Bronnen instellen in VMware Identity Manager 3.1 (op locatie) December 2017 VMware Identity Manager 3.1 VMware AirWatch 9.2

Transcriptie

1 Bronnen instellen in VMware Identity Manager 3.1 (op locatie) December 2017 VMware Identity Manager 3.1 VMware AirWatch 9.2

2 U vindt de recentste technische documentatie op de website van VMware: Als u opmerkingen over deze documentatie heeft, kunt u uw feedback sturen naar: docfeedback@vmware.com VMware, Inc Hillview Ave. Palo Alto, CA Copyright VMware, Inc. Alle rechten voorbehouden. Informatie over copyright en handelsmerken. VMware, Inc. 2

3 Inhoud Bronnen instellen in VMware Identity Manager (op locatie) 5 1 Introductie tot het instellen van bronnen in VMware Identity Manager 6 2 Toegang geven tot webapplicaties 7 Webapplicaties toevoegen aan de catalogus van uw organisatie 7 Gebruikers en groepen rechten geven voor webapplicaties 12 provisioningsadapters gebruiken 14 Aanvullende informatie 24 3 Verzamelingen van virtuele apps gebruiken voor desktopintegraties 25 Over verzamelingen van virtuele apps 25 Verzamelingen van virtuele apps maken 27 Verzamelingen van virtuele apps bewerken 28 Verzamelingen van virtuele apps verwijderen 29 Verzameling van virtuele apps controleren 29 Bestaande configuraties migreren naar een verzameling van virtuele apps 30 4 Toegang geven tot View-, Horizon 6- of Horizon 7-bureablad- en applicatiesgroeps 34 Over het integreren van onafhankelijke Horizon-pods 35 Over het integreren van Horizon Cloud Pod Architecture-implementaties (CPA) 36 Horizon-pods en -podfederaties in VMware Identity Manager configureren 42 URL's voor toegang voor meerdere clienten voor aangepaste netwerkbereiken inschakelen 50 De verbindingsinformatie voor pools van Horizon-desktops en -applicaties 51 Gebruikers- en groepsrechten voor pools van Horizon-desktops en -applicaties weergeven 51 Startopties voor Horizon-desktops en -applicaties weergeven 52 Een Horizon-desktop of -applicatie starten 53 Toegangsbeleid instellen voor specifieke applicaties en desktops 54 5 Toegang geven tot VMware Horizon Cloud Service -desktops en -applicaties 56 Horizon Cloud -desktops en -applicaties integreren 57 Details over pools van Horizon Cloud -desktops en -applicaties bekijken 63 Gebruikers- en groepsrechten voor Horizon Cloud -desktops en -applicaties bekijken 64 Toegangsbeleid instellen voor specifieke applicaties en desktops 64 Een Horizon Cloud -desktop of -applicatie gebruiken 65 VMware, Inc. 3

4 6 Toegang geven tot VMware ThinApp-pakketten 67 VMware ThinApp-pakketten integreren 68 Gebruikers en groepen rechten verlenen voor ThinApp-pakketten 79 ThinApp-pakketten verspreiden en beheren met VMware Identity Manager 81 Beheerde ThinApp-pakketten bijwerken na implementatie in VMware Identity Manager 86 ThinApp-pakketten verwijderen uit VMware Identity Manager 92 Bestaande ThinApp-pakketten compatibel maken met VMware Identity Manager 92 Gedeelde map wijzigen van ThinApp-pakketten 95 Toegangsbeleid instellen voor specifieke applicaties en desktops 96 7 VMware Identity Manager Desktop configureren 97 Opdrachtregelopties van installatieprogramma voor VMware Identity Manager Desktop 98 De applicatie VMware Identity Manager Desktop met identieke instellingen installeren op meerdere Windows-systemen 105 Voeg desktopinstallatiebestanden van VMware Identity Manager toe aan virtual appliances van VMware Identity Manager. 106 De opdrachtregelapplicatie hws-desktop-ctrl.exe gebruiken Toegang geven tot gepubliceerde Citrix-bronnen 109 Overzicht 109 Vereiste onderdelen voor Citrix-integratie 110 Ontwerp voor integratie op hoog niveau 111 Vereisten voor Citrix-integratie 116 Citrix-serverfarms configureren in VMware Identity Manager 138 Starten van Citrix-bron in VMware Identity Manager configureren 143 Instellingen voor VMware Identity Manager configureren voor Citrix-integratie 147 Impact van upgrade op integratie van gepubliceerde Citrix-bronnen Problemen oplossen met de configuratie van VMware Identity Manager - bronnen 157 Problemen met de integratie van ThinApp oplossen 157 Problemen met Horizon-integratie oplossen 160 Problemen met integratie van gepubliceerde Citrix-bronnen oplossen Toegang bieden tot extern beheerde applicaties in Workspace ONE 174 Een applicatiebron toevoegen aan Workspace ONE Catalog 175 Gebruikers rechten verlenen voor de applicatiebron 176 Applicaties toevoegen die worden beheerd door de applicatiebron 176 VMware, Inc. 4

5 Bronnen instellen in VMware Identity Manager (op locatie) In Bronnen instellen in VMware Identity Manager vindt u informatie over het toevoegen van bronnen aan de VMware Identity Manager-catalogus en hoe u deze beschikbaar kunt maken vanaf systemen van gebruikers, zoals vanaf hun desktops en mobiele apparaten. Ondersteunde bronnen omvatten webapplicaties, VMware Horizon -desktops en -applicaties, VMware Horizon Cloud Service -desktops en -applicaties, gepubliceerde Citrix-bronnen en VMware ThinApp -pakketten. Doelgroep Deze informatie is bedoeld voor iedereen die bronnen voor VMware Identity Manager configureert en beheert. De informatie is geschreven voor ervaren systeembeheerders van Windows en Linux die vertrouwd zijn met virtuele machinetechnologie. Opmerking over de functie Verzameling van virtuele apps Wanneer u de upgrade naar VMware Identity Manager 3.1 uitvoert, kunt u uw bestaande configuraties van bronnen migreren naar de nieuwe functie Verzameling van virtuele apps. Totdat u een migratie uitvoert, kunt u doorgaan met het menu Bureaubladtoepassingen beheren op de pagina Catalogus > Toepassingscatalogus om de configuraties te beheren. Deze handleiding verwijst naar de nieuwe gebruikersinterface voor de functie Verzameling van virtuele apps voor alle integraties. Als u de oude gebruikersinterface van het menu Bureaubladtoepassingen beheren blijft gebruiken, raadpleegt u versie 3.0 van de documentatie, Bronnen instellen in VMware Identity Manager 3.0 (PDF). VMware, Inc. 5

6 Introductie tot het instellen van bronnen in VMware Identity Manager 1 Nadat u VMware Identity Manager hebt geïnstalleerd en geconfigureerd, moet u de bronnen in de VMware Identity Manager-beheerconsole inschakelen om gebruikers toegang te geven tot ondersteunde bronnen. Behalve bij webapplicaties moet u voor elk brontype VMware Identity Manager integreren in een ander product of onderdeel. U kunt de volgende typen bronnen integreren in VMware Identity Manager: Webapplicaties VMware Horizon Cloud Service -applicaties en -desktops Pools van VMware Horizon 7-, Horizon 6- en View-desktops en -applicaties Door Citrix gepubliceerde bronnen Verpakte VMware ThinApp -applicaties U integreert deze bronnen via het tabblad Catalogus in de beheerconsole. Als u webapplicaties wilt integreren, gebruikt u het menu Toepassing toevoegen op de pagina Catalogus > Toepassingscatalogus. Als u pools van Horizon 7-, Horizon 6- of View-desktops en -applicaties, VMware Horizon Cloud Service - desktops en -applicaties, gepubliceerde Citrix-bronnen of verpakte ThinApp-applicaties wilt integreren en inschakelen, gebruikt u de pagina Catalogus > Verzameling van virtuele apps. U kunt globale instellingen beheren voor geïntegreerde bronnen van de pagina Catalogus > Instellingen. U kunt instellingen voor individuele applicaties beheren door de applicatie te selecteren op de pagina Catalogus > Toepassingscatalogus. VMware, Inc. 6

7 Toegang geven tot 2 webapplicaties In de VMware Identity Manager-service kunt u externe webapplicaties van uw organisatie toevoegen en gebruikers rechten voor deze applicaties geven. Als u gebruikers toegang tot een webapplicatie verleent via de service, moet u verifiëren of er aan de volgende vereisten is voldaan: Als u de webapplicatie configureert om een federatieprotocol te gebruiken, gebruikt u SAML 1.1, SAML 2.0 of WS-federatie 1.2. Het configureren van de webapplicatie om een federatieprotocol te gebruiken, is geen vereiste. De gebruikers waaraan u rechten voor de webapplicatie wilt verlenen zijn geregistreerd voor die applicatie, of u bent van plan om de inrichtingsadapter voor de applicatie te configureren, indien beschikbaar, om VMware Identity Manager-gebruikers in te richten in de applicatie. Als de webapplicatie een multi-tenantapplicatie is, verwijst de service naar uw instantie van de applicatie. Dit hoofdstuk omvat de volgende onderwerpen: Webapplicaties toevoegen aan de catalogus van uw organisatie Gebruikers en groepen rechten geven voor webapplicaties provisioningsadapters gebruiken Aanvullende informatie Webapplicaties toevoegen aan de catalogus van uw organisatie U kunt webapplicaties van uw organisatie toevoegen aan uw catalogus en deze applicaties toegankelijk maken voor uw gebruikers en groepen. Wanneer u een vermelding voor een webapplicatie toevoegt aan de catalogus, maakt u een applicatierapport en configureert u het adres van de webapplicatie. De VMware Identity Manager-service gebruikt de applicatierecord als een sjabloon om een veilige verbinding te maken met de webapplicatie. De volgende methoden kunnen worden gebruikt om de applicatierecords van webapplicaties toe te voegen aan uw catalogus vanuit het tabblad Catalogus. VMware, Inc. 7

8 Methode Uit de catalogus met cloudapplicaties Een nieuwe applicatierecord maken Importeer een ZIP- of JARbestand Beschrijving Webapplicatietypes van populaire bedrijven worden in de catalogus met cloudapplicaties vermeld. Deze applicaties zijn deels geconfigureerd. U moet de rest van het applicatierecordformulier invullen. U kunt webapplicaties toevoegen die niet zijn vermeld in de catalogus van de cloudapplicatie. De applicatierecord voor deze webapplicaties is algemener dan die van de applicaties in de catalogus met cloudapplicaties. U opent de beschrijving en configuratiegegevens van de applicatie om de applicatierecord te maken. U kunt een webapplicatie importeren die u eerder in de service hebt geconfigureerd. Misschien wilt u deze methode gebruiken om een implementatie van inrichting naar productie te verplaatsen. In een dergelijke situatie exporteert u een webapplicatie uit de inrichting als een ZIP-bestand. Vervolgens importeert u het ZIP-bestand naar de productie-implementatie. Nadat u webapplicaties hebt toegevoegd aan de catalogus, kunt u rechten, toegangsbeleid, licenties en provisioning-gegevens configureren. Webapplicaties worden toegevoegd in de beheerconsole. Meld u aan met de gebruikersrol van de beheerder uit uw Active Directory of LDAP-directory. Een webapplicatie toevoegen aan uw catalogus via de applicatiescatalogus in de cloud De applicatiescatalogus in de cloud wordt gevuld met webapplicaties. Deze applicaties bevatten wat informatie in de betreffende records van de applicatie. Wanneer u een webapplicatie toevoegt aan uw catalogus via de applicatiescatalogus in de cloud, moet u extra informatie geven om het applicatiesrecord te voltooien. Wellicht moet u samenwerken met de accountbeheerders van uw webapplicatie om andere vereiste instellingen te voltooien. Veel van de applicaties in de applicatiescatalogus in de cloud gebruiken Security Assertion Markup Language (SAML 1 of SAML 2) om verificatie- en autorisatiedata uit te wisselen om te verifiëren of gebruikers toegang hebben tot een webapplicatie. Wanneer u een webapplicatie toevoegt aan de catalogus, maakt u een invoer aan dat indirect naar de webapplicatie verwijst. De invoer wordt gedefinieerd door het applicatiesrecord en dit is een formulier met een URL naar de webapplicatie. U kunt een toegangsbeleid toepassen om de toegang van gebruikers tot de applicatie te regelen. Als u het standaard toegangsbeleid niet wilt gebruiken, maakt u een nieuw beleid. Raadpleeg Beheergids voor VMware Identity Manager voor informatie over het beheren van een toegangsbeleid. Procedure 1 In de beheerconsole klikt u op het tabblad Catalogus. 2 Klik op applicatie toevoegen > Webapplicatie...uit de applicatiecatalogus in de cloud. 3 Klik op het pictogram van de webapplicatie die u wilt toevoegen. Het applicatiesrecord wordt toegevoegd aan uw catalogus en de pagina Details wordt weergegeven waarbij de naam en het verificatieprofiel al zijn gespecificeerd. VMware, Inc. 8

9 4 (Optioneel) U kunt de informatie op de pagina Details aanpassen aan de behoeften van uw organisatie. Items op de pagina worden gevuld met informatie die specifiek is voor de webapplicatie. U kunt sommige items bewerken, dit is afhankelijk van de applicatie. Formulieritem Naam Beschrijving VMware Browser vereisen Pictogram Categorieën Beschrijving De naam van de applicatie. Een omschrijving van de applicatie die gebruikers kunnen lezen. Schakel dit selectievakje in om te vereisen dat deze applicatie alleen wordt geopend in de VMware Browser, indien toegang wordt verkregen tot de app via de Workspace ONE-app op ios- en Androidapparaten. Klik op Bladeren om een pictogram voor de applicatie te uploaden. Pictogrammen in de bestandsindelingen PNG, JPG en ICON tot maximaal 4 MB worden ondersteund. Applicatiepictogrammen die u uploadt, moeten minimaal 180 x 180 pixels zijn. Als het pictogram te klein is, wordt niet dit pictogram In dat geval wordt het Workspace ONE-pictogram weergegeven. Selecteer een categorie in het vervolgkeuzemenu om de applicatie te laten weergeven tijdens het doorzoeken van categorieën in de catalogusbronnen. De categorie moet u eerder hebben aangemaakt. 5 Klik op Opslaan. 6 Klik op Configuratie, bewerk de configuratie-informatie van het applicatiesrecord en klik op Opslaan. Sommige items op het formulier worden vooraf gevuld met informatie die specifiek is voor de webapplicatie. Sommige vooraf gevulde items kunnen worden bewerkt, andere niet. De vereiste informatie is afhankelijk van de applicatie. Voor sommige applicaties heeft het formulier een gedeelte voor applicatiesparameters. Wanneer het gedeelte aanwezig is voor een applicatie en een parameter in het gedeelte geen standaardwaarde heeft, voert u een waarde in om de applicatie te kunnen laten starten. Als er al een standaardwaarde staat, kunt u deze waarde bewerken. 7 Selecteer de tabbladen Rechten, Licenties en Provisioning en pas de informatie op passende wijze aan. Tabblad Rechten Toegangsbeleid Beschrijving Geef gebruikers en groepen recht op de applicatie. U kunt rechten configureren terwijl u de applicatie voor het eerst configureert of op elk moment in de toekomst. Een toegangsbeleid toepassen om gebruikerstoegang voor de applicatie te beheren. VMware, Inc. 9

10 Tabblad Licenties Provisioning Beschrijving Configureer het volgen van licenties. Voeg licentie-informatie voor de applicatie toe om het licentiegebruik in rapporten bij te houden. Selecteer een inrichtingsadapter, indien van toepassing. Provisioning biedt automatisch gebruikersbeheer voor applicaties vanuit één locatie. Provisioning-adapters zorgen ervoor dat de webapplicatie, indien nodig, specifieke informatie van de VMware Identity Managerservice kan halen. Om bijvoorbeeld de automatische provisioning van gebruikers op Google Apps mogelijk te maken, moet gebruikersaccountinformatie, zoals gebruikersnaam, voornaam en achternaam, in de database van Google Apps staan. Een applicatie kan andere informatie vereisen, zoals lidmaatschap van de groep en informatie over machtigingsrollen. Raadpleeg provisioningsadapters gebruiken voor meer informatie. Wat nu te doen Zie Gebruikers en groepen rechten geven voor webapplicaties voor informatie over het toevoegen van gebruikers- en groepsrechten voor webapplicaties. Een webapplicatie toevoegen aan uw catalogus door een ZIP- of JAR-bestand te importeren U kunt een webapplicatie die eerder is geconfigureerd in de VMware Identity Manager-service importeren in uw catalogus. U wilt bijvoorbeeld een applicatie van uw inrichtingsomgeving importeren in uw productieomgeving. Tijdens dit proces wordt de applicatiesbundel van de service geëxporteerd en in de nieuwe omgeving geïmporteerd. Wellicht hoeft de applicatie niet verder te worden geconfigureerd, vooral niet wanneer u de configuratiewaarden in de oorspronkelijke omgeving grondig hebt getest. Zie Een webapplicatie toevoegen aan uw catalogus via de applicatiescatalogus in de cloud of Een webapplicatie toevoegen aan uw catalogus door een nieuwe applicatierecord te maken om de webapplicatie verder te configureren wanneer u deze hebt geïmporteerd. Procedure 1 Meld u aan op de beheerconsole van de service waarvan u een webapplicatie wilt exporteren. 2 Klik op het tabblad Catalogus. 3 Klik op Elk applicatiestype > webapplicaties. 4 Klik op het pictogram van de webapplicatie die u wilt exporteren. 5 Klik op Exporteren. 6 Sla de ingepakte applicatiesbundel op uw plaatselijke systeem op. 7 Meld u aan op de beheerconsole van de service waarnaar u de webapplicatie wilt importeren. 8 Klik op het tabblad Catalogus. 9 Klik op applicatie toevoegen > Webapplicatie...een applicatie importeren. 10 Klik op Bladeren, blader naar de locatie op uw plaatselijke systeem waar u de applicatiesbundel als een ZIP-bestand hebt opgeslagen, selecteer het bestand en klik op Verzenden. VMware, Inc. 10

11 11 Bewerk de informatie op de pagina's Details, Configuratie, Rechten, Toegangsbeleid, Licenties, en provisioning, indien nodig. Wat nu te doen Zie Gebruikers en groepen rechten geven voor webapplicaties voor informatie over het toevoegen van gebruikers- en groepsrechten voor webapplicaties. Zie provisioningsadapters gebruiken voor meer informatie over inrichtingsadapters. Meerdere tenants van webapps toevoegen VMware Identity Manager ondersteunt het toevoegen van meerdere tenants van een serviceprovider aan een VMware Identity Manager-instantie. Als u meerdere tenants van een app zoals Office 365 hebt die kunnen worden gebruikt door verschillende bedrijfstakken binnen uw organisatie, kunt u alle tenants toevoegen aan één VMware Identity Manager-instantie. Zo kunt u SSO en toegang tot alle tenants op één locatie beheren. Als u meerdere tenants wilt toevoegen, voegt u meerdere exemplaren van de app toe aan de VMware Identity Manager-catalogus en wijzigt u vervolgens de configuratie van elke app. Wijs elk exemplaar van de app toe aan een andere tenant van de serviceprovider. Elke tenant kan een of meerdere domeinen bevatten. U moet gebruikers ook rechten verlenen voor het betreffende exemplaar van de app. Wanneer gebruikers zich aanmelden bij Workspace ONE en op de app klikken waarvoor ze rechten hebben ontvangen, wordt de correcte app gestart. Wanneer gebruikers zich rechtstreeks aanmelden bij de serviceprovider, wordt de serviceprovider omgeleid naar VMware Identity Manager voor verificatie. VMware Identity Manager verifieert de gebruiker en start de correcte app op basis van de gebruikersrechten. Procedure 1 Klik op het tabblad Catalogus op Toepassing toevoegen >...uit de toepassingcatalogus in de cloud. 2 Klik op de app die u wilt toevoegen. 3 Bewerk de applicatiegegevens op de pagina van de app en klik op Opslaan. 4 Als u een tweede exemplaar van de app wilt toevoegen, voert u een van de volgende stappen uit. Voeg de app opnieuw toe uit de applicatiecatalogus in de cloud. a b c Klik op de app in de applicatiecatalogus in de cloud. Bewerk op de pagina van de app de applicatiegegevens zoals de naam, zodat de app makkelijk kan worden herkend. Klik op Opslaan. Maak een kopie van de app die u hebt toegevoegd. a b Klik op het tabblad Catalogus op de app. Klik op de pagina met applicatiegegevens op Kopiëren. VMware, Inc. 11

12 c d Bewerk de applicatiegegevens zoals de naam, zodat de app makkelijk kan worden herkend. Klik op Opslaan. 5 Configureer elk exemplaar van de app. Wijs elk exemplaar van de app toe aan een andere tenant van de serviceprovider. Zorg ervoor dat gebruikers uniek zijn voor alle domeinen en tenants van de serviceprovider. Opmerking Als de gebruikers niet uniek zijn, moet u ervoor zorgen dat de POST URL's van de serviceprovider, oftewel de URL's van de consumentenservice voor verklaringen die u opgeeft in de VMware Identity Manager-beheerconsole, uniek zijn voor de tenants. 6 Configureer gebruikersrechten voor elk exemplaar van de app. Verleen gebruikers rechten voor de betreffende tenant. a b c Klik op het tabblad Catalogus op het exemplaar van de app dat overeenkomt met de tenant. Klik op de pagina van de applicatie op Rechten in het linkerdeelvenster. Voeg gebruikers- en groepsrechten toe. Gebruikers en groepen rechten geven voor webapplicaties U kunt gebruikers en groepen rechten verlenen voor webapplicaties wanneer u deze webapplicaties hebt toegevoegd aan uw catalogus. U kunt VMware Identity Manager-gebruikers rechten verlenen voor webapplicaties. Wanneer u een gebruiker rechten verleent voor een webapplicatie, kan de gebruiker de applicatie zien en kan de gebruiker deze starten via de Workspace ONE-portal. Wanneer u de rechten verwijdert, kan de gebruiker de applicatie niet zien en niet starten. In veel gevallen is de meest handige manier om gebruikers rechten te verlenen voor webapplicaties rechten te verlenen voor een webapplicatie aan een groep gebruikers. In sommige gevallen is het echter beter om afzonderlijke gebruikers rechten te verlenen voor een webapplicatie. Procedure 1 Meld u aan op de beheerconsole. VMware, Inc. 12

13 2 Verleen rechten aan gebruikers voor een webapplicatie. Methode Beschrijving Open een webapplicatie en verleen daar de rechten voor aan gebruikers of groepen. Open een gebruiker of een groep en voeg de rechten voor webapplicaties toe aan die gebruiker of groep. a b c d e f g a b c d e f g h Klik op het tabblad Catalogus. Klik op Elk applicatiestype > webapplicaties. Klik op de webapplicatie waarvoor u gebruikers en groepen rechten wilt verlenen. De informatiepagina voor de webapplicatie wordt weergegeven en het tabblad Rechten is standaard geselecteerd. Groepsrechten en gebruikersrechten worden vermeld in aparte tabellen. Klik op Groepsrecht toevoegen of op Gebruikersrecht toevoegen. Voer de namen van de groepen of van de gebruikers in. U kunt gebruikers of groepen opzoeken door een zoekteken in te vullen en de functie automatisch aanvullen de opties te laten weergeven, of u kunt op bladeren klikken om de volledige lijst te bekijken. Selecteer via het vervolgkeuzemenu hoe elke geselecteerde webapplicatie moet worden geactiveerd. Met zowel de optie Door gebruiker geactiveerd als de optie Automatisch wordt de applicatie toegevoegd aan de pagina Catalogus in Workspace ONE. Gebruikers kunnen de applicatie uitvoeren op de pagina Catalogus of deze naar de pagina Bladwijzers verplaatsen. Als u echter een goedkeuringswerkstroom voor de applicatie wilt instellen, moet u Door gebruiker geactiveerd voor de applicatie selecteren. Klik op Opslaan. Klik op het tabblad Gebruikers en groepen. Klik op het tabblad Gebruikers of het tabblad Groepen. Klik op de naam van een gebruiker of groep. Klik op de tab Apps en klik vervolgens op Recht toevoegen. Selecteer in het vervolgkeuzemenu Toepassingstype de optie Webapplicatie. Selecteer de selectievakjes naast de webapplicaties waarvoor u de gebruiker of groep rechten wilt verlenen. Selecteer in de kolom IMPLEMENTATIE hoe elke webapplicatie moet worden geactiveerd. Met zowel de optie Door gebruiker geactiveerd als de optie Automatisch wordt de applicatie toegevoegd aan de pagina Catalogus in Workspace ONE. Gebruikers kunnen de applicatie uitvoeren op de pagina Catalogus of deze naar de pagina Bladwijzers verplaatsen. Als u echter een goedkeuringswerkstroom voor de applicatie wilt instellen, moet u Door gebruiker geactiveerd voor de applicatie selecteren. Klik op Opslaan. De geselecteerde gebruiker of groep heeft nu rechten om de webapplicatie te gebruiken. VMware, Inc. 13

14 provisioningsadapters gebruiken Provisioning biedt automatisch gebruikersbeheer voor applicaties vanuit één locatie. Met provisioningsadapters kunnen webapplicaties, indien vereist, specifieke informatie ophalen van de VMware Identity Manager-service. Als u bijvoorbeeld automatische gebruikersinrichting voor Google Apps wilt inschakelen, kan de vereiste gebruikersaccountinformatie zoals de gebruikersnaam, de voornaam en de achternaam, worden opgehaald van de VMware Identity Manager-service. Als inrichten is ingeschakeld voor een webapplicatie en u een gebruiker rechten voor de applicatie geeft in de VMware Identity Manager-service, wordt de gebruiker ingericht in de webapplicatie. De VMware Identity Manager-service omvat momenteel inrichtingsadapters voor deze applicaties. Google Apps. Zie Bijvoorbeeld: De Google Apps-inrichtingsadapter gebruiken. Office 365 Socialcast Een inrichtingsadapter configureren Voor bepaalde webapplicaties zijn inrichtingsadapters beschikbaar. Met inrichtingsadapters kunt u VMware Identity Manager-gebruikers inrichten in de webapplicatie. Procedure 1 In de beheerconsole klikt u op de tab Catalogus. 2 Klik op de webapplicatie, bijvoorbeeld Google Apps. 3 Klik op Inrichting op de pagina Toepassing aanpassen. VMware, Inc. 14

15 4 Inrichting configureren. Optie Tabblad Configuratie Beschrijving Configureer de inrichtingsadapter. a Klik op Inrichting inschakelen. b Voer de accountinformatie voor de webapplicatie in. De vereiste informatie is afhankelijk van de applicatie. Zo voert u voor Google Apps bijvoorbeeld de accountinformatie van de Google-service in. Tabblad Gebruikersinrichting Geef de kenmerken op om de gebruikers in de webapplicatie in te richten. Alleen de kenmerken met een waarde worden gebruikt. U kunt de kenmerken toewijzen aan VMware Identity Manager-gebruikerskenmerken of een andere waarde invoeren. Bepaalde kenmerken zijn verplicht. Dit betekent dat ze een waarde moeten hebben. Als u de waarde voor een kenmerk wilt opgeven of wijzigen, klikt u op het bewerkingspictogram naast het kenmerk, selecteert u of typt u een waarde en klikt u op Opslaan. De expressies in het vervolgkeuzemenu komen overeen met de expressies die worden weergegeven op de pagina Identiteits- en toegangsbeheer > Instellen > Gebruikerskenmerken. Als u items wilt toevoegen aan het vervolgkeuzemenu, voegt u ze toe aan de pagina Gebruikerskenmerken. U kunt ook rechtstreeks een waarde typen. Voor sommige kenmerken kunt u meerdere waarden opgeven. Klik op het verwijderingspictogram naast het kenmerk als u een kenmerktoewijzing wilt verwijderen. Tabblad Groepsinrichting Het tabblad Groepsinrichting wordt alleen weergegeven voor de inrichtingsadapters die groepsinrichting ondersteunen. U selecteert de VMware Identity Manager-groep die u wilt inrichten in de webapplicatie en voert de vereiste informatie in. Groepen worden onmiddellijk ingericht. Bijvoorbeeld: De inrichtingsadapter is geconfigureerd en het inrichten is ingeschakeld. VMware, Inc. 15

16 Wanneer u een gebruiker rechten verleent voor een webapplicatie in VMware Identity Manager, wordt ook de gebruiker gemaakt in de webapplicatie. Als het implementatietype van het recht Automatisch is, wordt de gebruiker onmiddellijk ingericht. Als het implementatietype Door gebruiker geactiveerd is, wordt de gebruiker ingericht wanneer de gebruiker de webapplicatie toevoegt aan de startpagina van de Workspace ONE-portal. Groepen wordt ingericht onmiddellijk nadat u ze hebt toegevoegd aan het tabblad Groepsinrichting. Een inrichtingsadapter in- of uitschakelen U kunt de inrichtingsadapter van een webapplicatie in- of uitschakelen nadat u deze hebt geconfigureerd. Als de inrichtingsadapter is ingeschakeld wanneer u een gebruiker rechten verleent voor een webapplicatie in de VMware Identity Manager-service, wordt de gebruiker ook gemaakt in de webapplicatie. U kunt de inrichtingsadapter uitschakelen als u geen gebruikers wilt inrichten in de webapplicatie. Vereisten U hebt de inrichtingsadapter geconfigureerd. Procedure 1 Klik in de beheerconsole op de tab Catalogus en selecteer de webapplicatie. 2 Klik op Inrichting op de pagina Toepassing aanpassen. 3 Schakel het selectievakje Inrichting inschakelen in op het tabblad Configuratie om de adapter in te schakelen of schakel het selectievakje uit om de adapter uit te schakelen. Inrichtingsstatusrapport weergeven Als inrichten is ingeschakeld voor een webapplicatie, kunt u het inrichtingsstatusrapport weergeven voor de applicatie. Het rapport bevat de gebruikers die zijn ingericht in de applicatie, de inrichtingsstatus van elke gebruiker, eventuele foutberichten en het resultaat van de laatste gebeurtenis voor de gebruiker. Procedure 1 Klik in de beheerconsole op de pijl op het tabblad Dashboard en selecteer Rapporten. 2 Selecteer Inrichtingsstatus in het vervolgkeuzemenu op de pagina Rapporten. 3 Selecteer de applicatie waarvoor u het rapport wilt bekijken en klik op Weergeven. Bijvoorbeeld: VMware, Inc. 16

17 Bijvoorbeeld: De Google Apps-inrichtingsadapter gebruiken U kunt de Google Apps-inrichtingsadapter gebruiken om gebruikers automatisch in Google in te richten via de VMware Identity Manager-service. Als inrichten is ingeschakeld, wordt de gebruiker in Google gemaakt wanneer u die gebruiker rechten voor Google Apps verleent in de service. U kunt ook de adapter gebruiken om groepen in te richten in Google. Een Google-serviceaccount configureren Voordat u de Google Apps-inrichtingsadapter inschakelt in VMware Identity Manager, moet u een Google-serviceaccount maken. Procedure 1 Maak een Google-serviceaccount en de bijbehorende aanmeldgegevens. U hebt de client-id, het adres en het privésleutelbestand van uw serviceaccount nodig om provisioning in te schakelen. VMware, Inc. 17

18 2 Nadat u het Google-serviceaccount hebt gemaakt, schakelt u domeinbrede delegatie van Google Apps in. a Klik op de pagina API Manager Aanmeldgegevens > Aanmeldgegevens maken op Serviceaccounts beheren. b Klik op het pictogram naast uw serviceaccount en selecteer Bewerken. c Schakel het selectievakje Domeinbrede delegatie van Google Apps inschakelen in en klik op Opslaan. 3 Delegeer Google Apps domeinbrede autoriteit naar uw serviceaccount via de pagina Beveiliging > Geavanceerde instellingen > Verificatie > API-clienttoegang beheren pagina in de Googlebeheerconsole. Raadpleeg de Google documentatie voor meer informatie. Wanneer u domeinbrede autoriteit delegeert aan het serviceaccount, voert u de volgende waarden in voor het veld One or More API Scopes: pis.com/auth/admin.directory.user.alias.readonly, h/admin.directory.user.alias, eapis.com/auth/admin.directory.group.member.readonly, uth/admin.directory.group.member, group U kunt nu provisioning inschakelen in de VMware Identity Manager-service. Wat nu te doen Configureer de inrichtingsadapter voor Google Apps in de VMware Identity Manager-service. VMware, Inc. 18

19 De inrichtingsadapter voor Google Apps configureren Configureer de inrichtingsadapter voor Google Apps om gebruikers en groepen in Google in te richten vanuit de VMware Identity Manager-service. Als inrichten is ingeschakeld, wordt de gebruiker ook in Google gemaakt wanneer u die gebruiker rechten voor Google Apps in de service verleent. U kunt ook groepen in Google inrichten. Procedure 1 Meld u aan op de beheerconsole van VMware Identity Manager. 2 Klik op het tabblad Catalogus. 3 Klik op Google Apps. 4 Op de pagina Applicatie aanpassen klikt u op Provisioning. 5 Configureer de inrichtingsadapter op het tabblad Configuratie. Optie provisioning inschakelen Beheerdersnaam Serviceaccount Persoonlijke sleutel Domeinnaam Onderbreken bij verwijdering van inrichting Beschrijving Selecteer deze optie. De gebruikersnaam van uw Google Apps-beheerder. U hoeft de domeinnaam niet in te voeren. Bijvoorbeeld: admin Het adres van de client of de serviceaccount. U kunt het adres van de client via het sleutelbestand. Kopieer en plak de privésleutel van het serviceaccount. De domeinnaam van uw bedrijf. Bijvoorbeeld: example.com Selecteer deze optie als u gebruikers wilt opschorten in Google als u hun recht voor Google Apps verwijdert. Bijvoorbeeld: VMware, Inc. 19

20 6 Klik op Verbinding testen. Als de verbinding is gelukt, wordt boven aan de pagina het bericht Verbinding gemaakt met Google-service weergegeven. 7 Klik op Opslaan. provisioning is nu ingeschakeld. Wanneer u een gebruiker rechten voor Google Apps geeft en de gebruiker niet bestaat in Google, wordt de gebruiker gemaakt. Wat nu te doen Verder geeft u voor het instellen van de gebruikersinrichting de kenmerken op waarmee u gebruikers in Google wilt inrichten. Gebruikers inrichten in Google Voor het inrichten van gebruikers in Google moet u de Google Apps-adapter configureren, inrichting inschakelen en de kenmerken opgeven waarmee u gebruikers in Google wilt inrichten. Er is een lijst met Google-kenmerken beschikbaar. Voor de kenmerken die u wilt gebruiken, moet u de kenmerktoewijzing opgeven. U kunt de kenmerken toewijzen aan VMware Identity Managergebruikerskenmerken of andere waarden invoeren. De volgende kenmerken zijn vereist voor gebruikers die voor Google zijn ingericht. Deze kenmerken hebben standaardwaarden. Gebruikersnaam Voornaam Achternaam Vereisten U hebt de Google Apps-inrichtingsadapter geconfigureerd en het inrichten ingeschakeld. Zie De inrichtingsadapter voor Google Apps configureren. Procedure 1 Klik op de pagina Google Apps-inrichting op het tabblad Gebruikersinrichting. VMware, Inc. 20

21 2 Selecteer de kenmerken waarmee u gebruikers in Google wilt inrichten door waarden voor hen in te stellen. a b Klik op het bewerkingspictogram naast het kenmerk. Selecteer of typ een waarde. De expressies in het vervolgkeuzemenu komen overeen met de expressies die worden weergegeven op de pagina Identiteits- en toegangsbeheer > Instellen > Gebruikerskenmerken. Als u uitdrukkingen aan de lijst wilt toevoegen, moet u ze toevoegen aan de pagina Gebruikerskenmerken. U kunt ook rechtstreeks een waarde invoeren. Voor sommige kenmerken kunt u meerdere waarden opgeven. Klik op het +-pictogram rechtsbovenaan om nog een waarde toe te voegen. U kunt bijvoorbeeld meerdere telefoonnummers voor het kenmerk Telefoonnummers opgeven. c Klik op Opslaan. 3 Klik op het verwijderingspictogram naast het kenmerk als u een kenmerktoewijzing wilt verwijderen. Kenmerken zonder waarden worden niet gebruikt als gebruikers zijn ingericht in Google. De inrichting van gebruikers is nu geconfigureerd. Wanneer u een gebruiker rechten voor Google Apps geeft en de gebruiker niet bestaat in Google, wordt de gebruiker gemaakt. Opmerking Wanneer u een gebruiker rechten geeft voor Google Apps en het implementatietype instelt op Automatisch, wordt de gebruiker direct ingericht. Als u het implementatietype op Door gebruiker hebt ingesteld, wordt de gebruiker ingericht wanneer de gebruiker Google Apps toevoegt aan de startpagina van de Workspace ONE-portal. Groepen inrichten in Google U kunt provisioning bieden voor groepen in Google vanuit de VMware Identity Manager-service met behulp van de Google Apps-provisioning-adapter. U kunt elk van uw VMware Identity Manager-groepen selecteren voor inrichting, ongeacht of ze lokaal zijn gemaakt of zijn gesynchroniseerd met uw bedrijfsdirectory. De groep wordt gemaakt in Google en de adressen van de groepsleden worden eraan toegevoegd. VMware, Inc. 21

22 Groepen in Google kunnen worden gebruikt als mailinglijst. Ze kunnen ook worden gebruikt om de toegang tot documenten, sites, kalenders, enzovoort, te beheren. Nadat u provisioning heeft uitgevoerd voor een groep in Google, kunt u deze beheren net als andere Google-groepen. U kunt bijvoorbeeld gebruikers toevoegen of verwijderen. Vereisten U hebt de Google Apps-inrichtingsadapter geconfigureerd en het inrichten ingeschakeld. Zie De inrichtingsadapter voor Google Apps configureren. Procedure 1 Klik in de VMware Identity Manager-beheerconsole op het tabblad Catalogus. 2 Klik op Google Apps. 3 Op de pagina Applicatie aanpassen klikt u op Provisioning. 4 Klik op de pagina Inrichting op de tab Groepsinrichting. 5 Klik op Groep toevoegen om in te richten. 6 Voer de volgende informatie in op de geopende pagina Groep toevoegen om in te richten. Optie Groepsnaam adres van groepseigenaar adres van groep Beschrijving Geef de naam van de VMware Identity Manager-groep op voor provisioning in Google. U kunt beginnen met typen om naar een groep te zoeken. Geef het adres van de eigenaar van de groep op. Geef een adres voor de groep op in Google. De groep wordt gemaakt in Google met dit adres. Het adres moet nieuw zijn of bij een bestaande Google-groep horen. Het adres mag niet van een gebruiker zijn. Als er al een groep met dit adres bestaat in Google, worden leden van de VMware Identity Manager-groep die u hebt geselecteerd aan die groep toegevoegd. Belangrijk Zorg dat het domein van het adres overeenkomt met het domein dat u hebt opgegeven in het tekstvak Domeinnaam op het tabblad Configuratie. Bijvoorbeeld: VMware, Inc. 22

23 7 Klik op Provision. De groep wordt ingericht in Google met dezelfde naam als de VMware Identity Manager-groep en met het adres dat u hebt opgegeven. De inrichtingsstatus wordt weergegeven op het tabblad Groepsinrichting. Wat nu te doen Als u wilt controleren of de groep is ingericht in Google, volgt u deze stappen. 1 Meld u aan bij de Google-beheerconsole. 2 Klik op het pictogram Groepen. Wellicht moet u op MEER BEDIENINGSELEMENTEN onder aan de pagina klikken om het pictogram Groepen te zien. 3 Selecteer de nieuwe groep om de details te bekijken. Inrichten van groepen in Google ongedaan maken U kunt de provisioning van groepen die u in Google hebt ingericht ongedaan maken in de VMware Identity Manager-service. Door de provisioning van een groep ongedaan te maken, wordt de groep uit Google verwijderd. Vereisten Verifieer of de provisioningadapter van Google Apps is geconfigureerd in de VMware Identity Managerservice. Zie De inrichtingsadapter voor Google Apps configureren. Procedure 1 Klik in de VMware Identity Manager-beheerconsole op het tabblad Catalogus. 2 Klik op Google Apps. 3 Klik op Inrichten op de pagina Toepassing aanpassen en klik vervolgens op Groepsinrichting. 4 Selecteer het selectievakje in de tabel naast de groep waarvan u het inrichten ongedaan wilt maken en klik op Inrichting opheffen. De groep wordt verwijderd uit Google. De groep wordt ook verwijderd van de pagina Groepsinrichting. De Google Apps-inrichtingsadapter in- of uitschakelen Als de Google Apps-inrichtingsadapter is ingeschakeld, wordt de gebruiker ook in Google gemaakt wanneer u een gebruiker rechten voor Google Apps verleent. U kunt de inrichtingsadapter uitschakelen als u geen gebruikers wilt inrichten in Google. Procedure 1 In de beheerconsole klikt u op de tab Catalogus. 2 Klik op Google Apps. VMware, Inc. 23

24 3 Op de pagina Applicatie aanpassen klikt u op Provisioning. 4 Klik op de pagina Inrichting op de tab Configuratie als het tabblad nog niet is geopend. 5 Schakel het selectievakje Inrichting inschakelen in om de adapter in te schakelen of schakel het selectievakje uit om de adapter uit te schakelen. 6 Klik op Opslaan. Aanvullende informatie Aanvullende informatie is beschikbaar na het configureren van op SAML gebaseerde Single Sign-On op specifieke webapplicaties, zoals Office 365 en Google Apps. Indien van toepassing is informatie over inrichtingsadapters toegevoegd. Ga naar de site Integratiedocumenten van VMware Identity Manager. VMware, Inc. 24

25 Verzamelingen van virtuele apps gebruiken voor desktopintegraties 3 Naast webapplicaties kunt u Horizon-desktops en -applicaties, Horizon Cloud-desktops en -applicaties, gepubliceerde Citrix-bronnen en ThinApp-applicaties integreren met VMware Identity Manager. Vanaf release 3.1 worden deze bronnen beheerd via de nieuwe functie Verzameling van virtuele apps. Dit hoofdstuk omvat de volgende onderwerpen: Over verzamelingen van virtuele apps Verzamelingen van virtuele apps maken Verzamelingen van virtuele apps bewerken Verzamelingen van virtuele apps verwijderen Verzameling van virtuele apps controleren Bestaande configuraties migreren naar een verzameling van virtuele apps Over verzamelingen van virtuele apps U kunt Horizon-desktops en -applicaties, Horizon Cloud-desktops en -applicaties, gepubliceerde Citrixbronnen en ThinApp-pakketten integreren met de VMware Identity Manager-service. Vanaf versie 3.1 worden deze bronnen beheerd via verzamelingen van virtuele apps. Een verzameling van virtuele apps bevat de configuratiegegevens voor een integratie, zoals het type bron, de servers waarvan bronnen moeten worden gesynchroniseerd, de connector die moet worden gebruikt voor de synchronisatie en het synchronisatieschema. U kunt één verzameling van virtuele apps of meerdere verzamelingen voor elk type bron maken, met uitzondering van ThinApp-pakketten, waarvoor u slechts één verzameling kunt maken. Bijvoorbeeld: als u een implementatie van 50 Citrix XenApp-farms wilt integreren, kunt u 10 verzamelingen van virtuele apps in VMware Identity Manager instellen, met 5 farms in elke verzameling. Zo kunt u de configuratie eenvoudiger beheren en sneller synchroniseren, omdat elke verzameling afzonderlijk wordt gesynchroniseerd. U kunt voor elke verzameling ook andere connectoren gebruiken om de synchronisatietaken te verdelen. De pagina Verzameling van virtuele apps in de beheerconsole, die u kunt openen door Catalogus > Verzameling van virtuele apps te selecteren, biedt een centrale locatie voor het beheer van al uw bronintegraties. U kunt verzamelingen maken en bewerken, de synchronisatiestatus van alle verzamelingen volgen, waarschuwingen weergeven en handmatig synchroniseren via deze pagina. VMware, Inc. 25

26 Voordelen van verzamelingen van virtuele apps gebruiken Het gebruik van de functie Verzameling van virtuele apps biedt de volgende voordelen: Eén centrale locatie waar u alle bronintegraties kunt beheren Alle typen bronnen beheren De configuratie- en synchronisatie-instellingen voor elke verzameling beheren De synchronisatiestatus van alle verzamelingen beheren De mogelijkheid om kleinere gegevensverzamelingen te synchroniseren door meerdere verzamelingen voor een grote bronintegratie in te stellen. Zo kunt u bijvoorbeeld afzonderlijke verzamelingen voor elke Horizon-pod of elke XenApp-farm maken. De mogelijkheid om afzonderlijke verzamelingen voor verschillende domeinen in te stellen. Meerdere domeinen hebben geen vertrouwensrelatie nodig als u afzonderlijke verzamelingen gebruikt voor elk domein. Vereisten voor verzamelingen van virtuele apps De functie Verzameling van virtuele apps heeft de volgende vereisten: Alle instanties van de VMware Identity Manager-service moeten versie 3.1 of hoger zijn. Alle connectoren die worden gebruikt om bronnen te synchroniseren moeten versie of hoger zijn. Eerdere versies migreren De functie Verzameling van virtuele apps is nieuw in VMware Identity Manager 3.1. Met verzamelingen van virtuele apps worden bronconfiguraties opgeslagen in de VMware Identity Manager-service, en niet in de connector. Deze worden beheerd op de pagina Catalogus > Verzameling van virtuele apps in plaats van op de pagina's Catalogus > Bureaubladtoepassingen beheren > Brontype. In nieuwe installaties van versie 3.1 is de pagina Verzameling van virtuele apps automatisch ingeschakeld. Om Horizon-, Horizon Cloud-, Citrix- of ThinApp-bronnen te integreren, maakt u een of meer verzamelingen. VMware, Inc. 26

27 Voor upgrades van eerdere versies is een migratiepad beschikbaar, zodat u uw bestaande bronintegraties kunt behouden. Zie Bestaande configuraties migreren naar een verzameling van virtuele apps voor informatie. Verzamelingen van virtuele apps maken U kunt een of meer verzamelingen van virtuele apps maken voor elk type integratie zoals Horizon Cloud of gepubliceerde Citrix-bronnen. Vereisten Alle instanties van de VMware Identity Manager-service moeten versie 3.1 of hoger zijn. Alle connectoren die worden gebruikt voor synchronisatie van bronnen, moeten versie of hoger zijn. Procedure 1 Selecteer het tabblad Catalogus > Verzameling van virtuele apps in de beheerconsole. 2 Klik op Virtuele apps toevoegen in de rechterbovenhoek van de pagina en selecteer het type integratie, bijvoorbeeld Gepubliceerde Citrix-toepassing. 3 Voer de configuratiegegevens in. De volgende velden gelden voor alle soorten integraties. Optie Naam Synchronisatieconnectoren Beschrijving Voer een unieke naam voor de verzameling in. Selecteer de connector die u wilt gebruiken om de bronnen in de verzameling te synchroniseren. Als u een cluster van connectoren hebt ingesteld voor hoge beschikbaarheid, klikt u op Connector toevoegen en selecteert u de andere connectoren in het cluster in de failovervolgorde. VMware, Inc. 27

28 Optie Synchronisatiefrequentie Activeringsbeleid Beschrijving Selecteer hoe vaak u de bronnen in de verzameling wilt synchroniseren. Als u geen automatisch synchronisatieschema wilt instellen, selecteert u Handmatig. Selecteer hoe de bronnen beschikbaar worden gemaakt voor gebruikers in Workspace ONE. Zowel met de optie Door gebruiker geactiveerd als met de optie Automatisch worden de bronnen toegevoegd aan de pagina Catalogus. Gebruikers kunnen de bronnen op de pagina Catalogus gebruiken of ze verplaatsen naar de pagina Bladwijzers. Als u echter een goedkeuringswerkstroom voor een van de apps wilt instellen, moet u Door gebruiker geactiveerd voor die app selecteren. Het activeringsbeleid dat u hier selecteert, is van toepassing op alle gebruikersrechten voor alle bronnen in de verzameling. U kunt het activeringsbeleid voor afzonderlijke gebruikers of groepen per bron aanpassen, via de applicatie of de pagina Rechten van de desktop. U wordt aanbevolen het activeringsbeleid voor de verzameling in te stellen op Door gebruiker geactiveerd als u van plan bent een goedkeuringswerkstroom in te stellen. 4 Voer in resterende velden de configuratiegegevens in voor de integratie, die verschillend is voor elk type integratie. Zie Horizon-pods en -podfederaties in VMware Identity Manager configureren voor meer informatie over een Horizon-integratie op locatie. Zie Horizon Cloud-tenant in VMware Identity Manager configureren voor meer informatie over een integratie van de Horizon Cloud-service. Zie Citrix-serverfarms configureren in VMware Identity Manager voor meer informatie voor een integratie van gepubliceerde Citrix-applicaties. Zie VMware Identity Manager-toegang configureren tot ThinApp-pakketten voor meer informatie over een ThinApp-integratie. 5 Klik op Opslaan. De verzameling is gemaakt. U kunt de verzameling bekijken en bewerken op de pagina Verzameling van virtuele apps. Wat nu te doen De bronnen in de nieuwe verzameling zijn nog niet gesynchroniseerd. Als u een synchronisatieplanning voor de verzameling hebt ingesteld, worden de bronnen op het volgende geplande tijdstip gesynchroniseerd. Als u de bronnen handmatig wilt synchroniseren, klikt u op de knop Synchroniseren naast de verzameling op de pagina Verzameling van virtuele apps. Verzamelingen van virtuele apps bewerken U kunt alle verzamelingen van virtuele apps, voor alle typen integraties, bewerken op de pagina Verzameling van virtuele apps. VMware, Inc. 28

29 Procedure 1 Selecteer Catalogus > Verzameling van virtuele apps. 2 Klik in de tabel met verzamelingen op de naam van de verzameling die u wilt bewerken. 3 Bewerk de pagina voor de verzameling. U kunt de volgende instellingen wijzigen: De naam van de verzameling De synchronisatiefrequentie De connector die wordt gebruikt om de bronnen voor de verzameling te synchroniseren Configuratie-instellingen voor de integratie Opmerking In een Horizon-verzameling kunt u een Horizon-pod die is toegevoegd aan de verzameling, niet wijzigen. Verwijder de pod uit de verzameling en voeg deze vervolgens opnieuw toe. 4 Klik op Opslaan. Wat nu te doen U wordt aanbevolen een synchronisatie uit te voeren nadat u een verzameling hebt bewerkt. Ga naar de pagina Catalogus > Verzameling van virtuele apps en klik op Synchroniseren voor de verzameling. Verzamelingen van virtuele apps verwijderen U kunt verzamelingen van virtuele apps verwijderen op de pagina Verzameling van virtuele apps. Wanneer u een verzameling verwijdert, worden alle applicaties en desktops verwijderd die door de verzameling zijn gesynchroniseerd. Wanneer u een Horizon- of Citrix-verzameling verwijdert, worden ook de bijbehorende beleidsregels verwijderd die zijn geconfigureerd in netwerkbereiken. Wanneer u een Horizon- of Horizon Cloud-verzameling verwijdert, wordt het federatie-artefact ook verwijderd. Procedure 1 Selecteer Catalogus > Verzameling van virtuele apps. 2 Zoek in de tabel de verzameling die u wilt verwijderen en klik op Verwijderen in de kolom Acties. Verzameling van virtuele apps controleren U kunt de synchronisatiestatus van alle bronnen controleren op de pagina Verzameling van virtuele apps. U kunt ook waarschuwingen bekijken. Procedure 1 Selecteer Catalogus > Verzameling van virtuele apps. Alle verzamelingen, voor alle typen bronintegraties, worden weergegeven. VMware, Inc. 29

30 2 Bekijk de synchronisatiestatus in de kolom Synchronisatiestatus voor elke verzameling. Nog niet gesynchroniseerd Datum en tijd van laatst voltooide synchronisatie De verzameling is gemaakt, maar nog niet gesynchroniseerd. Klik op Synchroniseren om handmatig te synchroniseren of wacht op de volgende geplande synchronisatie, indien ingesteld. De laatste keer dat de synchronisatie is voltooid. 3 Als u waarschuwingen wilt weergeven, klikt u op Waarschuwingen. Bijvoorbeeld: er wordt een waarschuwing weergegeven als een gebruiker niet kan worden gesynchroniseerd. Opmerking Alle waarschuwingen worden weergegeven, niet alleen de waarschuwingen die zijn gerelateerd aan de verzamelingen van virtuele apps. Bekijk de lijst om waarschuwingen te vinden die relevant zijn voor verzamelingen. Bestaande configuraties migreren naar een verzameling van virtuele apps De functie Verzameling van virtuele apps is nieuw in VMware Identity Manager 3.1. Met verzamelingen van virtuele apps worden bronconfiguraties opgeslagen in de VMware Identity Manager-service en niet in de connector. Ze worden beheerd op de pagina Catalogus > Verzameling van virtuele apps in plaats van op de pagina's Catalogus > Bureaubladtoepassingen beheren > Brontype. Voor upgrades van eerdere versies is een migratiepad beschikbaar om bestaande bronconfiguraties te behouden. Afhankelijk van uw installatiescenario kunt u direct aan de slag gaan met verzamelingen van virtuele apps of een migratiepad volgen. In nieuwe installaties van 3.1, waarbij de VMware Identity Manager-service versie 3.1 is en alle connectoren versie zijn, kunt u nieuwe verzamelingen van virtuele apps maken voor Horizon-, Horizon Cloud-, Citrix- of ThinApp-bronnen. Selecteer het tabblad Catalogus > Verzameling van virtuele apps, controleer de informatie en klik op Aan de slag om naar de nieuwe pagina te gaan waar u verzamelingen van virtuele apps kunt maken. De verzameling van virtuele apps bevat de configuratiegegevens voor een integratie, zoals de servers waarvan bronnen moeten worden gesynchroniseerd, de connector die moet worden gebruikt en het synchronisatieschema. Als u een van de eerdere versies upgradet en de service upgradet naar versie 3.1, en alle connectoren naar : Als Horizon-, Horizon Cloud-, Citrix- of ThinApp-bronnen zijn geconfigureerd in de oude installatie, is na de upgrade een migratiepad beschikbaar. U kunt bestaande configuraties met de migratiewizard migreren naar verzamelingen van virtuele apps. Voor toegang tot de wizard klikt u op Aan de slag op de pagina Catalogus > Verzameling van virtuele apps. Totdat u een migratie uitvoert, kunt u uw bestaande bronconfiguraties blijven beheren via het menu Bureaubladtoepassingen beheren op de pagina Catalogus > Toepassingscatalogus. VMware, Inc. 30

31 Nadat u de bestaande configuraties hebt gemigreerd, wordt de nieuwe pagina Verzameling van virtuele apps ingeschakeld, zodat u de gemigreerde configuraties kunt bekijken en bewerken en er nieuwe kunt maken. Het menu Bureaubladtoepassingen beheren is niet langer beschikbaar. Als geen bronnen waren geconfigureerd in de eerdere installatie, kunt u de nieuwe verzamelingen van virtuele apps voor Horizon-, Horizon Cloud Service-, Citrix- of ThinAppbronnen maken door op het tabblad Catalogus > Verzameling van virtuele apps op Aan de slag te klikken. Als u een eerdere release upgradet en u ten minste één oudere (externe of ingesloten) connector hebt, kunt u geen nieuwe verzamelingen van virtuele apps maken. U kunt uw bestaande configuraties migreren naar verzamelingen van virtuele apps door alle connectoren te upgraden naar en vervolgens de migratiewizard te gebruiken die beschikbaar is via de pagina Catalogus > Verzameling van virtuele apps. Totdat u een migratie uitvoert, kunt u uw bestaande bronconfiguraties blijven beheren via het menu Bureaubladtoepassingen beheren op het tabblad Catalogus > Toepassingscatalogus. Nadat u de bestaande configuraties hebt gemigreerd, wordt de nieuwe pagina Verzameling van virtuele apps ingeschakeld, zodat u de gemigreerde configuraties kunt bekijken en bewerken en er nieuwe kunt maken. Het menu Bureaubladtoepassingen beheren is niet langer beschikbaar. Opmerking Deze handleiding verwijst naar de nieuwe gebruikersinterface voor de functie Verzameling van virtuele apps voor alle integraties. Als u doorgaat met het gebruik van de oude gebruikersinterface in het menu Bureaubladtoepassingen beheren op de pagina Catalogus > Toepassingscatalogus, raadpleegt u versie 3.0 van de documentatie, Bronnen instellen in VMware Identity Manager 3.0 (PDF). De migratiewizard gebruiken om te migreren naar verzamelingen van virtuele apps Gebruik de migratiewizard om bestaande bronconfiguraties van oudere releases te migreren naar verzamelingen van virtuele apps, die beschikbaar zijn in versie 3.1. U moet alle bestaande bronconfiguraties op hetzelfde moment migreren. Bijvoorbeeld: als u Horizon Cloud- en ThinApp-applicaties hebt geconfigureerd, moet u beide selecteren in de migratiewizard. De migratiewizard is bedoeld om slechts één keer te worden gebruikt om alle bronnen tegelijk te migreren. Nadat deze wizard één keer is uitgevoerd, is deze niet langer beschikbaar. Opmerking In een gehoste omgeving kan het migratieproces even duren. Vereisten Upgrade alle instanties van de VMware Identity Manager-service en -connector naar versie 3.1. Procedure 1 Selecteer Catalogus > Verzameling van virtuele apps. 2 Klik op Aan de slag. VMware, Inc. 31

32 3 Selecteer in de migratiewizard voor elk brontype de connectorwerker die is gebruikt voor de configuratie in de oude installatie. De vervolgkeuzelijst voor elk brontype bevat alleen de connectoren waarvoor die bron was geconfigureerd. Als de bron was geconfigureerd op meerdere connectoren voor hoge beschikbaarheid, en meerdere connectoren in de lijst worden weergegeven, selecteert u de connector waarvoor een synchronisatieplanning was ingesteld. Dit is ook de standaardselectie voor elke vervolgkeuzelijst. Belangrijk Zorg ervoor dat u een selectie maakt voor alle bestaande configuraties. De migratiewizard is bedoeld om slechts één keer te worden gebruikt om alle bronnen tegelijk te migreren. Nadat deze wizard één keer is uitgevoerd, is deze niet langer beschikbaar. 4 Klik op Configuraties migreren. In een gehoste omgeving kan het migratieproces even duren. De bestaande bronconfiguraties worden gemigreerd. Er wordt voor elk type configuratie een verzameling van virtuele apps gemaakt. Als u de verzamelingen wilt bekijken en bewerken, klikt u op Catalogus > Verzameling van virtuele apps en klikt u op de naam van elke verzameling. U kunt de verzamelingen nu beheren vanaf de pagina Verzameling van virtuele apps. Het menu Bureaubladtoepassingen beheren op de pagina Toepassingscatalogus is niet langer beschikbaar. Voor meer informatie over het oplossen van problemen met verzamelingen van virtuele apps, bekijkt u het logboekbestand voor de connector, connector.log en het logboekbestand voor de service, horizon.log. Voor Linux virtual appliances worden de logboekbestanden in de directory /opt/vmware/horizon/workspace/logs opgeslagen. Op Windows-servers worden de logboekbestanden opgeslagen in de directory install_dir\idmconnector_of_vmwareidentitymanager\opt\vmware\horizon\workspace\logs. VMware, Inc. 32

33 Wat nu te doen Slechts één connector, die is geselecteerd in de migratiewizard, wordt toegevoegd aan elke nieuwe verzameling. Als u een connectorcluster voor hoge beschikbaarheid hebt ingesteld, bewerkt u de verzamelingen en voegt u de andere connectoren in het cluster toe. Er wordt één verzameling van virtuele apps gemaakt voor elke gemigreerde configuratie. Voor grote integraties, met veel servers en applicaties, kunt u overwegen de verzameling in meerdere verzamelingen te splitsen voor snellere synchronisatie en eenvoudiger beheer. Met de functie Verzameling van virtuele apps kunt u meerdere verzamelingen voor elk type integratie maken, met uitzondering van ThinApp-integraties. VMware, Inc. 33

34 Toegang geven tot View-, Horizon 6- of Horizon 7- bureablad- en applicatiesgroeps 4 Door Horizon 7, Horizon 6 of View te integreren met de VMware Identity Manager-service kunt u gebruikers vanuit de Workspace ONE-portal of -app toegang geven tot Horizon-desktops en -applicaties waarvoor ze rechten hebben. U kunt onafhankelijke Horizon-pods integreren, die uit Horizon Connection Server-instanties en podfederaties bestaan. Deze bestaan weer uit meerdere pods en kunnen meerdere sites en datacenters omvatten. U implementeert en beheert desktop- en applicatiepools via de Horizon Administrator-interface. U maakt ook rechten voor Active Directory-gebruikers en -groepen in Horizon, niet in VMware Identity Manager. U moet deze gebruikers en groepen uit de Active Directory synchroniseren naar de VMware Identity Manager-service voordat u met Horizon gaat integreren. Voor de integratie van Horizon-pods en -podfederaties met VMware Identity Manager maakt u een of meer verzamelingen van virtuele apps in de VMware Identity Manager-beheerconsole. De verzamelingen bevatten de configuratiegegevens voor de pods en podfederaties, evenals synchronisatie-instellingen. Vervolgens synchroniseert u de Horizon-bronnen en -rechten naar VMware Identity Manager. U kunt de Horizon-desktops en -applicaties bekijken in de VMware Identity Manager-beheerconsole. U kunt ook gebruikers- en groepsrechten weergeven. Eindgebruikers kunnen hun desktops en apps vanuit de Workspace ONE-portal of -app uitvoeren. Deze desktops en apps zijn via HTML toegankelijk in een browser of via een ondersteund weergaveprotocol in de Horizon Client. Ondersteunde versies VMware Identity Manager ondersteunt de volgende versies en onderdelen. Het integreren van onafhankelijke Horizon-pods wordt ondersteund voor View 5.3 en hoger. Het integreren van podfederaties die zijn gemaakt met behulp van het Cloud Pod Architectureonderdeel, wordt ondersteund voor Horizon 6.2 en later. HTML Access wordt ondersteund voor Horizon en hoger. Certificaat SSO wordt ondersteund voor Horizon 7.x. Zie de VMware-matrix voor interoperabiliteit van producten voor de meest recente informatie over ondersteuning. VMware, Inc. 34

35 Dit hoofdstuk omvat de volgende onderwerpen: Over het integreren van onafhankelijke Horizon-pods Over het integreren van Horizon Cloud Pod Architecture-implementaties (CPA) Horizon-pods en -podfederaties in VMware Identity Manager configureren URL's voor toegang voor meerdere clienten voor aangepaste netwerkbereiken inschakelen De verbindingsinformatie voor pools van Horizon-desktops en -applicaties Gebruikers- en groepsrechten voor pools van Horizon-desktops en -applicaties weergeven Startopties voor Horizon-desktops en -applicaties weergeven Een Horizon-desktop of -applicatie starten Toegangsbeleid instellen voor specifieke applicaties en desktops Over het integreren van onafhankelijke Horizon-pods Om Horizon-pods te integreren in VMware Identity Manager, maakt u een of meer verzamelingen van virtuele apps in de VMware Identity Manager-beheerconsole. De verzamelingen bevatten de configuratiegegevens voor de Horizon Connection Servers evenals de synchronisatie-instellingen. Stel Horizon in voordat u integratietaken uitvoert in de VMware Identity Manager-beheerconsole. U maakt en configureert desktop- en applicatiepools in Horizon Administrator, niet in VMware Identity Manager. U moet ook rechten voor Active Directory-gebruikers en -groepen in Horizon Administrator instellen. Voor de integratie van Horizon-pods met VMware Identity Manager moeten de volgende taken op hoog niveau worden uitgevoerd. Horizon-servers implementeren en configureren. Pools met Horizon-desktops en -applicaties implementeren met rechten die zijn ingesteld voor Active Directory-gebruikers en -groepen. Active Directory-gebruikers en -groepen die rechten hebben voor applicatie- en desktoppools in Horizon Connection Server-instanties, naar de VMware Identity Manager-service synchroniseren via directorysynchronisatie. Wanneer u later Horizon-pods in de VMware Identity Manager-beheerconsole configureert, kunt u ook de optie Directorysynchronisatie uitvoeren selecteren. Met deze optie geeft u op dat de directory moet worden gesynchroniseerd als onderdeel van de bronsynchronisatie als gebruikers en groepen met rechten voor Horizon-pools in de Horizon Connection Server-instanties die worden gesynchroniseerd, ontbreken in de VMware Identity Manager-directory. Voeg VMware Identity Manager toe aan hetzelfde Active Directory-domein als Horizon als u van plan bent Horizon Connection Server 5.x-instanties te synchroniseren of de optie Directorysynchronisatie uitvoeren te gebruiken. Voor beide configuraties wordt een alternatieve synchronisatiemethode gebruikt waarvoor het domein moet worden gekoppeld. Maak een of meer verzamelingen van virtuele apps voor de Horizon-pods in VMware Identity Manager. VMware, Inc. 35

36 SAML-authenticator configureren op de Horizon Connection Server. U moet altijd de VMware Identity Manager-FQDN op de configuratiepagina van de authenticator gebruiken. Vereisten voor het integreren van Horizon-pods Tijdens het opzetten van de Horizon-pods zorgt u ervoor dat u voldoet aan de vereisten voor de VMware Identity Manager-integratie. Implementeer Horizon Connection Servers op standaardpoort 443 of op een aangepaste poort. Verifieer of u voor elke Horizon Connection Server in uw configuratie een DNS-vermelding en een IPadres hebt die tijdens reverse lookup kunnen worden omgezet. Voor VMware Identity Manager is reverse lookup vereist voor Horizon Connection Servers, Horizon Security Server en de load balancer. Als reverse lookup niet op de juiste manier is geconfigureerd, mislukt de VMware Identity Manager-integratie met Horizon. Implementeer en configureer Horizon-pools en -desktops met rechten die zijn ingesteld voor Active Directory-gebruikers en -groepen. Zorg ervoor dat gebruikers over de juiste rechten beschikken. Terwijl u desktop-groepen configureert, zorgt u ervoor dat u in Instellingen op afstand de optie Automatisch afmelden nadat de verbinding is verbroken op 1 of 2 minuten instelt in plaats van onmiddellijk. Zorg ervoor dat u pools in de rootmap van de Horizon-server maakt. Als u pools in een andere map maakt dan de rootmap, kan VMware Identity Manager geen query voor die Horizon-pools en -rechten uitvoeren. We raden u aan de vervaldatum van de SAML-metagegevens op de Horizon Connection Servers te verlengen tot 90 dagen. Zie De vervaldatum van metagegevens van de serviceprovider op de Viewverbindingsserver wijzigen voor meer informatie. Over het integreren van Horizon Cloud Pod Architectureimplementaties (CPA) Naast de integratie van onafhankelijke Horizon-pods met VMware Identity Manager, kunt u ook Horizon Cloud Pod Architecture-implementaties (CPA) integreren. VMware, Inc. 36

37 Figuur 4 1. View-podfederaties integreren met VMware Identity Manager Site A Site B Onafhankelijke pod CPA-federatie Pod 1 Pod 2 Pod 3 VCS 1 VCS 3 Algemene LDAPreplicatie VCS 5 VCS 2 VCS 4 VCS 6 LDAPreplicatie LDAPreplicatie LDAPreplicatie VMware Identity Manager op locatie Connector Service De functie Horizon Cloud Pod Architecture koppelt meerdere Horizon-pods aan elkaar om één grote broker- en beheeromgeving voor desktops en applicaties te maken die een podfederatie wordt genoemd. Een podfederatie kan meerdere sites en datacenters omvatten. U kunt een of meer podfederaties integreren met de VMware Identity Manager-service. Let op: podfederaties worden gemaakt en beheerd in Horizon en gebruikers- en groepsrechten voor de desktopen applicatiepools van de podfederatie worden ingesteld in Horizon. U kunt de bronnen en rechten synchroniseren met VMware Identity Manager. Voor podfederaties gelden algemene rechten, waarmee u gebruikers rechten kunt verlenen voor desktops en applicaties. Gebruikers hebben vanuit elke pod in de podfederatie toegang tot deze desktops en applicaties. Een algemeen recht kan uit bronnen van meerdere pods in de federatie bestaan. Een algemeen desktoprecht bevat bijvoorbeeld desktopgroepen uit drie verschillende pods in drie verschillende datacenters. Voor afzonderlijke pods in de podfederatie kunnen ook algemene rechten zijn geconfigureerd. U kunt zowel algemene als lokale rechten synchroniseren met VMware Identity Manager. Voor het integreren van een podfederatie met de VMware Identity Manager-service moet u de volgende taken op hoog niveau in de VMware Identity Manager-beheerconsole uitvoeren: Voeg alle pods toe die gezamenlijk de podfederatie vormen en geef hierbij voor elke pod de gegevens van de Horizon Connection Server op. Hoewel VMware Identity Manager wel algemene rechten van elk van de pods in de podfederatie kan synchroniseren, moet het wel verbinding met elke pod maken om de vereiste metagegevens voor SAML-verificatie te synchroniseren. Ook moet het verbinding maken met de pods om lokale rechten te synchroniseren, indien dit van toepassing is. VMware, Inc. 37

38 Voeg de details van de podfederatie toe en geef de algemene start-url op. De algemene start-url, normaal gesproken de algemene URL voor de load-balancer, wordt gebruikt om desktops en applicaties met algemene rechten te starten. U kunt de algemene start-url voor specifieke netwerkbereiken aanpassen, bijvoorbeeld voor interne en externe toegang. Synchroniseer bronnen en rechten van de podfederatie naar de VMware Identity Manager-service. Opmerking Alleen algemene rechten waarop het beleid voor Alle sites van applicatie is, worden in een podfederatie gesynchroniseerd. Het beleid voor Alle sites stelt de reikwijdte van de zoekopdracht voor een applicatie of desktop in op alle pods in de hele podfederatie. Pas de algemene start-url aan door URL's voor toegang tot clients in te stellen voor specifieke netwerkbereiken. Deze URL's worden gebruikt om bronnen met algemene rechten via de podfederatie te starten. De algemene start-url die u opgeeft wanneer u de federatie toevoegt, wordt standaard gebruikt als algemene start-url voor alle netwerkbereiken. Geef URL's op voor toegang tot de client voor elke pod in de podfederatie waarvoor lokale rechten zijn geconfigureerd. Deze URL's worden gebruikt om desktops en applicaties met lokale rechten via de pod te starten. Een URL voor clienttoegang kan een Horizon Connection Server-URL, een beveiligingsserver-url of een load-balancer-url zijn. URL's voor toegang tot de client worden ingesteld voor specifieke netwerkbereiken. De Horizon Connection Server die u opgeeft wanneer u de pod toevoegt, wordt standaard gebruikt als URL voor clienttoegang voor alle netwerkbereiken. Wanneer u een podfederatie integreert met de VMware Identity Manager-service, wordt via de service het volgende uitgevoerd: Synchronisatie van alle algemene rechten in de podfederatie waarop het beleid voor Alle sites is toegepast. Synchronisatie van lokale rechten (indien geselecteerd) in de pods die deel uitmaken van de podfederatie. Synchronisatie van metagegevens van alle Horizon Connection Servers in de podfederatie. Eindgebruikers krijgen toegang tot hun Horizon-applicaties en -desktops via de Workspace ONEportal. Eindgebruikers hebben toegang tot hun Horizon-applicaties en -desktops via de Workspace ONE-portal. Alle bronnen waarop zij recht hebben, ofwel door algemene rechten of door lokale rechten, worden weergegeven. applicaties en desktops worden gestart in Horizon Client. Wanneer een gebruiker een applicatie of desktop met lokale rechten start, wordt deze gestart vanaf de Horizon Connection Server waarmee de gebruiker verbinding maakt. Bronnen met algemene rechten worden gestart vanaf de Horizon Connection Server waarop de bron zich bevindt. Voorbeeld van een Cloud Pod Architecture-implementatie In het volgende diagram wordt een voorbeeld weergegeven van een Cloud Pod Architectureimplementatie en ziet u hoe deze wordt geïntegreerd met de VMware Identity Manager-service. VMware, Inc. 38

39 Figuur 4 2. Voorbeeld van een Cloud Pod Architecture-implementatie Internet Intern URL EG Global LB Federatie 1 (F1) Pod 1 (P1) URL E1 LB Beveiligings server Beveiligings server Verbindings server Verbindings server URL I1 LB Connector Pod 2 (P2) Synchronisatie 1 Lokaal URL E2 LB Beveiligings server Beveiligings server Verbindings server Verbindings server URL I2 LB URL IG Global LB Synchronisatie 2 Lokaal Synchronisatie 3 Lokaal Synchronisatie API Service Pod 3 (P3) Verbindings server Verbindings server URL I3 LB Synchronisatie 4 Lokaal VMware Identity Manager op locatie In dit diagram ziet u een voorbeeld van de implementatie van een podfederatie. In Horizon 6 is een podfederatie met de naam Federatie 1 gemaakt. Deze federatie heeft drie pods: Pod 1, Pod 2 en Pod 3. Pod 1 en Pod 2 worden geconfigureerd met beveiligingsserverinstanties voor elke Horizon Connection Server en een externe load balancer voor externe toegang, en met een interne load balancer voor interne toegang. Pod 3 wordt alleen geconfigureerd voor interne toegang met een interne load-balancer. De podfederatie als geheel omvat een externe algemene load-balancer en een interne algemene loadbalancer. Op de pods worden bureablad- en applicatiesgroeps geïmplementeerd. Voor Federatie 1 worden algemene rechten geconfigureerd; ook worden voor de afzonderlijke pods lokale rechten geconfigureerd. Federatie 1 wordt geïntegreerd met de VMware Identity Manager-service. De VMware Identity Managerservice synchroniseert zowel algemene rechten als lokale rechten van Federatie 1. Omdat algemene rechten in elke pod worden gerepliceerd, worden ook algemene rechten van Pod 1 gesynchroniseerd. Ook worden lokale rechten van Pod 1, Pod 2 en Pod 3 gesynchroniseerd. Eindgebruikers kunnen in de VMware Identity Manager Workspace ONE portal alle desktops en applicaties zien waarvoor ze rechten hebben, ongeacht of dit algemene rechten of lokale rechten zijn. Wanneer een gebruiker een desktop of applicatie start en deze deel uitmaakt van een algemeen recht, gaat de startaanvraag naar de externe of interne algemene load-balancer (URL EG of URL IG), op basis VMware, Inc. 39

40 van het netwerkbereik van de gebruiker. Als de bron van een lokale gemachtigde afkomstig is, gaat de startaanvraag naar de interne of externe load-balancer van de pod waarop de bron is geïmplementeerd, op basis van het netwerkbereik van de gebruiker. Bijvoorbeeld: voor een bron op Pod 2 gaat de aanvraag naar URL I2 of URL E2. Vereisten voor het integreren van Horizon-podfederaties Voor het integreren van Horizon-podfederaties met VMware Identity Manager gelden de volgende vereisten. VMware Identity Manager ondersteunt het Cloud Pod Architecture-onderdeel in Horizon 6.2 en later, voor zowel applicaties als desktops. U kunt maximaal 10 podfederaties met de VMware Identity Manager-service integreren. Elke federatie mag maximaal 7 pods bevatten. Implementeer Horizon Connection Server-instanties op standaardpoort 443 of op een aangepaste poort. Verifieer of u voor elke Horizon Connection Server-instantie in uw omgeving een DNS-vermelding en een IP-adres hebt die tijdens reverse lookup kunnen worden omgezet. Voor VMware Identity Manager is reverse lookup vereist voor Horizon Connection Server-, Security Server- en load-balancerinstanties. Als reverse lookup niet op de juiste manier is geconfigureerd, mislukt de VMware Identity Manager-integratie met Horizon. De VMware Identity Manager-connector, een onderdeel van de service, moet alle Horizon Connection Server-instanties in de podfederatie kunnen bereiken. Voor alle Horizon Connection Server-instanties in de podfederatie moet SAML-verificatie zijn geconfigureerd, waarbij de VMware Identity Manager-service als identiteitsprovider is opgegeven. U moet de Fully Qualified Domain Name van de service gebruiken als onderdeel van de URL. Raadpleeg SAML-verificatie configureren voor meer informatie. We raden u aan de vervaldatum van de SAML-metagegevens op de View Connection Serverinstanties te verlengen tot 90 dagen. Zie De vervaldatum van metagegevens van de serviceprovider op de View-verbindingsserver wijzigen voor meer informatie. Horizon Connection Server-certificaten worden gesynchroniseerd naar VMware Identity Manager. Implementeer applicatie- en desktoppools in de Horizon-pods. Terwijl u desktop-groepen configureert, zorgt u ervoor dat u in Instellingen op afstand de optie Automatisch afmelden nadat de verbinding is verbroken op 1 of 2 minuten instelt in plaats van onmiddellijk. Zorg ervoor dat u Horizon-pools in de rootmap maakt. Als u Horizon-pools in een andere map maakt dan de rootmap, kan VMware Identity Manager geen query voor die Horizon-pods en - rechten uitvoeren. Als u applicatiesgroeps of desktopgroepen toevoegt of verwijdert na de integratie met VMware Identity Manager, moet u opnieuw synchroniseren zodat de wijzigingen worden weergegeven in de VMware Identity Manager-service. VMware, Inc. 40

41 U moet de podfederatie maken door de functie Cloud Pod Architecture te initialiseren via een van de pods en alle andere pods aan de federatie toe te voegen, voordat u de integratie de VMware Identity Manager-service uitvoert. Wanneer pods deel gaan uitmaken van de federatie, worden algemene rechten gerepliceerd. Als u een pod toevoegt aan of verwijdert uit de podfederatie nadat u deze met de VMware Identity Manager-service hebt geïntegreerd, moet u de podfederatiedetails in de VMware Identity Manager-beheerconsole bewerken om de pod toe te voegen of te verwijderen, uw wijzigingen opslaan en opnieuw synchroniseren. Maak in uw Horizon-omgeving algemene rechten in de podfederatie om Active Directory-gebruikers of -groepen rechten te geven voor desktops en applicaties. Voor de algemene rechten die u wilt synchroniseren met VMware Identity Manager moet hetzelfde Alle sites-beleid zijn ingesteld. Rechten met een ander beleid worden niet gesynchroniseerd. Als u eindgebruikers de mogelijkheid wilt bieden om desktops of applicaties in een webbrowser te starten, selecteert u de optie HTML Access voor het algemene recht in Horizon. (Optioneel) Maak indien nodig lokale rechten op de pods. Zie de Horizon 6- of Horizon 7-documentatie voor meer informatie over het configureren van Horizon. VMware, Inc. 41

42 Horizon-pods en -podfederaties in VMware Identity Manager configureren Als u Horizon-pods en -podfederaties in VMware Identity Manager wilt configureren, stelt u uw VMware Identity Manager-omgeving in, maakt u een of meer verzamelingen van virtuele apps voor de integratie, geeft u de clienttoegang-url's voor specifieke netwerkbereiken op en configureert u SAML-verificatie. Uw VMware Identity Manager -omgeving instellen Nadat u uw Horizon-omgeving hebt ingesteld, moet u uw VMware Identity Manager-omgeving instellen voordat u de Horizon-pods en -podfederaties integreert met de VMware Identity Manager-service. Vereisten Als u van plan bent om Horizon Connection Server 5.x-instanties te synchroniseren of de optie Directorysynchronisatie uitvoeren te gebruiken, moet u VMware Identity Manager toevoegen aan hetzelfde Active Directory-domein als Horizon. Controleer of u over een Active Directorygebruikersnaam en -wachtwoord beschikt, en of u rechten hebt om te worden toegevoegd aan het domein. Zie Integreren met Active Directory onder VMware Identity Manager installeren en configureren voor meer informatie over de rechten die u nodig hebt om te worden toegevoegd aan een domein. Opmerking Voor een installatie van VMware Identity Manager in Windows is de Windows-server is al toegevoegd aan het domein. Procedure 1 Synchroniseer de gebruikers en groepen met algemene of lokale rechten in Horizon uit Active Directory naar de VMware Identity Manager-service door middel van directorysynchronisatie. a b c d Als u de huidige gebruikers en groepen wilt weergeven, klikt u op het tabblad Gebruikers en groepen. Selecteer het tabblad Identiteits- en toegangsbeheer > Directory's. Selecteer de van applicatie zijnde directory. Pas de directoryinstellingen waar nodig aan en klik op Nu synchroniseren. Opmerking Gebruikers moeten het kenmerk userprincipalname hebben. Als het kenmerk niet is ingesteld voor een gebruiker, kan de gebruiker geen desktops en applicaties uitvoeren. 2 Indien dit van toepassing is, brengt u een verbinding met meerdere domeinen of vertrouwde multiforest-domeinen tot stand in Active Directory Raadpleeg VMware Identity Manager installeren en configureren voor meer informatie. VMware, Inc. 42

43 3 (Alleen de Linux virtual appliance van VMware Identity Manager) Voeg de VMware Identity Managerdirectory toe aan hetzelfde Active Directory-domein als Horizon als u een Horizon Connection Server 5 synchroniseert.x instanties of als u van plan bent de optie Directorysynchronisatie uitvoeren te gebruiken. Voor beide configuraties wordt een alternatieve synchronisatiemethode gebruikt waarvoor het domein moet worden gekoppeld. a b c d Klik op het tabblad Identiteits- en toegangsbeheer. Klik op Setup en selecteer het tabblad Connectoren. Klik op Domein koppelen naast de van applicatie zijnde directory. Geef de gegevens voor het Active Directory-domein op en klik op Aan domein toevoegen. Gebruik geen niet-ascii-tekens wanneer u de domeingegevens opgeeft. Optie Domein Beschrijving Selecteer het domein dat u wilt koppelen of selecteer Aangepast domein en typ de domeinnaam. Zorg dat u de volledig gekwalificeerde Active Directorydomeinnaam opgeeft, bijvoorbeeld server.example.com. Opmerking De FQDN van Active Directory moet zich in hetzelfde domein als de View Connection Server-instanties bevinden. Anders mislukt de implementatie. Domeingebruiker Domeinwachtwoord Organisatie-eenheid of domein om te koppelen Geef de gebruikersnaam van een Active Directory-gebruiker op die toestemming heeft om systemen samen te voegen met dat Active Directorydomein. Geef het wachtwoord van de gebruiker op. Dit wachtwoord wordt niet opgeslagen door VMware Identity Manager. (Optioneel) De organisatie-eenheid (OU) om te koppelen. Met behulp van deze optie wordt het apparaat met de opgegeven OU gekoppeld in plaats van de standaard OU van de computer. Bijvoorbeeld: ou=testou,dc=test,dc=example,dc=com. e Verifieer of VMware Identity Manager en de Horizon-servers aan het hetzelfde domein zijn toegevoegd. Opmerking Voor een installatie van VMware Identity Manager in Windows is deze stap niet vereist omdat de Windows-server al aan het domein is toegevoegd. Horizon-pods en -podfederaties in VMware Identity Manager configureren Configureer Horizon-pods en -podfederaties in de VMware Identity Manager-beheerconsole om bronnen en rechten te synchroniseren naar de VMware Identity Manager-service. Om de pods en podfederaties te configureren, maakt u een of meer verzamelingen van virtuele apps op de pagina Catalogus > Verzameling van virtuele apps en voert u configuratiegegevens in zoals de Horizon Connection Servers waarvan u bronnen en rechten wilt synchroniseren, gegevens van de podfederatie, de VMware Identity Manager-connector voor synchronisatie en de beheerdersinstellingen zoals de standaardclient voor starten. VMware, Inc. 43

44 U kunt alle Horizon-pods en -podfederaties toevoegen aan één verzameling of u kunt meerdere verzamelingen maken, afhankelijk van uw behoeften. U kunt er bijvoorbeeld voor kiezen om afzonderlijke verzamelingen te maken voor elke podfederatie of elke pod om het beheer te vereenvoudigen en de synchronisatietaken te verdelen over meerdere connectoren. Of u kunt ervoor kiezen om alle pods en podfederaties toe te voegen aan één verzameling voor testdoeleinden en een andere identieke verzameling te gebruiken voor uw productieomgeving. Nadat u de pods hebt toegevoegd, configureert u URL's voor clienttoegang voor specifieke netwerkbereiken. Vereisten Stel Horizon in overeenkomstig Vereisten voor het integreren van Horizon-pods en Vereisten voor het integreren van Horizon-podfederaties. Stel VMware Identity Manager in zoals beschreven in Uw VMware Identity Manager-omgeving instellen. Voor elke Horizon-pod moet u beschikken over de aanmeldgegevens van een gebruiker met de rol van beheerder. Procedure 1 Meld u aan op de beheerconsole van VMware Identity Manager. 2 Selecteer Catalogus > Verzameling van virtuele apps. 3 Klik op Virtuele apps toevoegen en selecteer Horizon View op locatie. 4 Voer een unieke naam voor de verzameling in. 5 Selecteer de connector waarmee u de bronnen op deze locatie wilt synchroniseren, uit de vervolgkeuzelijst Synchronisatieconnectoren. Als u meerdere connectoren hebt ingesteld voor hoge beschikbaarheid, klikt u op Connector toevoegen en selecteert u de andere connectoren. De volgorde waarin de connectoren worden vermeld, bepaalt de failovervolgorde. 6 In het gedeelte Horizon-pods geeft u de configuratiegegevens op voor de Horizon-pods die u aan deze verzameling toevoegt. Verbindingsserver Gebruikersnaam Wachtwoord Smartcardverificatie Voer de volledig gekwalificeerde hostnaam van de Horizon-verbindingsserver-instantie in, bijvoorbeeld verbindingsserver.example.com. De domeinnaam moet identiek zijn aan de domeinnaam waaraan u de Horizon-verbindingsserver-instantie hebt toegevoegd. Voer de gebruikersnaam van de beheerder in voor de pod. De gebruiker moet de beheerdersrol in Horizon hebben. Voer het wachtwoord van de beheerder in voor de pod. Als gebruikers in plaats van wachtwoorden smartcardverificatie gebruiken om zich aan te melden bij de pod, schakelt u het selectievakje in. VMware, Inc. 44

45 True SSO ingeschakeld Lokale rechten synchroniseren Selecteer deze optie als True SSO is ingeschakeld in Horizon. Deze optie is alleen van toepassing op versies van Horizon die de functie True SSO ondersteunen. Wanneer True SSO in Horizon is ingeschakeld, hebben gebruikers geen wachtwoord nodig om zich aan te melden op hun Windows-computers. Als gebruikers echter zijn aangemeld op de VMware Identity Manager met behulp van een verificatiemethode zonder wachtwoord, zoals SecurID, wanneer ze hun Windows-desktops opstarten, worden ze om een wachtwoord gevraagd. U kunt deze optie selecteren om te voorkomen dat in dat scenario een wachtwoorddialoogvenster wordt weergegeven aan gebruikers. Als lokale rechten zijn geconfigureerd voor de pod, selecteert u deze optie. Bijvoorbeeld: 7 Als u meerdere pods wilt toevoegen aan de verzameling, klikt u op Pod toevoegen en voert u de configuratiegegevens voor elke pod in. VMware, Inc. 45

46 8 Volg deze stappen om een podfederatie toe te voegen. a b Vink het selectievakje Inschakelen aan in het gedeelte Architectuurconfiguratie voor Horizon Cloud-pods. Voer de configuratiegegevens van de podfederatie in. Optie Federatienaam Horizon-pods toevoegen Geselecteerde pods URL openen Beschrijving De naam van de podfederatie. Selecteer alle pods die bij de podfederatie horen. De lijst bevat alle pods die u hebt toegevoegd aan de verzameling. Selecteer elke pod en klik op Toevoegen aan lijst. U kunt de volgorde van de pods wijzigen of ze verwijderen. De algemene start-url die moet worden gebruikt om desktops of applicaties met algemene rechten te starten. Bijvoorbeeld: federationa.example.com. De start-url is doorgaans de URL van de algemene load balancer van de podfederatie. U kunt de start-url voor de specifieke netwerkbereiken later in het configuratieproces wijzigen. c Als u een andere podfederatie wilt toevoegen, klikt u op Federatie toevoegen en voert u de configuratiegegevens in. Opmerking Selecteer deze optie niet als de verzameling alleen individuele Horizon-pods bevat die geen deel uitmaken van een podfederatie. Bijvoorbeeld: 9 Selecteer Dubbele applicaties niet synchroniseren om te voorkomen dat dubbele applicaties van meerdere servers worden gesynchroniseerd. Wanneer VMware Identity Manager wordt geïmplementeerd in meerdere datacenters, worden dezelfde bronnen ingesteld in de meerdere datacenters. Als u deze optie selecteert, voorkomt dit het verdubbelen van de desktop- of applicatiepools in uw VMware Identity Manager-catalogus. VMware, Inc. 46

47 10 Schakel het selectievakje Horizon Connection Server 5.x configureren in als u een View Connection Server 5 configureert.x instanties. Door deze optie te selecteren, beschikt u over een alternatieve manier om bronnen te synchroniseren, die is vereist voor View 5.x. Opmerking Als u de optie Directorysynchronisatie uitvoeren selecteert, wordt ook de optie Horizon Connection Server 5.x configureren automatisch geselecteerd omdat beide gebruikmaken van de alternatieve manier om bronnen te synchroniseren. 11 Schakel het selectievakje Directorysynchronisatie uitvoeren in als u de directory wilt synchroniseren als onderdeel van de bronsynchronisatie, en gebruikers en groepen met rechten voor Horizon-pools in de Horizon Connection Server-instanties ontbreken in de VMware Identity Managerdirectory. De optie Directorysynchronisatie uitvoeren is niet van toepassing op podfederaties. Als gebruikers en groepen met algemene rechten ontbreken in de VMware Identity Manager-directory, kan de directorysynchronisatie niet worden ingeschakeld. Gebruikers en groepen die via dit proces worden gesynchroniseerd, kunnen worden beheerd zoals alle andere gebruikers die zijn toegevoegd door VMware Identity Manager-directorysynchronisatie. Belangrijk Het synchroniseren neemt meer tijd in beslag wanneer u de optie Directorysynchronisatie uitvoeren gebruikt. Opmerking Wanneer deze optie is geselecteerd, wordt automatisch ook de optie Horizon Connection Server 5.x configureren geselecteerd, omdat beide opties gebruikmaken van een alternatieve manier om bronnen te synchroniseren. 12 Selecteer in het vervolgkeuzemenu Standaardclient voor starten de standaardclient waarin u Horizon-applicaties of -desktops wilt starten. Optie GEEN BROWSER SYSTEEMEIGEN Beschrijving Er wordt geen standaardvoorkeur ingesteld op beheerdersniveau. Als deze optie is ingesteld op Geen en er ook geen eindgebruikersvoorkeur is ingesteld, wordt de Horizon-instelling Default display protocol (Standaardweergaveprotocol) gebruikt om te bepalen hoe de desktop of applicatie moet worden gestart. Horizon-desktops en -applicaties worden standaard gestart in een webbrowser. Als er eindgebruikersvoorkeuren zijn ingesteld, overschrijven die voorkeuren deze instelling. Horizon-desktops en -applicaties worden standaard gestart in de Horizon Client. Als er eindgebruikersvoorkeuren zijn ingesteld, overschrijven die voorkeuren deze instelling. Deze instelling is van toepassing op alle bronnen in deze verzameling. VMware, Inc. 47

48 De volgende volgorde van prioriteit (gerangschikt van hoog naar laag) bepaalt de gebruikte instelling voor de standaardclient: a b c De voorkeursinstelling van de eindgebruiker, ingesteld in de Workspace ONE-portal. Deze optie is niet beschikbaar in de Workspace ONE-app. Beheerdersinstelling Standaardclient voor starten voor de verzameling, ingesteld in de VMware Identity Manager-console. De Horizon-instelling Remote Display Protocol (Extern weergaveprotocol) > Default display protocol (Standaardweergaveprotocol) voor de desktop- of applicatiepool, ingesteld in Horizon Administrator. Bijvoorbeeld: als het weergaveprotocol is ingesteld op PCoIP, wordt de applicatie gestart in de Horizon Client. 13 Selecteer in het vervolgkeuzemenu Synchronisatiefrequentie hoe vaak u de bronnen in deze verzameling wilt synchroniseren. U kunt een planning voor regelmatig synchroniseren instellen, of u kunt handmatig synchroniseren. Als u Handmatig selecteert, klikt u op Synchroniseren op de pagina Catalogus > Verzameling van virtuele apps nadat u de verzameling hebt ingesteld en telkens wanneer uw View-bronnen of - rechten worden gewijzigd. 14 Selecteer in het vervolgkeuzemenu Activeringsbeleid op welke manier Horizon-bronnen beschikbaar worden gesteld voor gebruikers in Workspace ONE. Zowel met de optie Door gebruiker geactiveerd als met de optie Automatisch worden de bronnen toegevoegd aan de pagina Catalogus. Gebruikers kunnen de bronnen op de pagina Catalogus gebruiken of ze verplaatsen naar de pagina Bladwijzers. Als u echter een goedkeuringswerkstroom voor een van de apps wilt instellen, moet u Door gebruiker geactiveerd voor die app selecteren. Het activeringsbeleid dat u op deze pagina selecteert, is van toepassing op alle gebruikersrechten voor alle bronnen in de verzameling. U kunt het activeringsbeleid voor afzonderlijke gebruikers of groepen per bron aanpassen, via de applicatie of de pagina Rechten van de desktop. U wordt aanbevolen het activeringsbeleid voor de verzameling in te stellen op Door gebruiker geactiveerd als u van plan bent een goedkeuringswerkstroom in te stellen. 15 Klik op Opslaan. De verzameling is gemaakt en wordt weergegeven op de pagina Verzameling van virtuele apps. De bronnen in de verzameling zijn nog niet gesynchroniseerd. 16 Klik op Synchroniseren op de pagina Verzameling van virtuele apps als u de bronnen in de verzameling naar VMware Identity Manager wilt synchroniseren. Telkens wanneer u instellingen in Horizon wijzigt, zoals het toevoegen van een recht of een gebruiker, is een synchronisatie vereist om de wijzigingen toe te passen in VMware Identity Manager. VMware, Inc. 48

49 17 Configureer de clienttoegang-url's voor de pods en podfederaties. U past de URL's voor specifieke netwerkbereiken aan. Verschillende start-url's worden bijvoorbeeld standaard ingesteld voor interne en externe toegang. a b c Klik op het tabblad Identiteits- en toegangsbeheer en klik vervolgens op Installatie. Klik op Netwerkbereiken. Selecteer een netwerkbereik. U kunt een bestaand netwerkbereik selecteren of een nieuwe aanmaken. U kunt ook het standaard netwerkbereik ALLE BEREIKEN bewerken. De pagina Netwerkbereik bewerken wordt weergegeven. Het gedeelte CPA-federatie weergeven bevat de algemene start-url van de podfederaties die u hebt toegevoegd aan de verzameling. Het gedeelte View-pods bevat alle View-pods die u hebt toegevoegd aan de verzameling waarvoor de optie Lokale rechten synchroniseren is geselecteerd. d Voor de globale start-url specificeert u in het gedeelte CPA-federatie weergeven de volledig gekwalificeerde domeinnaam van de server waarnaar startverzoeken voor globale rechten die afkomstig zijn van dit netwerkbereik moeten worden verzonden. Standaard is dit de globale loadbalancer-url van de View pod-federatie-implementatie. Bijvoorbeeld: lb.example.com De globale start-url wordt gebruikt om bronnen met globale rechten te starten. e Voor elke pod geeft u in het gedeelte View-pod de volledig gekwalificeerde domeinnaam van de server op waarnaar startverzoeken voor lokale rechten die afkomstig zijn van dit netwerkbereik, moeten worden verzonden. U kunt een Horizon Connection Server-instantie, een load balancer of een beveiligingsserver opgeven. Wanneer u bijvoorbeeld een bereik voor interne toegang bewerkt, geeft u de interne load-balancer voor de pod op. Bijvoorbeeld: lb.example.com De client-toegang URL wordt gebruikt om bronnen met lokale rechten via de pod te starten. VMware, Inc. 49

50 f g Bewerk in het gedeelte IP-bereiken indien nodig het IP-bereik. Klik op Opslaan. Zie ook URL's voor toegang voor meerdere clienten voor aangepaste netwerkbereiken inschakelen. SAML-verificatie configureren Als u gebruikers de mogelijkheid wilt geven om een Horizon-applicatie of -desktop te starten via de VMware Identity Manager-service en om Single Sign-On van VMware Identity Manager voor de applicatie of desktop beschikbaar te maken, moet u SAML-verificatie in alle Horizon Connection Server-instanties in uw Horizon-implementatie configureren. Opmerking U hoeft deze taak niet uit te voeren als uw organisatie smartcardverificatie gebruikt om bronnen weer te geven via een externe identiteitsprovider. Procedure 1 Meld u aan bij Horizon Administrator als gebruiker met de beheerdersrol. 2 Configureer SAML-verificatie voor elke Horizon Connection Server-instantie in uw Horizonimplementatie. U moet uw volledig gekwalificeerde domeinnaam van de VMware Identity Managerservice op de pagina Authenticator-configuratie gebruiken. Belangrijk De tijd van de Horizon- en VMware Identity Manager-servers moet zijn gesynchroniseerd. Wanneer de tijd van de servers niet is gesynchroniseerd en u een Horizonapplicatie of -desktop probeert uit te voeren, verschijnt een bericht over een ongeldige SAML. URL's voor toegang voor meerdere clienten voor aangepaste netwerkbereiken inschakelen Als u toegangs-url's voor meerdere clients gebruikt voor verschillende netwerkbereiken, moet u het standaardnetwerkbereik bewerken zodat de eindgebruiker verbinding maakt met de juiste URL voor clienttoegang en het juiste poortnummer. Wanneer deze instellingen niet zijn bijgewerkt, start Horizon Client niet. Procedure 1 Meld u aan op de beheerconsole van VMware Identity Manager. 2 Klik op het tabblad Identiteits- en toegangsbeheer. 3 Klik rechts op Installatie en klik dan op Netwerkbereiken. 4 Klik op het netwerkbereik dat u wilt bewerken. De pagina Netwerkbereik bewerken wordt weergegeven. Het gedeelte View CPA-Federatie wordt alleen weergegeven als u podfederaties hebt geïntegreerd. In dit gedeelte worden de algemene start- URL's die u hebt opgegeven voor de podfederaties weergegeven. Het gedeelte Pods weergeven bevat alle View-pods waarvan de optie Lokale rechten synchroniseren is geselecteerd. VMware, Inc. 50

51 5 Geef de URL voor clienttoegang en de poort op in de velden URL-host clienttoegang en URLpoort. Bijvoorbeeld: pod6.mycompany.com 6 Verifieer of elk netwerkbereik in uw omgeving een URL voor clienttoegang heeft. Belangrijk Wanneer een netwerkbereik ontbreekt, kunnen eindgebruikers die willen starten via dat netwerkbereik problemen ondervinden. De verbindingsinformatie voor pools van Horizondesktops en -applicaties U kunt de informatie over de verbinding tussen VMware Identity Manager en een pool van Horizondesktops of -applicaties weergeven. Procedure 1 Meld u aan op de beheerconsole van VMware Identity Manager. 2 Klik op het tabblad Catalogus. 3 Als u desktoppools wilt weergeven, klikt u op Elk toepassingstype > Horizon View-desktops. Als u applicatiepools wilt weergeven, klikt u op Elk toepassingstype > Horizon View-toepassingen. 4 Klik op de applicatie- of desktoppool. 5 Klik aan de linkerkant op Details. 6 Bekijk de verbindingsinformatie. Deze bestaat uit kenmerken die van de Horizon Connection Serverinstantie zijn opgehaald. Zie de Horizon-documentatie voor meer informatie over deze kenmerken. Gebruikers- en groepsrechten voor pools van Horizondesktops en -applicaties weergeven U kunt bekijken voor welke pools van Horizon-desktops en -applicaties gebruikers en groepen rechten hebben. Vereisten Voor de laatste updates synchroniseert u bronnen en rechten handmatig van de Horizon Connection Server-instanties naar VMware Identity Manager door op Synchroniseren te klikken op de pagina Verzameling van virtuele apps. Procedure 1 Meld u aan op de beheerconsole van VMware Identity Manager. VMware, Inc. 51

52 2 Bekijk gebruikers- en groepsrechten voor pools van Horizon-desktops en -applicaties. Optie Geef een lijst weer van gebruikers en groepen die rechten hebben voor een specifieke pool van Horizon-desktops of -applicaties. Lijst van rechten voor een pool van Horizon-desktops en -applicaties voor een specifieke gebruiker of groep. Actie a Klik op Catalogus > Toepassingscatalogus. b Klik op Elk toepassingstype > Horizon View-desktops of Horizon Viewtoepassingen. c Klik op het pictogram voor de View-groep waarvoor u de rechten in een lijst wilt weergeven. Het tabblad Rechten is standaard geselecteerd. Groepsrechten en gebruikersrechten worden vermeld in aparte tabellen. a Klik op het tabblad Gebruikers en groepen. b Klik op het tabblad Gebruikers of het tabblad Groepen. c Klik op de naam van een individuele gebruiker of groep. d Klik op het tabblad Apps. De pools van Horizon-desktops en -applicaties waarvoor de gebruiker of groep rechten heeft, worden in een lijst weergegeven. Startopties voor Horizon-desktops en -applicaties weergeven Horizon-desktops en -applicaties kunnen worden gestart vanuit Workspace ONE in de Horizon Client of een webbrowser, afhankelijk van de manier waarop de desktop of applicatie is geconfigureerd in Horizon. Als een desktop of applicatie alleen is geconfigureerd voor de Horizon Client, moeten gebruikers de Horizon Client op hun systemen installeren. De Horizon-functie HTML Access biedt Horizon-beheerders de optie om een desktop of applicatie voor browsers te configureren. Deze configuratie wordt uitgevoerd in Horizon en er is geen configuratie vereist in VMware Identity Manager. In Horizon 7 bepaalt de instelling HTML Access toestaan voor desktops en applicaties op deze farm of gebruikers in VMware Identity Manager de optie hebben om desktops of applicaties vanaf die farm in een browser te starten. VMware Identity Manager ondersteunt HTML Access voor Horizon en later. VMware Identity Manager ondersteunt ook alle weergaveprotocollen die Horizon ondersteunt voor de Horizon Client. Voor Horizon 7 ondersteunt VMware Identity Manager het Blast-protocol, naast PCoIP en RDP voor Horizon Client 4.0. Wanneer VMware Identity Manager-gebruikers een desktop of applicatie in de Horizon Client starten, wordt het protocol gebruikt dat is ingesteld voor de farm in Horizon. Opmerking In Horizon kunnen beheerders, naast het instellen van het standaardweergaveprotocol, ook opgeven of gebruikers een weergaveprotocol mogen kiezen. Als u versies van Horizon Client wilt ondersteunen die niet het standaardprotocol ondersteunen, raden we af gebruikers de mogelijkheid te bieden het weergaveprotocol te kiezen. Anders kan de applicatie of desktop niet worden gestart. Voor informatie over het configureren van de weergaveprotocols en startopties, raadpleegt u de Horizon 7-, Horizon 6- of View-documentatie. In de VMware Identity Manager-beheerconsole kunt u de startopties controleren die door een Horizondesktop of -applicatie worden ondersteund. VMware, Inc. 52

53 Procedure 1 Meld u aan op de beheerconsole van VMware Identity Manager. 2 Klik op Catalogus > Toepassingscatalogus. 3 Als u desktoppools wilt weergeven, klikt u op Elk toepassingstype > Horizon View-desktops. Als u applicaties wilt weergeven, klikt u op Elk toepassingstype > Horizon View-toepassingen. 4 Klik op de applicatie of desktop. 5 Klik aan de linkerkant op Details. In het veld Ondersteunde clienttypen worden de startopties weergegeven. De waarde van het veld kan NATIVE of BROWSER zijn, of beide. Als alleen NATIVE in de lijst staat, kan de desktop of applicatie alleen worden gestart in de Horizon Client. Gebruikers moeten de Horizon Client op hun systemen installeren voordat ze de applicatie starten vanuit Workspace ONE. Als BROWSER in de lijst staat, kunnen gebruikers de applicatie of desktop in een browser starten. Als beide opties zijn opgegeven, kunnen gebruikers selecteren op welke manier ze de applicatie willen starten. Opmerking Voor Horizon 7-integraties moet de optie HTML Acces toestaan voor desktops en applicaties op deze farm zijn ingeschakeld in Horizon 7, zodat de optie BROWSER in de lijst Ondersteunde clienttypen wordt weergegeven. Een Horizon-desktop of -applicatie starten Gebruikers kunnen de Horizon-desktops of -applicaties waarvoor ze rechten hebben, uitvoeren vanuit de Workspace ONE-portal of -app. VMware, Inc. 53

54 Een applicatie of desktop kan worden gestart in de Horizon Client of in een browser, afhankelijk van hoe de applicatie of desktop is geconfigureerd in Horizon. Voor applicaties of desktops die alleen in de Horizon Client kunnen worden gestart, moeten gebruikers de Horizon Client op hun systemen installeren. Voor applicaties en desktops die zowel in de Horizon Client als in een browser kunnen worden gestart, kunnen gebruikers de startmethode selecteren. Gebruikers kunnen ook hun standaardstartvoorkeur instellen op de pagina Voorkeuren in de Workspace ONE-portal. Deze gebruikersvoorkeur overschrijft elke andere startvoorkeur die is ingesteld op beheerdersniveau. Opmerking Gebruikers kunnen geen standaardstartvoorkeur instellen in de Workspace ONE-app. Vereisten Wellicht moeten gebruikers de Horizon Client installeren, afhankelijk van hoe de applicatie of desktop is geconfigureerd in Horizon. Zie voor ondersteunde versies van Horizon Client de VMware Product Interoperability Matrix via Procedure 1 Meld u aan bij de Workspace ONE-portal. 2 Klik op Openen in de desktop of applicatie die u wilt gebruiken, selecteer de startmethode en klik op Openen. Opmerking Afhankelijk van de manier waarop de desktop of applicatie is geconfigureerd, en uw voorkeur, moet u mogelijk de Horizon Client op uw systeem installeren. Als u de optie in browser hebt gekozen, wordt de applicatie of desktop gestart in een browser. Wanneer u Horizon of later gebruikt, wordt op het browserscherm ook een HTML Access Tray weergegeven. Opmerking Als de SAML-metagegevens op de Horizon Connection Server-instanties verlopen zijn, wordt de applicatie of desktop niet gestart. Om dit probleem te verhelpen, moet u de Horizon-bronnen opnieuw synchroniseren naar VMware Identity Manager. Klik voor de betreffende verzameling op Synchroniseren op de pagina Catalogus > Verzameling van virtuele apps. Toegangsbeleid instellen voor specifieke applicaties en desktops Het ingestelde standaardtoegangsbeleid is van toepassing op alle applicaties en desktops in uw catalogus. U kunt ook toegangsbeleid voor individuele applicaties of desktoppools instellen, dat het standaardtoegangsbeleid overschrijft. U kunt een toegangsbeleid toepassen op een of meer applicaties en desktops op de beleidspagina of het toegangsbeleid voor een specifieke applicatie selecteren op de configuratiepagina's voor applicaties. Raadpleeg de handleiding Beheer VMware Identity Manager voor meer informatie over toegangsbeleid. VMware, Inc. 54

55 Procedure 1 Volg deze stappen als u via de beleidspagina een toegangsbeleid wilt toepassen op applicaties en desktops. a b c d e Navigeer naar de pagina Identiteits- en toegangsbeheer > Beheren > Beleidsregels. Klik op een beleid om het te bewerken of klik op Beleid toevoegen om een nieuw beleid te maken. Bewerk of definieer het beleid op de beleidspagina. Geef in het gedeelte IP-bereiken de IP-bereiken op waarop u de instellingen wilt toepassen. Klik op Opslaan. 2 Selecteer deze stappen als u een toegangsbeleid voor een specifieke applicatie wilt selecteren op de configuratiepagina voor de applicatie. a b c d Klik op Catalogus > Toepassingscatalogus. Klik op de applicatie. Klik in het linkerdeelvenster op Toegangsbeleid. Selecteer het toegangsbeleid voor de applicatie en klik op Opslaan. VMware, Inc. 55

56 Toegang geven tot VMware Horizon Cloud Service - desktops en -applicaties 5 VMware Horizon Cloud Service met gehoste infrastructuur of infrastructuur op locatie kan worden geïntegreerd met de VMware Identity Manager-service. Met de integratie van Horizon Cloud met de VMware Identity Manager-service kunt u gebruikers de mogelijkheid geven om vanuit de Workspace ONE-portal of -app toegang te krijgen tot de Horizon Cloudapplicaties en -desktops waarvoor ze rechten hebben. Gebruikers beschikken over één centrale plek voor toegang tot al hun applicaties op al hun apparaten. Desktop- en applicatiepools, ook wel toewijzingen genoemd, worden geconfigureerd in de Horizon Cloudtenant. Ook stelt u gebruikers- en groepsrechten in in de Horizon Cloud-tenant, niet in de VMware Identity Manager-service. U moet deze gebruikers en groepen vanaf Active Directory synchroniseren met de VMware Identity Manager-service voordat u met de Horizon Cloud-tenant gaat integreren. Als u Horizon Cloud wilt integreren met VMware Identity Manager, kunt u een of meer verzamelingen van virtuele apps in de VMware Identity Manager-beheerconsole maken. De verzamelingen bevatten de configuratiegegevens voor de Horizon Cloud-tenants, evenals de synchronisatie-instellingen. U kunt een synchronisatieplanning voor elke verzameling instellen om bronnen en rechten van de Horizon Cloud-tenants regelmatig te synchroniseren naar de VMware Identity Manager-service. Nadat u de Horizon Cloud-tenant hebt geïntegreerd met VMware Identity Manager, kunt u de Horizon Cloud-desktops en -applicaties in de VMware Identity Manager-beheerconsole zien. U kunt ook gebruikers- en groepsrechten weergeven. Eindgebruikers kunnen hun desktops en apps vanuit de Workspace ONE-portal of -app starten. Deze desktops en apps zijn toegankelijk via HTML in een browser of via een ondersteund weergaveprotocol in de VMware Horizon Client. Horizon Client versies 3.4 en later worden ondersteund. Dit hoofdstuk omvat de volgende onderwerpen: Horizon Cloud-desktops en -applicaties integreren Details over pools van Horizon Cloud-desktops en -applicaties bekijken Gebruikers- en groepsrechten voor Horizon Cloud-desktops en -applicaties bekijken Toegangsbeleid instellen voor specifieke applicaties en desktops Een Horizon Cloud-desktop of -applicatie gebruiken VMware, Inc. 56

57 Horizon Cloud -desktops en -applicaties integreren Voor de integratie van Horizon Cloud-desktops en -applicaties met de VMware Identity Manager-service, maakt u een of meer verzamelingen van virtuele apps in de VMware Identity Manager-beheerconsole, configureert u gegevens van de Horizon Cloud-tenant in de verzameling en synchroniseert u bronnen en rechten van de Horizon Cloud-tenant. U configureert ook SAML-verificatie om vertrouwen tussen de Horizon Cloud-tenant en de VMware Identity Manager-service tot stand te brengen. Vereisten voor integratie Voordat u Horizon Cloud integreert met VMware Identity Manager, moet u controleren of u voldoet aan de vereisten. Verifieer of u over de volgende installatie beschikt: Een VMware Identity Manager-implementatie op uw locatie Een Horizon Cloud-tenant die toegankelijk is via de VMware Identity Manager-service. Werk samen met uw Horizon Cloud-vertegenwoordiger om dit in te stellen. Belangrijk Voor een goede werking hebt u VPN-connectiviteit nodig voor uw VMware Identity Manager-implementatie en uw Horizon Cloud-tenant. Zorg ervoor dat u versie of later gebruikt als u een extra, externe connector gebruikt. Controleer of uw Horizon Cloud-tenant voldoet aan de volgende vereisten. De tenantnaam moet een Fully Qualified Domain Name (FQDN) zijn, niet gewoon een hostnaam. Bijvoorbeeld: server-ta1.example.com in plaats van server-ta1. De tenant-apparaten moeten over geldige, ondertekende certificaten beschikken die door een CA zijn uitgegeven. Automatisch ondertekende certificaten worden niet ondersteund. Het certificaat moet overeenkomen met de FQDN van het tenant-apparaat. Als u uw VMware Identity Manager-directory met UPN als zoekkenmerk hebt gemaakt en u statische desktoppools wilt synchroniseren vanaf de Horizon Cloud-tenant, moet uw serviceprovider UPN voor de tenant inschakelen en de tenantapplicatie opnieuw starten, anders kunnen gebruikers geen statische desktops starten. Zorg ervoor dat de tijd van de Horizon Cloud-tenant en de VMware Identity Manager-service is gesynchroniseerd. Als de tijd niet is gesynchroniseerd, kan een ongeldige SAML-fout optreden als gebruikers Horizon Cloud-desktops en -applicaties uitvoeren. Maak en configureer desktop- en applicatiepools (ook wel toewijzingen genoemd) in de beheerconsole van de Horizon Cloud-tenant. U kunt de volgende pooltypen maken in de Horizon Cloud-tenant: Dynamische desktoppool, ook wel zwevende desktoptoewijzing genoemd Statische desktoppool, ook wel specifieke desktoptoewijzing genoemd VMware, Inc. 57

58 Groep met desktops op basis van sessies, ook wel sessiedesktoptoewijzing genoemd groep met applicaties op basis van sessies, ook wel externe applicatiestoewijzing genoemd Zie de Horizon Cloud-documentatie voor meer informatie over de pooltypen. Stel gebruikers- en groepsrechten voor Horizon Cloud-desktops en -applicaties in in de beheerconsole van de Horizon Cloud-tenant. Opmerking Alleen rechten voor gebruikers die deel uitmaken van een geregistreerde groep worden gesynchroniseerd. Gebruikers die geen deel uitmaken van een groep, zien hun rechten niet in VMware Identity Manager. Controleer via de VMware Identity Manager-beheerconsole of gebruikers en groepen met deze rechten met behulp van directorysynchronisatie worden gesynchroniseerd van Active Directory naar VMware Identity Manager. Horizon Cloud -tenant in VMware Identity Manager configureren Als u Horizon Cloud-tenants wilt integreren met de VMware Identity Manager-service, maakt u een verzameling van virtuele apps in de VMware Identity Manager-beheerconsole die zowel Horizon Cloudtenantinformatie als synchronisatie-instellingen bevat, en synchroniseert u bronnen en rechten van de Horizon Cloud-tenant naar de VMware Identity Manager-service. Als u meerdere Horizon Cloud-tenants hebt, kunt u afzonderlijke verzamelingen van virtuele apps maken voor elke tenant of alle tenants configureren in één verzameling, afhankelijk van uw behoeften. Elke verzameling wordt afzonderlijk gesynchroniseerd. Vereisten Verifieer of u voldoet aan de vereisten die worden beschreven in Vereisten voor integratie. Controleer of de naam van de Horizon Cloud-tenant een volledig gekwalificeerde domeinnaam (FQDN) is. Bijvoorbeeld: tenanta.example.com. Controleer of de tenantappliance een geldig SSL-certificaat van een certificaatautoriteit heeft. Automatisch ondertekende certificaten worden niet ondersteund. Het certificaat moet overeenkomen met de FQDN van het tenant-apparaat. Procedure 1 Meld u aan op de beheerconsole van VMware Identity Manager. 2 Selecteer Catalogus > Verzameling van virtuele apps. 3 Klik op Virtuele apps toevoegen en selecteer Horizon Cloud. 4 Voer een unieke naam voor de verzameling in. VMware, Inc. 58

59 5 Selecteer de connector waarmee u de bronnen op deze locatie wilt synchroniseren, uit de vervolgkeuzelijst Synchronisatieconnectoren. Als u meerdere connectoren hebt ingesteld voor hoge beschikbaarheid, klikt u op Connector toevoegen en selecteert u de connectoren. De volgorde waarin de connectoren worden vermeld, bepaalt de failovervolgorde. 6 Voer de informatie van de Horizon Cloud-tenant in het gedeelte Tenants in. Belangrijk Gebruik geen niet-ascii-tekens wanneer u uw domeingegevens opgeeft. Optie Tenanthost Beschrijving Volledig gekwalificeerde domeinnaam van uw tenanthost. Bijvoorbeeld: tenant1.example.com Tenantpoort Het poortnummer van uw tenanthost. Bijvoorbeeld: 443 Beheerder Wachtwoord beheerder Domein beheerder Domeinen die moeten worden gesynchroniseerd Gebruikersnaam voor uw tenantbeheerdersaccount. Bijvoorbeeld: tenantadmin Wachtwoord voor uw tenantbeheerdersaccount. Active Directory NETBIOS-domeinnaam waarin de tenantbeheerder zich bevindt. Active Directory NETBIOS-domeinnamen voor het synchroniseren van Horizon Cloud-bronnen en -rechten. Opmerking Dit veld is hoofdlettergevoelig. Gebruik de juiste hoofdletters of kleine letters wanneer u de namen invoert. URL van consumentenservice voor bewering De URL waar de SAML-verklaring moet worden geplaatst. Deze URL is standaard de URL voor het zwevende IP-adres of Access Point van de Horizon Cloud-tenant. Bijvoorbeeld: VMware, Inc. 59

60 Optie True SSO ingeschakeld voor Horizon Cloud Toewijzing aangepaste ID Beschrijving Selecteer deze optie als True SSO is ingeschakeld voor de Horizon Cloud-tenant. Wanneer True SSO in de Horizon Cloud-tenant is ingeschakeld, hebben gebruikers geen wachtwoord nodig om zich aan te melden op hun Windowscomputers. Als gebruikers echter zijn aangemeld op de VMware Identity Manager met behulp van een verificatiemethode zonder wachtwoord, zoals SecurID, wanneer ze hun Windows-desktops opstarten, worden ze om een wachtwoord gevraagd. U kunt deze optie selecteren om te voorkomen dat in dat scenario een wachtwoorddialoogvenster wordt weergegeven aan gebruikers. U kunt de gebruikers-id aanpassen die wordt gebruikt in het SAML-antwoord wanneer gebruikers Horizon Cloud-applicaties en -desktops starten. Standaard wordt UserPrincipalName gebruikt. U kunt er ook voor kiezen om andere opmaken voor de naam-id te gebruiken zoals SAMAccountName of adres en de waarde aanpassen. Optie Opmaak Naam-ID Waarde Naam-ID Beschrijving Selecteer de opmaak voor de naam-id, zoals adres of UserPrincipalName. De standaardwaarde is Niet opgegeven (gebruikersnaam). Klik op Selecteren uit suggesties en kies uit een vooraf gedefinieerde lijst met waarden of klik op Aangepaste waarde en voer de waarde in. De standaardwaarde is $ {user.userprincipalname}. De mogelijkheid om de opmaak voor de naam-id te selecteren is handig in scenario's zoals de volgende: Wanneer gebruikers uit meerdere subdomeinen worden gesynchroniseerd, werkt UserPrincipalName mogelijk niet. U kunt andere opmaken voor de naam-id zoals SAMAccountName of adres gebruiken om gebruikers op unieke wijze te identificeren. Belangrijk Zorg ervoor dat de instelling voor de opmaak van de naam-id dezelfde is in Horizon Cloud en VMware Identity Manager. Bijvoorbeeld: VMware, Inc. 60

61 7 Als u een andere Horizon Cloud-tenant wilt toevoegen aan de verzameling, klikt u op Tenant toevoegen en voert u de configuratiegegevens voor de tenant in. 8 Selecteer in de vervolgkeuzelijst Standaardclient voor starten de standaardclient waarin u Horizon Cloud-applicaties of -desktops wilt starten. Optie GEEN BROWSER SYSTEEMEIGEN Beschrijving Er wordt geen standaardvoorkeur ingesteld op beheerdersniveau. Als deze optie is ingesteld op Geen en er ook geen gebruikersvoorkeur is ingesteld, wordt de Horizon Cloud-instelling Default Protocol (Standaardprotocol) gebruikt om te bepalen hoe de desktop of applicatie moet worden gestart. Horizon Cloud-desktops en -applicaties worden standaard gestart in een webbrowser. Als er eindgebruikersvoorkeuren zijn ingesteld, overschrijven die voorkeuren deze instelling. Horizon Cloud-desktops en -applicaties worden standaard gestart in de Horizon Client. Als er eindgebruikersvoorkeuren zijn ingesteld, overschrijven die voorkeuren deze instelling. Deze instelling is van toepassing op alle gebruikers voor alle Horizon Cloud-bronnen in deze verzameling. De volgende volgorde van prioriteit (gerangschikt van hoog naar laag) bepaalt de gebruikte instelling voor de standaardclient: a b De voorkeursinstelling van de eindgebruiker, ingesteld in de Workspace ONE-portal. Deze optie is niet beschikbaar in de Workspace ONE-app. Beheerdersinstelling Standaardclient voor starten voor de verzameling, ingesteld in de VMware Identity Manager-console. VMware, Inc. 61

62 c Horizon Cloud-instellingen voor standaardprotocol. 9 Selecteer in het vervolgkeuzemenu Synchronisatiefrequentie hoe vaak u de bronnen in deze verzameling wilt synchroniseren. U kunt een planning voor regelmatig synchroniseren instellen, of u kunt handmatig synchroniseren. Als u Handmatig selecteert, klikt u op Synchroniseren op de pagina Catalogus > Verzameling van virtuele apps nadat u de verzameling hebt ingesteld en elke keer dat uw Horizon Cloud-bronnen of - rechten zijn gewijzigd. 10 Selecteer in de vervolgkeuzelijst Activeringsbeleid op welke manier Horizon Cloud-bronnen beschikbaar worden gesteld voor gebruikers in Workspace ONE. Zowel met de optie Door gebruiker geactiveerd als met de optie Automatisch worden de bronnen toegevoegd aan de pagina Catalogus. Gebruikers kunnen de bronnen op de pagina Catalogus gebruiken of ze verplaatsen naar de pagina Bladwijzers. Als u echter een goedkeuringswerkstroom voor een van de apps wilt instellen, moet u Door gebruiker geactiveerd voor die app selecteren. Het activeringsbeleid dat u op deze pagina selecteert, is van toepassing op alle gebruikersrechten voor alle bronnen in de verzameling. U kunt het activeringsbeleid voor afzonderlijke gebruikers of groepen per bron aanpassen, via de applicatie of de pagina Rechten van de desktop. U wordt aanbevolen het activeringsbeleid voor de verzameling in te stellen op Door gebruiker geactiveerd als u van plan bent een goedkeuringswerkstroom in te stellen. 11 Klik op Opslaan. De verzameling is gemaakt en wordt weergegeven op de pagina Verzameling van virtuele apps. 12 Als u de bronnen en rechten in de verzameling wilt synchroniseren, klikt u op Synchroniseren op de pagina Verzameling van virtuele apps. Elke keer dat bronnen of rechten in Horizon Cloud worden gewijzigd, is een synchronisatie vereist om de wijzigingen door te voeren in VMware Identity Manager. Wat nu te doen Configureer SAML-verificatie in de Horizon Cloud-tenant om vertrouwen tussen de VMware Identity Manager-service en de Horizon Cloud-tenant in te schakelen. SAML-verificatie configureren in de Horizon Cloud -tenant Nadat u een verzameling van virtuele apps voor de Horizon Cloud-tenant in de VMware Identity Managerbeheerconsole hebt gemaakt, configureert u SAML-verificatie in de Horizon Cloud-tenant. Opmerking Voor het Horizon Cloud-tenant-apparaat en VMware Identity Manager geldt tijdsynchronisatie. Wanneer er geen tijdsynchronisatie is toegepast en u Horizon Cloud-desktops en - applicaties probeert te starten, verschijnt een bericht Ongeldige SAML. Procedure 1 Selecteer Catalogus > Instellingen in de VMware Identity Manager-beheerconsole. VMware, Inc. 62

63 2 Selecteer SAML-metadata in het linkerdeelvenster. 3 Klik op de koppeling Metagegevens voor identiteitsprovider. 4 Noteer de URL die op de adresbalk van de browser wordt weergegeven, zoals 5 Meld u aan bij de Horizon Cloud-tenant. 6 Navigeer naar Instellingen > Algemene instellingen > Bewerken. 7 Voer de vereiste informatie in het gedeelte IDM in. Optie IDM URL Time-out van SSO-token Datacenter Adres van tenant Beschrijving De URL van de IdP-metagegevens van VMware Identity Manager die u hebt gekopieerd in stap 4. (Optioneel) De duur in minuten waarna het SSO-token vervalt. De naam van het Horizon Cloud-datacenter. Bijvoorbeeld: Horizon. Het adres van de Horizon Cloud-tenant. Geef het zwevende IP-adres of de hostnaam op, of het IP-adres of de hostnaam van het Access Point van de Horizon Cloud-tenantappliance. Bijvoorbeeld: mijntenant.example.com. De integratie is voltooid. U kunt nu de pools van Horizon Cloud-desktops en -applicaties in de VMware Identity Manager-beheerconsole bekijken en eindgebruikers kunnen de bronnen waarvoor zij rechten hebben starten. Details over pools van Horizon Cloud -desktops en - applicaties bekijken In de VMware Identity Managerbeheerconsole kunt u informatie over de gesynchroniseerde pools van Horizon Cloud-desktops en -applicaties bekijken. Procedure 1 Meld u aan op de beheerconsole. 2 Selecteer Catalogus > Applicatiecatalogus. 3 Klik op Elk toepassingstype en selecteer Horizon Cloud-desktops of Horizon Cloudtoepassingen. 4 Selecteer een desktopgroep of een applicatiesgroep. VMware, Inc. 63

64 5 Klik op Details. De kenmerken die van de Horizon Cloud-tenant zijn opgehaald, worden weergegeven. Raadpleeg de Horizon Cloud-documentatie voor meer informatie over deze kenmerken. Gebruikers- en groepsrechten voor Horizon Cloud - desktops en -applicaties bekijken In de VMware Identity Manager-beheerconsole kunt u de Horizon Cloud-rechten voor specifieke gebruikers en groepen bekijken. Gebruikers- en groepsrechten voor Horizon Cloud-bronnen worden ingesteld in de beheerinterface van de Horizon Cloud-tenant en kunnen niet worden gewijzigd in de VMware Identity Managerbeheerconsole. Vereisten Voor de laatste updates synchroniseert u bronnen en rechten handmatig van de Horizon Cloud-tenants naar VMware Identity Manager door op Synchroniseren te klikken voor de Horizon Cloud-verzameling op de pagina Verzameling van virtuele apps. Procedure 1 Meld u aan op de beheerconsole van VMware Identity Manager. 2 Geef de gebruikers- en groepsrechten voor Horizon Cloud-desktops en -applicaties weer. Optie Geef een lijst weer van gebruikers en groepen die rechten hebben voor een specifieke pool van Horizon Clouddesktops of -applicaties. Geef een lijst weer van rechten voor een pool van Horizon Cloud-desktops en -applicaties voor een specifieke gebruiker of groep. Actie a Klik op Catalogus > Toepassingscatalogus. b Klik op Elk toepassingstype > Horizon Cloud-desktops of Horizon Cloudtoepassingen. c Selecteer de groep waarvoor u de rechten wilt weergeven. Het tabblad Rechten is standaard geselecteerd. Groepsrechten en gebruikersrechten worden vermeld in aparte tabellen. a Klik op het tabblad Gebruikers en groepen. b Klik op het tabblad Gebruikers of het tabblad Groepen. c Klik op de naam van een individuele gebruiker of groep. d Klik op het tabblad Apps. Horizon Cloud-desktopgroepen en -applicatiesgroeps waarvoor de gebruiker of groep rechten heeft, worden in de lijst vermeld. Toegangsbeleid instellen voor specifieke applicaties en desktops Het ingestelde standaardtoegangsbeleid is van toepassing op alle applicaties en desktops in uw catalogus. U kunt ook toegangsbeleid voor individuele applicaties of desktoppools instellen, dat het standaardtoegangsbeleid overschrijft. VMware, Inc. 64

65 U kunt een toegangsbeleid toepassen op een of meer applicaties en desktops op de beleidspagina of het toegangsbeleid voor een specifieke applicatie selecteren op de configuratiepagina's voor applicaties. Raadpleeg de handleiding Beheer VMware Identity Manager voor meer informatie over toegangsbeleid. Procedure 1 Volg deze stappen als u via de beleidspagina een toegangsbeleid wilt toepassen op applicaties en desktops. a b c d e Navigeer naar de pagina Identiteits- en toegangsbeheer > Beheren > Beleidsregels. Klik op een beleid om het te bewerken of klik op Beleid toevoegen om een nieuw beleid te maken. Bewerk of definieer het beleid op de beleidspagina. Geef in het gedeelte IP-bereiken de IP-bereiken op waarop u de instellingen wilt toepassen. Klik op Opslaan. 2 Selecteer deze stappen als u een toegangsbeleid voor een specifieke applicatie wilt selecteren op de configuratiepagina voor de applicatie. a b c d Klik op Catalogus > Toepassingscatalogus. Klik op de applicatie. Klik in het linkerdeelvenster op Toegangsbeleid. Selecteer het toegangsbeleid voor de applicatie en klik op Opslaan. Een Horizon Cloud -desktop of -applicatie gebruiken Eindgebruikers kunnen Horizon Cloud-desktops en -applicaties waarvoor ze rechten hebben, uitvoeren vanuit de Workspace ONE-portal of -app. Een applicatie of desktop kan worden uitgevoerd in de Horizon Client of in een browser, afhankelijk van hoe de applicatie of desktop is geconfigureerd in de Horizon Cloud-tenant. Voor applicaties of desktops die alleen zijn geconfigureerd voor de Horizon Client, moeten gebruikers de Horizon Client op hun systemen installeren. Voor applicaties en desktops die zijn geconfigureerd voor de Horizon Client en browsers, kunnen gebruikers de startmethode selecteren. Gebruikers kunnen ook hun standaardstartvoorkeur instellen op de pagina Voorkeuren in de Workspace ONE-portal. Deze gebruikersvoorkeur overschrijft elke andere startvoorkeur die is ingesteld op beheerdersniveau. Opmerking Gebruikers kunnen geen standaardstartvoorkeur instellen in de Workspace ONE-app. VMware, Inc. 65

66 Vereisten Wellicht moeten gebruikers de Horizon Client installeren, afhankelijk van hoe de applicatie of desktop is geconfigureerd in de Horizon Cloud-tenant. Zie voor ondersteunde versies van Horizon Client de VMware Product Interoperability Matrix via Procedure 1 Meld u aan bij de Workspace ONE-portal. 2 Klik op Openen in de desktop of applicatie die u wilt gebruiken, selecteer de startmethode en klik op Openen. Opmerking Afhankelijk van de manier waarop de desktop of applicatie is geconfigureerd, en uw voorkeur, moet u mogelijk de Horizon Client op uw systeem installeren. VMware, Inc. 66

67 Toegang geven tot VMware 6 ThinApp-pakketten Met VMware Identity Manager kunt u ThinApp-pakketten centraal distribueren en beheren. ThinApppakketten zijn gevirtualiseerde Windows-applicaties en worden gebruikt op Windows-systemen. Gemachtigde gebruikers die de VMware Identity Manager Desktop-applicatie hebben geïnstalleerd op hun Windows-systemen, kunnen de ThinApp-pakketten waarvoor zij rechten hebben op die Windowssystemen starten en gebruiken. In de aanpassings- en bouwprocedures van ThinApp maakt u een virtuele applicatie vanuit een Windowsapplicatie. Die gevirtualiseerde Windows-applicatie kan op een Windows-systeem worden uitgevoerd zonder dat de oorspronkelijke Windows-applicatie geïnstalleerd hoeft te zijn. Het ThinApp-pakket is de reeks virtuele applicatiebestanden die is gegenereerd door de aanpassings- en bouwprocedures van ThinApp in een Windows-applicatie. Het pakket omvat het primaire gegevensbestand en de instappuntbestanden om toegang te krijgen tot de Windows-applicatie. Niet elk ThinApp-pakket is compatibel met VMware Identity Manager. Wanneer u een Windows-applicatie vastlegt, wordt door de standaardinstellingen tijdens het ThinApp-proces voor vastleggen en bouwen een pakket gemaakt dat niet via VMware Identity Manager kan worden gedistribueerd en beheerd. U maakt een ThinApp-pakket dat VMware Identity Manager kan verspreiden en beheren door de juiste parameters in te stellen tijdens de aanpassings- en bouwprocedures. Raadpleeg de VMware ThinApp-documentatie voor uitgebreide informatie over ThinApp-functies en de juiste parameters om een pakket te maken dat compatibel is met VMware Identity Manager. Nadat u VMware Identity Manager met uw ThinApp-opslagplaats hebt geïntegreerd, kunt u in uw catalogus die ThinApp-pakketten in de opslagplaats zien die door VMware Identity Manager kunnen worden gedistribueerd en beheerd. Wanneer de ThinApp-pakketten in uw VMware Identity Manager catalogus worden weergegeven, kunt u gebruikers en groepen rechten voor die ThinApp-pakketten geven en optioneel informatie voor het volgen van licenties voor elk pakket configureren. Opmerking ThinApp-integratie wordt momenteel alleen ondersteund met de Linux-gebaseerde connector. Deze wordt niet ondersteund met de Windows-gebaseerde connector. Dit hoofdstuk omvat de volgende onderwerpen: VMware ThinApp-pakketten integreren Gebruikers en groepen rechten verlenen voor ThinApp-pakketten ThinApp-pakketten verspreiden en beheren met VMware Identity Manager VMware, Inc. 67

68 Beheerde ThinApp-pakketten bijwerken na implementatie in VMware Identity Manager ThinApp-pakketten verwijderen uit VMware Identity Manager Bestaande ThinApp-pakketten compatibel maken met VMware Identity Manager Gedeelde map wijzigen van ThinApp-pakketten Toegangsbeleid instellen voor specifieke applicaties en desktops VMware ThinApp-pakketten integreren Als u VMware Identity Manager wilt gebruiken om applicaties in VMware ThinApp te verspreiden en te beheren, moet u over een ThinApp-opslagplaats beschikken die de ThinApp-pakketten bevat, naar die opslagplaats verwijzen en de pakketten synchroniseren. Nadat de synchronisatieprocedure is voltooid, zijn de ThinApp-pakketten beschikbaar in uw VMware Identity Manager-catalogus en kunt u ze geschikt maken voor uw VMware Identity Manager-gebruikers en -groepen. ThinApp biedt virtualisatie van applicaties door een applicatie los te koppelen van het onderliggende besturingssysteem en de bibliotheken en raamwerk, en door de applicatie te bundelen in één uitvoerbaar bestand, een applicatiespakket genoemd. Als u deze pakketten wilt beheren met VMware Identity Manager, moeten de juiste opties worden ingeschakeld. In de ThinApp Setup Capturewizard kunt u bijvoorbeeld het selectievakje Beheren met Workspace aanvinken. Voor meer informatie over ThinApp-functies en hoe u uw applicaties kunt instellen voor beheer met VMware Identity Manager, raadpleegt u de VMware ThinApp-documentatie. Doorgaans voert u de stappen uit om VMware Identity Manager te verbinden met de opslagplaats en de pakketten te synchroniseren als onderdeel van de algehele instelling en configuratie van uw VMware Identity Manager-omgeving. De ThinApp-opslagplaats moet een netwerkshare zijn die toegankelijk is voor VMware Identity Manager en gebruikmaakt van een UNC-pad (Uniform Naming Convention). VMware Identity Manager wordt regelmatig met deze netwerkshare gesynchroniseerd om de metagegevens van het ThinApp-pakket te verkrijgen die VMware Identity Manager nodig heeft om de pakketten te verspreiden en te beheren. Zie VMware Identity Manager-vereisten voor ThinApp-pakketten en de opslagplaats netwerkshare. De netwerkshare kan een Common Internet File System- (CIFS) of een Distributed File System-share (DFS) zijn. De DFS-share kan een enkele Server Message Block-bestandsshare (SMB) of meerdere SMB-bestandsshares zijn, ingedeeld als Distributed File System. CIFS- en DFS-shares die worden uitgevoerd op NetApp-opslagsystemen, worden ondersteund. VMware Identity Manager -vereisten voor ThinApp-pakketten en de opslagplaats netwerkshare Wanneer u ThinApp-applicaties vastlegt en opslaat om deze te verspreiden via VMware Identity Manager, moet aan bepaalde vereisten worden voldaan. VMware, Inc. 68

69 Vereisten voor de ThinApp-pakketten Om ThinApp-pakketten te maken of om er opnieuw een pakket van te maken die VMware Identity Manager kan beheren, moet u een versie van ThinApp gebruiken die VMware Identity Manager ondersteunt. VMware Identity Manager ondersteunt ThinApp en later. Zie voor bijgewerkte informatie over de ondersteunde versies de VMware-productinteroperabiliteitsmatrices via U moet over ThinApp-pakketten beschikken die VMware Identity Manager kan beheren. In het vastleggen-en-bouwen-proces voor ThinApp kunt u pakketten maken die VMware Identity Manager kan beheren, of pakketten maken die deze niet kan beheren. Wanneer u bijvoorbeeld de wizard ThinApp Setup Capture gebruikt om een applicatie vast te leggen, kunt u een pakket maken die VMware Identity Manager kan beheren door het selectievakje Beheren met Workspace te selecteren. Raadpleeg de VMware ThinApp-documentatie voor uitgebreide informatie over ThinApp-functies en de juiste parameters om een pakket te maken dat compatibel is met VMware Identity Manager. Voor bestaande ThinApp-pakketten kunt u de opdracht relink - h gebruiken om pakketten in te schakelen voor VMware Identity Manager. Voor informatie over het converteren van bestaande ThinApppakketten in pakketten die VMware Identity Manager kan beheren, kunt u de Beheergids voor VMware Identity Manager raadplegen. U moet de ThinApp-pakketten opslaan op een netwerkshare die voldoet aan de vereisten voor de combinatie van het type netwerkshare, toegang tot de opslagplaats en de gewenste implementatiemodus van het ThinApp-pakket afgestemd op de behoeften van uw organisatie. Vereisten voor de opslagplaats van de netwerkshare De ThinApp-pakketten moeten zich op een netwerkshare bevinden, ook wel de opslagplaats van de ThinApp-pakketten genoemd. De netwerkshare moet toegankelijk zijn via een Uniform Naming Convention (UNC)-pad vanaf elk systeem waarop de VMware Identity Manager Desktop-applicatie wordt uitgevoerd die wordt gebruikt om de ThinApp-pakketten te openen. Een netwerkshare met de naam appshare op een host met de naam server is bijvoorbeeld toegankelijk via het UNCpad \\server\appshare. De volledige gekwalificeerde hostnaam van de map netwerkshare moet oplosbaar zijn via VMware Identity Manager. De netwerkshare kan een Common Internet File System- (CIFS) of een Distributed File System-share (DFS) zijn. De DFS-share kan een enkele Server Message Block-bestandsshare (SMB) of meerdere SMB-bestandsshares zijn, ingedeeld als Distributed File System. CIFS- en DFS-shares die worden uitgevoerd op NetApp-opslagsystemen, worden ondersteund. De netwerkshare moet voldoen aan de betreffende criteria voor het type toegang dat u configureert voor VMware Identity Manager voor toegang tot de opslagplaats van het ThinApp-pakket: toegang op basis van domeinen of toegang op basis van accounts. Het type toegang bepaalt de toegestane combinaties voor de volgende items: Of u CIFS-netwerkshare, of een DFS-netwerkshare voor de opslagplaats van het ThinApp-pakket gebruikt. VMware, Inc. 69

70 Of u VMware Identity Manager en de host van de netwerkshare aan dezelfde Active Directory-domein moet toevoegen. Of het Windows-systeem van de gebruiker moet worden toegevoegd aan het Active Directory-domein om ThinApp-pakketten te gebruiken. Of de installatiemodus van het ThinApp-pakket waarop de geïnstalleerde VMware Identity Manager Desktop-applicatie is ingesteld om gevirtualiseerde applicaties op het Windows-systeem waarop de applicatie is geïnstalleerd, te verkrijgen en uit te voeren. Of de installatiemodus van het pakket dat wordt gebruikt op het Windows-systeem van gebruiker is ingesteld tijdens het installatieproces wanneer de VMware Identity Manager Desktop-applicatie werd geïnstalleerd op dat Windowssysteem. Deze installatiemodus voor het pakket bepaalt de modus voor de implementatie van ThinApp die wordt gebruikt door dat Windows-systeem, de downloadmodus of de streamingmodus. VMware, Inc. 70

71 Toegangstype Type netwerkshare Vereisten op VMware Identity Manager Vereisten voor het Windows-systeem van gebruikers Toegang op basis van domeinen U kunt een CIFSshare gebruiken voor uw opslagplaats voor ThinApp-pakketten wanneer u toegang op basis van domeinen gebruikt. U kunt een DFSshare niet gebruiken voor toegang op basis van domeinen. Wanneer u een DFS-share gebruikt, moet u toegang op basis van accounts gebruiken. U moet VMware Identity Manager toevoegen aan het Active Directorydomein zodat deze kan worden toegevoegd aan de Windowsnetwerkshare en toegang heeft tot de pakketten. Voor meer informatie over hoe u VMware Identity Manager configureert om aan het domein te worden toegevoegd, kunt u de informatie over het configureren van Kerberos raadplegen in Installatie en configuratie van VMware Identity Manager. Opmerking Windows-verificatie is niet vereist. De netwerkshare moet verificatie en bestandsrechten ondersteunen die op computeraccounts zijn gebaseerd. VMware Identity Manager opent de netwerkshare met de computeraccount van VMware Identity Manager in het domein. De map van de netwerkshare en de bestandsrechten moeten zo worden geconfigureerd dat de combinatie van rechten leestoegang toestaat voor het computeraccount van VMware Identity Manager in het domein. Het Windows-systeem van de gebruiker moet worden toegevoegd aan het Active Directorydomein voordat gebruikers ThinApp-pakketten waarvoor zij rechten hebben, kunnen gebruiken. De volgende systemen moeten allemaal worden toegevoegd aan hetzelfde domein: Het Windows-systeem van gebruikers VMware Identity Manager De host van het station voor de netwerkshare met de ThinApp-pakketten Wanneer u toegang op basis van domeinen gebruikt, zijn de volgende installatiemodi voor ThinApp-pakketten toegestaan: COPY_TO_LOCAL. Wanneer deze installatiemodus wordt gebruikt, worden pakketten naar het client-windows-systeem gedownload. Deze installatiemodus komt overeen met het gebruik van de ThinAppdownloadmodus voor de gevirtualiseerde applicatie. Het account dat wordt gebruikt om aan te melden op het client-windowssysteem is het gebruikersaccount dat wordt gebruikt om de pakketten van de netwerkshare te kopiëren naar het client- Windows-systeem, en dat account moet rechten hebben om de pakketten te lezen en om de bestanden van de netwerkshare te kopiëren. Als het pakket is gedownload op het client-windows-systeem en de gebruiker het pakket start, wordt de gevirtualiseerde applicatie lokaal op het client-windowssysteem uitgevoerd. RUN_FROM_SHARE. Wanneer deze installatiemodus wordt gebruikt, worden pakketten niet naar het client-windowssysteem gedownload. Een gebruiker start de pakketten met de sneltoetsen op de lokale desktop, en de gevirtualiseerde applicaties worden via de netwerkshare uitgevoerd met behulp van de ThinApp-streamingmodus. Het account dat wordt gebruikt om aan te melden op het client-windows-systeem is het gebruikersaccount dat wordt gebruikt om VMware, Inc. 71

72 Toegangstype Type netwerkshare Vereisten op VMware Identity Manager Vereisten voor het Windows-systeem van gebruikers de pakketten van de netwerkshare uit te voeren, en dat account moet rechten hebben om bestanden te lezen en uit te voeren via de netwerkshare. Opmerking RUN_FROM_SHARE is het meest geschikt voor Windows-systemen die altijd verbinding hebben met de netwerkshare van ThinApp-pakketten. Windows-systemen die het beste voldoen aan deze omschrijving zijn View-desktops omdat deze altijd verbonden zijn met hun domein. View-desktops, zwevend of stateloos, kunnen het beste RUN_FROM_SHARE gebruiken om brongebruik inherent aan het downloaden van de pakketten op het Windows-systeem, te voorkomen. Standaard is de installatiemodus COPY_TO_LOCAL ingesteld als de standaard installatiemodus wanneer u de VMware Identity Manager Desktop-applicatie installeert op een Windows-systeem door de grafische versie van het client-installatieprogramma uit te voeren. Wanneer u een andere installatiemodus als standaard installatiemodus voor de pakketten wilt instellen, moet u de client-installatie uitvoeren met de opdrachtregel. Zie de Opdrachtregelopties van installatieprogramma voor VMware Identity Manager Desktop. Belangrijk Voor de modus HTTP_DOWNLOAD moet de IDP URL bereikbaar zijn op de Windows-machine van de gebruiker. Voor de modussen RUN_FROM_SHARE en COPY_TO_LOCAL moet de ThinApp share bereikbaar zijn op de Windows-machine van de gebruiker. Toegang op basis van accounts U kunt een CIFSshare of een DFSshare gebruiken voor uw opslagplaats voor ThinApp-pakketten wanneer u toegang op basis van accounts gebruikt. U moet VMware Identity Manager configureren om een gebruiker delen-account en wachtwoord te gebruiken om toegang te krijgen tot de netwerkshare en de pakketten. Het gebruiker delen-account en wachtwoord is een willekeurige combinatie met leestoegang tot het UNC-pad naar de map netwerkshare. Het Windows-systeem van de gebruiker hoeft niet te worden toegevoegd aan het Active Directory-domein voordat gebruikers ThinApppakketten waarvoor zij rechten hebben, kunnen gebruiken. Windows-verificatie is niet vereist. Het Windows-systeem van de gebruiker, VMware Identity Manager, en de host van de netwerkshare met de ThinApp-pakketten hoeven niet te worden toegevoegd aan hetzelfde Active Directory-domein. VMware, Inc. 72

73 Toegangstype Type netwerkshare Vereisten op VMware Identity Manager Vereisten voor het Windows-systeem van gebruikers U hoeft VMware Identity Manager niet toe te voegen aan het Active Directory-domein om toegang te hebben tot de netwerkshare. Wanneer toegang op basis van accounts is geconfigureerd, zijn de volgende installatiemodi voor ThinApp-pakketten toegestaan. Als het Windows-systeem van de gebruiker Opmerking In de Beheerconsole moet u de pagina Aan domein toevoegen invullen voordat u de pagina ThinApp-pakketten kunt gebruiken. Opmerking Wanneer u NetAppdelen gebruikt, is toegang op basis van accounts een vereiste. niet aan het domein is toegevoegd, moet de client de installatiemodus HTTP_DOWNLOAD gebruiken om de gevirtualiseerde applicatie te verkrijgen. Deze installatiemodus komt overeen met het gebruik van de ThinApp-downloadmodus voor de gevirtualiseerde applicatie. VMware Identity Manager gebruikt het gebruiker delen-account om de pakketten uit de opslagplaats te halen. Als de gebruiker het Windows-systeem toevoegt aan het domein, kan de client de installatiemodus COPY_TO_LOCAL of de installatiemodus RUN_FROM_SHARE gebruiken om de ThinApp-pakketten waarvoor de gebruiker rechten heeft uit te voeren. Het account dat wordt gebruikt om aan te melden op het client-windowssysteem is het gebruikersaccount dat wordt VMware, Inc. 73

74 Toegangstype Type netwerkshare Vereisten op VMware Identity Manager Vereisten voor het Windows-systeem van gebruikers gebruikt om de pakketten van de netwerkshare te verkrijgen, en dat account moet juiste rechten hebben voor de netwerkshare. Als het Windows-systeem de ene keer wel wordt toegevoegd aan het domein en een andere keer niet, kunt u de client installeren met de modus COPY_TO_LOCAL met de optie AUTO_TRY_HTTP ingeschakeld als VMware Identity Manager is geconfigureerd voor toegang op basis van accounts. Wanneer deze configuratie wordt gebruikt, probeert de client eerst de modus COPY_TO_LOCAL te gebruiken om de pakketten te downloaden. Als op dat moment het Windows-systeem niet is toegevoegd aan het domein, mislukt het kopiëren van de pakketten. Maar wanneer de optie AUTO_TRY_HTTP is ingeschakeld, probeert de client direct HTTP te gebruiken om de pakketten te downloaden. De combinatie COPY_TO_LOCAL en AUTO_TRY_HTTP is standaard wanneer u de VMware Identity Manager Desktop-applicatie installeert op een Windows-systeem door de grafische versie van het clientinstallatieprogramma uit te voeren. VMware Identity Manager moet worden geconfigureerd voor toegang op basis van accounts om de pakketten succesvol te downloaden met de modus HTTP_DOWNLOAD. Belangrijk Voor de modus HTTP_DOWNLOAD moet de IDP URL bereikbaar zijn op de Windows-machine van de gebruiker. Voor de modussen RUN_FROM_SHARE en COPY_TO_LOCAL moet de ThinApp share bereikbaar zijn op de Windows-machine van de gebruiker. Bovendien, moet de opslagplaats voor ThinApp-pakketten aan de volgende criteria voldoen passend bij de beschreven situatie. Wanneer voor uw instellingen systemen moeten worden toegevoegd aan het Active Directorydomein, zorg er dan voor dat een disjuncte naamruimte voorkomt dat computers die bij dat domein horen toegang krijgen tot de netwerkshare die de host is van de ThinApp-pakketten. Een disjuncte naamruimte vindt plaats wanneer de Active Directory-domeinnaam verschilt van de DNS-naamruimte die machines in dat domein gebruiken. Het netwerksharebestand en de bestandsrechten moeten zo worden geconfigureerd dat er leestoegang is en dat gebruikers waarvoor u de ThinApp-applicaties wilt uitvoeren via de optie COPY_TO_LOCAL of RUN_FROM_SHARE de applicaties kunnen uitvoeren. VMware, Inc. 74

75 Voor bijvoorbeeld de Active Directory-gebruikersaccounts van gebruikers waarvoor u de ThinAppapplicaties in de streamingmodus wilt uitvoeren, stelt u de rechten voor Gedeelde map in op Lezen en de NTFS-rechten in op Lezen en uitvoeren zodat deze gebruikers leestoegang hebben en de applicaties kunnen uitvoeren. De instelling Lezen en uitvoeren van NTFS-rechten is vereist om een ThinApp-applicatie uit te voeren met de ThinApp-streamingmodus die overeenkomt met de installatiemodus RUN_FROM_SHARE van VMware Identity Manager Desktop. Wanneer voor uw organisatie de NTFS-rechten moeten worden ingesteld op Lezen kunnen uw gebruikers de ThinAppdownloadmodus gebruiken voor de gevirtualiseerde applicatie. De ThinApp-downloadmodus komt overeen met het installeren van de Windows-client met de installatiemodus COPY_TO_LOCAL of met de installatiemodus HTTP_DOWNLOAD. De applicaties worden naar de Windows-systemen gedownload en lokaal gestart, ongeacht welke van deze installatiemodi wordt gebruikt. Voor zowel een CIFS- als een DFS-netwerkshare geldt dat de ThinApp-pakketten moeten zijn ondergebracht in afzonderlijke submappen in een map onder de naamruimte en niet in submappen onder de naamruimte zelf, zoals \\server\appshare\thinapp1, \\server\appshare\thinapp2. Zie Maak een netwerkshare voor ThinApp-pakketten die worden beheerd door VMware Identity Manager. Maak een netwerkshare voor ThinApp-pakketten die worden beheerd door VMware Identity Manager Wanneer u de VMware ThinApp-beheermogelijkheden van VMware Identity Manager wilt inschakelen en gebruikers toestaan om ThinApp-pakketten via de catalogus te openen, moet u een netwerksharemap maken en de ThinApp-pakketten in die map opslaan. VMware Identity Manager verkrijgt de benodigde metadata over de ThinApp-pakketten via netwerkfileshare. Vereisten Verifieer of de ThinApp-pakketten voldoen aan de vereisten van VMware Identity Manager. Verifieer of u beschikt over de betreffende toegang en rechten om een netwerkfileshare te maken in uw IT-omgeving dat voldoet aan de VMware Identity Manager-vereisten voor ThinApp-pakketten. Procedure 1 Maak een netwerkshare die voldoet aan de VMware Identity Manager-vereisten voor ThinApppakketten. VMware, Inc. 75

76 2 In de netwerkshare maakt u een submap voor netwerkshare voor elk ThinApp-pakket. Doorgaans geeft u de submap een naam die overeenkomt met de naam van de ThinApp-applicatie, of geeft u aan welke applicatie in de map staat. Als de netwerkshare appshare wordt genoemd op een host met de naam server, en als de applicatie abceditor wordt genoemd, is de submap van het ThinApp-pakket \\server\appshare\abceditor. Opmerking Gebruik geen niet-ascii-tekens wanneer u uw submapnamen voor netwerkshares maakt die ThinApp-pakketten kunnen verspreiden door VMware Identity Manager te gebruiken. Niet- ASCII-tekens worden niet ondersteund. 3 Voor elk ThinApp-pakket kopieert u de bijbehorende bestanden, zoals de EXE- en DAT-bestanden, naar de submap met de naam voor de gevirtualiseerde applicatie voor dat pakket. Wanneer u de bestanden hebt gekopieerd, hebt u een set submappen en bestanden die lijken op deze bestanden: \\server\appshare\abceditor\abceditor.exe \\server\appshare\abceditor\abceditor.dat Wat nu te doen Configureer toegang via VMware Identity Manager tot ThinApp-pakketten VMware Identity Manager -toegang configureren tot ThinApppakketten Als u VMware Identity Manager wilt configureren om gebruikers toegang te geven tot ThinApp-pakketten, moet u een verzameling van virtuele apps maken die configuratiegegevens zoals het pad naar de opslaglocatie van de pakketten, de connector voor synchronisatie en het synchronisatieschema bevat. U kunt slechts één verzameling van virtuele apps maken voor alle ThinApps-integraties. Vereisten Maak een netwerkshare met de juiste configuratie en sla de ThinApp-pakketten op de juiste locatie in deze netwerkshare. Zie Maak een netwerkshare voor ThinApp-pakketten die worden beheerd door VMware Identity Manager. Verifieer of het UNC-pad naar de netwerksharemap leidt waarin de ThinApp-pakketten zijn opgeslagen. Als de connector nog niet is toegevoegd aan een domein, controleert u of u beschikt over een Active Directory-domeinnaam en de gebruikersnaam en het wachtwoord van een account in die Active Directory dat de rechten heeft om te worden toegevoegd aan het domein. Zelfs wanneer u toegang op accountbasis gebruikt, vereist Beheerconsole dat de pagina Aan domein toevoegen volledig wordt ingevuld voordat u de pagina ThinApp-pakketten kunt gebruiken. VMware, Inc. 76

77 Om toegang op basis van domeinen in te schakelen, moet u ook VMware Identity Manager toevoegen aan hetzelfde Active Directory-domein waaraan de opslagplaats van het ThinApp-pakket wordt toegevoegd. Controleer of u beschikt over een Active Directory-domeinnaam voor het domein dat de netwerkshare gebruikt en de gebruikersnaam en het wachtwoord van een account in die Active Directory dat de rechten heeft om te worden toegevoegd aan het domein. Het Active Directoryaccount wordt gebruikt om VMware Identity Manager toe te voegen aan het domein. Wanneer u toegang op basis van accounts inschakelt, verifieert u of u beschikt over een gebruikersnaam en een wachtwoord die toestemming geven om de netwerkshare te lezen. Zie VMware Identity Manager-vereisten voor ThinApp-pakketten en de opslagplaats netwerkshare. Opmerking U dient behalve toegang op basis van domeinen ook toegang op basis van accounts in te schakelen, behalve wanneer u het gebruik van ThinApp-pakketten op Windows-systemen voor alle runtimesituaties wilt beperken. Deze combinatie zorgt voor de grootst mogelijke flexibiliteit in het ondersteunen van runtimesituaties waarin gebruikers de ThinApp-pakketten waarvoor zij rechten hebben moeten gebruiken zonder dat hun Windows-systemen moeten worden toegevoegd aan het domein. Procedure 1 (Alleen Linux virtual appliance van VMware Identity Manager) Als de connector nog niet is toegevoegd aan het domein, voegt u deze toe aan het Active Directory-domein. a b c d e Meld u aan op de beheerconsole. Selecteer het tabblad Identiteits- en toegangsbeheer. Klik op Installatie. Klik op de pagina Connectoren op Aan domein toevoegen in de betreffende connectorrij. Voer op de pagina Aan domein toevoegen de informatie in voor het Active Directory-domein en klik op Aan domein toevoegen. Belangrijk Gebruik geen niet-ascii-tekens wanneer u de Active Directory(AD)-domeinnaam, de AD-gebruikersnaam of het AD-wachtwoord invoert. In deze invoervelden in de Beheerconsole worden niet-ascii-tekens niet ondersteund. Optie AD-domein AD-gebruikersnaam AD-wachtwoord Beschrijving Voer de volledig gekwalificeerde domeinnaam (FQDN) van de Active Directory in. Een voorbeeld hiervan is HS.TRDOT.COM. Voer de gebruikersnaam in van een account in de Active Directory dat rechten heeft om systemen aan dat Active Directory-domein toe te voegen. Voer het wachtwoord in dat aan de AD-gebruikersnaam is gekoppeld. Dit wachtwoord wordt niet opgeslagen door VMware Identity Manager. De pagina Aan domein toevoegen wordt vernieuwd en geeft een bericht weer dat u momenteel aan het domein bent toegevoegd. 2 Selecteer Catalogus > Verzameling van virtuele apps. VMware, Inc. 77

78 3 Klik op Virtuele apps toevoegen en selecteer ThinApp-applicatie. 4 Voer een unieke naam voor de verzameling in. 5 Selecteer de connector waarmee u de bronnen op deze locatie wilt synchroniseren, uit de vervolgkeuzelijst Synchronisatieconnectoren. Als u meerdere connectoren hebt ingesteld voor hoge beschikbaarheid, klikt u op Connector toevoegen en selecteert u de connectoren. De volgorde waarin de connectoren worden vermeld, bepaalt de failovervolgorde. 6 Typ het pad naar de gedeelde map waarin de ThinApp-pakketten zich bevinden, in de UNCpadindeling \\server\share\subfolder in het tekstvak Pad. Bijvoorbeeld: \\DirectoryHost\ThinAppFileShare. Geef voor DirectoryHost de hostnaam en niet het IP-adres op. Voor zowel een CIFS- als DFS-netwerkshare moet dit pad een map zijn onder de naamruimte en niet de naamruimte zelf. 7 Schakel het selectievakje in om toegang op accountbasis tot de opgeslagen ThinApp-pakketten toe te staan, en voer waarden in de tekstvakken Gebruiker delen en Wachtwoord delen in. Toegang op accountbasis is in de volgende gevallen vereist: Voor NetApp-opslagsystemen en andere merken van DFS-netwerkshares Als u de HTTP-downloadimplementatiemodus gebruikt Als u wilt dat gebruikers de ThinApp-pakketten waarvoor zij rechten hebben, kunnen gebruiken op Windows-systemen die niet zijn toegevoegd aan domeinen Optie Gebruiker delen Wachtwoord delen Beschrijving Voer de gebruikersnaam in voor een gebruikersaccount met leestoegang voor de netwerkshare. Voer het wachtwoord in dat hoort bij het gebruikersaccount Gebruiker delen. 8 Selecteer in het vervolgkeuzemenu Synchronisatiefrequentie hoe vaak u de bronnen in deze verzameling wilt synchroniseren. U kunt een planning voor regelmatig synchroniseren instellen, of u kunt handmatig synchroniseren. Als u Handmatig selecteert, klikt u op Synchroniseren op de pagina Catalogus > Verzameling van virtuele apps nadat u de verzameling hebt ingesteld en telkens wanneer er een wijziging wordt aangebracht in uw ThinApp-pakketten. 9 Selecteer in de vervolgkeuzelijst Activeringstype op welke manier verpakte ThinApp-applicaties beschikbaar worden gesteld voor gebruikers in Workspace ONE. Zowel met de optie Door gebruiker geactiveerd als met de optie Automatisch worden de bronnen toegevoegd aan de pagina Catalogus. Gebruikers kunnen de bronnen op de pagina Catalogus gebruiken of ze verplaatsen naar de pagina Bladwijzers. Als u echter een goedkeuringswerkstroom voor een van de apps wilt instellen, moet u Door gebruiker geactiveerd voor die app selecteren. VMware, Inc. 78

79 Het activeringsbeleid dat u op deze pagina selecteert, is van toepassing op alle gebruikersrechten voor alle bronnen in de verzameling. U kunt het activeringsbeleid voor afzonderlijke gebruikers of groepen per bron aanpassen, via de applicatie of de pagina Rechten van de desktop. U wordt aanbevolen het activeringsbeleid voor de verzameling in te stellen op Door gebruiker geactiveerd als u van plan bent een goedkeuringswerkstroom in te stellen. 10 Klik op Opslaan. De verzameling is gemaakt en wordt weergegeven op de pagina Verzameling van virtuele apps. De applicaties zijn nog niet gesynchroniseerd. 11 Als u de applicaties in de verzameling wilt synchroniseren, klikt u op Synchroniseren naast de verzameling op de pagina Verzameling van virtuele apps. Elke keer dat ThinApp-applicaties of -rechten worden gewijzigd, is een synchronisatie vereist om de wijzigingen door te voeren in VMware Identity Manager. VMware Identity Manager is nu geconfigureerd zodat u groepen en gebruikers rechten voor ThinApppakketten kunt geven, en die gebruikers kunnen hun ThinApp-pakketten waarvoor zij rechten hebben gebruiken met de VMware Identity Manager Desktop-applicatie op hun Windows-systemen. Wat nu te doen Geef groepen en gebruikers rechten voor ThinApp-pakketten. Zie Beheer VMware Identity Manager voor meer informatie. Gebruikers en groepen rechten verlenen voor ThinApppakketten U kunt gebruikers en groepen rechten verlenen voor Windows-applicaties die als ThinApp-pakketten zijn vastgelegd. U kunt alleen VMware Identity Manager-gebruikers, gebruikers die via uw directoryserver zijn geïmporteerd, rechten verlenen voor ThinApp-pakketten. Wanneer u een gebruiker rechten verleent voor een ThinApp-pakket, kan de gebruiker de applicatie zien en kan de gebruiker deze starten via zijn of haar VMware Identity Manager Desktop-applicatie op het betreffende systeem. Wanneer u de rechten verwijdert, kan de gebruiker de applicatie niet zien en niet starten. In veel gevallen is de meest handige manier om gebruikers rechten te verlenen voor ThinApp-pakketten is rechten voor een ThinApp-pakket toevoegen aan een groep gebruikers. In sommige gevallen is het beter om afzonderlijke gebruikers rechten te verlenen voor een ThinApp-pakket. Vereisten Stel een verzameling van virtuele apps in voor ThinApp-pakketten op de pagina Catalogus > Verzameling van virtuele apps. Nadat u de verzameling hebt gemaakt, synchroniseert u de ThinApppakketten naar VMware Identity Manager. Wanneer de ThinApp-pakketten zijn gesynchroniseerd met uw catalogus, kunt u gebruikers en groepen hiervoor rechten verlenen. VMware, Inc. 79

80 Procedure 1 Meld u aan bij de Beheerconsole. 2 Verleen rechten aan gebruikers voor een ThinApp-pakket. Optie Beschrijving Open een ThinApp-pakket en verleen daar de rechten voor aan gebruikers of groepen. Open een gebruiker of een groep en voeg de rechten voor een ThinApppakket toe aan die gebruiker of groep. a b c d e f g a b c d e f g h Klik op Catalogus > Toepassingscatalogus. Klik op Elk applicatietype > ThinApp-pakketten. Klik op een ThinApp-pakket om gebruikers of groepen daarvoor rechten te verlenen. Het tabblad Rechten is standaard geselecteerd. In de ene tabel worden groepsrechten weergegeven, in de andere tabel de gebruikersrechten. Klik op Groepsrecht toevoegen of op Gebruikersrecht toevoegen. Voer de namen van de groepen of van de gebruikers in. U kunt gebruikers of groepen opzoeken door een zoekteken in te vullen en de functie automatisch aanvullen de opties te laten weergeven. U kunt op bladeren klikken om de hele lijst te bekijken. Selecteer in het vervolgkeuzemenu de activeringsmethode voor het ThinApppakket. Zowel met de optie Door gebruiker geactiveerd als met de optie Automatisch worden de bronnen toegevoegd aan de pagina Catalogus. Gebruikers kunnen de bronnen op de pagina Catalogus gebruiken of ze verplaatsen naar de pagina Bladwijzers. Als u echter een goedkeuringswerkstroom voor een van de apps wilt instellen, moet u Door gebruiker geactiveerd voor die app selecteren. Klik op Opslaan. Klik op het tabblad Gebruikers en groepen. Klik op het tabblad Gebruikers of het tabblad Groepen. Klik op de naam van een individuele gebruiker of groep. Klik op het tabblad Apps. Klik op Recht toevoegen. Selecteer in het vervolgkeuzemenu Toepassingstype de optie ThinApppakketten. Schakel de selectievakjes in naast de ThinApp-pakketten waarvoor u de gebruiker of groep rechten wilt verlenen. Selecteer in de kolom IMPLEMENTATIE de activeringsmethode voor het ThinApp-pakket. Automatisch Door gebruiker geactiveerd Gebruikers hebben de volgende keer dat zij zich aanmelden bij de VMware Identity Manager Desktopapplicatie direct toegang tot het ThinApp-pakket. Voordat gebruikers de applicatie kunnen gebruiken, moeten zij eerst het ThinApp-pakket in de VMware Identity Manager Desktop-applicatie activeren. i Klik op Opslaan. De geselecteerde gebruikers of groepen hebben nu rechten om het ThinApp-pakket te gebruiken. VMware, Inc. 80

81 Wat nu te doen Verifieer of de VMware Identity Manager Desktop-applicatie op de Windows-systemen van de gebruikers is geïnstalleerd. ThinApp-pakketten verspreiden en beheren met VMware Identity Manager Voordat uw gebruikers van VMware Identity Manager hun ThinApp-pakketten kunnen uitvoeren die op hun naam zijn geregistreerd met behulp van VMware Identity Manager, moeten die gebruikers de applicatie VMware Identity Manager Desktop hebben geïnstalleerd en uitvoeren op hun Windowssystemen. ThinApp-pakketten zijn gevirtualiseerde Windows-applicaties. De ThinApp-pakketten worden verdeeld over Windows-systemen en een gebruiker die is aangemeld op het Windows-systeem kan deze ThinApppakketten die op dat Windows-systeem staan geregistreerd, starten en uitvoeren. VMware Identity Manager kan ThinApp-pakketten verspreiden en beheren die compatibel zijn met VMware Identity Manager. Om deze gevirtualiseerde applicaties met succes te starten en uit te voeren in de aangemelde Windowssessie van de gebruiker, zijn de volgende elementen vereist: Het ThinApp-pakket van de gevirtualiseerde applicatie is geregistreerd voor het gebruik van die gebruiker door VMware Identity Manager. Een specifieke DLL is beschikbaar op dat Windows-systeem. Het proces hws-desktop-client.exe wordt uitgevoerd. Wanneer een compatibel ThinApp-pakket is gemaakt, wordt deze geconfigureerd om een specifieke DLL te laden wanneer de aangemelde gebruiker de gevirtualiseerde applicatie start in de aangemelde Windows-sessie. Al die tijd probeert de gevirtualiseerde applicatie de DLL te laden. Wanneer de DLL is geladen, probeert deze met de lokaal geïnstalleerde VMware Identity Manager Desktop-applicatie te controleren of dat ThinApp-pakket op die Windows-desktop voor die gebruiker is geregistreerd. De lokaal geïnstalleerde VMware Identity Manager Desktop-applicatie bepaalt of die applicatie voor die gebruiker is geregistreerd zonder met VMware Identity Manager te communiceren. Als de applicatie op die Windowsdesktop voor die gebruiker is geregistreerd, controleert de VMware Identity Manager Desktop-applicatie wanneer deze voor het laatst is gesynchroniseerd met VMware Identity Manager. Als de VMware Identity Manager Desktop-applicatie bevestigt dat de tijd vanaf de laatste synchronisatie binnen de geconfigureerde offline respijtperiode voor de geïnstalleerde client valt, laat de client de applicatie uitvoeren. Aangezien die DLL uitsluitend beschikbaar is op het Windows-systeem als de VMware Identity Manager Desktop-applicatie is geïnstalleerd, en omdat het proces hws-desktop-client.exe wordt uitgevoerd als de VMware Identity Manager Desktop-applicatie op dat systeem wordt uitgevoerd, moet de VMware Identity Manager Desktop-applicatie op het Windows-systeem worden geïnstalleerd om de ThinApppakketten uit te voeren die door VMware Identity Manager worden verspreid en beheerd. VMware, Inc. 81

82 De VMware Identity Manager Desktop -applicatie implementeren om ThinApp-pakketten te gebruiken De VMware Identity Manager Desktop-applicatie kan worden geïnstalleerd door te dubbelklikken op het EXE-bestand van de installer, dat het uitvoerbare bestand uitvoert met behulp van opdrachtregelopties of dat een script uitvoert dat de opdrachtregelopties gebruikt. Lokale beheerdersrechten zijn vereist om de applicatie te installeren. Voor informatie over het installeren van de VMware Identity Manager Desktopapplicatie door te dubbelklikken op het EXE-bestand van de installer, raadpleegt u de VMware Identity Manager Gebruikershandleiding. De configuratie van de geïnstalleerde applicatie bepaalt hoe een ThinApp-pakket dat door VMware Identity Manager is verspreid, naar dat Windows-systeem wordt geïmplementeerd. Standaard wordt de client, wanneer de VMware Identity Manager Desktop-applicatie is geïnstalleerd door te dubbelklikken op het EXE-bestand van de installer, geconfigureerd om ThinApp-pakketten te implementeren met behulp van de implementatiemodus COPY_TO_LOCAL met ingeschakelde optie AUTO_TRY_HTTP. Deze standaard installeropties leiden tot wat een downloadimplementatiemodus wordt genoemd. Met de standaardinstellingen COPY_TO_LOCAL en AUTO_TRY_HTTP probeert de clientapplicatie eerst om de ThinApp-pakketten te downloaden door ze naar het eindpunt van het Windows-systeem te kopiëren, en als de eerste poging mislukt, probeert de clientapplicatie de ThinApppakketten te downloaden met HTTP. Als VMware Identity Manager is geconfigureerd voor op account gebaseerde toegang tot uw opslagplaats van ThinApp, kan de clientapplicatie de ThinApp-pakketten downloaden met HTTP. Nadat de ThinApppakketten zijn gedownload naar het lokale Windows-systeem, voert de gebruiker de gevirtualiseerde applicaties uit op het lokale systeem. Om te voorkomen dat de gevirtualiseerde applicaties worden gedownload naar het lokale Windowssysteem en ruimte op het Windows-systeem gebruiken, kunt u ervoor zorgen dat gebruikers de ThinApppakketten uitvoeren vanaf de netwerkshare door een zogenaamde streamimplementatiemodus te gebruiken. Om ervoor te zorgen dat gebruikers de ThinApp-pakketten uitvoeren met de streammodus, moet u de VMware Identity Manager Desktop-applicatie op de Windows-systemen installeren met behulp van het opdrachtregelinstallatieproces. De installer heeft opdrachtregelopties die u kunt gebruiken om de implementatiemodus van de runtime in te stellen voor de ThinApp-pakketten. Gebruik de installeroptie RUN_FROM_SHARE om de implementatiemodus van de runtime in te stellen om de ThinApp-pakketten te streamen. Een methode om de VMware Identity Manager Desktop-applicatie op meerdere Windows-systemen te installeren, is het gebruik van een script om de applicatie op de achtergrond op de Windows-systemen te installeren. U kunt de client op de achtergrond op meerdere Windows-systemen tegelijkertijd installeren. Opmerking Een installatie op de achtergrond geeft geen berichten of vensters weer tijdens het installatieproces. U stelt een waarde in op het script om aan te geven of de clients die door dat script zijn geïnstalleerd, ThinApp-pakketten implementeren met de ThinApp- streammodus, of de optie RUN_FROM_SHARE, of een van de downloadmodi van ThinApp, zoals de optie COPY_TO_LOCAL of HTTP_DOWNLOAD. VMware, Inc. 82

83 Het bepalen van de geschikte implementatiemodus voor ThinApp-pakketten op Windows-eindpunten De configuratie van de VMware Identity Manager Desktop-applicatie op de Windows-eindpunten bepaalt of een ThinApp-pakket dat wordt verspreid met behulp van VMware Identity Manager wordt geïmplementeerd met de ThinApp-streammodus, RUN_FROM_SHARE, of een van de downloadmodi van ThinApp, zoals de optie COPY_TO_LOCAL of HTTP_DOWNLOAD. Wanneer u het script maakt om de VMware Identity Manager Desktop-applicatie op de achtergrond op Windows-eindpunten te installeren, zoals desktopcomputers en laptops, stelt u de opties in die de implementatiemodus van het ThinApp-pakket instellen. Kies de implementatiemodus die het beste past bij de netwerkomgeving voor de geselecteerde eindpunten, door te denken aan details zoals netwerklatentie. Met de streammodus downloadt de klant, wanneer de VMware Identity Manager Desktop-applicatie met VMware Identity Manager synchroniseert, snelkoppelingen van de applicatie voor de gevirtualiseerde Windows-applicaties van de ThinApp-pakketten naar de Windows-desktop. Wanneer de gebruiker vervolgens de ThinApp-pakketten start, worden de gevirtualiseerde Windows-applicaties uitgevoerd vanaf de bestandsshare waarop de ThinApp-pakketten zich bevinden. Daarom is de streammodus geschikt voor systemen die altijd zijn verbonden aan de netwerkshare, zoals View-desktops. Met de downloadmodus moet de gebruiker, bij het eerste gebruik of de eerste update van een ThinApppakket, wachten totdat het ThinApp-pakket eerst naar het Windows-systeem is gedownload en totdat snelkoppelingen zijn gemaakt. Na de eerste download start de gebruiker de gevirtualiseerde Windowsapplicatie op het lokale Windows-systeem en voert deze uit. Belangrijk Voor niet-permanente View-desktops, ook bekend als zwevende of staatloze View-desktops, wordt u verwacht om de client in te stellen om de ThinApp-streammodus te gebruiken met behulp van de installeroptie van de opdrachtregel /v INSTALL_MODE=RUN_FROM_SHARE wanneer u de client installeert. De optie RUN_FROM_SHARE biedt de meest optimale runtime-ervaring voor het gebruik van ThinApppakketten op zwevende View-desktops. Zie Opdrachtregelopties van installatieprogramma voor VMware Identity Manager Desktop. Belangrijk Voor de modus HTTP_DOWNLOAD moet de IDP URL bereikbaar zijn op de Windowsmachine van de gebruiker. Voor de modussen RUN_FROM_SHARE en COPY_TO_LOCAL moet de ThinApp share bereikbaar zijn op de Windows-machine van de gebruiker. VMware, Inc. 83

84 Tabel 6 1. ThinApp-implementatiemodus voor de gevirtualiseerde applicaties die als ThinApp-pakketten worden vastgelegd Modus ThinApp-streammodus ThinApp-downloadmodus Beschrijving In de ThinApp-streammodus worden de gevirtualiseerde applicaties gestreamd elke keer wanneer ze worden gestart. Deze methode vermijdt het gebruik van schijfruimte op de desktop die zou worden gebruikt wanneer de gevirtualiseerde applicaties op de desktop worden gekopieerd. De desktop moet zijn verbonden met de netwerkshare van de ThinApp-pakketten, zodat de applicaties kunnen worden uitgevoerd. De volgende omgevingen kunnen de vereiste consistentie en stabiliteit leveren: View-desktops, zowel staatloze als permanente, met uitstekende connectiviteit naar de bestandsshare waarop de ThinApp-pakketten zich bevinden. Gebruikers met Windows-desktops die geen View-desktops zijn en die door meerdere gebruikers worden gebruikt. Deze situatie vermijdt de ophoping op de schijf van gedownloade gebruikerspecifieke applicaties en biedt ook snelle toegang tot applicaties zonder een vertraging te veroorzaken voor downloads die specifiek voor een gebruiker zijn. Het account dat de gebruiker gebruikt om zich aan te melden op het Windows-systeem wordt gebruikt om de ThinApp-pakketten van de netwerkshare te halen. Dat account moet de geschikte machtigingen hebben op de netwerkshare om bestanden op de netwerkshare te lezen en uit te voeren. In de downloadmodus van ThinApp worden applicaties gedownload naar het Windows-eindpunt. De gebruiker voert de gevirtualiseerde applicatie lokaal op het eindpunt uit. Mogelijk verkiest u de ThinApp-downloadmodus voor de volgende situaties: Permanente View-desktops Desktops met LAN-verbinding die periodiek offline zijn Een LAN met een slechte netwerklatentie VMware Identity Manager biedt twee vormen van de ThinApp-downloadmodus: COPY_TO_LOCAL en HTTP_DOWNLOAD. Als de client is geconfigureerd voor COPY_TO_LOCAL, moet het Windowseindpunt aan hetzelfde domein worden toegevoegd als de bestandsshare, tenzij de optie AUTO_TRY_HTTP is ingeschakeld en VMware Identity Manager is geconfigureerd voor op account gebaseerde toegang tot de netwerkshare van ThinApp-pakketten. Wanneer de optie AUTO_TRY_HTTP is ingeschakeld en VMware Identity Manager is geconfigureerd voor op account gebaseerde toegang, als het Windows-eindpunt niet is toegevoegd aan hetzelfde domein en de eerste poging om de ThinApp-pakketten te downloaden mislukt, probeert de VMware Identity Manager Desktop-applicatie automatisch de ThinApp-pakketten te downloaden met het HTTPprotocol, zoals voor de modus HTTP_DOWNLOAD. Met HTTP_DOWNLOAD hoeft het Windowseindpunt niet aan hetzelfde domein te worden toegevoegd als de bestandsshare. De kopieer- en synchronisatietijden zijn echter bij het gebruik van HTTP_DOWNLOAD aanzienlijk langer dan wanneer u COPY_TO_LOCAL gebruikt. Belangrijk Als VMware Identity Manager niet is ingeschakeld voor op account gebaseerde toegang, werkt downloaden met het HTTP-protocol niet, zelfs als AUTO_TRY_HTTP is ingeschakeld of als de client is geconfigureerd met de optie HTTP_DOWNLOAD. Wanneer u COPY_TO_LOCAL gebruikt, wordt het account dat de gebruiker gebruikt om zich aan te melden op het Windows-systeem gebruikt om de ThinApp-pakketten van de netwerkshare te halen. Dat account moet de geschikte machtigingen hebben op de netwerkshare om bestanden op de netwerkshare te lezen en te kopiëren. Wanneer u HTTP_DOWNLOAD gebruikt, is het sharegebruikersaccount, dat u invoert in de Beheerconsole wanneer u toegang configureert van VMware Identity Manager naar de netwerkshare van de ThinApp-pakketten, het account dat wordt gebruikt om de ThinApp-pakketten te downloaden. Dat sharegebruikersaccount moet een leesmachtiging hebben op de netwerkshare van de ThinApp-pakketten om de bestanden van de netwerkshare te kopiëren. VMware, Inc. 84

85 De netwerkshare van de ThinApp-pakketten moet ook voldoen aan de geschikte vereisten voor de implementatiemodus die u instelt voor de Windows-eindpunten. Zie Installatie en configuratie van VMware Identity Manager. Offline respijtperiode en ThinApp-pakketten De offline respijtperiode is de periode waarin een gevirtualiseerde applicatie op een Windows-systeem kan worden gestart en uitgevoerd zonder dat er een synchronisatie met VMware Identity Manager wordt uitgevoerd. ThinApp-pakketten worden gevirtualiseerde Windows-applicaties, en VMware Identity Manager kan deze applicaties verspreiden op Windows-systemen. Wanneer VMware Identity Manager voor de eerste keer dat een gebruiker zich heeft aangemeld een ThinApp-pakket op het Windows-systeem verspreidt, worden de gevirtualiseerde applicaties van het pakket op dat Windows-systeem geregistreerd voor gebruik door die gebruiker. De juiste snelkoppelingen worden op het Windows-desktop geplaatst, en de gebruiker kan de gevirtualiseerde applicaties starten met behulp van de snelkoppelingen zoals bij standaardapplicaties van Windows die op dat systeem zijn geïnstalleerd. Wanneer een gebruiker een van de gevirtualiseerde applicaties start die door VMware Identity Manager in het Windows-systeem is geïmplementeerd, vraagt het ThinApp-pakket toestemming om te worden uitgevoerd via de ThinApp-agent in het systeem. De ThinApp-agent controleert de volgende voorwaarden. Controleert of de applicatie op deze Windows-desktopcomputer is geregistreerd voor de aangemelde gebruiker. Controleert of het Windows-systeem binnen de toegestane offline respijtperiode is gesynchroniseerd met VMware Identity Manager. Als aan beide voorwaarden is voldaan, geeft de ThinApp-agent de gevirtualiseerde applicatie toestemming om te worden uitgevoerd. De frequentie van hoe vaak de VMware Identity Manager Desktop-applicatie wordt gesynchroniseerd met VMware Identity Manager, wordt ingesteld door de installeroptie POLLINGINTERVAL. Standaard is de frequentie elke vijf minuten. De offline respijtperiode is standaard ingesteld op 30 dagen. Als een Windows-systeem gedurende 30 dagen op elk gewenst moment verbinding heeft kunnen maken met VMware Identity Manager via een netwerkverbinding, kan de applicatie worden gesynchroniseerd met VMware Identity Manager en kunnen gevirtualiseerde applicaties worden uitgevoerd. Als het Windows-systeem echter niet over een netwerkverbinding beschikt om verbinding te maken met VMware Identity Manager, kan de applicatie niet worden gesynchroniseerd met VMware Identity Manager. Gevirtualiseerde applicaties die op dat Windows-systeem zijn geregistreerd, kunnen worden uitgevoerd op het systeem waarmee de verbinding is verbroken tot het moment waarop de offline respijtperiode is afgelopen. VMware, Inc. 85

86 Beheerde ThinApp-pakketten bijwerken na implementatie in VMware Identity Manager Nadat u een ThinApp-pakket hebt toegevoegd aan de catalogus van uw organisatie en uw VMware Identity Manager-gebruikers rechten voor dat ThinApp-pakket hebt gegeven, kan uw organisatie dat pakket bijwerken en de gebruikers een nieuwere, of opnieuw gebouwde, versie van het ThinApppakket laten gebruiken, zonder de rechten van de gebruikers voor de huidige pakket weg te nemen en ze rechten voor het nieuwere pakket te geven. Een bijgewerkt ThinApp-pakket wordt mogelijk beschikbaar gesteld omdat er een nieuwere versie van de Windows-applicatie voor dat pakket is vrijgegeven of omdat het verpakkingsprogramma van de applicatie de waarden van de in het pakket gebruikte parameters heeft gewijzigd. ThinApp en nieuwere versies bieden een updatemechanisme voor ThinApp-pakketten die worden gebruikt in VMware Identity Manager. Dit ThinApp-updatemechanisme is anders dan andere updatemechanismen voor ThinApp-pakketten die buiten een VMware Identity Manager-omgeving worden gebruikt. Het bijgewerkte ThinApp-pakket moet zijn bijgewerkt met dit mechanisme om het bijgewerkte pakket in VMware Identity Manager te kunnen implementeren en gebruikers automatisch de nieuwere versie te laten zien. Voor ThinApp-pakketten die worden beheerd in VMware Identity Manager, worden door VMware Identity Manager twee Package.ini-parameters gebruikt om te bepalen of een pakket een bijgewerkte versie van een ander pakket is. AppID De unieke id voor het ThinApp-pakket in VMware Identity Manager. Aan alle ingangspunten (uitvoerbare bestanden) voor de applicatie van het pakket wordt dezelfde AppID toegewezen. Nadat een ThinApp-pakket is gesynchroniseerd met de VMware Identity Manager-catalogus van uw organisatie, wordt de AppID van het pakket weergegeven in de GUIDkolom op de bronpagina van het ThinApp-pakket. Deze waarde bestaat uit alfanumerieke tekens in een patroon van tekensets die zijn gescheiden door streepjes, zoals in het volgende voorbeeld: XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX VMware Identity Manager gaat ervan uit dat elk ThinApp-pakket met dezelfde AppID versies van dezelfde applicatie zijn. VersieID Het versienummer van het ThinApp-pakket. VMware Identity Manager gebruikt de VersionID om verschillende versies van het beheerde ThinApp-pakket bij te houden. U verhoogt de VersionID-waarde met één (1) stap per keer om dat ThinApp-pakket te markeren als update van een ander pakket, waarbij dezelfde AppID wordt behouden. VMware, Inc. 86

87 U plaatst het bijgewerkte pakket in een nieuwe map in de gedeelde netwerkshare die voor de beheerde ThinApp-pakketten is geconfigureerd. Raadpleeg VMware Identity Manager installeren en configureren. Wanneer VMware Identity Manager de geplande synchronisatie uitvoert met de map netwerkshare en een applicatie tegenkomt met dezelfde AppID als een andere applicatie, worden de VersionID-waarden vergeleken. Het ThinApp-pakket met de hoogste VersionID wordt gebruikt als de meest recente update. VMware Identity Manager neem automatisch de vorige gebruikersrechten op voor het ThinApp-pakket met de hoogste VersionID en sneltoetsen op de gebruikersystemen worden gesynchroniseerd voor het bijgewerkte pakket. Belangrijk De standaard ThinApp InventoryName-parameter is belangrijk voor geslaagde updates van beheerde ThinApp-pakketten. Zowel de vorige als de bijgewerkte ThinApp-pakketten moeten over dezelfde waarde voor de InventoryName-parameter beschikken. Als degene die het ThinApp-pakket maakt de InventoryName in een pakket wijzigt en vervolgens een bijgewerkt pakket maakt, moet u ervoor zorgen dat de InventoryName-waarden match voor de updates goed werken in VMware Identity Manager. Raadpleeg de ThinApp Package.ini Parameters Reference Guide voor details over de verschillende parameters die in het Package.ini-bestand van een ThinApp-pakket worden gebruikt. Een beheerd ThinApp-pakket bijwerken Het bijwerken van een ThinApp-pakket dat al wordt beheerd door VMware Identity Manager en in de catalogus van uw organisatie staat, omvat meerdere stappen. Het bijgewerkte ThinApp-pakket wordt mogelijk via een andere groep in uw organisatie aan u geleverd. Om ervoor te zorgen dat VMware Identity Manager het bijgewerkte pakket automatisch kan gebruiken in plaats van het bestaande pakket voor de gemachtigde gebruikers, moet u ervoor zorgen dat het bijgewerkte pakket is gemaakt met dezelfde AppID als het huidige pakket, een VersionID-waarde heeft die hoger is dan de VersieIDwaarde van het bestaande pakket en voor beheer is ingeschakeld door VMware Identity Manager. Vereisten Verifieer of u toegang hebt tot de locatie waar uw beheerde ThinApp-pakketten zich bevinden en of u op die locatie submappen kunt maken. Wat nu te doen In uw VMware Identity Manager-catalogus wordt de nieuwe versie van het bijgewerkte ThinApp-pakket weergegeven na de volgende ThinApp-pakketsynchronisatie. Als u de nieuwe versie op de bronnenpagina van het ThinApp-pakket wilt zien, kunt u handmatig synchroniseren via de pagina Verpakte Apps - ThinApp van de Beheerconsole. De waarden AppID en VersionID van een beheerd ThinApp-pakket verkrijgen Als u er zeker van wilt zijn dat VMware Identity Manager automatisch het bijgewerkte ThinApp-pakket gebruikt in plaats van het huidige pakket, moet het bijgewerkte ThinApp-pakket worden gemaakt met behulp van de AppID van het huidige beheerde ThinApp-pakket en een hogere VersionID-waarde dan de huidige versie. VMware, Inc. 87

88 Wanneer de Setup Capture-procedure wordt uitgevoerd om een bijgewerkt ThinApp-pakket te maken, wordt de AppID-waarde automatisch opgehaald door het Setup Capture-programma van de uitvoerbare bestanden van het bestaande ThinApp-pakket, en wordt de VersionID-waarde automatisch verhoogd. De persoon die het bijgewerkte ThinApp-pakket maakt kan echter een andere methode gebruiken om het bijgewerkte pakket te maken. Wanneer de Setup Capture-procedure niet wordt gebruikt om het bijgewerkte ThinApp-pakket te maken, moet de persoon die het pakket maakt de waarden AppID en VersionID verkrijgen van het ThinApp-pakket dat momenteel wordt beheerd door VMware Identity Manager. De waarden AppID en VersionID worden weergegeven op pagina's op de pagina met bronnen in het ThinApp-pakket in de Beheerconsole. Procedure 1 Klik op Catalogus > Toepassingscatalogus. 2 Klik op Elk applicatietype > ThinApp-pakketten. 3 Klik op het ThinApp-pakket om de pagina met bronnen te openen. 4 Klik op Details. 5 Noteer de waarde die wordt vermeld in het veld Versie op de pagina Details. 6 Klik op ThinApp-pakket om de pagina van het ThinApp-pakket weer te geven. 7 Noteer de waarde AppID die wordt vermeld in de kolom GUID. De waarde in de GUID-kolom is de waarde die VMware Identity Manager gebruikt om dit ThinApppakket te identificeren. Wat nu te doen De persoon die het bijgewerkte ThinApp-pakket maakt moet de stappen in Het bijgewerkte ThinApppakket maken uitvoeren. Het bijgewerkte ThinApp-pakket maken De AppID- en VersionID-waarden van het huidige beheerde ThinApp-pakket worden gebruikt om het bijgewerkte pakket te maken. Het bijgewerkte pakket gebruikt dezelfde AppID-waarde en een hogere VersionID-waarde. Soms krijgt u het bijgewerkte ThinApp-pakket van een ander team binnen uw organisatie. De persoon die het bijgewerkte ThinApp-pakket maakt, kan een van de volgende beschreven methoden gebruiken. Vereisten Verifieer of u beschikt over de AppID- en VersionID-waarden van het huidige ThinApp-pakket door de stappen uit te voeren in De waarden AppID en VersionID van een beheerd ThinApp-pakket verkrijgen. Verifieer of u over een versie van het ThinApp-programma beschikt dat compatibel is met uw versie van VMware Identity Manager. Zie voor informatie over specifieke ThinApp-versies de VMwareproductinteroperabiliteitsmatrices via VMware, Inc. 88

89 Procedure u Met een versie van het ThinApp-programma die wordt ondersteund door VMware Identity Manager, het bijgewerkte ThinApp-pakket maken aan de hand van een van de beschikbare methoden. Optie Opnieuw vastleggen met Setup Capture. Beschrijving Gebruik deze methode wanneer de projectmap voor het bestaande ThinApppakket dat wordt beheerd door VMware Identity Manager niet beschikbaar is. U hebt slechts de volgende items nodig om een bijgewerkte pakket met Setup Capture te maken: De uitvoerbare bestanden van de applicatie van het bestaande ThinApppakket Het installatieprogramma van de applicatie Setup Capture en het ThinApp-programma met een versie die wordt ondersteund door VMware Identity Manager. Selecteer tijdens het vastleggen dat het pakket moet worden beheerd met VMware Identity Manager en dat het pakket een update is van een bestaand basis-thinapp-pakket. Blader naar map met de uitvoerbare bestanden voor het ThinApp-pakket dat momenteel wordt beheerd. Ga met de cursor naar de map en niet naar de specifieke uitvoerbare bestanden. Wanneer u deze methode gebruikt, hoeft u niet eerst de AppID- of VersionIDwaarden te verkrijgen voordat u het bijgewerkte pakket maakt. Wanneer u het pakket hebt aangeduid als een update en naar de eerdere versie in Setup Capture verwijst, wordt tijdens het vastleggen de AppID van het eerdere pakket gelezen en wordt deze gebruikt voor het bijgewerkte pakket. Het proces zorgt ook voor een verhoogde VersionID voor het bijgewerkte pakket en wijst dezelfde InventoryName toe. Werkte het.ini-bestand van het pakket handmatig bij en bouw vervolgens het pakket opnieuw op. Gebruik deze methode wanneer u niet beschikt over het installatieprogramma voor de applicatie om opnieuw vast te leggen, of wanneer u het pakket moet bijwerken tot een nieuwere versie van ThinApp en u meer wilt bijwerken dan dat de opdracht relink kan verwerken. Omdat er voor het opnieuw opbouwen van een pakket wijzigingen in het bestandssysteem en het register moeten worden doorgevoerd die beschikbaar zijn in een nieuwe versie van ThinApp, zouden deze wijzigingen worden gedetecteerd bij een nieuwe opbouw, bijvoorbeeld wanneer een nieuwe ThinApp-versie een nieuwe Package.ini-parameter heeft die u wilt instellen. Om het nieuwe pakket te markeren als een update, bewerkt u de volgende VMware Identity Manager-parameters in het gedeelte [Build Options] van het Package.ini-bestand: Stel de AppID-parameter dusdanig in dat deze overeenkomt met de AppIDwaarde van de huidige beheerde ThinApp-applicatie. U kunt een waarde van genid niet opnieuw gebruiken voor AppID omdat dan een nieuwe AppIDwaarde wordt gegenereerd voor het bijgewerkte pakket waardoor VMware Identity Manager het nieuwe pakket niet herkent als een update van het bestaande pakket. Verhoog de waarde van de VersionID-parameter tot een hoger geheel getal dan het huidige beheerde ThinApp-pakket. Als voor het huidige beheerde pakket geen VersionID-parameter is ingesteld, is de waarde standaard 1 en voegt u een regel toe voor de VersionID-parameter naar Package.ini en stelt u de waarde in op 2 (VersionID = 2). VMware, Inc. 89

90 Optie Beschrijving Controleer of de InventoryName-parameter overeenkomt met de InventoryName-waarde van het pakket dat op dit moment wordt beheerd. De InventoryName-waarden voor het huidige pakket en het bijgewerkte pakket moeten overeenkomen. Gebruik de opdracht relink -h met de opties voor de App-id en de Versie-id. Gebruik deze methode in een van de volgende situaties: U beschikt niet over de projectmap voor de applicatie. U hebt het pakket al buiten een VMware Identity Manager-omgeving vastgelegd, gebouwd en getest en de stappen die alleen nog moeten worden uitgevoerd zijn het inschakelen van het bijgewerkte pakket voor VMware Identity Manager en het pakket plaatsen in de netwerkshare gebruikt door VMware Identity Manager. U werkt het pakket alleen bij om de ThinApp-runtime voor het pakket bij te werken zodat bugfixes in die nieuwere ThinApp-versie worden opgenomen. Wanneer u bijvoorbeeld de projectmap, inclusief het Package.ini-bestand, hebt gewijzigd voor een virtual appliance, het pakket opnieuw hebt opgebouwd en het hebt getest, kan het zijn dat de testomgeving niet VMware Identity Manager was. De laatste fase van het bijwerken van de applicatie is om deze in te schakelen voor VMware Identity Manager. Wanneer dit het geval is, is nu het meest eenvoudig om de relink -h-opdracht te gebruiken in plaats van opnieuw vastleggen of opnieuw opbouwen. Opmerking De ThinApp-runtime wordt altijd bijgewerkt wanneer u de opdracht relink -h uitvoert op een ThinApp-pakket. U kunt de relink-opdracht uitvoeren vanuit de directory ThinApp Program Files om hulp te krijgen bij de syntax van de opdracht. Wanneer het bestaande ThinApp-pakket al is ingeschakeld voor gebruik door VMware Identity Manager, kunt u de volgende opdracht uitvoeren om de bestaande AppID opnieuw te gebruiken en de VersionID te verhogen: relink -h -VersionID + uitvoerbare-map/*.* Waarbij de map met uitvoerbare bestanden een map is waarin de uitvoerbare bestanden zich bevinden van het ThinApp-pakket dat u wilt bijwerken. Belangrijk Wanneer u de opdracht relink gebruikt, kunt u deze niet rechtstreeks verwijzen naar de map of het pakket met uitvoerbare bestanden in de netwerkshare die wordt gebruikt voor de ThinApp-pakketten in de VMware Identity Manager-omgeving. De opdracht converteert de oude uitvoerbare bestanden naar BAK-bestanden wanneer de ThinApp-runtime wordt bijgewerkt, en schrijft zowel deze BAK-bestanden als de nieuwe bestanden naar de map. Omdat doorgaans niet naar de netwerkshare kan worden geschreven, moet u punten opnieuw koppelen aan een kopie van de map met uitvoerbare bestanden. Andere gevallen waarin de relink-opdracht wordt gebruikt, zoals een ThinApppakket inschakelen voor gebruik in een VMware Identity Manager-omgeving, worden beschreven in het kennisbankartikel van VMware via U hebt een aantal bestanden (EXE-bestanden en optioneel DAT-bestanden) voor het bijgewerkte ThinApp-pakket. VMware, Inc. 90

91 Wat nu te doen Kopieer de bestanden naar een nieuwe submap op de netwerkshare door de stappen te volgen in Een bijgewerkt ThinApp-pakket kopiëren naar de netwerkshare. Een bijgewerkt ThinApp-pakket kopiëren naar de netwerkshare Wanneer u het bijgewerkte ThinApp-pakket hebt gemaakt, kopieert u de betreffende bestanden naar een nieuwe submap op hetzelfde niveau als de bestaande submap op de netwerkshare. Vereisten Verifieer of u over de bestanden beschikt voor het bijgewerkte ThinApp-pakket nadat u de stappen in Het bijgewerkte ThinApp-pakket maken hebt gevolgd en de VersionID-waarde hebt verhoogd. Verifieer of u toegang hebt tot de netwerkshare en submappen kunt maken waarnaar u de bestanden kunt kopiëren. Procedure 1 In de map netwerkshare maakt u een nieuwe submap aan voor het bijgewerkte ThinApp-pakket. Behoud de bestaande submap voor het ThinApp-pakket dat u bijwerkt en wijzig de inhoud hiervan niet. Wanneer de volgende geplande synchronisatie hebt plaatsgevonden, negeert VMware Identity Manager het oudere pakket wanneer deze vaststelt dat het nieuwe pakket dezelfde AppID-waarde en een hogere VersionID-waarde heeft. Doorgaans geeft u de submap een naam die overeenkomt met de naam van de ThinApp-applicatie, of geeft u aan welke applicatie in de map staat. Als de netwerkshare appshare wordt genoemd op een host met de naam server, en als de applicatie abceditor wordt genoemd, is de submap van het ThinApp-pakket \\server\appshare\abceditor. Opmerking Gebruik geen niet-ascii-tekens wanneer u uw submapnamen voor netwerkshares maakt die ThinApp-pakketten kunnen verspreiden door VMware Identity Manager te gebruiken. Niet- ASCII-tekens worden niet ondersteund. 2 Kopieer de EXE- en DAT-bestanden voor het bijgewerkte ThinApp-pakket in die nieuwe submap. 3 (Optioneel) Als u niet wilt wachten op de volgende geplande synchronisatie kunt u handmatig VMware Identity Manager synchroniseren door middel van de netwerkshare met behulp van de pagina Verpakte apps - ThinApp van de Beheerconsole. Wanneer VMware Identity Manager de geplande synchronisatie uitvoert met de map netwerkshare en een applicatie tegenkomt met dezelfde AppID als een andere applicatie, worden de VersionIDwaarden vergeleken. Het ThinApp-pakket met de hoogste VersionID wordt gebruikt als de meest recente update. VMware Identity Manager neem automatisch de vorige gebruikersrechten op voor het ThinApp-pakket met de hoogste VersionID en sneltoetsen op de gebruikersystemen worden gesynchroniseerd voor het bijgewerkte pakket. VMware, Inc. 91

92 ThinApp-pakketten verwijderen uit VMware Identity Manager U kunt een ThinApp-pakket permanent verwijderen uit VMware Identity Manager. Wanneer u een ThinApp-pakket uit VMware Identity Manager verwijdert, verwijdert u het pakket permanent. Het is dan niet meer mogelijk om gebruikers rechten voor het ThinApp-pakket toe te kennen, behalve wanneer u het weer toevoegt aan VMware Identity Manager. Procedure 1 Verwijder de submap van het ThinApp-pakket uit het bestand netwerkshare waarmee de opslagplaats van het ThinApp-pakket is verbonden met VMware Identity Manager. 2 Verwijder de applicatie uit VMware Identity Manager. a b c d e f Meld u aan bij de Beheerconsole. Klik op Catalogus > Toepassingscatalogus. Klik op Elk applicatietype > ThinApp-pakketten. Zoek het ThinApp-pakket op dat u wilt verwijderen. Klik op de naam van het ThinApp-pakket om de bijbehorende bronpagina weer te geven. Klik op Verwijderen, lees het bericht en klik op Ja wanneer u ermee akkoord gaat. Het ThinApp-pakket staat niet in uw VMware Identity Manager-catalogus. Bestaande ThinApp-pakketten compatibel maken met VMware Identity Manager U kunt een ThinApp-pakket dat niet compatibel is met VMware Identity Manager converteren naar een pakket dat VMware Identity Manager kan verspreiden en beheren. U kunt een van de volgende methoden gebruiken: gebruik de ThinApp opdracht relink, bouw het pakket opnieuw op op basis van de ThinApp-projectbestanden nadat u het Package.ini-bestand van het project hebt bewerkt en de noodzakelijke VMware Identity Manager-parameters hebt toegevoegd, of pas de juiste VMware Identity Manager-instellingen die zijn geselecteerd in het ThinApp Setup Capture-programma toe in de Windows-applicatie. Opmerking Een ThinApp-pakket dat compatibel is met VMware Identity Manager kan alleen worden gebruikt voor een VMware Identity Manager-implementatie. Alleen VMware Identity Manager-gebruikers die de VMware Identity Manager Desktop-applicatie hebben geïnstalleerd, kunnen deze geschikte pakketten starten en uitvoeren. Wanneer het ThinApp-pakket wordt uitgevoerd, wordt er een DLL met een specifieke naam geladen, en wordt die DLL gebruikt om de rechten van de gebruiker voor VMware Identity Manager te verifiëren. Omdat de DLL in de VMware Identity Manager Desktop-applicatie is geïnstalleerd, kunnen dergelijke ThinApp-pakketten alleen worden uitgevoerd op Windows-systemen waarop de VMware Identity Manager Desktop-applicatie is geïnstalleerd. VMware, Inc. 92

93 Vereisten Controleer of u toegang hebt tot de noodzakelijke items voor de door u gekozen methode. Als u de opdracht relink gebruikt, controleert u of u over de uitvoerbare bestanden voor het ThinApp-pakket dat u wilt converteren en de ThinApp applicatie relink.exe beschikt. Als u het Package.ini-bestand van het ThinApp-project bijwerkt en het pakket opnieuw opbouwt, controleert u of u over de benodigde projectbestanden beschikt voor het ThinApp programma om het pakket opnieuw op te bouwen. Als u de Windows-applicatie aanpast, controleert u of u over het ThinApp Setup Captureprogramma en het installatieprogramma van de applicatie beschikt, en over andere items die het programma nodig heeft om de applicatie aan te passen. Zie de Gebruikershandleiding van ThinApp voor meer informatie. Controleer of u toegang hebt tot de ThinApp-netwerkshare die wordt gebruikt door VMware Identity Manager en of u submappen kunt maken en er bestanden naartoe kunt kopiëren. VMware, Inc. 93

94 Procedure u Maak met behulp van een versie van het ThinApp-programma dat wordt ondersteund door VMware Identity Manager een compatibel ThinApp-pakket door middel van een van de beschikbare methoden. Optie Gebruik de opdracht relink -h. Beschrijving De relink -h -opdracht gebruiken is de eenvoudigste methode. U moet het programma relink.exe van ThinApp of hoger gebruiken. Gebruik deze methode in een van de volgende situaties: U kunt de methode voor opnieuw opbouwen niet gebruiken, omdat u geen projectmap hebt. Setup Capture gebruiken om de applicatie aan te passen, zou te lang duren. U beschikt niet over de vereiste applicatie-installer om de applicatie aan te passen met Setup Capture. Opmerking De ThinApp-runtime wordt altijd bijgewerkt wanneer u de opdracht relink -h uitvoert op een ThinApp-pakket. U kunt de relink-opdracht uitvoeren vanuit de directory ThinApp Program Files om hulp te krijgen bij de syntax van de opdracht. Als u een compatibel pakket wilt maken, gebruikt u de basissyntax van de opdracht: relink -h uitvoerbare-map/*.* Hierbij is uitvoerbare-map een map die de uitvoerbare bestanden bevat van het ThinApp-pakket dat u wilt bijwerken. Belangrijk Wanneer u de opdracht relink gebruikt, kunt u deze niet rechtstreeks verwijzen naar de map of het pakket met uitvoerbare bestanden in de netwerkshare die wordt gebruikt voor de ThinApp-pakketten in de VMware Identity Manager-omgeving. De opdracht converteert de oude uitvoerbare bestanden naar BAK-bestanden wanneer de ThinApp-runtime wordt bijgewerkt, en schrijft zowel deze BAK-bestanden als de nieuwe bestanden naar de map. Omdat doorgaans niet naar de netwerkshare kan worden geschreven, moet u punten opnieuw koppelen aan een kopie van de map met uitvoerbare bestanden. Andere gebruiksscenario's voor de relink-opdracht worden behandeld in het artikel in de VMware-kennisdatabase op Werk het bestand Package.ini handmatig bij met de noodzakelijke parameters, en bouw vervolgens het pakket opnieuw op. Gebruik deze methode wanneer u niet over de applicatie-installer voor de aanpasprocedure beschikt, wanneer u wilt voorkomen dat de instelling vooraf moet worden uitgevoerd, wat vereist is voor het aanpassen van de applicatie, of wanneer u meer functies van een nieuwere ThinApp-versie wilt toevoegen dan wat de relink-opdracht kan bieden. Omdat er voor het opnieuw opbouwen van een pakket wijzigingen in het bestandssysteem en het register moeten worden doorgevoerd die beschikbaar zijn in een nieuwe versie van ThinApp, zouden deze wijzigingen worden gedetecteerd bij een nieuwe opbouw, bijvoorbeeld wanneer een nieuwe ThinApp-versie een nieuwe Package.ini-parameter heeft die u wilt instellen. VMware, Inc. 94

95 Optie Beschrijving Voeg in het gedeelte [Build Options] van het Package.ini-bestand de volgende parameters toe: ;--- VMware Identity Manager Parameters --- AppID=genid NotificationDLLs=hzntapluginlugin.dll hzntaplugin.dll is de DLL die de ThinApp-runtime aanroept om de rechten van de VMware Identity Manager-gebruiker voor het gebruik van de gevirtualiseerde applicatie te controleren. Optioneel kunt u de HorizonOrgURL-parameter invoegen en deze instellen op uw volledig gekwalificeerde VMware Identity Manager-domeinnaam. Zie Installatie en configuratie van VMware Identity Manager. Pas deze aan met behulp van Setup Capture en selecteer de noodzakelijke VMware Identity Manager-instellingen. Gebruik deze methode wanneer u de voorkeur geeft aan het aanpassen van de applicatie in plaats van een van de overige methoden te gebruiken. Als u een compatibel pakket wilt gebruiken met behulp van ThinApp Setup Capture, selecteert u de juiste instellingen in de wizard om het pakket te beheren met VMware Identity Manager tijdens de aanpassingsprocedure. Zie de Gebruikershandleiding van ThinApp voor meer informatie over de aanpassingsprocedure. U hebt een reeks bestanden (EXE-bestanden, en eventueel DAT-bestanden) voor een ThinApp-pakket dat VMware Identity Manager kan verspreiden en beheren. Wat nu te doen Zie Maak een netwerkshare voor ThinApp-pakketten die worden beheerd door VMware Identity Manager voor de stappen om ThinApp-pakketten toe te voegen aan de netwerkshare. Gedeelde map wijzigen van ThinApp-pakketten Wanneer u VMware Identity Manager toegang tot uw ThinApp-pakketten hebt geconfigureerd, kan uw ITomgeving dusdanig wijzigen dat uw ThinApp-pakketten op een nieuwe locatie staan. Werk in de beheerconsole het pad naar de nieuwe locatie bij wanneer een dergelijke situatie zich voordoet. Vereisten Controleer of de nieuwe gedeelde locatie netwerkshare voldoet aan de vereisten voor een netwerkshare, zoals beschreven in VMware Identity Manager-vereisten voor ThinApp-pakketten en de opslagplaats netwerkshare. Procedure 1 Meld u aan bij de Beheerconsole. 2 Selecteer Catalogus > Verzameling van virtuele apps. 3 Klik op de naam van de ThinApp-verzameling. 4 Wijzig de waarde in het tekstvak Pad naar de nieuwe gedeelde map waar de ThinApp-pakketten staan in UNC-padindeling. VMware, Inc. 95

96 5 (Optioneel) Wanneer de vorige netwerkshare een CIFS-share was en de nieuwe een DFS-share is, selecteert u het selectievakje Toegang op basis van accounts inschakelen en voert u de naam en het wachtwoord van een gebruiker in die lees-toegang heeft voor die netwerkshare. 6 Klik op Opslaan. Toegangsbeleid instellen voor specifieke applicaties en desktops Het ingestelde standaardtoegangsbeleid is van toepassing op alle applicaties en desktops in uw catalogus. U kunt ook toegangsbeleid voor individuele applicaties of desktoppools instellen, dat het standaardtoegangsbeleid overschrijft. U kunt een toegangsbeleid toepassen op een of meer applicaties en desktops op de beleidspagina of het toegangsbeleid voor een specifieke applicatie selecteren op de configuratiepagina's voor applicaties. Raadpleeg de handleiding Beheer VMware Identity Manager voor meer informatie over toegangsbeleid. Procedure 1 Volg deze stappen als u via de beleidspagina een toegangsbeleid wilt toepassen op applicaties en desktops. a b c d e Navigeer naar de pagina Identiteits- en toegangsbeheer > Beheren > Beleidsregels. Klik op een beleid om het te bewerken of klik op Beleid toevoegen om een nieuw beleid te maken. Bewerk of definieer het beleid op de beleidspagina. Geef in het gedeelte IP-bereiken de IP-bereiken op waarop u de instellingen wilt toepassen. Klik op Opslaan. 2 Selecteer deze stappen als u een toegangsbeleid voor een specifieke applicatie wilt selecteren op de configuratiepagina voor de applicatie. a b c d Klik op Catalogus > Toepassingscatalogus. Klik op de applicatie. Klik in het linkerdeelvenster op Toegangsbeleid. Selecteer het toegangsbeleid voor de applicatie en klik op Opslaan. VMware, Inc. 96

97 VMware Identity Manager 7 Desktop configureren Voordat uw VMware Identity Manager-gebruikers de ThinApp-pakketten die aan hun zijn toegewezen kunnen uitvoeren met VMware Identity Manager, moet de VMware Identity Manager Desktop-applicatie op hun Windows-systemen zijn geïnstalleerd en zijn geactiveerd. De VMware Identity Manager Desktop-applicatie kan worden geïnstalleerd door dubbel te klikken op het uitvoerbare bestand van het installatieprogramma en de Installatiewizard te gebruiken, door het uitvoerbare bestand uit te voeren met de opties van de opdrachtregel, of door een script uit te voeren dat de opties van de opdrachtregel gebruikt. Lokale beheerdersrechten zijn vereist om de applicatie te installeren. De configuratie van de VMware Identity Manager Desktop-applicatie op de Windows-eindpunten bepaalt of een ThinApp-pakket dat wordt verspreid met behulp van VMware Identity Manager wordt geïmplementeerd met de ThinApp-streammodus, RUN_FROM_SHARE, of een van de downloadmodi van ThinApp, zoals de optie COPY_TO_LOCAL of HTTP_DOWNLOAD. Wanneer u het script maakt om stil VMware Identity Manager Desktop te installeren op Windows-endpoints zoals desktops en laptops, stelt u de opties in die de implementatiemodus van het ThinApp-pakket instellen. Kies de implementatiemodus die het beste past bij de netwerkomgeving voor de geselecteerde eindpunten, door te denken aan details zoals netwerklatentie. Belangrijk Voor de modus HTTP_DOWNLOAD moet de IDP URL bereikbaar zijn op de Windowsmachine van de gebruiker. Voor de modussen RUN_FROM_SHARE en COPY_TO_LOCAL moet de ThinApp share bereikbaar zijn op de Windows-machine van de gebruiker. Opmerking Wanneer er nog een browservenster open staat tijdens het installeren van de VMware Identity Manager Desktop-applicatie, kunnen zich problemen voordoen wanneer ThinApp-pakketten via de gebruikersportal worden gestart. Sluit alle browservenster voordat u de applicatie installeert, of start uw browsers direct na het installeren van de applicatie opnieuw op. Zie ThinApp-pakketten kunnen niet worden gestart vanaf de gebruikersportal. Dit hoofdstuk omvat de volgende onderwerpen: Opdrachtregelopties van installatieprogramma voor VMware Identity Manager Desktop De applicatie VMware Identity Manager Desktop met identieke instellingen installeren op meerdere Windows-systemen VMware, Inc. 97

98 Voeg desktopinstallatiebestanden van VMware Identity Manager toe aan virtual appliances van VMware Identity Manager. De opdrachtregelapplicatie hws-desktop-ctrl.exe gebruiken Opdrachtregelopties van installatieprogramma voor VMware Identity Manager Desktop U kunt verschillende opties instellen voor de applicatie VMware Identity Manager Desktop wanneer u het betreffende installatieprogramma uitvoert via de opdrachtregel of een implementatiescript. Beschikbare opdrachtregelopties voor het installatieprogramma VMware Identity Manager Desktop Wanneer u het.exe-bestand voor het installatieprogramma voor de clientapplicatie hebt gedownload op een systeem met Windows, kunt u een lijst met installatieopties bekijken door de volgende opdracht uit te voeren: VMware-Identity-Manager-Desktop-n.n.n-nnnnnnn /? waarbij n.n.n-nnnnnnn de versie en het versienummer van het bestand vertegenwoordigen. Er wordt een dialoogvenster weergegeven met de beschikbare installatieopties voor het installeren van de clientapplicatie door middel van de opdrachtregel of een implementatiescript. Tabel 7 1. Opdrachtregelopties installatieprogramma Optie installatieprogra mma Waarde Beschrijving /? Toont de opdrachtregelopties voor het installatieprogramma. /a Voert een administratieve installatie uit. Raadpleeg de Documentatie voor het Windowsinstallatieprogramma voor meer informatie. /a volledig pad naar bestaande administratieve installatie Voert een patch uit voor een bestaande administratieve installatie. /s Verbergt het initialisatiedialoogvenster tijdens de installatie. Gebruik /s /v/qn om in de stille modus te installeren. In de stille modus worden tijdens de installatie geen meldingen, dialoogvenster of prompts weergegeven. U kunt deze optie met name gebruiken wanneer u een implementatiescript aanmaakt om het installatieprogramma uit te voeren. /v sleutelwaardeparen Een parameterset om door te geven aan het installatieprogramma, gespecificeerd als sleutelwaardeparen. Gebruik de indeling key=value. Deze argumenten configureren de runtime-opties voor de ThinApp-pakketten en voor de VMware Identity Manager Desktop in het algemeen. /c Verwijdert informatie over de installatieregistratie. VMware, Inc. 98

99 Tabel 7 1. Opdrachtregelopties installatieprogramma (Vervolgd) Optie installatieprogra mma Waarde Beschrijving /l [volledig pad naar logboekbestand] Legt logboekinformatie gedetailleerd vast en slaat deze op in het gespecificeerde logboekbestand. Wanneer u geen logboekbestand specificeert, wordt een standaard logboek in %TEMP% gebruikt. /x Pakt het installatieprogramma uit in de map %TEMP%. Sleutelwaardeparen voor de optie /v Voor de installatieprogrammaoptie /v kunt u de volgende sleutelwaardeparen gebruiken. VMware, Inc. 99

100 Tabel 7 2. Sleutels voor de opdrachtregeloptie /v van het installatieprogramma Sleutel Waarde Beschrijving WORKSPACE_SER VER INSTALL_MODE Hostnaam of URL van de VMware Identity Managerservice Een van de volgende: COPY_TO_LOCAL HTTP_DOWNLOAD RUN_FROM_SHARE Levert de VMware Identity Manager service-hostnaam of URL zodat de applicatie VMware Identity Manager Desktop met de service kan communiceren. HTTPS is het vereiste protocol. Plaats de waarde tussen aanhalingstekens. Gebruik de volgende notatie: WORKSPACE_SERVER=" of WORKSPACE_SERVER="VMwareIdentityManagerHostName" Bijvoorbeeld: WORKSPACE_SERVER=" WORKSPACE_SERVER="myserver" Stelt de implementatiemodus in voor hoe de applicatie VMware Identity Manager Desktop ThinApp-pakketten verkrijgt in runtime. ThinApp-pakketten zijn gevirtualiseerde Windows-applicaties. De ThinApp-pakketten bevinden zich op een netwerkshare die is geïntegreerd met VMware Identity Manager. COPY_TO_LOCAL: De pakketten waarvoor de gebruiker rechten heeft, worden gedownload naar het client Windows-systeem met behulp van een bestandskopie. Wanneer de gebruiker een ThinApp-pakket start, wordt de gevirtualiseerde applicatie op dat systeem uitgevoerd. Voordat de gebruiker voor de eerste keer het ThinApp-pakket met rechten downloadt en gebruikt, en om de pakketten verder te synchroniseren met het client Windows-systeem, moet eerst het client Windows-systeem worden toegevoegd aan hetzelfde Active Directory-domein waaraan de netwerkshare van ThinApp-pakketten is toegevoegd. Het gebruikersaccount dat wordt gebruikt om zich aan te melden op het Windows-systeem, is het account dat wordt gebruikt om de ThinApppakketten van de netwerkshare te verkrijgen. Dat account moet de geschikte machtigingen hebben op de netwerkshare om bestanden op de netwerkshare te lezen en te kopiëren. Belangrijk Voor de modus COPY_TO_LOCAL moet de ThinApp share bereikbaar zijn vanaf het Windows-systeem van de gebruiker. HTTP_DOWNLOAD: De pakketten waarvoor de gebruiker rechten heeft, worden gedownload naar het client Windows-systeem met behulp van het HTTP-protocol. Wanneer de gebruiker een ThinApp-pakket start, wordt de gevirtualiseerde applicatie op dat systeem uitgevoerd. De applicatie VMware Identity Manager Desktop gebruikt het VMware Identity Managersysteemaccount van de gebruiker voor verificatie bij VMware Identity Manager om de lijst met de pakketten waarvoor de gebruiker rechten heeft, te downloaden. Het account gebruiker delen in de Beheerconsole voor het inschakelen van toegang op basis van accounts voor de netwerkshare van ThinApp-pakketten, is het account dat wordt gebruikt door VMware Identity Manager om toegang te krijgen tot de ThinApp-pakketten in de opslagplaats. Voor dat account gebruiker delen voor VMware Identity Manager zijn leesrechten nodig voor de netwerkshare. Het account dat de gebruiker heeft gebruikt om zich aan te melden op het client Windows-systeem en het VMware Identity Manager-systeemaccount van de gebruiker hoeven geen rechten te hebben voor de netwerkshare. Het client Windows-systeem hoeft niet te worden toegevoegd aan hetzelfde domein waartoe de ThinApppakketten voor de netwerkshare is toegevoegd. Standaard neemt deze VMware, Inc. 100

101 Tabel 7 2. Sleutels voor de opdrachtregeloptie /v van het installatieprogramma (Vervolgd) Sleutel Waarde Beschrijving downloadmethode meer tijd in beslag dan andere modi. Het voordeel van deze modus is dat het client Windows-systeem niet hoeft te worden toegevoegd aan het Active Directory-domein om de gevirtualiseerde applicatie te verkrijgen en uit te voeren. Belangrijk Om de optie HTTP_DOWNLOAD te laten werken, moet de integratie van de ThinApp-pakketten in VMware Identity Manager worden geconfigureerd voor toegang op basis van accounts. Zie Installatie en configuratie van VMware Identity Manager. Belangrijk Bij VMware Identity Manager 2.6 en later op Windows 2008 R2 of Windows 7, werkt de optie HTTP_DOWNLOAD alleen wanneer u TLS 1.0 in VMware Identity Manager of TLS 1.1 of 1.2 op systemen met Windows 2008 R2 of Windows 7 inschakelt. Om TLS 1.0 in VMware Identity Manager in te schakelen, kunt u Knowledge Base-artikel raadplegen. Om TLS 1.1 of 1.2 op een systeem met Windows in te schakelen, kunt u de documentatie van Microsoft raadplegen via Belangrijk Voor de modus HTTP_DOWNLOAD moet de IDP URL bereikbaar zijn vanaf het Windows-systeem van de gebruiker. RUN_FROM_SHARE: De gevirtualiseerde applicatie wordt gestreamd naar het client Windows-systeem via de netwerkshare wanneer de gebruiker het ThinApp-pakket start. De optie RUN_FROM_SHARE is het meest geschikt voor Windows-systemen die altijd zijn verbonden met de netwerkshare waar de ThinApp-pakketten zich bevinden omdat de ThinApp-pakketten niet op het Windows-systeem staan en de gevirtualiseerde applicaties alleen worden uitgevoerd als het Windows-systeem verbinding kan maken met de netwerkshare. Het client Windows-systeem moet worden toegevoegd aan hetzelfde Active Directory-domein waaraan de netwerkshare met de ThinApppakketten is toegevoegd. Het gebruikersaccount dat wordt gebruikt om zich aan VMware, Inc. 101

102 Tabel 7 2. Sleutels voor de opdrachtregeloptie /v van het installatieprogramma (Vervolgd) Sleutel Waarde Beschrijving te melden op het Windows-systeem, is het account dat wordt gebruikt om de ThinApp-pakketten van de netwerkshare te verkrijgen. Dat account moet de geschikte machtigingen hebben op de netwerkshare om bestanden op de netwerkshare te lezen en uit te voeren. Belangrijk Voor de modus RUN_FROM_SHARE moet de ThinApp share bereikbaar zijn vanaf de Windows-machine van de gebruiker. De standaardwaarde is COPY_TO_LOCAL. Voor alle modi geldt dat voor de netwerkshare de juiste rechten voor bestanden en delen moeten zijn geconfigureerd. Zie Installatie en configuratie van VMware Identity Manager. Belangrijk Wanneer u VMware Identity Manager Desktop in zwevende Viewdesktops installeert, gebruikt u de optie RUN_FROM_SHARE om te voorkomen dat de ThinApp-pakketten op dergelijke stateloze View-desktopsystemen worden gekopieerd. Wanneer de applicatie VMware Identity Manager Desktop is geïnstalleerd met een van deze configuraties, moet het gebruikersaccount waarmee wordt aangemeld op het Windows-systeem de juiste rechten voor bestanden en delen hebben op de netwerkshare om de ThinApp-pakketten te kunnen verkrijgen: De optie RUN_FROM_SHARE De optie COPY_TO_LOCAL zonder dat ook de optie AUTO_TRY_HTTP is ingeschakeld en toegang op basis van accounts geconfigureerd in VMware Identity Manager POLLING_INTERVA L Frequentie in seconden Stelt de frequentie in seconden in van de synchronisatie tussen de geïnstalleerde VMware Identity Manager Desktop-applicatie en VMware Identity Manager om te controleren op nieuwe ThinApp-pakketten of rechten. Wanneer deze waarde niet wordt opgegeven, geldt de standaardwaarde van 300 seconden (5 minuten). Bijvoorbeeld: POLLING_INTERVAL=600 ENABLE_AUTOUPD ATE 0 of 1 Schakelt de automatische updatecontrole in of uit, en downloadt activiteiten. Wanneer deze is ingeschakeld, controleert de geïnstalleerde VMware Identity Manager Desktop-applicatie automatisch of er een meer recente applicatie beschikbaar is die kan worden gedownload. Wanneer er een nieuwere versie beschikbaar is, downloadt de VMware Identity Manager Desktop-applicatie de nieuwere versie automatisch en update zichzelf. Deze optie is standaard ingeschakeld. Stel de waarde van deze variabele in op 0 om de automatische update uit te schakelen. Wanneer deze waarde niet wordt opgegeven, geldt de standaardwaarde 1. Voor het installeren van automatische updates, zijn beheerdersrechten vereist. VMware, Inc. 102

103 Tabel 7 2. Sleutels voor de opdrachtregeloptie /v van het installatieprogramma (Vervolgd) Sleutel Waarde Beschrijving SHARED_CACHE 0 of 1 Bepaalt of de cache van het ThinApp-pakket zich in een algemene map op het Windows-systeem bevindt waarop de clientapplicatie wordt geïnstalleerd. Stel de waarde van deze variabele in op 1 om te specificeren dat alle gebruikersaccounts op het Windows-systeem een algemene cachelocatie delen. Standaard is %ProgramData%\VMware\Identity Manager Desktop\thinapp de algemene map. Wanneer deze waarde niet wordt gespecificeerd, geldt de standaardwaarde 0 en krijgt elke Windows-gebruikersaccount een eigen cache. De standaardlocatie hiervan is %LOCALAPPDATA%\VMware\Identity Manager Desktop\thinapp. Opmerking Wanneer u een gedeelde cache specificeert, verwijdert de VMware Identity Manager Desktop-applicatie ThinApp-pakketten niet automatisch uit deze gedeelde cache. Omdat SHARED_CACHE=1 aangeeft dat alle gebruikersaccounts op het Windows-systeem dezelfde locatie delen, moeten de pakketten op de gedeelde locatie blijven zodat gebruikers met rechten deze kunnen gebruiken, zelfs als u de rechten intrekt van een gebruiker. Wanneer u de rechten van een gebruiker voor een ThinApp-pakket intrekt, maakt de VMware Identity Manager Desktopapplicatie de registratie van dat pakket voor die gebruiker ongedaan. Andere gebruikers met rechten op dat Windows-systeem kunnen het ThinApp-pakket blijven gebruiken. U kunt de algemene cache handmatig verwijderen om ruimte vrij te maken als er geen gebruikersaccounts op dat Windows-systeem zijn met rechten om de ThinApp-pakketten te gebruiken. Elk ThinApp-pakket heeft een eigen map onder de cachelocatie. CACHE_DIR Pad naar map Stelt de locatie in waar ThinApp-pakketten lokaal in de cache zullen worden geplaatst als de installatiemodus HTTP_DOWNLOAD of COPY_TO_LOCAL wordt gebruikt. Deze waarde wordt per systeem en niet per gebruiker ingesteld, dus u moet omgevingsvariabelen gebruiken zoals %LOCALAPPDATA%, om gebruikersspecifieke locaties te selecteren. Maak van het teken % altijd een escapeteken op de opdrachtregel om directe expansie te voorkomen. Bijvoorbeeld: CACHE_DIR=^%LOCALAPPDATA^%\cache AUTO_TRY_HTTP 0 of 1 Wanneer de VMware Identity Manager Desktop-applicatie is geïnstalleerd met de optie COPY_TO_LOCAL en toegang op basis van accounts is geconfigureerd voor VMware Identity Manager, bepaalt de optie AUTO_TRY_HTTP of de client automatisch moet proberen om de ThinApp-pakketten voor de gebruiker met rechten te downloaden via het HTTP-protocol, zoals gebeurt bij de optie HTTP_DOWNLOAD, wanneer de eerste downloadpoging mislukt. Deze optie is standaard ingeschakeld. Stel de waarde van deze optie in op 0 wanneer u niet wilt dat het HTTP-protocol wordt gebruikt om te downloaden. Belangrijk Om de optie AUTO_TRY_HTTP te laten werken, moet de integratie van de ThinApp-pakketten in VMware Identity Manager worden geconfigureerd voor toegang op basis van accounts. Zie VMware Identity Manager-vereisten voor ThinApp-pakketten en de opslagplaats netwerkshare. VMware, Inc. 103

104 Tabel 7 2. Sleutels voor de opdrachtregeloptie /v van het installatieprogramma (Vervolgd) Sleutel Waarde Beschrijving INSTALL_MODULES thinapp Een door komma's gescheiden lijst met te installeren modules. Momenteel is alleen de thinapp-module beschikbaar. MIGRATE_ACTION Een van de volgende: MOVE COPY NONE Wanneer de oude Workspace for Windows-applicatie is geïnstalleerd, migreert het installatieprogramma data en instellingen van de oude applicatie naar de nieuwe. De standaardwaarde is MOVE. De volgende instellingen worden verplaatst, gekopieerd of genegeerd, afhankelijk van de waarde die u specificeert. Gecachte ThinApp-pakketten Gedownloade ThinApp-pakketten worden gekopieerd van de Workspace for Windows-cache, %LOCALAPPDATA%\VMware\Horizon ThinApp\PackageCache naar de nieuwe cachelocatie %LOCALAPPDATA%\VMware\Identity Manager Desktop\thinapp. Namen van mappen in de cachemap worden gewijzigd. Belangrijk Eigenschappen die tijdens de installatie zijn ingesteld voor VMware Identity Manager hebben prioriteit over gemigreerde waarden voor die eigenschappen. Wanneer bijvoorbeeld de INSTALL_MODE in Workspace for Windows is ingesteld op COPY_TO_LOCAL en u hebt tijdens het installeren van Identity Manager Desktop /v INSTALL_MODE=HTTP_DOWNLOAD gespecificeerd, wordt INSTALL_MODE ingesteld op HTTP_DOWNLOAD. Voorbeeld: De VMware Identity Manager Desktop - opdrachtregelopties voor het installatieprogramma gebruiken Als uw VMware Identity Manager-instantie een URL met heeft en VMware Identity Manager is geconfigureerd voor toegang op basis van accounts voor netwerkshare delen van uw ThinApp-pakketten, en u de VMware Identity Manager Desktop-applicatie stil wilt installeren op meerdere desktops van die VMware Identity Manager-instantie met deze opties: De installatieoptie ThinApp ingesteld op HTTP_DOWNLOAD omdat u verwacht dat deze Windowssystemen waarschijnlijk niet worden toegevoegd aan het domein. VMware Identity Manager is op de juiste manier geconfigureerd voor toegang op basis van accounts tot de netwerkshare met de ThinApp-pakketten. De client controleert elke 60 seconden via VMware Identity Manager op nieuwe pakketten en rechten. Zou u een script aanmaken dat de volgende opdracht oproept: VMware-Identity-Manager-Desktop-n.n.n-nnnnnnn.exe /s /v/qn WORKSPACE_SERVER=" INSTALL_MODE=HTTP_DOWNLOAD POLLING_INTERVAL=60 waarbij u het gedeelte n.n.n-nnnnnnn van de bestandsnaam vervangt zodat deze overeenkomt met de naam van uw gedownloade VMware Identity Manager Desktop-installatieprogramma. VMware, Inc. 104

105 Om de applicatie VMware Identity Manager Desktop op meerdere Windows-systemen te implementeren waarbij dezelfde configuratie-instellingen worden toegepast op al die systemen, kunt u een script implementeren dat de VMware Identity Manager Desktop-applicatie installeert met de installeropties van de opdrachtregel. Belangrijk Foutberichten worden niet op het scherm weergegeven wanneer u VMware Identity Manager Desktop in de stille modus implementeert. Om te controleren op fouten tijdens een stille installatie, bekijkt u de map %TEMP% en controleert u of er nieuwe vminst.xxxxxx.log-bestanden zijn. In deze bestanden worden de foutberichten voor een mislukte stille installatie weergegeven. De applicatie VMware Identity Manager Desktop met identieke instellingen installeren op meerdere Windowssystemen Dit implementatiescenario wordt standaard gebruikt voor Windows-systemen die View-desktops zijn. Zie GUID EC18-4EE7-AD9D-13B7CC6FEF44#GUID EC18-4EE7- AD9D-13B7CC6FEF44 voor een omschrijving van instellingen die worden gebruikt voor niet-persistente View-desktops, ook wel zwevende of stateloze desktops genoemd. Vereisten Verifieer of op de Windows-systemen Windows-besturingssystemen zijn geïnstalleerd die worden ondersteund voor de versie van de VMware Identity Manager Desktop-applicatie die u installeert. Zie de Gebruikersgids voor VMware Identity Manager of de informatie over de versie. Verifieer of op de Windows-systemen ondersteunde browsers zijn geïnstalleerd. Wanneer u de mogelijkheid wilt hebben om een opdracht uit te voeren om vertrouwd te raken met de beschikbare opties voordat u het implementatiescript maakt, verifieert u of u over een Windowssysteem beschikt waarop u die opdracht kunt uitvoeren. De opdracht om een lijst met opties weer te geven is alleen beschikbaar op een Windows-systeem. Zie Opdrachtregelopties van installatieprogramma voor VMware Identity Manager Desktop. Procedure 1 Haal het uitvoerbare bestand van het VMware Identity Manager Desktop-installatieprogramma op en zoek dat uitvoerbare bestand op het systeem op waarvan u het installatieprogramma stil wilt uitvoeren. Een methode voor het verkrijgen van het uitvoerbare bestand is om het te downloaden via de downloadpagina van uw VMware Identity Manager-systeem. Wanneer u uw VMware Identity Manager-systeem hebt ingesteld om het installatieprogramma van de Windowsapplicatie te verkrijgen via de downloadpagina, kunt u het uitvoerbare bestand downloaden door de URL van de downloadpagina te openen in een browser. VMware, Inc. 105

106 2 Maak een implementatiescript dat voldoet aan de behoeften van uw organisatie met behulp van de opdrachtregelopties van het installatieprogramma. Voorbeelden van scripts die u kunt gebruiken zijn Active Directory-groepsbeleidscripts, aanmeldscripts, VB-scripts, batchbestanden, SCCM, enzovoort. Wanneer bijvoorbeeld uw VMware Identity Manager-instantie de URL heeft en u de Windows-client stil wilt installeren op Windows-systemen waarvan u verwacht dat deze buiten het domein worden gebruikt, met de ThinApp-implementatiemodus ingesteld op de downloadmodus, en dat de VMware Identity Manager Desktop-applicatiessynchronisatie met de server iedere 60 seconden plaatsvindt, maakt u een script dat de volgende opdracht oproept: VMware-Identity-Manager-Desktop-n.n.n-nnnnnnn.exe /s /v /qn WORKSPACE_SERVER=" INSTALL_MODE=HTTP_DOWNLOAD POLLING_INTERVAL=60 waarbij u het gedeelte n.n.n-nnnnnnn van de bestandsnaam vervangt zodat deze overeenkomt met de naam van uw gedownloade bestand. 3 Voer het implementatiescript uit voor de Windows-systemen. Wanneer de stille installatie is gelukt, wordt de VMware Identity Manager Desktop-applicatie geïmplementeerd op de Windows-systemen. Gebruikers die zijn aangemeld op deze Windows-systemen hebben toegang via die systemen tot de assets waarvoor zij rechten hebben. Opmerking Een ThinApp-pakket waarvoor een gebruiker rechten heeft, wordt gestreamd of gedownload en in de cache geplaatst op het Windows-systeem van de gebruiker wanneer het pollinginterval is verstreken. Als gevolg daarvan kunnen gebruikers het ThinApp-pakket zien dat wordt weergegeven wanneer zij zich aanmelden op de VMware Identity Manager-gebruikersportal. Het ThinApp-pakket wordt pas gestart wanneer de client de applicatie synchroniseert bij het volgende pollinginterval. Wat nu te doen Verifieer of VMware Identity Manager Desktop goed is geïnstalleerd op de Windows-systemen door sommige standaard gebruikerstaken uit te voeren. Voeg desktopinstallatiebestanden van VMware Identity Manager toe aan virtual appliances van VMware Identity Manager. Wanneer nieuwe versies van de desktop van VMware Identity Manager worden uitgegeven, kopieert en installeert u het zip-bestand van de downloadpagina van VMware naar elke virtual appliance van de VMware Identity Manager in uw implementatie. U voert de opdracht check-client-updates.pl uit om de installatiebestanden te implementeren en de Tomcat-service op elke virtual appliance te herstarten. VMware, Inc. 106

107 Vereisten Gebruikers moeten beheerdersrechten hebben op hun computers om de desktopapplicatie VMware Identity Manager te installeren en automatisch bij te werken. Als gebruikers geen beheerdersrechten hebben, kunt u softwaredistributieprogramma's gebruiken om de applicatie voor uw gebruikers te verspreiden en bij te werken. Plan het toevoegen van deze installatiebestanden aan de virtual appliances van de VMware Identity Manager tijdens een onderhoudsvenster, omdat de virtual appliance opnieuw wordt gestart, waardoor de gebruikerstoegang kan worden onderbroken. Procedure 1 Download het zip-bestand van de VMware Identity Manager Desktop van de downloadpagina van My VMware op een computer die toegang heeft tot de virtual appliance van de VMware Identity Manager. 2 Kopieer het zip-bestand naar een tijdelijke locatie in de virtual appliance. Bijvoorbeeld: scp filen.n.n-nnnnnnn.zip root@identitymanager-va.com:/tmp/ 3 Meld u aan op de virtual appliance als hoofdgebruiker. 4 Pak het nieuwe zip-bestand uit en installeer het in de directory Downloads. /usr/local/horizon/scripts/check-client-updates.pl --install --clientfile /tmp/file.n.n.nnnnnn.zip Dit script pakt het bestand automatisch uit en kopieert het installatiebestand van de VMware Identity Manager Desktop voor Windows-computers naar de directory /opt/vmware/horizon/workspace/webapps/root/client. Het script werkt automatisch de directory /opt/vmware/horizon/workspace/webapps/root/client/cds bij, en werkt de URLparameterwaarde bij voor de downloadlink. 5 Start de Tomcat-service opnieuw op de virtual appliance. 6 Herhaal deze stappen voor elke virtual appliance van de VMware Identity Manager in uw omgeving. Gebruikers kunnen de Identity Manager Desktopapplicatie downloaden van hun VMware Identity Manager-accounts of via de downloadlink De Identity Manager Desktopapplicaties van de gebruikers worden automatisch bijgewerkt wanneer ze de nieuwe versie downloaden. De opdrachtregelapplicatie hws-desktop-ctrl.exe gebruiken De VMware Identity Manager Desktop-applicatie omvat een opdrachtregelapplicatie, hws-desktopctrl.exe, die u kunt gebruiken voor het uitvoeren van activiteiten met betrekking tot het gebruik van ThinApp-pakketten op het Windows-systeem van de gebruiker. Tijdens het installatieproces voor de VMware Identity Manager Desktop-applicatie wordt hws-desktopctrl.exe geïnstalleerd in de HorizonThinApp-map in de Windows-directory waarin de VMware Identity Manager Desktop-applicatie is geïnstalleerd. VMware, Inc. 107

108 Als u de applicatie hws-desktop-ctrl.exe gebruikt om een van diens ondersteunde opdrachten uit te voeren, moet u de volgende indeling gebruiken. hws-desktop-ctrl.exe command options Opdracht hws-desktop-ctrl.exe recheck hws-desktop-ctrl.exe set InstallMode=install_mode hws-desktop-ctrl.exe authorize guid=thinapp_guid path=package_path Beschrijving Met deze opdracht worden onmiddellijk de rechten gecontroleerd van de ThinApp-pakketten die betrekking hebben op het gebruikersaccount dat is aangemeld bij de VMware Identity Manager Desktop-applicatie. Alle recent gemachtigde of bijgewerkte ThinApp-pakketten worden gesynchroniseerd. Met deze opdracht wordt de ThinApp-implementatiemodus gewijzigd die voor ThinApppakketten op dit Windows-systeem wordt gebruikt. Omdat via deze opdracht de registersleutels worden gewijzigd die bij de ThinApp-implementatiemodus horen, kunnen alleen beheerders met de juiste registermachtigingen de installatiemodus wijzigen met behulp van deze opdracht. Beschikbare waarden voor install_mode zijn: CopyToLocal RunFromShare HttpDownload Met deze opdracht wordt geverifieerd of een ThinApp-pakket kan worden gestart. Met deze opdracht wordt niet het ThinApp-pakket gestart. Geef de GUID van het ThinApp-pakket en het pad naar het uitvoerbare bestand van het pakket op. Als u de ThinApp-downloadmodus gebruikt voor de pakketten op het Windows-clientsysteem, is het pad naar de lokale cacherootmap. Dit is hetzelfde pad als het pad naar de hoofdmap van de opslagplaats. Een voorbeeld: hws-desktop-ctrl.exe authorize guid= 436E1D7D-552C-4F DB1B05D30394 path="filezilla Client 3.3.2/FileZilla.exe" U kunt de GUID, het applicatiespad en de naam van het uitvoerbare bestand van het ThinApp-pakket zien op de pagina Bronnen in de Beheerconsole. hws-desktop-ctrl.exe quit hws-desktop-ctrl.exe launch app=package_path url=launch_url Via deze opdracht krijgt de VMware Identity Manager Desktop-applicatie de opdracht om op de juiste manier af te sluiten. Deze opdracht wordt gebruikt om een ThinApp-pakket handmatig te starten, waarbij package_path het pad naar het uitvoerbare bestand van het pakket is en launch_url is de VMware Identity Manager-protocol-URL voor dat pakket, in de indeling horizon://package_path. Een voorbeeld: hws-desktop-ctrl.exe launch app="filezilla Client 3.3.2/FileZilla.exe" url="horizon://filezilla Client 3.3.2/FileZilla.exe" Deze opdracht wordt normaal gesproken niet gebruikt door eindgebruikers, omdat ze hun ThinApp-pakketten met rechten kunnen starten vanuit hun Workspace ONE-portal. Deze opdracht wordt normaal gesproken gebruikt voor debugging. VMware, Inc. 108

109 Toegang geven tot 8 gepubliceerde Citrix-bronnen U kunt uw Citrix-implementatie met VMware Identity Manager integreren om Workspace ONE-gebruikers toegang te geven tot gepubliceerde Citrix-bronnen. Dit hoofdstuk omvat de volgende onderwerpen: Overzicht Vereiste onderdelen voor Citrix-integratie Ontwerp voor integratie op hoog niveau Vereisten voor Citrix-integratie Citrix-serverfarms configureren in VMware Identity Manager Starten van Citrix-bron in VMware Identity Manager configureren Instellingen voor VMware Identity Manager configureren voor Citrix-integratie Impact van upgrade op integratie van gepubliceerde Citrix-bronnen Overzicht U kunt Workspace ONE-gebruikers toegang geven tot gepubliceerde Citrix-bronnen door uw Citriximplementatie te integreren met VMware Identity Manager. Gepubliceerde Citrix-bronnen zijn applicaties en desktops binnen Citrix XenApp- en XenDesktop-serverfarms. Desktops worden ook wel gepubliceerde Citrix-leveringsgroepen genoemd. U beheert gepubliceerde Citrix-applicaties en -desktops in de Citrix-beheerinterface. Ook stelt u gebruikers- en groepsrechten in de Citrix-interface in, niet in de VMware Identity Manager-service. U moet deze gebruikers en groepen via Active Directory synchroniseren naar de VMware Identity Managerservice voordat u gaat integreren met de Citrix-serverfarms. Als u Citrix-serverfarms gaat integreren met VMware Identity Manager, kunt u een of meer verzamelingen van virtuele apps in de VMware Identity Manager-beheerconsole maken. De verzamelingen bevatten de configuratiegegevens voor de serverfarms evenals de synchronisatie-instellingen. U kunt een synchronisatieplanning voor elke verzameling instellen om bronnen en rechten van de Citrixserverfarms regelmatig te synchroniseren naar de VMware Identity Manager-service. VMware, Inc. 109

110 Nadat u de Citrix-serverfarms hebt geïntegreerd, kunt u de gesynchroniseerde bronnen en rechten bekijken in de VMware Identity Manager-beheerconsole. U kunt ook ICA-sessie-instellingen bewerken, zoals de instellingen die resolutie of compressie beheren. U kunt de instellingen algemeen, voor alle Citrix-bronnen in de VMware Identity Manager-catalogus of voor afzonderlijke Citrix-bronnen configureren. Eindgebruikers kunnen gepubliceerde Citrix-applicaties en -desktops starten in de Workspace ONE-portal of -app. Ze installeren Citrix Receiver op hun systemen en apparaten om toegang te krijgen tot bronnen waarvoor ze rechten hebben. Opmerking VMware Identity Manager ondersteunt Citrix-implementaties met Citrix Netscaler. Ondersteunde versies VMware Identity Manager ondersteunt XenApp 5.0, 6.0, 6.5 en 7.x en XenDesktop 7.x. Ondersteunde besturingssystemen voor de Integration Broker, het VMware Identity Manageronderdeel dat communiceert met de Citrix-serverfarm, zijn Windows Server 2008 R2, Windows Server 2012 en Windows Server 2012 R2. Versievereisten voor Integration Broker: Versie van VMware Identity Manager of Connector Ondersteunde versie van Integration Broker VMware Identity Manager VMware Identity Manager Connector (connector uitgebracht met VMware Identity Manager 3.1) 3.1 VMware Identity Manager VMware Identity Manager Connector (connector uitgebracht met VMware Identity Manager 3.0) VMware Identity Manager of lager VMware Identity Manager Connector of lager of lager of lager Opmerking Voor gebruik van de Citrix StoreFront REST API is Integration Broker of hoger vereist. Voor XenApp of XenDesktop 7.x is Integration Broker 2.6 of hoger vereist. Voor gebruik van de NetScaler-functie is Integration Broker 2.4 of hoger vereist. Opmerking Het gebruik van de nieuwste beschikbare versie van VMware Identity Manager en de bijbehorende onderdelen wordt aanbevolen. Vereiste onderdelen voor Citrix-integratie Als u een Citrix-implementatie wilt integreren in de VMware Identity Manager-service, hebt u de volgende onderdelen nodig. Een VMware Identity Manager-implementatie die op locatie is geïnstalleerd. VMware, Inc. 110

111 Een Integration Broker-instantie geïnstalleerd op een ondersteunde Windows-server op locatie. De Integration Broker, een onderdeel van VMware Identity Manager, is het onderdeel dat communiceert met Citrix-serverfarms. U kunt de Integration Broker downloaden via Een Citrix-implementatie op locatie. Terwijl u de onderdelen implementeert, zorgt u ervoor dat u aan deze vereisten voldoet: De VMware Identity Manager-service moet kunnen communiceren met de Integration Broker. Als u meerdere instanties van de serviceappliance implementeert, zorgt u ervoor dat ze allemaal kunnen communiceren met de Integration Broker. De Integration Broker moet kunnen communiceren met de Citrix-serverfarm. Opmerking Het gebruik van de nieuwste beschikbare versie van VMware Identity Manager en de bijbehorende onderdelen wordt aanbevolen. Ontwerp voor integratie op hoog niveau VMware Identity Manager gebruikt de Integration Broker en andere onderdelen om gepubliceerde Citrixbronnen te synchroniseren naar VMware Identity Manager en om de bronnen te starten in de Workspace ONE-portal of -app. Synchronisatie van gepubliceerde Citrix-bronnen en -rechten VMware Identity Manager synchroniseert gepubliceerde Citrix-applicaties en -desktops, en gebruikersrechten, van de Citrix-serverfarm met de VMware Identity Manager-service. U kunt een synchronisatieschema instellen om de bronnen en rechten met regelmatige intervallen te synchroniseren. De Citrix-farm is de enige bron van waarheid wat betreft alle ondersteunde bewerkingen in VMware Identity Manager. U beheert de bronnen en verleent gebruikers rechten voor die bronnen in Citrix. Wanneer bronnen of rechten worden toegevoegd, gewijzigd of verwijderd in de Citrix-farm, wordt de informatie in VMware Identity Manager bijgewerkt na een synchronisatie. VMware, Inc. 111

112 Diagram van architectuur voor synchronisatie Workspace ONE Citrix Receiver Receiver-client HTML5-ontvanger Receiver voor Web (browser) VMware Identity Managerconfiguratie Citrix-onderdelen Connector 1 Integration Broker PowerShell 2 StoreFront Controller XML-server VMware Identity Managerservice Sessiehost Sessiehost Sessiehost Active Directory Citrixconfiguratie Gebruikers en groepen worden via de VMware Identity Manager Connector gesynchroniseerd van uw bedrijfsdirectory naar de VMware Identity Manager-service. Gepubliceerde Citrix-bronnen en -rechten worden van de Citrix-serverfarm naar VMware Identity Manager gesynchroniseerd met de connector, Integration Broker en PowerShell SDK. Gepubliceerde Citrix-applicaties en -desktops starten VMware Identity Manager gebruikt het onderdeel Integration Broker en de Citrix Web Interface SDK of Citrix StoreFront REST API om gepubliceerde Citrix-applicaties te starten in de Workspace ONE-portal of -app. U kunt interne en externe toegang tot de gepubliceerde Citrix-bronnen configureren. Eindgebruikers moeten Citrix Receiver op hun systemen of apparaten installeren om de applicaties en desktops te starten. VMware, Inc. 112

113 Diagram met startarchitectuur (interne toegang) Workspace ONE 5 ICAbestand Citrixontvanger 1 4 VMware Identity Managerservice 2 3 Connector Integration Broker Citrix-onderdelen Webinterface SDK/ StoreFront API 6 REST API ICA-bestand verifiëren en aanvragen StoreFront Controller XML-server STA-server Sessiehost Sessiehost Sessiehost Citrixconfiguratie 1 Een gebruiker start een gepubliceerde Citrix-applicatie of -desktop in de Workspace ONE-portal of - app. 2 De aanvraag wordt verzonden naar de VMware Identity Manager-service, -connector en Integration Broker. 3 De Integration Broker communiceert via de Web Interface SDK of StoreFront REST API met de Citrixserverfarm voor verificatie en om het ICA-bestand aan te vragen. 4 Het ICA-bestand wordt opgehaald en doorgegeven aan de Workspace ONE-portal of -app. 5 Het ICA-bestand wordt doorgegeven aan de Citrix Receiver. 6 De Citrix Receiver start de applicatie of desktop. VMware, Inc. 113

114 Diagram met startarchitectuur (externe toegang) Workspace ONE 5 ICAbestand Citrixontvanger 1 4 VMware Identity Managerservice 2 3 Connector Integration Broker Citrix-onderdelen Webinterface SDK/ StoreFront API 6 REST API ICA-bestand verifiëren en aanvragen StoreFront Controller XML-server Sessiehost Sessiehost STA-server Sessiehost 7 NetScaler 8 Citrixconfiguratie 1 Een gebruiker start een gepubliceerde Citrix-applicatie of -desktop in de Workspace ONE-portal of - app. 2 De aanvraag wordt verzonden naar de VMware Identity Manager-service, -connector en Integration Broker. 3 De Integration Broker communiceert via de Web Interface SDK of StoreFront REST API met de Citrixserverfarm voor verificatie en om het ICA-bestand aan te vragen. 4 Het ICA-bestand wordt opgehaald en doorgegeven aan de Workspace ONE-portal of -app. 5 Het ICA-bestand wordt doorgegeven aan de Citrix Receiver. 6 Citrix Receiver communiceert met NetScaler. 7 NetScaler communiceert met de Citrix STA-server met het STA-ticket en ontvangt de informatie van de Citrix-sessieserver. 8 NetScaler communiceert met de Citrix-sessiehostserver en maakt een sessie voor het starten van de applicatie. Opmerking In versie 7.x is Citrix VDA-server de Citrix-sessiehostserver. In versie 6.5 is dit de Citrix Worker-server. VMware, Inc. 114

115 StoreFront REST API of Web Interface SDK gebruiken voor het starten De Integration Broker kan de Citrix Web Interface SDK en de Citrix StoreFront REST API gebruiken om met de Citrix-implementatie te communiceren voor het starten van applicaties en desktops. Wanneer de StoreFront REST API wordt gebruikt, fungeert de Integration Broker als REST-client. De Web Interface SDK en de StoreFront REST API worden gebruikt voor verificatie en genereren het ICA-bestand vanuit de Citrix-implementatie. U kunt opgeven welke optie moet worden gebruikt door het selectievakje StoreFront gebruiken in of uit te schakelen op de Citrix-configuratiepagina in de VMware Identity Manager-beheerconsole. Een instantie van de Integration Broker kan zowel de Web Interface SDK als de StoreFront REST API gebruiken. Als u wilt communiceren met één Citrix-farm die de Web Interface SDK gebruikt en een andere Citrix-farm die de StoreFront REST API gebruikt, schakelt u het selectievakje StoreFront gebruiken zo nodig in of uit. Als u de optie StoreFront REST API wilt gebruiken, die beschikbaar is in VMware Identity Manager en hoger, zorgt u ervoor dat is voldaan aan de volgende vereisten. Installeer Integration Broker of hoger. Controleer of StoreFront wordt ondersteund door de XenApp- of XenDesktop-versie die u gebruikt. Zorg ervoor dat de Integration Broker kan communiceren met de StoreFront-server. Wanneer u de StoreFront REST API inschakelt, communiceert de Integration Broker met de StoreFront-server om het ICA-bestand te genereren. Schakel HTTP Basic-verificatie in als verificatiemethode in de Citrix StoreFront-store. Dit is alleen vereist voor interne toegang. Voorzichtig Als u HTTP Basic-verificatie niet inschakelt, mislukt de verificatie. VMware, Inc. 115

116 Opmerking Als u de StoreFront REST API wilt gebruiken, moet u extra bestanden downloaden of kopiëren naar uw installatie. Vereisten voor Citrix-integratie Voordat u gegevens van Citrix-serverfarm configureert in de VMware Identity Manager-beheerconsole, moet u bepaalde vereiste taken voltooien. U moet de Integration Broker, een VMware Identity Manageronderdeel, implementeren en configureren op een ondersteunde Windows-server en Citrix PowerShell Remoting instellen om communicatie tussen de Integration Broker en de Citrix-serverfarm mogelijk te maken. Taken op hoog niveau omvatten het volgende: De Windows-server voorbereiden op de Integration Broker-installatie. Functies en onderdelen toevoegen. Herdistribueerbaar pakket voor Microsoft Visual J# 2.0 installeren. Microsoft J# 2.0 is niet vereist als u de Citrix Storefront REST API in plaats van de Citrix Web Interface SDK wilt gebruiken om verbinding te maken met de Citrix-serverfarm. Integration Broker installeren. De Integration Broker downloaden en installeren. De instellingen voor IIS-beheer voor de Integration Broker configureren. HTTPS-bindingen voor de Integration Broker instellen. VMware, Inc. 116

117 Citrix PowerShell Remoting instellen om externe aanroepen tussen de Integration Broker-server en de Citrix-serverfarm mogelijk te maken. Citrix PowerShell SDK op de Integration Broker-server installeren. PowerShell Remoting op de Citrix-servers (alleen Citrix 6.0 en 5.0) inschakelen. Citrix Web Interface SDK DLL-bestanden downloaden en kopiëren. Citrix Web Interface SDK is niet vereist als u de Storefront ReST API wilt gebruiken om verbinding te maken met de Citrix-serverfarm. U kunt de volgende video bekijken voor een overzicht van het proces. Integration Broker voor gepubliceerde Citrix-applicaties en -desktops installeren ( bctid=ref:video_integration_broker_citrix) Over het implementeren van de Integration Broker De Integration Broker is een onderdeel van VMware Identity Manager dat wordt gebruikt voor communicatie met de Citrix-serverfarm. U installeert de Integration Broker op locatie op een ondersteunde Windows-server. Volg deze richtlijnen wanneer u de Integration Broker wilt implementeren. U kunt de Integration Broker installeren in Windows Server 2012 R2, Windows Server 2012 of Windows Server 2008 R2. Tabel 8 1. Serververeisten voor Integration Broker Vereiste Windows Server 2012 R2, Windows Server 2012 of Windows Server 2008 R2 met dual-core processor Opmerkingen Windows 2012 R2 wordt aanbevolen. 4 GB RAM 30 GB De opslagruimte voor het Windows-besturingssysteem is hierbij inbegrepen. Versievereisten voor Integration Broker: Versie van VMware Identity Manager of Connector Ondersteunde versie van Integration Broker VMware Identity Manager VMware Identity Manager Connector (connector uitgebracht met VMware Identity Manager 3.1) 3.1 VMware Identity Manager VMware Identity Manager Connector (connector uitgebracht met VMware Identity Manager 3.0) 3.0 VMware, Inc. 117

118 Versie van VMware Identity Manager of Connector VMware Identity Manager of lager VMware Identity Manager Connector of lager Ondersteunde versie van Integration Broker of lager of lager Opmerking Voor gebruik van de Citrix StoreFront REST API is Integration Broker of hoger vereist. Voor XenApp of XenDesktop 7.x is Integration Broker 2.6 of hoger vereist. Voor gebruik van de NetScaler-functie is Integration Broker 2.4 of hoger vereist. Opmerking Het gebruik van de nieuwste beschikbare versie van VMware Identity Manager en de bijbehorende onderdelen wordt aanbevolen. De VMware Identity Manager Connector moet kunnen communiceren met de Integration Broker. Als u meerdere connectorinstanties hebt ingesteld, controleert u of alle connectoren met de Integration Broker kunnen communiceren. Opmerking U moet via SSL verbinding maken met elke Integration Broker-instantie die wordt gebruikt om te starten. Eén Integration Broker-instantie kan meerdere Citrix 5.x-, 6.x- en 7.x-omgevingen ondersteunen. Volg deze richtlijnen als u de VMware Enterprise Systems Connector gebruikt in Windows. Download de Integration Broker van de VMware Identity Manager-productpagina op My VMware. Het is raadzaam de Integration Broker en de VMware Enterprise Systems Connector op verschillende servers te installeren. Als u de Integration Broker op dezelfde server installeert als de connector, moet u ervoor zorgen dat de HTTP- en HTTPS-bindingpoorten geen conflict veroorzaken met de poorten die worden gebruikt door het VMware Identity Manager Connector-onderdeel. Het VMware Identity Manager Connector-onderdeel gebruikt altijd poort 80. Ook poort 443 wordt gebruikt, tenzij tijdens de installatie een andere poort is geconfigureerd. Er wordt een zelfondertekend certificaat gegenereerd tijdens de installatie van de connector. Als u de Integration Broker op dezelfde server installeert als de connector, kunt u dit certificaat gebruiken. Installeer het certificaat in de Microsoft-opslagplaats en gebruik dit voor HTTPSbinding. Plan uw implementatiestrategie voordat u aan de slag gaat. Zie Integration Brokerimplementatiemodellen voor aanbevelingen voor veelvoorkomende scenario's. Integration Broker-implementatiemodellen Implementeer een of meer instanties van de Integration Broker, afhankelijk van uw bedrijfsbehoeften. De volgende implementatiemodellen zijn gebaseerd op veelvoorkomende scenario's. VMware, Inc. 118

119 Proof-of-concept-omgevingen In proof-of-concept-omgevingen, waarbij u slechts een aantal gepubliceerde Citrix-applicaties in VMware Identity Manager configureert om vertrouwd te raken met het integratieproces en de ervaring van eindgebruikers, wordt u aanbevolen één Integration Broker-instantie in te stellen. Selecteer dezelfde Integration Broker-instantie als de Integration Broker voor synchronisatie en de Integration Broker voor SSO in de verzameling van virtuele apps. Synchroniseren VMware Identity Manager-service VMware Identity Manager-connector Openen Integration Broker Testomgevingen In kleine testomgevingen, waarbij u de hele procedure, inclusief het synchroniseren en starten wilt testen, wordt het implementeren van twee Integration Broker-instanties aanbevolen: een voor het synchroniseren van bronnen en rechten en de andere voor het starten van bronnen. In dit scenario integreert u doorgaans slechts enkele applicaties en wordt niet verwacht dat een groot aantal gebruikers applicaties tegelijk starten. Selecteer een van de instanties als de Integration Broker voor synchronisatie en de andere als de Integration Broker voor SSO in de verzameling van virtuele apps. Synchroniseren Integration Broker VMware Identity Manager-service VMware Identity Manager-connector Openen Integration Broker Productieomgevingen Voor een hoge beschikbaarheid en load-balancingdoeleinden wordt u in productieomgevingen aanbevolen een cluster van Integration Broker-instanties achter een load balancer in te stellen. Als een van de Integration Broker-instanties niet beschikbaar is, blijven het synchroniseren en starten beschikbaar omdat de aanvragen worden omgeleid naar een andere instantie in het cluster. Voer de informatie van de load balancer in de velden Integration Broker voor synchronisatie en Integration Broker voor SSO in de verzameling van virtuele apps in. VMware, Inc. 119

120 Synchroniseren Integration Broker VMware Identity Manager-service VMware Identity Manager-connector Openen Load balancer Integration Broker Grootschalige productieomgevingen In grote productieomgevingen die een groot aantal applicaties integreren en veel verkeer verwerken, wordt u aanbevolen afzonderlijke Integration Broker-clusters voor het synchroniseren en starten in te stellen. Stel elk cluster in achter een load balancer. Deze instelling geeft u de flexibiliteit om het aantal instanties te verhogen op basis van uw specifieke behoeften. Bijvoorbeeld: als u vertragingen ondervindt vanwege een groot aantal gelijktijdige startacties, kunt u meer Integration Broker-instanties toevoegen aan het cluster dat wordt gebruikt voor het starten. Voer de juiste load balancers in de velden Integration Broker voor synchronisatie en Integration Broker voor SSO in de verzameling van virtuele apps in. Opmerking Voor een Integration Broker-instantie die alleen wordt gebruikt voor startacties en niet voor synchronisatie, hoeft u Citrix PowerShell Remoting niet in te stellen. Ook als u de StoreFront REST API gebruikt om verbinding te maken met de Citrix-serverfarm, hoeft u de Citrix Web Interface SDK niet te downloaden. VMware, Inc. 120

121 Integration Broker Synchroniseren Load balancer VMware Identity Manager-service VMware Identity Manager-connector Integration Broker Openen Load balancer Integration Broker Windows-server voorbereiden op de Integration Broker-installatie Voordat u Integration Broker installeert, moet u de Windows-server configureren. De volgende besturingssystemen worden ondersteund voor de Integration Broker-server. Windows Server 2008 R2 Windows Server 2012 Windows Server 2012 R2 Opmerking Zie de VMware-productinteroperabiliteitsmatrices op voor de nieuwste informatie over ondersteunde versies. Functies en onderdelen voor Windows Server toevoegen Voeg de vereiste functies, onderdelen en functieservices toe in de Integration Broker-server. Opmerking De stappen in deze procedure verwijzen naar de gebruikersinterface van Windows Server 2012 of Windows Server 2012 R2. Indien van toepassing worden verschillen voor Windows Server 2008 R2 vermeld. Vereisten Controleer of Windows Server 2008 R2, Windows Server 2012 of Windows Server 2012 R2 met de meest recente updates is geïnstalleerd. Selecteer Configuratiescherm > Windows Update om te controleren of er updates beschikbaar zijn. VMware, Inc. 121

122 Maak zo nodig een applicatiepool. U kunt de standaardapplicatiesgroep gebruiken of een specifieke applicatiesgroep voor de Integration Broker maken. Procedure 1 Selecteer Start > Serverbeheer. 2 Selecteer in Serverbeheer Beheren > Functies en onderdelen toevoegen. 3 Klik in de wizard Functies en onderdelen toevoegen op Volgende tot de pagina Serverfuncties wordt weergegeven. 4 Selecteer de volgende functies en klik vervolgens op Volgende. Functies Toepassingsserver Bestands- en opslagservices Webserver (IIS) Opmerking Wanneer u Webserver (IIS) selecteert, wordt u in een dialoogvenster gevraagd te bevestigen welke onderdelen zijn vereist voor Webserver (IIS). Controleer of Beheerhulpprogramma's is opgenomen en klik vervolgens op Onderdelen toevoegen. VMware, Inc. 122

123 5 Selecteer de volgende onderdelen op de pagina Onderdelen. Onderdelen.NET Framework 3.5-onderdelen.NET Framework 3.5 (omvat.net 2.0 en 3.0) HTTP-activering Wanneer u HTTP-activering selecteert, wordt u in een dialoogvenster gevraagd te bevestigen welke onderdelen zijn vereist voor HTTP-activering. Klik op Onderdelen toevoegen. Opmerking Selecteer in Windows Server 2008 R2 de volgende opties:.net Framework 3.5-onderdelen.NET Framework 3.5 WCF-activering HTTP-activering IIS Hostable Web Core Windows-procesactiveringsservice WinRM IIS-extensie Bijvoorbeeld: Figuur 8 1. Windows Server 2012 R2 6 Klik op Volgende en klik vervolgens opnieuw op Volgende om de pagina Functieservices van Toepassingsserver weer te geven. VMware, Inc. 123

124 7 Selecteer de volgende functieservices op de pagina Functieservices van Toepassingsserver. Functieservices van Toepassingsserver Functieservices van Toepassingsserver.NET Framework 4.5 (niet wijzigen indien vooraf geselecteerd) Ondersteuning voor Webserver (IIS) Opmerking Wanneer u Webserver (IIS) selecteert, wordt u in een dialoogvenster gevraagd te bevestigen welke onderdelen zijn vereist voor Webserver (IIS). Klik op Onderdelen toevoegen. Ondersteuning voor Windows-procesactiveringsservice HTTP-activering Bijvoorbeeld: 8 Klik op Volgende en klik vervolgens opnieuw op Volgende om de pagina Functieservices van Webserverfunctie (IIS) weer te geven. VMware, Inc. 124

125 9 Selecteer de volgende functieservices op de pagina Functieservices van Webserverfunctie (IIS). Functieservices van Webserverfunctie (IIS) Webserver Accepteer de standaard geselecteerde opties Schakel de volgende optie in: Beheerhulpprogramma's IIS-beheerconsole Compatibiliteit met IIS 6-beheer Bijvoorbeeld: 10 Klik op Volgende. 11 Klik op Installeren. 12 Nadat de installatie is voltooid, klikt u op Sluiten om de wizard Functies en onderdelen toevoegen te sluiten. Wat nu te doen Installeer zo nodig Herdistribueerbaar pakket voor Microsoft Visual J# bits herdistribueerbaar pakket voor Microsoft Visual J# 2.0 installeren Download en installeer het 64-bits herdistribueerbaar pakket voor Microsoft Visual J# 2.0 (tweede editie). Deze stap is niet vereist als u de Citrix Storefront REST API in plaats van de Citrix Web Interface SDK wilt gebruiken om verbinding te maken met de Citrix-serverfarm. Procedure 1 Download het 64-bits herdistribueerbaar pakket voor Microsoft Visual J# 2.0 (tweede editie) van de Microsoft-website. 2 Dubbelklik op het bestand vjredist.exe en voer de wizard uit om het pakket te installeren. VMware, Inc. 125

126 Integration Broker implementeren Als u de Integration Broker wilt implementeren, downloadt en installeert u de Integration Broker op een ondersteunde Windows-server, configureert u de bijbehorende instellingen voor IIS-beheer en stelt u HTTPS- en HTTP-bindingen in. Integration Broker installeren Installeer Integration Broker op de Windows-server die u hebt geconfigureerd. Vereisten Bereid de Windows-server voor. Zie Windows-server voorbereiden op de Integration Brokerinstallatie. Download de Integration Broker van de VMware Identity Manager-productpagina op My VMware. Procedure 1 Meld u aan als een Windows-beheerder. 2 Klik op het bestand setup.exe om het installatieprogramma voor Integration Broker uit te voeren. 3 Accepteer de licentieovereenkomst voor eindgebruikers. 4 Selecteer de weblocatie waar u de Integration Broker wilt installeren. 5 (Optioneel) Wanneer u een afzonderlijke applicatiepool hebt gemaakt voor de Integration Broker, selecteert u de applicatiepool. Voorzichtig Wijzig de naam van de virtuele directory niet. 6 Klik op Volgende om de installatie van de Integration Broker te voltooien. Wat nu te doen Configureer de instellingen voor IIS-beheer. Instellingen voor IIS-beheer configureren Configureer de vereiste instellingen voor IIS-beheer voor de Integration Broker. Opmerking De stappen in deze procedure verwijzen naar de gebruikersinterface van Windows Server 2012 of Windows Server 2012 R2. Indien van toepassing worden verschillen voor Windows Server 2008 R2 vermeld. Vereisten De aanmeldgegevens voor de Identity-gebruiker. De Identity-gebruiker moet voldoen aan de volgende vereisten: Domeingebruiker VMware, Inc. 126

127 Machtigingen om PowerShell Remoting in te schakelen op de Integration Broker-server: a b Start PowerShell met beheerdersmachtigingen Voer Enable-PSRemoting uit Een van de volgende rollen op de Citrix-server: Ten minste Alleen-lezen beheerder (versie 7.x) of Alleen-weergeven beheerder (versie 6.x) Een aangepaste beheerdersrol die de machtigingen heeft om de volgende PowerShell cmdlets uit te voeren. Deze cmdlets worden gebruikt om applicaties, server, farm en pictograminformatie op te halen bij de Citrix-serverfarm. Op XenApp 6.5: Get-XAApplication Get-XAServer Get-XAAccount Get-XAApplicationIcon Get-XAFarm Op XenApp of XenDesktop 7.x: Get-BrokerApplication Get-BrokerIcon Get-BrokerDesktopGroup Get-BrokerAccessPolicyRule Get-BrokerAppEntitlementPolicyRule Get-BrokerIcon Get-BrokerEntitlementPolicyRule Procedure 1 Klik op Start > Serverbeheer. 2 Selecteer in Serverbeheer Hulpmiddelen > Beheer van Internet Information Services (IIS). 3 Configureer in IIS-beheer de applicatiepool die u hebt geselecteerd tijdens het installeren van de Integration Broker. Tip Als u wilt controleren of u de juiste applicatiepool gebruikt, klikt u in het linkerdeelvenster op Toepassingsgroepen, klikt u met de rechtermuisknop op de applicatiepool en selecteert u Toepassingen weergeven en controleert u of de Integration Broker wordt weergegeven in de lijst. a b Klik in het linkerdeelvenster op Toepassingsgroepen. Selecteer de applicatiepool die u gebruikt voor de Integration Broker. VMware, Inc. 127

128 c d Klik op Geavanceerde instellingen in het rechterdeelvenster. Configureer in het dialoogvenster Geavanceerde instellingen de volgende instellingen. Optie.NET CLR-versie Beschrijving Controleer of de versie v2.0 is. Opmerking In Windows 2012 en Windows 2012 R2 is de applicatiepool mogelijk standaard geconfigureerd voor een andere versie van.net. Configureer deze voor versie bits applicaties inschakelen Stel de waarde in op Waar. Identiteit 1 Klik op Identiteit. 2 Klik op het pictogram... 3 Klik in het dialoogvenster Identiteit van groep van toepassingen dat wordt geopend, op Aangepast account en klik vervolgens op Instellen. 4 Voer de gebruikersnaam en het wachtwoord voor de identiteitsgebruiker in. Zie de vereisten voor de identiteitsgebruikers in het gedeelte Vereisten. 5 Klik op OK en klik opnieuw op OK. e Klik op OK om het dialoogvenster Geavanceerde instellingen te sluiten. VMware, Inc. 128

129 HTTPS-sitebinding voor de Integration Broker instellen U moet de HTTPS-sitebinding voor de Integration Broker instellen. Als u de binding wilt instellen, hebt u een SSL-certificaat nodig voor de Integration Broker-server. U kunt een certificaat aanvragen bij een certificaatautoriteit of een zelfondertekend certificaat maken. Opmerking Als u de VMware Enterprise Systems Connector in Windows gebruikt en de Integration Broker op dezelfde server installeert als de connector, moet u ervoor zorgen dat de HTTP- en HTTPSbindingpoorten geen conflict veroorzaken met de poorten die worden gebruikt door het VMware Identity Manager Connector-onderdeel. Het VMware Identity Manager Connector-onderdeel gebruikt altijd poort 80. Ook poort 443 wordt gebruikt, tenzij tijdens de installatie een andere poort is geconfigureerd. Zie Installatie en configuratie van VMware Enterprise Systems Connector voor meer informatie over de gebruikte poorten. Het is raadzaam de Integration Broker en de VMware Enterprise Systems Connector op verschillende servers te installeren. Vereisten Vraag een SSL-certificaat aan voor de Integration Broker-server. U kunt een certificaat aanvragen bij een certificaatautoriteit of een zelfondertekend certificaat maken. Installeer het certificaat in de Microsoft-opslagplaats op de Integration Broker-server. Zie Voorbeeld: een zelfondertekend certificaat maken met IIS-beheer en Voorbeeld: een zelfondertekend certificaat maken met OpenSSL. Opmerking Als u de VMware Enterprise Systems Connector in Windows gebruikt en de Integration Broker op dezelfde server als de connector hebt geïnstalleerd, kunt u het zelfondertekende certificaat gebruiken dat is gegenereerd tijdens de installatie van de connector. Installeer het certificaat in de Microsoft-opslagplaats en gebruik dit voor HTTPS-binding. Als u een interne CA gebruikt om het certificaat te maken, uploadt u het rootcertificaat van de interne CA op op het tabblad SSL beëindigen op een load balancer, waarbij vidmhostname de VMware Identity Manager-instantie is waar de Citrix-integratie wordt geconfigureerd, zodat VMware Identity Manager het certificaat kan vertrouwen. Ga in een SaaSomgeving naar Procedure 1 Klik in IIS-beheer in het linkerdeelvenster op de website waaronder u de Integration Broker hebt geïnstalleerd. Tip Om te controleren of de website correct is, kunt u de site in het linkerdeelvenster uitvouwen en controleren of de Integration Broker eronder wordt vermeld. 2 Klik in het rechterdeelvenster onder Site bewerken op Bindingen. VMware, Inc. 129

130 3 Voeg de HTTPS-binding toe met het certificaat dat u hebt gemaakt. a b c d Klik op Toevoegen. Selecteer https in het veld Type. Als u IIS 8.0 of hoger gebruikt, controleert u of het veld Hostnaam leeg is. Het mag geen waarde bevatten. Selecteer in het veld SSL-certificaat het SSL-certificaat dat u hebt gemaakt. Bijvoorbeeld: e Klik op OK. 4 Start IIS opnieuw op. a b Open het venster met de opdrachtprompt als beheerder. Typ iisreset. Wat nu te doen Controleer de bindingen. Verifieer of de HTTP-binding de verwachte uitvoer produceert door /IB/API/RestServiceImpl.svc/ibhealthcheck in te voeren in de adresbalk van een browser. Verwachte uitvoer: Alles OK Verifieer of de HTTPS-binding de verwachte uitvoer produceert door /IB/API/RestServiceImpl.svc/ibhealthcheck in te voeren in de adresbalk van een browser. Verwachte uitvoer: Alles OK Opmerking In Internet Explorer wordt de uitvoer Alles OK niet direct weergegeven. In plaats daarvan wordt het uitvoerbestand gedownload. Open het bestand om de uitvoer te bekijken. VMware, Inc. 130

131 Voorbeeld: een zelfondertekend certificaat maken met IIS-beheer U kunt een zelfondertekend certificaat maken voor de Integration Broker-server met IIS-beheer. Procedure 1 Start IIS-beheer. 2 Navigeer naar Servercertificaten. 3 Selecteer Zelfondertekend certificaat maken onder Actie in het rechterdeelvenster. 4 Volg de wizard om het zelfondertekende certificaat te genereren. Het certificaat wordt automatisch geïnstalleerd in de Microsoft-opslagplaats op de Integration Brokerserver. Wat nu te doen Gebruik het certificaat voor de HTTPS-binding voor de Integration Broker-website. Voorbeeld: een zelfondertekend certificaat maken met OpenSSL Deze instructies bieden een voorbeeld voor hoe u een zelf-ondertekend certificaat instelt met behulp van OpenSSL voor Integration Broker. Procedure 1 Maak een zelfondertekend certificaat voor de Integration Broker-server. 2 Maak de map ibcerts om als werkdirectory te gebruiken. VMware, Inc. 131

132 3 Maak een configuratiebestand met behulp van de opdracht vi openssl_ext.conf. a Kopieer en plak de volgende OpenSSL-opdrachten in het configuratiebestand. # openssl x509 extfile params extensions = extend [req] # openssl req params prompt = no distinguished_name = dn-param [dn-param] # DN fields C = US ST = CA O = VMware (Dummy Cert) OU = Horizon Workspace (Dummy Cert) CN = hostnaam (hostnaam van de virtuele machine waarop Integration Broker is geïnstalleerd.) address = PROTECTED [extend] # openssl extensions subjectkeyidentifier = hash authoritykeyidentifier = keyid:always keyusage = digitalsignature,keyencipherment extendedkeyusage=serverauth,clientauth [policy] # certificate policy extension data Opmerking Typ de CN-waarde voordat u het bestand opslaat. b Voer deze opdracht uit om een privésleutel te genereren. openssl genrsa -des3 -out server.key 1024 c d Typ de wachtwoordzin voor server.key, bijvoorbeeld vmware. Wijzig de naam van het bestand server.key in server.key.orig. mv server.key server.key.orig e Verwijder het wachtwoord dat aan de sleutel is gekoppeld. openssl rsa -in server.key.orig -out server.key 4 Maak een CSR (Certificate Signing Request) met de gegenereerde sleutel. De server.csr wordt opgeslagen in uw werkdirectory. openssl req -new -key server.key -out server.csr -config./openssl_ext.conf 5 Onderteken de CSR. openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt -extfile openssl_ext.conf VMware, Inc. 132

133 De verwachte output wordt weergegeven. Signature ok subject=/c=us/st=ca/o=vmware (Dummy Cert)/OU=Horizon Workspace (Dummy Cert)/CN=w2-hwdog-xa.vmware.com/ Address= PROTECTED Privésleutel ophalen 6 Maak P12-formaat. openssl pkcs12 -export -in server.crt -inkey server.key -out server.p12 a Druk op Enter bij de vraag om een exportwachtwoord. Belangrijk Voer geen wachtwoord in. De verwachte output is het bestand server.p12. b c d e f Verplaats het bestand server.p12 naar het Windows-apparaat waarop Integration Broker is geïnstalleerd. Vanaf de opdrachtregel typt u mmc. Klik op Bestand > Modules toevoegen of verwijderen. In het Modulevenster klikt u op Certificaten en op Toevoegen. Selecteer het keuzerondje Computeraccount. 7 Importeer het certificaat naar de basis- en persoonlijke opslagcertificaten. a b c d e Kies in het dialoogvenster Alle bestanden. Selecteer het bestand server.p12. Klik op het selectievakje Exporteerbaar. Laat het wachtwoord leeg. Accepteer de standaardinstellingen voor de volgende stappen. 8 Kopieer het certificaat in de Vertrouwde basis-ca's in dezelfde mmc-console. 9 Verifieer of de inhoud van het certificaat deze elementen bevat. Privésleutel CN in het onderwerpkenmerk dat overeenkomst met de hostnaam van Integration Broker Uitgebreid kenmerk van sleutelgebruik met ingeschakelde verificatie van client en server Citrix PowerShell Remoting inschakelen U moet aanroepen op afstand tussen de Integration Broker en de Citrix-serverfarm inschakelen door Citrix PowerShell Remoting in te stellen. Wanneer u Citrix PowerShell Remoting instelt, installeert u de Citrix PowerShell SDK op de Integration Broker-server en controleert u of PowerShell Remoting is ingeschakeld op de Citrix-servers. VMware, Inc. 133

134 Op de Integration Broker-server moet u de betreffende versie van de Citrix PowerShell SDK installeren. Als u verbinding maakt met meerdere versies van Citrix-serverfarms, installeert u alle vereiste versies van de Citrix PowerShell SDK op de Integration Broker-server aangezien de SDK's niet achterwaarts compatibel zijn. PowerShell Remoting moet zijn ingeschakeld op Citrix-servers zodat Integration Broker-server er verbinding mee kan maken en vereiste informatie zoals bronneninformatie, rechten en pictogrammen kan ophalen. U moet PowerShell Remoting alleen inschakelen op de leveringscontrollers of XML-brokers die u gaat configureren in VMware Identity Manager, niet op alle servers in uw serverfarm. In XenApp of XenDesktop 7.x zijn dit de leveringscontrollers, die ook fungeren als XML-brokers. In Citrix-serverfarms van versie 6.5, 6.0 of 5.0 zijn dit de XML-brokerservers. Voor Citrix-serverfarm versies 6.0 en 5.0 vereist Citrix PowerShell Remoting een veilig HTTPS-kanaal om externe oproepen uit te voeren. Zorg ervoor dat de Citrix-leveringscontrollers of XML-brokers geldige SSL-certificaten hebben. Citrix PowerShell SDK op de Integration Broker-server installeren U moet de Citrix PowerShell SDK op de Integration Broker-server installeren om verbindingen tussen de Integration Broker-server en de Citrix-serverfarm mogelijk te maken. Download en installeer de Citrix PowerShell SDK-versie die overeenkomt met de Citrix-serverfarm die u integreert met VMware Identity Manager. Als u verbinding maakt met meerdere versies van Citrixserverfarms, installeert u alle vereiste versies van de Citrix PowerShell SDK op de Integration Brokerserver aangezien de SDK's niet achterwaarts compatibel zijn. Procedure 1 Meld u aan bij de Integration Broker-server. 2 Als u verbinding maakt met XenApp of XenDesktop 7.x, voert u deze stappen uit. a b Download en installeer Citrix Studio op de Integration Broker-server. Controleer de installatie. 1 Open Windows PowerShell als beheerder. 2 Voer deze opdracht in: Add-PSSnapin Citrix* 3 Geef de volgende opdrachten op. Get-BrokerDesktopGroup -AdminAddress CitrixDeliveryController Get-ConfigSite -AdminAddress CitrixDeliveryController Opmerking Als een verificatiefout wordt gemeld, stelt u het uitvoeringsbeleid met de opdracht set-executionpolicy remotesigned in en probeert u de opdrachten opnieuw. VMware, Inc. 134

135 3 Als u verbinding maakt met een Citrix-serverfarm van versie 6.5, voert u deze stappen uit. a b Download en installeer Citrix PowerShell SDK 6.5 op de Integration Broker-server. Controleer de installatie. 1 Open Programmabestanden > Citrix PowerShell Module. 2 Voer deze opdracht in: Get-XAApplication -ComputerName CitrixServer Verifieer of alle applicaties die door Citrix worden gehost, in de lijst staan. Opmerking Als de opdracht mislukt controleert u of de XenApp Commands Remotingservice wordt uitgevoerd op de Citrix-server. 4 Als u verbinding maakt met een Citrix-serverfarm van versie 6.0 of 5.0, downloadt en installeert u Citrix PowerShell SDK 6.0 of 5.0 op de Integration Broker-server, afhankelijk van de versie van uw Citrix-serverfarm. Citrix PowerShell Remoting op de Citrix-serverfarm inschakelen Schakel zo nodig Citrix PowerShell Remoting op de Citrix-serverfarm in. Controleer, in Citrix XenApp of XenDesktop 7.x, of PowerShell Remoting is ingeschakeld op de leveringscontrollers waarmee VMware Identity Manager verbinding maakt. Controleer in Citrix 6.5 of de Citrix XenApp Commands Remoting-service wordt uitgevoerd op de XML-brokers waarmee VMware Identity Manager verbinding maakt. Schakel in Citrix 6.0 of 5.0 PowerShell Remoting in. Zie Citrix PowerShell Remoting instellen in Citrix Server Farm 5.0 of 6.0. Citrix PowerShell Remoting instellen in Citrix Server Farm 5.0 of 6.0 U moet Citrix PowerShell Remoting inschakelen op de Citrix XML Broker-servers die u integreert met VMware Identity Manager. Citrix PowerShell Remoting brengt verbindingen tussen Integration Broker en de Citrix-serverfarm. Opmerking U moet PowerShell Remoting alleen inschakelen op de XML-brokers die u gaat configureren in VMware Identity Manager, niet op alle servers in uw serverfarm. Vereisten Als u Winrm niet hebt geïnstalleerd, moet u Winrm downloaden via de Microsoft-website en installeren. Zorg ervoor dat de Citrix XML-brokers geldige SSL-certificaten hebben. Klik op Eigenschappen en controleer of Serververificatie is ingeschakeld voor de certificaten. Procedure 1 Open PowerShell in de beheerdersmodus. VMware, Inc. 135

136 2 Schakel Citrix PowerShell Remoting in. a b Typ de Get-Service winrm-opdracht om te verifiëren of Winrm op de server is geïnstalleerd. Typ de opdracht Enable-PSRemoting. Met deze opdracht schakelt u PowerShell Remoting in op de server. c d Installeer de Citrix PowerShell SDK 5.0 of 6.0 (dit hangt af van de Citrix-serverversie). Schakel winrm HTTPS-listener in via de opdrachtprompt. 1 Maak een certificaat op de server. 2 Leg de duimafdruk van het certificaat vast. 3 Verifieer of de duimafdruk van het certificaat is geconfigureerd. winrm quickconfig -transport:https e Verifieer of de listener is gemaakt. winrm e winrm/config/listener Deze server is klaar voor gebruik. f Nadat de listener is gemaakt, gaat u naar de Integration Broker-server om te verifiëren of PowerShell Remoting goed is geïnstalleerd. winrm identify -r: -u:username Uitvoer: ResponsIdentificeren Protocolversie= Productleverancier=Microsoft Corporation Productversie=OS: SP: 2.0 Stack: 2.0 De verbinding met de Citrix-serverfarm controleren Nadat u de Integration Broker hebt geïmplementeerd en PowerShell Remoting hebt ingesteld, controleert u de verbinding met de Citrix-serverfarm. VMware, Inc. 136

137 Procedure 1 Voer in een browser de geschikte URL in voor de versie van uw Citrix-farm. Citrix XenApp- of XenDesktop-serverfarm 7.x computername=xenappserverhostname&xenappversion=version7x Citrix-serverfarm computername=xenappserverhostname&xenappversion=version65orlater Citrix-serverfarm 5.0 of computername=xenappserverhostname&xenappversion=legacy 2 Controleer de uitvoer. Wanneer de Integration Broker goed is geconfigureerd, geeft de pagina informatie over de Citrixserverfarm weer, zoals hieronder: "[{\"FarmName\":\"test data\",\"serverversion\":\" \",\"AdministratorType\":\"Full\",\"SessionCount\":\"2\",\"MachineName\" :\"test data\"}] Als de webpagina geen informatie over de serverfarm bevat, controleert u de logboeken op de Integration Broker-server bij %programdata%/vmware/horizonintegrationbroker. Citrix Web Interface SDK 5.4 downloaden De Citrix Web Interface SDK wordt gebruikt voor verificatie en om het ICA-bestand te genereren vanuit de Citrix-leveringscontrollers of XML-brokers om gepubliceerde Citrix-applicaties en -desktops te starten. Opmerking Als u de Citrix StoreFront REST API wilt gebruiken voor communicatie met de Citrix-farm om het ICA-bestand te genereren, hoeft u de Citrix Web Interface SDK niet te installeren. Procedure 1 Download de Citrix Web Interface SDK 5.4 (zipbestand WISDK) van de Citrix-website. 2 Pak het bestand wisdk.zip uit. 3 Kopieer de inhoud van de directory WI5_4_0_SDK/zipfiles/sdkdemo/wisdk naar de standaard bindirectory van de Integration Broker op c:\inetpub\wwwroot\ib\bin. 4 Start IIS opnieuw op. a b Open het venster met de opdrachtprompt als beheerder. Typ iisreset. VMware, Inc. 137

138 Citrix-serverfarms configureren in VMware Identity Manager Als u Citrix XenApp- en XenDesktop-serverfarms in VMware Identity Manager wilt configureren, maakt u een of meer verzamelingen van virtuele apps op de pagina Catalogus > Verzameling van virtuele apps. Op deze pagina vindt u configuratiegegevens zoals de Citrix-servers vanwaar bronnen en rechten moeten worden gesynchroniseerd, de Integration Broker voor synchronisatie en SSO, de VMware Identity Manager-connector voor synchronisatie, en beheerdersinstellingen zoals de standaardclient voor starten. U kunt al uw Citrix-serverfarms toevoegen aan één verzameling of meerdere verzamelingen maken, afhankelijk van uw vereisten. U kunt er bijvoorbeeld voor kiezen om een afzonderlijke verzameling te maken voor elke farm om het beheer te vereenvoudigen en de synchronisatietaken te verdelen over meerdere connectoren. Of u kunt ervoor kiezen om alle serverfarms toe te voegen aan één verzameling voor een testomgeving en een andere identieke verzameling te gebruiken voor uw productieomgeving. Voordat u gepubliceerde Citrix-bronnen configureert in VMware Identity Manager, moet u ervoor zorgen dat u voldoet aan alle vereisten. Volg deze richtlijnen ook voor de instellingen voor de Citrix-serverfarm. Leveringsgroepen synchroniseren De instelling Leveringstype van een leveringsgroep in Citrix bepaalt hoe VMware Identity Manager de leveringsgroep synchroniseert. VMware Identity Manager synchroniseert een leveringsgroep alleen als Leveringstype is ingesteld op DesktopsAndApps of DesktopsOnly. Als het Leveringstype van de leveringsgroep is ingesteld op AppsOnly, worden de applicaties gesynchroniseerd, maar wordt de leveringsgroep zelf niet gesynchroniseerd en wordt deze niet weergegeven in de VMware Identity Manager-catalogus. Configureer uw leveringsgroepen dienovereenkomstig. Als u in XenDesktop en XenApp 7.9 de optie 'Limited Visibility Group' gebruikt om gebruikers te beperken, moet u ervoor zorgen dat de 'Limited Visibility Group' gebruikers of groepen bevat. Als deze groep geen gebruikers of groepen bevat, werkt synchronisatie naar VMware Identity Manager niet. Zorg ervoor dat alle gepubliceerde Citrix-applicaties en -desktops op een locatie geldige gebruikers bevatten. Als u een gebruiker of groep verwijdert, zorgt u ervoor dat u de gebruiker of groep ook verwijdert uit gepubliceerde Citrix-bronnen. Zorg ervoor dat gebruikers en groepen zijn toegewezen aan de juiste leveringsgroep. Als u instellingen selecteert om gebruikers te beperken, controleert u of ze gebruikers en groepen bevatten. Met XenDesktop en XenApp 7.x kunt u rechten voor alle geverifieerde gebruikers op het niveau van de leveringsgroep instellen met de instelling 'Allow any authenticated user to use this delivery group' (Geverifieerde gebruikers toestaan om deze leveringsgroep te gebruiken). Deze instelling wordt niet ondersteund door VMware Identity Manager. Om ervoor te zorgen dat gebruikers de juiste rechten hebben in VMware Identity Manager, stelt u expliciete rechten voor de gebruikers en groepen in. VMware, Inc. 138

139 Vereisten Configureer VMware Identity Manager. Zie VMware Identity Manager installeren en configureren en Beheer VMware Identity Manager voor informatie. Zorg ervoor dat gebruikers en groepen met Citrix-rechten met directorysynchronisatie van uw bedrijfsdirectory zijn gesynchroniseerd naar VMware Identity Manager. Gebruikers moeten het kenmerk distinguishedname hebben. Als het kenmerk niet is ingesteld voor een gebruiker, kan de gebruiker geen desktops en applicaties uitvoeren. Implementeer de Integration Broker en zorg ervoor dat u voldoet aan alle vereisten die zijn beschreven in Vereisten voor Citrix-integratie. Als u een load balancer vóór de Integration Broker gebruikt, noteert u de hostnaam of het IP-adres van de load balancer voor gebruik tijdens deze taak. Als u de optie StoreFront gebruiken wilt gebruiken, die beschikbaar is in VMware Identity Manager en hoger, moet u ervoor zorgen dat is voldaan aan de volgende vereisten. Installeer Integration Broker of hoger. Controleer of StoreFront wordt ondersteund door de XenApp- of XenDesktop-versie die u gebruikt. Zorg ervoor dat de Integration Broker kan communiceren met de StoreFront-server. Wanneer u de StoreFront ReST API inschakelt, communiceert de Integration Broker met de StoreFront-server om het ICA-bestand te genereren. Schakel HTTP Basic-verificatie in als verificatiemethode in de Citrix StoreFront-store. Deze vereiste geldt alleen voor interne toegang. Voorzichtig Als u HTTP Basic-verificatie niet inschakelt, mislukt de verificatie. Raadpleeg de Citrix-documentatie voor uw versie van Citrix XenApp of XenDesktop. Procedure 1 Meld u aan op de beheerconsole van VMware Identity Manager. 2 Selecteer Catalogus > Verzameling van virtuele apps. 3 Klik op Virtuele apps toevoegen en selecteer Gepubliceerde Citrix-toepassingen. 4 Voer een unieke naam voor de verzameling in. 5 Selecteer de connector waarmee u de bronnen op deze locatie wilt synchroniseren, uit de vervolgkeuzelijst Synchronisatieconnectoren. Als u meerdere connectoren hebt ingesteld voor hoge beschikbaarheid, klikt u op Connector toevoegen en selecteert u de connectoren. De volgorde waarin de connectoren worden vermeld, bepaalt de failovervolgorde. VMware, Inc. 139

140 6 Geef in het gedeelte Integration Broker synchroniseren informatie op over de Integration Brokerinstantie waarmee u bronnen wilt synchroniseren. a Voer de volledig gekwalificeerde domeinnaam en het poortnummer van de Integration Broker voor synchronisatie in. Als u een load balancer hebt geconfigureerd vóór meerdere Integration Broker-instanties die voor synchronisatie worden gebruikt, voert u de hostnaam of het IP-adres en het poortnummer van de load balancer in. b Als u via SSL verbinding wilt maken met de Integration Broker, schakelt u het selectievakje SSL gebruiken in en kopieert en plakt u het SSL-certificaat van de Integration Broker-server. Opmerking Als u een automatisch ondertekend certificaat gebruikt, moet u ook het certificaat op de pagina Apparaatinstellingen > Configuratie beheren > SSL-certificaten installeren > Vertrouwde CA's uploaden. Voor externe connectoren vindt u de pagina op /cfg/ssl. Als u meer dan één synchronisatieconnector hebt geselecteerd, voegt u het certificaat toe aan de pagina SSL-certificaten installeren > Vertrouwde CA's van alle connectoren. 7 Geef in het gedeelte Integration Broker voor SSO informatie op over de Integration Broker-instantie waarmee u bronnen wilt starten. U moet via SSL verbinding maken met de Integration Broker voor SSL. a Voer de volledig gekwalificeerde domeinnaam en het poortnummer in van de Integration Broker voor SSO. Als u een load balancer hebt geconfigureerd vóór meerdere Integration Broker-instanties die voor Single Sign-On worden gebruikt, voert u de volledig gekwalificeerde domeinnaam en het poortnummer van de load balancer in. Opmerking Gebruik niet het IP-adres. b Kopieer het SSL-certificaat van de Integration Broker-server en plak dit in het veld SSLcertificaat. Opmerking Als u een automatisch ondertekend certificaat gebruikt, moet u ook het certificaat op de pagina Apparaatinstellingen > Configuratie beheren > SSL-certificaten installeren > Vertrouwde CA's uploaden. Voor externe connectoren vindt u de pagina op /cfg/ssl. Als u meer dan één startconnector hebt geselecteerd, voegt u het certificaat toe aan de pagina SSL-certificaten installeren > Vertrouwde CA's van alle connectoren. VMware, Inc. 140

141 8 Voer de gegevens van de Citrix-serverfarm in het gedeelte Serverfarms in. Als u meerdere farms toevoegt, klikt op +Serverfarm toevoegen. Optie Versie StoreFront gebruiken Beschrijving Selecteer de Citrix-serverfarmversie: 5.0, 6.0, 6.5 of 7.x. Selecteer deze optie als u XenApp-bronnen wilt starten met de Citrix StoreFront REST API. Wanneer deze optie is geselecteerd, gebruikt Integration Broker de Citrix StoreFront REST API om te communiceren met de StoreFront-server en om het ICA-bestand op te halen. Als deze optie niet is geselecteerd, gebruikt Integration Broker de Citrix Web Interface SDK om te communiceren met Citrixonderdelen en om het ICA-bestand op te halen. Opmerking Als u deze optie selecteert of de selectie opheft na de initiële installatie en synchronisatie, slaat u uw instellingen op en synchroniseert u vervolgens opnieuw zodat de wijziging wordt toegepast. StoreFront-URL Voer de URL van de StoreFront-server in de volgende indeling in: transporttype://storefrontserverfqdn/citrix/storenameweb Bijvoorbeeld: Opmerking Dit is de URL van de Store Web Receiver-website. Belangrijk Voer deze URL ook in het veld URL host client-toegang in in het gedeelte XenApp van de instellingen voor het netwerkbereik. Servernaam Servers (fail-overvolgorde) De servernaam die in uw omgeving is toegewezen. Organiseer de Citrix XML-brokers (servers) in fail-overvolgorde. VMware Identity Manager respecteert deze volgorde tijdens single sign-on en bij fail-overomstandigheden. Opmerking Voor de XML-brokers moet PowerShell Remoting zijn ingeschakeld. Transporttype Het transporttype dat wordt gebruikt in uw Citrix-serverconfiguratie: HTTP, HTTPS of SSL RELAY. Opmerking Het transporttype en de poort moeten overeenkomen met uw Citrixserverconfiguratie. Poort De poortinstelling die wordt gebruikt in uw Citrix-serverconfiguratie Opmerking Het transporttype en de poort moeten overeenkomen met uw Citrixserverconfiguratie. VMware, Inc. 141

142 Optie STA-server Beschrijving Als u NetScaler gebruikt, moet u een STA-server voor de farm opgeven. a Geef de STA-Server voor de Citrix-farm op. Voer de URL van de STA-server in de volgende indeling in: transporttype://server:poort Bijvoorbeeld: b In de URL zijn alleen alfanumerieke tekens, punten (.), en koppeltekens (-) toegestaan. Klik op Toevoegen aan lijst. De server wordt weergegeven in de lijst XenApp STA-servers. c Voer extra STA-servers in, indien nodig. U kunt bijvoorbeeld een tweede STAserver toevoegen als failover. Geef de STA-server voor de Citrix-farm op als u NetScaler gebruikt. XenApp STA-servers (failovervolgorde) Geef de failovervolgorde voor de STA-servers op die u hebt toegevoegd. 9 Als u een andere farm wilt toevoegen, klikt u op Farm toevoegen en voert u de configuratiegegevens voor de farm in. 10 Selecteer Categorieën van serverfarms synchroniseren als u categorieën van Citrix-farms wilt synchroniseren met VMware Identity Manager. 11 Selecteer Dubbele applicaties niet synchroniseren om te voorkomen dat dubbele applicaties van meerdere servers worden gesynchroniseerd. Wanneer VMware Identity Manager wordt geïmplementeerd in meerdere datacenters, worden dezelfde bronnen ingesteld in de meerdere datacenters. Wanneer u deze optie inschakelt, kunnen de desktops of applicaties in uw VMware Identity Manager-catalogus niet worden gedupliceerd. 12 Selecteer in het vervolgkeuzemenu Synchronisatiefrequentie hoe vaak u de bronnen in deze verzameling wilt synchroniseren. U kunt een planning voor regelmatig synchroniseren instellen, of u kunt handmatig synchroniseren. Als u Handmatig selecteert, klikt u op Synchroniseren op de pagina Catalogus > Verzameling van virtuele apps nadat u de verzameling hebt ingesteld en telkens wanneer uw gepubliceerde Citrixbronnen of -rechten zijn gewijzigd. 13 Selecteer in de vervolgkeuzelijst Activeringstype op welke manier gepubliceerde Citrix-bronnen beschikbaar worden gesteld voor gebruikers in Workspace ONE. Zowel met de optie Door gebruiker geactiveerd als met de optie Automatisch worden de bronnen toegevoegd aan de pagina Catalogus. Gebruikers kunnen de bronnen op de pagina Catalogus gebruiken of ze verplaatsen naar de pagina Bladwijzers. Als u echter een goedkeuringswerkstroom voor een van de apps wilt instellen, moet u Door gebruiker geactiveerd voor die app selecteren. Het activeringsbeleid dat u op deze pagina selecteert, is van toepassing op alle gebruikersrechten voor alle bronnen in de verzameling. U kunt het activeringsbeleid voor afzonderlijke gebruikers of groepen per bron aanpassen, via de applicatie of de pagina Rechten van de desktop. U wordt aanbevolen het activeringsbeleid voor de verzameling in te stellen op Door gebruiker geactiveerd als u van plan bent een goedkeuringswerkstroom in te stellen. VMware, Inc. 142

143 14 Klik op Opslaan. De verzameling wordt gemaakt en weergegeven op de pagina Verzameling van virtuele apps. De bronnen in de verzameling zijn nog niet gesynchroniseerd. 15 Als u de bronnen in de verzameling wilt synchroniseren naar VMware Identity Manager, klikt u op Synchroniseren op de pagina Verzameling van virtuele apps. Elke keer dat bronnen of rechten in Citrix worden gewijzigd, is een synchronisatie vereist om de wijzigingen door te voeren in VMware Identity Manager. Opmerking De functie voor anonieme gebruikersgroepen in het Citrix-product wordt niet ondersteund met VMware Identity Manager. Gepubliceerde Citrix-bronnen en bijbehorende rechten worden gesynchroniseerd met VMware Identity Manager. Wat nu te doen Als u de optie StoreFront gebruiken hebt geselecteerd, bewerkt u de instellingen voor het netwerkbereik en voert u in het veld URL host client-toegang in het gedeelte XenApp dezelfde URL in die u eerder in het veld StoreFront-URL hebt ingevoerd. Starten van Citrix-bron in VMware Identity Manager configureren Nadat u de pagina Gepubliceerde Citrix-applicaties hebt geconfigureerd, configureert u netwerk-ipbereiken voor het starten van bronnen. U kunt opgeven of startverkeer voor applicaties of desktops van gebruikers (ICA-verkeer) van specifieke netwerkbereiken wordt via NetScaler of via een directe verbinding met de XenApp-server wordt geleid. Op deze manier kunt u voldoen aan de behoeften van gebruikers om zowel externe als interne toegang tot de Citrix-bronnen in uw implementatie te hebben. Wanneer een gebruiker een applicatie of desktop start via de Workspace ONE-portal en het IP-adres van de gebruiker in een netwerkbereik valt dat is geconfigureerd voor NetScaler, wordt het ICA-verkeer via NetScaler naar de XenApp-server geleid. Als het IP-adres in het bereik van de directe verbinding valt, wordt het ICA-verkeer direct naar de XenApp-server geleid. Het starten van bronnen configureren voor intern netwerk U kunt de netwerkbereiken configureren waarvoor het startverkeer voor applicaties of desktops van gebruikers (ICA-verkeer) direct naar de XenApp-server moet worden geleid. Dit wordt doorgaans gebruikt om interne toegang te bieden tot gepubliceerde Citrix-bronnen. Wanneer een gebruiker een applicatie of desktop start via de Workspace ONE-portal en het IP-adres van de gebruiker in het bereik voor de directe verbinding valt, wordt het ICA-verkeer direct naar de XenAppserver geleid. Opmerking Zie Het starten van bronnen voor externe netwerken met NetScaler configureren om het starten van bronnen voor externe netwerken te configureren. VMware, Inc. 143

144 Procedure 1 Meld u aan op de beheerconsole van VMware Identity Manager. 2 Klik op het tabblad Identiteits- en toegangsbeheer. 3 Klik op Instellen en selecteer het tabblad Netwerkbereiken. 4 Selecteer een bestaand netwerkbereik, of klik op Netwerkbereik toevoegen om een nieuw netwerkbereik te maken. 5 Wanneer u een nieuw netwerkbereik maakt, geeft u een naam en een omschrijving van het netwerkbereik op. 6 Voer de volgende informatie in het XenApp-gedeelte van de pagina in. a Voer de hostnaam van de XenApp-server in het veld URL host client-toegang in. Bijvoorbeeld: xenapphost.example.com Opmerking Als u het selectievakje StoreFront gebruiken hebt ingeschakeld voor de serverfarm op de pagina Gepubliceerde apps - Citrix, voert u dezelfde URL in die hebt ingevoerd in het veld StoreFront-URL. b Voer de poort in het veld URL poort in. Bijvoorbeeld: 443 c Schakel het selectievakje NetScaler uit voor directe verbindingen. 7 Geef in het veld IP-bereiken het IP-bereik op waarop uw selecties van applicatie zijn. 8 Klik op Opslaan. VMware, Inc. 144

145 Het starten van bronnen voor externe netwerken met NetScaler configureren VMware Identity Manager ondersteunt Citrix-implementaties die NetScaler bevatten. Een NetScalerappliance wordt standaard gebruikt voor externe toegang tot XenApp- of XenDesktop-applicaties of - desktops. Wanneer uw Citrix-implementatie een NetScaler-appliance bevat, kunt u VMware Identity Manager configureren met de juiste instellingen zodat het verkeer via NetScaler naar de XenApp-server wordt geleid wanneer gebruikers Citrix-bronnen starten. Om VMware Identity Manager te configureren moet u een veilige ticketautoriteit (Secure Ticket Authority, STA)-server voor elke XenApp-farm specificeren. De STA-server wordt gebruikt om STA-tickets te genereren en te valideren tijdens het starten van de applicatie. U kunt ook een beleid instellen op IP-bereiken van het clientnetwerk dat specificeert of het startverkeer via NetScaler naar de XenApp-server wordt geleid, of dat het direct naar de XenApp-server wordt geleid. Op deze manier voorziet u zowel in de behoeften voor externe als interne toegang. Opmerking Om gebruik te maken van de functie NetScaler, moet u Integration Broker 2.4 of hoger gebruiken. U kunt de Integration Broker downloaden via My VMware. Upgraden wordt niet ondersteund. Verwijder eerst de oude versie en installeer daarna de nieuwe versie. Instellingen voor NetScaler in VMware Identity Manager configureren Om VMware Identity Manager te configureren voor NetScaler, moet u een Secure Ticket Authority-server (STA) voor elke XenApp-farm in uw Citrix-implementatie opgeven. De STA-server wordt gebruikt om STAtickets te genereren en te valideren tijdens het starten van de applicatie of desktop. Wanneer een gebruiker een applicatie of desktop start, verkrijgt VMware Identity Manager een ticket van de STA-server. Het ticket wordt samen met andere informatie gepresenteerd aan NetScaler en NetScaler valideert het ticket met de STA-server voordat een beveiligde verbinding met de XenApp-farm tot stand wordt gebracht. Vereisten U hebt gepubliceerde Citrix-bronnen geïntegreerd met VMware Identity Manager. Procedure 1 Selecteer het tabblad Catalogus > Verzameling van virtuele apps in de VMware Identity Managerbeheerconsole. 2 Klik op de verzameling die de XenApp-farm bevat waarvoor u een STA-server wilt opgeven. VMware, Inc. 145

146 3 Blader naar het gedeelte Serverfarms en geef een of meer STA-servers voor de serverfarm op. a Voer in het veld STA-server de URL van de STA-server in met de volgende indeling. transporttype://server:poort Bijvoorbeeld: In de URL zijn alleen alfanumerieke tekens, punten (.), en koppeltekens (-) toegestaan. b Klik op Toevoegen aan lijst. De server wordt weergegeven in de lijst XenApp STA-servers. c d Voer extra STA-servers in, indien nodig. U kunt bijvoorbeeld een tweede STA-server toevoegen als failover. Als u meerdere STA-servers hebt toegevoegd, selecteert u de failovervolgorde in het veld XenApp STA-servers. 4 Klik op Opslaan. 5 Specificeer een STA-server voor elke farm wanneer er meerdere XenApp-farms in uw implementatie zijn. Wat nu te doen Configureer het beleid voor specifieke netwerk-ip-bereiken dat bepaalt dat het startverkeer via NetScaler naar de XenApp-server moet worden geleid. Netwerkbereik configureren voor NetScaler U kunt de netwerkbereiken configureren waarvoor het startverkeer voor applicaties of desktops van gebruikers (ICA-verkeer) via NetScaler naar XenApp-server moet worden geleid. Dit wordt doorgaans gebruikt om externe toegang te bieden tot gepubliceerde Citrix-bronnen. Wanneer een gebruiker een applicatie of desktop start via de Workspace ONE-portal en het IP-adres van de gebruiker in het bereik valt dat is geconfigureerd voor NetScaler, wordt het ICA-verkeer via NetScaler naar de XenApp-server geleid. Opmerking Zie Het starten van bronnen configureren voor intern netwerk als u het starten van bronnen wilt configureren voor interne netwerken. Vereisten U hebt VMware Identity Manager geconfigureerd voor NetScaler op het tabblad Catalogus > Instellingen > Gepubliceerde Citrix-applicaties > NetScaler-configuratie. Procedure 1 Meld u aan op de beheerconsole van VMware Identity Manager. 2 Klik op het tabblad Identiteits- en toegangsbeheer. 3 Klik op Instellen en klik op het tabblad Netwerkbereiken. VMware, Inc. 146

147 4 Selecteer een bestaand netwerkbereik, of klik op Netwerkbereik toevoegen om een nieuw netwerkbereik te maken. 5 Wanneer u een nieuw netwerkbereik maakt, geeft u een naam en een omschrijving van het netwerkbereik op. 6 Voer de volgende informatie in het XenApp-gedeelte van de pagina in. a Voer de hostnaam van NetScaler in het veld URL host client-toegang in. Bijvoorbeeld: netscalerhost.example.com Opmerking Als u het selectievakje StoreFront gebruiken hebt ingeschakeld voor de serverfarm op de pagina Gepubliceerde apps - Citrix, voert u dezelfde URL in die hebt ingevoerd in het veld StoreFront-URL. b Voer de poort in het veld URL poort in. Bijvoorbeeld: 443 c Schakel het selectievakje NetScaler in. 7 Geef in het veld IP-bereiken het IP-bereik op waarop uw selecties van applicatie zijn. 8 Klik op Opslaan. Instellingen voor VMware Identity Manager configureren voor Citrix-integratie U kunt diverse instellingen in VMware Identity Manager configureren voor de Citrix-integratie. Categorieën beheren voor door gepubliceerde Citrix-bronnen U kunt de VMware Identity Manager-beheerconsole en uw Citrix-implementatie gebruiken om de gepubliceerde Citrix-broncategorieën te beheren. VMware, Inc. 147

148 U geeft in uw Citrix-implementatie een gepubliceerde Citrix-applicatie of desktop een categorienaam door het tekstvak van de Map clientapplicatie in de broneigenschappen te bewerken. Wanneer u uw Citriximplementatie bewerkt met VMware Identity Manager, worden bestaande categorienamen voor gepubliceerde Citrix-toepasingen en -desktops overgedragen aan VMware Identity Manager. Na de integratie kunt u verder gaan met het aanmaken van categorieën in uw Citrix-implementatie. Als u het selectievakje Categorieën van serverfarms synchroniseren voor de verzameling hebt ingeschakeld, worden de nieuwe categorieën tijdens de volgende synchronisatie overgedragen aan VMware Identity Manager. Zie Citrix-serverfarms configureren in VMware Identity Manager. U kunt categorieën ook rechtstreeks aanmaken in VMware Identity Manager. Zie de Beheergids voor VMware Identity Manager voor informatie over het gebruik van broncategorieën. In de beheerconsole kunt u categorieën van alle door gepubliceerde Citrix-bronnen aanmaken en bekijken wanneer u op het tabblad Catalogus klikt en dan op Elk applicatiestype klikt en vervolgens Gepubliceerde Citrix-applicaties voor applicaties, of Gepubliceerde Citrix-leveringsgroepen voor desktops selecteert. U kunt de categorieën van een specifiek gepubliceerde Citrix-bron bekijken en bewerken door op de naam van de bron te klikken en Details te selecteren. Wanneer u een categorie aanmaakt in VMware Identity Manager, wordt de categorie nooit in uw Citriximplementatie weergegeven. Wanneer u een categorie in uw Citrix-implementatie aanmaakt, wordt de categorie bij de volgende synchronisatie weergegeven in VMware Identity Manager. Wanneer u een categorienaam in uw Citriximplementatie bijwerkt, wordt de naam van de bijgewerkte categorie weergegeven in VMware Identity Manager en blijft de oorspronkelijke categorienaam behouden. Wanneer u de oorspronkelijke categorienaam uit VMware Identity Manager wilt verwijderen, moet u deze handmatig verwijderen. Leveringsinstellingen (ICA-eigenschappen) configureren voor Citrix-gepubliceerde bronnen U kunt de leveringsinstellingen van door Citrix gepubliceerde applicaties en desktops bewerken in de VMware Identity Manager-beheerconsole. Naar desktops wordt verwezen als leveringsgroepen. U kunt de leveringsinstellingen globaal bewerken voor alle door Citrix gepubliceerde applicaties en door Citrix gepubliceerde desktops die beschikbaar zijn via uw VMware Identity Manager-implementatie, of individueel voor specifieke door Citrix gepubliceerde bronnen. U configureert de leveringsinstellingen door de Independent Computing Architecture-eigenschappen (ICA) te bewerken. ICA is een eigen protocol van Citrix. Er is een uitgebreide reeks ICA-eigenschappen beschikbaar, regelingsgebieden als beveiliging, weergave en compressie. Raadpleeg voor meer informatie over het configureren van ICA-eigenschappen de Citrix-documentatie. VMware Identity Manager omvat globale standaardinstellingen die bepalen hoe de geconfigureerde Citrix-implementatie door Citrix gepubliceerde bronnen aan gebruikers levert. U kunt de VMware Identity Manager-standaardinstellingen bewerken en nieuwe instellingen bewerken. VMware, Inc. 148

149 U kunt ook leveringsinstellingen opgeven voor individuele bronnen. Instellingen voor individuele bronnen krijgen voorrang op globale instellingen. Wanneer u ICA-eigenschappen opgeeft voor de levering van een specifieke bron, vermeldt u alle eigenschappen die noodzakelijk zijn zodat de Citrix-implementatie de bron kan leveren op de manier die u verwacht. Wanneer er leveringsinstellingen voor een individuele bron aanwezig zijn in VMware Identity Manager, is VMware Identity Manager alleen van toepassing op deze instellingen en worden alle leveringsinstellingen voor globale bronnen genegeerd. Algemene bronleveringsinstellingen bewerken voor alle gepubliceerde Citrixbronnen U kunt de algemene leveringsinstellingen voor gepubliceerde Citrix-applicaties en -desktops bewerken in uw VMware Identity Manager-implementatie. De velden ICA-eigenschappen voor deze algemene instellingen zijn gevuld met standaardwaarden totdat u deze bewerkt. Belangrijk ICA-eigenschappen die zijn opgegeven op het tabblad Catalogus > Instellingen > Gepubliceerde Citrix-toepassingen > ICA-configuratie, of op het tabblad Catalogus > Instellingen > Gepubliceerde Citrix-leveringsgroepen > ICA-configuratie, om verkeer via een directe verbinding te starten. Zie ICA-eigenschappen bewerken voor NetScaler om verkeer te starten dat via Netscaler wordt geleid. Procedure 1 Meld u aan bij de Beheerconsole. 2 Selecteer Catalogus > Instellingen. 3 Selecteer Gepubliceerde Citrix-applicaties om ICA-instellingen voor applicaties te bewerken, of selecteer Gepubliceerde Citrix-leveringsgroepen om ICA-instellingen voor desktops te bewerken. Bijvoorbeeld: VMware, Inc. 149

150 4 Bewerk op het tabblad ICA-configuratie de ICA-eigenschappen volgens de richtlijnen van Citrix. De velden ICA-clienteigenschappen en ICA-starteigenschappen moeten allebei worden gebruikt. Beide velden moeten een waarde bevatten, of beide velden moeten leeg zijn. 5 Klik op Opslaan. Uw Citrix-implementatie past de algemene ICA-eigenschappen toe wanneer deze gepubliceerde Citrixbronnen beschikbaar via VMware Identity Manager aan gebruikers levert, behalve wanneer afzonderlijke bronnen eigen bronleveringsinstellingen hebben. Leveringsinstellingen bewerken voor een enkele gepubliceerde Citrix-bron U kunt de leveringsinstellingen (ICA-eigenschappen) voor afzonderlijke gepubliceerde Citrix-applicaties en desktops bewerken in uw VMware Identity Manager-implementatie. De tekstvakken voor ICA-eigenschappen voor afzonderlijke applicaties zijn standaard leeg. Wanneer u de ICA-eigenschappen van een afzonderlijke gepubliceerde Citrix-bron bewerkt, hebben die instellingen prioriteit boven de algemene instellingen. Zie Algemene bronleveringsinstellingen bewerken voor alle gepubliceerde Citrix-bronnen voor informatie over algemene instellingen. Belangrijk ICA-eigenschappen die zijn ingesteld voor afzonderlijke applicaties of desktops, worden niet toegepast op ICA-verkeer dat via Netscaler wordt geleid. Alleen de algemene instellingen op de pagina ICA-eigenschappen Netscaler die toegankelijk is via het tabblad Catalogus > Instellingen > Gepubliceerde Citrix-applicaties en via het tabblad Catalogus > Instellingen > Gepubliceerde Citrixleveringsgroepen gelden voor ICA-verkeer dat via Netscaler wordt geleid. Zie ICA-eigenschappen bewerken voor NetScaler voor meer informatie. Procedure 1 Meld u aan op de beheerconsole. 2 Klik op Catalogus > Toepassingscatalogus. 3 Klik op Elk applicatiestype > Gepubliceerde Citrix-applicaties om instellingen voor applicaties te bewerken, of klik op Elk applicatiestype > Gepubliceerde Citrix-leveringsgroepen om instellingen voor desktops te bewerken. 4 Klik op de naam van de gepubliceerde Citrix-bron die u wilt bewerken. 5 Klik op Configuratie. 6 Bekijk de informatie over de bron zoals deze wordt doorgestuurd via uw Citrix-implementatie. Op de pagina staat verschillende informatie over de bron, zoals de naam van de bron, de bron-id en de naam van de server. Deze pagina geeft ook informatie over het inschakelen van de bronnen. Als het selectievakje Ingeschakeld niet is ingeschakeld, is de bron in uw Citrix-implementatie uitgeschakeld en verborgen voor gebruikers. VMware, Inc. 150

151 7 Voeg eigenschappen toe aan de tekstvakken van de ICA-eigenschappen, of bewerk bestaande eigenschappen volgens de richtlijnen van Citrix. Opmerking Zowel het tekstvak ICA-clienteigenschappen als het tekstvak ICAstarteigenschappen moet een waarde bevatten, of leeg zijn. 8 Klik op Opslaan. ICA-eigenschappen bewerken voor NetScaler U kunt de leveringsinstellingen configureren voor gepubliceerde Citrix-bronnen door de ICAeigenschappen te bewerken. Voor ICA-verkeer dat via NetScaler wordt geleid, bewerkt u de ICAeigenschappen op het tabblad Catalogus > Instellingen > Gepubliceerde Citrix-toepassingen > NetScaler ICA-configuratie of op het tabblad Catalogus > Instellingen > Gepubliceerde Citrixleveringsgroepen > NetScaler ICA-configuratie. Gebruik Gepubliceerde Citrix-toepassingen > NetScaler ICA-configuratie voor applicaties. Gebruik Gepubliceerde Citrix-leveringsgroepen > NetScaler ICA-configuratie voor desktops. Applicatieleveringsinstellingen die zijn ingesteld voor afzonderlijke Citrix-bronnen gelden niet voor ICAverkeer dat via NetScaler wordt geleid. Opmerking Zie Algemene bronleveringsinstellingen bewerken voor alle gepubliceerde Citrix-bronnen om ICA-eigenschappen te bewerken voor ICA-verkeer dat via een directe verbinding wordt geleid en niet via NetScaler. Procedure 1 Meld u aan op de beheerconsole. 2 Selecteer Catalogus > Instellingen. VMware, Inc. 151

152 3 Selecteer Gepubliceerde Citrix-toepassingen voor applicaties of Gepubliceerde Citrixleveringsgroepen voor desktops en selecteer vervolgens het tabblad ICA-eigenschappen NetScaler ICA. De velden voor eigenschappen worden gevuld met standaardinstellingen. 4 Bewerk de eigenschappen voor ICA-client- of starteigenschappen. U kunt de waarden van de eigenschappen wijzigen, of nieuwe toevoegen. Zie de documentatie van Citrix voor informatie over ICA-eigenschappen. Opmerking De velden ICA-clienteigenschappen en ICA-starteigenschappen moeten allebei worden gebruikt. Beide velden moeten een waarde bevatten, of beide velden moeten leeg zijn. 5 Klik op Opslaan. Toegangsbeleid instellen voor specifieke applicaties en desktops Het ingestelde standaardtoegangsbeleid is van toepassing op alle applicaties en desktops in uw catalogus. U kunt ook toegangsbeleid voor individuele applicaties of desktoppools instellen, dat het standaardtoegangsbeleid overschrijft. U kunt een toegangsbeleid toepassen op een of meer applicaties en desktops op de beleidspagina of het toegangsbeleid voor een specifieke applicatie selecteren op de configuratiepagina's voor applicaties. Raadpleeg de handleiding Beheer VMware Identity Manager voor meer informatie over toegangsbeleid. VMware, Inc. 152

153 Procedure 1 Volg deze stappen als u via de beleidspagina een toegangsbeleid wilt toepassen op applicaties en desktops. a b c d e Navigeer naar de pagina Identiteits- en toegangsbeheer > Beheren > Beleidsregels. Klik op een beleid om het te bewerken of klik op Beleid toevoegen om een nieuw beleid te maken. Bewerk of definieer het beleid op de beleidspagina. Geef in het gedeelte IP-bereiken de IP-bereiken op waarop u de instellingen wilt toepassen. Klik op Opslaan. 2 Selecteer deze stappen als u een toegangsbeleid voor een specifieke applicatie wilt selecteren op de configuratiepagina voor de applicatie. a b c d Klik op Catalogus > Toepassingscatalogus. Klik op de applicatie. Klik in het linkerdeelvenster op Toegangsbeleid. Selecteer het toegangsbeleid voor de applicatie en klik op Opslaan. Gebruikers- en groepsrechten beheren in door Citrix gepubliceerde bronnen U kunt de door Citrix gepubliceerde applicaties en desktops zien waarvoor uw VMware Identity Managergebruikers en -groepen rechten hebben. Naar desktops wordt in de VMware Identity Managerbeheerconsole verwezen als leveringsgroepen. Belangrijk U kunt VMware Identity Manager niet gebruiken om wijzigingen aan te brengen in uw Citriximplementatie. Als een Citrix-beheerder wijzigingen aanbrengt, zoals nieuwe gebruikers rechten geven voor een door Citrix gepubliceerde bron, of een nieuwe serverfarm toevoegen, moet u een synchronisatie forceren om de wijzigingen uit te dragen in VMware Identity Manager. Vereisten Voor de laatste updates synchroniseert u bronnen en rechten handmatig van de Citrix-serverfarms naar VMware Identity Manager door op Synchroniseren te klikken op de pagina Verzameling van virtuele apps. Procedure 1 Meld u aan op de beheerconsole van VMware Identity Manager. VMware, Inc. 153

154 2 Bekijk gebruikers- en groepsrechten in door Citrix gepubliceerde bronnen Door Citrix gepubliceerde bronnen zijn onder andere door Citrix gepubliceerde applicaties en door Citrix gepubliceerde desktops, die ook leveringsgroepen worden genoemd. Optie Actie Bekijk de lijst met gebruikers en groepen die rechten hebben voor een specifieke door Citrix gepubliceerde bron. Bekijk de lijst met door Citrix gepubliceerde bronrechten voor een specifieke gebruiker of groep. a b c a b c d Klik op Catalogus > Toepassingscatalogus. Klik op Elk applicatietype en selecteer Gepubliceerde Citrix-applicaties om applicaties te bekijken of Gepubliceerde Citrix-leveringsgroepen om desktops te bekijken. Klik op de naam van de door Citrix gepubliceerde bron waarvoor u rechten wilt vermelden. Het tabblad Rechten is standaard geselecteerd. Groepsrechten en gebruikersrechten worden vermeld in aparte tabellen. Klik op het tabblad Gebruikers en groepen. Klik op het tabblad Gebruikers of het tabblad Groepen. Klik op de naam van een individuele gebruiker of groep. Klik op het tabblad Apps. Door Citrix gepubliceerde bronnen met rechten worden vermeld in de tabellen Gepubliceerde Citrix-applicaties en Gepubliceerde Citrix-leveringsgroepen. Door Citrix gepubliceerde bronnen in verschillende browsers starten Wanneer gebruikers een door Citrix gepubliceerde desktop of applicatie starten vanuit de Workspace ONE-portal, wordt er een ICA-bestand gedownload en doorgegeven aan de Citrix Receiver. Citrix Receiver is van nature een OS-applicatie die door Citrix gepubliceerde desktops en applicaties start. De startervaring verschilt per platform en browser. Startprocedure Afhankelijk van het platform en de browser wordt de applicatie of desktop op verschillende manieren gestart. In sommige gevallen wordt de applicatie of desktop rechtstreeks gestart. In andere gevallen moet de gebruiker het.ica-bestandstype eerst aan Citrix Receiver koppelen zodat de applicatie of desktop rechtstreeks kan worden gestart. In een aantal gevallen moet de gebruiker op het gedownloade ICAbestand klikken om de applicatie of desktop te starten. Bekijk de tabel voor gedetailleerde informatie. Platform Browser Hoe de applicatie of desktop wordt gestart Vereiste handeling Windows Firefox Start de applicatie of desktop rechtstreeks Geen Chrome Start de applicatie of desktop rechtstreeks. Opmerking Bij Citrix 4.5 Receiver en XenDesktop zijn er bekende problemen met het starten van leveringsgroepen. Geen VMware, Inc. 154

155 Platform Browser Hoe de applicatie of desktop wordt gestart Vereiste handeling Internet Explorer Edge Downloadt het ICA-bestand met een.icaextensie. Nadat het bestandstype aan de Citrix Receiver is gekoppeld, wordt de applicatie of desktop automatisch gestart. Start de applicatie of desktop rechtstreeks. Opmerking Bij Citrix 4.5 Receiver en XenDesktop zijn er bekende problemen met het starten van leveringsgroepen. In de browser koppelt u het.icabestandstype eerst aan de Citrix Receiver. Geen Mac Safari, Firefox Start de applicatie of desktop rechtstreeks Geen Chrome Start de applicatie of desktop rechtstreeks Geen Windows Surface Chrome Downloadt het ICA-bestand met een.icaextensie. Nadat het bestandstype aan de Citrix Receiver is gekoppeld, wordt de applicatie of desktop automatisch gestart. In de browser koppelt u het.icabestandstype eerst aan de Citrix Receiver. Android Chrome Downloadt het ICA-bestand Klik op het ICA-bestand om de desktop of applicatie te starten. ios Safari Downloadt het ICA-bestand Klik op het ICA-bestand om de desktop of applicatie te starten. Chrome Kan het ICA-bestand niet downloaden Dit scenario wordt niet ondersteund. Citrix Receiver-plug-in in Firefox toestaan Wanneer gebruikers een gepubliceerde Citrix-applicatie starten in Firefox, worden ze gevraagd om de Citrix Receiver-plug-in toe te staan. toestaan om Citrix Receiver uit te voeren? Gebruikers moeten op Nu toestaan of Toestaan en onthouden klikken om de applicatie te starten. Impact van upgrade op integratie van gepubliceerde Citrix-bronnen U hoeft verder niets in te stellen na een VMware Identity Manager-upgrade of een Citrix-productupgrade om de integratie tussen VMware Identity Manager en door Citrix gepubliceerde bronnen te behouden. VMware, Inc. 155