Bronnen instellen in VMware Identity Manager 3.2 (op locatie) Aangepast in mei 2018 VMware Identity Manager 3.2

Transcriptie

1 Bronnen instellen in VMware Identity Manager 3.2 (op locatie) Aangepast in mei 2018 VMware Identity Manager 3.2

2 U vindt de recentste technische documentatie op de website van VMware: Als u opmerkingen over deze documentatie heeft, kunt u uw feedback sturen naar: docfeedback@vmware.com VMware, Inc Hillview Ave. Palo Alto, CA Copyright VMware, Inc. Alle rechten voorbehouden. Informatie over copyright en handelsmerken. VMware, Inc. 2

3 Inhoud Bronnen instellen in VMware Identity Manager (op locatie) 6 1 Introductie tot het instellen van bronnen in VMware Identity Manager 7 2 Toegang geven tot webapplicaties 9 Een webapplicatie toevoegen aan uw catalogus 11 Gebruikers en groepen toewijzen aan een webapplicatie 14 Een webapplicatie bewerken 16 Kopiëren van een webapplicatie 16 Een webapplicatie exporteren 17 Een webapplicatie verwijderen uit de catalogus 17 Categorieën voor applicaties maken en selecteren 18 Meerdere tenants van webapps toevoegen 18 OpenID Connect-applicaties aan de catalogus toevoegen 20 provisioningsadapters gebruiken 23 Instellingen voor webapps beheren 24 Aanvullende informatie 24 3 Verzamelingen van virtuele apps gebruiken voor desktopintegraties 25 Over verzamelingen van virtuele apps 25 Verzamelingen van virtuele apps maken 27 Verzamelingen van virtuele apps bewerken 29 Verzamelingen van virtuele apps verwijderen 30 Verzameling van virtuele apps controleren 31 Bestaande configuraties migreren naar een verzameling van virtuele apps 31 4 Toegang geven tot View-, Horizon 6- of Horizon 7-bureablad- en applicatiesgroeps 36 Over het integreren van onafhankelijke Horizon-pods 37 Over het integreren van Horizon Cloud Pod Architecture-implementaties (CPA) 38 Horizon-pods en -podfederaties in VMware Identity Manager configureren 44 URL's voor toegang voor meerdere clienten voor aangepaste netwerkbereiken inschakelen 53 Horizon-bronnen op afstand starten 54 De verbindingsinformatie voor pools van Horizon-desktops en -applicaties 54 Gebruikers- en groepsrechten voor pools van Horizon-desktops en -applicaties weergeven 55 Toegangsbeleid instellen voor specifieke applicaties en desktops 56 Gebruikers toestaan om hun Horizon-desktops opnieuw in te stellen in VMware Identity Manager 56 Startopties voor Horizon-desktops en -applicaties weergeven 58 VMware, Inc. 3

4 Een Horizon-desktop of -applicatie starten 59 5 Toegang geven tot VMware Horizon Cloud Service -desktops en -applicaties 61 Horizon Cloud -desktops en -applicaties integreren 62 Details over pools van Horizon Cloud -desktops en -applicaties bekijken 70 Gebruikers- en groepsrechten voor Horizon Cloud -desktops en -applicaties bekijken 71 Toegangsbeleid instellen voor specifieke applicaties en desktops 71 Gebruikers toestaan om Horizon Cloud-desktops opnieuw in te stellen 72 Een Horizon Cloud -desktop of -applicatie gebruiken 73 6 Toegang geven tot VMware ThinApp-pakketten 74 VMware ThinApp-pakketten integreren 75 Gebruikers en groepen rechten verlenen voor ThinApp-pakketten 86 ThinApp-pakketten verspreiden en beheren met VMware Identity Manager 89 Beheerde ThinApp-pakketten bijwerken na implementatie in VMware Identity Manager 94 ThinApp-pakketten verwijderen uit VMware Identity Manager 100 Bestaande ThinApp-pakketten compatibel maken met VMware Identity Manager 100 Gedeelde map wijzigen van ThinApp-pakketten 103 Toegangsbeleid instellen voor specifieke applicaties en desktops VMware Identity Manager Desktop configureren 105 Opdrachtregelopties van installatieprogramma voor VMware Identity Manager Desktop 106 De applicatie VMware Identity Manager Desktop met identieke instellingen installeren op meerdere Windows-systemen 113 Voeg installatiebestanden van VMware Identity Manager Desktop toe aan virtual appliances van VMware Identity Manager. 114 De opdrachtregelapplicatie hws-desktop-ctrl.exe gebruiken Toegang geven tot gepubliceerde Citrix-bronnen 117 Overzicht van de integratie van Citrix gepubliceerde bronnen 117 Vereiste onderdelen voor Citrix-integratie 119 Ontwerp voor integratie op hoog niveau 119 Vereisten voor Citrix-integratie 124 Citrix-serverfarms configureren in VMware Identity Manager 152 Starten van Citrix-bron in VMware Identity Manager configureren 157 Instellingen voor VMware Identity Manager configureren voor Citrix-integratie 163 Impact van upgrade op integratie van gepubliceerde Citrix-bronnen Toegang bieden tot extern beheerde applicaties in Workspace ONE 172 Een applicatiebron toevoegen aan Workspace ONE Catalog 173 Gebruikers rechten verlenen voor de applicatiebron 174 Applicaties toevoegen die worden beheerd door de applicatiebron 175 VMware, Inc. 4

5 10 Problemen oplossen met de configuratie van VMware Identity Manager - bronnen 176 Problemen met de integratie van ThinApp oplossen 176 Problemen met Horizon-integratie oplossen 179 Problemen met integratie van gepubliceerde Citrix-bronnen oplossen 181 VMware, Inc. 5

6 Bronnen instellen in VMware Identity Manager (op locatie) In Bronnen instellen in VMware Identity Manager vindt u informatie over het toevoegen van bronnen aan de VMware Identity Manager-catalogus en hoe u deze beschikbaar kunt maken vanaf systemen van gebruikers, zoals vanaf hun desktops en mobiele apparaten. Ondersteunde bronnen omvatten webapplicaties, VMware Horizon -desktops en -applicaties, VMware Horizon Cloud Service -desktops en -applicaties, gepubliceerde Citrix-bronnen en VMware ThinApp -pakketten. Doelgroep Deze informatie is bedoeld voor iedereen die bronnen voor VMware Identity Manager configureert en beheert. De informatie is geschreven voor ervaren systeembeheerders van Windows en Linux die vertrouwd zijn met virtuele machinetechnologie. Opmerking over de functie Verzameling van virtuele apps Wanneer u de upgrade naar VMware Identity Manager 3.1 of hoger uitvoert, kunt u uw bestaande configuraties van bronnen migreren naar de nieuwe functie Verzameling van virtuele apps. Totdat u een migratie uitvoert, kunt u doorgaan met het menu Bureaubladtoepassingen beheren op de pagina Catalogus > Toepassingscatalogus om de configuraties te beheren. Deze handleiding verwijst naar de nieuwe gebruikersinterface voor de functie Verzameling van virtuele apps voor alle integraties. Als u de oude gebruikersinterface van het menu Bureaubladtoepassingen beheren blijft gebruiken, raadpleegt u versie 3.0 van de documentatie, Bronnen instellen in VMware Identity Manager 3.0 (PDF). VMware, Inc. 6

7 Introductie tot het instellen van bronnen in VMware Identity Manager 1 Nadat u VMware Identity Manager hebt geïnstalleerd en geconfigureerd, moet u de bronnen in de VMware Identity Manager-beheerconsole configureren om gebruikers toegang te geven tot ondersteunde bronnen. Behalve bij webapplicaties moet u voor elk brontype VMware Identity Manager integreren in een ander product of onderdeel. U kunt de volgende typen bronnen integreren in VMware Identity Manager: Webapplicaties VMware Horizon Cloud Service -applicaties en -desktops Pools van VMware Horizon 7-, Horizon 6- en View-desktops en -applicaties Door Citrix gepubliceerde bronnen Verpakte VMware ThinApp -applicaties U integreert deze bronnen via het tabblad Catalogus in de beheerconsole. Als u webapplicaties wilt integreren, gebruikt u het tabblad Catalogus > Webapps. Als u de pools van Horizon-desktops en applicaties, Horizon Cloud-desktops en -applicaties, gepubliceerde Citrix-bronnen of verpakte ThinApp-applicaties wilt integreren en beheren, gebruikt u het tabblad Catalogus > Virtuele Apps. VMware, Inc. 7

8 U kunt instellingen voor geïntegreerde bronnen beheren via de volgende pagina's. Algemene instellingen zijn beschikbaar op het tabblad Catalogus > Instellingen. Instellingen voor webapplicaties zijn beschikbaar via de knop Instellingen op het tabblad Catalogus > Webs. Instellingen voor Horizon, Horizon Cloud, ThinApp en gepubliceerde Citrix-bronnen zijn beschikbaar via de knop Instellingen op het tabblad Catalogus > Virtuele apps. U kunt ook instellingen beheren voor individuele applicaties door te klikken op de applicatie op de pagina Catalogus > Webapps of Catalogus > Virtuele apps en de configuratie te wijzigen. VMware, Inc. 8

9 Toegang geven tot 2 webapplicaties U kunt webapplicaties toevoegen aan de catalogus van VMware Identity Manager en deze toewijzen aan gebruikers en groepen on gebruikers toegang te geven tot deze applicaties vanuit de Workspace ONEportal of -app. U schakelt eenmalige aanmelding (SSO) in voor de applicaties door gebruik te maken van een federatieprotocol, zoals SAML 2.0, om de applicaties te configureren. Een toegangsbeleid kan worden toegepast op applicaties om de toegang van gebruikers te beheren op basis van criteria zoals netwerkbereik van de gebruiker of het apparaattype. U kunt een toegangsbeleid creëren voor een enkele applicatie, een groep applicaties of alle applicaties in uw catalogus. Wanneer u een applicatie aan de catalogus toevoegt, selecteert u het toegangsbeleid dat u wilt gebruiken. U kunt ook een goedkeuringswerkstroom instellen zodat gebruikers toegang tot een applicatie moeten aanvragen en de aanvraag moet worden goedgekeurd voordat ze de applicatie kunnen gebruiken. De volgende typen webapplicaties kunnen worden toegevoegd aan de catalogus: SAML 2.0-applicaties SAML 1.1-applicaties SAML 1.1 is een oudere SAML-verificatiestandaard. Implementeer SAML 2.0 voor een betere beveiliging. WS-Federation 1.2-applicaties OpenID Connect-applicaties Applicaties die geen federatieprotocol gebruiken Applicaties die zijn gekoppeld aan identiteitsproviders van derden zoals Okta, Ping en ADFS. Als u deze applicaties wilt toevoegen, moet u eerst de externe identiteitsprovider als applicatiebron in VMware Identity Manager configureren. Zie Hoofdstuk 9 Toegang bieden tot extern beheerde applicaties in Workspace ONE voor meer informatie. Voordat u webapplicaties in de catalogus instelt, dient u rekening te houden met de volgende overwegingen. Als u de webapplicatie configureert om een federatieprotocol te gebruiken, gebruikt u SAML 2.0, SAML 1.1, WS-Federation 1.2 of OpenID Connect. Het configureren van de webapplicatie om een federatieprotocol te gebruiken, is geen vereiste. VMware, Inc. 9

10 De gebruikers waaraan u rechten tot de webapplicatie wilt verlenen moeten geregistreerde gebruikers van die applicatie zijn. Als deze mogelijkheid beschikbaar is, kunt u ook een inrichtingsadapter voor de applicatie instellen, om VMware Identity Manager-gebruikers in te richten in de applicatie. Als de webapplicatie een multi-tenantapplicatie is, verwijst de service naar uw instantie van de applicatie. Vereisten voor rollen voor het beheren van webapplicaties VMware Identity Manager 3.2 introduceert op rollen gebaseerde toegangscontrole. De volgende rollen kunnen webapplicaties beheren: Superbeheerder Beheerdersrol aanpassen die de volgende configuratie heeft: Service: catalogus Acties: Webapplicaties beheren, App-bronnen beheren, Externe apps beheren, zover van toepassing Bronnen: alle bronnen of specifieke bronnen, voor zover van toepassing Als u applicaties aan gebruikers en groepen wilt toewijzen, moet de rol de actie van rechten beheren bevatten. Zie "Beheren beheerdersrollen" in VMware Identity Manager-beheervoor meer informatie over rollen. Dit hoofdstuk omvat de volgende onderwerpen: Een webapplicatie toevoegen aan uw catalogus Gebruikers en groepen toewijzen aan een webapplicatie Een webapplicatie bewerken Kopiëren van een webapplicatie Een webapplicatie exporteren Een webapplicatie verwijderen uit de catalogus Categorieën voor applicaties maken en selecteren Meerdere tenants van webapps toevoegen OpenID Connect-applicaties aan de catalogus toevoegen provisioningsadapters gebruiken Instellingen voor webapps beheren Aanvullende informatie VMware, Inc. 10

11 Een webapplicatie toevoegen aan uw catalogus U kunt webapplicaties toevoegen aan uw catalogus door ze te selecteren in de catalogus met cloudapplicaties of nieuwe te maken. De catalogus met cloudapplicaties bevat veelgebruikte zakelijke webapplicaties. Deze applicaties zijn gedeeltelijk geconfigureerd en u moet extra informatie opgeven om de applicatierecord te voltooien. Wellicht moet u samenwerken met de accountbeheerders van uw webapplicatie om andere vereiste instellingen te voltooien. Veel van de applicaties in de catalogus met cloudapplicaties gebruiken SAML 2.0 of 1.1 om verificatie- en autorisatiegegevens uit te wisselen en Single Sign-On via Workspace ONE bij de webapplicatie in te schakelen. Wanneer u een nieuwe applicatie maakt, moet u alle configuratiegegevens voor de applicatie invoeren. De configuratie is afhankelijk van het type applicatie dat u toevoegt. Voor applicaties zonder federatieprotocol hebt u alleen een doel-url nodig. Applicaties van externe identiteitsproviders die u hebt geconfigureerd, zoals applicatiebronnen in VMware Identity Manager, worden als nieuwe applicaties toegevoegd. Tijdens het toevoegen van een applicatie moet u ook een toegangsbeleid selecteren om gebruikerstoegang tot de applicatie te beheren. Er is een standaardtoegangsbeleid beschikbaar en u kunt ook een nieuw beleid maken op de pagina Identiteits- en toegangsbeheer > Beheren > Beleidsregels. Zie Beheer VMware Identity Manager voor meer informatie over toegangsbeleid. Vereisten Verkrijg de configuratiegegevens voor de applicatie. Maak een toegangsbeleid als u het standaardtoegangsbeleid niet wilt gebruiken. U kunt een toegangsbeleid maken op de pagina Identiteits- en toegangsbeheer > Beheren > Beleidsregels. Maak categorieën als u applicaties wilt groeperen in categorieën. Er is een vooraf gedefinieerde categorie Aanbevolen beschikbaar. U kunt categorieën maken via de pagina Catalogus > Webapps door op Categorieën te klikken en de naam van de categorie te typen in het tekstvak. Maak zo nodig gebruikersgroepen. U kunt groepen maken via het tabblad Gebruikers en groepen > Groepen. Procedure 1 Selecteer Catalogus > Webapps in de beheerconsole. 2 Klik op Nieuw. De wizard Nieuwe SaaS-applicatie wordt geopend. VMware, Inc. 11

12 3 Selecteer een applicatie uit de catalogus met cloudapplicaties of maak een nieuwe. Om een applicatie uit de catalogus met cloudapplicaties te selecteren, typt u de naam in het zoekvak of klikt u op of bladert u door de catalogus en selecteert u deze uit de lijst met applicaties. De velden op de pagina's Definitie en Configuratie zijn gedeeltelijk vooraf ingevuld. Voer de naam in het veld Naam in om een nieuwe applicatie te maken. 4 Voer de vereiste informatie in op de pagina Definitie. Optie Naam Beschrijving Pictogram Categorie Beschrijving Voer een unieke naam voor de applicatie in. (Optioneel) Voer een beschrijving van de applicatie in. (Optioneel) Upload een pictogram voor de applicatie. Pictogrammen in de bestandsindelingen PNG, JPG en ICON tot maximaal 4 MB worden ondersteund. Het pictogram moet minimaal 180 x 180 pixels zijn. Als het pictogram te klein is, wordt het niet weergegeven. In dat geval wordt het Workspace ONE-pictogram weergegeven. (Optioneel) Als u de applicatie wilt toevoegen aan een categorie, selecteert u deze in het vervolgkeuzemenu. Categorieën moeten al zijn gemaakt. Er is een vooraf gedefinieerde categorie Aanbevolen beschikbaar. Selecteer deze categorie als u wilt dat de applicatie wordt weergegeven op de pagina Aanbevolen in Workspace ONE. Als u wilt dat de app op de pagina Bladwijzers van de gebruiker wordt weergegeven, selecteert u de categorie Aanbevolen. Vervolgens selecteert u Aanbevolen apps weergeven op het tabblad Bladwijzers op de pagina Catalogus > Instellingen > Configuratie van gebruikersportal. 5 Klik op Volgende. 6 Voer de informatie van de applicatieconfiguratie in op de pagina Configuratie. Voor applicaties die zijn toegevoegd via de catalogus met cloudapplicaties zijn sommige velden vooraf ingevuld met informatie die specifiek is voor elke webapplicatie. Sommige vooraf gevulde items kunnen worden bewerkt, andere niet. De vereiste informatie is afhankelijk van de applicatie. VMware, Inc. 12

13 Voor applicaties die worden toegevoegd als nieuwe applicaties, variëren de velden op basis van het verificatietype dat u selecteert. Klik op het informatiepictogram naast het veld voor informatie over specifieke velden. Optie Single Sign-On Beschrijving Verificatietype Voor applicaties die zijn toegevoegd via de catalogus met cloudapplicaties, is het verificatietype vooraf geselecteerd. Voor nieuwe applicaties selecteert u het verificatietype, indien van toepassing. Als de applicatie geen federatieprotocol gebruikt, selecteert u 'Koppeling naar webapplicatie'. De volgende opties zijn beschikbaar: SAML 2.0 Als de webapplicatie SAML 2.0 (een XML-gebaseerde standaard voor de veilige uitwisseling van verificatie- en autorisatiegegevens) ondersteunt, selecteert u deze optie om Single Sign-On via Workspace ONE bij de applicatie in te schakelen. SAML 1.1 Als de webapplicatie SAML 1.1 ondersteunt, selecteert u deze optie om Single Sign-On via Workspace ONE bij de applicatie in te schakelen. WSFed 1.2 Als de webapplicatie WS-federation 1.2-verificatie ondersteunt, selecteert u deze optie om Single Sign-On via Workspace ONE bij de applicatie in te schakelen. OpenID Connect Als de applicatie OpenID Connect (een verificatieprotocol op basis van het OAuth 2.0-protocol) ondersteunt, selecteert u deze optie om Single Sign-On via Workspace ONE bij de applicatie in te schakelen. Externe identiteitsproviders die als applicatiebronnen zijn geconfigureerd in VMware Identity Manager, bijvoorbeeld Okta. Selecteer deze optie om een applicatie van een applicatiebron toe te voegen. Applicatiebronnen worden alleen in de lijst weergegeven als ze al zijn geconfigureerd op de pagina met instellingen voor webapps. Wanneer u een applicatiebron selecteert, hoeft u alleen de doel-url van de applicatie in te voeren aangezien de rest van de configuratie al is voltooid in de applicatiebron. Koppeling naar webapplicatie Selecteer deze optie als de applicatie geen federatieprotocol gebruikt. U hoeft alleen de doel-url van de applicatie in te voeren. Configuratie De velden die worden weergegeven, variëren afhankelijk van het geselecteerde verificatietype. Klik op het informatiepictogram voor een beschrijving van elk veld. Als u een applicatiebron of een koppeling naar een webapplicatie hebt geselecteerd, hoeft u alleen de doel-url van de applicatie in te voeren. Applicatieparameters Voor applicaties die zijn toegevoegd uit de catalogus met cloudapplicaties, worden mogelijk parameters weergegeven. Als een parameter wordt weergegeven en deze geen standaardwaarde heeft, voert u een waarde in zodat de applicatie kan starten. Als er al een standaardwaarde staat, kunt u deze waarde bewerken. VMware, Inc. 13

14 Optie Beschrijving Voor nieuwe applicaties voert u de vereiste parameters toe. Opmerking Deze sectie wordt niet weergegeven wanneer OpenID Connect, een applicatiebron, of 'Koppeling naar webapplicatie' is geselecteerd als verificatietype. Geavanceerde eigenschappen Geavanceerde eigenschappen zijn onder meer opties om SAML-verklaringen en - antwoorden te ondertekenen en te versleutelen. De eigenschappen die u kunt configureren, variëren afhankelijk van het geselecteerde verificatietype. Klik op het informatiepictogram voor een beschrijving van elk veld. Opmerking Deze sectie wordt niet weergegeven wanneer OpenID Connect, een applicatiebron, of 'Koppeling naar webapplicatie' is geselecteerd als verificatietype. Openen in VMware Browser Selecteer deze optie als u wilt dat de Workspace ONE-app de applicatie in de VMware Browser opent, die een veilig alternatief voor de systeemeigen webbrowser biedt. 7 Klik op Volgende. 8 Selecteer op de pagina Toegangsbeleid het toegangsbeleid waarmee u gebruikerstoegang tot de applicatie wilt beheren. De standaardtoegangsbeleidsset is standaard geselecteerd. 9 Bekijk uw selecties op de pagina Samenvatting en klik op Opslaanof klik op Opslaan en toewijzen om de applicatie toe te wijzen aan gebruikers en groepen. Als u de applicatie nu niet toewijst aan gebruikers en groepen, kunt u dit later doen door de applicatie te selecteren op de pagina Catalogus > Webapps en op Toewijzen te klikken. 10 Als u op Opslaan en toewijzen hebt geklikt, wijst u de applicatie toe aan gebruikers en groepen. a b Voeg gebruikers en groepen toe door de naam in het zoekvak te typen en resultaten te selecteren. Selecteer het implementatietype voor elke gebruiker en groep. Ongeacht of u Door gebruiker geactiveerd of Automatischselecteert, de applicatie wordt weergegeven op de pagina Catalogus in Workspace ONE. Gebruikers kunnen de applicatie uitvoeren via de pagina Catalogus of er een bladwijzer aan toevoegen en deze uitvoeren via de pagina Bladwijzers. Als u van plan bent om een goedkeuringswerkstroom voor de applicatie in te stellen, selecteert u Door gebruiker geactiveerd. c Klik op Opslaan. De applicatie wordt aan de catalogus toegevoegd en wordt in de lijst met applicaties op het tabblad Catalogus > Webapps weergegeven. Gebruikers en groepen toewijzen aan een webapplicatie Nadat u webapplicaties aan uw catalogus hebt toegevoegd, kunt u ze toewijzen aan gebruikers en groepen. VMware, Inc. 14

15 Wanneer u een gebruiker rechten voor een webapplicatie verleent, kan de gebruiker de applicatie bekijken en starten via de Workspace ONE-portal of -app. Wanneer u de rechten van de gebruiker verwijdert, kan de gebruiker de applicatie niet zien of starten. In veel gevallen kunt u gebruikers het beste rechten te verlenen door webapplicaties toe te wijzen aan een groep gebruikers. Vereisten Maak zo nodig groepen. U kunt groepen maken via het tabblad Gebruikers en groepen > Groepen. Procedure 1 Meld u aan op de beheerconsole. 2 Verleen rechten aan gebruikers voor een webapplicatie. Methode Beschrijving Webapplicatie openen en toewijzen aan gebruikers of groepen Open een gebruiker of een groep en voeg de rechten voor webapplicaties toe aan die gebruiker of groep. a b c d e f a b c d e f g h Selecteer het tabblad Catalogus > Webapps. Klik op de webapplicatie. Klik op Toewijzen. Selecteer gebruikers en groepen door de naam in het zoekvak te typen en resultaten te selecteren. Selecteer het implementatietype voor elke gebruiker en groep. Ongeacht of u Door gebruiker geactiveerd of Automatischselecteert, de applicatie wordt toegevoegd aan de pagina Catalogus in Workspace ONE. Gebruikers kunnen de applicatie uitvoeren via de pagina Catalogus of er een bladwijzer aan toevoegen en de applicatie uitvoeren via de pagina Bladwijzers. Als u echter van plan bent om een goedkeuringswerkstroom voor de applicatie in te stellen, selecteert u Door gebruiker geactiveerd. Klik op Opslaan. Klik op het tabblad Gebruikers en groepen. Klik op het tabblad Gebruikers of het tabblad Groepen. Klik op de naam van een gebruiker of groep. Klik op de tab Apps en klik vervolgens op Recht toevoegen. Selecteer in het vervolgkeuzemenu Toepassingstype de optie Webapplicatie. Selecteer de selectievakjes naast de webapplicaties waarvoor u de gebruiker of groep rechten wilt verlenen. Selecteer in de kolom IMPLEMENTATIE hoe elke webapplicatie moet worden geactiveerd. Ongeacht of u Door gebruiker geactiveerd of Automatischselecteert, de applicatie wordt toegevoegd aan de pagina Catalogus in Workspace ONE. Gebruikers kunnen de applicatie uitvoeren via de pagina Catalogus of er een bladwijzer aan toevoegen en de applicatie uitvoeren via de pagina Bladwijzers. Als u echter van plan bent om een goedkeuringswerkstroom voor de applicatie in te stellen, selecteert u Door gebruiker geactiveerd. Klik op Opslaan. De geselecteerde gebruiker of groep heeft nu rechten om de webapplicatie te gebruiken. VMware, Inc. 15

16 Een webapplicatie bewerken U kunt webapplicaties bewerken die u hebt toegevoegd aan uw VMware Identity Manager-catalogus. U kunt de definitie, de configuratie, het toegangsbeleid en de gebruikerstoewijzingen van de applicatie wijzigen. Procedure 1 Selecteer het tabblad Catalogus > Webapps. 2 Klik op de applicatie die u wilt bewerken. 3 Klik op Bewerken. 4 Voltooi de wizard SaaS-applicatie bewerken om de applicatie waar nodig te wijzigen. Het proces is hetzelfde als bij het maken van een nieuwe applicatie. Zie Een webapplicatie toevoegen aan uw catalogus. Kopiëren van een webapplicatie U kunt een kopie maken van een webapplicaties in uw catalogus en haar aanpassen om een nieuwe applicatie te maken. Kopiëren van een applicatie is handig als u een andere applicatie wilt toevoegen met een soortgelijke configuratie of als u meerdere tenants van een applicatie toevoegt. Procedure 1 Selecteer het tabblad Catalogus > Webapps. 2 Klik op de applicatie die u wilt kopiëren. 3 Klik op kopiëren. 4 Volg de wizard Kopiëren SaaS-applicatie om de nieuwe applicatie te configureren. a b Zorg ervoor dat u een nieuwe naam voor de gekopieerde applicatie invoert. Standaard wordt de naam gewijzigd in applicationname_copy. Pas de configuratie zoals vereist aan. Het proces is hetzelfde als bij het maken van een nieuwe applicatie. Zie Een webapplicatie toevoegen aan uw catalogus. c Klik op Opslaan. 5 Bekijk uw selecties op de pagina Samenvatting en klik op Opslaanof klik op Opslaan en toewijzen om de applicatie toe te wijzen aan gebruikers en groepen. Toewijzingen van gebruikers en groepen uit de oorspronkelijke applicatie worden niet naar de nieuwe applicatie gekopieerd. Als u de applicatie nu niet toewijst aan gebruikers en groepen, kunt u dit later doen door de applicatie te selecteren op de pagina Catalogus > Webapps en op Toewijzen te klikken. VMware, Inc. 16

17 6 Als u op Opslaan en toewijzen hebt geklikt, wijst u de applicatie toe aan gebruikers en groepen. a b Voeg gebruikers en groepen toe door de naam in het zoekvak te typen en resultaten te selecteren. Selecteer het implementatietype voor elke gebruiker en groep. Ongeacht of u Door gebruiker geactiveerd of Automatischselecteert, de applicatie wordt weergegeven op de pagina Catalogus in Workspace ONE. Gebruikers kunnen de applicatie uitvoeren via de pagina Catalogus of er een bladwijzer aan toevoegen en deze uitvoeren via de pagina Bladwijzers. Als u van plan bent om een goedkeuringswerkstroom voor de applicatie in te stellen, selecteert u Door gebruiker geactiveerd. c Klik op Opslaan. Een webapplicatie exporteren U kunt een webapplicatie van één VMware Identity Manager-instantie importeren in een andere. U wilt bijvoorbeeld een applicatie uit uw voorbereide inrichtingsomgeving importeren in uw productieomgeving. Tijdens dit proces wordt de applicatiebundel van één instantie van de service geëxporteerd en in de andere geïmporteerd. Wellicht hoeft de applicatie niet verder te worden geconfigureerd, vooral niet wanneer u deze in de oorspronkelijke omgeving grondig hebt getest. Belangrijk De mogelijkheid om webapplicaties te importeren, is momenteel niet beschikbaar in de nieuwe gebruikersinterface van versie 3.2. Procedure 1 Meld u aan bij de beheerconsole van de service-instantie waarvan u een webapplicatie wilt exporteren. 2 Selecteer het tabblad Catalogus > Webapps. 3 Klik op de applicatie die u wilt exporteren. 4 Klik op Exporteren. De applicatiebundel wordt als zip-bestand op uw systeem gedownload. Wat nu te doen Importeer de applicatiebundel in de service-instantie waarin u deze wilt gebruiken. Deze functie is momenteel niet beschikbaar in de nieuwe gebruikersinterface van versie 3.2. Een webapplicatie verwijderen uit de catalogus U kunt webapplicaties verwijderen uit de VMware Identity Manager-catalogus als u ze niet langer beschikbaar hoeft te stellen voor uw gebruikers. Wanneer u een applicatie verwijdert, is deze niet langer beschikbaar voor gebruikers in Workspace ONE. VMware, Inc. 17

18 Procedure 1 Selecteer het tabblad Catalogus > Webapps. 2 Klik op de applicatie die u wilt verwijderen. 3 Klik op Verwijderen. Categorieën voor applicaties maken en selecteren U kunt webapplicaties in categorieën groeperen om applicaties gemakkelijker te vinden. U kunt bijvoorbeeld een categorie met de naam Voordelen maken en uw applicaties voor salarisadministratie, verzekering en pensioenplanning aan die categorie toewijzen. Naast de categorieën die u maakt, is ook een vooraf gedefinieerde categorie Aanbevolen beschikbaar. Selecteer deze categorie voor applicaties die u aan de pagina Aanbevolen in Workspace ONE wilt toevoegen. U kunt de categorie Aanbevolen ook gebruiken om specifieke applicaties direct op de pagina Bladwijzers van gebruikers te plaatsen. Hiervoor selecteert u de categorie Aanbevolen voor de applicaties en selecteert u vervolgens Aanbevolen apps weergeven op het tabblad Bladwijzers op de pagina Catalogus > Instellingen > Configuratie van gebruikersportal. U kunt op verschillende manieren categorieën voor applicaties selecteren. Selecteer categorieën tijdens het toevoegen van een applicatie aan de catalogus, als de categorieën al zijn gemaakt. Bewerk een applicatie om categorieën te selecteren. Pas categorieën toe op meerdere applicaties tegelijkertijd via het tabblad Catalogus > Webapps. Procedure 1 Selecteer het tabblad Catalogus > Webapps. 2 Klik op Categorieën. 3 Typ een naam voor de nieuwe categorie in het tekstvak dat wordt weergegeven, en selecteer Categorie nieuwe categorienaam toevoegen. 4 Wijs applicaties toe aan de categorie. a Selecteer de applicaties die u wilt toevoegen aan de categorie, op het tabblad Catalogus > Webapps. b Klik op het vervolgkeuzemenu Categorieën en selecteer de categorie die u hebt gemaakt. Meerdere tenants van webapps toevoegen VMware Identity Manager ondersteunt het toevoegen van meerdere tenants van een serviceprovider aan een VMware Identity Manager-instantie. Als u meerdere tenants van een app zoals Office 365 hebt die kunnen worden gebruikt door verschillende bedrijfstakken binnen uw organisatie, kunt u alle tenants toevoegen aan één VMware Identity Manager-instantie. Zo kunt u SSO en toegang tot alle tenants op één locatie beheren. VMware, Inc. 18

19 Als u meerdere tenants wilt toevoegen, voegt u meerdere exemplaren van de app toe aan de VMware Identity Manager-catalogus en wijzigt u vervolgens de configuratie van elke app. Wijs elk exemplaar van de app toe aan een andere tenant van de serviceprovider. Elke tenant kan een of meerdere domeinen bevatten. U moet gebruikers ook rechten verlenen voor het betreffende exemplaar van de app. Wanneer gebruikers zich aanmelden bij Workspace ONE en op de app klikken waarvoor ze rechten hebben ontvangen, wordt de correcte app gestart. Wanneer gebruikers zich rechtstreeks aanmelden bij de serviceprovider, wordt de serviceprovider omgeleid naar VMware Identity Manager voor verificatie. VMware Identity Manager verifieert de gebruiker en start de correcte app op basis van de gebruikersrechten. Procedure 1 Selecteer het tabblad Catalogus > Webapps. 2 Klik op Nieuw. 3 Selecteer de app uit de catalogus met cloudapplicaties door de naam te typen in het zoekvak of op bladeren vanuit catalogus te klikken en de app te selecteren. De velden op de pagina's Definitie en Configuratie zijn gedeeltelijk vooraf ingevuld. 4 Volg de wizard om de app te configureren en klik op Opslaan. 5 Maak een kopie van de app op een van de volgende manieren: Maak een nieuwe app door op Nieuw te klikken op de pagina Catalogus > Webapps en de app uit de catalogus met cloudapplicaties toe te voegen. Kopieer de app door op de app te klikken op de pagina Catalogus > Webapps en vervolgens op Kopiëren te klikken. Bewerk velden zoals de naam en beschrijving zodat de nieuwe app eenvoudig kan worden geïdentificeerd. 6 Configureer elk exemplaar van de app voor de juiste tenant. Wijs elk exemplaar van de app toe aan een andere tenant van de serviceprovider. Zorg ervoor dat gebruikers uniek zijn voor alle domeinen en tenants van de serviceprovider. Opmerking Als de gebruikers niet uniek zijn, moet u ervoor zorgen dat de POST URL's van de serviceprovider, oftewel de URL's van de consumentenservice voor verklaringen die u opgeeft in de VMware Identity Manager-beheerconsole, uniek zijn voor de tenants. 7 Configureer gebruikersrechten voor elk exemplaar van de app. Verleen gebruikers rechten voor de betreffende tenant. a b c Klik op het tabblad Catalogus > Webapps op het exemplaar van de app dat overeenkomt met de tenant. Klik op Toewijzen. Voeg gebruikers en groepen toe door de namen in het zoekvak te typen en resultaten te selecteren. VMware, Inc. 19

20 d Selecteer het implementatietype voor elke gebruiker en groep. Ongeacht of u de optie Door gebruiker geactiveerd of Automatisch selecteert, de applicatie wordt toegevoegd aan de pagina Catalogus in Workspace ONE. Gebruikers kunnen de applicatie uitvoeren op de pagina Catalogus of deze naar de pagina Bladwijzers verplaatsen. Als u echter een goedkeuringswerkstroom voor de applicatie wilt instellen, moet u 'Door gebruiker geactiveerd' voor de app selecteren. e Klik op Opslaan. OpenID Connect-applicaties aan de catalogus toevoegen U kunt applicaties die het OpenID Connect-verificatieprotocol gebruiken, aan VMware Identity Manager toevoegen en ze beheren zoals alle andere applicaties in de catalogus. U kunt een toegangsbeleid toepassen op elke applicatie om op te geven hoe gebruikers worden geverifieerd op basis van criteria zoals netwerkbereik en apparaattype. Nadat u de applicatie hebt toegevoegd, kunt u deze toewijzen aan gebruikers en groepen. Als u een OpenID Connect-applicatie toevoegt, geeft u de doel-url, de omleidings-url, de client-id en het clientgeheim van de applicatie op. Wanneer u een OpenID Connect-applicatie aan de catalogus toevoegt, wordt in VMware Identity Manager automatisch een OAuth 2.0-client gemaakt voor de applicatie. De client wordt gemaakt met de configuratiegegevens die u opgeeft wanneer u de applicatie toevoegt, waaronder de doel-url, de omleidings-url, de client-id en het clientgeheim. Alle andere parameters gebruiken standaardwaarden. Hiertoe behoren: Type toewijzing: verificatiecode, vernieuwingstoken Bereik: beheerder, openid, gebruiker Gebruikerstoewijzing weergeven: onwaar TTL-token (Time-To-Live) openen: 3 uur TTL-token (Time-To-Live) vernieuwen: ingeschakeld en ingesteld op 90 dagen Time-to-Live (TTL) vernieuwingstoken inactief: 4 dagen U kunt de OAuth 2.0-client voor de applicatie bekijken op het tabblad Clients van de pagina Catalogus > Instellingen > Externe toegang tot app. Klik op de naam van de client om de configuratiegegevens weer te geven. Bewerk geen velden in de client. Belangrijk Verwijder niet de OAuth 2.0-client die aan de applicatie is gekoppeld, anders is de applicatie niet langer beschikbaar voor gebruikers. Wanneer u de applicatie uit de catalogus verwijdert, wordt ook de OAuth 2.0-client verwijderd. VMware, Inc. 20

21 Verificatieproces wanneer de applicatie wordt geopend via Workspace ONE Wanneer een gebruiker op de applicatie in Workspace ONE klikt, verloopt het verificatieproces als volgt: 1 De gebruiker klikt op de applicatie in Workspace ONE. 2 VMware Identity Manager leidt de gebruiker naar de doel-url. 3 De applicatie leidt de gebruiker met een verificatieaanvraag naar VMware Identity Manager. 4 VMware Identity Manager verifieert de gebruiker op basis van het verificatiebeleid dat u hebt opgegeven voor de applicatie. 5 VMware Identity Manager controleert of de gebruiker rechten heeft voor de applicatie. 6 VMware Identity Manager verzendt de autorisatiecode naar de omleidings-url. 7 Met behulp van de autorisatiecode vraagt de applicatie om het toegangstoken. 8 VMware Identity Manager verzendt het ID-token, het toegangstoken en het vernieuwingstoken naar de applicatie. Verificatieproces wanneer de applicatie direct wordt geopend via de serviceprovider Wanneer een gebruiker de applicatie direct via de serviceprovider opent, is het verificatieproces als volgt: 1 De gebruiker klikt op de applicatie. 2 De gebruiker wordt voor verificatie naar VMware Identity Manager geleid. 3 VMware Identity Manager verifieert de gebruiker op basis van het verificatiebeleid dat u hebt opgegeven voor de applicatie. 4 VMware Identity Manager controleert of de gebruiker rechten heeft voor de applicatie. 5 VMware Identity Manager verzendt een ID-token naar de serviceprovider. Een OpenID Connect-applicatie toevoegen U voegt OpenID Connect-applicaties toe aan de VMware Identity Manager-catalogus op het tabblad Catalogus > Webapps. Vereisten Verkrijg de doel-url, de omleidings-url, de client-id en het clientgeheim voor de applicatie. Maak een toegangsbeleid als u het standaardtoegangsbeleid niet wilt gebruiken. U kunt een toegangsbeleid maken op de pagina Identiteits- en toegangsbeheer > Beheren > Beleidsregels. Maak zo nodig categorieën. U kunt categorieën maken via de pagina Catalogus > Webapps door op Categorieën te klikken en de naam van de categorie te typen in het tekstvak. VMware, Inc. 21

22 Maak zo nodig gebruikersgroepen. U kunt groepen maken via het tabblad Gebruikers en groepen > Groepen. Procedure 1 Selecteer Catalogus > Webapps in de beheerconsole. 2 Klik op Nieuw. 3 Voer de vereiste informatie op de pagina Definitie van de wizard Nieuwe SaaS-applicatie in. Optie Naam Beschrijving Pictogram Categorie Beschrijving Voer een unieke naam voor de applicatie in. (Optioneel) Voer een beschrijving van de applicatie in. (Optioneel) Upload een pictogram voor de applicatie. Pictogrammen in de bestandsindelingen PNG, JPG en ICON tot maximaal 4 MB worden ondersteund. Het pictogram moet minimaal 180 x 180 pixels zijn. Als het pictogram te klein is, wordt het niet weergegeven. In dat geval wordt het Workspace ONE-pictogram weergegeven. (Optioneel) Als u de applicatie wilt toevoegen aan een categorie, selecteert u deze in het vervolgkeuzemenu. Categorieën moeten al zijn gemaakt. Er is ook een vooraf gedefinieerde categorie Aanbevolen beschikbaar. Selecteer deze categorie als u wilt dat de applicatie wordt weergegeven op de pagina Aanbevolen in Workspace ONE. Als u wilt dat de app op de pagina Bladwijzers van de gebruiker wordt weergegeven, selecteert u de categorie Aanbevolen. Vervolgens selecteert u Aanbevolen apps weergeven op het tabblad Bladwijzers van de pagina Catalogus > Instellingen > Configuratie van gebruikersportal. 4 Klik op Volgende. 5 Voer de vereiste configuratiegegevens in op de pagina Configuratie. Optie Verificatietype Doel-URL Omleidings-URL Client-ID Clientgeheim Openen in VMware Browser Beschrijving Selecteer OpenID Connect. De URL van de applicatie waarnaar gebruikers worden geleid wanneer ze in Workspace ONE op de app klikken. De URL waarnaar VMware Identity Manager de autorisatiecode verzendt. De Client-ID die de app opneemt in de verificatieaanvragen voor VMware Identity Manager. De Client-ID moet uniek zijn per tenant. Het geheim dat de app gebruikt om zichzelf te identificeren in de verificatieaanvragen voor VMware Identity Manager. Selecteer deze optie als u wilt dat de Workspace ONE-app de applicatie in de VMware Browser opent, die een veilig alternatief voor de systeemeigen webbrowser biedt. 6 Klik op Volgende. VMware, Inc. 22

23 7 Selecteer op de pagina Toegangsbeleid het toegangsbeleid waarmee u gebruikerstoegang tot de applicatie wilt beheren. De standaardtoegangsbeleidsset is standaard geselecteerd. Zie Beheer VMware Identity Manager voor informatie over het maken en beheren van toegangsbeleid. 8 Bekijk uw selecties op de pagina Samenvatting en klik op Opslaan of klik op Opslaan en toewijzen om de applicatie toe te wijzen aan gebruikers en groepen. Als u de applicatie nu niet toewijst aan gebruikers en groepen, kunt u dit later doen door de applicatie te selecteren op de pagina Catalogus > Webapps en op Toewijzen te klikken. 9 Als u op Opslaan en toewijzen hebt geklikt, wijst u de applicatie toe aan gebruikers en groepen. a b Voeg gebruikers en groepen toe door de naam in het zoekvak te typen en resultaten te selecteren. Selecteer het implementatietype voor elke gebruiker en groep. Ongeacht of u Door gebruiker geactiveerd of Automatischselecteert, de applicatie wordt weergegeven op de pagina Catalogus in Workspace ONE. Gebruikers kunnen de applicatie uitvoeren via de pagina Catalogus of er een bladwijzer aan toevoegen en deze uitvoeren via de pagina Bladwijzers. Als u van plan bent om een goedkeuringswerkstroom voor de applicatie in te stellen, selecteert u Door gebruiker geactiveerd. 10 Klik op Opslaan. De applicatie wordt toegevoegd aan de catalogus. Als u de configuratie van de applicatie wilt bewerken, selecteert u de applicatie op de pagina Catalogus > Webapps en klikt u op Bewerken. provisioningsadapters gebruiken Provisioning biedt automatisch gebruikersbeheer voor applicaties vanuit één locatie. Met provisioningsadapters kunnen webapplicaties, indien vereist, specifieke informatie ophalen van de VMware Identity Manager-service. Als u bijvoorbeeld de automatische gebruikersinrichting voor Google Apps wilt inschakelen, kan de vereiste gebruikersaccountinformatie zoals de gebruikersnaam, de voornaam en de achternaam, worden opgehaald uit de VMware Identity Manager-service. Als inrichten is ingeschakeld voor een webapplicatie en u een gebruiker rechten voor de applicatie geeft in de VMware Identity Manager-service, wordt de gebruiker ingericht in de webapplicatie. U configureert de inrichtingsadapter voor een applicatie wanneer u de applicatie vanaf het tabblad Catalogus > Webapps toevoegt aan de catalogus. De VMware Identity Manager-service omvat momenteel inrichtingsadapters voor de volgende applicaties: Google Apps. Zie Bijvoorbeeld: De Google Apps-inrichtingsadapter gebruiken. Office 365 VMware, Inc. 23

24 Socialcast Belangrijk Alleen de Office 365-inrichtingsadapter is momenteel beschikbaar in de nieuwe gebruikersinterface van versie 3.2. Instellingen voor webapps beheren Instellingen voor webapplicaties zijn beschikbaar via de knop Instellingen op de pagina Catalogus > Webapps. Op de pagina Instellingen kunt u een goedkeuringswerkstroom voor applicaties inschakelen, identiteitsproviders van derden als applicatiebronnen configureren en SAML-metagegevens beheren. Instelling Goedkeuringen SAML-metadata Toepassingsbronnen Beschrijving Wanneer goedkeuringen zijn ingeschakeld, moeten gebruikers toegang tot applicaties aanvragen voordat ze de applicaties van de Workspace ONE-catalogus kunnen gebruiken. Zie VMware Identity Manager-beheervoor informatie over het instellen van goedkeuringen. U kunt het automatisch ondertekend VMware Identity Manager SAML-ondertekeningscertificaat en SAML-metadata op het tabblad Downloaden van de SAML-metadata downloaden. Als u een certificaat van een externe certificaatautoriteit (CA) wilt verkrijgen, kunt u een aanvraag voor Certificaatondertekening (CSR) genereren in het tabblad CSR genereren, vervolgens verkrijgt u het certificaat en kunt u het uploaden op hetzelfde tabblad. Zie "Catalogus beheren" in VMware Identity Manager-beheer voor meer informatie over het beheren van SAML-metadata U kunt bepaalde externe identiteitsproviders zoals OKTA of ADFS als toepassingsbronnen configureren en vervolgens de bijbehorende toepassingen aan de catalogus toevoegen. Zie Hoofdstuk 9 Toegang bieden tot extern beheerde applicaties in Workspace ONE voor informatie over het instellen van toepassingsbronnen. Aanvullende informatie Aanvullende informatie is beschikbaar na het configureren van op SAML gebaseerde Single Sign-On op specifieke webapplicaties, zoals Office 365 en Google Apps. Indien van toepassing is informatie over inrichtingsadapters toegevoegd. Ga naar de site Integratiedocumenten van VMware Identity Manager. VMware, Inc. 24

25 Verzamelingen van virtuele apps gebruiken voor desktopintegraties 3 Naast webapplicaties kunt u Horizon-desktops en -applicaties, Horizon Cloud-desktops en -applicaties, gepubliceerde Citrix-bronnen en ThinApp-applicaties integreren met VMware Identity Manager. Vanaf release 3.1 worden deze bronnen beheerd via de nieuwe functie Verzameling van virtuele apps. Dit hoofdstuk omvat de volgende onderwerpen: Over verzamelingen van virtuele apps Verzamelingen van virtuele apps maken Verzamelingen van virtuele apps bewerken Verzamelingen van virtuele apps verwijderen Verzameling van virtuele apps controleren Bestaande configuraties migreren naar een verzameling van virtuele apps Over verzamelingen van virtuele apps U kunt Horizon-desktops en -applicaties, Horizon Cloud-desktops en -applicaties, gepubliceerde Citrixbronnen en ThinApp-pakketten integreren met de VMware Identity Manager-service. Vanaf versie 3.1 worden deze bronnen beheerd via verzamelingen van virtuele apps. Een verzameling van virtuele apps bevat de configuratiegegevens voor een integratie, zoals het type bron, de servers waarvan bronnen moeten worden gesynchroniseerd, de connector die moet worden gebruikt voor de synchronisatie en het synchronisatieschema. U kunt één verzameling van virtuele apps of meerdere verzamelingen voor elk type bron maken, met uitzondering van ThinApp-pakketten, waarvoor u slechts één verzameling kunt maken. Bijvoorbeeld: als u een implementatie van 50 Citrix XenApp-farms wilt integreren, kunt u 10 verzamelingen van virtuele apps in VMware Identity Manager instellen, met 5 farms in elke verzameling. Zo kunt u de configuratie eenvoudiger beheren en sneller synchroniseren, omdat elke verzameling afzonderlijk wordt gesynchroniseerd. U kunt voor elke verzameling ook andere connectoren gebruiken om de synchronisatietaken te verdelen. De pagina Verzameling van virtuele apps in de beheerconsole, die toegankelijk is door Catalogus > Virtuele apps te selecteren, biedt een centrale locatie voor het beheer van al uw bronintegraties. U kunt verzamelingen maken en bewerken, de synchronisatiestatus van alle verzamelingen volgen, waarschuwingen weergeven en handmatig synchroniseren via deze pagina. VMware, Inc. 25

26 Voordelen van verzamelingen van virtuele apps gebruiken Het gebruik van de functie Verzameling van virtuele apps biedt de volgende voordelen: Eén centrale locatie waar u alle bronintegraties kunt beheren Alle typen bronnen beheren De configuratie- en synchronisatie-instellingen voor elke verzameling beheren De synchronisatiestatus van alle verzamelingen beheren De mogelijkheid om kleinere gegevensverzamelingen te synchroniseren door meerdere verzamelingen voor een grote bronintegratie in te stellen. Zo kunt u bijvoorbeeld afzonderlijke verzamelingen voor elke Horizon-pod of elke XenApp-farm maken. De mogelijkheid om afzonderlijke verzamelingen voor verschillende domeinen in te stellen. Meerdere domeinen hebben geen vertrouwensrelatie nodig als u afzonderlijke verzamelingen gebruikt voor elk domein. Vereisten voor verzamelingen van virtuele apps De functie Verzameling van virtuele apps heeft de volgende vereisten: Alle instanties van de VMware Identity Manager-service moeten versie 3.1 of hoger zijn. Alle connectoren die worden gebruikt om bronnen te synchroniseren moeten versie of hoger zijn. In VMware Identity Manager 3.2 is een superbeheerdersrol vereist om aan de slag te gaan met verzamelingen van virtuele apps. Bij een nieuwe installatie van VMware Identity Manager 3.2 is de superbeheerdersrol vereist voor de eerste toegang tot de pagina voor de configuratie van virtuele apps. Wanneer u het tabblad Catalogus > Virtuele apps selecteert, wordt de pagina 'Introductie van Verzameling van virtuele apps' geopend en moet u op Aan de slag klikken om de pagina voor de configuratie van virtuele apps weer te geven. Voor het proces Aan de slag is de rol van superbeheerder vereist. Daarna kunt u elke rol gebruiken waarmee de volgende acties in de catalogusservice kunnen worden uitgevoerd: Desktopapps beheren: om Horizon-, Horizon Cloud- en gepubliceerde Citrix-verzamelingen van virtuele apps te maken, te bewerken of te verwijderen VMware, Inc. 26

27 ThinApps beheren: om ThinApp-verzamelingen te maken, te bewerken of te verwijderen Voor installaties die van eerdere versies worden geüpgraded naar 3.2, is de superbeheerdersrol vereist om bestaande bronconfiguraties te migreren naar verzamelingen van virtuele apps. Nadat de bronnen zijn gemigreerd, kunt u elke rol gebruiken die de volgende acties in de catalogusservice kunnen uitvoeren: Desktopapps beheren: u kunt Horizon-, Horizon Cloud- en gepubliceerde Citrixverzamelingen van virtuele apps maken, bewerken of verwijderen ThinApps beheren: u kunt ThinApp-verzamelingen maken, bewerken of verwijderen Totdat u de bronconfiguraties migreert naar verzamelingen van virtuele apps, kunt u doorgaan met de bestaande configuraties in het menu Bureaubladtoepassingen beheren. De rol Alleenlezen beheerder is voldoende om deze configuraties te bewerken en te beheren. Als u een eerdere release hebt geüpgraded naar 3.2 en nog bronnen hebt geconfigureerd, is het nieuwe installatiescenario van toepassing. Eerdere versies migreren De functie Verzameling van virtuele apps is geïntroduceerd in VMware Identity Manager 3.1. Met verzamelingen van virtuele apps worden bronconfiguraties opgeslagen in de VMware Identity Manager-service, en niet in de connector. Deze worden beheerd op de pagina Catalogus > Verzameling van virtuele apps in plaats van op de pagina's Catalogus > Bureaubladtoepassingen beheren > Brontype. In nieuwe installaties van versie 3.1 of hoger is de pagina Verzameling van virtuele apps automatisch ingeschakeld. Om Horizon-, Horizon Cloud-, Citrix- of ThinApp-bronnen te integreren, maakt u een of meer verzamelingen. Voor upgrades van eerdere versies is een migratiepad beschikbaar, zodat u uw bestaande bronintegraties kunt behouden. Zie Bestaande configuraties migreren naar een verzameling van virtuele apps voor informatie. Verzamelingen van virtuele apps maken U kunt een of meer verzamelingen van virtuele apps maken voor elk type integratie zoals Horizon Cloud of gepubliceerde Citrix-bronnen. Vereisten Alle instanties van de VMware Identity Manager-service moeten versie 3.1 of hoger zijn. Alle connectoren die worden gebruikt voor synchronisatie van bronnen, moeten versie of hoger zijn. In versie 3.2 zijn de volgende beheerdersrollen vereist: Gebruik de superbeheerdersrol om aan de slag te gaan met verzamelingen van virtuele apps. Zie Over verzamelingen van virtuele apps voor meer informatie. VMware, Inc. 27

28 Als u Horizon-, Horizon Cloud- en gepubliceerde Citrix-verzamelingen van virtuele apps wilt maken, bewerken of verwijderen, gebruikt u een rol die de actie Desktopapps beheren in de catalogusservice kan uitvoeren. Als u ThinApps-verzamelingen wilt maken, bewerken of verwijderen, gebruikt u een rol die de actie ThinApps beheren in de catalogusservice kan uitvoeren. Procedure 1 Selecteer het tabblad Catalogus > Virtuele apps in de beheerconsole en klik vervolgens op Configuratie van virtuele apps. De eerste keer dat u de pagina opent, wordt de pagina Introductie van Verzameling van virtuele apps weergegeven. Klik op Aan de slag om door te gaan. Zie Bestaande configuraties migreren naar een verzameling van virtuele apps als de migratiewizard wordt weergegeven. 2 Klik op Virtuele apps toevoegen in de rechterbovenhoek van de pagina en selecteer het type integratie, bijvoorbeeld Gepubliceerde Citrix-toepassing. 3 Voer de configuratiegegevens in. De volgende velden gelden voor alle soorten integraties. Optie Naam Synchronisatieconnectoren Beschrijving Voer een unieke naam voor de verzameling in. Selecteer de connector die u wilt gebruiken om de bronnen in de verzameling te synchroniseren. Als u een cluster van connectoren hebt ingesteld voor hoge beschikbaarheid, klikt u op Connector toevoegen en selecteert u de andere connectoren in het cluster in de failovervolgorde. VMware, Inc. 28

29 Optie Synchronisatiefrequentie Activeringsbeleid Beschrijving Selecteer hoe vaak u de bronnen in de verzameling wilt synchroniseren. Als u geen automatisch synchronisatieschema wilt instellen, selecteert u Handmatig. Selecteer hoe de bronnen beschikbaar worden gemaakt voor gebruikers in Workspace ONE. Zowel met de optie Door gebruiker geactiveerd als met de optie Automatisch worden de bronnen toegevoegd aan de pagina Catalogus. Gebruikers kunnen de bronnen op de pagina Catalogus gebruiken of ze verplaatsen naar de pagina Bladwijzers. Als u echter een goedkeuringswerkstroom voor een van de apps wilt instellen, moet u Door gebruiker geactiveerd voor die app selecteren. Het activeringsbeleid dat u hier selecteert, is van toepassing op alle gebruikersrechten voor alle bronnen in de verzameling. U kunt het activeringsbeleid voor afzonderlijke gebruikers of groepen per bron aanpassen, via de applicatie of de pagina Rechten van de desktop. U wordt aanbevolen het activeringsbeleid voor de verzameling in te stellen op Door gebruiker geactiveerd als u van plan bent een goedkeuringswerkstroom in te stellen. 4 Voer in resterende velden de configuratiegegevens in voor de integratie, die verschillend is voor elk type integratie. Zie Horizon-pods en -podfederaties in VMware Identity Manager configureren voor meer informatie over een Horizon-integratie op locatie. Zie Horizon Cloud-tenant in VMware Identity Manager configureren voor meer informatie over een integratie van de Horizon Cloud-service. Zie Citrix-serverfarms configureren in VMware Identity Manager voor meer informatie voor een integratie van gepubliceerde Citrix-applicaties. Zie VMware Identity Manager-toegang configureren tot ThinApp-pakketten voor meer informatie over een ThinApp-integratie. 5 Klik op Opslaan. De verzameling is gemaakt. U kunt de verzameling bekijken en bewerken op de pagina Virtuele apps. Wat nu te doen De bronnen in de nieuwe verzameling zijn nog niet gesynchroniseerd. Als u een synchronisatieplanning voor de verzameling hebt ingesteld, worden de bronnen op het volgende geplande tijdstip gesynchroniseerd. Als u de bronnen handmatig wilt synchroniseren, klikt u op de knop Synchroniseren naast de verzameling op de pagina Virtuele apps. Verzamelingen van virtuele apps bewerken U kunt alle verzamelingen van virtuele apps, voor alle typen integraties, bewerken op de pagina Virtuele apps. VMware, Inc. 29

30 Vereisten In versie 3.2 zijn de volgende beheerdersrollen vereist: Als u Horizon-, Horizon Cloud- en gepubliceerde Citrix-verzamelingen van virtuele apps wilt maken, bewerken of verwijderen, gebruikt u een rol die de actie Desktopapps beheren in de catalogusservice kan uitvoeren. Als u ThinApps-verzamelingen wilt maken, bewerken of verwijderen, gebruikt u een rol die de actie ThinApps beheren in de catalogusservice kan uitvoeren. Procedure 1 Selecteer het tabblad Catalogus > Virtuele apps. 2 Klik in de tabel met verzamelingen op de naam van de verzameling die u wilt bewerken. 3 Bewerk de pagina voor de verzameling. U kunt de volgende instellingen wijzigen: De naam van de verzameling De synchronisatiefrequentie De connector die wordt gebruikt om de bronnen voor de verzameling te synchroniseren Configuratie-instellingen voor de integratie Opmerking In een Horizon-verzameling van virtuele apps kunt u een eerder toegevoegde Horizonpod niet wijzigen. Verwijder de pod uit de verzameling en voeg deze vervolgens opnieuw toe. 4 Klik op Opslaan. Wat nu te doen U wordt aanbevolen een synchronisatie uit te voeren nadat u een verzameling hebt bewerkt. Ga naar de pagina Catalogus > Virtuele apps en klik op Synchroniseren voor de verzameling. Verzamelingen van virtuele apps verwijderen U kunt verzamelingen van virtuele apps verwijderen via de pagina Virtuele apps. Wanneer u een verzameling verwijdert, worden alle applicaties en desktops verwijderd die door de verzameling zijn gesynchroniseerd. Wanneer u een Horizon- of Citrix-verzameling verwijdert, worden ook de bijbehorende beleidsregels verwijderd die zijn geconfigureerd in netwerkbereiken. Wanneer u een Horizon- of Horizon Cloud-verzameling verwijdert, wordt het federatie-artefact ook verwijderd. Vereisten In versie 3.2 zijn de volgende beheerdersrollen vereist: Als u Horizon-, Horizon Cloud- en gepubliceerde Citrix-verzamelingen van virtuele apps wilt maken, bewerken of verwijderen, gebruikt u een rol die de actie Desktopapps beheren in de catalogusservice kan uitvoeren. VMware, Inc. 30

31 Als u ThinApps-verzamelingen wilt maken, bewerken of verwijderen, gebruikt u een rol die de actie ThinApps beheren in de catalogusservice kan uitvoeren. Procedure 1 Selecteer het tabblad Catalogus > Virtuele apps. 2 Zoek in de tabel de verzameling die u wilt verwijderen en klik op Verwijderen in de kolom Acties. Verzameling van virtuele apps controleren U kunt de synchronisatiestatus van alle bronnen controleren op de pagina Virtuele apps. U kunt ook waarschuwingen bekijken. Procedure 1 Selecteer het tabblad Catalogus > Virtuele apps. Alle verzamelingen, voor alle typen bronintegraties, worden weergegeven. 2 Bekijk de synchronisatiestatus in de kolom Synchronisatiestatus voor elke verzameling. Nog niet gesynchroniseerd Datum en tijd van laatst voltooide synchronisatie De verzameling is gemaakt, maar nog niet gesynchroniseerd. Klik op Synchroniseren om handmatig te synchroniseren of wacht op de volgende geplande synchronisatie, indien ingesteld. De laatste keer dat de synchronisatie is voltooid. 3 Als u waarschuwingen wilt weergeven, klikt u op Waarschuwingen. Bijvoorbeeld: er wordt een waarschuwing weergegeven als een gebruiker niet kan worden gesynchroniseerd. Opmerking Alle waarschuwingen worden weergegeven, niet alleen de waarschuwingen die zijn gerelateerd aan de verzamelingen van virtuele apps. Bekijk de lijst om waarschuwingen te vinden die relevant zijn voor verzamelingen. Bestaande configuraties migreren naar een verzameling van virtuele apps De functie Verzameling van virtuele apps is nieuw in VMware Identity Manager 3.1. Met verzamelingen van virtuele apps worden bronconfiguraties opgeslagen in de VMware Identity Manager-service en niet in de connector. Ze worden beheerd op de pagina Catalogus > Virtuele apps in plaats van op de pagina's Catalogus > Bureaubladtoepassingen beheren > Brontype. Voor upgrades van eerdere versies is een migratiepad beschikbaar om bestaande bronconfiguraties te behouden. VMware, Inc. 31

32 Afhankelijk van uw installatiescenario kunt u direct aan de slag gaan met verzamelingen van virtuele apps of een migratiepad volgen. Belangrijk De Superbeheerdersrol moet in de versie 3.2 eerst toegang tot de configuratiepagina van virtuele apps krijgen en bestaande bronnen migreren. Zie Over verzamelingen van virtuele apps voor meer informatie. In nieuwe installaties van 3.1 of latere, waarbij de VMware Identity Manager-service versie 3.1 is en alle connectoren versie zijn, kunt u nieuwe verzamelingen van virtuele apps maken voor Horizon, Horizon Cloud, Citrix of ThinApp. Selecteer het tabblad Catalogus > Virtuele apps, controleer de informatie en klik op Aan de slag om naar de nieuwe pagina te gaan waar u verzamelingen van virtuele apps kunt maken. De verzameling van virtuele apps bevat de configuratiegegevens voor een integratie, zoals de servers waarvan bronnen moeten worden gesynchroniseerd, de connector die moet worden gebruikt en het synchronisatieschema. Als u een van de eerdere versies upgradet en de service upgradet naar versie 3.1, en alle connectoren naar of hoger: Als Horizon-, Horizon Cloud-, Citrix- of ThinApp-bronnen zijn geconfigureerd in de oude installatie, is na de upgrade een migratiepad beschikbaar. U kunt met de migratiewizard bestaande configuraties naar verzamelingen van virtuele apps migreren, welke beschikbaar zijn door te klikken op Aan de slag op de pagina Catalogus > Virtuele apps. Totdat u een migratie uitvoert, kunt u uw bestaande bronconfiguraties blijven beheren via het menu Bureaubladtoepassingen beheren op de pagina Catalogus > Toepassingscatalogus. Nadat u de bestaande configuraties hebt gemigreerd, wordt de nieuwe pagina Verzameling van virtuele apps ingeschakeld, zodat u de gemigreerde configuraties kunt bekijken en bewerken en er nieuwe kunt maken. Het menu Bureaubladtoepassingen beheren is niet langer beschikbaar. Als er geen bronnen waren geconfigureerd in de eerdere installatie, kunt u nieuwe verzamelingen van virtuele apps voor Horizon-, Horizon Cloud Service-, Citrix- of ThinApp-bronnen maken door het tabblad Catalogus > Virtuele apps te selecteren en te klikken op Aan de slag. Als u een eerdere release upgradet en u ten minste één oudere (externe of ingesloten) connector hebt, kunt u geen nieuwe verzamelingen van virtuele apps maken. U kunt uw bestaande configuraties migreren naar verzamelingen van virtuele apps door alle connectoren te upgraden naar of hoger en vervolgens de migratiewizard te gebruiken die beschikbaar is via de pagina Catalogus > Virtuele apps. Totdat u een migratie uitvoert, kunt u uw bestaande bronconfiguraties blijven beheren via het menu Bureaubladtoepassingen beheren op het tabblad Catalogus > Toepassingscatalogus. VMware, Inc. 32

33 Nadat u de bestaande configuraties hebt gemigreerd, wordt de nieuwe pagina Verzameling van virtuele apps ingeschakeld, zodat u de gemigreerde configuraties kunt bekijken en bewerken en er nieuwe kunt maken. Het menu Bureaubladtoepassingen beheren is niet langer beschikbaar. Opmerking Deze handleiding verwijst naar de nieuwe gebruikersinterface voor de functie Verzameling van virtuele apps voor alle integraties. Als u doorgaat met het gebruik van de oude gebruikersinterface in het menu Bureaubladtoepassingen beheren op de pagina Catalogus > Toepassingscatalogus, raadpleegt u versie 3.0 van de documentatie, Bronnen instellen in VMware Identity Manager 3.0 (PDF). De migratiewizard gebruiken om te migreren naar verzamelingen van virtuele apps Gebruik de migratiewizard om bestaande bronconfiguraties van oudere releases te migreren naar verzamelingen van virtuele apps, die beschikbaar zijn in versie 3.1 en later. U moet alle bestaande bronconfiguraties op hetzelfde moment migreren. Bijvoorbeeld: als u Horizon Cloud- en ThinApp-applicaties hebt geconfigureerd, moet u beide selecteren in de migratiewizard. De migratiewizard is bedoeld om slechts één keer te worden gebruikt om alle bronnen tegelijk te migreren. Nadat deze wizard één keer is uitgevoerd, is deze niet langer beschikbaar. Opmerking In een gehoste omgeving kan het migratieproces even duren. Vereisten Alle instanties van VMware Identity Manager-service upgraden naar versie 3.1 of hoger en alle connectorinstanties upgraden naar versie of hoger. In de versie 3.2 is de superbeheerdersrol vereist voor initiële toegang tot de configuratiepagina van virtuele apps en voor het uitvoeren van de migratie. Zie Over verzamelingen van virtuele apps voor meer informatie. Procedure 1 Selecteer het tabblad Catalogus > Virtuele apps. 2 Klik op Aan de slag. VMware, Inc. 33

34 3 Selecteer in de migratiewizard voor elk brontype de connectorwerker die is gebruikt voor de configuratie in de oude installatie. De vervolgkeuzelijst voor elk brontype bevat alleen de connectoren waarvoor die bron was geconfigureerd. Als de bron was geconfigureerd op meerdere connectoren voor hoge beschikbaarheid, en meerdere connectoren in de lijst worden weergegeven, selecteert u de connector waarvoor een synchronisatieplanning was ingesteld. Dit is ook de standaardselectie voor elke vervolgkeuzelijst. Belangrijk Zorg ervoor dat u een selectie maakt voor alle bestaande configuraties. De migratiewizard is bedoeld om slechts één keer te worden gebruikt om alle bronnen tegelijk te migreren. Nadat deze wizard één keer is uitgevoerd, is deze niet langer beschikbaar. 4 Klik op Configuraties migreren. In een gehoste omgeving kan het migratieproces even duren. De bestaande bronconfiguraties worden gemigreerd. Er wordt voor elk type configuratie een verzameling van virtuele apps gemaakt. Als u de verzamelingen wilt bekijken en bewerken, klikt u op Catalogus > Virtuele apps en klikt u op de naam van elke verzameling. U kunt de verzamelingen nu beheren vanaf de pagina Virtuele apps. Het menu Bureaubladtoepassingen beheren op de pagina Toepassingscatalogus is niet langer beschikbaar. Voor meer informatie over het oplossen van problemen met verzamelingen van virtuele apps, bekijkt u het logboekbestand voor de connector, connector.log en het logboekbestand voor de service, horizon.log. Voor Linux-gebaseerde virtual appliances worden de logboekbestanden in de directory /opt/vmware/horizon/workspace/logs opgeslagen. Op Windows-servers worden de logboekbestanden opgeslagen in de directory install_dir\idmconnector_of_vmwareidentitymanager\opt\vmware\horizon\workspace\logs. VMware, Inc. 34

35 Wat nu te doen Slechts één connector, die is geselecteerd in de migratiewizard, wordt toegevoegd aan elke nieuwe verzameling. Als u een connectorcluster voor hoge beschikbaarheid hebt ingesteld, bewerkt u de verzamelingen en voegt u de andere connectoren in het cluster toe. Er wordt één verzameling van virtuele apps gemaakt voor elke gemigreerde configuratie. Voor grote integraties, met veel servers en applicaties, kunt u overwegen de verzameling in meerdere verzamelingen te splitsen voor snellere synchronisatie en eenvoudiger beheer. Met de functie Verzameling van virtuele apps kunt u meerdere verzamelingen voor elk type integratie maken, met uitzondering van ThinApp-integraties. VMware, Inc. 35

36 Toegang geven tot View-, Horizon 6- of Horizon 7- bureablad- en applicatiesgroeps 4 Door Horizon 7, Horizon 6 of View te integreren met de VMware Identity Manager-service kunt u gebruikers vanuit de Workspace ONE-portal of -app toegang geven tot Horizon-desktops en -applicaties waarvoor ze rechten hebben. U kunt onafhankelijke Horizon-pods integreren, die uit Horizon Connection Server-instanties en podfederaties bestaan. Deze bestaan weer uit meerdere pods en kunnen meerdere sites en datacenters omvatten. U implementeert en beheert desktop- en applicatiepools via de Horizon Administrator-interface. U maakt ook rechten voor Active Directory-gebruikers en -groepen in Horizon, niet in VMware Identity Manager. U moet deze gebruikers en groepen uit de Active Directory synchroniseren naar de VMware Identity Manager-service voordat u met Horizon gaat integreren. Voor de integratie van Horizon-pods en -podfederaties met VMware Identity Manager maakt u een of meer verzamelingen van virtuele apps in de VMware Identity Manager-beheerconsole. De verzamelingen bevatten de configuratiegegevens voor de pods en podfederaties, evenals synchronisatie-instellingen. Vervolgens synchroniseert u de Horizon-bronnen en -rechten naar VMware Identity Manager. U kunt de Horizon-desktops en -applicaties bekijken in de VMware Identity Manager-beheerconsole. U kunt ook gebruikers- en groepsrechten weergeven. Eindgebruikers kunnen hun desktops en apps vanuit de Workspace ONE-portal of -app uitvoeren. Deze desktops en apps zijn via HTML toegankelijk in een browser of via een ondersteund weergaveprotocol in de Horizon Client. Ondersteunde versies VMware Identity Manager ondersteunt de volgende versies en onderdelen. Het integreren van onafhankelijke Horizon-pods wordt ondersteund voor View 5.3 en hoger. Het integreren van podfederaties die zijn gemaakt met behulp van het Cloud Pod Architectureonderdeel, wordt ondersteund voor Horizon 6.2 en later. HTML Access wordt ondersteund voor Horizon en hoger. Certificaat SSO wordt ondersteund voor Horizon 7.x. Zie de VMware-matrix voor interoperabiliteit van producten voor de meest recente informatie over ondersteuning. VMware, Inc. 36

37 Dit hoofdstuk omvat de volgende onderwerpen: Over het integreren van onafhankelijke Horizon-pods Over het integreren van Horizon Cloud Pod Architecture-implementaties (CPA) Horizon-pods en -podfederaties in VMware Identity Manager configureren URL's voor toegang voor meerdere clienten voor aangepaste netwerkbereiken inschakelen Horizon-bronnen op afstand starten De verbindingsinformatie voor pools van Horizon-desktops en -applicaties Gebruikers- en groepsrechten voor pools van Horizon-desktops en -applicaties weergeven Toegangsbeleid instellen voor specifieke applicaties en desktops Gebruikers toestaan om hun Horizon-desktops opnieuw in te stellen in VMware Identity Manager Startopties voor Horizon-desktops en -applicaties weergeven Een Horizon-desktop of -applicatie starten Over het integreren van onafhankelijke Horizon-pods Om Horizon-pods te integreren in VMware Identity Manager, maakt u een of meer verzamelingen van virtuele apps in de VMware Identity Manager-beheerconsole. De verzamelingen bevatten de configuratiegegevens voor de Horizon Connection Servers evenals de synchronisatie-instellingen. Stel Horizon in voordat u integratietaken uitvoert in de VMware Identity Manager-beheerconsole. U maakt en configureert desktop- en applicatiepools in Horizon Administrator, niet in VMware Identity Manager. U moet ook rechten voor Active Directory-gebruikers en -groepen in Horizon Administrator instellen. Voor de integratie van Horizon-pods met VMware Identity Manager moeten de volgende taken op hoog niveau worden uitgevoerd. Horizon-servers implementeren en configureren. Pools met Horizon-desktops en -applicaties implementeren met rechten die zijn ingesteld voor Active Directory-gebruikers en -groepen. Active Directory-gebruikers en -groepen die rechten hebben voor applicatie- en desktoppools in Horizon Connection Server-instanties, naar de VMware Identity Manager-service synchroniseren via directorysynchronisatie. Wanneer u later Horizon-pods in de VMware Identity Manager-beheerconsole configureert, kunt u ook de optie Directorysynchronisatie uitvoeren selecteren. Met deze optie geeft u op dat de directory moet worden gesynchroniseerd als onderdeel van de bronsynchronisatie als gebruikers en groepen met rechten voor Horizon-pools in de Horizon Connection Server-instanties die worden gesynchroniseerd, ontbreken in de VMware Identity Manager-directory. VMware, Inc. 37

38 Voeg VMware Identity Manager toe aan hetzelfde Active Directory-domein als Horizon als u van plan bent Horizon Connection Server 5.x-instanties te synchroniseren of de optie Directorysynchronisatie uitvoeren te gebruiken. Voor beide configuraties wordt een alternatieve synchronisatiemethode gebruikt waarvoor het domein moet worden gekoppeld. Maak een of meer verzamelingen van virtuele apps voor de Horizon-pods in VMware Identity Manager. SAML-authenticator configureren op de Horizon Connection Server. U moet altijd de VMware Identity Manager-FQDN op de configuratiepagina van de authenticator gebruiken. Vereisten voor het integreren van Horizon-pods Tijdens het opzetten van de Horizon-pods zorgt u ervoor dat u voldoet aan de vereisten voor de VMware Identity Manager-integratie. Implementeer Horizon Connection Servers op standaardpoort 443 of op een aangepaste poort. Verifieer of u voor elke Horizon Connection Server in uw configuratie een DNS-vermelding en een IPadres hebt die tijdens reverse lookup kunnen worden omgezet. Voor VMware Identity Manager is reverse lookup vereist voor Horizon Connection Servers, Horizon Security Server en de load balancer. Als reverse lookup niet op de juiste manier is geconfigureerd, mislukt de VMware Identity Manager-integratie met Horizon. Implementeer en configureer Horizon-pools en -desktops met rechten die zijn ingesteld voor Active Directory-gebruikers en -groepen. Zorg ervoor dat gebruikers over de juiste rechten beschikken. Terwijl u desktop-groepen configureert, zorgt u ervoor dat u in Instellingen op afstand de optie Automatisch afmelden nadat de verbinding is verbroken op 1 of 2 minuten instelt in plaats van onmiddellijk. Zorg ervoor dat u pools in de rootmap van de Horizon-server maakt. Als u pools in een andere map maakt dan de rootmap, kan VMware Identity Manager geen query voor die Horizon-pools en -rechten uitvoeren. We raden u aan de vervaldatum van de SAML-metagegevens op de Horizon Connection Servers te verlengen tot 90 dagen. Zie De vervaldatum van metagegevens van de serviceprovider op de Viewverbindingsserver wijzigen voor meer informatie. Over het integreren van Horizon Cloud Pod Architectureimplementaties (CPA) Naast de integratie van onafhankelijke Horizon-pods met VMware Identity Manager, kunt u ook Horizon Cloud Pod Architecture-implementaties (CPA) integreren. VMware, Inc. 38

39 Figuur 4 1. View-podfederaties integreren met VMware Identity Manager Site A Site B Onafhankelijke pod CPA-federatie Pod 1 Pod 2 Pod 3 VCS 1 VCS 3 Algemene LDAPreplicatie VCS 5 VCS 2 VCS 4 VCS 6 LDAPreplicatie LDAPreplicatie LDAPreplicatie VMware Identity Manager op locatie Connector Service De functie Horizon Cloud Pod Architecture koppelt meerdere Horizon-pods aan elkaar om één grote broker- en beheeromgeving voor desktops en applicaties te maken die een podfederatie wordt genoemd. Een podfederatie kan meerdere sites en datacenters omvatten. U kunt een of meer podfederaties integreren met de VMware Identity Manager-service. Let op: podfederaties worden gemaakt en beheerd in Horizon en gebruikers- en groepsrechten voor de desktopen applicatiepools van de podfederatie worden ingesteld in Horizon. U kunt de bronnen en rechten synchroniseren met VMware Identity Manager. Voor podfederaties gelden algemene rechten, waarmee u gebruikers rechten kunt verlenen voor desktops en applicaties. Gebruikers hebben vanuit elke pod in de podfederatie toegang tot deze desktops en applicaties. Een algemeen recht kan uit bronnen van meerdere pods in de federatie bestaan. Een algemeen desktoprecht bevat bijvoorbeeld desktopgroepen uit drie verschillende pods in drie verschillende datacenters. Voor afzonderlijke pods in de podfederatie kunnen ook algemene rechten zijn geconfigureerd. U kunt zowel algemene als lokale rechten synchroniseren met VMware Identity Manager. Voor het integreren van een podfederatie met de VMware Identity Manager-service moet u de volgende taken op hoog niveau in de VMware Identity Manager-beheerconsole uitvoeren: Voeg alle pods toe die gezamenlijk de podfederatie vormen en geef hierbij voor elke pod de gegevens van de Horizon Connection Server op. Hoewel VMware Identity Manager wel algemene rechten van elk van de pods in de podfederatie kan synchroniseren, moet het wel verbinding met elke pod maken om de vereiste metagegevens voor SAML-verificatie te synchroniseren. Ook moet het verbinding maken met de pods om lokale rechten te synchroniseren, indien dit van toepassing is. VMware, Inc. 39

40 Voeg de details van de podfederatie toe en geef de algemene start-url op. De algemene start-url, normaal gesproken de algemene URL voor de load-balancer, wordt gebruikt om desktops en applicaties met algemene rechten te starten. U kunt de algemene start-url voor specifieke netwerkbereiken aanpassen, bijvoorbeeld voor interne en externe toegang. Synchroniseer bronnen en rechten van de podfederatie naar de VMware Identity Manager-service. Opmerking Alleen algemene rechten waarop het beleid voor Alle sites van applicatie is, worden in een podfederatie gesynchroniseerd. Het beleid voor Alle sites stelt de reikwijdte van de zoekopdracht voor een applicatie of desktop in op alle pods in de hele podfederatie. Pas de algemene start-url aan door URL's voor toegang tot clients in te stellen voor specifieke netwerkbereiken. Deze URL's worden gebruikt om bronnen met algemene rechten via de podfederatie te starten. De algemene start-url die u opgeeft wanneer u de federatie toevoegt, wordt standaard gebruikt als algemene start-url voor alle netwerkbereiken. Geef URL's op voor toegang tot de client voor elke pod in de podfederatie waarvoor lokale rechten zijn geconfigureerd. Deze URL's worden gebruikt om desktops en applicaties met lokale rechten via de pod te starten. Een URL voor clienttoegang kan een Horizon Connection Server-URL, een beveiligingsserver-url of een load-balancer-url zijn. URL's voor toegang tot de client worden ingesteld voor specifieke netwerkbereiken. De Horizon Connection Server die u opgeeft wanneer u de pod toevoegt, wordt standaard gebruikt als URL voor clienttoegang voor alle netwerkbereiken. Wanneer u een podfederatie integreert met de VMware Identity Manager-service, wordt via de service het volgende uitgevoerd: Synchronisatie van alle algemene rechten in de podfederatie waarop het beleid voor Alle sites is toegepast. Synchronisatie van lokale rechten (indien geselecteerd) in de pods die deel uitmaken van de podfederatie. Synchronisatie van metagegevens van alle Horizon Connection Servers in de podfederatie. Eindgebruikers krijgen toegang tot hun Horizon-applicaties en -desktops via de Workspace ONEportal. Eindgebruikers hebben toegang tot hun Horizon-applicaties en -desktops via de Workspace ONE-portal. Alle bronnen waarop zij recht hebben, ofwel door algemene rechten of door lokale rechten, worden weergegeven. applicaties en desktops worden gestart in Horizon Client. Wanneer een gebruiker een applicatie of desktop met lokale rechten start, wordt deze gestart vanaf de Horizon Connection Server waarmee de gebruiker verbinding maakt. Bronnen met algemene rechten worden gestart vanaf de Horizon Connection Server waarop de bron zich bevindt. Voorbeeld van een Cloud Pod Architecture-implementatie In het volgende diagram wordt een voorbeeld weergegeven van een Cloud Pod Architectureimplementatie en ziet u hoe deze wordt geïntegreerd met de VMware Identity Manager-service. VMware, Inc. 40

41 Figuur 4 2. Voorbeeld van een Cloud Pod Architecture-implementatie Internet Intern URL EG Global LB URL E1 LB URL E2 LB Federatie 1 (F1) Beveiligings server Beveiligings server Beveiligings server Beveiligings server Pod 1 (P1) Pod 2 (P2) Pod 3 (P3) Verbindings server bysrepeated Verbindings server Verbindings server URL I1 LB URL I2 LB URL IG bysrepeated Connector Synchronisatie 1 Lokaal Synchronisatie 2 Lokaal Synchronisatie 3 Lokaal Synchronisatie 4 Lokaal Synchronisatie Service API Verbindings server Verbindings server URL I3 LB VMware Identity Manager op locatie In dit diagram ziet u een voorbeeld van de implementatie van een podfederatie. In Horizon 6 is een podfederatie met de naam Federatie 1 gemaakt. Deze federatie heeft drie pods: Pod 1, Pod 2 en Pod 3. Pod 1 en Pod 2 worden geconfigureerd met beveiligingsserverinstanties voor elke Horizon Connection Server en een externe load balancer voor externe toegang, en met een interne load balancer voor interne toegang. Pod 3 wordt alleen geconfigureerd voor interne toegang met een interne load-balancer. De podfederatie als geheel omvat een externe algemene load-balancer en een interne algemene loadbalancer. Op de pods worden bureablad- en applicatiesgroeps geïmplementeerd. Voor Federatie 1 worden algemene rechten geconfigureerd; ook worden voor de afzonderlijke pods lokale rechten geconfigureerd. Federatie 1 wordt geïntegreerd met de VMware Identity Manager-service. De VMware Identity Managerservice synchroniseert zowel algemene rechten als lokale rechten van Federatie 1. Omdat algemene rechten in elke pod worden gerepliceerd, worden ook algemene rechten van Pod 1 gesynchroniseerd. Ook worden lokale rechten van Pod 1, Pod 2 en Pod 3 gesynchroniseerd. Eindgebruikers kunnen in de VMware Identity Manager Workspace ONE portal alle desktops en applicaties zien waarvoor ze rechten hebben, ongeacht of dit algemene rechten of lokale rechten zijn. Wanneer een gebruiker een desktop of applicatie start en deze deel uitmaakt van een algemeen recht, gaat de startaanvraag naar de externe of interne algemene load-balancer (URL EG of URL IG), op basis VMware, Inc. 41

42 van het netwerkbereik van de gebruiker. Als de bron van een lokale gemachtigde afkomstig is, gaat de startaanvraag naar de interne of externe load-balancer van de pod waarop de bron is geïmplementeerd, op basis van het netwerkbereik van de gebruiker. Bijvoorbeeld: voor een bron op Pod 2 gaat de aanvraag naar URL I2 of URL E2. Vereisten voor het integreren van Horizon-podfederaties Voor het integreren van Horizon-podfederaties met VMware Identity Manager gelden de volgende vereisten. VMware Identity Manager ondersteunt het Cloud Pod Architecture-onderdeel in Horizon 6.2 en later, voor zowel applicaties als desktops. U kunt maximaal 10 podfederaties met de VMware Identity Manager-service integreren. Elke federatie mag maximaal 7 pods bevatten. Implementeer Horizon Connection Server-instanties op standaardpoort 443 of op een aangepaste poort. Verifieer of u voor elke Horizon Connection Server-instantie in uw omgeving een DNS-vermelding en een IP-adres hebt die tijdens reverse lookup kunnen worden omgezet. Voor VMware Identity Manager is reverse lookup vereist voor Horizon Connection Server-, Security Server- en load-balancerinstanties. Als reverse lookup niet op de juiste manier is geconfigureerd, mislukt de VMware Identity Manager-integratie met Horizon. De VMware Identity Manager-connector, een onderdeel van de service, moet alle Horizon Connection Server-instanties in de podfederatie kunnen bereiken. SAML-verificatie moet worden geconfigureerd in Horizon, met de VMware Identity Manager-service die is opgegeven als de identiteitsprovider. U moet de Fully Qualified Domain Name van de service gebruiken als onderdeel van de URL. Het is aanbevolen om de SAML-verificatie op alle Horizon Connection Server-instanties in de pod-federatie te configureren. Zie SAML-verificatie configureren voor meer informatie. We raden u aan de vervaldatum van de SAML-metagegevens op de Horizon Connection Serverinstanties te verlengen tot 90 dagen. Zie De vervaldatum van metagegevens van de serviceprovider op de View-verbindingsserver wijzigen voor meer informatie. Horizon Connection Server-certificaten worden gesynchroniseerd naar VMware Identity Manager. Implementeer applicatie- en desktoppools in de Horizon-pods. Terwijl u desktop-groepen configureert, zorgt u ervoor dat u in Instellingen op afstand de optie Automatisch afmelden nadat de verbinding is verbroken op 1 of 2 minuten instelt in plaats van onmiddellijk. Zorg ervoor dat u Horizon-pools in de rootmap maakt. Als u Horizon-pools in een andere map maakt dan de rootmap, kan VMware Identity Manager geen query voor die Horizon-pods en - rechten uitvoeren. VMware, Inc. 42

43 Als u applicatiesgroeps of desktopgroepen toevoegt of verwijdert na de integratie met VMware Identity Manager, moet u opnieuw synchroniseren zodat de wijzigingen worden weergegeven in de VMware Identity Manager-service. U moet de podfederatie maken door de functie Cloud Pod Architecture te initialiseren via een van de pods en alle andere pods aan de federatie toe te voegen, voordat u de integratie de VMware Identity Manager-service uitvoert. Wanneer pods deel gaan uitmaken van de federatie, worden algemene rechten gerepliceerd. Als u een pod toevoegt aan of verwijdert uit de podfederatie nadat u deze met de VMware Identity Manager-service hebt geïntegreerd, moet u de podfederatiedetails in de VMware Identity Manager-beheerconsole bewerken om de pod toe te voegen of te verwijderen, uw wijzigingen opslaan en opnieuw synchroniseren. Maak in uw Horizon-omgeving algemene rechten in de podfederatie om Active Directory-gebruikers of -groepen rechten te geven voor desktops en applicaties. Voor de algemene rechten die u wilt synchroniseren met VMware Identity Manager moet hetzelfde Alle sites-beleid zijn ingesteld. Rechten met een ander beleid worden niet gesynchroniseerd. Als u eindgebruikers de mogelijkheid wilt bieden om desktops of applicaties in een webbrowser te starten, selecteert u de optie HTML Access voor het algemene recht in Horizon. (Optioneel) Maak indien nodig lokale rechten op de pods. Zie de Horizon 6- of Horizon 7-documentatie voor meer informatie over het configureren van Horizon. VMware, Inc. 43

44 Horizon-pods en -podfederaties in VMware Identity Manager configureren Als u Horizon-pods en -podfederaties in VMware Identity Manager wilt configureren, stelt u uw VMware Identity Manager-omgeving in, maakt u een of meer verzamelingen van virtuele apps voor de integratie, geeft u de clienttoegang-url's voor specifieke netwerkbereiken op en configureert u SAML-verificatie. Uw VMware Identity Manager -omgeving instellen Nadat u uw Horizon-omgeving hebt ingesteld, moet u uw VMware Identity Manager-omgeving instellen voordat u de Horizon-pods en -podfederaties integreert met de VMware Identity Manager-service. Vereisten Als u van plan bent om Horizon Connection Server 5.x-instanties te synchroniseren of de optie Directorysynchronisatie uitvoeren te gebruiken, moet u VMware Identity Manager toevoegen aan hetzelfde Active Directory-domein als Horizon. Controleer of u over een Active Directorygebruikersnaam en -wachtwoord beschikt, en of u rechten hebt om te worden toegevoegd aan het domein. Zie Integreren met Active Directory onder VMware Identity Manager installeren en configureren voor meer informatie over de rechten die u nodig hebt om te worden toegevoegd aan een domein. Opmerking Voor een installatie van VMware Identity Manager in Windows is de Windows-server is al toegevoegd aan het domein. Procedure 1 Synchroniseer de gebruikers en groepen met algemene of lokale rechten in Horizon uit Active Directory naar de VMware Identity Manager-service door middel van directorysynchronisatie. a b c d Als u de huidige gebruikers en groepen wilt weergeven, klikt u op het tabblad Gebruikers en groepen. Selecteer het tabblad Identiteits- en toegangsbeheer > Directory's. Selecteer de van applicatie zijnde directory. Pas de directoryinstellingen waar nodig aan en klik op Nu synchroniseren. Opmerking Voor gebruikers moeten de kenmerken userprincipalname en distinguishedname zijn ingesteld. Als het kenmerk userprincipalname niet is ingesteld voor een gebruiker, kan de gebruiker geen desktops en applicaties uitvoeren. Als het kenmerk distinguishedname niet is ingesteld, mislukt de synchronisatie. 2 Indien dit van toepassing is, brengt u een verbinding met meerdere domeinen of vertrouwde multiforest-domeinen tot stand in Active Directory Raadpleeg VMware Identity Manager installeren en configureren voor meer informatie. VMware, Inc. 44

45 3 (Alleen de Linux-gebaseerde virtual appliance van VMware Identity Manager) Voeg de VMware Identity Manager-directory toe aan hetzelfde Active Directory-domein als Horizon als u een Horizon Connection Server 5 synchroniseert.x instanties of als u van plan bent de optie Directorysynchronisatie uitvoeren te gebruiken. Voor beide configuraties wordt een alternatieve synchronisatiemethode gebruikt waarvoor het domein moet worden gekoppeld. a b c d Klik op het tabblad Identiteits- en toegangsbeheer. Klik op Setup en selecteer het tabblad Connectoren. Klik op Domein koppelen naast de van applicatie zijnde directory. Geef de gegevens voor het Active Directory-domein op en klik op Aan domein toevoegen. Gebruik geen niet-ascii-tekens wanneer u de domeingegevens opgeeft. Optie Domein Beschrijving Selecteer het domein dat u wilt koppelen of selecteer Aangepast domein en typ de domeinnaam. Zorg dat u de volledig gekwalificeerde Active Directorydomeinnaam opgeeft, bijvoorbeeld server.example.com. Opmerking De FQDN van Active Directory moet zich in hetzelfde domein als de View Connection Server-instanties bevinden. Anders mislukt de implementatie. Domeingebruiker Domeinwachtwoord Organisatie-eenheid of domein om te koppelen Geef de gebruikersnaam van een Active Directory-gebruiker op die toestemming heeft om systemen samen te voegen met dat Active Directorydomein. Geef het wachtwoord van de gebruiker op. Dit wachtwoord wordt niet opgeslagen door VMware Identity Manager. (Optioneel) De organisatie-eenheid (OU) om te koppelen. Met behulp van deze optie wordt het apparaat met de opgegeven OU gekoppeld in plaats van de standaard OU van de computer. Bijvoorbeeld: ou=testou,dc=test,dc=example,dc=com. e Verifieer of VMware Identity Manager en de Horizon-servers aan het hetzelfde domein zijn toegevoegd. Opmerking Voor een installatie van VMware Identity Manager in Windows is deze stap niet vereist omdat de Windows-server al aan het domein is toegevoegd. Horizon-pods en -podfederaties in VMware Identity Manager configureren Configureer Horizon-pods en -podfederaties in de VMware Identity Manager-beheerconsole om bronnen en rechten te synchroniseren naar de VMware Identity Manager-service. Om de pods en podfederaties te configureren, maakt u een of meer verzamelingen van virtuele apps op de pagina Catalogus > Virtuele apps en voert u configuratiegegevens in zoals de Horizon Connection Servers waarvan u bronnen en rechten wilt synchroniseren, gegevens van de podfederatie, de VMware Identity Manager-connector voor synchronisatie en de beheerdersinstellingen zoals de standaardclient voor starten. VMware, Inc. 45

46 U kunt alle Horizon-pods en -podfederaties toevoegen aan één verzameling of u kunt meerdere verzamelingen maken, afhankelijk van uw behoeften. U kunt er bijvoorbeeld voor kiezen om afzonderlijke verzamelingen te maken voor elke podfederatie of elke pod om het beheer te vereenvoudigen en de synchronisatietaken te verdelen over meerdere connectoren. Of u kunt ervoor kiezen om alle pods en podfederaties toe te voegen aan één verzameling voor testdoeleinden en een andere identieke verzameling te gebruiken voor uw productieomgeving. Nadat u de pods hebt toegevoegd, configureert u URL's voor clienttoegang voor specifieke netwerkbereiken. Vereisten Stel Horizon in overeenkomstig Vereisten voor het integreren van Horizon-pods en Vereisten voor het integreren van Horizon-podfederaties. Stel VMware Identity Manager in zoals beschreven in Uw VMware Identity Manager-omgeving instellen. Voor elke Horizon-pod moet u beschikken over de aanmeldgegevens van een gebruiker met de rol van beheerder. In VMware Identity Manager 3.2 moet u een beheerdersrol gebruiken die de actie Desktopapps beheren in de catalogusservice kan uitvoeren. Procedure 1 Meld u aan op de beheerconsole van VMware Identity Manager. 2 Selecteer het tabblad Catalogus > Virtuele apps en klik vervolgens op Configuratie van virtuele apps. 3 Klik op Virtuele apps toevoegen en selecteer Horizon View op locatie. 4 Voer een unieke naam voor de verzameling in. 5 Selecteer de connector waarmee u de bronnen op deze locatie wilt synchroniseren, uit de vervolgkeuzelijst Synchronisatieconnectoren. Als u meerdere connectoren hebt ingesteld voor hoge beschikbaarheid, klikt u op Connector toevoegen en selecteert u de andere connectoren. De volgorde waarin de connectoren worden vermeld, bepaalt de failovervolgorde. 6 In het gedeelte Horizon-pods geeft u de configuratiegegevens op voor de Horizon-pods die u aan deze verzameling toevoegt. Verbindingsserver Gebruikersnaam Wachtwoord Voer de volledig gekwalificeerde hostnaam van de Horizon-verbindingsserver-instantie in, bijvoorbeeld verbindingsserver.example.com. De domeinnaam moet identiek zijn aan de domeinnaam waaraan u de Horizon-verbindingsserver-instantie hebt toegevoegd. Voer de gebruikersnaam van de beheerder in voor de pod. De gebruiker moet de beheerdersrol in Horizon hebben. Voer het wachtwoord van de beheerder in voor de pod. VMware, Inc. 46

47 Smartcardverificatie True SSO ingeschakeld Lokale rechten synchroniseren Als gebruikers in plaats van wachtwoorden smartcardverificatie gebruiken om zich aan te melden bij de pod, schakelt u het selectievakje in. Selecteer deze optie als True SSO is ingeschakeld in Horizon. Deze optie is alleen van toepassing op versies van Horizon die de functie True SSO ondersteunen. Wanneer True SSO in Horizon is ingeschakeld, hebben gebruikers geen wachtwoord nodig om zich aan te melden op hun Windows-computers. Als gebruikers echter zijn aangemeld op de VMware Identity Manager met behulp van een verificatiemethode zonder wachtwoord, zoals SecurID, wanneer ze hun Windows-desktops opstarten, worden ze om een wachtwoord gevraagd. U kunt deze optie selecteren om te voorkomen dat in dat scenario een wachtwoorddialoogvenster wordt weergegeven aan gebruikers. Als lokale rechten zijn geconfigureerd voor de pod, selecteert u deze optie. Bijvoorbeeld: 7 Als u meerdere pods wilt toevoegen aan de verzameling, klikt u op Pod toevoegen en voert u de configuratiegegevens voor elke pod in. VMware, Inc. 47

48 8 Volg deze stappen om een podfederatie toe te voegen. a b Vink het selectievakje Inschakelen aan in het gedeelte Architectuurconfiguratie voor Horizon Cloud-pods. Voer de configuratiegegevens van de podfederatie in. Optie Federatienaam Horizon-pods toevoegen Geselecteerde pods URL openen Beschrijving De naam van de podfederatie. Selecteer alle pods die bij de podfederatie horen. De lijst bevat alle pods die u hebt toegevoegd aan de verzameling. Selecteer elke pod en klik op Toevoegen aan lijst. U kunt de volgorde van de pods wijzigen of ze verwijderen. De algemene start-url die moet worden gebruikt om desktops of applicaties met algemene rechten te starten. Bijvoorbeeld: federationa.example.com. De start-url is doorgaans de URL van de algemene load balancer van de podfederatie. U kunt de start-url voor de specifieke netwerkbereiken later in het configuratieproces wijzigen. c Als u een andere podfederatie wilt toevoegen, klikt u op Federatie toevoegen en voert u de configuratiegegevens in. Opmerking Selecteer deze optie niet als de verzameling alleen individuele Horizon-pods bevat die geen deel uitmaken van een podfederatie. Bijvoorbeeld: 9 Selecteer Dubbele applicaties niet synchroniseren om te voorkomen dat dubbele applicaties van meerdere servers worden gesynchroniseerd. Wanneer VMware Identity Manager wordt geïmplementeerd in meerdere datacenters, worden dezelfde bronnen ingesteld in de meerdere datacenters. Als u deze optie selecteert, voorkomt dit het verdubbelen van de desktop- of applicatiepools in uw VMware Identity Manager-catalogus. VMware, Inc. 48

49 10 Schakel het selectievakje Horizon Connection Server 5.x configureren in als u een View Connection Server 5 configureert.x instanties. Door deze optie te selecteren, beschikt u over een alternatieve manier om bronnen te synchroniseren, die is vereist voor View 5.x. Opmerking Als u de optie Directorysynchronisatie uitvoeren selecteert, wordt ook de optie Horizon Connection Server 5.x configureren automatisch geselecteerd omdat beide gebruikmaken van de alternatieve manier om bronnen te synchroniseren. 11 Schakel het selectievakje Directorysynchronisatie uitvoeren in als u de directory wilt synchroniseren als onderdeel van de bronsynchronisatie, en gebruikers en groepen met rechten voor Horizon-pools in de Horizon Connection Server-instanties ontbreken in de VMware Identity Managerdirectory. De optie Directorysynchronisatie uitvoeren is niet van toepassing op podfederaties. Als gebruikers en groepen met algemene rechten ontbreken in de VMware Identity Manager-directory, kan de directorysynchronisatie niet worden ingeschakeld. Gebruikers en groepen die via dit proces worden gesynchroniseerd, kunnen worden beheerd zoals alle andere gebruikers die zijn toegevoegd door VMware Identity Manager-directorysynchronisatie. Belangrijk Het synchroniseren neemt meer tijd in beslag wanneer u de optie Directorysynchronisatie uitvoeren gebruikt. Opmerking Wanneer deze optie is geselecteerd, wordt automatisch ook de optie Horizon Connection Server 5.x configureren geselecteerd, omdat beide opties gebruikmaken van een alternatieve manier om bronnen te synchroniseren. 12 Selecteer in het vervolgkeuzemenu Standaardclient voor starten de standaardclient waarin u Horizon-applicaties of -desktops wilt starten. Optie GEEN BROWSER SYSTEEMEIGEN Beschrijving Er wordt geen standaardvoorkeur ingesteld op beheerdersniveau. Als deze optie is ingesteld op Geen en er ook geen eindgebruikersvoorkeur is ingesteld, wordt de Horizon-instelling Default display protocol (Standaardweergaveprotocol) gebruikt om te bepalen hoe de desktop of applicatie moet worden gestart. Horizon-desktops en -applicaties worden standaard gestart in een webbrowser. Als er eindgebruikersvoorkeuren zijn ingesteld, overschrijven die voorkeuren deze instelling. Horizon-desktops en -applicaties worden standaard gestart in de Horizon Client. Als er eindgebruikersvoorkeuren zijn ingesteld, overschrijven die voorkeuren deze instelling. Deze instelling is van toepassing op alle bronnen in deze verzameling. VMware, Inc. 49

50 De volgende volgorde van prioriteit (gerangschikt van hoog naar laag) bepaalt de gebruikte instelling voor de standaardclient: a b c De voorkeursinstelling van de eindgebruiker, ingesteld in de Workspace ONE-portal. Deze optie is niet beschikbaar in de Workspace ONE-app. Beheerdersinstelling Standaardclient voor starten voor de verzameling, ingesteld in de VMware Identity Manager-console. De Horizon-instelling Remote Display Protocol (Extern weergaveprotocol) > Default display protocol (Standaardweergaveprotocol) voor de desktop- of applicatiepool, ingesteld in Horizon Administrator. Bijvoorbeeld: als het weergaveprotocol is ingesteld op PCoIP, wordt de applicatie gestart in de Horizon Client. 13 Selecteer in het vervolgkeuzemenu Synchronisatiefrequentie hoe vaak u de bronnen in deze verzameling wilt synchroniseren. U kunt een planning voor regelmatig synchroniseren instellen, of u kunt handmatig synchroniseren. Als u Handmatig selecteert, klikt u op Synchroniseren op de pagina Configuratie van virtuele apps nadat u de verzameling hebt ingesteld en telkens wanneer uw View-bronnen of -rechten worden gewijzigd. 14 Selecteer in het vervolgkeuzemenu Activeringsbeleid op welke manier Horizon-bronnen beschikbaar worden gesteld voor gebruikers in Workspace ONE. Zowel met de optie Door gebruiker geactiveerd als met de optie Automatisch worden de bronnen toegevoegd aan de pagina Catalogus. Gebruikers kunnen de bronnen op de pagina Catalogus gebruiken of ze verplaatsen naar de pagina Bladwijzers. Als u echter een goedkeuringswerkstroom voor een van de apps wilt instellen, moet u Door gebruiker geactiveerd voor die app selecteren. Het activeringsbeleid dat u op deze pagina selecteert, is van toepassing op alle gebruikersrechten voor alle bronnen in de verzameling. U kunt het activeringsbeleid voor afzonderlijke gebruikers of groepen per bron aanpassen, via de applicatie of de pagina Rechten van de desktop. U wordt aanbevolen het activeringsbeleid voor de verzameling in te stellen op Door gebruiker geactiveerd als u van plan bent een goedkeuringswerkstroom in te stellen. 15 Klik op Opslaan. De verzameling is gemaakt en wordt weergegeven op de pagina Configuratie van virtuele apps. De bronnen in de verzameling zijn nog niet gesynchroniseerd. 16 Klik op Synchroniseren op de pagina Configuratie van virtuele apps als u de bronnen in de verzameling naar VMware Identity Manager wilt synchroniseren. Telkens wanneer u instellingen in Horizon wijzigt, zoals het toevoegen van een recht of een gebruiker, is een synchronisatie vereist om de wijzigingen toe te passen in VMware Identity Manager. VMware, Inc. 50

51 17 Configureer de clienttoegang-url's voor de pods en podfederaties. U past de URL's voor specifieke netwerkbereiken aan. Verschillende start-url's worden bijvoorbeeld standaard ingesteld voor interne en externe toegang. a Controleer uw netwerkbereiken en maak zo nodig nieuwe. Klik op het tabblad Identiteits- en toegangsbeheer > Beleidsregels. Klik op Netwerkbereiken. Controleer de netwerkbereiken en klik op Netwerkbereik toevoegen om zo nodig nieuwe bereiken toe te voegen. b c d Klik op het tabblad Catalogus > Virtuele apps en klik vervolgens op Instellingen voor virtuele app. Klik op Netwerkinstellingen. Selecteer het netwerkbereik dat u wilt configureren. Het gedeelte CPA-federatie weergeven bevat de algemene start-url van de podfederaties die u hebt toegevoegd aan de verzameling. Het gedeelte View-pods bevat alle View-pods die u hebt toegevoegd aan de verzameling waarvoor de optie Lokale rechten synchroniseren is geselecteerd. e Voor de globale start-url specificeert u in het gedeelte CPA-federatie weergeven de volledig gekwalificeerde domeinnaam van de server waarnaar startverzoeken voor globale rechten die afkomstig zijn van dit netwerkbereik moeten worden verzonden. Standaard is dit de globale loadbalancer-url van de View pod-federatie-implementatie. Bijvoorbeeld: lb.example.com De globale start-url wordt gebruikt om bronnen met globale rechten te starten. VMware, Inc. 51

52 f Voor elke pod geeft u in het gedeelte View-pod de volledig gekwalificeerde domeinnaam van de server op waarnaar startverzoeken voor lokale rechten die afkomstig zijn van dit netwerkbereik, moeten worden verzonden. U kunt een Horizon Connection Server-instantie, een load balancer of een beveiligingsserver opgeven. Wanneer u bijvoorbeeld een bereik voor interne toegang bewerkt, geeft u de interne load-balancer voor de pod op. Bijvoorbeeld: lb.example.com De client-toegang URL wordt gebruikt om bronnen met lokale rechten via de pod te starten. Opmerking Zie Horizon-bronnen op afstand starten voor informatie over de opties Artefact inpakken in JWT en Doelgroep in JWT. g Klik op Voltooien. Zie ook URL's voor toegang voor meerdere clienten voor aangepaste netwerkbereiken inschakelen. SAML-verificatie configureren Als u gebruikers de mogelijkheid wilt geven om een Horizon-applicatie of -desktop uit te voeren via de VMware Identity Manager-service en Single Sign-On via VMware Identity Manager bij de applicatie of desktop te gebruiken, configureert u SAML-verificatie in Horizon. SAML-verificatie moet worden geconfigureerd voor ten minste één Horizon Connection Server-instantie in een pod. Het configureren van SAML-verificatie op alle instanties in een pod is aanbevolen. Als de SAML-verificatie is uitgeschakeld op sommige van de Horizon Connection Server-instanties in een pod, gebruikt VMware Identity Manager de andere instanties en blijft synchronisatie werken. U moet er echter voor zorgen dat een instantie waarvoor SAML-verificatie is uitgeschakeld, niet wordt gebruikt voor het starten. Gebruik niet de instantie in de URL voor clienttoegang of, als de URL voor clienttoegang verwijst naar een load balancer, als een van de knooppunten van de load balancer. Als u dit doet, kunnen gebruikers de Horizon-desktops of -applicaties niet uitvoeren. Als SAML-verificatie is uitgeschakeld op alle Horizon Connection Server-instanties in de pod, mislukt de synchronisatie. Opmerking U hoeft SAML-verificatie niet te configureren als uw organisatie smartcardverificatie gebruikt om bronnen weer te geven via een externe identiteitsprovider. Procedure 1 Meld u aan bij Horizon Administrator als gebruiker met de beheerdersrol. 2 Configureer SAML-verificatie voor de Horizon Connection Server-instanties. U moet de volledig gekwalificeerde domeinnaam van de VMware Identity Manager-service op de configuratiepagina van de authenticator gebruiken. Belangrijk De tijd van de Horizon- en VMware Identity Manager-servers moet zijn gesynchroniseerd. Wanneer de tijd van de servers niet is gesynchroniseerd en u een Horizonapplicatie of -desktop probeert uit te voeren, verschijnt een bericht over een ongeldige SAML. VMware, Inc. 52

53 URL's voor toegang voor meerdere clienten voor aangepaste netwerkbereiken inschakelen Als u toegangs-url's voor meerdere clients gebruikt voor verschillende netwerkbereiken, moet u het netwerkbereiken bewerken zodat de eindgebruiker verbinding maakt met de juiste URL voor clienttoegang en het juiste poortnummer. Wanneer deze instellingen niet zijn bijgewerkt, start Horizon Client niet. Procedure 1 Meld u aan op de beheerconsole van VMware Identity Manager. 2 Controleer uw netwerkbereiken en maak zo nodig nieuwe. a b c Klik op het tabblad Identiteits- en toegangsbeheer > Beleidsregels. Klik op Netwerkbereiken. Controleer de netwerkbereiken en klik op Netwerkbereik toevoegen om zo nodig nieuwe bereiken toe te voegen. 3 Klik op het tabblad Catalogus > Virtuele apps en klik op Instellingen voor virtuele apps. 4 Selecteer Netwerkinstellingen. 5 Selecteer het netwerkbereik dat u wilt configureren. Het gedeelte View CPA-Federatie wordt alleen weergegeven als u podfederaties hebt geïntegreerd. In dit gedeelte worden de algemene start-url's die u hebt opgegeven voor de podfederaties weergegeven. Het gedeelte Pods weergeven bevat alle View-pods waarvan de optie Lokale rechten synchroniseren is geselecteerd. 6 Voor de globale start-url specificeert u in het gedeelte CPA-federatie weergeven de volledig gekwalificeerde domeinnaam van de server waarnaar startverzoeken voor globale rechten die afkomstig zijn van dit netwerkbereik moeten worden verzonden. Standaard is dit de globale loadbalancer-url van de View pod-federatie-implementatie. Bijvoorbeeld: lb.example.com De globale start-url wordt gebruikt om bronnen met globale rechten te starten. 7 Voor elke pod geeft u in het gedeelte View-pod de volledig gekwalificeerde domeinnaam van de server op waarnaar startverzoeken voor lokale rechten die afkomstig zijn van dit netwerkbereik, moeten worden verzonden. U kunt een Horizon Connection Server-instantie, een load balancer of een beveiligingsserver opgeven. Wanneer u bijvoorbeeld een bereik voor interne toegang bewerkt, geeft u de interne load-balancer voor de pod op. Bijvoorbeeld: lb.example.com VMware, Inc. 53

54 De client-toegang URL wordt gebruikt om bronnen met lokale rechten via de pod te starten. Opmerking Zie Horizon-bronnen op afstand starten voor informatie over de opties Artefact inpakken in JWT en Doelgroep in JWT. 8 Verifieer of elk netwerkbereik in uw omgeving een URL voor clienttoegang heeft. Belangrijk Wanneer een netwerkbereik ontbreekt, kunnen eindgebruikers die willen starten via dat netwerkbereik problemen ondervinden. Horizon-bronnen op afstand starten Wanneer u veilig externe toegang van Horizon-desktops en -applicaties nodig hebt, installeert u VMware Unified Access Gateway in de DMZ. Zie Unified Access Gateway implementeren en configureren voor meer informatie. Voor validatie van het starten van Horizon door Unified Access Gateway via VMware Identity Manager in de DMZ moet de instelling Artefact inpakken in JWT zijn ingeschakeld in de VMware Identity Manager-service. Wanneer Artefact inpakken in JWT is ingeschakeld voor de verificatie van een startaanvraag voor een Horizon-bron, genereert Identity Manager een JWT-token dat het SAML-artefact in de Horizon-aanvraag bevat. Deze JWT-token wordt verzonden naar de gateway. De gateway in de DMZ valideert dat de aanvraag van VMware Identity Manager is en dat gebruikers toegang hebben tot hun Horizon-bron. Procedure 1 Meld u aan op de beheerconsole van VMware Identity Manager. 2 Selecteer het tabblad Catalogus > Virtuele apps en klik vervolgens op Instellingen voor virtuele apps. 3 Klik op Netwerkinstellingen. 4 Schakel het selectievakje Inpakken artefact in JWT in, in de sectie View-pod. 5 Als meer dan één gateway de aanvraag niet kan verwerken, maakt u unieke ID's en voegt u de namen toe aan het tekstvak Doelgroep in JWT. Dit is optioneel. 6 Klik op Voltooien. Wat nu te doen De unieke doelgroepnamen die u toevoegt, moeten ook worden toegevoegd aan Unified Access Gateway. Raadpleeg de Unified Access Gateway-documentatie voor meer informatie. De verbindingsinformatie voor pools van Horizondesktops en -applicaties U kunt de informatie over de verbinding tussen VMware Identity Manager en een pool van Horizondesktops of -applicaties weergeven. VMware, Inc. 54

55 Procedure 1 Meld u aan op de beheerconsole van VMware Identity Manager. 2 Klik op het tabblad Catalogus > Virtuele apps. 3 Als u desktoppools wilt weergeven, klikt u op Elk toepassingstype > Horizon View-desktops. Als u applicatiepools wilt weergeven, klikt u op Elk toepassingstype > Horizon View-toepassingen. 4 Klik op de applicatie- of desktoppool. 5 Klik aan de linkerkant op Details. 6 Bekijk de verbindingsinformatie. Deze bestaat uit kenmerken die van de Horizon Connection Serverinstantie zijn opgehaald. Zie de Horizon-documentatie voor meer informatie over deze kenmerken. Gebruikers- en groepsrechten voor pools van Horizondesktops en -applicaties weergeven U kunt bekijken voor welke pools van Horizon-desktops en -applicaties gebruikers en groepen rechten hebben. Vereisten Voor de laatste updates synchroniseert u de bronnen en rechten handmatig van de Horizon Connection Server-instanties naar VMware Identity Manager door op Synchroniseren te klikken op de pagina Configuratie voor virtuele apps. Procedure 1 Meld u aan op de beheerconsole van VMware Identity Manager. 2 Bekijk gebruikers- en groepsrechten voor pools van Horizon-desktops en -applicaties. Optie Geef een lijst weer van gebruikers en groepen die rechten hebben voor een specifieke pool van Horizon-desktops of -applicaties. Lijst van rechten voor een pool van Horizon-desktops en -applicaties voor een specifieke gebruiker of groep. Actie a Klik op het tabblad Catalogus > Virtuele apps. b Klik op Elk toepassingstype > Horizon View-desktops of Horizon Viewtoepassingen. c Klik op het pictogram voor de View-groep waarvoor u de rechten in een lijst wilt weergeven. Het tabblad Rechten is standaard geselecteerd. Groepsrechten en gebruikersrechten worden vermeld in aparte tabellen. a Klik op het tabblad Gebruikers en groepen. b Klik op het tabblad Gebruikers of het tabblad Groepen. c Klik op de naam van een individuele gebruiker of groep. d Klik op het tabblad Apps. De pools van Horizon-desktops en -applicaties waarvoor de gebruiker of groep rechten heeft, worden in een lijst weergegeven. VMware, Inc. 55

56 Toegangsbeleid instellen voor specifieke applicaties en desktops Het ingestelde standaardtoegangsbeleid is van toepassing op alle applicaties en desktops in uw catalogus. U kunt ook toegangsbeleid voor individuele applicaties of desktoppools instellen, dat het standaardtoegangsbeleid overschrijft. U kunt een toegangsbeleid toepassen op een of meer applicaties en desktops op de beleidspagina of het toegangsbeleid voor een specifieke applicatie selecteren op de configuratiepagina's voor applicaties. Raadpleeg de handleiding Beheer VMware Identity Manager voor meer informatie over toegangsbeleid. Procedure 1 Volg deze stappen als u via de beleidspagina een toegangsbeleid wilt toepassen op applicaties en desktops. a b c d e Navigeer naar de pagina Identiteits- en toegangsbeheer > Beheren > Beleidsregels. Klik op een beleid om het te bewerken of klik op Beleid toevoegen om een nieuw beleid te maken. Bewerk of definieer het beleid op de beleidspagina. Geef in het gedeelte IP-bereiken de IP-bereiken op waarop u de instellingen wilt toepassen. Klik op Opslaan. 2 Selecteer deze stappen als u een toegangsbeleid voor een specifieke applicatie wilt selecteren op de configuratiepagina voor de applicatie. a b c d Klik op het tabblad Catalogus > Virtuele apps. Klik op de applicatie. Klik in het linkerdeelvenster op Toegangsbeleid. Selecteer het toegangsbeleid voor de applicatie en klik op Opslaan. Gebruikers toestaan om hun Horizon-desktops opnieuw in te stellen in VMware Identity Manager Afhankelijk van hoe u Horizon en VMware Identity Manager configureert, kunnen gebruikers een nietreagerende Horizon-desktop opnieuw instellen via Workspace ONE. Wanneer u Horizon configureert om gebruikers toe te staan hun desktops opnieuw in te stellen, geldt de configuratie voor zowel Horizon als VMware Identity Manager. VMware, Inc. 56

57 De optie om desktops opnieuw in te stellen via Workspace ONE, is beschikbaar in VMware Identity Manager 3.2 en Connector en hogere versies. Zorg ervoor dat alle connectoren versie of hoger zijn, anders wordt de opdracht Opnieuw instellen niet weergegeven. De optie wordt ondersteund voor: Horizon-pods, 7.x of hoger Speciale en zwevende Horizon-desktops Vereisten Configureer Horizon om gebruikers toe te staan hun desktops opnieuw in te stellen. Zie de documentatie voor View, Horizon 6, of Horizon 7 en met name de gids View-beheer. Zorg ervoor dat u VMware Identity Manager 3.2 of hoger en Connector of hoger gebruikt. Alle connectoren moeten versie of hoger zijn. Om er zeker van te zijn dat specifieke Horizon-desktops opnieuw kunnen worden ingesteld door gebruikers, moeten de clienttoegang-url's voor de respectievelijke pods vertrouwde certificaten hebben. Wanneer de URL's een root-ondertekend, of automatisch ondertekeningscertificaat hebben, configureert u VMware Identity Manager om deze certificaten te vertrouwen. Zie Installatie en configuratie van VMware Identity Manager voor informatie over het toepassen van een rootcertificaat. Procedure u (Optioneel) Controleer of VMware Identity Manager een bepaalde desktop weergeeft als opnieuw in te stellen door gebruikers. a b c d e Selecteer het tabblad Catalogus > Virtuele apps in de beheerconsole. Selecteer in het vervolgkeuzemenu Elk toepassingstype de optie Horizon View-desktops. Klik op de naam van de desktop. Klik op Details. Bevestig dat de instelling Opnieuw instellen is toegestaan is ingesteld op waar. Als de optie op niet waar is ingesteld, is Horizon niet geconfigureerd om gebruikers toe te staan de desktop opnieuw in te stellen. Wat nu te doen Als een Horizon-desktop niet meer reageert, kunt u of kunnen gebruikers de desktop opnieuw instellen door de opdracht Opnieuw instellen hiervoor te gebruiken. VMware, Inc. 57

58 Startopties voor Horizon-desktops en -applicaties weergeven Horizon-desktops en -applicaties kunnen worden gestart vanuit Workspace ONE in de Horizon Client of een webbrowser, afhankelijk van de manier waarop de desktop of applicatie is geconfigureerd in Horizon. Als een desktop of applicatie alleen is geconfigureerd voor de Horizon Client, moeten gebruikers de Horizon Client op hun systemen installeren. De Horizon-functie HTML Access biedt Horizon-beheerders de optie om een desktop of applicatie voor browsers te configureren. Deze configuratie wordt uitgevoerd in Horizon en er is geen configuratie vereist in VMware Identity Manager. In Horizon 7 bepaalt de instelling HTML Access toestaan voor desktops en applicaties op deze farm of gebruikers in VMware Identity Manager de optie hebben om desktops of applicaties vanaf die farm in een browser te starten. VMware Identity Manager ondersteunt HTML Access voor Horizon en later. VMware Identity Manager ondersteunt ook alle weergaveprotocollen die Horizon ondersteunt voor de Horizon Client. Voor Horizon 7 ondersteunt VMware Identity Manager het Blast-protocol, naast PCoIP en RDP voor Horizon Client 4.0. Wanneer VMware Identity Manager-gebruikers een desktop of applicatie in de Horizon Client starten, wordt het protocol gebruikt dat is ingesteld voor de farm in Horizon. Opmerking In Horizon kunnen beheerders, naast het instellen van het standaardweergaveprotocol, ook opgeven of gebruikers een weergaveprotocol mogen kiezen. Als u versies van Horizon Client wilt ondersteunen die niet het standaardprotocol ondersteunen, raden we af gebruikers de mogelijkheid te bieden het weergaveprotocol te kiezen. Anders kan de applicatie of desktop niet worden gestart. Voor informatie over het configureren van de weergaveprotocols en startopties, raadpleegt u de Horizon 7-, Horizon 6- of View-documentatie. In de VMware Identity Manager-beheerconsole kunt u de startopties controleren die door een Horizondesktop of -applicatie worden ondersteund. Procedure 1 Meld u aan op de beheerconsole van VMware Identity Manager. 2 Klik op het tabblad Catalogus > Virtuele apps. 3 Als u desktoppools wilt weergeven, klikt u op Elk toepassingstype > Horizon View-desktops. Als u applicaties wilt weergeven, klikt u op Elk toepassingstype > Horizon View-toepassingen. 4 Klik op de applicatie of desktop. 5 Klik aan de linkerkant op Details. In het veld Ondersteunde clienttypen worden de startopties weergegeven. VMware, Inc. 58

59 De waarde van het veld kan NATIVE of BROWSER zijn, of beide. Als alleen NATIVE in de lijst staat, kan de desktop of applicatie alleen worden gestart in de Horizon Client. Gebruikers moeten de Horizon Client op hun systemen installeren voordat ze de applicatie starten vanuit Workspace ONE. Als BROWSER in de lijst staat, kunnen gebruikers de applicatie of desktop in een browser starten. Als beide opties zijn opgegeven, kunnen gebruikers selecteren op welke manier ze de applicatie willen starten. Opmerking Voor Horizon 7-integraties moet de optie HTML Acces toestaan voor desktops en applicaties op deze farm zijn ingeschakeld in Horizon 7, zodat de optie BROWSER in de lijst Ondersteunde clienttypen wordt weergegeven. Een Horizon-desktop of -applicatie starten Gebruikers kunnen de Horizon-desktops of -applicaties waarvoor ze rechten hebben, uitvoeren vanuit de Workspace ONE-portal of -app. Een applicatie of desktop kan worden gestart in de Horizon Client of in een browser, afhankelijk van hoe de applicatie of desktop is geconfigureerd in Horizon. Voor applicaties of desktops die alleen in de Horizon Client kunnen worden gestart, moeten gebruikers de Horizon Client op hun systemen installeren. Voor applicaties en desktops die zowel in de Horizon Client als in een browser kunnen worden gestart, kunnen gebruikers de startmethode selecteren. Gebruikers kunnen ook hun standaardstartvoorkeur instellen op de pagina Voorkeuren in de Workspace ONE-portal. Deze gebruikersvoorkeur overschrijft elke andere startvoorkeur die is ingesteld op beheerdersniveau. Opmerking Gebruikers kunnen geen standaardstartvoorkeur instellen in de Workspace ONE-app. VMware, Inc. 59

60 Vereisten Wellicht moeten gebruikers de Horizon Client installeren, afhankelijk van hoe de applicatie of desktop is geconfigureerd in Horizon. Zie voor ondersteunde versies van Horizon Client de VMware Product Interoperability Matrix via Procedure 1 Meld u aan bij de Workspace ONE-portal. 2 Klik op Openen in de desktop of applicatie die u wilt gebruiken, selecteer de startmethode en klik op Openen. Opmerking Afhankelijk van de manier waarop de desktop of applicatie is geconfigureerd, en uw voorkeur, moet u mogelijk de Horizon Client op uw systeem installeren. Als u de optie in browser hebt gekozen, wordt de applicatie of desktop gestart in een browser. Wanneer u Horizon of later gebruikt, wordt op het browserscherm ook een HTML Access Tray weergegeven. Opmerking Als de SAML-metagegevens op de Horizon Connection Server-instanties verlopen zijn, wordt de applicatie of desktop niet gestart. Om dit probleem te verhelpen, moet u de Horizon-bronnen opnieuw synchroniseren naar VMware Identity Manager. Klik in de configuratiepagina van de virtuele applicaties op Synchroniseren voor de juiste verzameling. VMware, Inc. 60

61 Toegang geven tot VMware Horizon Cloud Service - desktops en -applicaties 5 VMware Horizon Cloud Service met gehoste infrastructuur of infrastructuur op locatie kan worden geïntegreerd met de VMware Identity Manager-service. Met de integratie van Horizon Cloud met de VMware Identity Manager-service kunt u gebruikers de mogelijkheid geven om vanuit de Workspace ONE-portal of -app toegang te krijgen tot de Horizon Cloudapplicaties en -desktops waarvoor ze rechten hebben. Gebruikers beschikken over één centrale plek voor toegang tot al hun applicaties op al hun apparaten. Desktop- en applicatiepools, ook wel toewijzingen genoemd, worden geconfigureerd in de Horizon Cloudtenant. Ook stelt u gebruikers- en groepsrechten in in de Horizon Cloud-tenant, niet in de VMware Identity Manager-service. U moet deze gebruikers en groepen vanaf Active Directory synchroniseren met de VMware Identity Manager-service voordat u met de Horizon Cloud-tenant gaat integreren. Als u Horizon Cloud wilt integreren met VMware Identity Manager, kunt u een of meer verzamelingen van virtuele apps in de VMware Identity Manager-beheerconsole maken. De verzamelingen bevatten de configuratiegegevens voor de Horizon Cloud-tenants, evenals de synchronisatie-instellingen. U kunt een synchronisatieplanning voor elke verzameling instellen om bronnen en rechten van de Horizon Cloud-tenants regelmatig te synchroniseren naar de VMware Identity Manager-service. Nadat u de Horizon Cloud-tenant hebt geïntegreerd met VMware Identity Manager, kunt u de Horizon Cloud-desktops en -applicaties in de VMware Identity Manager-beheerconsole zien. U kunt ook gebruikers- en groepsrechten weergeven. Eindgebruikers kunnen hun desktops en apps vanuit de Workspace ONE-portal of -app starten. Deze desktops en apps kunnen worden geopend in een browser of in de VMware Horizon Client. Horizon Client versies 3.4 en later worden ondersteund. Dit hoofdstuk omvat de volgende onderwerpen: Horizon Cloud-desktops en -applicaties integreren Details over pools van Horizon Cloud-desktops en -applicaties bekijken Gebruikers- en groepsrechten voor Horizon Cloud-desktops en -applicaties bekijken Toegangsbeleid instellen voor specifieke applicaties en desktops Gebruikers toestaan om Horizon Cloud-desktops opnieuw in te stellen VMware, Inc. 61

62 Een Horizon Cloud-desktop of -applicatie gebruiken Horizon Cloud -desktops en -applicaties integreren Voor de integratie van Horizon Cloud-desktops en -applicaties met de VMware Identity Manager-service, maakt u een of meer verzamelingen van virtuele apps in de VMware Identity Manager-beheerconsole, configureert u gegevens van de Horizon Cloud-tenant in de verzameling en synchroniseert u bronnen en rechten van de Horizon Cloud-tenant. U configureert ook SAML-verificatie om vertrouwen tussen de Horizon Cloud-tenant en de VMware Identity Manager-service tot stand te brengen. Integratie van meerdere Horizon Cloud-instanties U kunt meerdere Horizon Cloud-tenants integreren met een enkele instantie van VMware Identity Manager zodat Horizon Cloud-bronnen en rechten van alle tenants kunnen worden gesynchroniseerd naar één enkele locatie, verificatie- en toegangsbeleid kunnen centraal worden beheerd, en gebruikers met rechten in verschillende tenants kunnen worden bediend vanuit een enkele portal of -app. VMware Identity Manager ondersteunt integratie met de volgende typen Horizon Cloud-omgevingen: Horizon Cloud gehoste infrastructuur (Soft-laag en Azure) Horizon Cloud infrastructuur op locatie Wanneer u meerdere Horizon Cloud-tenants integreert, dient u rekening te houden met de volgende overwegingen. Een afzonderlijke connector, het VMware Identity Manager-onderdeel dat bronnen en rechten van Horizon Cloud naar de VMware Identity Manager-service synchroniseert, kan bronnen en rechten van meerdere Horizon Cloud-tenants synchroniseren. Elke Horizon Cloud-tenant kan rechten voor gebruikers in verschillende Active Directory-instanties en domeinen bieden. Zorg ervoor dat u alle relevante directory's en domeinen toevoegt aan VMware Identity Manager zodat alle gebruikers met rechten in een van de Horizon Cloud-tenants worden gesynchroniseerd naar VMware Identity Manager. Als de tenantappliances automatisch ondertekende certificaten hebben, moet u het automatisch ondertekende certificaat uploaden als vertrouwd rootcertificaat in VMware Identity Manager. Wanneer u meerdere Horizon Cloud-tenants integreert, moet u ervoor zorgen dat alle certificaten hetzelfde rootcertificaat hebben, aangezien slechts één rootcertificaat kan worden geüpload naar de VMware Identity Manager. VMware Identity Manager heeft geen toegang tot de rechten en kan deze niet synchroniseren van een tenant waarop tweeledige-verificatie is ingeschakeld. In VMware Identity Manager kunt u alle Horizon Cloud-tenants in één configuratie toevoegen, genaamd een verzameling virtuele applicaties, of u kunt meerdere configuraties maken. Wanneer alle Horizon Cloud-tenants worden toegevoegd aan één configuratie, als VMware Identity Manager geen toegang heeft tot een van de tenants, wordt er een waarschuwing aangemaakt en gaat hij door met het synchroniseren van bronnen en rechten van de andere tenants. VMware, Inc. 62

63 Zorg ervoor dat u de SAML-verificatie configureert in elke Horizon Cloud-tenant die u integreert met VMware Identity Manager. Vereisten voor integratie Voordat u Horizon Cloud integreert met VMware Identity Manager, moet u controleren of u voldoet aan de vereisten. Verifieer of u over de volgende installatie beschikt: Een VMware Identity Manager-implementatie op uw locatie Meerdere Horizon Cloud-tenants integreren met een enkele instantie van VMware Identity Manager wordt ondersteund in VMware Identity Manager 3.x en hoger. Zorg ervoor dat u versie of later gebruikt als u een extra, externe connector gebruikt. Integratie met meerdere tenants van Horizon Cloud wordt ondersteund in de connector en hoger. Een of meer Horizon Cloud tenants die voor de service VMware Identity Manager toegankelijk zijn. Werk samen met uw Horizon Cloud-vertegenwoordiger om dit in te stellen. Belangrijk Voor een goede werking hebt u VPN-connectiviteit nodig voor uw VMware Identity Manager-implementatie en uw Horizon Cloud-tenants. Controleer of iedere Horizon Cloud-tenant voldoet aan de volgende vereisten. De tenantnaam moet een Fully Qualified Domain Name (FQDN) zijn, niet gewoon een hostnaam. Bijvoorbeeld: server-ta1.example.com in plaats van server-ta1. De tenantappliances horen over geldige, ondertekende certificaten te beschikken die door een CA zijn uitgegeven. Het certificaat moet overeenkomen met de FQDN van de tenantappliance. Als de tenantappliances automatisch ondertekende certificaten hebben, moet u het automatisch ondertekende certificaat uploaden als vertrouwd rootcertificaat in VMware Identity Manager. Wanneer u meerdere Horizon Cloud-tenants integreert, moet u ervoor zorgen dat alle certificaten hetzelfde rootcertificaat hebben, aangezien slechts één rootcertificaat kan worden geüpload naar de VMware Identity Manager. Zorg ervoor dat de tijd van de Horizon Cloud-tenants en de VMware Identity Manager-service is gesynchroniseerd. Als de tijd niet is gesynchroniseerd, kan een ongeldige SAML-fout optreden als gebruikers Horizon Cloud-desktops en -applicaties uitvoeren. Maak en configureer desktop- en applicatiepools (ook wel toewijzingen genoemd) in de beheerconsole van de Horizon Cloud-tenant. U kunt de volgende pooltypen maken in de Horizon Cloud-tenant: Dynamische desktoppool, ook wel zwevende desktoptoewijzing genoemd Statische desktoppool, ook wel specifieke desktoptoewijzing genoemd Groep met desktops op basis van sessies, ook wel sessiedesktoptoewijzing genoemd VMware, Inc. 63

64 groep met applicaties op basis van sessies, ook wel externe applicatiestoewijzing genoemd Zie de Horizon Cloud-documentatie voor meer informatie over de pooltypen. Stel gebruikers- en groepsrechten voor Horizon Cloud-desktops en -applicaties in in de beheerconsole van de Horizon Cloud-tenant. Opmerking Alleen rechten voor gebruikers die deel uitmaken van een geregistreerde groep worden gesynchroniseerd. Gebruikers die geen deel uitmaken van een groep, zien hun rechten niet in VMware Identity Manager. Controleer via de VMware Identity Manager-beheerconsole of gebruikers en groepen met deze rechten met behulp van directorysynchronisatie worden gesynchroniseerd van Active Directory naar VMware Identity Manager. Als u meerdere Horizon Cloud-tenants integreert, zorg er dan voor dat u alle relevante mappen en domeinen toevoegt aan VMware Identity Manager zodat gebruikers met rechten in een van de Horizon Cloud-tenants worden gesynchroniseerd met VMware Identity Manager. samaccountname moet worden ingesteld als het directoryzoekkenmerk voor de directory in VMware Identity Manager. Horizon Cloud -tenant in VMware Identity Manager configureren Als u Horizon Cloud-tenants wilt integreren met de VMware Identity Manager-service, maakt u een verzameling van virtuele apps in de VMware Identity Manager-beheerconsole die zowel Horizon Cloudtenantinformatie als synchronisatie-instellingen bevat, en synchroniseert u bronnen en rechten van de Horizon Cloud-tenant naar de VMware Identity Manager-service. Als u meerdere Horizon Cloud-tenants hebt, kunt u afzonderlijke verzamelingen van virtuele apps maken voor elke tenant of alle tenants configureren in één verzameling, afhankelijk van uw behoeften. Elke verzameling wordt afzonderlijk gesynchroniseerd. Vereisten Verifieer of u voldoet aan de vereisten die worden beschreven in Vereisten voor integratie. Zie ook Integratie van meerdere Horizon Cloud-instanties. In VMware Identity Manager 3.2 moet u een beheerdersrol gebruiken die de actie Desktopapps beheren in de catalogusservice kan uitvoeren. Procedure 1 Meld u aan op de beheerconsole van VMware Identity Manager. 2 Selecteer het tabblad Catalogus > Virtuele apps en klik vervolgens op Configuratie van virtuele apps. 3 Klik op Virtuele apps toevoegen en selecteer Horizon Cloud. 4 Voer een unieke naam voor de verzameling in. VMware, Inc. 64

65 5 Selecteer de connector waarmee u de bronnen op deze locatie wilt synchroniseren, uit de vervolgkeuzelijst Synchronisatieconnectoren. Als u meerdere connectoren hebt ingesteld voor hoge beschikbaarheid, klikt u op Connector toevoegen en selecteert u de connectoren. De volgorde waarin de connectoren worden vermeld, bepaalt de failovervolgorde. 6 Voer de informatie van de Horizon Cloud-tenant in het gedeelte Tenants in. Belangrijk Gebruik geen niet-ascii-tekens wanneer u uw domeingegevens opgeeft. Optie Tenanthost Beschrijving Volledig gekwalificeerde domeinnaam van uw tenanthost. Bijvoorbeeld: tenant1.example.com Tenantpoort Het poortnummer van uw tenanthost. Bijvoorbeeld: 443 Beheerder Wachtwoord beheerder Domein beheerder Domeinen die moeten worden gesynchroniseerd Gebruikersnaam voor uw tenantbeheerdersaccount. Bijvoorbeeld: tenantadmin Wachtwoord voor uw tenantbeheerdersaccount. Active Directory NETBIOS-domeinnaam waarin de tenantbeheerder zich bevindt. Active Directory NETBIOS-domeinnamen voor het synchroniseren van Horizon Cloud-bronnen en -rechten. Opmerking Dit veld is hoofdlettergevoelig. Gebruik de juiste hoofdletters of kleine letters wanneer u de namen invoert. URL van consumentenservice voor bewering De URL waar de SAML-verklaring moet worden geplaatst. Deze URL is doorgaans het zwevende IP-adres of de hostnaam van de Horizon Cloud-tenant of de URL van de Unified Access Gateway. Bijvoorbeeld: VMware, Inc. 65

66 Optie True SSO ingeschakeld voor Horizon Cloud Toewijzing aangepaste ID Beschrijving Selecteer deze optie als True SSO is ingeschakeld voor de Horizon Cloud-tenant. Wanneer True SSO in de Horizon Cloud-tenant is ingeschakeld, hebben gebruikers geen wachtwoord nodig om zich aan te melden op hun Windowscomputers. Als gebruikers echter zijn aangemeld op de VMware Identity Manager met behulp van een verificatiemethode zonder wachtwoord, zoals SecurID, wanneer ze hun Windows-desktops opstarten, worden ze om een wachtwoord gevraagd. U kunt deze optie selecteren om te voorkomen dat in dat scenario een wachtwoorddialoogvenster wordt weergegeven aan gebruikers. U kunt de gebruikers-id aanpassen die wordt gebruikt in het SAML-antwoord wanneer gebruikers Horizon Cloud-applicaties en -desktops starten. Standaard wordt UserPrincipalName gebruikt. U kunt er ook voor kiezen om andere opmaken voor de naam-id te gebruiken zoals SAMAccountName of adres en de waarde aanpassen. Opmaak naam-id: selecteer de opmaak voor de naam-id, zoals adres of UPN-naam. De standaardwaarde is Niet opgegeven (gebruikersnaam). Waarde naam-id: klik op Selecteren uit suggesties en kies uit een vooraf gedefinieerde lijst met waarden of klik op Aangepaste waarde en voer de waarde in. Deze waarde kan elke geldige expressie in een expressietaal zijn, zoals ${user.username}@${user.domain}. De standaardwaarde is $ {user.userprincipalname}. Opmerking Zorg ervoor dat de kenmerken die u in de expressie gebruikt, toegewezen kenmerken zijn in de VMware-directory. U kunt toegewezen kenmerken bekijken op het tabblad Synchronisatie-instellingen van de directory. In het bovenstaande voorbeeld zijn username, userprincipalname en domain de toegewezen kenmerken van de directory. De mogelijkheid om de opmaak voor de naam-id te selecteren is handig in scenario's zoals de volgende: Wanneer gebruikers uit meerdere subdomeinen worden gesynchroniseerd, werkt UserPrincipalName mogelijk niet. U kunt andere opmaken voor de naam-id zoals SAMAccountName of adres gebruiken om gebruikers op unieke wijze te identificeren. Belangrijk Zorg ervoor dat de instelling voor de opmaak van de naam-id dezelfde is in Horizon Cloud en VMware Identity Manager. Bijvoorbeeld: VMware, Inc. 66

67 7 Als u een andere Horizon Cloud-tenant wilt toevoegen aan de verzameling, klikt u op Tenant toevoegen en voert u de configuratiegegevens voor de tenant in. 8 Selecteer in de vervolgkeuzelijst Standaardclient voor starten de standaardclient waarin u Horizon Cloud-applicaties of -desktops wilt starten. Optie GEEN BROWSER SYSTEEMEIGEN Beschrijving Er wordt geen standaardvoorkeur ingesteld op beheerdersniveau. Als deze optie is ingesteld op Geen en er ook geen gebruikersvoorkeur is ingesteld, wordt de Horizon Cloud-instelling Default Protocol (Standaardprotocol) gebruikt om te bepalen hoe de desktop of applicatie moet worden gestart. Horizon Cloud-desktops en -applicaties worden standaard gestart in een webbrowser. Als er eindgebruikersvoorkeuren zijn ingesteld, overschrijven die voorkeuren deze instelling. Horizon Cloud-desktops en -applicaties worden standaard gestart in de Horizon Client. Als er eindgebruikersvoorkeuren zijn ingesteld, overschrijven die voorkeuren deze instelling. Deze instelling is van toepassing op alle gebruikers voor alle Horizon Cloud-bronnen in deze verzameling. De volgende volgorde van prioriteit (gerangschikt van hoog naar laag) bepaalt de gebruikte instelling voor de standaardclient: a b De voorkeursinstelling van de eindgebruiker, ingesteld in de Workspace ONE-portal. Deze optie is niet beschikbaar in de Workspace ONE-app. Beheerdersinstelling Standaardclient voor starten voor de verzameling, ingesteld in de VMware Identity Manager-console. VMware, Inc. 67

68 c Horizon Cloud-instellingen voor standaardprotocol. 9 Selecteer in het vervolgkeuzemenu Synchronisatiefrequentie hoe vaak u de bronnen in deze verzameling wilt synchroniseren. U kunt een planning voor regelmatig synchroniseren instellen, of u kunt handmatig synchroniseren. Als u Handmatig selecteert, klikt u op Synchroniseren op de pagina Configuratie van virtuele apps nadat u de verzameling hebt ingesteld en telkens wanneer uw Horizon Cloud-bronnen of -rechten worden gewijzigd. 10 Selecteer in de vervolgkeuzelijst Activeringsbeleid op welke manier Horizon Cloud-bronnen beschikbaar worden gesteld voor gebruikers in Workspace ONE. Zowel met de optie Door gebruiker geactiveerd als met de optie Automatisch worden de bronnen toegevoegd aan de pagina Catalogus. Gebruikers kunnen de bronnen op de pagina Catalogus gebruiken of ze verplaatsen naar de pagina Bladwijzers. Als u echter een goedkeuringswerkstroom voor een van de apps wilt instellen, moet u Door gebruiker geactiveerd voor die app selecteren. Het activeringsbeleid dat u op deze pagina selecteert, is van toepassing op alle gebruikersrechten voor alle bronnen in de verzameling. U kunt het activeringsbeleid voor afzonderlijke gebruikers of groepen per bron aanpassen, via de applicatie of de pagina Rechten van de desktop. U wordt aanbevolen het activeringsbeleid voor de verzameling in te stellen op Door gebruiker geactiveerd als u van plan bent een goedkeuringswerkstroom in te stellen. 11 Klik op Opslaan. De verzameling is gemaakt en wordt weergegeven op de pagina Virtuele apps. 12 Als u de bronnen en rechten in de verzameling wilt synchroniseren, klikt u op Synchroniseren op de pagina Configuratie van virtuele apps. Elke keer dat bronnen of rechten in Horizon Cloud worden gewijzigd, is een synchronisatie vereist om de wijzigingen door te voeren in VMware Identity Manager. Wat nu te doen Configureer SAML-verificatie in de Horizon Cloud-tenant om vertrouwen tussen de VMware Identity Manager-service en de Horizon Cloud-tenant in te schakelen. SAML-verificatie configureren in de Horizon Cloud -tenant Nadat u een verzameling van virtuele apps voor de Horizon Cloud-tenant in de VMware Identity Managerbeheerconsole hebt gemaakt, configureert u SAML-verificatie in de Horizon Cloud-tenant. Als u meerdere Horizon Cloud-tenants integreert, zorgt u ervoor dat u SAML-verificatie in alle tenants configureert. Opmerking Voor de Horizon Cloud-tenantappliance en VMware Identity Manager geldt tijdsynchronisatie. Wanneer er geen tijdsynchronisatie is toegepast en u Horizon Cloud-desktops en - applicaties probeert te starten, verschijnt een bericht Ongeldige SAML. VMware, Inc. 68

69 Procedure 1 Selecteer het tabblad Catalogus > Webapps in de VMware Identity Manager-beheerconsole en klik vervolgens op Instellingen. 2 Klik op SAML-metagegevens onder SaaS-apps in het linkerdeelvenster. 3 Klik in het tabblad SAML-metagegevens downloaden op URL kopiëren naast de koppeling Metagegevens voor aanbieder van identiteitsbeheer. De URL, een indeling die vergelijkbaar is met wordt gekopieerd naar het klembord. 4 Meld u aan bij de Horizon Cloud-tenant. 5 Navigeer naar Instellingen > Identiteitsbeheer. 6 Klik op Nieuw. 7 Configureer de vereiste instellingen. Optie URL Identity Manager Time-out van SSO-token Datacenter Adres van tenant Beschrijving De URL van de IDP-metagegevens van VMware Identity Manager die u hebt gekopieerd. De URL heeft doorgaans de volgende indeling: (Optioneel) De duur in minuten waarna het SSO-token vervalt. De naam van het Horizon Cloud-datacenter. Selecteer de naam in de vervolgkeuzelijst. Het adres van de Horizon Cloud-tenant. Geef het zwevende IP-adres of de hostnaam van de Horizon Cloud-tenantappliance op, of het IP-adres of de hostnaam van de Unified Access Gateway. Bijvoorbeeld: mijntenant.example.com. VMware, Inc. 69

70 In Horizon Cloud op Azure worden de volgende instellingen weergegeven. Optie URL van VMware Identity Manager Time-out van SSO-token Locatie Knooppunt Datacenter Adres van tenant Beschrijving De URL van de IDP-metagegevens van VMware Identity Manager die u hebt gekopieerd. De URL heeft doorgaans de volgende indeling: (Optioneel) De duur in minuten waarna het SSO-token vervalt. Selecteer een locatie voor het filteren van de vervolgkeuzelijst Knooppunt op de knooppunten die zijn gekoppeld aan die locatie. Selecteer het knooppunt dat u wilt integreren met VMware Identity Manager. De naam van het Horizon Cloud-datacenter. Selecteer de naam in de vervolgkeuzelijst. Het adres van de Horizon Cloud-tenant. Geef het zwevende IP-adres of de hostnaam van de Horizon Cloud-tenantappliance op, of het IP-adres of de hostnaam van de Unified Access Gateway. Bijvoorbeeld: mijntenant.example.com. 8 Klik op Opslaan. Als de integratie is gelukt, is de status groen. 9 Klik op Configureren en bewerk de instellingen om te verhinderen dat gebruikers buiten VMware Identity Manager toegang krijgen. Optie Gebruik van Identity Manager afdwingen voor externe gebruikers Gebruik van Identity Manager afdwingen voor interne gebruikers Beschrijving Selecteer JA om toegang van externe gebruikers buiten IDM te blokkeren. Optie wordt alleen weergegeven als de status van Identity Manager groen is. Selecteer JA om toegang van interne gebruikers buiten IDM te blokkeren. Optie wordt alleen weergegeven als de status van Identity Manager groen is. De integratie is voltooid. Nadat u Horizon Cloud-bronnen naar VMware Identity Manager hebt gesynchroniseerd, kunt u pools van Horizon Cloud -desktops en applicaties in de VMware Identity Manager-beheerconsole weergeven en kunnen eindgebruikers de bronnen waarvoor ze rechten hebben, starten via de Workspace ONE-portal of -app. Details over pools van Horizon Cloud -desktops en - applicaties bekijken In de VMware Identity Managerbeheerconsole kunt u informatie over de gesynchroniseerde pools van Horizon Cloud-desktops en -applicaties bekijken. Procedure 1 Meld u aan op de beheerconsole. 2 Selecteer het tabblad Catalogus > Virtuele apps. 3 Klik op Elk toepassingstype en selecteer Horizon Cloud-desktops of Horizon Cloudtoepassingen. VMware, Inc. 70

71 4 Selecteer een desktopgroep of een applicatiesgroep. 5 Klik op Details. De kenmerken die van de Horizon Cloud-tenant zijn opgehaald, worden weergegeven. Raadpleeg de Horizon Cloud-documentatie voor meer informatie over deze kenmerken. Gebruikers- en groepsrechten voor Horizon Cloud - desktops en -applicaties bekijken In de VMware Identity Manager-beheerconsole kunt u de Horizon Cloud-rechten voor specifieke gebruikers en groepen bekijken. Gebruikers- en groepsrechten voor Horizon Cloud-bronnen worden ingesteld in de beheerinterface van de Horizon Cloud-tenant en kunnen niet worden gewijzigd in de VMware Identity Managerbeheerconsole. Vereisten Voor de laatste updates synchroniseert u bronnen en rechten handmatig van de Horizon Cloud-tenants naar VMware Identity Manager door op Synchroniseren te klikken voor de Horizon Cloud-verzameling op de pagina Configuratie van virtuele apps. Procedure 1 Meld u aan op de beheerconsole van VMware Identity Manager. 2 Geef de gebruikers- en groepsrechten voor Horizon Cloud-desktops en -applicaties weer. Optie Geef een lijst weer van gebruikers en groepen die rechten hebben voor een specifieke pool van Horizon Clouddesktops of -applicaties. Geef een lijst weer van rechten voor een pool van Horizon Cloud-desktops en -applicaties voor een specifieke gebruiker of groep. Actie a Klik op het tabblad Catalogus > Virtuele apps. b Klik op Elk toepassingstype > Horizon Cloud-desktops of Horizon Cloudtoepassingen. c Selecteer de groep waarvoor u de rechten wilt weergeven. Het tabblad Rechten is standaard geselecteerd. Groepsrechten en gebruikersrechten worden vermeld in aparte tabellen. a Klik op het tabblad Gebruikers en groepen. b Klik op het tabblad Gebruikers of het tabblad Groepen. c Klik op de naam van een individuele gebruiker of groep. d Klik op het tabblad Apps. Horizon Cloud-desktopgroepen en -applicatiesgroeps waarvoor de gebruiker of groep rechten heeft, worden in de lijst vermeld. Toegangsbeleid instellen voor specifieke applicaties en desktops Het ingestelde standaardtoegangsbeleid is van toepassing op alle applicaties en desktops in uw catalogus. U kunt ook toegangsbeleid voor individuele applicaties of desktoppools instellen, dat het standaardtoegangsbeleid overschrijft. VMware, Inc. 71

72 U kunt een toegangsbeleid toepassen op een of meer applicaties en desktops op de beleidspagina of het toegangsbeleid voor een specifieke applicatie selecteren op de configuratiepagina's voor applicaties. Raadpleeg de handleiding Beheer VMware Identity Manager voor meer informatie over toegangsbeleid. Procedure 1 Volg deze stappen als u via de beleidspagina een toegangsbeleid wilt toepassen op applicaties en desktops. a b c d e Navigeer naar de pagina Identiteits- en toegangsbeheer > Beheren > Beleidsregels. Klik op een beleid om het te bewerken of klik op Beleid toevoegen om een nieuw beleid te maken. Bewerk of definieer het beleid op de beleidspagina. Geef in het gedeelte IP-bereiken de IP-bereiken op waarop u de instellingen wilt toepassen. Klik op Opslaan. 2 Selecteer deze stappen als u een toegangsbeleid voor een specifieke applicatie wilt selecteren op de configuratiepagina voor de applicatie. a b c d Klik op het tabblad Catalogus > Virtuele apps. Klik op de applicatie. Klik in het linkerdeelvenster op Toegangsbeleid. Selecteer het toegangsbeleid voor de applicatie en klik op Opslaan. Gebruikers toestaan om Horizon Cloud-desktops opnieuw in te stellen Afhankelijk van hoe de instelling in Horizon Cloud is geconfigureerd, kunnen gebruikers toegewezen Horizon Cloud-desktops opnieuw instellen via Workspace ONE. Gebruikers kunnen hun desktops opnieuw instellen, bijvoorbeeld als ze niet meer reageren. De optie waarmee gebruikers hun desktops opnieuw kunnen instellen, wordt geconfigureerd in Horizon Cloud, niet in VMware Identity Manager. De instelling wordt ondersteund in VMware Identity Manager 3.2 en Connector en hogere versies. Zorg ervoor dat alle connectoren versie of hoger zijn. Alleen toegewezen Horizon Cloud-desktops kunnen opnieuw worden ingesteld via Workspace ONE. Als Horizon Cloud gebruikers toestaat om desktops opnieuw in te stellen, is de opdracht Opnieuw instellen beschikbaar voor de desktop in Workspace ONE. De opdracht wordt alleen weergegeven voor de desktops waarvoor Opnieuw instellen is toegestaan. VMware, Inc. 72

73 Een Horizon Cloud -desktop of -applicatie gebruiken Eindgebruikers kunnen Horizon Cloud-desktops en -applicaties waarvoor ze rechten hebben, uitvoeren vanuit de Workspace ONE-portal of -app. Een applicatie of desktop kan worden uitgevoerd in de Horizon Client of in een browser, afhankelijk van hoe de applicatie of desktop is geconfigureerd in de Horizon Cloud-tenant. Voor applicaties of desktops die alleen zijn geconfigureerd voor de Horizon Client, moeten gebruikers de Horizon Client op hun systemen installeren. Voor applicaties en desktops die zijn geconfigureerd voor de Horizon Client en browsers, kunnen gebruikers de startmethode selecteren. Gebruikers kunnen ook hun standaardstartvoorkeur instellen op de pagina Voorkeuren in de Workspace ONE-portal. Deze gebruikersvoorkeur overschrijft elke andere startvoorkeur die is ingesteld op beheerdersniveau. Opmerking Gebruikers kunnen geen standaardstartvoorkeur instellen in de Workspace ONE-app. Vereisten Wellicht moeten gebruikers de Horizon Client installeren, afhankelijk van hoe de applicatie of desktop is geconfigureerd in de Horizon Cloud-tenant. Zie voor ondersteunde versies van Horizon Client de VMware Product Interoperability Matrix via Procedure 1 Meld u aan bij de Workspace ONE-portal. 2 Klik op Openen in de desktop of applicatie die u wilt gebruiken, selecteer de startmethode en klik op Openen. Opmerking Afhankelijk van de manier waarop de desktop of applicatie is geconfigureerd, en uw voorkeur, moet u mogelijk de Horizon Client op uw systeem installeren. VMware, Inc. 73

74 Toegang geven tot VMware 6 ThinApp-pakketten Met VMware Identity Manager kunt u ThinApp-pakketten centraal distribueren en beheren. ThinApppakketten zijn gevirtualiseerde Windows-applicaties en worden gebruikt op Windows-systemen. Gemachtigde gebruikers die de VMware Identity Manager Desktop-applicatie hebben geïnstalleerd op hun Windows-systemen, kunnen de ThinApp-pakketten waarvoor zij rechten hebben op die Windowssystemen starten en gebruiken. In de aanpassings- en bouwprocedures van ThinApp maakt u een virtuele applicatie vanuit een Windowsapplicatie. Die gevirtualiseerde Windows-applicatie kan op een Windows-systeem worden uitgevoerd zonder dat de oorspronkelijke Windows-applicatie geïnstalleerd hoeft te zijn. Het ThinApp-pakket is de reeks virtuele applicatiebestanden die is gegenereerd door de aanpassings- en bouwprocedures van ThinApp in een Windows-applicatie. Het pakket omvat het primaire gegevensbestand en de instappuntbestanden om toegang te krijgen tot de Windows-applicatie. Niet elk ThinApp-pakket is compatibel met VMware Identity Manager. Wanneer u een Windows-applicatie vastlegt, wordt door de standaardinstellingen tijdens het ThinApp-proces voor vastleggen en bouwen een pakket gemaakt dat niet via VMware Identity Manager kan worden gedistribueerd en beheerd. U maakt een ThinApp-pakket dat VMware Identity Manager kan verspreiden en beheren door de juiste parameters in te stellen tijdens de aanpassings- en bouwprocedures. Raadpleeg de VMware ThinApp-documentatie voor uitgebreide informatie over ThinApp-functies en de juiste parameters om een pakket te maken dat compatibel is met VMware Identity Manager. Nadat u VMware Identity Manager met uw ThinApp-opslagplaats hebt geïntegreerd, kunt u in uw catalogus die ThinApp-pakketten in de opslagplaats zien die door VMware Identity Manager kunnen worden gedistribueerd en beheerd. Wanneer de ThinApp-pakketten in uw VMware Identity Manager catalogus worden weergegeven, kunt u gebruikers en groepen rechten voor die ThinApp-pakketten geven en optioneel informatie voor het volgen van licenties voor elk pakket configureren. Opmerking ThinApp-integratie wordt momenteel alleen ondersteund met de Linux-gebaseerde connector. Deze wordt niet ondersteund met de Windows-gebaseerde connector. Dit hoofdstuk omvat de volgende onderwerpen: VMware ThinApp-pakketten integreren Gebruikers en groepen rechten verlenen voor ThinApp-pakketten ThinApp-pakketten verspreiden en beheren met VMware Identity Manager VMware, Inc. 74

75 Beheerde ThinApp-pakketten bijwerken na implementatie in VMware Identity Manager ThinApp-pakketten verwijderen uit VMware Identity Manager Bestaande ThinApp-pakketten compatibel maken met VMware Identity Manager Gedeelde map wijzigen van ThinApp-pakketten Toegangsbeleid instellen voor specifieke applicaties en desktops VMware ThinApp-pakketten integreren Als u VMware Identity Manager wilt gebruiken om applicaties in VMware ThinApp te verspreiden en te beheren, moet u over een ThinApp-opslagplaats beschikken die de ThinApp-pakketten bevat, naar die opslagplaats verwijzen en de pakketten synchroniseren. Nadat de synchronisatieprocedure is voltooid, zijn de ThinApp-pakketten beschikbaar in uw VMware Identity Manager-catalogus en kunt u ze geschikt maken voor uw VMware Identity Manager-gebruikers en -groepen. ThinApp biedt virtualisatie van applicaties door een applicatie los te koppelen van het onderliggende besturingssysteem en de bibliotheken en raamwerk, en door de applicatie te bundelen in één uitvoerbaar bestand, een applicatiespakket genoemd. Als u deze pakketten wilt beheren met VMware Identity Manager, moeten de juiste opties worden ingeschakeld. In de ThinApp Setup Capturewizard kunt u bijvoorbeeld het selectievakje Beheren met Workspace aanvinken. Voor meer informatie over ThinApp-functies en hoe u uw applicaties kunt instellen voor beheer met VMware Identity Manager, raadpleegt u de VMware ThinApp-documentatie. Doorgaans voert u de stappen uit om VMware Identity Manager te verbinden met de opslagplaats en de pakketten te synchroniseren als onderdeel van de algehele instelling en configuratie van uw VMware Identity Manager-omgeving. De ThinApp-opslagplaats moet een netwerkshare zijn die toegankelijk is voor VMware Identity Manager en gebruikmaakt van een UNC-pad (Uniform Naming Convention). VMware Identity Manager wordt regelmatig met deze netwerkshare gesynchroniseerd om de metagegevens van het ThinApp-pakket te verkrijgen die VMware Identity Manager nodig heeft om de pakketten te verspreiden en te beheren. Zie VMware Identity Manager-vereisten voor ThinApp-pakketten en de opslagplaats netwerkshare. De netwerkshare kan een Common Internet File System- (CIFS) of een Distributed File System-share (DFS) zijn. De DFS-share kan een enkele Server Message Block-bestandsshare (SMB) of meerdere SMB-bestandsshares zijn, ingedeeld als Distributed File System. CIFS- en DFS-shares die worden uitgevoerd op NetApp-opslagsystemen, worden ondersteund. DFS-shares op Isilon-opslagsystemen worden ook ondersteund. VMware Identity Manager -vereisten voor ThinApp-pakketten en de opslagplaats netwerkshare Wanneer u ThinApp-applicaties vastlegt en opslaat om deze te verspreiden via VMware Identity Manager, moet aan bepaalde vereisten worden voldaan. VMware, Inc. 75

76 Vereisten voor de ThinApp-pakketten Om ThinApp-pakketten te maken of om er opnieuw een pakket van te maken die VMware Identity Manager kan beheren, moet u een versie van ThinApp gebruiken die VMware Identity Manager ondersteunt. VMware Identity Manager ondersteunt ThinApp en later. Zie voor bijgewerkte informatie over de ondersteunde versies de VMware-productinteroperabiliteitsmatrices via U moet over ThinApp-pakketten beschikken die VMware Identity Manager kan beheren. In het vastleggen-en-bouwen-proces voor ThinApp kunt u pakketten maken die VMware Identity Manager kan beheren, of pakketten maken die deze niet kan beheren. Wanneer u bijvoorbeeld de wizard ThinApp Setup Capture gebruikt om een applicatie vast te leggen, kunt u een pakket maken die VMware Identity Manager kan beheren door het selectievakje Beheren met Workspace te selecteren. Raadpleeg de VMware ThinApp-documentatie voor uitgebreide informatie over ThinApp-functies en de juiste parameters om een pakket te maken dat compatibel is met VMware Identity Manager. Voor bestaande ThinApp-pakketten kunt u de opdracht relink - h gebruiken om pakketten in te schakelen voor VMware Identity Manager. Voor informatie over het converteren van bestaande ThinApppakketten in pakketten die VMware Identity Manager kan beheren, kunt u de Beheergids voor VMware Identity Manager raadplegen. U moet de ThinApp-pakketten opslaan op een netwerkshare die voldoet aan de vereisten voor de combinatie van het type netwerkshare, toegang tot de opslagplaats en de gewenste implementatiemodus van het ThinApp-pakket afgestemd op de behoeften van uw organisatie. Vereisten voor de opslagplaats van de netwerkshare De ThinApp-pakketten moeten zich op een netwerkshare bevinden, ook wel de opslagplaats van de ThinApp-pakketten genoemd. De netwerkshare moet toegankelijk zijn via een Uniform Naming Convention (UNC)-pad vanaf elk systeem waarop de VMware Identity Manager Desktop-applicatie wordt uitgevoerd die wordt gebruikt om de ThinApp-pakketten te openen. Een netwerkshare met de naam appshare op een host met de naam server is bijvoorbeeld toegankelijk via het UNCpad \\server\appshare. De volledige gekwalificeerde hostnaam van de map netwerkshare moet oplosbaar zijn via VMware Identity Manager. De netwerkshare kan een Common Internet File System- (CIFS) of een Distributed File System-share (DFS) zijn. De DFS-share kan een enkele Server Message Block-bestandsshare (SMB) of meerdere SMB-bestandsshares zijn, ingedeeld als Distributed File System. CIFS- en DFS-shares die worden uitgevoerd op NetApp-opslagsystemen, worden ondersteund. DFS-shares op Isilon-opslagsystemen worden ook ondersteund. De netwerkshare moet voldoen aan de betreffende criteria voor het type toegang dat u configureert voor VMware Identity Manager voor toegang tot de opslagplaats van het ThinApp-pakket: toegang op basis van domeinen of toegang op basis van accounts. Het type toegang bepaalt de toegestane combinaties voor de volgende items: Of u CIFS-netwerkshare, of een DFS-netwerkshare voor de opslagplaats van het ThinApp-pakket gebruikt. VMware, Inc. 76

77 Of u VMware Identity Manager en de host van de netwerkshare aan dezelfde Active Directory-domein moet toevoegen. Of het Windows-systeem van de gebruiker moet worden toegevoegd aan het Active Directory-domein om ThinApp-pakketten te gebruiken. Of de installatiemodus van het ThinApp-pakket waarop de geïnstalleerde VMware Identity Manager Desktop-applicatie is ingesteld om gevirtualiseerde applicaties op het Windows-systeem waarop de applicatie is geïnstalleerd, te verkrijgen en uit te voeren. Of de installatiemodus van het pakket dat wordt gebruikt op het Windows-systeem van gebruiker is ingesteld tijdens het installatieproces wanneer de VMware Identity Manager Desktop-applicatie werd geïnstalleerd op dat Windowssysteem. Deze installatiemodus voor het pakket bepaalt de modus voor de implementatie van ThinApp die wordt gebruikt door dat Windows-systeem, de downloadmodus of de streamingmodus. VMware, Inc. 77

78 Toegangstype Type netwerkshare Vereisten op VMware Identity Manager Vereisten voor het Windows-systeem van gebruikers Toegang op basis van domeinen U kunt een CIFSshare gebruiken voor uw opslagplaats voor ThinApp-pakketten wanneer u toegang op basis van domeinen gebruikt. U kunt een DFSshare niet gebruiken voor toegang op basis van domeinen. Wanneer u een DFS-share gebruikt, moet u toegang op basis van accounts gebruiken. U moet VMware Identity Manager toevoegen aan het Active Directorydomein zodat deze kan worden toegevoegd aan de Windowsnetwerkshare en toegang heeft tot de pakketten. Voor meer informatie over hoe u VMware Identity Manager configureert om aan het domein te worden toegevoegd, kunt u de informatie over het configureren van Kerberos raadplegen in Installatie en configuratie van VMware Identity Manager. Opmerking Windows-verificatie is niet vereist. De netwerkshare moet verificatie en bestandsrechten ondersteunen die op computeraccounts zijn gebaseerd. VMware Identity Manager opent de netwerkshare met de computeraccount van VMware Identity Manager in het domein. De map van de netwerkshare en de bestandsrechten moeten zo worden geconfigureerd dat de combinatie van rechten leestoegang toestaat voor het computeraccount van VMware Identity Manager in het domein. Het Windows-systeem van de gebruiker moet worden toegevoegd aan het Active Directorydomein voordat gebruikers ThinApp-pakketten waarvoor zij rechten hebben, kunnen gebruiken. De volgende systemen moeten allemaal worden toegevoegd aan hetzelfde domein: Het Windows-systeem van gebruikers VMware Identity Manager De host van het station voor de netwerkshare met de ThinApp-pakketten Wanneer u toegang op basis van domeinen gebruikt, zijn de volgende installatiemodi voor ThinApp-pakketten toegestaan: COPY_TO_LOCAL. Wanneer deze installatiemodus wordt gebruikt, worden pakketten naar het client-windows-systeem gedownload. Deze installatiemodus komt overeen met het gebruik van de ThinAppdownloadmodus voor de gevirtualiseerde applicatie. Het account dat wordt gebruikt om aan te melden op het client-windowssysteem is het gebruikersaccount dat wordt gebruikt om de pakketten van de netwerkshare te kopiëren naar het client- Windows-systeem, en dat account moet rechten hebben om de pakketten te lezen en om de bestanden van de netwerkshare te kopiëren. Als het pakket is gedownload op het client-windows-systeem en de gebruiker het pakket start, wordt de gevirtualiseerde applicatie lokaal op het client-windows-systeem uitgevoerd. RUN_FROM_SHARE. Wanneer deze installatiemodus wordt gebruikt, worden pakketten niet naar het client-windowssysteem gedownload. Een gebruiker start de pakketten met de sneltoetsen op de lokale desktop, en de gevirtualiseerde applicaties worden via de netwerkshare uitgevoerd met behulp van de ThinAppstreamingmodus. Het account dat wordt gebruikt om aan te melden op het client- Windows-systeem is het gebruikersaccount VMware, Inc. 78

79 Toegangstype Type netwerkshare Vereisten op VMware Identity Manager Vereisten voor het Windows-systeem van gebruikers dat wordt gebruikt om de pakketten van de netwerkshare uit te voeren, en dat account moet rechten hebben om bestanden te lezen en uit te voeren via de netwerkshare. Opmerking RUN_FROM_SHARE is het meest geschikt voor Windows-systemen die altijd verbinding hebben met de netwerkshare van ThinApp-pakketten. Windows-systemen die het beste voldoen aan deze omschrijving zijn View-desktops omdat deze altijd verbonden zijn met hun domein. View-desktops, zwevend of stateloos, kunnen het beste RUN_FROM_SHARE gebruiken om brongebruik inherent aan het downloaden van de pakketten op het Windows-systeem, te voorkomen. Standaard is de installatiemodus COPY_TO_LOCAL ingesteld als de standaard installatiemodus wanneer u de VMware Identity Manager Desktop-applicatie installeert op een Windows-systeem door de grafische versie van het client-installatieprogramma uit te voeren. Wanneer u een andere installatiemodus als standaard installatiemodus voor de pakketten wilt instellen, moet u de client-installatie uitvoeren met de opdrachtregel. Zie de Opdrachtregelopties van installatieprogramma voor VMware Identity Manager Desktop. Belangrijk Voor de modus HTTP_DOWNLOAD moet de IDP URL bereikbaar zijn op de Windows-machine van de gebruiker. Voor de modussen RUN_FROM_SHARE en COPY_TO_LOCAL moet de ThinApp share bereikbaar zijn op de Windows-machine van de gebruiker. Toegang op basis van accounts U kunt een CIFSshare of een DFSshare gebruiken voor uw opslagplaats voor ThinApp-pakketten wanneer u toegang op basis van accounts gebruikt. U moet VMware Identity Manager configureren om een gebruiker delen-account en wachtwoord te gebruiken om toegang te krijgen tot de netwerkshare en de pakketten. Het gebruiker delen-account en wachtwoord is een willekeurige combinatie met leestoegang tot het UNC-pad naar de map netwerkshare. Het Windows-systeem van de gebruiker hoeft niet te worden toegevoegd aan het Active Directory-domein voordat gebruikers ThinApppakketten waarvoor zij rechten hebben, kunnen gebruiken. Windows-verificatie is niet vereist. Het Windows-systeem van de gebruiker, VMware Identity Manager, en de host van de netwerkshare met de ThinApp-pakketten hoeven niet te worden toegevoegd aan hetzelfde Active Directory-domein. VMware, Inc. 79

80 Toegangstype Type netwerkshare Vereisten op VMware Identity Manager Vereisten voor het Windows-systeem van gebruikers U hoeft VMware Identity Manager niet toe te voegen aan het Active Directory-domein om toegang te hebben tot de netwerkshare. Wanneer toegang op basis van accounts is geconfigureerd, zijn de volgende installatiemodi voor ThinApp-pakketten toegestaan. Als het Windows-systeem van de gebruiker Opmerking In de Beheerconsole moet u de pagina Aan domein toevoegen invullen voordat u de pagina ThinApp-pakketten kunt gebruiken. Opmerking Wanneer u NetAppdelen gebruikt, is toegang op basis van accounts een vereiste. niet aan het domein is toegevoegd, moet de client de installatiemodus HTTP_DOWNLOAD gebruiken om de gevirtualiseerde applicatie te verkrijgen. Deze installatiemodus komt overeen met het gebruik van de ThinAppdownloadmodus voor de gevirtualiseerde applicatie. VMware Identity Manager gebruikt het gebruiker delen-account om de pakketten uit de opslagplaats te halen. Als de gebruiker het Windows-systeem toevoegt aan het domein, kan de client de installatiemodus COPY_TO_LOCAL of de installatiemodus RUN_FROM_SHARE gebruiken om de ThinApp-pakketten waarvoor de gebruiker rechten heeft uit te voeren. Het account dat wordt gebruikt om aan te melden op het client-windowssysteem is het gebruikersaccount dat wordt VMware, Inc. 80

81 Toegangstype Type netwerkshare Vereisten op VMware Identity Manager Vereisten voor het Windows-systeem van gebruikers gebruikt om de pakketten van de netwerkshare te verkrijgen, en dat account moet juiste rechten hebben voor de netwerkshare. Als het Windows-systeem de ene keer wel wordt toegevoegd aan het domein en een andere keer niet, kunt u de client installeren met de modus COPY_TO_LOCAL met de optie AUTO_TRY_HTTP ingeschakeld als VMware Identity Manager is geconfigureerd voor toegang op basis van accounts. Wanneer deze configuratie wordt gebruikt, probeert de client eerst de modus COPY_TO_LOCAL te gebruiken om de pakketten te downloaden. Als op dat moment het Windows-systeem niet is toegevoegd aan het domein, mislukt het kopiëren van de pakketten. Maar wanneer de optie AUTO_TRY_HTTP is ingeschakeld, probeert de client direct HTTP te gebruiken om de pakketten te downloaden. De combinatie COPY_TO_LOCAL en AUTO_TRY_HTTP is standaard wanneer u de VMware Identity Manager Desktop-applicatie installeert op een Windows-systeem door de grafische versie van het client-installatieprogramma uit te voeren. VMware Identity Manager moet worden geconfigureerd voor toegang op basis van accounts om de pakketten succesvol te downloaden met de modus HTTP_DOWNLOAD. Belangrijk Voor de modus HTTP_DOWNLOAD moet de IDP URL bereikbaar zijn op de Windows-machine van de gebruiker. Voor de modussen RUN_FROM_SHARE en COPY_TO_LOCAL moet de ThinApp share bereikbaar zijn op de Windows-machine van de gebruiker. Bovendien, moet de opslagplaats voor ThinApp-pakketten aan de volgende criteria voldoen passend bij de beschreven situatie. Wanneer voor uw instellingen systemen moeten worden toegevoegd aan het Active Directorydomein, zorg er dan voor dat een disjuncte naamruimte voorkomt dat computers die bij dat domein horen toegang krijgen tot de netwerkshare die de host is van de ThinApp-pakketten. Een disjuncte naamruimte vindt plaats wanneer de Active Directory-domeinnaam verschilt van de DNS-naamruimte die machines in dat domein gebruiken. VMware, Inc. 81

82 Het netwerksharebestand en de bestandsrechten moeten zo worden geconfigureerd dat er leestoegang is en dat gebruikers waarvoor u de ThinApp-applicaties wilt uitvoeren via de optie COPY_TO_LOCAL of RUN_FROM_SHARE de applicaties kunnen uitvoeren. Voor bijvoorbeeld de Active Directory-gebruikersaccounts van gebruikers waarvoor u de ThinAppapplicaties in de streamingmodus wilt uitvoeren, stelt u de rechten voor Gedeelde map in op Lezen en de NTFS-rechten in op Lezen en uitvoeren zodat deze gebruikers leestoegang hebben en de applicaties kunnen uitvoeren. De instelling Lezen en uitvoeren van NTFS-rechten is vereist om een ThinApp-applicatie uit te voeren met de ThinApp-streamingmodus die overeenkomt met de installatiemodus RUN_FROM_SHARE van VMware Identity Manager Desktop. Wanneer voor uw organisatie de NTFS-rechten moeten worden ingesteld op Lezen kunnen uw gebruikers de ThinAppdownloadmodus gebruiken voor de gevirtualiseerde applicatie. De ThinApp-downloadmodus komt overeen met het installeren van de Windows-client met de installatiemodus COPY_TO_LOCAL of met de installatiemodus HTTP_DOWNLOAD. De applicaties worden naar de Windows-systemen gedownload en lokaal gestart, ongeacht welke van deze installatiemodi wordt gebruikt. Voor zowel een CIFS- als een DFS-netwerkshare geldt dat de ThinApp-pakketten moeten zijn ondergebracht in afzonderlijke submappen in een map onder de naamruimte en niet in submappen onder de naamruimte zelf, zoals \\server\appshare\thinapp1, \\server\appshare\thinapp2. Zie Maak een netwerkshare voor ThinApp-pakketten die worden beheerd door VMware Identity Manager. Maak een netwerkshare voor ThinApp-pakketten die worden beheerd door VMware Identity Manager Wanneer u de VMware ThinApp-beheermogelijkheden van VMware Identity Manager wilt inschakelen en gebruikers toestaan om ThinApp-pakketten via de catalogus te openen, moet u een netwerksharemap maken en de ThinApp-pakketten in die map opslaan. VMware Identity Manager verkrijgt de benodigde metadata over de ThinApp-pakketten via netwerkfileshare. Vereisten Verifieer of de ThinApp-pakketten voldoen aan de vereisten van VMware Identity Manager. Verifieer of u beschikt over de betreffende toegang en rechten om een netwerkfileshare te maken in uw IT-omgeving dat voldoet aan de VMware Identity Manager-vereisten voor ThinApp-pakketten. Procedure 1 Maak een netwerkshare die voldoet aan de VMware Identity Manager-vereisten voor ThinApppakketten. VMware, Inc. 82

83 2 In de netwerkshare maakt u een submap voor netwerkshare voor elk ThinApp-pakket. Doorgaans geeft u de submap een naam die overeenkomt met de naam van de ThinApp-applicatie, of geeft u aan welke applicatie in de map staat. Als de netwerkshare appshare wordt genoemd op een host met de naam server, en als de applicatie abceditor wordt genoemd, is de submap van het ThinApp-pakket \\server\appshare\abceditor. Opmerking Gebruik geen niet-ascii-tekens wanneer u uw submapnamen voor netwerkshares maakt die ThinApp-pakketten kunnen verspreiden door VMware Identity Manager te gebruiken. Niet- ASCII-tekens worden niet ondersteund. 3 Voor elk ThinApp-pakket kopieert u de bijbehorende bestanden, zoals de EXE- en DAT-bestanden, naar de submap met de naam voor de gevirtualiseerde applicatie voor dat pakket. Wanneer u de bestanden hebt gekopieerd, hebt u een set submappen en bestanden die lijken op deze bestanden: \\server\appshare\abceditor\abceditor.exe \\server\appshare\abceditor\abceditor.dat Wat nu te doen Configureer toegang via VMware Identity Manager tot ThinApp-pakketten VMware Identity Manager -toegang configureren tot ThinApppakketten Als u VMware Identity Manager wilt configureren om gebruikers toegang te geven tot ThinApp-pakketten, moet u een verzameling van virtuele apps maken die configuratiegegevens zoals het pad naar de opslaglocatie van de pakketten, de connector voor synchronisatie en het synchronisatieschema bevat. U kunt slechts één verzameling van virtuele apps maken voor alle ThinApps-integraties. Vereisten Maak een netwerkshare met de juiste configuratie en sla de ThinApp-pakketten op de juiste locatie in deze netwerkshare. Zie Maak een netwerkshare voor ThinApp-pakketten die worden beheerd door VMware Identity Manager. Verifieer of het UNC-pad naar de netwerksharemap leidt waarin de ThinApp-pakketten zijn opgeslagen. Als de connector nog niet is toegevoegd aan een domein, controleert u of u beschikt over een Active Directory-domeinnaam en de gebruikersnaam en het wachtwoord van een account in die Active Directory dat de rechten heeft om te worden toegevoegd aan het domein. Zelfs wanneer u toegang op accountbasis gebruikt, vereist Beheerconsole dat de pagina Aan domein toevoegen volledig wordt ingevuld voordat u de pagina ThinApp-pakketten kunt gebruiken. VMware, Inc. 83

84 Om toegang op basis van domeinen in te schakelen, moet u ook VMware Identity Manager toevoegen aan hetzelfde Active Directory-domein waaraan de opslagplaats van het ThinApp-pakket wordt toegevoegd. Controleer of u beschikt over een Active Directory-domeinnaam voor het domein dat de netwerkshare gebruikt en de gebruikersnaam en het wachtwoord van een account in die Active Directory dat de rechten heeft om te worden toegevoegd aan het domein. Het Active Directoryaccount wordt gebruikt om VMware Identity Manager toe te voegen aan het domein. Wanneer u toegang op basis van accounts inschakelt, verifieert u of u beschikt over een gebruikersnaam en een wachtwoord die toestemming geven om de netwerkshare te lezen. Zie VMware Identity Manager-vereisten voor ThinApp-pakketten en de opslagplaats netwerkshare. Opmerking U dient behalve toegang op basis van domeinen ook toegang op basis van accounts in te schakelen, behalve wanneer u het gebruik van ThinApp-pakketten op Windows-systemen voor alle runtimesituaties wilt beperken. Deze combinatie zorgt voor de grootst mogelijke flexibiliteit in het ondersteunen van runtimesituaties waarin gebruikers de ThinApp-pakketten waarvoor zij rechten hebben moeten gebruiken zonder dat hun Windows-systemen moeten worden toegevoegd aan het domein. In VMware Identity Manager 3.2 moet u een beheerdersrol gebruiken die de actie ThinApps beheren in de catalogusservice kan uitvoeren. Procedure 1 (Alleen Linux-gebaseerde virtual appliance van VMware Identity Manager) Als de connector nog niet is toegevoegd aan het domein, voegt u deze toe aan het Active Directory-domein. a b c d e Meld u aan op de beheerconsole. Selecteer het tabblad Identiteits- en toegangsbeheer. Klik op Installatie. Klik op de pagina Connectoren op Aan domein toevoegen in de betreffende connectorrij. Voer op de pagina Aan domein toevoegen de informatie in voor het Active Directory-domein en klik op Aan domein toevoegen. Belangrijk Gebruik geen niet-ascii-tekens wanneer u de Active Directory(AD)-domeinnaam, de AD-gebruikersnaam of het AD-wachtwoord invoert. In deze invoervelden in de Beheerconsole worden niet-ascii-tekens niet ondersteund. Optie AD-domein AD-gebruikersnaam AD-wachtwoord Beschrijving Voer de volledig gekwalificeerde domeinnaam (FQDN) van de Active Directory in. Een voorbeeld hiervan is HS.TRDOT.COM. Voer de gebruikersnaam in van een account in de Active Directory dat rechten heeft om systemen aan dat Active Directory-domein toe te voegen. Voer het wachtwoord in dat aan de AD-gebruikersnaam is gekoppeld. Dit wachtwoord wordt niet opgeslagen door VMware Identity Manager. VMware, Inc. 84

85 De pagina Aan domein toevoegen wordt vernieuwd en geeft een bericht weer dat u momenteel aan het domein bent toegevoegd. 2 Selecteer het tabblad Catalogus > Virtuele apps en klik vervolgens op Configuratie van virtuele apps. 3 Klik op Virtuele apps toevoegen en selecteer ThinApp-applicatie. 4 Voer een unieke naam voor de verzameling in. 5 Selecteer de connector waarmee u de bronnen op deze locatie wilt synchroniseren, uit de vervolgkeuzelijst Synchronisatieconnectoren. Als u meerdere connectoren hebt ingesteld voor hoge beschikbaarheid, klikt u op Connector toevoegen en selecteert u alle connectoren die worden weergegeven in de lijst. De volgorde waarin de connectoren worden vermeld, bepaalt de failovervolgorde. Belangrijk Zorg ervoor dat u alle connectoren toevoegt. Wanneer een applicatie wordt gestart met de modus HTTP_DOWNLOAD, kan de aanvraag naar een van de connectoren worden verzonden. 6 Typ het pad naar de gedeelde map waarin de ThinApp-pakketten zich bevinden, in de UNCpadindeling \\server\share\subfolder in het tekstvak Pad. Bijvoorbeeld: \\DirectoryHost\ThinAppFileShare. Geef voor DirectoryHost de hostnaam en niet het IP-adres op. Voor zowel een CIFS- als DFS-netwerkshare moet dit pad een map zijn onder de naamruimte en niet de naamruimte zelf. 7 Schakel het selectievakje in om toegang op accountbasis tot de opgeslagen ThinApp-pakketten toe te staan, en voer waarden in de tekstvakken Gebruiker delen en Wachtwoord delen in. Toegang op accountbasis is in de volgende gevallen vereist: Voor NetApp-opslagsystemen en andere merken van DFS-netwerkshares Als u de HTTP-downloadimplementatiemodus gebruikt Als u wilt dat gebruikers de ThinApp-pakketten waarvoor zij rechten hebben, kunnen gebruiken op Windows-systemen die niet zijn toegevoegd aan domeinen Optie Gebruiker delen Wachtwoord delen Beschrijving Voer de gebruikersnaam in voor een gebruikersaccount met leestoegang voor de netwerkshare. Voer het wachtwoord in dat hoort bij het gebruikersaccount Gebruiker delen. 8 Selecteer in het vervolgkeuzemenu Synchronisatiefrequentie hoe vaak u de bronnen in deze verzameling wilt synchroniseren. U kunt een planning voor regelmatig synchroniseren instellen, of u kunt handmatig synchroniseren. Als u Handmatig selecteert, klikt u op Synchroniseren op de pagina Configuratie van virtuele apps nadat u de verzameling hebt ingesteld en telkens wanneer uw ThinApp-pakketten worden gewijzigd. VMware, Inc. 85

86 9 Selecteer in de vervolgkeuzelijst Activeringstype op welke manier verpakte ThinApp-applicaties beschikbaar worden gesteld voor gebruikers in Workspace ONE. Zowel met de optie Door gebruiker geactiveerd als met de optie Automatisch worden de bronnen toegevoegd aan de pagina Catalogus. Gebruikers kunnen de bronnen op de pagina Catalogus gebruiken of ze verplaatsen naar de pagina Bladwijzers. Als u echter een goedkeuringswerkstroom voor een van de apps wilt instellen, moet u Door gebruiker geactiveerd voor die app selecteren. Het activeringsbeleid dat u op deze pagina selecteert, is van toepassing op alle gebruikersrechten voor alle bronnen in de verzameling. U kunt het activeringsbeleid voor afzonderlijke gebruikers of groepen per bron aanpassen, via de applicatie of de pagina Rechten van de desktop. U wordt aanbevolen het activeringsbeleid voor de verzameling in te stellen op Door gebruiker geactiveerd als u van plan bent een goedkeuringswerkstroom in te stellen. 10 Klik op Opslaan. De verzameling is gemaakt en wordt weergegeven op de pagina Virtuele apps. De applicaties zijn nog niet gesynchroniseerd. 11 Als u de applicaties in de verzameling wilt synchroniseren, klikt u op Synchroniseren naast de verzameling op de pagina Configuratie van virtuele apps. Elke keer dat ThinApp-applicaties of -rechten worden gewijzigd, is een synchronisatie vereist om de wijzigingen door te voeren in VMware Identity Manager. VMware Identity Manager is nu geconfigureerd zodat u groepen en gebruikers rechten voor ThinApppakketten kunt geven, en die gebruikers kunnen hun ThinApp-pakketten waarvoor zij rechten hebben gebruiken met de VMware Identity Manager Desktop-applicatie op hun Windows-systemen. Wat nu te doen Geef groepen en gebruikers rechten voor ThinApp-pakketten. Zie Beheer VMware Identity Manager voor meer informatie. Gebruikers en groepen rechten verlenen voor ThinApppakketten U kunt gebruikers en groepen rechten verlenen voor Windows-applicaties die als ThinApp-pakketten zijn vastgelegd. U kunt alleen VMware Identity Manager-gebruikers, gebruikers die via uw directoryserver zijn geïmporteerd, rechten verlenen voor ThinApp-pakketten. Wanneer u een gebruiker rechten verleent voor een ThinApp-pakket, kan de gebruiker de applicatie zien en kan de gebruiker deze starten via zijn of haar VMware Identity Manager Desktop-applicatie op het betreffende systeem. Wanneer u de rechten verwijdert, kan de gebruiker de applicatie niet zien en niet starten. In veel gevallen is de meest handige manier om gebruikers rechten te verlenen voor ThinApp-pakketten is rechten voor een ThinApp-pakket toevoegen aan een groep gebruikers. In sommige gevallen is het beter om afzonderlijke gebruikers rechten te verlenen voor een ThinApp-pakket. VMware, Inc. 86

87 Vereisten Stel een verzameling van virtuele apps in voor ThinApp-pakketten op de pagina Catalogus > Virtuele apps > Configuratie van virtuele apps. Nadat u de verzameling hebt gemaakt, synchroniseert u de ThinApp-pakketten naar VMware Identity Manager. Wanneer de ThinApp-pakketten zijn gesynchroniseerd met uw catalogus, kunt u gebruikers en groepen hiervoor rechten verlenen. Procedure 1 Meld u aan bij de Beheerconsole. VMware, Inc. 87

88 2 Verleen rechten aan gebruikers voor een ThinApp-pakket. Optie Beschrijving Open een ThinApp-pakket en verleen daar de rechten voor aan gebruikers of groepen. Open een gebruiker of een groep en voeg de rechten voor een ThinApppakket toe aan die gebruiker of groep. a b c d e f g a b c d e f g h i Klik op het tabblad Catalogus > Virtuele apps. Klik op Elk applicatietype > ThinApp-pakketten. Klik op een ThinApp-pakket om gebruikers of groepen daarvoor rechten te verlenen. Het tabblad Rechten is standaard geselecteerd. In de ene tabel worden groepsrechten weergegeven, in de andere tabel de gebruikersrechten. Klik op Groepsrecht toevoegen of op Gebruikersrecht toevoegen. Voer de namen van de groepen of van de gebruikers in. U kunt gebruikers of groepen opzoeken door een zoekteken in te vullen en de functie automatisch aanvullen de opties te laten weergeven. U kunt op bladeren klikken om de hele lijst te bekijken. Selecteer in het vervolgkeuzemenu de activeringsmethode voor het ThinApppakket. Zowel met de optie Door gebruiker geactiveerd als met de optie Automatisch worden de bronnen toegevoegd aan de pagina Catalogus. Gebruikers kunnen de bronnen op de pagina Catalogus gebruiken of ze verplaatsen naar de pagina Bladwijzers. Als u echter een goedkeuringswerkstroom voor een van de apps wilt instellen, moet u Door gebruiker geactiveerd voor die app selecteren. Klik op Opslaan. Klik op het tabblad Gebruikers en groepen. Klik op het tabblad Gebruikers of het tabblad Groepen. Klik op de naam van een individuele gebruiker of groep. Klik op het tabblad Apps. Klik op Recht toevoegen. Selecteer in het vervolgkeuzemenu Toepassingstype de optie ThinApppakketten. Schakel de selectievakjes in naast de ThinApp-pakketten waarvoor u de gebruiker of groep rechten wilt verlenen. Selecteer in de kolom IMPLEMENTATIE de activeringsmethode voor het ThinApp-pakket. Zowel met de optie Door gebruiker geactiveerd als met de optie Automatisch worden de bronnen toegevoegd aan de pagina Catalogus. Gebruikers kunnen de bronnen op de pagina Catalogus gebruiken of ze verplaatsen naar de pagina Bladwijzers. Als u echter een goedkeuringswerkstroom voor een van de apps wilt instellen, moet u Door gebruiker geactiveerd voor die app selecteren. Klik op Opslaan. De geselecteerde gebruikers of groepen hebben nu rechten om het ThinApp-pakket te gebruiken. Wat nu te doen Verifieer of de VMware Identity Manager Desktop-applicatie op de Windows-systemen van de gebruikers is geïnstalleerd. VMware, Inc. 88

89 ThinApp-pakketten verspreiden en beheren met VMware Identity Manager Voordat uw gebruikers van VMware Identity Manager hun ThinApp-pakketten kunnen uitvoeren die op hun naam zijn geregistreerd met behulp van VMware Identity Manager, moeten die gebruikers de applicatie VMware Identity Manager Desktop hebben geïnstalleerd en uitvoeren op hun Windowssystemen. ThinApp-pakketten zijn gevirtualiseerde Windows-applicaties. De ThinApp-pakketten worden verdeeld over Windows-systemen en een gebruiker die is aangemeld op het Windows-systeem kan deze ThinApppakketten die op dat Windows-systeem staan geregistreerd, starten en uitvoeren. VMware Identity Manager kan ThinApp-pakketten verspreiden en beheren die compatibel zijn met VMware Identity Manager. Om deze gevirtualiseerde applicaties met succes te starten en uit te voeren in de aangemelde Windowssessie van de gebruiker, zijn de volgende elementen vereist: Het ThinApp-pakket van de gevirtualiseerde applicatie is geregistreerd voor het gebruik van die gebruiker door VMware Identity Manager. Een specifieke DLL is beschikbaar op dat Windows-systeem. Het proces hws-desktop-client.exe wordt uitgevoerd. Wanneer een compatibel ThinApp-pakket is gemaakt, wordt deze geconfigureerd om een specifieke DLL te laden wanneer de aangemelde gebruiker de gevirtualiseerde applicatie start in de aangemelde Windows-sessie. Al die tijd probeert de gevirtualiseerde applicatie de DLL te laden. Wanneer de DLL is geladen, probeert deze met de lokaal geïnstalleerde VMware Identity Manager Desktop-applicatie te controleren of dat ThinApp-pakket op die Windows-desktop voor die gebruiker is geregistreerd. De lokaal geïnstalleerde VMware Identity Manager Desktop-applicatie bepaalt of die applicatie voor die gebruiker is geregistreerd zonder met VMware Identity Manager te communiceren. Als de applicatie op die Windowsdesktop voor die gebruiker is geregistreerd, controleert de VMware Identity Manager Desktop-applicatie wanneer deze voor het laatst is gesynchroniseerd met VMware Identity Manager. Als de VMware Identity Manager Desktop-applicatie bevestigt dat de tijd vanaf de laatste synchronisatie binnen de geconfigureerde offline respijtperiode voor de geïnstalleerde client valt, laat de client de applicatie uitvoeren. Aangezien die DLL uitsluitend beschikbaar is op het Windows-systeem als de VMware Identity Manager Desktop-applicatie is geïnstalleerd, en omdat het proces hws-desktop-client.exe wordt uitgevoerd als de VMware Identity Manager Desktop-applicatie op dat systeem wordt uitgevoerd, moet de VMware Identity Manager Desktop-applicatie op het Windows-systeem worden geïnstalleerd om de ThinApppakketten uit te voeren die door VMware Identity Manager worden verspreid en beheerd. VMware, Inc. 89

90 De VMware Identity Manager Desktop -applicatie implementeren om ThinApp-pakketten te gebruiken De VMware Identity Manager Desktop-applicatie kan worden geïnstalleerd door te dubbelklikken op het EXE-bestand van de installer, dat het uitvoerbare bestand uitvoert met behulp van opdrachtregelopties of dat een script uitvoert dat de opdrachtregelopties gebruikt. Lokale beheerdersrechten zijn vereist om de applicatie te installeren. Voor informatie over het installeren van de VMware Identity Manager Desktopapplicatie door te dubbelklikken op het EXE-bestand van de installer, raadpleegt u de VMware Identity Manager Gebruikershandleiding. De configuratie van de geïnstalleerde applicatie bepaalt hoe een ThinApp-pakket dat door VMware Identity Manager is verspreid, naar dat Windows-systeem wordt geïmplementeerd. Standaard wordt de client, wanneer de VMware Identity Manager Desktop-applicatie is geïnstalleerd door te dubbelklikken op het EXE-bestand van de installer, geconfigureerd om ThinApp-pakketten te implementeren met behulp van de implementatiemodus COPY_TO_LOCAL met ingeschakelde optie AUTO_TRY_HTTP. Deze standaard installeropties leiden tot wat een downloadimplementatiemodus wordt genoemd. Met de standaardinstellingen COPY_TO_LOCAL en AUTO_TRY_HTTP probeert de clientapplicatie eerst om de ThinApp-pakketten te downloaden door ze naar het eindpunt van het Windows-systeem te kopiëren, en als de eerste poging mislukt, probeert de clientapplicatie de ThinApppakketten te downloaden met HTTP. Als VMware Identity Manager is geconfigureerd voor op account gebaseerde toegang tot uw opslagplaats van ThinApp, kan de clientapplicatie de ThinApp-pakketten downloaden met HTTP. Nadat de ThinApppakketten zijn gedownload naar het lokale Windows-systeem, voert de gebruiker de gevirtualiseerde applicaties uit op het lokale systeem. Om te voorkomen dat de gevirtualiseerde applicaties worden gedownload naar het lokale Windowssysteem en ruimte op het Windows-systeem gebruiken, kunt u ervoor zorgen dat gebruikers de ThinApppakketten uitvoeren vanaf de netwerkshare door een zogenaamde streamimplementatiemodus te gebruiken. Om ervoor te zorgen dat gebruikers de ThinApp-pakketten uitvoeren met de streammodus, moet u de VMware Identity Manager Desktop-applicatie op de Windows-systemen installeren met behulp van het opdrachtregelinstallatieproces. De installer heeft opdrachtregelopties die u kunt gebruiken om de implementatiemodus van de runtime in te stellen voor de ThinApp-pakketten. Gebruik de installeroptie RUN_FROM_SHARE om de implementatiemodus van de runtime in te stellen om de ThinApp-pakketten te streamen. Een methode om de VMware Identity Manager Desktop-applicatie op meerdere Windows-systemen te installeren, is het gebruik van een script om de applicatie op de achtergrond op de Windows-systemen te installeren. U kunt de client op de achtergrond op meerdere Windows-systemen tegelijkertijd installeren. Opmerking Een installatie op de achtergrond geeft geen berichten of vensters weer tijdens het installatieproces. U stelt een waarde in op het script om aan te geven of de clients die door dat script zijn geïnstalleerd, ThinApp-pakketten implementeren met de ThinApp- streammodus, of de optie RUN_FROM_SHARE, of een van de downloadmodi van ThinApp, zoals de optie COPY_TO_LOCAL of HTTP_DOWNLOAD. VMware, Inc. 90

91 Het bepalen van de geschikte implementatiemodus voor ThinApp-pakketten op Windows-eindpunten De configuratie van de VMware Identity Manager Desktop-applicatie op de Windows-eindpunten bepaalt of een ThinApp-pakket dat wordt verspreid met behulp van VMware Identity Manager wordt geïmplementeerd met de ThinApp-streammodus, RUN_FROM_SHARE, of een van de downloadmodi van ThinApp, zoals de optie COPY_TO_LOCAL of HTTP_DOWNLOAD. Wanneer u het script maakt om de VMware Identity Manager Desktop-applicatie op de achtergrond op Windows-eindpunten te installeren, zoals desktopcomputers en laptops, stelt u de opties in die de implementatiemodus van het ThinApp-pakket instellen. Kies de implementatiemodus die het beste past bij de netwerkomgeving voor de geselecteerde eindpunten, door te denken aan details zoals netwerklatentie. Met de streammodus downloadt de klant, wanneer de VMware Identity Manager Desktop-applicatie met VMware Identity Manager synchroniseert, snelkoppelingen van de applicatie voor de gevirtualiseerde Windows-applicaties van de ThinApp-pakketten naar de Windows-desktop. Wanneer de gebruiker vervolgens de ThinApp-pakketten start, worden de gevirtualiseerde Windows-applicaties uitgevoerd vanaf de bestandsshare waarop de ThinApp-pakketten zich bevinden. Daarom is de streammodus geschikt voor systemen die altijd zijn verbonden aan de netwerkshare, zoals View-desktops. Met de downloadmodus moet de gebruiker, bij het eerste gebruik of de eerste update van een ThinApppakket, wachten totdat het ThinApp-pakket eerst naar het Windows-systeem is gedownload en totdat snelkoppelingen zijn gemaakt. Na de eerste download start de gebruiker de gevirtualiseerde Windowsapplicatie op het lokale Windows-systeem en voert deze uit. Belangrijk Voor niet-permanente View-desktops, ook bekend als zwevende of staatloze View-desktops, wordt u verwacht om de client in te stellen om de ThinApp-streammodus te gebruiken met behulp van de installeroptie van de opdrachtregel /v INSTALL_MODE=RUN_FROM_SHARE wanneer u de client installeert. De optie RUN_FROM_SHARE biedt de meest optimale runtime-ervaring voor het gebruik van ThinApppakketten op zwevende View-desktops. Zie Opdrachtregelopties van installatieprogramma voor VMware Identity Manager Desktop. Belangrijk Voor de modus HTTP_DOWNLOAD moet de IDP URL bereikbaar zijn op de Windowsmachine van de gebruiker. Voor de modussen RUN_FROM_SHARE en COPY_TO_LOCAL moet de ThinApp share bereikbaar zijn op de Windows-machine van de gebruiker. VMware, Inc. 91

92 Tabel 6 1. ThinApp-implementatiemodus voor de gevirtualiseerde applicaties die als ThinApp-pakketten worden vastgelegd Modus ThinApp-streammodus ThinAppdownloadmodus Beschrijving In de ThinApp-streammodus worden de gevirtualiseerde applicaties gestreamd elke keer wanneer ze worden gestart. Deze methode vermijdt het gebruik van schijfruimte op de desktop die zou worden gebruikt wanneer de gevirtualiseerde applicaties op de desktop worden gekopieerd. De desktop moet zijn verbonden met de netwerkshare van de ThinApp-pakketten, zodat de applicaties kunnen worden uitgevoerd. De volgende omgevingen kunnen de vereiste consistentie en stabiliteit leveren: View-desktops, zowel staatloze als permanente, met uitstekende connectiviteit naar de bestandsshare waarop de ThinApp-pakketten zich bevinden. Gebruikers met Windows-desktops die geen View-desktops zijn en die door meerdere gebruikers worden gebruikt. Deze situatie vermijdt de ophoping op de schijf van gedownloade gebruikerspecifieke applicaties en biedt ook snelle toegang tot applicaties zonder een vertraging te veroorzaken voor downloads die specifiek voor een gebruiker zijn. Het account dat de gebruiker gebruikt om zich aan te melden op het Windows-systeem wordt gebruikt om de ThinApp-pakketten van de netwerkshare te halen. Dat account moet de geschikte machtigingen hebben op de netwerkshare om bestanden op de netwerkshare te lezen en uit te voeren. In de downloadmodus van ThinApp worden applicaties gedownload naar het Windows-eindpunt. De gebruiker voert de gevirtualiseerde applicatie lokaal op het eindpunt uit. Mogelijk verkiest u de ThinApp-downloadmodus voor de volgende situaties: Permanente View-desktops Desktops met LAN-verbinding die periodiek offline zijn Een LAN met een slechte netwerklatentie VMware Identity Manager biedt twee vormen van de ThinApp-downloadmodus: COPY_TO_LOCAL en HTTP_DOWNLOAD. Als de client is geconfigureerd voor COPY_TO_LOCAL, moet het Windowseindpunt aan hetzelfde domein worden toegevoegd als de bestandsshare, tenzij de optie AUTO_TRY_HTTP is ingeschakeld en VMware Identity Manager is geconfigureerd voor op account gebaseerde toegang tot de netwerkshare van ThinApp-pakketten. Wanneer de optie AUTO_TRY_HTTP is ingeschakeld en VMware Identity Manager is geconfigureerd voor op account gebaseerde toegang, als het Windows-eindpunt niet is toegevoegd aan hetzelfde domein en de eerste poging om de ThinApp-pakketten te downloaden mislukt, probeert de VMware Identity Manager Desktop-applicatie automatisch de ThinApp-pakketten te downloaden met het HTTP-protocol, zoals voor de modus HTTP_DOWNLOAD. Met HTTP_DOWNLOAD hoeft het Windows-eindpunt niet aan hetzelfde domein te worden toegevoegd als de bestandsshare. De kopieer- en synchronisatietijden zijn echter bij het gebruik van HTTP_DOWNLOAD aanzienlijk langer dan wanneer u COPY_TO_LOCAL gebruikt. Belangrijk Als VMware Identity Manager niet is ingeschakeld voor op account gebaseerde toegang, werkt downloaden met het HTTP-protocol niet, zelfs als AUTO_TRY_HTTP is ingeschakeld of als de client is geconfigureerd met de optie HTTP_DOWNLOAD. Wanneer u COPY_TO_LOCAL gebruikt, wordt het account dat de gebruiker gebruikt om zich aan te melden op het Windows-systeem gebruikt om de ThinApp-pakketten van de netwerkshare te halen. Dat account moet de geschikte machtigingen hebben op de netwerkshare om bestanden op de netwerkshare te lezen en te kopiëren. Wanneer u HTTP_DOWNLOAD gebruikt, is het sharegebruikersaccount, dat u invoert in de Beheerconsole wanneer u toegang configureert van VMware Identity Manager naar de netwerkshare van de ThinApp-pakketten, het account dat wordt gebruikt om de ThinApp-pakketten te downloaden. Dat sharegebruikersaccount moet een leesmachtiging hebben op de netwerkshare van de ThinApp-pakketten om de bestanden van de netwerkshare te kopiëren. VMware, Inc. 92

93 De netwerkshare van de ThinApp-pakketten moet ook voldoen aan de geschikte vereisten voor de implementatiemodus die u instelt voor de Windows-eindpunten. Zie Installatie en configuratie van VMware Identity Manager. Offline respijtperiode en ThinApp-pakketten De offline respijtperiode is de periode waarin een gevirtualiseerde applicatie op een Windows-systeem kan worden gestart en uitgevoerd zonder dat er een synchronisatie met VMware Identity Manager wordt uitgevoerd. ThinApp-pakketten worden gevirtualiseerde Windows-applicaties, en VMware Identity Manager kan deze applicaties verspreiden op Windows-systemen. Wanneer VMware Identity Manager voor de eerste keer dat een gebruiker zich heeft aangemeld een ThinApp-pakket op het Windows-systeem verspreidt, worden de gevirtualiseerde applicaties van het pakket op dat Windows-systeem geregistreerd voor gebruik door die gebruiker. De juiste snelkoppelingen worden op het Windows-desktop geplaatst, en de gebruiker kan de gevirtualiseerde applicaties starten met behulp van de snelkoppelingen zoals bij standaardapplicaties van Windows die op dat systeem zijn geïnstalleerd. Wanneer een gebruiker een van de gevirtualiseerde applicaties start die door VMware Identity Manager in het Windows-systeem is geïmplementeerd, vraagt het ThinApp-pakket toestemming om te worden uitgevoerd via de ThinApp-agent in het systeem. De ThinApp-agent controleert de volgende voorwaarden. Controleert of de applicatie op deze Windows-desktopcomputer is geregistreerd voor de aangemelde gebruiker. Controleert of het Windows-systeem binnen de toegestane offline respijtperiode is gesynchroniseerd met VMware Identity Manager. Als aan beide voorwaarden is voldaan, geeft de ThinApp-agent de gevirtualiseerde applicatie toestemming om te worden uitgevoerd. De frequentie van hoe vaak de VMware Identity Manager Desktop-applicatie wordt gesynchroniseerd met VMware Identity Manager, wordt ingesteld door de installeroptie POLLINGINTERVAL. Standaard is de frequentie elke vijf minuten. De offline respijtperiode is standaard ingesteld op 30 dagen. Als een Windows-systeem gedurende 30 dagen op elk gewenst moment verbinding heeft kunnen maken met VMware Identity Manager via een netwerkverbinding, kan de applicatie worden gesynchroniseerd met VMware Identity Manager en kunnen gevirtualiseerde applicaties worden uitgevoerd. Als het Windows-systeem echter niet over een netwerkverbinding beschikt om verbinding te maken met VMware Identity Manager, kan de applicatie niet worden gesynchroniseerd met VMware Identity Manager. Gevirtualiseerde applicaties die op dat Windows-systeem zijn geregistreerd, kunnen worden uitgevoerd op het systeem waarmee de verbinding is verbroken tot het moment waarop de offline respijtperiode is afgelopen. VMware, Inc. 93

94 Beheerde ThinApp-pakketten bijwerken na implementatie in VMware Identity Manager Nadat u een ThinApp-pakket hebt toegevoegd aan de catalogus van uw organisatie en uw VMware Identity Manager-gebruikers rechten voor dat ThinApp-pakket hebt gegeven, kan uw organisatie dat pakket bijwerken en de gebruikers een nieuwere, of opnieuw gebouwde, versie van het ThinApppakket laten gebruiken, zonder de rechten van de gebruikers voor de huidige pakket weg te nemen en ze rechten voor het nieuwere pakket te geven. Een bijgewerkt ThinApp-pakket wordt mogelijk beschikbaar gesteld omdat er een nieuwere versie van de Windows-applicatie voor dat pakket is vrijgegeven of omdat het verpakkingsprogramma van de applicatie de waarden van de in het pakket gebruikte parameters heeft gewijzigd. ThinApp en nieuwere versies bieden een updatemechanisme voor ThinApp-pakketten die worden gebruikt in VMware Identity Manager. Dit ThinApp-updatemechanisme is anders dan andere updatemechanismen voor ThinApp-pakketten die buiten een VMware Identity Manager-omgeving worden gebruikt. Het bijgewerkte ThinApp-pakket moet zijn bijgewerkt met dit mechanisme om het bijgewerkte pakket in VMware Identity Manager te kunnen implementeren en gebruikers automatisch de nieuwere versie te laten zien. Voor ThinApp-pakketten die worden beheerd in VMware Identity Manager, worden door VMware Identity Manager twee Package.ini-parameters gebruikt om te bepalen of een pakket een bijgewerkte versie van een ander pakket is. AppID De unieke id voor het ThinApp-pakket in VMware Identity Manager. Aan alle ingangspunten (uitvoerbare bestanden) voor de applicatie van het pakket wordt dezelfde AppID toegewezen. Nadat een ThinApp-pakket is gesynchroniseerd met de VMware Identity Manager-catalogus van uw organisatie, wordt de AppID van het pakket weergegeven in de GUIDkolom op de bronpagina van het ThinApp-pakket. Deze waarde bestaat uit alfanumerieke tekens in een patroon van tekensets die zijn gescheiden door streepjes, zoals in het volgende voorbeeld: XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX VMware Identity Manager gaat ervan uit dat elk ThinApp-pakket met dezelfde AppID versies van dezelfde applicatie zijn. VersieID Het versienummer van het ThinApp-pakket. VMware Identity Manager gebruikt de VersionID om verschillende versies van het beheerde ThinApp-pakket bij te houden. U verhoogt de VersionID-waarde met één (1) stap per keer om dat ThinApp-pakket te markeren als update van een ander pakket, waarbij dezelfde AppID wordt behouden. VMware, Inc. 94

95 U plaatst het bijgewerkte pakket in een nieuwe map in de gedeelde netwerkshare die voor de beheerde ThinApp-pakketten is geconfigureerd. Raadpleeg VMware Identity Manager installeren en configureren. Wanneer VMware Identity Manager de geplande synchronisatie uitvoert met de map netwerkshare en een applicatie tegenkomt met dezelfde AppID als een andere applicatie, worden de VersionID-waarden vergeleken. Het ThinApp-pakket met de hoogste VersionID wordt gebruikt als de meest recente update. VMware Identity Manager neem automatisch de vorige gebruikersrechten op voor het ThinApp-pakket met de hoogste VersionID en sneltoetsen op de gebruikersystemen worden gesynchroniseerd voor het bijgewerkte pakket. Belangrijk De standaard ThinApp InventoryName-parameter is belangrijk voor geslaagde updates van beheerde ThinApp-pakketten. Zowel de vorige als de bijgewerkte ThinApp-pakketten moeten over dezelfde waarde voor de InventoryName-parameter beschikken. Als degene die het ThinApp-pakket maakt de InventoryName in een pakket wijzigt en vervolgens een bijgewerkt pakket maakt, moet u ervoor zorgen dat de InventoryName-waarden match voor de updates goed werken in VMware Identity Manager. Raadpleeg de ThinApp Package.ini Parameters Reference Guide voor details over de verschillende parameters die in het Package.ini-bestand van een ThinApp-pakket worden gebruikt. Een beheerd ThinApp-pakket bijwerken Het bijwerken van een ThinApp-pakket dat al wordt beheerd door VMware Identity Manager en in de catalogus van uw organisatie staat, omvat meerdere stappen. Het bijgewerkte ThinApp-pakket wordt mogelijk via een andere groep in uw organisatie aan u geleverd. Om ervoor te zorgen dat VMware Identity Manager het bijgewerkte pakket automatisch kan gebruiken in plaats van het bestaande pakket voor de gemachtigde gebruikers, moet u ervoor zorgen dat het bijgewerkte pakket is gemaakt met dezelfde AppID als het huidige pakket, een VersionID-waarde heeft die hoger is dan de VersieIDwaarde van het bestaande pakket en voor beheer is ingeschakeld door VMware Identity Manager. Vereisten Verifieer of u toegang hebt tot de locatie waar uw beheerde ThinApp-pakketten zich bevinden en of u op die locatie submappen kunt maken. Wat nu te doen In uw VMware Identity Manager-catalogus wordt de nieuwe versie van het bijgewerkte ThinApp-pakket weergegeven na de volgende ThinApp-pakketsynchronisatie. Als u de nieuwe versie op de bronnenpagina van het ThinApp-pakket wilt zien, kunt u handmatig synchroniseren via de pagina Verpakte Apps - ThinApp van de Beheerconsole. De waarden AppID en VersionID van een beheerd ThinApp-pakket verkrijgen Als u er zeker van wilt zijn dat VMware Identity Manager automatisch het bijgewerkte ThinApp-pakket gebruikt in plaats van het huidige pakket, moet het bijgewerkte ThinApp-pakket worden gemaakt met behulp van de AppID van het huidige beheerde ThinApp-pakket en een hogere VersionID-waarde dan de huidige versie. VMware, Inc. 95

96 Wanneer de Setup Capture-procedure wordt uitgevoerd om een bijgewerkt ThinApp-pakket te maken, wordt de AppID-waarde automatisch opgehaald door het Setup Capture-programma van de uitvoerbare bestanden van het bestaande ThinApp-pakket, en wordt de VersionID-waarde automatisch verhoogd. De persoon die het bijgewerkte ThinApp-pakket maakt kan echter een andere methode gebruiken om het bijgewerkte pakket te maken. Wanneer de Setup Capture-procedure niet wordt gebruikt om het bijgewerkte ThinApp-pakket te maken, moet de persoon die het pakket maakt de waarden AppID en VersionID verkrijgen van het ThinApp-pakket dat momenteel wordt beheerd door VMware Identity Manager. De waarden AppID en VersionID worden weergegeven op pagina's op de pagina met bronnen in het ThinApp-pakket in de Beheerconsole. Procedure 1 Klik op het tabblad Catalogus > Virtuele apps. 2 Klik op Elk applicatietype > ThinApp-pakketten. 3 Klik op het ThinApp-pakket om de pagina met bronnen te openen. 4 Klik op Details. 5 Noteer de waarde die wordt vermeld in het veld Versie op de pagina Details. 6 Klik op ThinApp-pakket om de pagina van het ThinApp-pakket weer te geven. 7 Noteer de waarde AppID die wordt vermeld in de kolom GUID. De waarde in de GUID-kolom is de waarde die VMware Identity Manager gebruikt om dit ThinApppakket te identificeren. Wat nu te doen De persoon die het bijgewerkte ThinApp-pakket maakt moet de stappen in Het bijgewerkte ThinApppakket maken uitvoeren. Het bijgewerkte ThinApp-pakket maken De AppID- en VersionID-waarden van het huidige beheerde ThinApp-pakket worden gebruikt om het bijgewerkte pakket te maken. Het bijgewerkte pakket gebruikt dezelfde AppID-waarde en een hogere VersionID-waarde. Soms krijgt u het bijgewerkte ThinApp-pakket van een ander team binnen uw organisatie. De persoon die het bijgewerkte ThinApp-pakket maakt, kan een van de volgende beschreven methoden gebruiken. Vereisten Verifieer of u beschikt over de AppID- en VersionID-waarden van het huidige ThinApp-pakket door de stappen uit te voeren in De waarden AppID en VersionID van een beheerd ThinApp-pakket verkrijgen. Verifieer of u over een versie van het ThinApp-programma beschikt dat compatibel is met uw versie van VMware Identity Manager. Zie voor informatie over specifieke ThinApp-versies de VMwareproductinteroperabiliteitsmatrices via VMware, Inc. 96

97 Procedure u Met een versie van het ThinApp-programma die wordt ondersteund door VMware Identity Manager, het bijgewerkte ThinApp-pakket maken aan de hand van een van de beschikbare methoden. Optie Opnieuw vastleggen met Setup Capture. Beschrijving Gebruik deze methode wanneer de projectmap voor het bestaande ThinApppakket dat wordt beheerd door VMware Identity Manager niet beschikbaar is. U hebt slechts de volgende items nodig om een bijgewerkte pakket met Setup Capture te maken: De uitvoerbare bestanden van de applicatie van het bestaande ThinApppakket Het installatieprogramma van de applicatie Setup Capture en het ThinApp-programma met een versie die wordt ondersteund door VMware Identity Manager. Selecteer tijdens het vastleggen dat het pakket moet worden beheerd met VMware Identity Manager en dat het pakket een update is van een bestaand basis-thinapp-pakket. Blader naar map met de uitvoerbare bestanden voor het ThinApp-pakket dat momenteel wordt beheerd. Ga met de cursor naar de map en niet naar de specifieke uitvoerbare bestanden. Wanneer u deze methode gebruikt, hoeft u niet eerst de AppID- of VersionIDwaarden te verkrijgen voordat u het bijgewerkte pakket maakt. Wanneer u het pakket hebt aangeduid als een update en naar de eerdere versie in Setup Capture verwijst, wordt tijdens het vastleggen de AppID van het eerdere pakket gelezen en wordt deze gebruikt voor het bijgewerkte pakket. Het proces zorgt ook voor een verhoogde VersionID voor het bijgewerkte pakket en wijst dezelfde InventoryName toe. Werkte het.ini-bestand van het pakket handmatig bij en bouw vervolgens het pakket opnieuw op. Gebruik deze methode wanneer u niet beschikt over het installatieprogramma voor de applicatie om opnieuw vast te leggen, of wanneer u het pakket moet bijwerken tot een nieuwere versie van ThinApp en u meer wilt bijwerken dan dat de opdracht relink kan verwerken. Omdat er voor het opnieuw opbouwen van een pakket wijzigingen in het bestandssysteem en het register moeten worden doorgevoerd die beschikbaar zijn in een nieuwe versie van ThinApp, zouden deze wijzigingen worden gedetecteerd bij een nieuwe opbouw, bijvoorbeeld wanneer een nieuwe ThinApp-versie een nieuwe Package.ini-parameter heeft die u wilt instellen. Om het nieuwe pakket te markeren als een update, bewerkt u de volgende VMware Identity Manager-parameters in het gedeelte [Build Options] van het Package.ini-bestand: Stel de AppID-parameter dusdanig in dat deze overeenkomt met de AppIDwaarde van de huidige beheerde ThinApp-applicatie. U kunt een waarde van genid niet opnieuw gebruiken voor AppID omdat dan een nieuwe AppIDwaarde wordt gegenereerd voor het bijgewerkte pakket waardoor VMware Identity Manager het nieuwe pakket niet herkent als een update van het bestaande pakket. Verhoog de waarde van de VersionID-parameter tot een hoger geheel getal dan het huidige beheerde ThinApp-pakket. Als voor het huidige beheerde pakket geen VersionID-parameter is ingesteld, is de waarde standaard 1 en voegt u een regel toe voor de VersionID-parameter naar Package.ini en stelt u de waarde in op 2 (VersionID = 2). VMware, Inc. 97

98 Optie Beschrijving Controleer of de InventoryName-parameter overeenkomt met de InventoryName-waarde van het pakket dat op dit moment wordt beheerd. De InventoryName-waarden voor het huidige pakket en het bijgewerkte pakket moeten overeenkomen. Gebruik de opdracht relink -h met de opties voor de App-id en de Versie-id. Gebruik deze methode in een van de volgende situaties: U beschikt niet over de projectmap voor de applicatie. U hebt het pakket al buiten een VMware Identity Manager-omgeving vastgelegd, gebouwd en getest en de stappen die alleen nog moeten worden uitgevoerd zijn het inschakelen van het bijgewerkte pakket voor VMware Identity Manager en het pakket plaatsen in de netwerkshare gebruikt door VMware Identity Manager. U werkt het pakket alleen bij om de ThinApp-runtime voor het pakket bij te werken zodat bugfixes in die nieuwere ThinApp-versie worden opgenomen. Wanneer u bijvoorbeeld de projectmap, inclusief het Package.ini-bestand, hebt gewijzigd voor een virtual appliance, het pakket opnieuw hebt opgebouwd en het hebt getest, kan het zijn dat de testomgeving niet VMware Identity Manager was. De laatste fase van het bijwerken van de applicatie is om deze in te schakelen voor VMware Identity Manager. Wanneer dit het geval is, is nu het meest eenvoudig om de relink -h-opdracht te gebruiken in plaats van opnieuw vastleggen of opnieuw opbouwen. Opmerking De ThinApp-runtime wordt altijd bijgewerkt wanneer u de opdracht relink -h uitvoert op een ThinApp-pakket. U kunt de relink-opdracht uitvoeren vanuit de directory ThinApp Program Files om hulp te krijgen bij de syntax van de opdracht. Wanneer het bestaande ThinApp-pakket al is ingeschakeld voor gebruik door VMware Identity Manager, kunt u de volgende opdracht uitvoeren om de bestaande AppID opnieuw te gebruiken en de VersionID te verhogen: relink -h -VersionID + uitvoerbare-map/*.* Waarbij de map met uitvoerbare bestanden een map is waarin de uitvoerbare bestanden zich bevinden van het ThinApp-pakket dat u wilt bijwerken. Belangrijk Wanneer u de opdracht relink gebruikt, kunt u deze niet rechtstreeks verwijzen naar de map of het pakket met uitvoerbare bestanden in de netwerkshare die wordt gebruikt voor de ThinApp-pakketten in de VMware Identity Manager-omgeving. De opdracht converteert de oude uitvoerbare bestanden naar BAK-bestanden wanneer de ThinApp-runtime wordt bijgewerkt, en schrijft zowel deze BAK-bestanden als de nieuwe bestanden naar de map. Omdat doorgaans niet naar de netwerkshare kan worden geschreven, moet u punten opnieuw koppelen aan een kopie van de map met uitvoerbare bestanden. Andere gevallen waarin de relink-opdracht wordt gebruikt, zoals een ThinApppakket inschakelen voor gebruik in een VMware Identity Manager-omgeving, worden beschreven in het kennisbankartikel van VMware via U hebt een aantal bestanden (EXE-bestanden en optioneel DAT-bestanden) voor het bijgewerkte ThinApp-pakket. VMware, Inc. 98

99 Wat nu te doen Kopieer de bestanden naar een nieuwe submap op de netwerkshare door de stappen te volgen in Een bijgewerkt ThinApp-pakket kopiëren naar de netwerkshare. Een bijgewerkt ThinApp-pakket kopiëren naar de netwerkshare Wanneer u het bijgewerkte ThinApp-pakket hebt gemaakt, kopieert u de betreffende bestanden naar een nieuwe submap op hetzelfde niveau als de bestaande submap op de netwerkshare. Vereisten Verifieer of u over de bestanden beschikt voor het bijgewerkte ThinApp-pakket nadat u de stappen in Het bijgewerkte ThinApp-pakket maken hebt gevolgd en de VersionID-waarde hebt verhoogd. Verifieer of u toegang hebt tot de netwerkshare en submappen kunt maken waarnaar u de bestanden kunt kopiëren. Procedure 1 In de map netwerkshare maakt u een nieuwe submap aan voor het bijgewerkte ThinApp-pakket. Behoud de bestaande submap voor het ThinApp-pakket dat u bijwerkt en wijzig de inhoud hiervan niet. Wanneer de volgende geplande synchronisatie hebt plaatsgevonden, negeert VMware Identity Manager het oudere pakket wanneer deze vaststelt dat het nieuwe pakket dezelfde AppID-waarde en een hogere VersionID-waarde heeft. Doorgaans geeft u de submap een naam die overeenkomt met de naam van de ThinApp-applicatie, of geeft u aan welke applicatie in de map staat. Als de netwerkshare appshare wordt genoemd op een host met de naam server, en als de applicatie abceditor wordt genoemd, is de submap van het ThinApp-pakket \\server\appshare\abceditor. Opmerking Gebruik geen niet-ascii-tekens wanneer u uw submapnamen voor netwerkshares maakt die ThinApp-pakketten kunnen verspreiden door VMware Identity Manager te gebruiken. Niet- ASCII-tekens worden niet ondersteund. 2 Kopieer de EXE- en DAT-bestanden voor het bijgewerkte ThinApp-pakket in die nieuwe submap. 3 (Optioneel) Als u niet wilt wachten op de volgende geplande synchronisatie kunt u handmatig VMware Identity Manager synchroniseren door middel van de netwerkshare met behulp van de pagina Verpakte apps - ThinApp van de Beheerconsole. Wanneer VMware Identity Manager de geplande synchronisatie uitvoert met de map netwerkshare en een applicatie tegenkomt met dezelfde AppID als een andere applicatie, worden de VersionIDwaarden vergeleken. Het ThinApp-pakket met de hoogste VersionID wordt gebruikt als de meest recente update. VMware Identity Manager neem automatisch de vorige gebruikersrechten op voor het ThinApp-pakket met de hoogste VersionID en sneltoetsen op de gebruikersystemen worden gesynchroniseerd voor het bijgewerkte pakket. VMware, Inc. 99

100 ThinApp-pakketten verwijderen uit VMware Identity Manager U kunt een ThinApp-pakket permanent verwijderen uit VMware Identity Manager. Wanneer u een ThinApp-pakket uit VMware Identity Manager verwijdert, verwijdert u het pakket permanent. Het is dan niet meer mogelijk om gebruikers rechten voor het ThinApp-pakket toe te kennen, behalve wanneer u het weer toevoegt aan VMware Identity Manager. Procedure 1 Verwijder de submap van het ThinApp-pakket uit het bestand netwerkshare waarmee de opslagplaats van het ThinApp-pakket is verbonden met VMware Identity Manager. 2 Verwijder de applicatie uit VMware Identity Manager. a b c d e f Meld u aan bij de Beheerconsole. Klik op het tabblad Catalogus > Virtuele apps. Klik op Elk applicatietype > ThinApp-pakketten. Zoek het ThinApp-pakket op dat u wilt verwijderen. Klik op de naam van het ThinApp-pakket om de bijbehorende bronpagina weer te geven. Klik op Verwijderen, lees het bericht en klik op Ja wanneer u ermee akkoord gaat. Het ThinApp-pakket staat niet in uw VMware Identity Manager-catalogus. Bestaande ThinApp-pakketten compatibel maken met VMware Identity Manager U kunt een ThinApp-pakket dat niet compatibel is met VMware Identity Manager converteren naar een pakket dat VMware Identity Manager kan verspreiden en beheren. U kunt een van de volgende methoden gebruiken: gebruik de ThinApp opdracht relink, bouw het pakket opnieuw op op basis van de ThinApp-projectbestanden nadat u het Package.ini-bestand van het project hebt bewerkt en de noodzakelijke VMware Identity Manager-parameters hebt toegevoegd, of pas de juiste VMware Identity Manager-instellingen die zijn geselecteerd in het ThinApp Setup Capture-programma toe in de Windows-applicatie. Opmerking Een ThinApp-pakket dat compatibel is met VMware Identity Manager kan alleen worden gebruikt voor een VMware Identity Manager-implementatie. Alleen VMware Identity Manager-gebruikers die de VMware Identity Manager Desktop-applicatie hebben geïnstalleerd, kunnen deze geschikte pakketten starten en uitvoeren. Wanneer het ThinApp-pakket wordt uitgevoerd, wordt er een DLL met een specifieke naam geladen, en wordt die DLL gebruikt om de rechten van de gebruiker voor VMware Identity Manager te verifiëren. Omdat de DLL in de VMware Identity Manager Desktop-applicatie is geïnstalleerd, kunnen dergelijke ThinApp-pakketten alleen worden uitgevoerd op Windows-systemen waarop de VMware Identity Manager Desktop-applicatie is geïnstalleerd. VMware, Inc. 100

101 Vereisten Controleer of u toegang hebt tot de noodzakelijke items voor de door u gekozen methode. Als u de opdracht relink gebruikt, controleert u of u over de uitvoerbare bestanden voor het ThinApp-pakket dat u wilt converteren en de ThinApp applicatie relink.exe beschikt. Als u het Package.ini-bestand van het ThinApp-project bijwerkt en het pakket opnieuw opbouwt, controleert u of u over de benodigde projectbestanden beschikt voor het ThinApp programma om het pakket opnieuw op te bouwen. Als u de Windows-applicatie aanpast, controleert u of u over het ThinApp Setup Captureprogramma en het installatieprogramma van de applicatie beschikt, en over andere items die het programma nodig heeft om de applicatie aan te passen. Zie de Gebruikershandleiding van ThinApp voor meer informatie. Controleer of u toegang hebt tot de ThinApp-netwerkshare die wordt gebruikt door VMware Identity Manager en of u submappen kunt maken en er bestanden naartoe kunt kopiëren. VMware, Inc. 101

102 Procedure u Maak met behulp van een versie van het ThinApp-programma dat wordt ondersteund door VMware Identity Manager een compatibel ThinApp-pakket door middel van een van de beschikbare methoden. Optie Gebruik de opdracht relink -h. Beschrijving De relink -h -opdracht gebruiken is de eenvoudigste methode. U moet het programma relink.exe van ThinApp of hoger gebruiken. Gebruik deze methode in een van de volgende situaties: U kunt de methode voor opnieuw opbouwen niet gebruiken, omdat u geen projectmap hebt. Setup Capture gebruiken om de applicatie aan te passen, zou te lang duren. U beschikt niet over de vereiste applicatie-installer om de applicatie aan te passen met Setup Capture. Opmerking De ThinApp-runtime wordt altijd bijgewerkt wanneer u de opdracht relink -h uitvoert op een ThinApp-pakket. U kunt de relink-opdracht uitvoeren vanuit de directory ThinApp Program Files om hulp te krijgen bij de syntax van de opdracht. Als u een compatibel pakket wilt maken, gebruikt u de basissyntax van de opdracht: relink -h uitvoerbare-map/*.* Hierbij is uitvoerbare-map een map die de uitvoerbare bestanden bevat van het ThinApp-pakket dat u wilt bijwerken. Belangrijk Wanneer u de opdracht relink gebruikt, kunt u deze niet rechtstreeks verwijzen naar de map of het pakket met uitvoerbare bestanden in de netwerkshare die wordt gebruikt voor de ThinApp-pakketten in de VMware Identity Manager-omgeving. De opdracht converteert de oude uitvoerbare bestanden naar BAK-bestanden wanneer de ThinApp-runtime wordt bijgewerkt, en schrijft zowel deze BAK-bestanden als de nieuwe bestanden naar de map. Omdat doorgaans niet naar de netwerkshare kan worden geschreven, moet u punten opnieuw koppelen aan een kopie van de map met uitvoerbare bestanden. Andere gebruiksscenario's voor de relink-opdracht worden behandeld in het artikel in de VMware-kennisdatabase op Werk het bestand Package.ini handmatig bij met de noodzakelijke parameters, en bouw vervolgens het pakket opnieuw op. Gebruik deze methode wanneer u niet over de applicatie-installer voor de aanpasprocedure beschikt, wanneer u wilt voorkomen dat de instelling vooraf moet worden uitgevoerd, wat vereist is voor het aanpassen van de applicatie, of wanneer u meer functies van een nieuwere ThinApp-versie wilt toevoegen dan wat de relink-opdracht kan bieden. Omdat er voor het opnieuw opbouwen van een pakket wijzigingen in het bestandssysteem en het register moeten worden doorgevoerd die beschikbaar zijn in een nieuwe versie van ThinApp, zouden deze wijzigingen worden gedetecteerd bij een nieuwe opbouw, bijvoorbeeld wanneer een nieuwe ThinApp-versie een nieuwe Package.ini-parameter heeft die u wilt instellen. VMware, Inc. 102

103 Optie Beschrijving Voeg in het gedeelte [Build Options] van het Package.ini-bestand de volgende parameters toe: ;--- VMware Identity Manager Parameters --- AppID=genid NotificationDLLs=hzntapluginlugin.dll hzntaplugin.dll is de DLL die de ThinApp-runtime aanroept om de rechten van de VMware Identity Manager-gebruiker voor het gebruik van de gevirtualiseerde applicatie te controleren. Optioneel kunt u de HorizonOrgURL-parameter invoegen en deze instellen op uw volledig gekwalificeerde VMware Identity Manager-domeinnaam. Zie Installatie en configuratie van VMware Identity Manager. Pas deze aan met behulp van Setup Capture en selecteer de noodzakelijke VMware Identity Manager-instellingen. Gebruik deze methode wanneer u de voorkeur geeft aan het aanpassen van de applicatie in plaats van een van de overige methoden te gebruiken. Als u een compatibel pakket wilt gebruiken met behulp van ThinApp Setup Capture, selecteert u de juiste instellingen in de wizard om het pakket te beheren met VMware Identity Manager tijdens de aanpassingsprocedure. Zie de Gebruikershandleiding van ThinApp voor meer informatie over de aanpassingsprocedure. U hebt een reeks bestanden (EXE-bestanden, en eventueel DAT-bestanden) voor een ThinApp-pakket dat VMware Identity Manager kan verspreiden en beheren. Wat nu te doen Zie Maak een netwerkshare voor ThinApp-pakketten die worden beheerd door VMware Identity Manager voor de stappen om ThinApp-pakketten toe te voegen aan de netwerkshare. Gedeelde map wijzigen van ThinApp-pakketten Wanneer u VMware Identity Manager toegang tot uw ThinApp-pakketten hebt geconfigureerd, kan uw ITomgeving dusdanig wijzigen dat uw ThinApp-pakketten op een nieuwe locatie staan. Werk in de beheerconsole het pad naar de nieuwe locatie bij wanneer een dergelijke situatie zich voordoet. Vereisten Controleer of de nieuwe gedeelde locatie netwerkshare voldoet aan de vereisten voor een netwerkshare, zoals beschreven in VMware Identity Manager-vereisten voor ThinApp-pakketten en de opslagplaats netwerkshare. Procedure 1 Meld u aan bij de Beheerconsole. 2 Selecteer het tabblad Catalogus > Virtuele apps en klik vervolgens op Configuratie van virtuele apps. 3 Klik op de naam van de ThinApp-verzameling. VMware, Inc. 103

104 4 Wijzig de waarde in het tekstvak Pad naar de nieuwe gedeelde map waar de ThinApp-pakketten staan in UNC-padindeling. 5 (Optioneel) Wanneer de vorige netwerkshare een CIFS-share was en de nieuwe een DFS-share is, selecteert u het selectievakje Toegang op basis van accounts inschakelen en voert u de naam en het wachtwoord van een gebruiker in die lees-toegang heeft voor die netwerkshare. 6 Klik op Opslaan. Toegangsbeleid instellen voor specifieke applicaties en desktops Het ingestelde standaardtoegangsbeleid is van toepassing op alle applicaties en desktops in uw catalogus. U kunt ook toegangsbeleid voor individuele applicaties of desktoppools instellen, dat het standaardtoegangsbeleid overschrijft. U kunt een toegangsbeleid toepassen op een of meer applicaties en desktops op de beleidspagina of het toegangsbeleid voor een specifieke applicatie selecteren op de configuratiepagina's voor applicaties. Raadpleeg de handleiding Beheer VMware Identity Manager voor meer informatie over toegangsbeleid. Procedure 1 Volg deze stappen als u via de beleidspagina een toegangsbeleid wilt toepassen op applicaties en desktops. a b c d e Navigeer naar de pagina Identiteits- en toegangsbeheer > Beheren > Beleidsregels. Klik op een beleid om het te bewerken of klik op Beleid toevoegen om een nieuw beleid te maken. Bewerk of definieer het beleid op de beleidspagina. Geef in het gedeelte IP-bereiken de IP-bereiken op waarop u de instellingen wilt toepassen. Klik op Opslaan. 2 Selecteer deze stappen als u een toegangsbeleid voor een specifieke applicatie wilt selecteren op de configuratiepagina voor de applicatie. a b c d Klik op het tabblad Catalogus > Virtuele apps. Klik op de applicatie. Klik in het linkerdeelvenster op Toegangsbeleid. Selecteer het toegangsbeleid voor de applicatie en klik op Opslaan. VMware, Inc. 104

105 VMware Identity Manager 7 Desktop configureren Voordat uw VMware Identity Manager-gebruikers de ThinApp-pakketten die aan hun zijn toegewezen kunnen uitvoeren met VMware Identity Manager, moet de VMware Identity Manager Desktop-applicatie op hun Windows-systemen zijn geïnstalleerd en zijn geactiveerd. De VMware Identity Manager Desktop-applicatie kan worden geïnstalleerd door dubbel te klikken op het uitvoerbare bestand van het installatieprogramma en de Installatiewizard te gebruiken, door het uitvoerbare bestand uit te voeren met de opties van de opdrachtregel, of door een script uit te voeren dat de opties van de opdrachtregel gebruikt. Lokale beheerdersrechten zijn vereist om de applicatie te installeren. De configuratie van de VMware Identity Manager Desktop-applicatie op de Windows-eindpunten bepaalt of een ThinApp-pakket dat wordt verspreid met behulp van VMware Identity Manager wordt geïmplementeerd met de ThinApp-streammodus, RUN_FROM_SHARE, of een van de downloadmodi van ThinApp, zoals de optie COPY_TO_LOCAL of HTTP_DOWNLOAD. Wanneer u het script maakt om stil VMware Identity Manager Desktop te installeren op Windows-endpoints zoals desktops en laptops, stelt u de opties in die de implementatiemodus van het ThinApp-pakket instellen. Kies de implementatiemodus die het beste past bij de netwerkomgeving voor de geselecteerde eindpunten, door te denken aan details zoals netwerklatentie. Belangrijk Voor de modus HTTP_DOWNLOAD moet de IDP URL bereikbaar zijn op de Windowsmachine van de gebruiker. Voor de modussen RUN_FROM_SHARE en COPY_TO_LOCAL moet de ThinApp share bereikbaar zijn op de Windows-machine van de gebruiker. Opmerking Wanneer er nog een browservenster open staat tijdens het installeren van de VMware Identity Manager Desktop-applicatie, kunnen zich problemen voordoen wanneer ThinApp-pakketten via de gebruikersportal worden gestart. Sluit alle browservenster voordat u de applicatie installeert, of start uw browsers direct na het installeren van de applicatie opnieuw op. Zie ThinApp-pakketten kunnen niet worden gestart vanaf de gebruikersportal. Dit hoofdstuk omvat de volgende onderwerpen: Opdrachtregelopties van installatieprogramma voor VMware Identity Manager Desktop De applicatie VMware Identity Manager Desktop met identieke instellingen installeren op meerdere Windows-systemen VMware, Inc. 105

106 Voeg installatiebestanden van VMware Identity Manager Desktop toe aan virtual appliances van VMware Identity Manager. De opdrachtregelapplicatie hws-desktop-ctrl.exe gebruiken Opdrachtregelopties van installatieprogramma voor VMware Identity Manager Desktop U kunt verschillende opties instellen voor de applicatie VMware Identity Manager Desktop wanneer u het betreffende installatieprogramma uitvoert via de opdrachtregel of een implementatiescript. Beschikbare opdrachtregelopties voor het installatieprogramma VMware Identity Manager Desktop Wanneer u het.exe-bestand voor het installatieprogramma voor de clientapplicatie hebt gedownload op een systeem met Windows, kunt u een lijst met installatieopties bekijken door de volgende opdracht uit te voeren: VMware-Identity-Manager-Desktop-n.n.n-nnnnnnn /? waarbij n.n.n-nnnnnnn de versie en het versienummer van het bestand vertegenwoordigen. Er wordt een dialoogvenster weergegeven met de beschikbare installatieopties voor het installeren van de clientapplicatie door middel van de opdrachtregel of een implementatiescript. Tabel 7 1. Opdrachtregelopties installatieprogramma Optie installatieprogra mma Waarde Beschrijving /? Toont de opdrachtregelopties voor het installatieprogramma. /a Voert een administratieve installatie uit. Raadpleeg de Documentatie voor het Windowsinstallatieprogramma voor meer informatie. /a volledig pad naar bestaande administratieve installatie Voert een patch uit voor een bestaande administratieve installatie. /s Verbergt het initialisatiedialoogvenster tijdens de installatie. Gebruik /s /v/qn om in de stille modus te installeren. In de stille modus worden tijdens de installatie geen meldingen, dialoogvenster of prompts weergegeven. U kunt deze optie met name gebruiken wanneer u een implementatiescript aanmaakt om het installatieprogramma uit te voeren. /v sleutelwaardeparen Een parameterset om door te geven aan het installatieprogramma, gespecificeerd als sleutelwaardeparen. Gebruik de indeling key=value. Deze argumenten configureren de runtime-opties voor de ThinApp-pakketten en voor de VMware Identity Manager Desktop in het algemeen. /c Verwijdert informatie over de installatieregistratie. VMware, Inc. 106

107 Tabel 7 1. Opdrachtregelopties installatieprogramma (Vervolgd) Optie installatieprogra mma Waarde Beschrijving /l [volledig pad naar logboekbestand] Legt logboekinformatie gedetailleerd vast en slaat deze op in het gespecificeerde logboekbestand. Wanneer u geen logboekbestand specificeert, wordt een standaard logboek in %TEMP% gebruikt. /x Pakt het installatieprogramma uit in de map %TEMP%. Sleutelwaardeparen voor de optie /v Voor de installatieprogrammaoptie /v kunt u de volgende sleutelwaardeparen gebruiken. VMware, Inc. 107

108 Tabel 7 2. Sleutels voor de opdrachtregeloptie /v van het installatieprogramma Sleutel Waarde Beschrijving WORKSPACE_SE RVER INSTALL_MODE Hostnaam of URL van de VMware Identity Managerservice Een van de volgende: COPY_TO_LOCAL HTTP_DOWNLOAD RUN_FROM_SHARE Levert de VMware Identity Manager service-hostnaam of URL zodat de applicatie VMware Identity Manager Desktop met de service kan communiceren. HTTPS is het vereiste protocol. Plaats de waarde tussen aanhalingstekens. Gebruik de volgende notatie: WORKSPACE_SERVER=" of WORKSPACE_SERVER="VMwareIdentityManagerHostName" Bijvoorbeeld: WORKSPACE_SERVER=" WORKSPACE_SERVER="myserver" Stelt de implementatiemodus in voor hoe de applicatie VMware Identity Manager Desktop ThinApp-pakketten verkrijgt in runtime. ThinApp-pakketten zijn gevirtualiseerde Windows-applicaties. De ThinApp-pakketten bevinden zich op een netwerkshare die is geïntegreerd met VMware Identity Manager. COPY_TO_LOCAL: De pakketten waarvoor de gebruiker rechten heeft, worden gedownload naar het client Windows-systeem met behulp van een bestandskopie. Wanneer de gebruiker een ThinApp-pakket start, wordt de gevirtualiseerde applicatie op dat systeem uitgevoerd. Voordat de gebruiker voor de eerste keer het ThinApp-pakket met rechten downloadt en gebruikt, en om de pakketten verder te synchroniseren met het client Windowssysteem, moet eerst het client Windows-systeem worden toegevoegd aan hetzelfde Active Directory-domein waaraan de netwerkshare van ThinApppakketten is toegevoegd. Het gebruikersaccount dat wordt gebruikt om zich aan te melden op het Windows-systeem, is het account dat wordt gebruikt om de ThinApp-pakketten van de netwerkshare te verkrijgen. Dat account moet de geschikte machtigingen hebben op de netwerkshare om bestanden op de netwerkshare te lezen en te kopiëren. Belangrijk Voor de modus COPY_TO_LOCAL moet de ThinApp share bereikbaar zijn vanaf het Windows-systeem van de gebruiker. HTTP_DOWNLOAD: De pakketten waarvoor de gebruiker rechten heeft, worden gedownload naar het client Windows-systeem met behulp van het HTTP-protocol. Wanneer de gebruiker een ThinApp-pakket start, wordt de gevirtualiseerde applicatie op dat systeem uitgevoerd. De applicatie VMware Identity Manager Desktop gebruikt het VMware Identity Managersysteemaccount van de gebruiker voor verificatie bij VMware Identity Manager om de lijst met de pakketten waarvoor de gebruiker rechten heeft, te downloaden. Het account gebruiker delen in de Beheerconsole voor het inschakelen van toegang op basis van accounts voor de netwerkshare van ThinApp-pakketten, is het account dat wordt gebruikt door VMware Identity Manager om toegang te krijgen tot de ThinApp-pakketten in de opslagplaats. Voor dat account gebruiker delen voor VMware Identity Manager zijn leesrechten nodig voor de netwerkshare. Het account dat de gebruiker heeft gebruikt om zich aan te melden op het client Windows-systeem en het VMware Identity Manager-systeemaccount van de gebruiker hoeven geen rechten te hebben voor de netwerkshare. Het client Windows-systeem hoeft niet te worden toegevoegd aan hetzelfde domein waartoe de ThinApp-pakketten voor de netwerkshare is toegevoegd. VMware, Inc. 108

109 Tabel 7 2. Sleutels voor de opdrachtregeloptie /v van het installatieprogramma (Vervolgd) Sleutel Waarde Beschrijving Standaard neemt deze downloadmethode meer tijd in beslag dan andere modi. Het voordeel van deze modus is dat het client Windows-systeem niet hoeft te worden toegevoegd aan het Active Directory-domein om de gevirtualiseerde applicatie te verkrijgen en uit te voeren. Belangrijk Om de optie HTTP_DOWNLOAD te laten werken, moet de integratie van de ThinApp-pakketten in VMware Identity Manager worden geconfigureerd voor toegang op basis van accounts. Zie Installatie en configuratie van VMware Identity Manager. Belangrijk Bij VMware Identity Manager 2.6 en later op Windows 2008 R2 of Windows 7, werkt de optie HTTP_DOWNLOAD alleen wanneer u TLS 1.0 in VMware Identity Manager of TLS 1.1 of 1.2 op systemen met Windows 2008 R2 of Windows 7 inschakelt. Om TLS 1.0 in VMware Identity Manager in te schakelen, kunt u Knowledge Base-artikel raadplegen. Om TLS 1.1 of 1.2 op een systeem met Windows in te schakelen, kunt u de documentatie van Microsoft raadplegen via Belangrijk Voor de modus HTTP_DOWNLOAD moet de IDP URL bereikbaar zijn vanaf het Windows-systeem van de gebruiker. RUN_FROM_SHARE: De gevirtualiseerde applicatie wordt gestreamd naar het client Windows-systeem via de netwerkshare wanneer de gebruiker het ThinApp-pakket start. De optie RUN_FROM_SHARE is het meest geschikt voor Windows-systemen die altijd zijn verbonden met de netwerkshare waar de ThinApp-pakketten zich bevinden omdat de ThinApp-pakketten niet op het Windows-systeem staan en de gevirtualiseerde applicaties alleen worden uitgevoerd als het Windows-systeem verbinding kan maken met de netwerkshare. Het client Windows-systeem moet worden toegevoegd aan hetzelfde Active Directory-domein waaraan de netwerkshare met de ThinApppakketten is toegevoegd. Het gebruikersaccount dat wordt gebruikt om zich VMware, Inc. 109

110 Tabel 7 2. Sleutels voor de opdrachtregeloptie /v van het installatieprogramma (Vervolgd) Sleutel Waarde Beschrijving aan te melden op het Windows-systeem, is het account dat wordt gebruikt om de ThinApp-pakketten van de netwerkshare te verkrijgen. Dat account moet de geschikte machtigingen hebben op de netwerkshare om bestanden op de netwerkshare te lezen en uit te voeren. Belangrijk Voor de modus RUN_FROM_SHARE moet de ThinApp share bereikbaar zijn vanaf de Windows-machine van de gebruiker. De standaardwaarde is COPY_TO_LOCAL. Voor alle modi geldt dat voor de netwerkshare de juiste rechten voor bestanden en delen moeten zijn geconfigureerd. Zie Installatie en configuratie van VMware Identity Manager. Belangrijk Wanneer u VMware Identity Manager Desktop in zwevende Viewdesktops installeert, gebruikt u de optie RUN_FROM_SHARE om te voorkomen dat de ThinApp-pakketten op dergelijke stateloze View-desktopsystemen worden gekopieerd. Wanneer de applicatie VMware Identity Manager Desktop is geïnstalleerd met een van deze configuraties, moet het gebruikersaccount waarmee wordt aangemeld op het Windows-systeem de juiste rechten voor bestanden en delen hebben op de netwerkshare om de ThinApp-pakketten te kunnen verkrijgen: De optie RUN_FROM_SHARE De optie COPY_TO_LOCAL zonder dat ook de optie AUTO_TRY_HTTP is ingeschakeld en toegang op basis van accounts geconfigureerd in VMware Identity Manager POLLING_INTERV AL Frequentie in seconden Stelt de frequentie in seconden in van de synchronisatie tussen de geïnstalleerde VMware Identity Manager Desktop-applicatie en VMware Identity Manager om te controleren op nieuwe ThinApp-pakketten of rechten. Wanneer deze waarde niet wordt opgegeven, geldt de standaardwaarde van 300 seconden (5 minuten). Bijvoorbeeld: POLLING_INTERVAL=600 ENABLE_AUTOUP DATE 0 of 1 Schakelt de automatische updatecontrole in of uit, en downloadt activiteiten. Wanneer deze is ingeschakeld, controleert de geïnstalleerde VMware Identity Manager Desktop-applicatie automatisch of er een meer recente applicatie beschikbaar is die kan worden gedownload. Wanneer er een nieuwere versie beschikbaar is, downloadt de VMware Identity Manager Desktop-applicatie de nieuwere versie automatisch en update zichzelf. Deze optie is standaard ingeschakeld. Stel de waarde van deze variabele in op 0 om de automatische update uit te schakelen. Wanneer deze waarde niet wordt opgegeven, geldt de standaardwaarde 1. Voor het installeren van automatische updates, zijn beheerdersrechten vereist. VMware, Inc. 110

111 Tabel 7 2. Sleutels voor de opdrachtregeloptie /v van het installatieprogramma (Vervolgd) Sleutel Waarde Beschrijving SHARED_CACHE 0 of 1 Bepaalt of de cache van het ThinApp-pakket zich in een algemene map op het Windows-systeem bevindt waarop de clientapplicatie wordt geïnstalleerd. Stel de waarde van deze variabele in op 1 om te specificeren dat alle gebruikersaccounts op het Windows-systeem een algemene cachelocatie delen. Standaard is %ProgramData%\VMware\Identity Manager Desktop\thinapp de algemene map. Wanneer deze waarde niet wordt gespecificeerd, geldt de standaardwaarde 0 en krijgt elke Windows-gebruikersaccount een eigen cache. De standaardlocatie hiervan is %LOCALAPPDATA%\VMware\Identity Manager Desktop\thinapp. Opmerking Wanneer u een gedeelde cache specificeert, verwijdert de VMware Identity Manager Desktop-applicatie ThinApp-pakketten niet automatisch uit deze gedeelde cache. Omdat SHARED_CACHE=1 aangeeft dat alle gebruikersaccounts op het Windows-systeem dezelfde locatie delen, moeten de pakketten op de gedeelde locatie blijven zodat gebruikers met rechten deze kunnen gebruiken, zelfs als u de rechten intrekt van een gebruiker. Wanneer u de rechten van een gebruiker voor een ThinApp-pakket intrekt, maakt de VMware Identity Manager Desktop-applicatie de registratie van dat pakket voor die gebruiker ongedaan. Andere gebruikers met rechten op dat Windows-systeem kunnen het ThinApp-pakket blijven gebruiken. U kunt de algemene cache handmatig verwijderen om ruimte vrij te maken als er geen gebruikersaccounts op dat Windows-systeem zijn met rechten om de ThinApp-pakketten te gebruiken. Elk ThinApp-pakket heeft een eigen map onder de cachelocatie. CACHE_DIR Pad naar map Stelt de locatie in waar ThinApp-pakketten lokaal in de cache zullen worden geplaatst als de installatiemodus HTTP_DOWNLOAD of COPY_TO_LOCAL wordt gebruikt. Deze waarde wordt per systeem en niet per gebruiker ingesteld, dus u moet omgevingsvariabelen gebruiken zoals %LOCALAPPDATA%, om gebruikersspecifieke locaties te selecteren. Maak van het teken % altijd een escapeteken op de opdrachtregel om directe expansie te voorkomen. Bijvoorbeeld: CACHE_DIR=^%LOCALAPPDATA^%\cache AUTO_TRY_HTTP 0 of 1 Wanneer de VMware Identity Manager Desktop-applicatie is geïnstalleerd met de optie COPY_TO_LOCAL en toegang op basis van accounts is geconfigureerd voor VMware Identity Manager, bepaalt de optie AUTO_TRY_HTTP of de client automatisch moet proberen om de ThinApp-pakketten voor de gebruiker met rechten te downloaden via het HTTP-protocol, zoals gebeurt bij de optie HTTP_DOWNLOAD, wanneer de eerste downloadpoging mislukt. Deze optie is standaard ingeschakeld. Stel de waarde van deze optie in op 0 wanneer u niet wilt dat het HTTP-protocol wordt gebruikt om te downloaden. Belangrijk Om de optie AUTO_TRY_HTTP te laten werken, moet de integratie van de ThinApp-pakketten in VMware Identity Manager worden geconfigureerd voor toegang op basis van accounts. Zie VMware Identity Manager-vereisten voor ThinApp-pakketten en de opslagplaats netwerkshare. VMware, Inc. 111

112 Tabel 7 2. Sleutels voor de opdrachtregeloptie /v van het installatieprogramma (Vervolgd) Sleutel Waarde Beschrijving INSTALL_MODULE S MIGRATE_ACTION thinapp Een van de volgende: MOVE COPY NONE Een door komma's gescheiden lijst met te installeren modules. Momenteel is alleen de thinapp-module beschikbaar. Wanneer de oude Workspace for Windows-applicatie is geïnstalleerd, migreert het installatieprogramma data en instellingen van de oude applicatie naar de nieuwe. De standaardwaarde is MOVE. De volgende instellingen worden verplaatst, gekopieerd of genegeerd, afhankelijk van de waarde die u specificeert. Gecachte ThinApp-pakketten Gedownloade ThinApp-pakketten worden gekopieerd van de Workspace for Windows-cache, %LOCALAPPDATA%\VMware\Horizon ThinApp\PackageCache naar de nieuwe cachelocatie %LOCALAPPDATA%\VMware\Identity Manager Desktop\thinapp. Namen van mappen in de cachemap worden gewijzigd. Belangrijk Eigenschappen die tijdens de installatie zijn ingesteld voor VMware Identity Manager hebben prioriteit over gemigreerde waarden voor die eigenschappen. Wanneer bijvoorbeeld de INSTALL_MODE in Workspace for Windows is ingesteld op COPY_TO_LOCAL en u hebt tijdens het installeren van Identity Manager Desktop /v INSTALL_MODE=HTTP_DOWNLOAD gespecificeerd, wordt INSTALL_MODE ingesteld op HTTP_DOWNLOAD. Voorbeeld: De VMware Identity Manager Desktop - opdrachtregelopties voor het installatieprogramma gebruiken Als uw VMware Identity Manager-instantie een URL met heeft en VMware Identity Manager is geconfigureerd voor toegang op basis van accounts voor netwerkshare delen van uw ThinApp-pakketten, en u de VMware Identity Manager Desktop-applicatie stil wilt installeren op meerdere desktops van die VMware Identity Manager-instantie met deze opties: De installatieoptie ThinApp ingesteld op HTTP_DOWNLOAD omdat u verwacht dat deze Windowssystemen waarschijnlijk niet worden toegevoegd aan het domein. VMware Identity Manager is op de juiste manier geconfigureerd voor toegang op basis van accounts tot de netwerkshare met de ThinApp-pakketten. De client controleert elke 60 seconden via VMware Identity Manager op nieuwe pakketten en rechten. Zou u een script aanmaken dat de volgende opdracht oproept: VMware-Identity-Manager-Desktop-n.n.n-nnnnnnn.exe /s /v/qn WORKSPACE_SERVER=" INSTALL_MODE=HTTP_DOWNLOAD POLLING_INTERVAL=60 waarbij u het gedeelte n.n.n-nnnnnnn van de bestandsnaam vervangt zodat deze overeenkomt met de naam van uw gedownloade VMware Identity Manager Desktop-installatieprogramma. VMware, Inc. 112

113 Om de applicatie VMware Identity Manager Desktop op meerdere Windows-systemen te implementeren waarbij dezelfde configuratie-instellingen worden toegepast op al die systemen, kunt u een script implementeren dat de VMware Identity Manager Desktop-applicatie installeert met de installeropties van de opdrachtregel. Belangrijk Foutberichten worden niet op het scherm weergegeven wanneer u VMware Identity Manager Desktop in de stille modus implementeert. Om te controleren op fouten tijdens een stille installatie, bekijkt u de map %TEMP% en controleert u of er nieuwe vminst.xxxxxx.log-bestanden zijn. In deze bestanden worden de foutberichten voor een mislukte stille installatie weergegeven. De applicatie VMware Identity Manager Desktop met identieke instellingen installeren op meerdere Windowssystemen Dit implementatiescenario wordt standaard gebruikt voor Windows-systemen die View-desktops zijn. Zie GUID EC18-4EE7-AD9D-13B7CC6FEF44#GUID EC18-4EE7- AD9D-13B7CC6FEF44 voor een omschrijving van instellingen die worden gebruikt voor niet-persistente View-desktops, ook wel zwevende of stateloze desktops genoemd. Vereisten Verifieer of op de Windows-systemen Windows-besturingssystemen zijn geïnstalleerd die worden ondersteund voor de versie van de VMware Identity Manager Desktop-applicatie die u installeert. Zie de Gebruikersgids voor VMware Identity Manager of de informatie over de versie. Verifieer of op de Windows-systemen ondersteunde browsers zijn geïnstalleerd. Wanneer u de mogelijkheid wilt hebben om een opdracht uit te voeren om vertrouwd te raken met de beschikbare opties voordat u het implementatiescript maakt, verifieert u of u over een Windowssysteem beschikt waarop u die opdracht kunt uitvoeren. De opdracht om een lijst met opties weer te geven is alleen beschikbaar op een Windows-systeem. Zie Opdrachtregelopties van installatieprogramma voor VMware Identity Manager Desktop. Procedure 1 Haal het uitvoerbare bestand van het VMware Identity Manager Desktop-installatieprogramma op en zoek dat uitvoerbare bestand op het systeem op waarvan u het installatieprogramma stil wilt uitvoeren. Een methode voor het verkrijgen van het uitvoerbare bestand is om het te downloaden via de downloadpagina van uw VMware Identity Manager-systeem. Wanneer u uw VMware Identity Manager-systeem hebt ingesteld om het installatieprogramma van de Windowsapplicatie te verkrijgen via de downloadpagina, kunt u het uitvoerbare bestand downloaden door de URL van de downloadpagina te openen in een browser. VMware, Inc. 113

114 2 Maak een implementatiescript dat voldoet aan de behoeften van uw organisatie met behulp van de opdrachtregelopties van het installatieprogramma. Voorbeelden van scripts die u kunt gebruiken zijn Active Directory-groepsbeleidscripts, aanmeldscripts, VB-scripts, batchbestanden, SCCM, enzovoort. Wanneer bijvoorbeeld uw VMware Identity Manager-instantie de URL heeft en u de Windows-client stil wilt installeren op Windows-systemen waarvan u verwacht dat deze buiten het domein worden gebruikt, met de ThinApp-implementatiemodus ingesteld op de downloadmodus, en dat de VMware Identity Manager Desktop-applicatiessynchronisatie met de server iedere 60 seconden plaatsvindt, maakt u een script dat de volgende opdracht oproept: VMware-Identity-Manager-Desktop-n.n.n-nnnnnnn.exe /s /v /qn WORKSPACE_SERVER=" INSTALL_MODE=HTTP_DOWNLOAD POLLING_INTERVAL=60 waarbij u het gedeelte n.n.n-nnnnnnn van de bestandsnaam vervangt zodat deze overeenkomt met de naam van uw gedownloade bestand. 3 Voer het implementatiescript uit voor de Windows-systemen. Wanneer de stille installatie is gelukt, wordt de VMware Identity Manager Desktop-applicatie geïmplementeerd op de Windows-systemen. Gebruikers die zijn aangemeld op deze Windows-systemen hebben toegang via die systemen tot de assets waarvoor zij rechten hebben. Opmerking Een ThinApp-pakket waarvoor een gebruiker rechten heeft, wordt gestreamd of gedownload en in de cache geplaatst op het Windows-systeem van de gebruiker wanneer het pollinginterval is verstreken. Als gevolg daarvan kunnen gebruikers het ThinApp-pakket zien dat wordt weergegeven wanneer zij zich aanmelden op de VMware Identity Manager-gebruikersportal. Het ThinApp-pakket wordt pas gestart wanneer de client de applicatie synchroniseert bij het volgende pollinginterval. Wat nu te doen Verifieer of VMware Identity Manager Desktop goed is geïnstalleerd op de Windows-systemen door sommige standaard gebruikerstaken uit te voeren. Voeg installatiebestanden van VMware Identity Manager Desktop toe aan virtual appliances van VMware Identity Manager. Wanneer nieuwe versies van VMware Identity Manager Desktop worden uitgegeven, kopieert en installeert u het zip-bestand van de downloadpagina van VMware naar elke virtual appliance van VMware Identity Manager in uw implementatie. U voert de opdracht check-client-updates.pl uit om de installatiebestanden te implementeren en de Tomcat-service op elke virtual appliance te herstarten. VMware, Inc. 114

115 Vereisten Gebruikers moeten beheerdersrechten hebben op hun computers om de applicatie VMware Identity Manager Desktop te installeren en automatisch bij te werken. Als gebruikers geen beheerdersrechten hebben, kunt u softwaredistributieprogramma's gebruiken om de applicatie voor uw gebruikers te verspreiden en bij te werken. Plan het toevoegen van deze installatiebestanden aan de virtual appliances van de VMware Identity Manager tijdens een onderhoudsvenster, omdat de virtual appliance opnieuw wordt gestart, waardoor de gebruikerstoegang kan worden onderbroken. Procedure 1 Download het zip-bestand van de VMware Identity Manager Desktop van de downloadpagina van My VMware op een computer die toegang heeft tot de virtual appliance van de VMware Identity Manager. 2 Kopieer het zip-bestand naar een tijdelijke locatie in de virtual appliance. Bijvoorbeeld: scp filen.n.n-nnnnnnn.zip root@identitymanager-va.com:/tmp/ 3 Meld u aan op de virtual appliance als rootgebruiker. 4 Pak het nieuwe zip-bestand uit en installeer het in de directory Downloads. /usr/local/horizon/scripts/check-client-updates.pl --install --clientfile /tmp/file.n.n.nnnnnn.zip Dit script pakt het bestand automatisch uit en kopieert het installatiebestand van de VMware Identity Manager Desktop voor Windows-computers naar de directory /opt/vmware/horizon/workspace/webapps/root/client. Het script werkt automatisch de directory /opt/vmware/horizon/workspace/webapps/root/client/cds bij, en werkt de URLparameterwaarde bij voor de downloadlink. 5 Start de Tomcat-service opnieuw op de virtual appliance. 6 Herhaal deze stappen voor elke virtual appliance van de VMware Identity Manager in uw omgeving. Gebruikers kunnen de Identity Manager Desktopapplicatie downloaden van hun VMware Identity Manager-accounts of via de downloadlink De Identity Manager Desktopapplicaties van de gebruikers worden automatisch bijgewerkt wanneer ze de nieuwe versie downloaden. De opdrachtregelapplicatie hws-desktop-ctrl.exe gebruiken De VMware Identity Manager Desktop-applicatie omvat een opdrachtregelapplicatie, hws-desktopctrl.exe, die u kunt gebruiken voor het uitvoeren van activiteiten met betrekking tot het gebruik van ThinApp-pakketten op het Windows-systeem van de gebruiker. Tijdens het installatieproces voor de VMware Identity Manager Desktop-applicatie wordt hws-desktopctrl.exe geïnstalleerd in de HorizonThinApp-map in de Windows-directory waarin de VMware Identity Manager Desktop-applicatie is geïnstalleerd. VMware, Inc. 115

116 Als u de applicatie hws-desktop-ctrl.exe gebruikt om een van diens ondersteunde opdrachten uit te voeren, moet u de volgende indeling gebruiken. hws-desktop-ctrl.exe command options Opdracht hws-desktop-ctrl.exe recheck hws-desktop-ctrl.exe set InstallMode=install_mode hws-desktop-ctrl.exe authorize guid=thinapp_guid path=package_path Beschrijving Met deze opdracht worden onmiddellijk de rechten gecontroleerd van de ThinApppakketten die betrekking hebben op het gebruikersaccount dat is aangemeld bij de VMware Identity Manager Desktop-applicatie. Alle recent gemachtigde of bijgewerkte ThinApp-pakketten worden gesynchroniseerd. Met deze opdracht wordt de ThinApp-implementatiemodus gewijzigd die voor ThinApppakketten op dit Windows-systeem wordt gebruikt. Omdat via deze opdracht de registersleutels worden gewijzigd die bij de ThinApp-implementatiemodus horen, kunnen alleen beheerders met de juiste registermachtigingen de installatiemodus wijzigen met behulp van deze opdracht. Beschikbare waarden voor install_mode zijn: CopyToLocal RunFromShare HttpDownload Met deze opdracht wordt geverifieerd of een ThinApp-pakket kan worden gestart. Met deze opdracht wordt niet het ThinApp-pakket gestart. Geef de GUID van het ThinApppakket en het pad naar het uitvoerbare bestand van het pakket op. Als u de ThinAppdownloadmodus gebruikt voor de pakketten op het Windows-clientsysteem, is het pad naar de lokale cacherootmap. Dit is hetzelfde pad als het pad naar de hoofdmap van de opslagplaats. Een voorbeeld: hws-desktop-ctrl.exe authorize guid= 436E1D7D-552C-4F DB1B05D30394 path="filezilla Client 3.3.2/FileZilla.exe" U kunt de GUID, het applicatiespad en de naam van het uitvoerbare bestand van het ThinApp-pakket zien op de pagina Bronnen in de Beheerconsole. hws-desktop-ctrl.exe quit hws-desktop-ctrl.exe launch app=package_path url=launch_url Via deze opdracht krijgt de VMware Identity Manager Desktop-applicatie de opdracht om op de juiste manier af te sluiten. Deze opdracht wordt gebruikt om een ThinApp-pakket handmatig te starten, waarbij package_path het pad naar het uitvoerbare bestand van het pakket is en launch_url is de VMware Identity Manager-protocol-URL voor dat pakket, in de indeling horizon://package_path. Een voorbeeld: hws-desktop-ctrl.exe launch app="filezilla Client 3.3.2/FileZilla.exe" url="horizon://filezilla Client 3.3.2/FileZilla.exe" Deze opdracht wordt normaal gesproken niet gebruikt door eindgebruikers, omdat ze hun ThinApp-pakketten met rechten kunnen starten vanuit hun Workspace ONE-portal. Deze opdracht wordt normaal gesproken gebruikt voor debugging. VMware, Inc. 116

117 Toegang geven tot 8 gepubliceerde Citrix-bronnen U kunt uw Citrix-implementatie met VMware Identity Manager integreren om Workspace ONE-gebruikers toegang te geven tot gepubliceerde Citrix-bronnen. Dit hoofdstuk omvat de volgende onderwerpen: Overzicht van de integratie van Citrix gepubliceerde bronnen Vereiste onderdelen voor Citrix-integratie Ontwerp voor integratie op hoog niveau Vereisten voor Citrix-integratie Citrix-serverfarms configureren in VMware Identity Manager Starten van Citrix-bron in VMware Identity Manager configureren Instellingen voor VMware Identity Manager configureren voor Citrix-integratie Impact van upgrade op integratie van gepubliceerde Citrix-bronnen Overzicht van de integratie van Citrix gepubliceerde bronnen U kunt Workspace ONE-gebruikers toegang geven tot gepubliceerde Citrix-bronnen door uw Citriximplementatie te integreren met VMware Identity Manager. Gepubliceerde Citrix-bronnen zijn applicaties en desktops binnen Citrix XenApp- en XenDesktop-serverfarms. Desktops worden ook wel gepubliceerde Citrix-leveringsgroepen genoemd. U beheert gepubliceerde Citrix-applicaties en -desktops in de Citrix-beheerinterface. Ook stelt u gebruikers- en groepsrechten in de Citrix-interface in, niet in de VMware Identity Manager-service. U moet deze gebruikers en groepen via Active Directory synchroniseren naar de VMware Identity Managerservice voordat u gaat integreren met de Citrix-serverfarms. Als u Citrix-serverfarms gaat integreren met VMware Identity Manager, kunt u een of meer verzamelingen van virtuele apps in de VMware Identity Manager-beheerconsole maken. De verzamelingen bevatten de configuratiegegevens voor de serverfarms evenals de synchronisatie-instellingen. U kunt een synchronisatieplanning voor elke verzameling instellen om bronnen en rechten van de Citrixserverfarms regelmatig te synchroniseren naar de VMware Identity Manager-service. VMware, Inc. 117

118 Nadat u de Citrix-serverfarms hebt geïntegreerd, kunt u de gesynchroniseerde bronnen en rechten bekijken in de VMware Identity Manager-beheerconsole. U kunt ook ICA-sessie-instellingen bewerken, zoals de instellingen die resolutie of compressie beheren. U kunt de instellingen algemeen, voor alle Citrix-bronnen in de VMware Identity Manager-catalogus of voor afzonderlijke Citrix-bronnen configureren. Eindgebruikers kunnen gepubliceerde Citrix-applicaties en -desktops starten in de Workspace ONE-portal of -app. Ze installeren Citrix Receiver op hun systemen en apparaten om toegang te krijgen tot bronnen waarvoor ze rechten hebben. Opmerking VMware Identity Manager ondersteunt Citrix-implementaties met Citrix NetScaler. Ondersteunde versies VMware Identity Manager ondersteunt Citrix XenApp 5.0, 6.0, 6.5 en 7.x en XenDesktop 7.x. VMware Identity Manager ondersteunt Citrix StoreFront API 2.6 en hoger. Ondersteunde besturingssystemen voor de Integration Broker, het VMware Identity Manageronderdeel dat communiceert met de Citrix-serverfarm, zijn Windows Server 2008 R2, Windows Server 2012, Windows Server 2012 R2 en Windows Server Versievereisten voor Integration Broker: Versie van VMware Identity Manager of Connector Ondersteunde versie van Integration Broker VMware Identity Manager VMware Identity Manager Connector (connector uitgebracht met VMware Identity Manager 3.2) 3.2 VMware Identity Manager VMware Identity Manager Connector (connector uitgebracht met VMware Identity Manager 3.1) 3.1 VMware Identity Manager VMware Identity Manager Connector (connector uitgebracht met VMware Identity Manager 3.0) VMware Identity Manager of lager VMware Identity Manager Connector of lager of lager of lager Opmerking Voor gebruik van de Citrix StoreFront API is Integration Broker of hoger vereist. Voor XenApp of XenDesktop 7.x is Integration Broker 2.6 of hoger vereist. Voor gebruik van de NetScaler-functie is Integration Broker 2.4 of hoger vereist. Opmerking Het gebruik van de nieuwste beschikbare versie van VMware Identity Manager en de bijbehorende onderdelen wordt aanbevolen. VMware, Inc. 118

119 Vereiste onderdelen voor Citrix-integratie Als u een Citrix-implementatie wilt integreren in de VMware Identity Manager-service, hebt u de volgende onderdelen nodig. Een VMware Identity Manager-implementatie die op locatie is geïnstalleerd. Een Integration Broker-instantie geïnstalleerd op een ondersteunde Windows-server op locatie. De Integration Broker, een onderdeel van VMware Identity Manager, is het onderdeel dat communiceert met Citrix-serverfarms. U kunt de Integration Broker downloaden via Een Citrix-implementatie op locatie. Terwijl u de onderdelen implementeert, zorgt u ervoor dat u aan deze vereisten voldoet: De VMware Identity Manager-service moet kunnen communiceren met de Integration Broker. Als u meerdere instanties van de serviceappliance implementeert, zorgt u ervoor dat ze allemaal kunnen communiceren met de Integration Broker. De Integration Broker moet kunnen communiceren met de Citrix-serverfarm. Opmerking Het gebruik van de nieuwste beschikbare versie van VMware Identity Manager en de bijbehorende onderdelen wordt aanbevolen. Ontwerp voor integratie op hoog niveau VMware Identity Manager gebruikt de Integration Broker en andere onderdelen om gepubliceerde Citrixbronnen te synchroniseren naar VMware Identity Manager en om de bronnen te starten in de Workspace ONE-portal of -app. Synchronisatie van gepubliceerde Citrix-bronnen en -rechten VMware Identity Manager synchroniseert gepubliceerde Citrix-applicaties en -desktops, en gebruikersrechten, van de Citrix-serverfarm met de VMware Identity Manager-service. U kunt een synchronisatieschema instellen om de bronnen en rechten met regelmatige intervallen te synchroniseren. De Citrix-farm is de enige bron van waarheid wat betreft alle ondersteunde bewerkingen in VMware Identity Manager. U beheert de bronnen en verleent gebruikers rechten voor die bronnen in Citrix. Wanneer bronnen of rechten worden toegevoegd, gewijzigd of verwijderd in de Citrix-farm, wordt de informatie in VMware Identity Manager bijgewerkt na een synchronisatie. VMware, Inc. 119

120 Diagram van architectuur voor synchronisatie Workspace ONE Citrix Receiver Receiver-client HTML5-ontvanger Receiver voor Web (browser) VMware Identity Managerconfiguratie Citrix-onderdelen Connector 1 Integration Broker PowerShell 2 StoreFront Controller XML-server VMware Identity Managerservice Sessiehost Sessiehost Sessiehost Active Directory Citrixconfiguratie Gebruikers en groepen worden via de VMware Identity Manager Connector gesynchroniseerd van uw bedrijfsdirectory naar de VMware Identity Manager-service. Gepubliceerde Citrix-bronnen en -rechten worden van de Citrix-serverfarm naar VMware Identity Manager gesynchroniseerd met de connector, Integration Broker en PowerShell SDK. Gepubliceerde Citrix-applicaties en -desktops starten VMware Identity Manager gebruikt het onderdeel Integration Broker en de Citrix Web Interface SDK of Citrix StoreFront REST API om gepubliceerde Citrix-applicaties te starten in de Workspace ONE-portal of -app. U kunt interne en externe toegang tot de gepubliceerde Citrix-bronnen configureren. Eindgebruikers moeten Citrix Receiver op hun systemen of apparaten installeren om de applicaties en desktops te starten. VMware, Inc. 120

121 Diagram met startarchitectuur (interne toegang) Workspace ONE 5 ICAbestand Citrixontvanger 1 4 VMware Identity Managerservice 2 3 Connector Integration Broker Citrix-onderdelen Webinterface SDK/ StoreFront API 6 REST API ICA-bestand verifiëren en aanvragen StoreFront Controller XML-server STA-server Sessiehost Sessiehost Sessiehost Citrixconfiguratie 1 Een gebruiker start een gepubliceerde Citrix-applicatie of -desktop in de Workspace ONE-portal of - app. 2 De aanvraag wordt verzonden naar de VMware Identity Manager-service, -connector en Integration Broker. 3 De Integration Broker communiceert via de Web Interface SDK of StoreFront REST API met de Citrixserverfarm voor verificatie en om het ICA-bestand aan te vragen. 4 Het ICA-bestand wordt opgehaald en doorgegeven aan de Workspace ONE-portal of -app. 5 Het ICA-bestand wordt doorgegeven aan de Citrix Receiver. 6 De Citrix Receiver start de applicatie of desktop. VMware, Inc. 121

122 Diagram met startarchitectuur (externe toegang) Workspace ONE 5 ICAbestand Citrixontvanger 1 4 VMware Identity Managerservice 2 3 Connector Integration Broker Citrix-onderdelen Webinterface SDK/ StoreFront API 6 REST API ICA-bestand verifiëren en aanvragen StoreFront Controller XML-server Sessiehost Sessiehost STA-server Sessiehost 7 NetScaler 8 Citrixconfiguratie 1 Een gebruiker start een gepubliceerde Citrix-applicatie of -desktop in de Workspace ONE-portal of - app. 2 De aanvraag wordt verzonden naar de VMware Identity Manager-service, -connector en Integration Broker. 3 De Integration Broker communiceert via de Web Interface SDK of StoreFront REST API met de Citrixserverfarm voor verificatie en om het ICA-bestand aan te vragen. 4 Het ICA-bestand wordt opgehaald en doorgegeven aan de Workspace ONE-portal of -app. 5 Het ICA-bestand wordt doorgegeven aan de Citrix Receiver. 6 Citrix Receiver communiceert met NetScaler. 7 NetScaler communiceert met de Citrix STA-server met het STA-ticket en ontvangt de informatie van de Citrix-sessieserver. 8 NetScaler communiceert met de Citrix-sessiehostserver en maakt een sessie voor het starten van de applicatie. Opmerking In versie 7.x is Citrix VDA-server de Citrix-sessiehostserver. In versie 6.5 is dit de Citrix Worker-server. VMware, Inc. 122

123 StoreFront REST API of Web Interface SDK gebruiken voor het starten De Integration Broker kan de Citrix Web Interface SDK en de Citrix StoreFront REST API gebruiken om met de Citrix-implementatie te communiceren voor het starten van applicaties en desktops. Wanneer de StoreFront REST API wordt gebruikt, fungeert de Integration Broker als REST-client. De Web Interface SDK en de StoreFront REST API worden gebruikt voor verificatie en genereren het ICA-bestand vanuit de Citrix-implementatie. U kunt opgeven welke optie moet worden gebruikt door het selectievakje StoreFront gebruiken in of uit te schakelen op de Citrix-configuratiepagina in de VMware Identity Manager-beheerconsole. Een instantie van de Integration Broker kan zowel de Web Interface SDK als de StoreFront REST API gebruiken. Als u wilt communiceren met één Citrix-farm die de Web Interface SDK gebruikt en een andere Citrix-farm die de StoreFront REST API gebruikt, schakelt u het selectievakje StoreFront gebruiken zo nodig in of uit. Als u de optie StoreFront REST API wilt gebruiken, die beschikbaar is in VMware Identity Manager en hoger, zorgt u ervoor dat is voldaan aan de volgende vereisten. Gebruik StoreFront API 2.6 of hoger. Installeer Integration Broker of hoger. Controleer of StoreFront wordt ondersteund door de XenApp- of XenDesktop-versie die u gebruikt. Zorg ervoor dat de Integration Broker kan communiceren met de StoreFront-server. Wanneer u de StoreFront REST API inschakelt, communiceert de Integration Broker met de StoreFront-server om het ICA-bestand te genereren. Schakel HTTP Basic-verificatie in als verificatiemethode in de Citrix StoreFront-store. Dit is alleen vereist voor interne toegang. Voorzichtig Als u HTTP Basic-verificatie niet inschakelt, mislukt de verificatie. VMware, Inc. 123

124 Opmerking Als u de StoreFront REST API wilt gebruiken, moet u extra bestanden downloaden of kopiëren naar uw installatie. Vereisten voor Citrix-integratie Voordat u gegevens van Citrix-serverfarm configureert in de VMware Identity Manager-beheerconsole, moet u bepaalde vereiste taken voltooien. U moet de Integration Broker, een VMware Identity Manageronderdeel, implementeren en configureren op een ondersteunde Windows-server en Citrix PowerShell Remoting instellen om communicatie tussen de Integration Broker en de Citrix-serverfarm mogelijk te maken. Taken op hoog niveau omvatten het volgende: De Windows-server voorbereiden op de Integration Broker-installatie. Functies en onderdelen toevoegen. Herdistribueerbaar pakket voor Microsoft Visual J# 2.0 installeren. Microsoft J# 2.0 is niet vereist als u de Citrix Storefront REST API in plaats van de Citrix Web Interface SDK wilt gebruiken om verbinding te maken met de Citrix-serverfarm. Integration Broker installeren. De Integration Broker downloaden en installeren. De instellingen voor IIS-beheer voor de Integration Broker configureren. HTTPS-bindingen voor de Integration Broker instellen. VMware, Inc. 124

125 Citrix PowerShell Remoting instellen om externe aanroepen tussen de Integration Broker-server en de Citrix-serverfarm mogelijk te maken. Citrix PowerShell SDK op de Integration Broker-server installeren. PowerShell Remoting op de Citrix-servers (alleen Citrix 6.0 en 5.0) inschakelen. Citrix Web Interface SDK DLL-bestanden downloaden en kopiëren. Citrix Web Interface SDK is niet vereist als u de Storefront ReST API wilt gebruiken om verbinding te maken met de Citrix-serverfarm. U kunt de volgende video bekijken voor een overzicht van het proces. Integration Broker voor gepubliceerde Citrix-applicaties en -desktops installeren ( bctid=ref:video_integration_broker_citrix) Over het implementeren van de Integration Broker De Integration Broker is een onderdeel van VMware Identity Manager dat wordt gebruikt voor communicatie met de Citrix-serverfarm. U installeert de Integration Broker op locatie op een ondersteunde Windows-server. Volg deze richtlijnen wanneer u de Integration Broker wilt implementeren. U kunt de Integration Broker installeren in Windows Server 2016, Windows Server 2012 R2, Windows Server 2012 en Windows Server 2008 R2. Tabel 8 1. Serververeisten voor Integration Broker Vereiste Opmerkingen Windows Server 2016, Windows Server 2012 R2, Windows Server 2012 of Windows Server 2008 R2 met dual-core processor 4 GB RAM 30 GB De opslagruimte voor het Windows-besturingssysteem is hierbij inbegrepen. Versievereisten voor Integration Broker: Versie van VMware Identity Manager of Connector Ondersteunde versie van Integration Broker VMware Identity Manager VMware Identity Manager Connector (connector uitgebracht met VMware Identity Manager 3.2) 3.2 VMware Identity Manager VMware Identity Manager Connector (connector uitgebracht met VMware Identity Manager 3.1) 3.1 VMware Identity Manager VMware, Inc. 125

126 Versie van VMware Identity Manager of Connector VMware Identity Manager Connector (connector uitgebracht met VMware Identity Manager 3.0) VMware Identity Manager of lager VMware Identity Manager Connector of lager Ondersteunde versie van Integration Broker of lager of lager Opmerking Voor gebruik van de Citrix StoreFront REST API is Integration Broker of hoger vereist. Voor XenApp of XenDesktop 7.x is Integration Broker 2.6 of hoger vereist. Voor gebruik van de NetScaler-functie is Integration Broker 2.4 of hoger vereist. Opmerking Het gebruik van de nieuwste beschikbare versie van VMware Identity Manager en de bijbehorende onderdelen wordt aanbevolen. De VMware Identity Manager Connector moet kunnen communiceren met de Integration Broker. Als u meerdere connectorinstanties hebt ingesteld, controleert u of alle connectoren met de Integration Broker kunnen communiceren. Opmerking U moet via SSL verbinding maken met elke Integration Broker-instantie die wordt gebruikt om te starten. Eén Integration Broker-instantie kan meerdere Citrix 5.x-, 6.x- en 7.x-omgevingen ondersteunen. Volg deze richtlijnen als u de VMware Enterprise Systems Connector gebruikt in Windows. Download de Integration Broker van de VMware Identity Manager-productpagina op My VMware. Het is raadzaam de Integration Broker en de VMware Enterprise Systems Connector op verschillende servers te installeren. Als u de Integration Broker op dezelfde server installeert als de connector, moet u ervoor zorgen dat de HTTP- en HTTPS-bindingpoorten geen conflict veroorzaken met de poorten die worden gebruikt door het VMware Identity Manager Connector-onderdeel. Het VMware Identity Manager Connector-onderdeel gebruikt altijd poort 80. Ook poort 443 wordt gebruikt, tenzij tijdens de installatie een andere poort is geconfigureerd. Er wordt een zelfondertekend certificaat gegenereerd tijdens de installatie van de connector. Als u de Integration Broker op dezelfde server installeert als de connector, kunt u dit certificaat gebruiken. Installeer het certificaat in de Microsoft-opslagplaats en gebruik dit voor HTTPSbinding. Plan uw implementatiestrategie voordat u aan de slag gaat. Zie Integration Brokerimplementatiemodellen voor aanbevelingen voor veelvoorkomende scenario's. Integration Broker-implementatiemodellen Implementeer een of meer instanties van de Integration Broker, afhankelijk van uw bedrijfsbehoeften. De volgende implementatiemodellen zijn gebaseerd op veelvoorkomende scenario's. VMware, Inc. 126

127 Proof-of-concept-omgevingen In proof-of-concept-omgevingen, waarbij u slechts een aantal gepubliceerde Citrix-applicaties in VMware Identity Manager configureert om vertrouwd te raken met het integratieproces en de ervaring van eindgebruikers, wordt u aanbevolen één Integration Broker-instantie in te stellen. Selecteer dezelfde Integration Broker-instantie als de Integration Broker voor synchronisatie en de Integration Broker voor SSO in de verzameling van virtuele apps. Synchroniseren VMware Identity Manager-service VMware Identity Manager-connector Openen Integration Broker Testomgevingen In kleine testomgevingen, waarbij u de hele procedure, inclusief het synchroniseren en starten wilt testen, wordt het implementeren van twee Integration Broker-instanties aanbevolen: een voor het synchroniseren van bronnen en rechten en de andere voor het starten van bronnen. In dit scenario integreert u doorgaans slechts enkele applicaties en wordt niet verwacht dat een groot aantal gebruikers applicaties tegelijk starten. Selecteer een van de instanties als de Integration Broker voor synchronisatie en de andere als de Integration Broker voor SSO in de verzameling van virtuele apps. Synchroniseren Integration Broker VMware Identity Manager-service VMware Identity Manager-connector Openen Integration Broker Productieomgevingen Voor een hoge beschikbaarheid en load-balancingdoeleinden wordt u in productieomgevingen aanbevolen een cluster van Integration Broker-instanties achter een load balancer in te stellen. Als een van de Integration Broker-instanties niet beschikbaar is, blijven het synchroniseren en starten beschikbaar omdat de aanvragen worden omgeleid naar een andere instantie in het cluster. Voer de informatie van de load balancer in de velden Integration Broker voor synchronisatie en Integration Broker voor SSO in de verzameling van virtuele apps in. VMware, Inc. 127

128 Synchroniseren Integration Broker VMware Identity Manager-service VMware Identity Manager-connector Openen Load balancer Integration Broker Grootschalige productieomgevingen In grote productieomgevingen die een groot aantal applicaties integreren en veel verkeer verwerken, wordt u aanbevolen afzonderlijke Integration Broker-clusters voor het synchroniseren en starten in te stellen. Stel elk cluster in achter een load balancer. Deze instelling geeft u de flexibiliteit om het aantal instanties te verhogen op basis van uw specifieke behoeften. Bijvoorbeeld: als u vertragingen ondervindt vanwege een groot aantal gelijktijdige startacties, kunt u meer Integration Broker-instanties toevoegen aan het cluster dat wordt gebruikt voor het starten. Voer de juiste load balancers in de velden Integration Broker voor synchronisatie en Integration Broker voor SSO in de verzameling van virtuele apps in. Opmerking Voor een Integration Broker-instantie die alleen wordt gebruikt voor startacties en niet voor synchronisatie, hoeft u Citrix PowerShell Remoting niet in te stellen. Ook als u de StoreFront REST API gebruikt om verbinding te maken met de Citrix-serverfarm, hoeft u de Citrix Web Interface SDK niet te downloaden. VMware, Inc. 128

129 Integration Broker Synchroniseren Load balancer VMware Identity Manager-service VMware Identity Manager-connector Integration Broker Openen Load balancer Integration Broker Windows-server voorbereiden op de Integration Broker-installatie Voordat u Integration Broker installeert, moet u de Windows-server configureren. De volgende besturingssystemen worden ondersteund voor de Integration Broker-server. Windows Server 2008 R2 Windows Server 2012 Windows Server 2012 R2 Windows Server 2016 Opmerking Zie de VMware-productinteroperabiliteitsmatrices op voor de nieuwste informatie over ondersteunde versies. Windows Server-functies en -onderdelen (Windows Server 2012 R2, 2012 of 2008 R2) toevoegen Voeg de vereiste functies, onderdelen en functieservices toe in de Integration Broker-server. Opmerking De stappen in deze procedure verwijzen naar de gebruikersinterface van Windows Server 2012 of Windows Server 2012 R2. Indien van toepassing worden verschillen voor Windows Server 2008 R2 vermeld. Zie Windows Server-functies en -onderdelen (Windows Server 2016) toevoegen om functies en services voor Windows Server 2016 toe te voegen. VMware, Inc. 129

130 Vereisten Controleer of Windows Server 2008 R2, Windows Server 2012 of Windows Server 2012 R2 met de meest recente updates is geïnstalleerd. Selecteer Configuratiescherm > Windows Update om te controleren of er updates beschikbaar zijn. Maak zo nodig een applicatiepool. U kunt de standaardapplicatiesgroep gebruiken of een specifieke applicatiesgroep voor de Integration Broker maken. Procedure 1 Selecteer Start > Serverbeheer. 2 Selecteer in Serverbeheer Beheren > Functies en onderdelen toevoegen. 3 Klik in de wizard Functies en onderdelen toevoegen op Volgende tot de pagina Serverfuncties wordt weergegeven. 4 Selecteer de volgende functies en klik vervolgens op Volgende. Functies Toepassingsserver Bestands- en opslagservices Webserver (IIS) Opmerking Wanneer u Webserver (IIS) selecteert, wordt u in een dialoogvenster gevraagd te bevestigen welke onderdelen zijn vereist voor Webserver (IIS). Controleer of Beheerhulpprogramma's is opgenomen en klik vervolgens op Onderdelen toevoegen. VMware, Inc. 130

131 5 Selecteer de volgende onderdelen op de pagina Onderdelen. Onderdelen.NET Framework 3.5-onderdelen.NET Framework 3.5 (omvat.net 2.0 en 3.0) HTTP-activering Wanneer u HTTP-activering selecteert, wordt u in een dialoogvenster gevraagd te bevestigen welke onderdelen zijn vereist voor HTTP-activering. Klik op Onderdelen toevoegen. Opmerking Selecteer in Windows Server 2008 R2 de volgende opties:.net Framework 3.5-onderdelen.NET Framework 3.5 WCF-activering HTTP-activering IIS Hostable Web Core Windows-procesactiveringsservice WinRM IIS-extensie Bijvoorbeeld: Figuur 8 1. Windows Server 2012 R2 6 Klik op Volgende en klik vervolgens opnieuw op Volgende om de pagina Functieservices van Toepassingsserver weer te geven. VMware, Inc. 131

132 7 Selecteer de volgende functieservices op de pagina Functieservices van Toepassingsserver. Functieservices van Toepassingsserver Functieservices van Toepassingsserver.NET Framework 4.5 (niet wijzigen indien vooraf geselecteerd) Ondersteuning voor Webserver (IIS) Opmerking Wanneer u Webserver (IIS) selecteert, wordt u in een dialoogvenster gevraagd te bevestigen welke onderdelen zijn vereist voor Webserver (IIS). Klik op Onderdelen toevoegen. Ondersteuning voor Windows-procesactiveringsservice HTTP-activering Bijvoorbeeld: 8 Klik op Volgende en klik vervolgens opnieuw op Volgende om de pagina Functieservices van Webserverfunctie (IIS) weer te geven. VMware, Inc. 132

133 9 Selecteer de volgende functieservices op de pagina Functieservices van Webserverfunctie (IIS). Functieservices van Webserverfunctie (IIS) Webserver Accepteer de standaard geselecteerde opties Schakel de volgende optie in: Beheerhulpprogramma's IIS-beheerconsole Compatibiliteit met IIS 6-beheer Bijvoorbeeld: 10 Klik op Volgende. 11 Klik op Installeren. 12 Nadat de installatie is voltooid, klikt u op Sluiten om de wizard Functies en onderdelen toevoegen te sluiten. Wat nu te doen Installeer zo nodig Herdistribueerbaar pakket voor Microsoft Visual J# 2.0. Windows Server-functies en -onderdelen (Windows Server 2016) toevoegen Voeg de vereiste Windows Server-functies en -onderdelen in de Integration Broker-server toe. Opmerking De stappen in deze procedure verwijzen naar de gebruikersinterface van Windows Server Zie Windows Server-functies en -onderdelen (Windows Server 2012 R2, 2012 of 2008 R2) toevoegen voor Windows Server 2012 R2, Windows Server 2012 en Windows Server 2008 R2. Vereisten Controleer of Windows Server 2016 is geïnstalleerd met de meest recente updates. VMware, Inc. 133

134 Maak zo nodig een applicatiepool. U kunt de standaardapplicatiesgroep gebruiken of een specifieke applicatiesgroep voor de Integration Broker maken. Procedure 1 Selecteer Start > Serverbeheer. 2 Selecteer in Serverbeheer Beheren > Functies en onderdelen toevoegen. 3 Klik in de wizard Functies en onderdelen toevoegen op Volgende tot de pagina Serverfuncties wordt weergegeven. 4 Selecteer de volgende functies op de pagina Serverfuncties. Bestands- en opslagservices Opslagservices Webserver (IIS) Webserver VMware, Inc. 134

135 Beheerhulpprogramma's VMware, Inc. 135

136 5 Klik op Volgende. 6 Selecteer de volgende onderdelen op de pagina Onderdelen..NET Framework 3.5-onderdelen.NET Framework 3.5 (omvat.net 2.0 en 3.0) HTTP-activering Wanneer u HTTP-activering selecteert, wordt u in een dialoogvenster gevraagd te bevestigen welke onderdelen zijn vereist voor HTTP-activering. Klik op Onderdelen toevoegen..net Framework 4.6-onderdelen.NET Framework 4.6 ASP.NET 4.6 WCF-services Groepsbeleidsbeheer IIS Hostable Web Core Management OData IIS Extension Media Foundation Message Queuing Message Queuing Services VMware, Inc. 136

137 Remote Server Administration Tools Ondersteuning voor SMB 1.0/CIFS voor het delen van bestanden Telnet-client Windows Defender-onderdelen VMware, Inc. 137

138 Windows PowerShell Windows-procesactiveringsservice WinRM IIS-extensie Wow64-ondersteuning VMware, Inc. 138

139 7 Klik op Volgende en klik vervolgens op Installeren op de pagina Bevestiging. 8 Nadat de installatie is voltooid, klikt u op Sluiten om de wizard Functies en onderdelen toevoegen te sluiten. Wat nu te doen Installeer zo nodig Herdistribueerbaar pakket voor Microsoft Visual J# bits herdistribueerbaar pakket voor Microsoft Visual J# 2.0 installeren Download en installeer het 64-bits herdistribueerbaar pakket voor Microsoft Visual J# 2.0 (tweede editie). Deze stap is niet vereist als u de Citrix Storefront REST API in plaats van de Citrix Web Interface SDK wilt gebruiken om verbinding te maken met de Citrix-serverfarm. Procedure 1 Download het 64-bits herdistribueerbaar pakket voor Microsoft Visual J# 2.0 (tweede editie) van de Microsoft-website. 2 Dubbelklik op het bestand vjredist.exe en voer de wizard uit om het pakket te installeren. Integration Broker implementeren Als u de Integration Broker wilt implementeren, downloadt en installeert u de Integration Broker op een ondersteunde Windows-server, configureert u de bijbehorende instellingen voor IIS-beheer en stelt u HTTPS- en HTTP-bindingen in. Integration Broker installeren Installeer Integration Broker op de Windows-server die u hebt geconfigureerd. VMware, Inc. 139

140 Vereisten Bereid de Windows-server voor. Zie Windows-server voorbereiden op de Integration Brokerinstallatie. Download de Integration Broker van de VMware Identity Manager-productpagina op My VMware. Procedure 1 Meld u aan als een Windows-beheerder. 2 Klik op het bestand setup.exe om het installatieprogramma voor Integration Broker uit te voeren. 3 Accepteer de licentieovereenkomst voor eindgebruikers. 4 Selecteer de weblocatie waar u de Integration Broker wilt installeren. 5 (Optioneel) Wanneer u een afzonderlijke applicatiepool hebt gemaakt voor de Integration Broker, selecteert u de applicatiepool. Voorzichtig Wijzig de naam van de virtuele directory niet. 6 Klik op Volgende om de installatie van de Integration Broker te voltooien. Wat nu te doen Configureer de instellingen voor IIS-beheer. Instellingen voor IIS-beheer configureren Configureer de vereiste instellingen voor IIS-beheer voor de Integration Broker. Opmerking De stappen in deze procedure verwijzen naar de gebruikersinterface van Windows Server 2012 of Windows Server 2012 R2. Vereisten De aanmeldgegevens voor de Identity-gebruiker. De Identity-gebruiker moet voldoen aan de volgende vereisten: Domeingebruiker Machtigingen om PowerShell Remoting in te schakelen op de Integration Broker-server: a b Start PowerShell met beheerdersmachtigingen Voer Enable-PSRemoting uit Een van de volgende rollen op de Citrix-server: Ten minste Alleen-lezen beheerder (versie 7.x) of Alleen-weergeven beheerder (versie 6.x) Een aangepaste beheerdersrol die de machtigingen heeft om de volgende PowerShell cmdlets uit te voeren. Deze cmdlets worden gebruikt om applicaties, server, farm en pictograminformatie op te halen bij de Citrix-serverfarm. VMware, Inc. 140

141 Op XenApp 6.5: Get-XAApplication Get-XAServer Get-XAAccount Get-XAApplicationIcon Get-XAFarm Op XenApp of XenDesktop 7.x: Get-BrokerApplication Get-BrokerIcon Get-BrokerDesktopGroup Get-BrokerAccessPolicyRule Get-BrokerAppEntitlementPolicyRule Get-BrokerIcon Get-BrokerEntitlementPolicyRule Procedure 1 Klik op Start > Serverbeheer. 2 Selecteer in Serverbeheer Hulpmiddelen > Beheer van Internet Information Services (IIS). 3 Configureer in IIS-beheer de applicatiepool die u hebt geselecteerd tijdens het installeren van de Integration Broker. Tip Als u wilt controleren of u de juiste applicatiepool gebruikt, klikt u in het linkerdeelvenster op Toepassingsgroepen, klikt u met de rechtermuisknop op de applicatiepool en selecteert u Toepassingen weergeven en controleert u of de Integration Broker wordt weergegeven in de lijst. a b c Klik in het linkerdeelvenster op Toepassingsgroepen. Selecteer de applicatiepool die u gebruikt voor de Integration Broker. Klik op Geavanceerde instellingen in het rechterdeelvenster. VMware, Inc. 141

142 d Configureer in het dialoogvenster Geavanceerde instellingen de volgende instellingen. Optie.NET CLR-versie Beschrijving Controleer of de versie v2.0 is. Opmerking In Windows 2012 en Windows 2012 R2 is de applicatiepool mogelijk standaard geconfigureerd voor een andere versie van.net. Configureer deze voor versie bits applicaties inschakelen Stel de waarde in op Waar. Identiteit 1 Klik op Identiteit. 2 Klik op het pictogram... 3 Klik in het dialoogvenster Identiteit van groep van toepassingen dat wordt geopend, op Aangepast account en klik vervolgens op Instellen. 4 Voer de gebruikersnaam en het wachtwoord voor de identiteitsgebruiker in. Zie de vereisten voor de identiteitsgebruikers in het gedeelte Vereisten. 5 Klik op OK en klik opnieuw op OK. e Klik op OK om het dialoogvenster Geavanceerde instellingen te sluiten. VMware, Inc. 142

143 HTTPS-sitebinding voor de Integration Broker instellen U moet de HTTPS-sitebinding voor de Integration Broker instellen. Als u de binding wilt instellen, hebt u een SSL-certificaat nodig voor de Integration Broker-server. U kunt een certificaat aanvragen bij een certificaatautoriteit of een zelfondertekend certificaat maken. Opmerking Als u de VMware Enterprise Systems Connector in Windows gebruikt en de Integration Broker op dezelfde server installeert als de connector, moet u ervoor zorgen dat de HTTP- en HTTPSbindingpoorten geen conflict veroorzaken met de poorten die worden gebruikt door het VMware Identity Manager Connector-onderdeel. Het VMware Identity Manager Connector-onderdeel gebruikt altijd poort 80. Ook poort 443 wordt gebruikt, tenzij tijdens de installatie een andere poort is geconfigureerd. Zie Installatie en configuratie van VMware Enterprise Systems Connector voor meer informatie over de gebruikte poorten. Het is raadzaam de Integration Broker en de VMware Enterprise Systems Connector op verschillende servers te installeren. Vereisten Vraag een SSL-certificaat aan voor de Integration Broker-server. U kunt een certificaat aanvragen bij een certificaatautoriteit of een zelfondertekend certificaat maken. Installeer het certificaat in de Microsoft-opslagplaats op de Integration Broker-server. Zie Voorbeeld: een zelfondertekend certificaat maken met IIS-beheer en Voorbeeld: een zelfondertekend certificaat maken met OpenSSL. Opmerking Als u de VMware Enterprise Systems Connector in Windows gebruikt en de Integration Broker op dezelfde server als de connector hebt geïnstalleerd, kunt u het zelfondertekende certificaat gebruiken dat is gegenereerd tijdens de installatie van de connector. Installeer het certificaat in de Microsoft-opslagplaats en gebruik dit voor HTTPS-binding. Als u een interne CA gebruikt om het certificaat te maken, uploadt u het rootcertificaat van de interne CA op op het tabblad SSL beëindigen op een load balancer, waarbij vidmhostname de VMware Identity Manager-instantie is waar de Citrix-integratie wordt geconfigureerd, zodat VMware Identity Manager het certificaat kan vertrouwen. Ga in een SaaSomgeving naar Procedure 1 Klik in IIS-beheer in het linkerdeelvenster op de website waaronder u de Integration Broker hebt geïnstalleerd. Tip Om te controleren of de website correct is, kunt u de site in het linkerdeelvenster uitvouwen en controleren of de Integration Broker eronder wordt vermeld. 2 Klik in het rechterdeelvenster onder Site bewerken op Bindingen. VMware, Inc. 143

144 3 Voeg de HTTPS-binding toe met het certificaat dat u hebt gemaakt. a b c d Klik op Toevoegen. Selecteer https in het veld Type. Als u IIS 8.0 of hoger gebruikt, controleert u of het veld Hostnaam leeg is. Het mag geen waarde bevatten. Selecteer in het veld SSL-certificaat het SSL-certificaat dat u hebt gemaakt. Bijvoorbeeld: e Klik op OK. 4 Start IIS opnieuw op. a b Open het venster met de opdrachtprompt als beheerder. Typ iisreset. Wat nu te doen Controleer de bindingen. Verifieer of de HTTP-binding de verwachte uitvoer produceert door /IB/API/RestServiceImpl.svc/ibhealthcheck in te voeren in de adresbalk van een browser. Verwachte uitvoer: Alles OK Verifieer of de HTTPS-binding de verwachte uitvoer produceert door /IB/API/RestServiceImpl.svc/ibhealthcheck in te voeren in de adresbalk van een browser. Verwachte uitvoer: Alles OK Opmerking In Internet Explorer wordt de uitvoer Alles OK niet direct weergegeven. In plaats daarvan wordt het uitvoerbestand gedownload. Open het bestand om de uitvoer te bekijken. VMware, Inc. 144

145 Voorbeeld: een zelfondertekend certificaat maken met IIS-beheer U kunt een zelfondertekend certificaat maken voor de Integration Broker-server met IIS-beheer. Procedure 1 Start IIS-beheer. 2 Navigeer naar Servercertificaten. 3 Selecteer Zelfondertekend certificaat maken onder Actie in het rechterdeelvenster. 4 Volg de wizard om het zelfondertekende certificaat te genereren. Het certificaat wordt automatisch geïnstalleerd in de Microsoft-opslagplaats op de Integration Brokerserver. Wat nu te doen Gebruik het certificaat voor de HTTPS-binding voor de Integration Broker-website. Voorbeeld: een zelfondertekend certificaat maken met OpenSSL Deze instructies bieden een voorbeeld voor hoe u een zelf-ondertekend certificaat instelt met behulp van OpenSSL voor Integration Broker. Procedure 1 Maak een zelfondertekend certificaat voor de Integration Broker-server. 2 Maak de map ibcerts om als werkdirectory te gebruiken. VMware, Inc. 145

146 3 Maak een configuratiebestand met behulp van de opdracht vi openssl_ext.conf. a Kopieer en plak de volgende OpenSSL-opdrachten in het configuratiebestand. # openssl x509 extfile params extensions = extend [req] # openssl req params prompt = no distinguished_name = dn-param [dn-param] # DN fields C = US ST = CA O = VMware (Dummy Cert) OU = Horizon Workspace (Dummy Cert) CN = hostnaam (hostnaam van de virtuele machine waarop Integration Broker is geïnstalleerd.) address = PROTECTED [extend] # openssl extensions subjectkeyidentifier = hash authoritykeyidentifier = keyid:always keyusage = digitalsignature,keyencipherment extendedkeyusage=serverauth,clientauth [policy] # certificate policy extension data Opmerking Typ de CN-waarde voordat u het bestand opslaat. b Voer deze opdracht uit om een privésleutel te genereren. openssl genrsa -des3 -out server.key 1024 c d Typ de wachtwoordzin voor server.key, bijvoorbeeld vmware. Wijzig de naam van het bestand server.key in server.key.orig. mv server.key server.key.orig e Verwijder het wachtwoord dat aan de sleutel is gekoppeld. openssl rsa -in server.key.orig -out server.key 4 Maak een CSR (Certificate Signing Request) met de gegenereerde sleutel. De server.csr wordt opgeslagen in uw werkdirectory. openssl req -new -key server.key -out server.csr -config./openssl_ext.conf 5 Onderteken de CSR. openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt -extfile openssl_ext.conf VMware, Inc. 146

147 De verwachte output wordt weergegeven. Signature ok subject=/c=us/st=ca/o=vmware (Dummy Cert)/OU=Horizon Workspace (Dummy Cert)/CN=w2-hwdog-xa.vmware.com/ Address= PROTECTED Privésleutel ophalen 6 Maak P12-formaat. openssl pkcs12 -export -in server.crt -inkey server.key -out server.p12 a Druk op Enter bij de vraag om een exportwachtwoord. Belangrijk Voer geen wachtwoord in. De verwachte output is het bestand server.p12. b c d e f Verplaats het bestand server.p12 naar het Windows-apparaat waarop Integration Broker is geïnstalleerd. Vanaf de opdrachtregel typt u mmc. Klik op Bestand > Modules toevoegen of verwijderen. In het Modulevenster klikt u op Certificaten en op Toevoegen. Selecteer het keuzerondje Computeraccount. 7 Importeer het certificaat naar de basis- en persoonlijke opslagcertificaten. a b c d e Kies in het dialoogvenster Alle bestanden. Selecteer het bestand server.p12. Klik op het selectievakje Exporteerbaar. Laat het wachtwoord leeg. Accepteer de standaardinstellingen voor de volgende stappen. 8 Kopieer het certificaat in de Vertrouwde basis-ca's in dezelfde mmc-console. 9 Verifieer of de inhoud van het certificaat deze elementen bevat. Privésleutel CN in het onderwerpkenmerk dat overeenkomst met de hostnaam van Integration Broker Uitgebreid kenmerk van sleutelgebruik met ingeschakelde verificatie van client en server Citrix PowerShell Remoting inschakelen U moet aanroepen op afstand tussen de Integration Broker en de Citrix-serverfarm inschakelen door Citrix PowerShell Remoting in te stellen. Wanneer u Citrix PowerShell Remoting instelt, installeert u de Citrix PowerShell SDK op de Integration Broker-server en controleert u of PowerShell Remoting is ingeschakeld op de Citrix-servers. VMware, Inc. 147

148 Op de Integration Broker-server moet u de betreffende versie van de Citrix PowerShell SDK installeren. Als u verbinding maakt met meerdere versies van Citrix-serverfarms, installeert u alle vereiste versies van de Citrix PowerShell SDK op de Integration Broker-server aangezien de SDK's niet achterwaarts compatibel zijn. PowerShell Remoting moet zijn ingeschakeld op Citrix-servers zodat Integration Broker-server er verbinding mee kan maken en vereiste informatie zoals bronneninformatie, rechten en pictogrammen kan ophalen. U moet PowerShell Remoting alleen inschakelen op de leveringscontrollers of XML-brokers die u gaat configureren in VMware Identity Manager, niet op alle servers in uw serverfarm. In XenApp of XenDesktop 7.x zijn dit de leveringscontrollers, die ook fungeren als XML-brokers. In Citrix-serverfarms van versie 6.5, 6.0 of 5.0 zijn dit de XML-brokerservers. Voor Citrix-serverfarm versies 6.0 en 5.0 vereist Citrix PowerShell Remoting een veilig HTTPS-kanaal om externe oproepen uit te voeren. Zorg ervoor dat de Citrix-leveringscontrollers of XML-brokers geldige SSL-certificaten hebben. Citrix PowerShell SDK op de Integration Broker-server installeren U moet de Citrix PowerShell SDK op de Integration Broker-server installeren om verbindingen tussen de Integration Broker-server en de Citrix-serverfarm mogelijk te maken. Download en installeer de Citrix PowerShell SDK-versie die overeenkomt met de Citrix-serverfarm die u integreert met VMware Identity Manager. Als u verbinding maakt met meerdere versies van Citrixserverfarms, installeert u alle vereiste versies van de Citrix PowerShell SDK op de Integration Brokerserver aangezien de SDK's niet achterwaarts compatibel zijn. Procedure 1 Meld u aan bij de Integration Broker-server. 2 Als u verbinding maakt met XenApp of XenDesktop 7.x, voert u deze stappen uit. a b Download en installeer Citrix Studio op de Integration Broker-server. Controleer de installatie. 1 Open Windows PowerShell als beheerder. 2 Voer deze opdracht in: Add-PSSnapin Citrix* 3 Geef de volgende opdrachten op. Get-BrokerDesktopGroup -AdminAddress CitrixDeliveryController Get-ConfigSite -AdminAddress CitrixDeliveryController Opmerking Als een verificatiefout wordt gemeld, stelt u het uitvoeringsbeleid met de opdracht set-executionpolicy remotesigned in en probeert u de opdrachten opnieuw. VMware, Inc. 148

149 3 Als u verbinding maakt met een Citrix-serverfarm van versie 6.5, voert u deze stappen uit. a b Download en installeer Citrix PowerShell SDK 6.5 op de Integration Broker-server. Controleer de installatie. 1 Open Programmabestanden > Citrix PowerShell Module. 2 Voer deze opdracht in: Get-XAApplication -ComputerName CitrixServer Verifieer of alle applicaties die door Citrix worden gehost, in de lijst staan. Opmerking Als de opdracht mislukt controleert u of de XenApp Commands Remotingservice wordt uitgevoerd op de Citrix-server. 4 Als u verbinding maakt met een Citrix-serverfarm van versie 6.0 of 5.0, downloadt en installeert u Citrix PowerShell SDK 6.0 of 5.0 op de Integration Broker-server, afhankelijk van de versie van uw Citrix-serverfarm. Citrix PowerShell Remoting op de Citrix-serverfarm inschakelen Schakel zo nodig Citrix PowerShell Remoting op de Citrix-serverfarm in. Controleer, in Citrix XenApp of XenDesktop 7.x, of PowerShell Remoting is ingeschakeld op de leveringscontrollers waarmee VMware Identity Manager verbinding maakt. Controleer in Citrix 6.5 of de Citrix XenApp Commands Remoting-service wordt uitgevoerd op de XML-brokers waarmee VMware Identity Manager verbinding maakt. Schakel in Citrix 6.0 of 5.0 PowerShell Remoting in. Zie Citrix PowerShell Remoting instellen in Citrix Server Farm 5.0 of 6.0. Citrix PowerShell Remoting instellen in Citrix Server Farm 5.0 of 6.0 U moet Citrix PowerShell Remoting inschakelen op de Citrix XML Broker-servers die u integreert met VMware Identity Manager. Citrix PowerShell Remoting brengt verbindingen tussen Integration Broker en de Citrix-serverfarm. Opmerking U moet PowerShell Remoting alleen inschakelen op de XML-brokers die u gaat configureren in VMware Identity Manager, niet op alle servers in uw serverfarm. Vereisten Als u Winrm niet hebt geïnstalleerd, moet u Winrm downloaden via de Microsoft-website en installeren. Zorg ervoor dat de Citrix XML-brokers geldige SSL-certificaten hebben. Klik op Eigenschappen en controleer of Serververificatie is ingeschakeld voor de certificaten. Procedure 1 Open PowerShell in de beheerdersmodus. VMware, Inc. 149

150 2 Schakel Citrix PowerShell Remoting in. a b Typ de Get-Service winrm-opdracht om te verifiëren of Winrm op de server is geïnstalleerd. Typ de opdracht Enable-PSRemoting. Met deze opdracht schakelt u PowerShell Remoting in op de server. c d Installeer de Citrix PowerShell SDK 5.0 of 6.0 (dit hangt af van de Citrix-serverversie). Schakel winrm HTTPS-listener in via de opdrachtprompt. 1 Maak een certificaat op de server. 2 Leg de duimafdruk van het certificaat vast. 3 Verifieer of de duimafdruk van het certificaat is geconfigureerd. winrm quickconfig -transport:https e Verifieer of de listener is gemaakt. winrm e winrm/config/listener Deze server is klaar voor gebruik. f Nadat de listener is gemaakt, gaat u naar de Integration Broker-server om te verifiëren of PowerShell Remoting goed is geïnstalleerd. winrm identify -r: -u:username Uitvoer: ResponsIdentificeren Protocolversie= Productleverancier=Microsoft Corporation Productversie=OS: SP: 2.0 Stack: 2.0 De verbinding met de Citrix-serverfarm controleren Nadat u de Integration Broker hebt geïmplementeerd en PowerShell Remoting hebt ingesteld, controleert u de verbinding met de Citrix-serverfarm. VMware, Inc. 150

151 Procedure 1 Voer in een browser de geschikte URL in voor de versie van uw Citrix-farm. Citrix XenApp- of XenDesktop-serverfarm 7.x computername=xenappserverhostname&xenappversion=version7x Citrix-serverfarm computername=xenappserverhostname&xenappversion=version65orlater Citrix-serverfarm 5.0 of computername=xenappserverhostname&xenappversion=legacy 2 Controleer de uitvoer. Wanneer de Integration Broker goed is geconfigureerd, geeft de pagina informatie over de Citrixserverfarm weer, zoals hieronder: "[{\"FarmName\":\"test data\",\"serverversion\":\" \",\"AdministratorType\":\"Full\",\"SessionCount\":\"2\",\"MachineName\" :\"test data\"}] Als de webpagina geen informatie over de serverfarm bevat, controleert u de logboeken op de Integration Broker-server bij %programdata%/vmware/horizonintegrationbroker. Citrix Web Interface SDK 5.4 downloaden De Citrix Web Interface SDK wordt gebruikt voor verificatie en om het ICA-bestand te genereren vanuit de Citrix-leveringscontrollers of XML-brokers om gepubliceerde Citrix-applicaties en -desktops te starten. Opmerking Als u de Citrix StoreFront REST API wilt gebruiken voor communicatie met de Citrix-farm om het ICA-bestand te genereren, hoeft u de Citrix Web Interface SDK niet te installeren. Procedure 1 Download de Citrix Web Interface SDK 5.4 (zipbestand WISDK) van de Citrix-website. 2 Pak het bestand wisdk.zip uit. 3 Kopieer de inhoud van de directory WI5_4_0_SDK/zipfiles/sdkdemo/wisdk naar de standaard bindirectory van de Integration Broker op c:\inetpub\wwwroot\ib\bin. 4 Start IIS opnieuw op. a b Open het venster met de opdrachtprompt als beheerder. Typ iisreset. VMware, Inc. 151

152 Citrix-serverfarms configureren in VMware Identity Manager Als u Citrix XenApp- en XenDesktop-serverfarms in VMware Identity Manager wilt configureren, maakt u een of meer verzamelingen van virtuele apps op de pagina Configuratie van virtuele apps. Op deze pagina vindt u configuratiegegevens zoals de Citrix-servers vanwaar bronnen en rechten moeten worden gesynchroniseerd, de Integration Broker voor synchronisatie en SSO, de VMware Identity Managerconnector voor synchronisatie, en beheerdersinstellingen zoals de standaardclient voor starten. U kunt al uw Citrix-serverfarms toevoegen aan één verzameling of meerdere verzamelingen maken, afhankelijk van uw vereisten. U kunt er bijvoorbeeld voor kiezen om een afzonderlijke verzameling te maken voor elke farm om het beheer te vereenvoudigen en de synchronisatietaken te verdelen over meerdere connectoren. Of u kunt ervoor kiezen om alle serverfarms toe te voegen aan één verzameling voor een testomgeving en een andere identieke verzameling te gebruiken voor uw productieomgeving. Voordat u gepubliceerde Citrix-bronnen configureert in VMware Identity Manager, moet u ervoor zorgen dat u voldoet aan alle vereisten. Volg deze richtlijnen ook voor de instellingen voor de Citrix-serverfarm. Leveringsgroepen synchroniseren De instelling Leveringstype van een leveringsgroep in Citrix bepaalt hoe VMware Identity Manager de leveringsgroep synchroniseert. VMware Identity Manager synchroniseert een leveringsgroep alleen als Leveringstype is ingesteld op DesktopsAndApps of DesktopsOnly. Als het Leveringstype van de leveringsgroep is ingesteld op AppsOnly, worden de applicaties gesynchroniseerd, maar wordt de leveringsgroep zelf niet gesynchroniseerd en wordt deze niet weergegeven in de VMware Identity Manager-catalogus. Configureer uw leveringsgroepen dienovereenkomstig. Als u in XenDesktop en XenApp 7.9 de optie 'Limited Visibility Group' gebruikt om gebruikers te beperken, moet u ervoor zorgen dat de 'Limited Visibility Group' gebruikers of groepen bevat. Als deze groep geen gebruikers of groepen bevat, werkt synchronisatie naar VMware Identity Manager niet. Zorg ervoor dat alle gepubliceerde Citrix-applicaties en -desktops op een locatie geldige gebruikers bevatten. Als u een gebruiker of groep verwijdert, zorgt u ervoor dat u de gebruiker of groep ook verwijdert uit gepubliceerde Citrix-bronnen. Zorg ervoor dat gebruikers en groepen zijn toegewezen aan de juiste leveringsgroep. Als u instellingen selecteert om gebruikers te beperken, controleert u of ze gebruikers en groepen bevatten. Met XenDesktop en XenApp 7.x kunt u rechten voor alle geverifieerde gebruikers op het niveau van de leveringsgroep instellen met de instelling 'Allow any authenticated user to use this delivery group' (Geverifieerde gebruikers toestaan om deze leveringsgroep te gebruiken). Deze instelling wordt niet ondersteund door VMware Identity Manager. Om ervoor te zorgen dat gebruikers de juiste rechten hebben in VMware Identity Manager, stelt u expliciete rechten voor de gebruikers en groepen in. VMware, Inc. 152

153 Vereisten Configureer VMware Identity Manager. Zie VMware Identity Manager installeren en configureren en Beheer VMware Identity Manager voor informatie. Zorg ervoor dat gebruikers en groepen met Citrix-rechten met directorysynchronisatie van uw bedrijfsdirectory zijn gesynchroniseerd naar VMware Identity Manager. Gebruikers moeten het kenmerk distinguishedname hebben. Als het kenmerk niet is ingesteld voor een gebruiker, kan de gebruiker geen desktops en applicaties uitvoeren. Implementeer de Integration Broker en zorg ervoor dat u voldoet aan alle vereisten die zijn beschreven in Vereisten voor Citrix-integratie. Als u een load balancer vóór de Integration Broker gebruikt, noteert u de hostnaam of het IP-adres van de load balancer voor gebruik tijdens deze taak. Als u de optie StoreFront gebruiken wilt gebruiken, die beschikbaar is in VMware Identity Manager en hoger, moet u ervoor zorgen dat is voldaan aan de volgende vereisten. Installeer Integration Broker of hoger. Controleer of StoreFront wordt ondersteund door de XenApp- of XenDesktop-versie die u gebruikt. Zorg ervoor dat de Integration Broker kan communiceren met de StoreFront-server. Wanneer u de StoreFront ReST API inschakelt, communiceert de Integration Broker met de StoreFront-server om het ICA-bestand te genereren. Schakel HTTP Basic-verificatie in als verificatiemethode in de Citrix StoreFront-store. Deze vereiste geldt alleen voor interne toegang. Voorzichtig Als u HTTP Basic-verificatie niet inschakelt, mislukt de verificatie. Raadpleeg de Citrix-documentatie voor uw versie van Citrix XenApp of XenDesktop. In VMware Identity Manager 3.2 moet u een beheerdersrol gebruiken die de actie Desktopapps beheren in de catalogusservice kan uitvoeren. Procedure 1 Meld u aan op de beheerconsole van VMware Identity Manager. 2 Selecteer het tabblad Catalogus > Virtuele apps en klik vervolgens op Configuratie van virtuele apps. 3 Klik op Virtuele apps toevoegen en selecteer Gepubliceerde Citrix-toepassingen. 4 Voer een unieke naam voor de verzameling in. VMware, Inc. 153

154 5 Selecteer de connector waarmee u de bronnen op deze locatie wilt synchroniseren, uit de vervolgkeuzelijst Synchronisatieconnectoren. Als u meerdere connectoren hebt ingesteld voor hoge beschikbaarheid, klikt u op Connector toevoegen en selecteert u de connectoren. De volgorde waarin de connectoren worden vermeld, bepaalt de failovervolgorde. 6 Geef in het gedeelte Integration Broker synchroniseren informatie op over de Integration Brokerinstantie waarmee u bronnen wilt synchroniseren. a Voer de volledig gekwalificeerde domeinnaam en het poortnummer van de Integration Broker voor synchronisatie in. Als u een load balancer hebt geconfigureerd vóór meerdere Integration Broker-instanties die voor synchronisatie worden gebruikt, voert u de hostnaam of het IP-adres en het poortnummer van de load balancer in. b Als u via SSL verbinding wilt maken met de Integration Broker, schakelt u het selectievakje SSL gebruiken in en kopieert en plakt u het SSL-certificaat van de Integration Broker-server. Opmerking Als u een automatisch ondertekend certificaat gebruikt, moet u ook het certificaat op de pagina Appliance-instellingen > Configuratie beheren > SSL-certificaten installeren > Vertrouwde CA's uploaden. Voor externe connectoren vindt u de pagina op /cfg/ssl. Als u meer dan één synchronisatieconnector hebt geselecteerd, voegt u het certificaat toe aan de pagina SSL-certificaten installeren > Vertrouwde CA's van alle connectoren. 7 Geef in het gedeelte Integration Broker voor SSO informatie op over de Integration Broker-instantie waarmee u bronnen wilt starten. U moet via SSL verbinding maken met de Integration Broker voor SSL. a Voer de volledig gekwalificeerde domeinnaam en het poortnummer in van de Integration Broker voor SSO. Als u een load balancer hebt geconfigureerd vóór meerdere Integration Broker-instanties die voor Single Sign-On worden gebruikt, voert u de volledig gekwalificeerde domeinnaam en het poortnummer van de load balancer in. Opmerking Gebruik niet het IP-adres. b Kopieer het SSL-certificaat van de Integration Broker-server en plak dit in het veld SSLcertificaat. Opmerking Als u een automatisch ondertekend certificaat gebruikt, moet u ook het certificaat op de pagina Appliance-instellingen > Configuratie beheren > SSL-certificaten installeren > Vertrouwde CA's uploaden. Voor externe connectoren vindt u de pagina op /cfg/ssl. Als u meer dan één startconnector hebt geselecteerd, voegt u het certificaat toe aan de pagina SSL-certificaten installeren > Vertrouwde CA's van alle connectoren. VMware, Inc. 154

155 8 Voer de gegevens van de Citrix-serverfarm in het gedeelte Serverfarms in. Als u meerdere farms toevoegt, klikt op +Serverfarm toevoegen. Optie Versie StoreFront gebruiken Beschrijving Selecteer de Citrix-serverfarmversie: 5.0, 6.0, 6.5 of 7.x. Selecteer deze optie als u XenApp-bronnen wilt starten met de Citrix StoreFront REST API. Wanneer deze optie is geselecteerd, gebruikt Integration Broker de Citrix StoreFront REST API om te communiceren met de StoreFront-server en om het ICA-bestand op te halen. Als deze optie niet is geselecteerd, gebruikt Integration Broker de Citrix Web Interface SDK om te communiceren met Citrixonderdelen en om het ICA-bestand op te halen. Opmerking Als u deze optie selecteert of de selectie opheft na de initiële installatie en synchronisatie, slaat u uw instellingen op en synchroniseert u vervolgens opnieuw zodat de wijziging wordt toegepast. StoreFront-URL Voer de URL van de StoreFront-server in de volgende indeling in: transporttype://storefrontserverfqdn/citrix/storenameweb Bijvoorbeeld: Opmerking Dit is de URL van de Store Web Receiver-website. Belangrijk Voer deze URL ook in het veld URL host client-toegang in wanneer u de interne netwerkbereiken voor XenApp configureert. Servernaam Servers (fail-overvolgorde) De servernaam die in uw omgeving is toegewezen. Organiseer de Citrix XML-brokers (servers) in fail-overvolgorde. VMware Identity Manager respecteert deze volgorde tijdens single sign-on en bij fail-overomstandigheden. Opmerking Voor de XML-brokers moet PowerShell Remoting zijn ingeschakeld. Transporttype Het transporttype dat wordt gebruikt in uw Citrix-serverconfiguratie: HTTP, HTTPS of SSL RELAY. Opmerking Het transporttype en de poort moeten overeenkomen met uw Citrixserverconfiguratie. Poort De poortinstelling die wordt gebruikt in uw Citrix-serverconfiguratie Opmerking Het transporttype en de poort moeten overeenkomen met uw Citrixserverconfiguratie. VMware, Inc. 155

156 Optie STA-server Beschrijving Als u NetScaler gebruikt, moet u een STA-server voor de farm opgeven. a Geef de STA-Server voor de Citrix-farm op. Voer de URL van de STA-server in de volgende indeling in: transporttype://server:poort Bijvoorbeeld: b In de URL zijn alleen alfanumerieke tekens, punten (.), en koppeltekens (-) toegestaan. Klik op Toevoegen aan lijst. De server wordt weergegeven in de lijst XenApp STA-servers. c Voer extra STA-servers in, indien nodig. U kunt bijvoorbeeld een tweede STAserver toevoegen als failover. Geef de STA-server voor de Citrix-farm op als u NetScaler gebruikt. XenApp STA-servers (failovervolgorde) Geef de failovervolgorde voor de STA-servers op die u hebt toegevoegd. 9 Als u een andere farm wilt toevoegen, klikt u op Farm toevoegen en voert u de configuratiegegevens voor de farm in. 10 Selecteer Categorieën van serverfarms synchroniseren als u categorieën van Citrix-farms wilt synchroniseren met VMware Identity Manager. 11 Selecteer Dubbele applicaties niet synchroniseren om te voorkomen dat dubbele applicaties van meerdere servers worden gesynchroniseerd. Wanneer VMware Identity Manager wordt geïmplementeerd in meerdere datacenters, worden dezelfde bronnen ingesteld in de meerdere datacenters. Wanneer u deze optie inschakelt, kunnen de desktops of applicaties in uw VMware Identity Manager-catalogus niet worden gedupliceerd. 12 Selecteer in het vervolgkeuzemenu Synchronisatiefrequentie hoe vaak u de bronnen in deze verzameling wilt synchroniseren. U kunt een planning voor regelmatig synchroniseren instellen, of u kunt handmatig synchroniseren. Als u Handmatig selecteert, klikt u op Synchroniseren op de pagina Configuratie van virtuele apps nadat u de verzameling hebt ingesteld en telkens wanneer uw gepubliceerde Citrix-bronnen of - rechten worden gewijzigd. 13 Selecteer in de vervolgkeuzelijst Activeringstype op welke manier gepubliceerde Citrix-bronnen beschikbaar worden gesteld voor gebruikers in Workspace ONE. Zowel met de optie Door gebruiker geactiveerd als met de optie Automatisch worden de bronnen toegevoegd aan de pagina Catalogus. Gebruikers kunnen de bronnen op de pagina Catalogus gebruiken of ze verplaatsen naar de pagina Bladwijzers. Als u echter een goedkeuringswerkstroom voor een van de apps wilt instellen, moet u Door gebruiker geactiveerd voor die app selecteren. Het activeringsbeleid dat u op deze pagina selecteert, is van toepassing op alle gebruikersrechten voor alle bronnen in de verzameling. U kunt het activeringsbeleid voor afzonderlijke gebruikers of groepen per bron aanpassen, via de applicatie of de pagina Rechten van de desktop. U wordt aanbevolen het activeringsbeleid voor de verzameling in te stellen op Door gebruiker geactiveerd als u van plan bent een goedkeuringswerkstroom in te stellen. VMware, Inc. 156

157 14 Klik op Opslaan. De verzameling is gemaakt en wordt weergegeven op de pagina Virtuele apps. De bronnen in de verzameling zijn nog niet gesynchroniseerd. 15 Klik op Synchroniseren op de pagina Configuratie van virtuele apps als u de bronnen in de verzameling naar VMware Identity Manager wilt synchroniseren. Elke keer dat bronnen of rechten in Citrix worden gewijzigd, is een synchronisatie vereist om de wijzigingen door te voeren in VMware Identity Manager. Opmerking De functie voor anonieme gebruikersgroepen in het Citrix-product wordt niet ondersteund met VMware Identity Manager. Gepubliceerde Citrix-bronnen en bijbehorende rechten worden gesynchroniseerd met VMware Identity Manager. Wat nu te doen Configureer netwerkbereiken voor het starten van de bron. Starten van Citrix-bron in VMware Identity Manager configureren Nadat u de pagina Gepubliceerde Citrix-applicaties hebt geconfigureerd, configureert u netwerk-ipbereiken voor het starten van bronnen. U kunt opgeven of startverkeer voor applicaties of desktops van gebruikers (ICA-verkeer) van specifieke netwerkbereiken wordt via NetScaler of via een directe verbinding met de XenApp-server wordt geleid. Op deze manier kunt u voldoen aan de behoeften van gebruikers om zowel externe als interne toegang tot de Citrix-bronnen in uw implementatie te hebben. Wanneer een gebruiker een applicatie of desktop start via de Workspace ONE-portal en het IP-adres van de gebruiker in een netwerkbereik valt dat is geconfigureerd voor NetScaler, wordt het ICA-verkeer via NetScaler naar de XenApp-server geleid. Als het IP-adres in het bereik van de directe verbinding valt, wordt het ICA-verkeer direct naar de XenApp-server geleid. Het starten van bronnen configureren voor intern netwerk U kunt de netwerkbereiken configureren waarvoor het startverkeer voor applicaties of desktops van gebruikers (ICA-verkeer) direct naar de XenApp-server moet worden geleid. Dit wordt doorgaans gebruikt om interne toegang te bieden tot gepubliceerde Citrix-bronnen. Wanneer een gebruiker een applicatie of desktop start via de Workspace ONE-portal en het IP-adres van de gebruiker in het bereik voor de directe verbinding valt, wordt het ICA-verkeer direct naar de XenAppserver geleid. Opmerking Zie Het starten van bronnen voor externe netwerken met NetScaler configureren om het starten van bronnen voor externe netwerken te configureren. VMware, Inc. 157

158 Procedure 1 Meld u aan op de beheerconsole van VMware Identity Manager. 2 Controleer uw netwerkbereiken en maak zo nodig nieuwe. a b c Klik op het tabblad Identiteits- en toegangsbeheer > Beleidsregels. Klik op Netwerkbereiken. Controleer de netwerkbereiken en klik op Netwerkbereik toevoegen om zo nodig nieuwe bereiken toe te voegen. 3 Klik op het tabblad Catalogus > Virtuele apps en klik op Instellingen voor virtuele apps. 4 Selecteer Netwerkinstellingen. 5 Selecteer het netwerkbereik om het starten van een interne Citrix-bron te configureren. 6 Voer de volgende informatie in het XenApp-gedeelte van de pagina in. a Voer de hostnaam van de XenApp-server in het veld URL host client-toegang in. Bijvoorbeeld: xenapphost.example.com Als er een load balancer vóór de XenApp-servers is, voert u de URL voor clienttoegang in de volgende indeling in: loadbalancerurl/citrix/storeweb Opmerking Als u het selectievakje StoreFront gebruiken hebt ingeschakeld voor de serverfarm tijdens het maken van de Citrix-verzameling van virtuele apps, voert u dezelfde URL in die u hebt ingevoerd in het veld StoreFront-URL. b Voer de poort in het veld URL poort in. Bijvoorbeeld: 443 Als u de URL van een load balancer hebt ingevoerd in het veld URL voor clienttoegang heeft, gebruik u poort 443. c Schakel het selectievakje NetScaler uit voor directe verbindingen. VMware, Inc. 158

159 7 Klik op Voltooien. Het starten van bronnen voor externe netwerken met NetScaler configureren VMware Identity Manager ondersteunt Citrix-implementaties die NetScaler bevatten. Een Netscalerappliance wordt standaard gebruikt voor externe toegang tot XenApp- of XenDesktop-applicaties of - desktops. Wanneer uw Citrix-implementatie een NetScaler-appliance bevat, kunt u VMware Identity Manager configureren met de juiste instellingen zodat het verkeer via NetScaler naar de XenApp-server wordt geleid wanneer gebruikers Citrix-bronnen starten. Om VMware Identity Manager te configureren moet u een veilige ticketautoriteit (Secure Ticket Authority, STA)-server voor elke XenApp-farm specificeren. De STA-server wordt gebruikt om STA-tickets te genereren en te valideren tijdens het starten van de applicatie. U kunt ook een beleid instellen op IP-bereiken van het clientnetwerk dat specificeert of het startverkeer via NetScaler naar de XenApp-server wordt geleid, of dat het direct naar de XenApp-server wordt geleid. Op deze manier voorziet u zowel in de behoeften voor externe als interne toegang. Opmerking VMware Identity Manager ondersteunt ook Citrix Secure Gateway. De configuratiestappen in deze sectie zijn van toepassing op zowel NetScaler als Citrix Secure Gateway. Opmerking Om gebruik te maken van de functie NetScaler, moet u Integration Broker 2.4 of hoger gebruiken. U kunt de Integration Broker downloaden via My VMware. Upgraden wordt niet ondersteund. Verwijder eerst de oude versie en installeer daarna de nieuwe versie. VMware, Inc. 159

160 De URL van de STA-Server voor de NetScaler-gateway ophalen Voordat u instellingen voor NetScaler in VMware Identity Manager configureert, haalt u de URL van de Secure Ticket Authority-server (STA) op die is gekoppeld aan de NetScaler-gateway. Deze procedure bevat de stappen voor NetScaler 11. Procedure 1 Navigeer naar Configuratie > NetScaler-gateway > Virtuele servers in de beheerinterface van NetScaler. 2 Dubbelklik op de virtuele server. 3 Klik in het geopende venster onder Gepubliceerde toepassingen op STA-server. 4 Maak een aantekening van de Secure Ticket Authority Server-URL. VMware, Inc. 160

161 Instellingen voor NetScaler in VMware Identity Manager configureren Om VMware Identity Manager te configureren voor NetScaler, moet u een Secure Ticket Authority-server (STA) voor elke XenApp-farm in uw Citrix-implementatie opgeven. De STA-server wordt gebruikt om STAtickets te genereren en te valideren tijdens het starten van de applicatie of desktop. Wanneer een gebruiker een applicatie of desktop start, verkrijgt VMware Identity Manager een ticket van de STA-server. Het ticket wordt samen met andere informatie gepresenteerd aan NetScaler en NetScaler valideert het ticket met de STA-server voordat een beveiligde verbinding met de XenApp-farm tot stand wordt gebracht. Opmerking De informatie in dit onderwerp is ook van toepassing op Citrix Secure Gateway. Vereisten Haal de informatie van de STA-server voor elke XenApp-farm op. Procedure 1 Selecteer het tabblad Catalogus > Virtuele apps in de VMware Identity Manager-beheerconsole en klik vervolgens op Configuratie van virtuele apps. 2 Klik op de verzameling die de XenApp-farm bevat waarvoor u een STA-server wilt opgeven. 3 Blader naar het gedeelte Serverfarms en geef een of meer STA-servers voor de serverfarm op. a Voer in het veld STA-server de URL van de STA-server in met de volgende indeling. transporttype://server:poort Bijvoorbeeld: In de URL zijn alleen alfanumerieke tekens, punten (.), en koppeltekens (-) toegestaan. b Klik op Toevoegen aan lijst. De server wordt weergegeven in de lijst XenApp STA-servers. VMware, Inc. 161

162 c d Voer extra STA-servers in, indien nodig. U kunt bijvoorbeeld een tweede STA-server toevoegen als failover. Als u meerdere STA-servers hebt toegevoegd, selecteert u de failovervolgorde in het veld XenApp STA-servers. 4 Klik op Opslaan. 5 Specificeer een STA-server voor elke farm wanneer er meerdere XenApp-farms in uw implementatie zijn. Wat nu te doen Configureer het beleid voor specifieke netwerk-ip-bereiken dat bepaalt dat het startverkeer via NetScaler naar de XenApp-server moet worden geleid. Netwerkbereik configureren voor NetScaler U kunt de netwerkbereiken configureren waarvoor het startverkeer voor applicaties of desktops van gebruikers (ICA-verkeer) via NetScaler naar XenApp-server moet worden geleid. Dit wordt doorgaans gebruikt om externe toegang tot gepubliceerde Citrix-bronnen te bieden. Wanneer een gebruiker een applicatie of desktop start via de Workspace ONE-portal en het IP-adres van de gebruiker in het bereik valt dat is geconfigureerd voor NetScaler, wordt het ICA-verkeer via NetScaler naar de XenApp-server geleid. Opmerking Zie Het starten van bronnen configureren voor intern netwerk als u het starten van bronnen wilt configureren voor interne netwerken. Opmerking De informatie in dit onderwerp is ook van toepassing op Citrix Secure Gateway. Als u Citrix Secure Gateway gebruikt in plaats van NetScaler, voert u de hostnaam en poort voor Secure Gateway in en schakelt u het selectievakje NetScaler in. Vereisten U hebt VMware Identity Manager voor NetScaler geconfigureerd in de Citrix-verzameling van virtuele apps. Procedure 1 Meld u aan op de beheerconsole van VMware Identity Manager. 2 Controleer uw netwerkbereiken en maak zo nodig nieuwe. a b c Klik op het tabblad Identiteits- en toegangsbeheer > Beleidsregels. Klik op Netwerkbereiken. Controleer de netwerkbereiken en klik op Netwerkbereik toevoegen om zo nodig nieuwe bereiken toe te voegen. 3 Klik op het tabblad Catalogus > Virtuele apps en klik op Instellingen voor virtuele apps. VMware, Inc. 162

163 4 Selecteer Netwerkinstellingen. 5 Selecteer het netwerkbereik dat u wilt configureren voor het starten van de Citrix-bron. 6 Voer de volgende informatie in het XenApp-gedeelte van de pagina in. a Voer de hostnaam van NetScaler in het veld URL host client-toegang in. Bijvoorbeeld: netscalerhost.example.com b Voer de poort in het veld URL poort in. Bijvoorbeeld: 443 c Schakel het selectievakje NetScaler in. 7 Klik op Opslaan. Instellingen voor VMware Identity Manager configureren voor Citrix-integratie U kunt diverse instellingen in VMware Identity Manager configureren voor de Citrix-integratie. Categorieën beheren voor door gepubliceerde Citrix-bronnen U kunt de VMware Identity Manager-beheerconsole en uw Citrix-implementatie gebruiken om de gepubliceerde Citrix-broncategorieën te beheren. U geeft in uw Citrix-implementatie een gepubliceerde Citrix-applicatie of desktop een categorienaam door het tekstvak van de Map clientapplicatie in de broneigenschappen te bewerken. Wanneer u uw Citriximplementatie bewerkt met VMware Identity Manager, worden bestaande categorienamen voor gepubliceerde Citrix-toepasingen en -desktops overgedragen aan VMware Identity Manager. Na de integratie kunt u verder gaan met het aanmaken van categorieën in uw Citrix-implementatie. Als u het selectievakje Categorieën van serverfarms synchroniseren voor de verzameling hebt ingeschakeld, worden de nieuwe categorieën tijdens de volgende synchronisatie overgedragen aan VMware Identity Manager. Zie Citrix-serverfarms configureren in VMware Identity Manager. U kunt categorieën ook rechtstreeks aanmaken in VMware Identity Manager. Zie de Beheergids voor VMware Identity Manager voor informatie over het gebruik van broncategorieën. In de beheerconsole, kunt u categorieën maken en bekijken van alle gepubliceerde Citrix-bronnen door te klikken op het tabblad Catalogus > Virtuele Appsen vervolgens op Elk Applicatietype en selecteert u Gepubliceerde Citrix-applicaties voor applicaties of Gepubliceerde Citrix-leveringsgroepen voor bureaubladen. U kunt de categorieën bekijken en bewerken van een specifieke door Citrix gepubliceerde bron door op de naam van de bron te klikken en Detailste selecteren. Wanneer u een categorie aanmaakt in VMware Identity Manager, wordt de categorie nooit in uw Citriximplementatie weergegeven. VMware, Inc. 163

164 Wanneer u een categorie in uw Citrix-implementatie aanmaakt, wordt de categorie bij de volgende synchronisatie weergegeven in VMware Identity Manager. Wanneer u een categorienaam in uw Citriximplementatie bijwerkt, wordt de naam van de bijgewerkte categorie weergegeven in VMware Identity Manager en blijft de oorspronkelijke categorienaam behouden. Wanneer u de oorspronkelijke categorienaam uit VMware Identity Manager wilt verwijderen, moet u deze handmatig verwijderen. Leveringsinstellingen (ICA-eigenschappen) configureren voor Citrix-gepubliceerde bronnen U kunt de leveringsinstellingen van door Citrix gepubliceerde applicaties en desktops bewerken in de VMware Identity Manager-beheerconsole. Naar desktops wordt verwezen als leveringsgroepen. U kunt de leveringsinstellingen globaal bewerken voor alle door Citrix gepubliceerde applicaties en door Citrix gepubliceerde desktops die beschikbaar zijn via uw VMware Identity Manager-implementatie, of individueel voor specifieke door Citrix gepubliceerde bronnen. U configureert de leveringsinstellingen door de Independent Computing Architecture-eigenschappen (ICA) te bewerken. ICA is een eigen protocol van Citrix. Er is een uitgebreide reeks ICA-eigenschappen beschikbaar, regelingsgebieden als beveiliging, weergave en compressie. Raadpleeg voor meer informatie over het configureren van ICA-eigenschappen de Citrix-documentatie. VMware Identity Manager omvat globale standaardinstellingen die bepalen hoe de geconfigureerde Citrix-implementatie door Citrix gepubliceerde bronnen aan gebruikers levert. U kunt de VMware Identity Manager-standaardinstellingen bewerken en nieuwe instellingen bewerken. U kunt ook leveringsinstellingen opgeven voor individuele bronnen. Instellingen voor individuele bronnen krijgen voorrang op globale instellingen. Wanneer u ICA-eigenschappen opgeeft voor de levering van een specifieke bron, vermeldt u alle eigenschappen die noodzakelijk zijn zodat de Citrix-implementatie de bron kan leveren op de manier die u verwacht. Wanneer er leveringsinstellingen voor een individuele bron aanwezig zijn in VMware Identity Manager, is VMware Identity Manager alleen van toepassing op deze instellingen en worden alle leveringsinstellingen voor globale bronnen genegeerd. Algemene bronleveringsinstellingen bewerken voor alle gepubliceerde Citrixbronnen U kunt de algemene leveringsinstellingen voor gepubliceerde Citrix-applicaties en -desktops bewerken in uw VMware Identity Manager-implementatie. De velden ICA-eigenschappen voor deze algemene instellingen zijn gevuld met standaardwaarden totdat u deze bewerkt. Belangrijk ICA-eigenschappen die zijn opgegeven op het tabblad Gepubliceerde Citrix-applicaties > ICA-configuratie, of op het tabblad Gepubliceerde Citrix-leveringsgroepen > ICA-configuratie in 'Instellingen voor virtuele apps' zijn van toepassing op startverkeer dat via een directe verbinding gaat. Zie ICA-eigenschappen bewerken voor NetScaler om verkeer te starten dat via Netscaler wordt geleid. VMware, Inc. 164

165 Procedure 1 Meld u aan bij de Beheerconsole. 2 Selecteer het tabblad Catalogus > Virtuele apps en klik op Instellingen voor virtuele apps. 3 Selecteer Gepubliceerde Citrix-applicaties om ICA-instellingen voor applicaties te bewerken, of selecteer Gepubliceerde Citrix-leveringsgroepen om ICA-instellingen voor desktops te bewerken. Bijvoorbeeld: 4 Bewerk op het tabblad ICA-configuratie de ICA-eigenschappen volgens de richtlijnen van Citrix. De velden ICA-clienteigenschappen en ICA-starteigenschappen moeten allebei worden gebruikt. Beide velden moeten een waarde bevatten, of beide velden moeten leeg zijn. 5 Klik op Opslaan. Uw Citrix-implementatie past de algemene ICA-eigenschappen toe wanneer deze gepubliceerde Citrixbronnen beschikbaar via VMware Identity Manager aan gebruikers levert, behalve wanneer afzonderlijke bronnen eigen bronleveringsinstellingen hebben. Leveringsinstellingen bewerken voor een enkele gepubliceerde Citrix-bron U kunt de leveringsinstellingen (ICA-eigenschappen) voor afzonderlijke gepubliceerde Citrix-applicaties en desktops bewerken in uw VMware Identity Manager-implementatie. De tekstvakken voor ICA-eigenschappen voor afzonderlijke applicaties zijn standaard leeg. VMware, Inc. 165

166 Wanneer u de ICA-eigenschappen van een afzonderlijke gepubliceerde Citrix-bron bewerkt, hebben die instellingen prioriteit boven de algemene instellingen. Zie Algemene bronleveringsinstellingen bewerken voor alle gepubliceerde Citrix-bronnen voor informatie over algemene instellingen. Belangrijk ICA-eigenschappen die zijn ingesteld voor afzonderlijke applicaties of desktops, worden niet toegepast op ICA-verkeer dat via NetScaler wordt geleid. Alleen de algemene instellingen op het tabblad Gepubliceerde Citrix-applicaties > NetScaler ICA-configuratie en het tabblad Gepubliceerde Citrixleveringsgroepen > NetScaler ICA-configuratie in 'Instellingen voor virtuele apps' zijn van toepassing op ICA-verkeer dat via NetScaler wordt geleid. Zie ICA-eigenschappen bewerken voor NetScaler voor meer informatie. Procedure 1 Meld u aan op de beheerconsole. 2 Selecteer het tabblad Catalogus > Virtuele apps. 3 Klik op Elk applicatiestype > Gepubliceerde Citrix-applicaties om instellingen voor applicaties te bewerken, of klik op Elk applicatiestype > Gepubliceerde Citrix-leveringsgroepen om instellingen voor desktops te bewerken. 4 Klik op de naam van de gepubliceerde Citrix-bron die u wilt bewerken. 5 Klik op Configuratie. 6 Bekijk de informatie over de bron zoals deze wordt doorgestuurd via uw Citrix-implementatie. Op de pagina staat verschillende informatie over de bron, zoals de naam van de bron, de bron-id en de naam van de server. Deze pagina geeft ook informatie over het inschakelen van de bronnen. Als het selectievakje Ingeschakeld niet is ingeschakeld, is de bron in uw Citrix-implementatie uitgeschakeld en verborgen voor gebruikers. 7 Voeg eigenschappen toe aan de tekstvakken van de ICA-eigenschappen, of bewerk bestaande eigenschappen volgens de richtlijnen van Citrix. Opmerking Zowel het tekstvak ICA-clienteigenschappen als het tekstvak ICAstarteigenschappen moet een waarde bevatten, of leeg zijn. 8 Klik op Opslaan. ICA-eigenschappen bewerken voor NetScaler U kunt de leveringsinstellingen configureren voor gepubliceerde Citrix-bronnen door ICA-eigenschappen te bewerken. Voor ICA-verkeer dat via NetScaler wordt geleid, bewerkt u de ICA-eigenschappen op het tabblad Gepubliceerde Citrix-toepassingen > NetScaler ICA-configuratie, of op het tabblad Gepubliceerde Citrix-leveringsgroepen > NetScaler ICA-configuratie in 'Instellingen voor virtuele apps'. VMware, Inc. 166

167 Applicatieleveringsinstellingen die zijn ingesteld voor afzonderlijke Citrix-bronnen gelden niet voor ICAverkeer dat via NetScaler wordt geleid. Opmerking Zie Algemene bronleveringsinstellingen bewerken voor alle gepubliceerde Citrix-bronnen om ICA-eigenschappen te bewerken voor ICA-verkeer dat via een directe verbinding wordt geleid en niet via NetScaler. Procedure 1 Meld u aan op de beheerconsole. 2 Selecteer het tabblad Catalogus > Virtuele apps en klik vervolgens op Instellingen voor virtuele apps. 3 Selecteer Gepubliceerde Citrix-toepassingen voor applicaties of Gepubliceerde Citrixleveringsgroepen voor desktops en selecteer vervolgens het tabblad ICA-eigenschappen NetScaler ICA. De velden voor eigenschappen worden gevuld met standaardinstellingen. 4 Bewerk de eigenschappen voor ICA-client- of starteigenschappen. U kunt de waarden van de eigenschappen wijzigen, of nieuwe toevoegen. Zie de documentatie van Citrix voor informatie over ICA-eigenschappen. Opmerking De velden ICA-clienteigenschappen en ICA-starteigenschappen moeten allebei worden gebruikt. Beide velden moeten een waarde bevatten, of beide velden moeten leeg zijn. 5 Klik op Opslaan. Toegangsbeleid instellen voor specifieke applicaties en desktops Het ingestelde standaardtoegangsbeleid is van toepassing op alle applicaties en desktops in uw catalogus. U kunt ook toegangsbeleid voor individuele applicaties of desktoppools instellen, dat het standaardtoegangsbeleid overschrijft. VMware, Inc. 167

168 U kunt een toegangsbeleid toepassen op een of meer applicaties en desktops op de beleidspagina of het toegangsbeleid voor een specifieke applicatie selecteren op de configuratiepagina's voor applicaties. Raadpleeg de handleiding Beheer VMware Identity Manager voor meer informatie over toegangsbeleid. Procedure 1 Volg deze stappen als u via de beleidspagina een toegangsbeleid wilt toepassen op applicaties en desktops. a b c d e Navigeer naar de pagina Identiteits- en toegangsbeheer > Beheren > Beleidsregels. Klik op een beleid om het te bewerken of klik op Beleid toevoegen om een nieuw beleid te maken. Bewerk of definieer het beleid op de beleidspagina. Geef in het gedeelte IP-bereiken de IP-bereiken op waarop u de instellingen wilt toepassen. Klik op Opslaan. 2 Selecteer deze stappen als u een toegangsbeleid voor een specifieke applicatie wilt selecteren op de configuratiepagina voor de applicatie. a b c d Klik op het tabblad Catalogus > Virtuele apps. Klik op de applicatie. Klik in het linkerdeelvenster op Toegangsbeleid. Selecteer het toegangsbeleid voor de applicatie en klik op Opslaan. Gebruikers- en groepsrechten beheren in door Citrix gepubliceerde bronnen U kunt de door Citrix gepubliceerde applicaties en desktops zien waarvoor uw VMware Identity Managergebruikers en -groepen rechten hebben. Naar desktops wordt in de VMware Identity Managerbeheerconsole verwezen als leveringsgroepen. Belangrijk U kunt VMware Identity Manager niet gebruiken om wijzigingen aan te brengen in uw Citriximplementatie. Als een Citrix-beheerder wijzigingen aanbrengt, zoals nieuwe gebruikers rechten geven voor een door Citrix gepubliceerde bron, of een nieuwe serverfarm toevoegen, moet u een synchronisatie forceren om de wijzigingen uit te dragen in VMware Identity Manager. Vereisten Voor de laatste updates synchroniseert u bronnen en rechten handmatig van de Citrix-serverfarms naar VMware Identity Manager door op Synchroniseren te klikken op de pagina Configuratie van virtuele apps. Procedure 1 Meld u aan op de beheerconsole van VMware Identity Manager. VMware, Inc. 168

169 2 Bekijk gebruikers- en groepsrechten in door Citrix gepubliceerde bronnen Door Citrix gepubliceerde bronnen zijn onder andere door Citrix gepubliceerde applicaties en door Citrix gepubliceerde desktops, die ook leveringsgroepen worden genoemd. Optie Actie Bekijk de lijst met gebruikers en groepen die rechten hebben voor een specifieke door Citrix gepubliceerde bron. Bekijk de lijst met door Citrix gepubliceerde bronrechten voor een specifieke gebruiker of groep. a b c a b c d Klik op het tabblad Catalogus > Virtuele apps. Klik op Elk applicatietype en selecteer Gepubliceerde Citrix-applicaties om applicaties te bekijken of Gepubliceerde Citrix-leveringsgroepen om desktops te bekijken. Klik op de naam van de door Citrix gepubliceerde bron waarvoor u rechten wilt vermelden. Het tabblad Rechten is standaard geselecteerd. Groepsrechten en gebruikersrechten worden vermeld in aparte tabellen. Klik op het tabblad Gebruikers en groepen. Klik op het tabblad Gebruikers of het tabblad Groepen. Klik op de naam van een individuele gebruiker of groep. Klik op het tabblad Apps. Door Citrix gepubliceerde bronnen met rechten worden vermeld in de tabellen Gepubliceerde Citrix-applicaties en Gepubliceerde Citrix-leveringsgroepen. Door Citrix gepubliceerde bronnen in verschillende browsers starten Wanneer gebruikers een door Citrix gepubliceerde desktop of applicatie starten vanuit de Workspace ONE-portal, wordt er een ICA-bestand gedownload en doorgegeven aan de Citrix Receiver. Citrix Receiver is van nature een OS-applicatie die door Citrix gepubliceerde desktops en applicaties start. De startervaring verschilt per platform en browser. Startprocedure Afhankelijk van het platform en de browser wordt de applicatie of desktop op verschillende manieren gestart. In sommige gevallen wordt de applicatie of desktop rechtstreeks gestart. In andere gevallen moet de gebruiker het.ica-bestandstype eerst aan Citrix Receiver koppelen zodat de applicatie of desktop rechtstreeks kan worden gestart. In een aantal gevallen moet de gebruiker op het gedownloade ICAbestand klikken om de applicatie of desktop te starten. Bekijk de tabel voor gedetailleerde informatie. Platform Browser Hoe de applicatie of desktop wordt gestart Vereiste handeling Windows Firefox Start de applicatie of desktop rechtstreeks Geen Chrome Start de applicatie of desktop rechtstreeks. Opmerking Bij Citrix 4.5 Receiver en XenDesktop zijn er bekende problemen met het starten van leveringsgroepen. Geen VMware, Inc. 169

170 Platform Browser Hoe de applicatie of desktop wordt gestart Vereiste handeling Internet Explorer Edge Downloadt het ICA-bestand met een.icaextensie. Nadat het bestandstype aan de Citrix Receiver is gekoppeld, wordt de applicatie of desktop automatisch gestart. Start de applicatie of desktop rechtstreeks. Opmerking Bij Citrix 4.5 Receiver en XenDesktop zijn er bekende problemen met het starten van leveringsgroepen. In de browser koppelt u het.icabestandstype eerst aan de Citrix Receiver. Geen Mac Safari, Firefox Start de applicatie of desktop rechtstreeks Geen Chrome Start de applicatie of desktop rechtstreeks Geen Windows Surface Chrome Downloadt het ICA-bestand met een.icaextensie. Nadat het bestandstype aan de Citrix Receiver is gekoppeld, wordt de applicatie of desktop automatisch gestart. In de browser koppelt u het.icabestandstype eerst aan de Citrix Receiver. Android Chrome Downloadt het ICA-bestand Klik op het ICA-bestand om de desktop of applicatie te starten. ios Safari Downloadt het ICA-bestand Klik op het ICA-bestand om de desktop of applicatie te starten. Chrome Kan het ICA-bestand niet downloaden Dit scenario wordt niet ondersteund. Citrix Receiver-plug-in in Firefox toestaan Wanneer gebruikers een gepubliceerde Citrix-applicatie starten in Firefox, worden ze gevraagd om de Citrix Receiver-plug-in toe te staan. toestaan om Citrix Receiver uit te voeren? Gebruikers moeten op Nu toestaan of Toestaan en onthouden klikken om de applicatie te starten. Impact van upgrade op integratie van gepubliceerde Citrix-bronnen U hoeft verder niets in te stellen na een VMware Identity Manager-upgrade of een Citrix-productupgrade om de integratie tussen VMware Identity Manager en door Citrix gepubliceerde bronnen te behouden. VMware, Inc. 170