazione del server Citrix.

Nota Il tipo di trasporto e la porta devono corrispondere alla configurazionedel server Citrix.

n Porta di inoltro SSL

Specificare la porta di inoltro SSL utilizzata nella configurazione del serverCitrix. Questa opzione viene visualizzata solo se si seleziona SSL RELAYcome tipo di trasporto.

n Server STA

Se si utilizza NetScaler, è necessario specificare un server STA per la farm.

1 Specificare il server STA per la farm Citrix.

Immettere l'URL del server STA nel formato seguente:

tipotrasporto://server:porta

Ad esempio http://staserver.example.com:80

L'URL deve essere composto solo da caratteri alfanumerici, punti (.) etrattini (-).

2 Fare clic su Aggiungi all'elenco.

Il server compare nell'elenco Server STA XenApp (ordine di failover).


VMware, Inc. 159

Opzione Descrizione

3 Immettere altri server STA, se necessario. Ad esempio è possibilespecificare un secondo server STA a scopo di failover.

n Server STA XenApp (ordine di failover)

Consente di organizzare i server STA nell'ordine di failover utilizzando i tastifreccia su e giù.

Per rimuovere un server dall'elenco, selezionarlo e fare clic su Rimuovi.

9 Per aggiungere un'altra farm, fare clic su Aggiungi farm e immettere le informazioni diconfigurazione per la farm.

10 Selezionare Sincronizza le categorie dai server farm se si desidera sincronizzare le categorie dallefarm Citrix con VMware Identity Manager.

11 Selezionare Non sincronizzare applicazioni duplicate per impedire che le applicazioni duplicatevengano sincronizzate da più server. Quando VMware Identity Manager viene distribuito in più datacenter, le stesse risorse vengono configurate in tutti i data center. Se è selezionata, questa opzioneimpedisce la duplicazione dei desktop o delle applicazioni nel catalogo di VMware Identity Manager.


È possibile impostare una pianificazione di sincronizzazione regolare o scegliere di sincronizzaremanualmente. Se si seleziona Manuale, è necessario fare clic su Sincronizza nella paginaConfigurazione app virtuali dopo aver impostato la raccolta e ogni volta che si verifica uncambiamento nei permessi o nelle risorse pubblicate di Citrix.

13 Nell'elenco a discesa Criterio di attivazione selezionare il modo in cui le risorse pubblicate da Citrixvengono rese disponibili agli utenti in Workspace ONE.





La raccolta viene creata e visualizzata nella pagina App virtuali. Le risorse nella raccolta non vengonoancora sincronizzate.


VMware, Inc. 160

15 Per sincronizzare le risorse della raccolta in VMware Identity Manager, fare clic su Sincronizza nellapagina Configurazione app virtuali.

Ogni volta che si verifica un cambiamento nelle risorse o nei permessi in Citrix, affinché le modifichesi propaghino in VMware Identity Manager è necessaria una sincronizzazione.

Nota La funzionalità relativa al gruppo di utenti anonimi nel prodotto Citrix non è supportata conVMware Identity Manager.

Le risorse pubblicate da Citrix e i permessi corrispondenti vengono sincronizzati conVMware Identity Manager.


Configurare gli intervalli di rete per l'avvio delle risorse.

Configurazione di avvio di risorse Citrix in VMwareIdentity ManagerDopo aver configurato la pagina applicazioni pubblicate da Citrix, configurare di intervalli IP di rete perl'avvio delle risorse. È possibile specificare se il traffico dell'applicazione o del desktop utente (trafficoICA) da specifici intervalli di rete venga instradato attraverso NetScaler o tramite una connessione direttaal server XenApp. In questo modo è possibile soddisfare le esigenze di utenti con accesso sia esterno siainterno alle risorse Citrix della distribuzione.

Quando un utente avvia un'applicazione o un desktop dal portale di Workspace ONE, se l'indirizzo IPdell'utente è compreso nell'intervallo configurato per Netscaler, il traffico ICA viene instradato al serverXenApp tramite Netscaler. Se l'indirizzo IP ricade nell'intervallo di connessione diretta, il traffico ICA vieneinstradato direttamente al server XenApp.

Configurazione dell'avvio di risorse per una rete internaÈ possibile configurare gli intervalli di rete per i quali il traffico di avvio di applicazioni o desktop (trafficoICA) dell'utente deve essere instradato direttamente al server XenApp. In genere questo metodoutilizzato per fornire l'accesso interno alle risorse pubblicate da Citrix.

Quando un utente avvia un'applicazione o un desktop dal portale di Workspace ONE, se l'indirizzo IPdell'utente è compreso nell'intervallo di connessione diretta, il traffico ICA viene instradato al serverXenApp.

Nota Per configurare l'avvio di risorse per reti esterne, vedere Configurazione dell'avvio di risorse perreti esterne con NetScaler.

Procedura



VMware, Inc. 161







5 Selezionare l'intervallo di rete da configurare per l'avvio di risorse Citrix interne.

6 Nella sezione XenApp della pagina, immettere le seguenti informazioni.

a Immettere il nome host del server XenApp nel campo Host URL accesso client. Ad esempioxenapphost.example.com

Se è presente un bilanciamento del carico davanti a server XenApp, immettere l'URL di accessoclient nel formato seguente:

loadbalancerURL/citrix/storeweb

Nota Se è selezionata la casella di controllo Usa StoreFront per la server farm durante lacreazione della raccolta app virtuali di Citrix, immettere lo stesso URL specificato nel campo URLStoreFront.

b Immettere la porta nel campo Porta URL. Ad esempio 443

Se è stato inserito l'URL di un bilanciamento del carico nel campo URL accesso Client, utilizzarela porta 443.

c Deselezionare la casella di controllo NetScaler per le connessioni dirette.


VMware, Inc. 162

7 Fare clic su Fine.

Configurazione di avvio di risorse per reti esterne con NetScalerVMware Identity Manager supporta le distribuzioni Citrix che includono NetScaler. In genere si utilizzaun'appliance NetScaler per fornire accesso esterno ad applicazioni o desktop XenApp o XenDesktop.

Se la propria distribuzione Citrix include un'appliance NetScaler, è possibile configurareVMware Identity Manager con le impostazioni appropriate in modo che all'avvio di risorse Citrix da partedegli utenti il traffico venga instradato al server XenApp attraverso NetScaler.

In VMware Identity Manager, è necessario specificare il server STA (Secure Ticket Authority) per ognifarm XenApp. Il server STA è utilizzato per generare e convalidare i ticket STA durante il processo diavvio delle applicazioni.

È possibile anche impostare criteri su intervalli di indirizzi IP di rete dei client che specificano se il trafficodi avvio deve essere instradato al server XenApp attraverso NetScaler o se direttamente al serverXenApp. In questo modo è possibile soddisfare sia le esigenze di accesso esterne che quelle interne.

Nota VMware Identity Manager supporta anche Citrix Secure Gateway. I passaggi di configurazione inquesta sezione sono applicabili a NetScaler e Citrix Secure Gateway.

Nota Per utilizzare la funzionalità NetScaler è necessario utilizzare Integration Broker 2.4 o versionesuccessiva. È possibile scaricare Integration Broker da My VMware. L'aggiornamento non è supportato.Disinstallare la versione precedente, quindi installare la nuova versione.

Come ottenere l'URL del server STA per il gateway di NetScalerPrima di configurare le impostazioni di NetScaler in VMware Identity Manager, è necessario ottenerel'URL del server STA (Secure Ticket Authority) associato al gateway di NetScaler.

Questa procedura illustra i passaggi per NetScaler 11.

Procedura

1 Nell'interfaccia di gestione di NetScaler, passare a Configurazione > Gateway NetScaler > Servervirtuali.


VMware, Inc. 163

http://my.vmware.com

2 Fare doppio clic sul server virtuale.

3 Nella sezione Applicazioni pubblicate della finestra che verrà visualizzata, fare clic su Server STA.

4 Prendere nota dell'URL del server STA (Secure Ticket Authority).


VMware, Inc. 164

Configurazione delle impostazioni di NetScaler in VMware Identity ManagerPer configurare VMware Identity Manager per NetScaler, è necessario specificare un server STA (SecureTicket Authority) per ogni farm XenApp appartenente alla distribuzione Citrix. Il server STA è utilizzato pergenerare e convalidare i ticket STA durante il processo di avvio dell'applicazione o del desktop.

Quando un utente avvia un'applicazione o un desktop, VMware Identity Manager ottiene un ticket dalserver STA. Il ticket viene presentato a NetScaler, insieme ad altre informazioni, e NetScaler lo convalidacon il server STA prima di stabilire una connessione sicura alla farm XenApp.

Nota Le informazioni del presente argomento si applicano anche a Citrix Secure Gateway.

Prerequisiti

n Ottenere le informazioni del server STA per ogni farm XenApp.

Procedura


2 Fare clic sulla raccolta contenente la farm XenApp per cui si desidera specificare un server STA.

3 Scorrere fino alla sezione Server farm e specificare uno o più server STA per la server farm.

a Nel campo Server STA, specificare l'URL del server STA nel formato seguente.

tipotrasporto://server:porta

Ad esempio http://staserver.example.com:80

L'URL deve essere composto solo da caratteri alfanumerici, punti (.) e trattini (-).

b Fare clic su Aggiungi all'elenco.

Il server compare nell'elenco Server Xenapp STA.

c Immettere altri server STA, se necessario. Ad esempio è possibile specificare un secondo serverSTA a scopo di failover.

d Se sono stati aggiunti più server STA, selezionare l'ordine di failover nel campo Server XenappSTA.


5 Se nella distribuzione sono presenti più farm XenApp, specificare un server STA per ogni farm.


Configurare criteri per specifici intervalli di indirizzi IP di rete nei quali si stabilisce che il traffico di avviodeve essere instradato al server XenApp attraverso NetScaler.


VMware, Inc. 165

Configurare l'intervallo di rete per NetScalerÈ possibile configurare gli intervalli di rete per il traffico di avvio di applicazioni o desktop (traffico ICA) chedeve essere instradato tramite Netscaler al server XenApp. In genere questo metodo utilizzato per fornirel'accesso interno alle risorse pubblicate da Citrix.

Quando un utente avvia un'applicazione o un desktop dal portale di Workspace ONE, se l'indirizzo IPdell'utente è compreso nell'intervallo configurato per NetScaler, il traffico ICA viene instradato al serverXenApp tramite NetScaler.

Nota Per configurare l'avvio di risorse per le reti interne, vedere Configurazione dell'avvio di risorse peruna rete interna.

Nota Le informazioni del presente argomento si applicano anche a Citrix Secure Gateway. Se si utilizzaCitrix Secure Gateway anziché NetScaler, immettere il nome host e la porta di Secure Gateway eselezionare la casella di controllo NetScaler.

Prerequisiti

È stato configurato VMware Identity Manager per NetScaler nella raccolta app virtuali Citrix.

Procedura








5 Selezionare l'intervallo di rete da configurare per l'avvio delle risorse Citrix.

6 Nella sezione XenApp della pagina, immettere le seguenti informazioni.

a Immettere il nome host di NetScaler nel campo Host URL accesso client. Ad esempionetscalerhost.example.com

b Immettere la porta nel campo Porta URL. Ad esempio 443

c Selezionare la casella di controllo NetScaler.



VMware, Inc. 166

Configurazione delle impostazioni di VMware IdentityManager per l'integrazione di CitrixÈ possibile configurare diverse impostazioni in VMware Identity Manager per l'integrazione di Citrix.

Gestione delle categorie per le risorse pubblicate CitrixÈ possibile utilizzare la console di VMware Identity Manager e la distribuzione Citrix per gestire lecategorie delle risorse pubblicate da Citrix.

Nella distribuzione Citrix è possibile assegnare un nome di categoria a un'applicazione o un desktoppubblicato Citrix modificando la casella di testo della cartella dell'applicazione client nelle proprietàdella risorsa. Quando si integra la distribuzione Citrix con VMware Identity Manager, i nomi di categoriaesistenti per le applicazioni e i desktop pubblicati Citrix vengono trasferiti in VMware Identity Manager.

Dopo l'integrazione, è possibile continuare a creare categorie nella distribuzione Citrix. Se si attivaSincronizza le categorie dai server farm per la raccolta, le nuove categorie vengono trasferite inVMware Identity Manager alla successiva sincronizzazione. Vedere Configurazione di server farm Citrix inVMware Identity Manager.

È possibile creare categorie anche direttamente in VMware Identity Manager. Vedere Guidaall'amministrazione di VMware Identity Manager per informazioni sull'uso delle categorie di risorse.

Nella console di VMware Identity Manager, è possibile creare e visualizzare categorie di tutte le risorsepubblicate da Citrix facendo clic sulla scheda Catalogo > App virtuali, quindi su Qualsiasi tipo diapplicazione e selezionando Applicazioni pubblicate Citrix per le applicazioni o Gruppi di consegnapubblicati Citrix per i desktop. È possibile visualizzare e modificare le categorie di una specifica risorsapubblicata da Citrix facendo clic sul nome della risorsa e scegliendo Dettagli.

Quando si crea una categoria in VMware Identity Manager, la categoria non appare nella distribuzioneCitrix.

Quando si crea una categoria nella distribuzione Citrix, la categoria appare in VMware Identity Manageralla successiva sincronizzazione. Quando si aggiorna il nome di una categoria nella distribuzione Citrix, ilnome di categoria aggiornato viene visualizzato in VMware Identity Manager ma rimane il nome dicategoria originale. Se si desidera rimuovere il nome di categoria originale da VMware Identity Manager,è necessario rimuoverlo manualmente.

Configurazione delle impostazioni di consegna (proprietà ICA)per le risorse pubblicate da CitrixÈ possibile modificare le impostazioni di consegna dei desktop e delle applicazioni pubblicate da Citrixnella console di VMware Identity Manager. I desktop sono considerati gruppi di consegna.

È possibile modificare le impostazioni di consegna globalmente per tutti i desktop e le applicazioni basatisu Citrix disponibili dalla propria distribuzione di VMware Identity Manager o singolarmente per specificherisorse pubblicate da Citrix.


VMware, Inc. 167

Configurare le impostazioni di consegna modificando le proprietà ICA (Independent ComputingArchitecture). ICA è un protocollo di proprietà di Citrix. È disponibile una vasta gamma di proprietà ICAche controllano aree quali la sicurezza, la visualizzazione e la compressione. Per maggiori informazionisulla configurazione delle proprietà ICA, fare riferimento alla documentazione di Citrix.

VMware Identity Manager include le impostazioni globali predefinite che definiscono il modo in cui ladistribuzione di Citrix configurata consegna le risorse pubblicate da Citrix agli utenti. È possibilemodificare le impostazioni predefinite di VMware Identity Manager e aggiungere nuove impostazioni.

È possibile anche specificare impostazioni di consegna per singole risorse. Le impostazioni per le singolerisorse hanno la precedenza sulle impostazioni globali. Quando si forniscono le proprietà ICA per laconsegna di una risorsa specifica, riportate tutte le proprietà necessarie alla distribuzione Citrix perconsegnare la risorsa nella maniera prevista. Quando in VMware Identity Manager per una singolarisorsa sono disponibili impostazioni di consegna, VMware Identity Manager applicherà solo quelleimpostazioni e ignorerà tutte le impostazioni di consegna risorse globali.

Modifica globale delle impostazioni di consegna per tutte le risorsepubblicate da CitrixÈ possibile modificare le impostazioni di consegna globali per le applicazioni e i desktop pubblicati daCitrix nella distribuzione VMware Identity Manager.

I campi delle proprietà ICA relativi a queste impostazioni globali vengono popolati con i valori predefinitifinché non vengono modificati.

Importante Le proprietà ICA specificate nella scheda Applicazioni pubblicate Citrix >Configurazione ICA e Gruppi di consegna pubblicati Citrix > Configurazione ICA in Impostazioniapp virtuali si applicano al traffico di avvio che passa attraverso una connessione diretta. Per il traffico dilancio instradato attraverso Netscaler, vedere Modifica delle proprietà ICA per NetScaler.

Procedura



3 Selezionare Applicazioni pubblicate Citrix per modificare le impostazioni ICA per le applicazioni oGruppi di consegna pubblicati Citrix per modificare le impostazioni ICA per i desktop.

Ad esempio:


VMware, Inc. 168

4 Nella scheda Configurazione ICA, modificare le proprietà ICA secondo le linee guida di Citrix.

I campi Proprietà client ICA e Proprietà avvio ICA devono essere utilizzati insieme. I campi devonoentrambi contenere valori o essere entrambi vuoti.


Se risorse singole non presentano impostazioni di consegna proprie, la distribuzione Citrix applica leproprietà ICA globali quando consegna risorse pubblicate da Citrix tramite VMware Identity Manager agliutenti.

Modifica delle impostazioni di consegna per una singola risorsa pubblicatada CitrixÈ possibile modificare le impostazioni di consegna (proprietà ICA) per singole risorse applicazione edesktop pubblicate da Citrix nella distribuzione VMware Identity Manager.

Le caselle di testo delle proprietà ICA per singole applicazioni sono vuote per impostazione predefinita.

Quando si modificano le proprietà ICA di una singola risorsa pubblicata da Citrix, queste hanno la prioritàrispetto alle impostazioni globali. Per informazioni sulle impostazioni globali, vedere Modifica globale delleimpostazioni di consegna per tutte le risorse pubblicate da Citrix.

Importante Le proprietà ICA impostate su applicazioni o desktop singoli non si applicano al traffico ICAinstradato attraverso NetScaler. Solo le impostazioni globali nelle schede Applicazioni pubblicate Citrix> Configurazione ICA NetScaler e Gruppi di consegna pubblicati Citrix > Configurazione ICANetScaler in Impostazioni app virtuali si applicano al traffico ICA instradato attraverso NetScaler. Perulteriori informazioni, vedere Modifica delle proprietà ICA per NetScaler.

Procedura




VMware, Inc. 169

3 Fare clic su Qualsiasi tipo di applicazione > Applicazioni pubblicate Citrix per modificare leimpostazioni relative alle applicazioni o su Qualsiasi tipo di applicazione > Gruppi di consegnapubblicati Citrix per modificare quelle relative ai desktop.

4 Fare clic sul nome della risorsa pubblicata da Citrix da modificare.

5 Fare clic su Configurazione.

6 Visualizzare le informazioni sulla risorsa così come riportate dalla distribuzione Citrix.

Nella pagina sono mostrati diversi dettagli sulla risorsa, come il nome della risorsa, l'ID della risorsa, ilnome del server e così via. Essa inoltre contiene informazioni sugli stati di attivazione delle risorse.Se la casella di controllo Attivato non è selezionata, la risorsa è disattivata nella distribuzione Citrixed è nascosta agli utenti.

7 Nelle caselle di testo delle proprietà ICA, aggiungere proprietà o modificare quelle esistenti in basealle linee guida dettate da Citrix.

Nota Entrambe le caselle di testo di Proprietà client ICA e Proprietà avvio ICA devono contenerevalori o essere entrambe vuote.


Modifica delle proprietà ICA per NetScalerModificando le proprietà ICA è possibile configurare le impostazioni di consegna per le risorse pubblicateda Citrix. Per il traffico ICA instradato attraverso NetScaler, modificare le proprietà ICA nella schedaApplicazioni pubblicate Citrix > Configurazione ICA NetScaler o nella scheda Gruppi di consegnapubblicati Citrix > Configurazione ICA NetScaler in Impostazioni app Web.

Le impostazioni di consegna delle applicazioni impostate su risorse Citrix singole non si applicano altraffico ICA instradato attraverso NetScaler.

Nota Per modificare le proprietà ICA per il traffico ICA che passa attraverso una connessione diretta, enon attraverso NetScaler, vedere Modifica globale delle impostazioni di consegna per tutte le risorsepubblicate da Citrix.

Procedura




VMware, Inc. 170

3 Scegliere Applicazioni pubblicate Citrix per le applicazioni o Gruppi di consegna pubblicatiCitrix per i desktop, quindi selezionare la scheda Proprietà ICA NetScaler.

I campi delle proprietà sono popolati con le impostazioni predefinite.

4 Modificare le proprietà del client ICA o le proprietà di avvio.

È possibile cambiare i valori delle proprietà o aggiungerne di nuovi. Consultare la documentazione diCitrix per informazioni sulle proprietà ICA.

Nota I campi Proprietà client ICA e Proprietà avvio ICA devono essere utilizzati insieme. I campidevono entrambi contenere valori o essere entrambi vuoti.


Impostazione di criteri di accesso per applicazioni e desktopspecificiIl set di criteri di accesso predefinito si applica a tutte le applicazioni e i desktop nel catalogo. È inoltrepossibile impostare criteri di accesso per singole applicazioni o pool di desktop, che sostituiscono ilcriterio di accesso predefinito.




VMware, Inc. 171

Procedura












Visualizzazione di permessi di utenti e gruppi per le risorsepubblicate da CitrixÈ possibile visualizzare i desktop e le applicazioni pubblicati da Citrix per cui gli utenti e i gruppi diVMware Identity Manager dispongono di permessi. I desktop sono noti anche come gruppi di consegnanella console di VMware Identity Manager.

Importante Non è possibile utilizzare VMware Identity Manager per apportare modifiche alladistribuzione Citrix. Se l'amministratore di Citrix apporta una qualsiasi modifica, come ad esempio laconcessione di permessi ai nuovi utenti per una risorsa pubblicata da Citrix o l'aggiunta di un nuovo farmdel server, sarà necessario forzare una sincronizzazione per propagare le modifiche aVMware Identity Manager.

Prerequisiti

Per visualizzare gli aggiornamenti più recenti, sincronizzare manualmente le risorse e i permessi dalleserver farm di Citrix in VMware Identity Manager facendo clic su Sincronizza nella pagina Configurazioneapp virtuali.

Procedura



VMware, Inc. 172

2 Visualizzare i permessi di utenti e gruppi per le risorse pubblicate da Citrix.

Le risorse pubblicate da Citrix includono le applicazioni e i desktop, noti anche come gruppi diconsegna.

Opzione Azione

Visualizzare l'elenco di utenti e gruppiautorizzati per una determinata risorsapubblicata da Citrix.

a Fare clic sulla scheda Catalogo > App virtuali.b Fare clic su Qualsiasi tipo di applicazione e selezionare Applicazioni

pubblicate da Citrix per visualizzare le applicazioni o su Gruppi diconsegna pubblicati da Citrix per visualizzare i desktop.

c Fare clic sul nome della risorsa pubblicata da Citrix per cui si desideravisualizzare i permessi.

Per impostazione predefinita, la scheda Permessi è selezionata. I permessidei gruppi e quelli degli utenti sono riportati in tabelle separate.

Visualizzare l'elenco di permessi per lerisorse pubblicate da Citrix per unutente o un gruppo specifico.



Le risorse pubblicate da Citrix autorizzate sono elencate nelle tabelleApplicazioni pubblicate Citrix e Gruppi di consegna pubblicati Citrix.

Avvio delle risorse pubblicate da Citrix in browser diversiQuando gli utenti avviano un'applicazione o un desktop pubblicato da Citrix dal portale Workspace ONE,un file ICA viene scaricato e passato a Citrix Receiver. Citrix Receiver è un'applicazione SO nativa checonsente di avviare le applicazioni e i desktop pubblicati da Citrix. L'esperienza di avvio varia in base allepiattaforme e ai browser in uso.

processo di avvioL'avvio dell'applicazione o del desktop viene eseguito in modo diverso in base alla piattaforma e albrowser in uso. In alcuni casi, l'avvio dell'applicazione o del desktop avviene direttamente. In altri casi,l'utente deve innanzitutto associare il tipo di file .ica a Citrix Receiver in modo che l'avvio dell'applicazioneo del desktop possa essere eseguito direttamente. In alcuni casi, l'utente deve fare clic sul file ICAscaricato per avviare l'applicazione o il desktop. Per informazioni dettagliate, vedere la tabella.

Piattaforma BrowserModalità di avvio dell'applicazione o deldesktop Azione necessaria

Windows Firefox Avvia l'applicazione o il desktop direttamente Nessuna

Chrome Avvia l'applicazione o il desktop direttamente.

Nota Con Citrix 4.5 Receiver e XenDesktop, siverificano problemi noti relativi all'avvio delgruppo di consegna.

Nessuna

InternetExplorer

Scarica il file ICA con estensione .ica. Dopol'associazione del tipo di file a Citrix Receiver,avvia l'applicazione o il desktopautomaticamente.

Nel browser, associare il tipo difile .ica a Citrix Receiver.


VMware, Inc. 173

Piattaforma BrowserModalità di avvio dell'applicazione o deldesktop Azione necessaria

Edge Avvia l'applicazione o il desktop direttamente.

Nota Con Citrix 4.5 Receiver e XenDesktop, siverificano problemi noti relativi all'avvio delgruppo di consegna.

Nessuna

Mac Safari, Firefox Avvia l'applicazione o il desktop direttamente Nessuna

Chrome Avvia l'applicazione o il desktop direttamente Nessuna

Windows Surface Chrome Scarica il file ICA con estensione .ica Dopol'associazione del tipo di file a Citrix Receiver,avvia l'applicazione o il desktopautomaticamente.

Nel browser, associare il tipo difile .ica a Citrix Receiver.

Android Chrome Scarica il file ICA Fare clic sul file ICA per avviare ildesktop o l'applicazione.

iOS Safari Scarica il file ICA Fare clic sul file ICA per avviare ildesktop o l'applicazione.

Chrome Non è in grado di scaricare il file ICA Questo scenario non è supportato.

Consentire il plug-in Citrix Receiver in FirefoxIn Firefox, quando gli utenti avviano un'applicazione pubblicata da Citrix, viene richiesto di consentire ilplug-in Citrix Receiver.

Consenti a https://IdentityManagerHostname di eseguire Citrix Receiver?

Gli utenti devono fare clic su Consenti ora o Consenti e ricorda per avviare l'applicazione.

Impatto dell'aggiornamento sull'integrazione di risorsepubblicate da CitrixDopo l'aggiornamento di VMware Identity Manager o di un prodotto Citrix, non è necessaria alcunaconfigurazione aggiuntiva per mantenere l'integrazione tra VMware Identity Manager e le risorsepubblicate da Citrix.


VMware, Inc. 174

Per aggiornare Integration Broker, è necessario prima disinstallare la vecchia versione e installare quellanuova.

Per reinstallare Citrix Receiver, consultare la documentazione Citrix.


VMware, Inc. 175

Consentire l'accesso adapplicazioni gestite dalla terzaparte in Workspace ONE 9È possibile aggiungere provider di identità dalla terza parte come origine dell'applicazione nel catalogoWorkspace ONE per semplificare la distribuzione di un numero elevato di applicazioni da questi fornitoridi identità per Workspace ONE. L'aggiunta di un provider di identità come origine dell'applicazionesemplifica il processo di aggiunta di singole applicazioni dal provider al catalogo dell'utente finale.

Le applicazioni Web che utilizzano il profilo di autenticazione SAML 2.0 possono essere aggiunte alcatalogo. La configurazione delle applicazioni è basata sulle impostazioni configurate nell'originedell'applicazione. Devono essere configurati solo il nome dell'applicazione e l'URL di destinazione.

Quando si aggiungono applicazioni, è possibile autorizzare utenti e gruppi all'applicazione e applicare uncriterio di accesso per controllare l'accesso degli utenti all'applicazione. Gli utenti possono accedere aqueste applicazioni nel portale Workspace ONE dai propri desktop e dispositivi mobili.

Le impostazioni configurate e i criteri dell'origine dell'applicazione dalla terza parte possono essereapplicati a tutte le applicazioni gestite dall'origine dell'applicazione.

Talvolta, alcuni provider di identità dalla terza parte inviano una richiesta di autenticazione senza indicarequale sia l'applicazione alla quale l'utente tenta di accedere. Se VMware Identity Manager riceve unarichiesta di autenticazione che non include le informazioni sull'applicazione, vengono applicate le regoledel criterio di accesso di backup configurate nell'origine dell'applicazione invece della regola impostataper l'applicazione dell'utente.

È possibile configurare i provider di identità seguenti come origini delle applicazioni nel catalogoWorkspace ONE .

n Okta

n Ping Federated Server da Ping Identity

n Active Directory Federation Services (ADFS)

Questo capitolo include i seguenti argomenti:n Aggiungere un'origine dell'applicazione al catalogo di Workspace ONE

n Autorizzare gli utenti per l'origine dell'applicazione

n Aggiungere applicazioni gestite dall'origine dell'applicazione

VMware, Inc. 176

Aggiungere un'origine dell'applicazione al catalogo diWorkspace ONEConfigurare l'origine dell'applicazione nella pagina Catalogo > Impostazioni per l'integrazione diapplicazioni di terzi con il catalogo di Workspace ONE. Dopo aver configurato l'origine dell'applicazione, èpossibile aggiungere applicazioni dall'origine nel catalogo di Workspace ONE.

Le impostazioni di configurazione più comuni sono impostate a livello di origine dell'applicazione. Leapplicazioni provenienti dall'origine dell'applicazione aggiunte al catalogo di Workspace ONE utilizzanoqueste impostazioni di configurazione. Se si configura una volta l'origine di applicazioni, è più sempliceaggiungere più applicazioni al catalogo.

Procedura


2 Fare clic sulla scheda Catalogo > App Web e fare clic su Impostazioni.

3 Selezionare Origini applicazioni.

4 Selezionare il tipo di origine dell'applicazione da configurare.

5 Immettere un nome descrittivo per l'origine dell'applicazione e fare clic su Avanti.

6 Modificare la configurazione dell'origine dell'applicazione.

Opzione Descrizione

URL/XML Selezionare URL/XML per utilizzare l'URL di rilevamento automatico, l'XMLmetadati o manualen URL individuazione automatica (metadati). Se i metadati XML sono

accessibili su Internet, specificare l'URL.n XML metadati. Se i metadati XML non sono accessibili su Internet ma sono

disponibili, incollare l'XML dei metadati nella casella di testo.n Configurazione manuale. Se i metadati XML non sono disponibili, configurare

manualmente l'XML nelle caselle di testo visualizzate.

URL stato inoltro Immettere una pagina di destinazione personalizzata a cui vengono indirizzati gliutenti da Workspace One dopo l'autenticazione all'URL Single Sign-On.

Opzioni di configurazione avanzate

Firma risposta Attivato. La risposta completa viene firmata.

Firma dichiarazione Attivarlo per firmare la dichiarazione.

Applica crittografia all'asserzione Se attivato, l'asserzione SAML viene crittografata. Affinché la crittografia funzioni,deve essere supportata la possibilità di leggere le dichiarazioni SAMLcrittografate.

Includi firma asserzione Abilitare questa opzione per includere il certificato di firma di Workspace ONEall'interno della risposta SAML. Il provider di servizi dell'applicazione potrebberichiedere questo certificato di firma incluso con la risposta SAML.

Algoritmo della firma Selezionare SHA256 con RSA come algoritmo hash crittografato protetto dautilizzare per la firma.

Algoritmo digest Selezionare SHA256.


VMware, Inc. 177

Opzione Descrizione

URL accesso applicazione Immettere l'URL della pagina di accesso del provider di servizi dell'applicazioneper attivare l'accesso a Workspace ONE avviato dal provider di servizi. Alcuniprovider di servizi di applicazioni non supportano le asserzioni Single Sign-Oninviate direttamente da Workspace ONE e richiedono invece che il processo diaccesso venga avviato dalla propria pagina di accesso.

Numero di proxy Impostare il numero di proxy per limitare il numero di livelli di proxy tra il providerdi servizi e il provider di identità dell'autenticazione.

Accesso API Consenti accesso API a questa applicazione.


8 Selezionare il criterio di accesso. Verificare che il criterio di accesso predefinito soddisfi i requisiti perquesta applicazione o selezionare un altro criterio di accesso dal menu a discesa.

L'origine dell'applicazione è configurata.


Aggiungere le applicazioni associate al catalogo.

Autorizzare gli utenti per l'origine dell'applicazioneImpostare i permessi per l'origine dell'applicazione su Tutti gli utenti. È possibile gestire i permessi dallepagine di configurazione specifiche delle applicazioni.

Procedura

1 Nella console di VMware Identity Manager, nella pagina Catalogo > App Web, selezionare l'originedell'applicazione dall'elenco.

2 Fare clic su Assegna.

3 Digitare TUTTI GLI UTENTI nella casella di ricerca per trovare e selezionare il gruppo TUTTI GLIUTENTI.


Tutti gli utenti possono accedere alle applicazioni gestite dell'origine dell'applicazione. È possibile gestire ipermessi dalle pagine di permessi specifiche delle applicazioni.


Il criterio di accesso viene impostato automaticamente sul criterio di accesso predefinito. Verificare che ilcriterio di accesso sia quello appropriato.

Aggiungere le singole applicazioni dall'origine dell'applicazione.


VMware, Inc. 178

Aggiungere applicazioni gestite dall'originedell'applicazioneDopo che il provider di identità è stato configurato come origine dell'applicazione, le applicazioni Web cheutilizzano il profilo di autenticazione SAML 2.0 possono essere aggiunte al catalogo di Workspace ONE.

Prerequisiti

Provider di identità di terzi configurato come origine dell'applicazione nella pagina Catalogo >Impostazioni.

Procedura

1 Accedere alla console di amministrazione di VMware Identity Manager.

2 Fare clic sulla scheda Catalogo > Web Apps.


4 Completare le informazioni sulla pagina Definizione e fare clic su Avanti.

Elemento delmodulo Descrizione

Nome Immettere il nome dell'applicazione.

Descrizione (Facoltativo) Aggiungere una descrizione dell'applicazione.

Icona (Facoltativo) Per aggiungere un'icona da visualizzare nella pagina dell'applicazioneWorkspace ONE degli utenti, fare clic su Scegli file per caricare un'icona.

PNG, JPG e ICON, fino a 4 MB. Le icone caricate saranno ridimensionate a 80X80 px.

Per evitare distorsioni, caricare icone con altezza e larghezza uguali e il più possibile vicino alledimensioni 80X80 px.

5 Nella pagina Configurazione, dal menu a discesa Tipo di autenticazione selezionare l'origine diapplicazioni per questa applicazione. Immettere l'URL di destinazione per l'applicazione.

Questo URL è l'URL del provider di identità per l'applicazione come rappresentato nell'originedell'applicazione oppure l'URL del provider di servizi.

La configurazione viene popolata con i valori di configurazione dell'origine di applicazioni.

6 Nella pagina Criteri di accesso, verificare che il criterio di accesso predefinito soddisfi i requisiti perquesta applicazione o selezionare un altro criterio di accesso dal menu a discesa.

Consultare la guida all'amministrazione di VMware Identity Manager, sezione Gestione dei criterio diaccesso.

L'applicazione viene aggiunta al catalogo di Workspace ONE e gli utenti possono accedereall'applicazione dal portale di Workspace ONE.


VMware, Inc. 179


Gli utenti assegnati all'origine dell'applicazione vengono assegnati automaticamente all'applicazione. Èpossibile modificare gli utenti e i gruppi che sono assegnati all'applicazione.


VMware, Inc. 180

Risoluzione dei problemi relativialla configurazione delle risorsedi VMware Identity Manager 10È possibile risolvere i problemi che si verificano dopo la configurazione delle risorse diVMware Identity Manager


n Risoluzione dei problemi di avvio

n Risoluzione dei problemi di integrazione di ThinApp

n Risoluzione dei problemi di integrazione di Horizon

n Risoluzione dei problemi di integrazione delle risorse pubblicate da Citrix

Risoluzione dei problemi di avvioÈ possibile risolvere gli errori di avvio delle risorse di Horizon, Horizon Cloud e Citrix visualizzando imessaggi di errore sulle cause della radice e le soluzioni consigliate nella console di VMware IdentityManager.

Procedura

1 Nella console di VMware Identity Manager, selezionare la scheda Dashboard > Report.

2 Selezionare Auditing eventi dall'elenco dei report.

3 In Tipo impostare LAUNCH o LAUNCH_ERROR.

4 Selezionare un intervallo di tempo e fare clic su Mostra.

Risoluzione dei problemi di integrazione di ThinAppUtilizzare queste informazioni per risolvere i problemi di configurazione di ThinApp in VMware IdentityManager.

Non è possibile avviare i pacchetti ThinApp dal portale utenteQuando un utente tenta di avviare un pacchetto ThinApp dal portale utente, è possibile che vengavisualizzato un messaggio del browser in cui viene chiesto all'utente di scaricare e installarel'applicazione VMware Identity Manager Desktop anche se l'applicazione è già installata e in esecuzione.

VMware, Inc. 181

Problema

Dopo aver installato l'applicazione VMware Identity Manager Desktop, quando l'utente apre il portaleutente in un browser di tale sistema Windows, accede e tenta di avviare un pacchetto ThinApp, èpossibile che venga visualizzato un messaggio che dice che l'applicazione VMware Identity ManagerDesktop deve essere installata nel sistema e il pacchetto ThinApp non viene avviato. Il messaggiopotrebbe essere visualizzato anche se il processo dell'applicazione VMware Identity Manager Desktop èin esecuzione nel sistema Windows. L'applicazione VMware Identity Manager Desktop potrebbesegnalare che tutti i file sono aggiornati.

Causa

Questo problema può verificarsi per più motivi.

Causa Descrizione

Il plug-in del browser diVMware Identity ManagerDesktop non è installatocorrettamente o non èattivato nella finestra delbrowser in cui l'utente statentando di avviare ilpacchetto ThinApp.

Poiché per l'esecuzione dei pacchetti ThinApp nel sistema Windows è necessario installarel'applicazione VMware Identity Manager Desktop, prima di avviare il pacchetto ThinApp, il portaleutente utilizza un plug-in del browser per verificare se l'applicazione è installata. Quando l'utente faclic sull'icona di un pacchetto ThinApp nel portale utente, il plug-in del browser di VMware IdentityManager Desktop verifica se l'applicazione è installata prima di avviare il pacchetto. Se il plug-in delbrowser non è installato e attivo nel browser, la verifica non può essere eseguita, viene visualizzatoil messaggio e il pacchetto non viene avviato.

Se durante il processo di installazione di VMware Identity Manager Desktop ci sono finestre delbrowser aperte, è possibile che il plug-in del browser non venga installato correttamente per talebrowser. Il plug-in potrebbe essere disattivato nel browser se l'utente disabilita il plug-in nella paginadei componenti aggiuntivi o dei plug-in del browser.

Il gestore del protocollopersonalizzato utilizzatoper avviare il pacchettoThinApp dal browser èstato disabilitato per ilbrowser in cui l'utente statentando di avviare ilpacchetto ThinApp.

Nel portale Workspace ONE, i pacchetti ThinApp sono rappresentati mediante un collegamento conun protocollo horizon://. Quando l'applicazione VMware Identity Manager Desktop vieneinstallata, il programma di installazione registra un gestore per il protocollo horizon://. Il gestoredel protocollo è un file eseguibile denominato HorizonThinAppLauncher.exe e viene registrato comegestore dalla voce del registro HKEY_CLASSES_ROOT\horizon\shell\open\command. Quandol'utente tenta di avviare un pacchetto ThinApp utilizzando l'icona corrispondente nel portaleWorkspace ONE, viene avviata l'applicazione HorizonThinAppLauncher.exe.

Se l'utente ha disabilitato l'utilizzo di tutti i gestori di protocollo nel browser o ha disabilitato l'utilizzodel gestore per il protocollo horizon://, non è possibile avviare i pacchetti ThinApp mediante leicone corrispondenti nel portale Workspace ONE. Quando viene avviato un gestore del protocollo, inalcuni browser viene visualizzato un avviso e l'utente può selezionare di eseguire il gestore delprotocollo. L'utilizzo del gestore del protocollo horizon:// potrebbe essere stato disabilitato nelmodo seguente. L'utente ha fatto clic sull'icona di un pacchetto ThinApp per la prima volta. Nellafinestra di dialogo di avviso del browser visualizzata per chiedere il permesso di eseguire il gestoredel protocollo l'utente ha selezionato No o un'opzione simile per impedire l'avvio e ha inoltreselezionato Ricorda la mia selezione o un'opzione simile che impedisce l'avvio di tutti icollegamenti di questo tipo. Poiché non è stato concesso il permesso di eseguire il gestore delprotocollo e questa selezione viene ricordata, non è possibile avviare alcun pacchetto ThinApp dalportale Workspace ONE.


VMware, Inc. 182

Soluzione

1 Verificare che l'utente abbia eseguito l'accesso all'applicazione VMware Identity Manager Desktopcon il proprio account utente VMware Identity Manager.

L'utente accede al cliente utilizzando l'icona di VMware Identity Manager nella barra delle applicazionidel sistema Windows.

2 Se il problema si verifica poco dopo l'installazione dell'applicazione nel sistema, chiudere tutte lefinestre del browser aperte, riaprire il browser, accedere al portale utente e provare ad avviare ilpacchetto ThinApp.

3 Se il problema persiste anche dopo aver chiuso le finestre del browser aperte e aver riaperto ilbrowser, verificare che il plug-in del browser sia presente nell'elenco di plug-in del browser e siaattivo.

Browser Descrizione

InternetExplorer

Per Internet Explorer, viene registrato un server COM anziché un componente aggiuntivo o un plug-in delbrowser. Per verificare se il server COM è installato, creare un file HTML di test con il contenuto seguente eaprirlo in Internet Explorer. Il risultato indica se il server COM è installato o meno.

<html><script type="text/vbscript">On Error Resume Next

dim objNameobjName = "HorizonAgentFinder.HorizonFinder"dim objSet obj = CreateObject(objName)

document.write(objName & " is ")if IsEmpty(obj) then document.write("not installed") else document.write("installed")end if</script></html>

Firefox Aprire Gestione componenti aggiuntivi di Firefox facendo clic su Strumenti > Componenti aggiuntivi. Nellapagina Plugin verificare che sia presente il plug-in del browser VMware Horizon Agent Finder e impostarlo suAttiva sempre.

Chrome Accedere a Impostazioni contenuti di Chrome aprendo la pagina Impostazioni e facendo clic su Mostraimpostazioni avanzate > Impostazioni contenuti. Fare clic su Gestisci singolo plug-in per visualizzarel'elenco dei plug-in. Verificare che sia presente il plug-in del browser VMware Horizon Agent Finder eimpostarlo su Consenti sempre l'esecuzione.

Safari perWindows

Aprire l'elenco dei plug-in installati di Safari facendo clic su Aiuto > Plug-in installati. Verificare chenell'elenco sia presente il plug-in del browser VMware Horizon Agent Finder. Verificare che il plug-in siaattivato per Safari.


VMware, Inc. 183

4 Verificare che la voce del registro HKEY_CLASSES_ROOT\horizon\shell\open\command esista eche il suo valore sia un percorso associato alla posizione del gestore del protocollo necessario,denominato HorizonThinAppLauncher.exe, in cui l'applicazione VMware Identity Manager Desktop èstata installata nel sistema Windows.

Se la voce del registro non esiste o non ha un valore associato alla posizione in cui l'applicazioneVMware Identity Manager Desktop è stata installata, disinstallare l'applicazione e reinstallarla.

5 Se la voce del registro esiste e ha un valore associato alla posizione dell'eseguibileHorizonThinAppLauncher.exe, verificare che l'eseguibile si trovi davvero in tale posizione e non siastato spostato o eliminato.

Se la voce del registro non esiste o non ha un valore associato alla posizione in cui l'applicazioneVMware Identity Manager Desktop è stata installata, disinstallare l'applicazione e reinstallarla.

6 Se la voce del registro esiste e ha un valore associato alla posizione dell'eseguibileHorizonThinAppLauncher.exe, verificare che il valore (Predefinito) per il valore del registroHKEY_CLASSES_ROOT\horizon abbia il valore di Dati uguale a URL:horizon Protocol e che il valore diProtocollo URL per la voce HKEY_CLASSES_ROOT\horizon esista.

Se il valore di Dati per il valore (Predefinito) della voce del registro HKEY_CLASSES_ROOT\horizonnon è impostato su URL:horizon Protocol, aggiornarlo per impostarlo su URL:horizon Protocol. Se ilvalore di Protocollo URL non esiste per la voce HKEY_CLASSES_ROOT\horizon, è possibile crearloutilizzando un valore con nome Protocollo URL e nessun valore di Dati.

7 Stabilire se l'utente ha disabilitato il protocollo horizon:// per il browser o se tutti i gestori diprotocollo sono disabilitati nel browser e, in tal caso, abilitare il gestore del protocollo per il browser inbase alle esigenze della propria organizzazione.

Nella maggior parte delle situazioni, i browser si basano sulle impostazioni nel registro perinformazioni sui gestori di protocollo disponibili per tale sistema Windows. Per alcuni browser, quandol'utente fa clic su un collegamento associato a un gestore di protocollo, viene visualizzata una finestradi dialogo che include una domanda simile a Do you want to allow this website to open aprogram on your computer? oppure un'affermazione simile a This link needs to be openedwith an application relativa alla necessità di avviare un'applicazione esterna per gestire ilcollegamento. La finestra di dialogo offre in genere all'utente l'opzione di non avviare l'applicazioneesterna e di ricordare tale scelta per tutti i collegamenti dello stesso tipo. I passaggi per abilitarenuovamente la possibilità di avviare l'applicazione associata al gestore del protocollo sono di solitodiversi in base al tipo di browser. Consultare la documentazione relativa al tipo di browser dell'utenteper informazioni su come abilitare i gestori di protocollo per tale tipo di browser.

Risoluzione dei problemi di integrazione di HorizonUtilizzare queste informazioni per risolvere i problemi di configurazione di Horizon 7, Horizon 6 o View inVMware Identity Manager.


VMware, Inc. 184

Gli utenti non riescono ad avviare le applicazioni o i desktop diHorizonGli utenti non riescono ad avviare Horizon 7 o Horizon 6 oppure le applicazioni View o i desktop dalportale utente di VMware Identity Manager.

Problema

Gli utenti non riescono ad avviare Horizon 7 o Horizon 6 oppure le applicazioni View o i desktop dalportale utente di VMware Identity Manager e nell'interfaccia utente viene visualizzato il messaggio dierrore seguente:

Errore durante l'avvio della risorsa. Contattare l'amministratore di sistema.

Causa

È possibile che questo errore si verifichi se i metadati SAML nelle istanze di Horizon Connection Serversono scadute dopo l'ultima sincronizzazione.

Soluzione

1 Nella console di VMware Identity Manager, selezionare la scheda Catalogo > App virtuali.

2 Fare clic su Sincronizza per far sì che la raccolta di Horizon sincronizzi di nuovo le risorse di Horizonin VMware Identity Manager.

Risoluzione dei problemi di integrazione delle risorsepubblicate da CitrixUtilizzare queste informazioni per risolvere i problemi di configurazione di risorse pubblicate da Citrix inVMware Identity Manager.

Vedere anche Risoluzione dei problemi di configurazione delle risorse pubblicate da Citrix in VMwareIdentity Manager.

Gli utenti che accedono alle risorse pubblicate da Citrix ricevonoun errore di crittografiaLe proprietà ICA di XenApp in VMware Identity Manager devono includere la proprietà di crittografiaimpostata sullo stesso livello di crittografia configurato nei server XenApp della farm. In caso contrario, gliutenti non possono accedere alle proprie applicazioni o desktop pubblicati da Citrix.

Problema

Quando un utente si connette a una risorsa pubblicata da Citrix da VMware Identity Manager, vienevisualizzato il messaggio di errore seguente.

Non si dispone del livello di crittografia appropriato per accedere a questa sessione


VMware, Inc. 185

Causa

VMware Identity Manager non imposta i livelli di crittografia. Se il livello di crittografia impostato nel serverXenApp è più elevato di quello predefinito utilizzato in Citrix-Receiver, viene visualizzato l'erroreseguente.

È necessario impostare un livello di crittografia più elevato in Workspace.

Soluzione



3 Selezionare Applicazioni pubblicate Citrix.

4 Apportare le modifiche seguenti nelle schede Configurazione ICA e Configurazione ICA Netscaler.

a Modificare la casella di testo Proprietà client ICA. Per impostare il livello di crittografia su 128,immettere

EncryptionLevelSession=EncRC5-128.

b Modificare la casella di testo Proprietà avvio ICA. Per impostare il livello di crittografia su 128,immettere

[EncRC5-128]

DriverNameWin16=pdc128w.dll

DriverNameWin32=pdc128n.dll.

Le risorse pubblicate da Citrix non sono disponibili inVMware Identity ManagerUn problema di comunicazione tra Integration Broker e PowerShell SDK potrebbe impedire alleapplicazioni e ai desktop pubblicati da Citrix di comparire nel catalogo di VMware Identity Manager.

Problema

Dopo aver integrato Citrix con VMware Identity Manager, le risorse pubblicate da Citrix non compaiononel catalogo di VMware Identity Manager.

Causa

È possibile che nella configurazione di Integration Broker si verifichi un problema che impedisce lacorretta comunicazione con PowerShell SDK.

Soluzione

La presenza di un problema di configurazione di Integration Broker è risolvibile specificando gli URL in unbrowser. Questo metodo di risoluzione dell'errore può aiutare a determinare se il problema è correlato aun'errata configurazione nelle seguenti aree.

n Server farm Citrix


VMware, Inc. 186

n risorse pubblicate da Citrix

n Permessi risorsa

Se una pagina Web non visualizza l'output previsto, mostra un errore e aggiunge le informazioni neiregistri di Integration Broker. Esaminare i registri di Integration Broker per procedere nel processo dirisoluzione del problema.

Procedura

1 Utilizzare un browser per controllare le informazioni sulla server farm Citrix.

a In un browser, inserire un URL come uno dei seguenti, sostituendo i segnaposto con leinformazioni appropriate.

n Citrix Server Farm 7.x

https://IBhostname/IB/API/RestServiceImpl.svc/hznxenapp/admin/xenfarminfo?computerName=XenAppServerHostname&xenappversion=Version7x


https://IBhostname/IB/API/RestServiceImpl.svc/hznxenapp/admin/xenfarminfo?computerName=XenAppServerHostname&xenappversion=Version65orLater

n Citrix Server Farm 5.5 o 6.0

https://IBhostname/IB/API/RestServiceImpl.svc/hznxenapp/admin/xenfarminfo?computerName=XenAppServerHostname&xenappversion=Legacy

b Consultare il contenuto della pagina Web e, se necessario, esaminare i registri di IntegrationBroker.

Se Integration Broker è configurato correttamente, la pagina visualizza informazioni sullaserver farm Citrix, come le seguenti.

"[{\"FarmName\":\"test data\",\"ServerVersion\":\"6.0.6410\",\"AdministratorType\":\"Full\",\"SessionCount\":\"2\",\"MachineName\":\"testdata\"}]”

Se la pagina Web non visualizza le informazioni sulla server farm, a Integration Brokervengono inviate informazioni di registro. Per approssimarsi ulteriormente alla risoluzione delproblema, esaminare i registri dell'host di Integration Broker in %programdata%/VMware/HorizonIntegrationBroker.


VMware, Inc. 187

2 Utilizzare un browser per elencare tutte le risorse pubblicate da Citrix nella server farm.



Per elencare tutte le applicazioni:

https://IBhostname/IB/API/RestServiceImpl.svc/hznxenapp/admin/applications?computerName=XenAppServerHostname&xenappversion=Version7x

Per elencare tutti i gruppi di consegna:

https://IBhostname/IB/API/RestServiceImpl.svc/hznxenapp/admin/deliveryGroups?computerName=XenAppServerHostname&xenappversion=Version7x


https://IBhostname/IB/API/RestServiceImpl.svc/hznxenapp/admin/applications?computerName=XenAppServerHostname&xenappversion=Version65orLater


https://IBhostname/IB/API/RestServiceImpl.svc/hznxenapp/admin/applications?computerName=XenAppServerHostname&xenappversion=Legacy


Se Integration Broker è configurato correttamente, la pagina visualizza l'elenco di tutte lerisorse presenti nella server farm Citrix.

Se la pagina Web non visualizza un elenco di risorse, a Integration Broker vengono inviateinformazioni di registro. Per approssimarsi ulteriormente alla risoluzione del problema,esaminare i registri dell'host di Integration Broker in %programdata%/VMware/HorizonIntegrationBroker.


VMware, Inc. 188

3 Utilizzare un browser per controllare i permessi relativi a una singola risorsa pubblicata da Citrix.


Sostituire il segnaposto ApplicationName con il nome dell'applicazione che si staspecificando.


Per controllare un'applicazione:

https://IBhostname/IB/API/RestServiceImpl.svc/hznxenapp/admin/entitlements?computerName=XenAppServerHostname&xenappversion=Version7x&appName=ApplicationName

Per controllare un gruppo di consegna:

https://IBhostname/IB/API/RestServiceImpl.svc/hznxenapp/admin/deliveryGroup/entitlements?computerName=XenAppServerHostname&xenappversion=Version7x&deliveryGroupName=deliveryGroupName


https://IBhostname/IB/API/RestServiceImpl.svc/hznxenapp/admin/entitlements?computerName=XenAppServerHostname&xenappversion=Version65orLater&appName=ApplicationName


https://IBhostname/IB/API/RestServiceImpl.svc/hznxenapp/admin/entitlements?computerName=XenAppServerHostname&xenappversion=Legacy&appName=ApplicationName


Se Integration Broker è configurato correttamente, la pagina visualizza l'elenco di tutti ipermessi dell'applicazione o del gruppo di consegna specificato.

Se la pagina Web non visualizza un elenco di permessi, a Integration Broker vengono inviateinformazioni di registro. Per approssimarsi ulteriormente alla risoluzione del problema,esaminare i registri dell'host di Integration Broker in %programdata%/VMware/HorizonIntegrationBroker.

Quando gli utenti avviano una risorsa pubblicata da Citrix, nelbrowser viene visualizzato un errore server interno 500La mancata corrispondenza tra le configurazioni del server farm di Citrix e VMware Identity Managerpotrebbe causare il non corretto avvio delle risorse pubblicate da Citrix.


VMware, Inc. 189

Problema

L'avvio di una risorsa pubblicata da Citrix non viene eseguito correttamente poiché nel browser vienevisualizzato un errore server interno 500.

Causa

Un errore 500 si verifica quando le informazioni del server farm di Citrix specificate nella console diVMware Identity Manager non corrispondono alla configurazione del server Citrix.

Soluzione

1 Prendere nota delle impostazioni del tipo di trasporto, del numero della porta e del numero della portadi inoltro SSL di ogni server farm integrato con la distribuzione di VMware Identity Manager in uso.



4 Fare clic sul nome di raccolta di Citrix.

5 Nella sezione Server farm modificare le impostazioni di Tipo di trasporto, Porta e Porta di inoltroSSL per ogni server farm in modo che corrispondano alle impostazioni della configurazione delserver Citrix.

Un problema di memoria impedisce la corretta configurazione diIntegration BrokerQuando si integra VMware Identity Manager con la server farm Citrix versione 6.0 e precedenti, lamemoria insufficiente assegnata a PowerShell SDK determina un errore.

Problema

Quando si esegue il comando Invoke-Command per verificare la comunicazione remota di PowerShell,viene visualizzato un errore di memoria insufficiente. Viene richiesto di eseguire il comando Invoke-Command durante GUID-A51BFD94-9975-41C7-A9E5-ADB854ADAA6E#GUID-A51BFD94-9975-41C7-A9E5-ADB854ADAA6E.

Causa

Nel sistema Windows in cui viene effettuata la comunicazione remota di PowerShell, la memoriaassegnata a PowerShell SDK potrebbe essere insufficiente per il numero di risorse pubblicate Citrix.

Soluzione

È possibile aumentare la memoria assegnata a Powershell SDK.

Procedura

1 Quando l'errore viene visualizzato, eseguire il comando per aumentare la memoria assegnata, adesempio

winrm set winrm/config/winrs '@{MaxMemoryPerShellMB="1024"}'


VMware, Inc. 190

2 Eseguire nuovamente il comando Invoke-Command e portare a termine l'attività.

Errore di risorsa non disponibile all'avvio di desktop XenApp 7.xGli utenti non riescono ad avviare un desktop XenApp 7.x. Viene visualizzato un errore Risorsa nondisponibile.

Problema

Durante l'avvio di un desktop da un gruppo di consegna XenApp 7.x, gli utenti ricevono un erroreRisorsa non disponibile.

Causa

I cataloghi della macchina creati mediante il server Citrix Machine Creation hanno l'opzione di gestioneaccensione attivata per impostazione predefinita. Ciò fa sì che la macchina venga spentaautomaticamente in seguito allo scollegamento.

Soluzione

1 Disattivare l'opzione di gestione accensione per il gruppo di consegna sul server Citrix XenApp 7.x.

2 Sincronizzare di nuovo le risorse pubblicate con Citrix con il servizio VMware Identity Manager.

Non è possibile avviare il desktop dalla farm di Citrix XenDesktopin Windows 7In Windows 7, gli utenti non riescono ad avviare i desktop da una farm di Citrix XenDesktop quando SSLè abilitato per Integration Broker.

Problema

Se SSL è abilitato per Integration Broker, quando gli utenti avviano un desktop in Windows 7, a volte ildesktop non viene avviato e viene visualizzato un messaggio di errore che indica che la connessione aldesktop non è riuscita con lo stato 1030. Questo problema si verifica a volte in Firefox, ma è possibile chesi verifichi anche in altri browser.

Soluzione

Per ulteriori informazioni su questo problema, vedere l'articolo di Citrix Knowledge Center relativo alla risoluzione dell'errore 1030 nell'immagine di Windows 7.

L'avvio di risorse pubblicate da Citrix non riesce se la porta XML èimpostata in modo erratoL'avvio di risorse pubblicate da Citrix da una server farm Citrix 6.x o 7.x non riesce se la porta XML èimpostata in modo errato in VMware Identity Manager.

Problema

L'avvio di risorse pubblicate da Citrix da una server farm Citrix 6.x o 7.x non riesce se la porta XML èimpostata in modo errato in VMware Identity Manager.


VMware, Inc. 191

http://support.citrix.com/article/CTX133773

Soluzione

Assicurarsi che la porta XML sia impostata correttamente.

In XenApp 6.x o ambienti precedenti, chiedere all'amministratore di Citrix di eseguire CTXXMLS. EXE perverificare la porta passare alla seguente posizione all'interno del Registro di sistema sul server digestione XenApp:

HKLM/SYSTEM/CurrentControlSet/Services/CtxHttp | TcpPort=

Verificare il numero di porta. Per impostazione predefinita la porta è impostata su 80, ma comunementeviene modificata in 8080 o 88. Assicurarsi che la porta corretta sia impostata nella configurazione di Citrixin VMware Identity Manager nella pagina Catalogo > Gestisci applicazioni Desktop > Applicazionepubblicata da Citrix.

Per XenDesktop 7.x, vedere https://support.citrix.com/article/CTX127945 per informazioni sulla verificadella porta XML.

La sincronizzazione di risorse Citrix non riesce se il Gruppovisibilità limitata non contiene utenti o gruppiLa sincronizzazione di risorse Citrix non riesce se l'impostazione Gruppo visibilità limitata è selezionata enon contiene alcun utente o gruppo AD.

Problema

In XenDesktop e XenApp 7.9 e versioni successive, se l'impostazione Gruppo visibilità limitata èselezionato e non contiene alcun utente o gruppo, la sincronizzare con VMware Identity Manager nonriesce.

Causa

Se è impostato, il Gruppo visibilità limitata deve contenere utenti o gruppi.

Soluzione

1 Individuare il nome reale dell'applicazione eseguendo il seguente comando PowerShell:

asnp citrix*

Get-brokerapplication-browsername nameOfCitrixPublishedResource

Nei dettagli dell'applicazione che viene visualizzato, cercare il nome dell'applicazione.

2 In Citrix Studio, trovare l'applicazione con lo stesso nome, modificare la proprietà Visibilità limitata eaggiungere all'elenco utenti e gruppi.

Problemi di sincronizzazione se le applicazioni pubblicate o idesktop in un sito non contengono utenti validiSe le applicazioni o i desktop pubblicati da Citrix non contengono utenti validi, la sincronizzazione aVMware Identity Manager non funziona.


VMware, Inc. 192

https://support.citrix.com/article/CTX127945

Problema

Tutte le applicazioni e tutti i desktop pubblicati da Citrix in un sito devono contenere utenti validi. Se èstato eliminato un utente o gruppo e tale utente o gruppo non viene rimosso da una risorsa pubblicata daCitrix, l'applicazione o il desktop Citrix mostra un SID orfano. Ciò impedisce la sincronizzazione aVMware Identity Manager.

Per controllare il problema, è possibile utilizzare l'API seguente:

http://CitrixBrokerFQDN:80/IB/API/RestServiceImpl.svc/hznxenapp/admin/entitlements?

computerName=IBFQDN&xenappversion=VersionNumber&appName=applicationName

Il file risultante contiene le risorse vuote. Output di esempio:

"[{\"IncludedUsers\":\"DomainName\\\\USERNAME:User

$S-1-5-21-1097426297-1557994628-1672037986-53944:Group\"}]"

Causa

Alcune applicazioni o alcuni desktop pubblicati nel sito non contengono utenti validi.

Soluzione

Assicurarsi che tutte le applicazioni e tutti i desktop pubblicati in un sito contengano utenti validi.

I permessi di Citrix non compaiono in VMware Identity ManagerI permessi di Citrix non compaiono in VMware Identity Manager.

Problema

I permessi per un gruppo di applicazioni o consegna sono impostati sul server Citrix ma non appaiono inVMware Identity Manager.

Causa

Utenti e gruppi che dispongono del permesso per il gruppo di applicazioni o consegna potrebbero nonessere sincronizzati con VMware Identity Manager.

Soluzione

Verificare che gli utenti e i gruppi siano sincronizzati con VMware Identity Manager.

1 Accedere alla Console di gestione di Citrix e individuare l'applicazione che non dispone di alcunpermesso.

2 Prendere nota degli utenti e dei gruppi di Active Directory che dispongono delle autorizzazioninecessarie per avviare l'applicazione nella Console di gestione di Citrix.

3 Accedere alla console di amministrazione di VMware Identity Manager, fare clic sulla scheda Utenti egruppi e verificare che gli utenti e i gruppi vengano riportati nell'elenco.

È inoltre possibile utilizzare la casella di ricerca in alto a destra nella pagina.


VMware, Inc. 193

4 Se vengono visualizzati gli utenti e i gruppi, sincronizzare di nuovo le risorse di Citrix dalla paginaCatalogo > App virtuali > Configurazione app virtuali.

Nota Gli utenti e i gruppi devono esistere in VMware Identity Manager prima che sia possibileeffettuare la sincronizzazione delle risorse di Citrix. Se non esistono, la sincronizzazione verràeseguita ma non verranno aggiornati i permessi.

5 Se gli utenti e i gruppi non esistono in VMware Identity Manager, procedere come segue.

a Controllare dove utenti e gruppi esistono in Active Directory (utilizzando Utenti Active Directory eComputer Snapping).

b Nella console di VMware Identity Manager, aggiornare i DN di sincronizzazione AD per gli utentie i gruppi nelle pagine delle Impostazioni di sincronizzazione della directory.

c Quando gli utenti e i gruppi vengono visualizzati nella console di VMware Identity Manager,sincronizzare nuovamente le risorse di Citrix.

Al termine della sincronizzazione i permessi compaiono in VMware Identity Manager.

Eccezione durante la sincronizzazione se Identità pool diapplicazioni non è configuratoSi verifica un'eccezione durante la sincronizzazione di risorse Citrix a VMware Identity Manager a causadi un errore comune nella configurazione di Integration Broker in cui è stata configurata l'impostazione diidentità per il pool di applicazioni errato.

Problema

Durante la sincronizzazione, si verifica l'eccezione seguente nel Registro di Integration Broker.

IntegrationBrokerLogger Error 1002 2017-04-04 19:10:38,936 (16)

HznXenIntegrationBroker.ApplicationException.ServiceErrorHandler - Connessione al

server remoto non riuscita con il seguente messaggio di errore: Il client non è in

grado di connettersi alla destinazione specificata nella richiesta. Verificare che

il servizio nella destinazione sia in esecuzione e accetti le richieste. Consultare

i registri e la documentazione per il servizio WS-Management in esecuzione nella

destinazione, nella maggior parte dei casi IIS o Gestione remota Windows. Se la

destinazione è il servizio Gestione remota Windows, eseguire il comando seguente

nella destinazione per analizzare e configurare il servizio Gestione remota Windows:

"quickconfig winrm". Per ulteriori informazioni, vedere l'argomento della Guida

about_Remote_Troubleshooting. in

System.Management.Automation.Runspaces.AsyncResult.EndInvoke()

Causa

Questo errore si verifica se l'impostazione di Identità non è configurata correttamente o se è configurataper il pool di applicazioni errato.


VMware, Inc. 194

Soluzione

Configurare l'impostazione di Identità nel pool di applicazioni collegato a Integration Broker. Può trattarsidi un pool diverso dal pool di applicazioni predefinito.

Per verificare se il pool di applicazioni sia quello corretto:

1 In Gestione IIS, fare clic su Pool di applicazioni nel riquadro a sinistra.

2 Fare clic con il pulsante destro del mouse sul pool di applicazioni e selezionare Visualizzaapplicazioni.

3 Verificare che Integration Broker sia visualizzato nell'elenco delle applicazioni.

Per configurare l'impostazione di Identità per il pool di applicazioni, seguire le istruzioni riportate in Configurazione delle impostazioni di IIS Manager.

Il file ICA non viene creato durante l'avvio delle risorse CitrixDurante l'avvio delle risorse Citrix, il file ICA non viene creato e si verifica un'eccezione.

Problema

Quando gli utenti tentano di avviare una risorsa Citrix, non viene creato il file ICA e viene visualizzataun'eccezione simile alla seguente nel Registro di Integration Broker.

IntegrationBrokerLogger Information 1004 2017-05-02 11:50:42,093 (8)

HznXenIntegrationBroker.API.RestServiceImpl - Get ICA file contents for

AppNameCitrix.MPS.App.XA65Test.Airwatch Notepad Test, Farm Name: XA65Test, Server

Name: serverName, Username: user1 IntegrationBrokerLogger Error 1002 2017-05-02

11:50:42,093 (8) HznXenIntegrationBroker.ApplicationException.ServiceErrorHandler -

WebPNBuilder implementation class WebPNImpl!

com.citrix.wing.webpnimpl.WebPNBuilderImpl not found at

com.citrix.wing.webpn.WebPNBuilder.getInstance() at

HznXenIntegrationBroker.XenAppSDK.Impl.XenAppSDKClient.CreateUserContext(UserPrincip

al userPrincipal, String appName, Configuration configuration) at

HznXenIntegrationBroker.XenAppSDK.Impl.XenAppSDKClient.GenerateICAFileCommon(UserPri

ncipal userPrincipal, String appName, Configuration configuration) at

HznXenIntegrationBroker.XenAppSDK.Impl.XenAppSDKClient.GenerateICAFile(UserPrincipal

userPrincipal, String farmName, String serverName, String serverPort, String

appName, XMLServiceTransportProtocol xmlserviceTransportProtocol, Int32

sslRelayPort)

Soluzione

Reinstallare Microsoft Visual J# 2.0 sul server di Integration Broker.

Riavvio di Integration BrokerSe Integration Broker non risponde, riavviare IIS sul server Windows.


VMware, Inc. 195

Problema

Integration Broker non risponde e deve essere riavviato.

Soluzione

1 Aprire la finestra del prompt dei comandi come amministratore.

2 Digitare iisreset.


VMware, Inc. 196

Configurazione risorse in VMware delle Identity Manager 3 ... · Capitolo 9Consentire l'accesso ad...

Documents

Transcript of Configurazione risorse in VMware delle Identity Manager 3 ... · Capitolo 9Consentire l'accesso ad...