Configurando recursos no VMware Identity Manager. Modificado em 3 DE NOVEMBRO DE 2017 VMware Identity Manager 2.9.1

Transcrição

1 Configurando recursos no VMware Identity Manager Modificado em 3 DE NOVEMBRO DE 2017 VMware Identity Manager 2.9.1

2 Você pode encontrar a documentação técnica mais atualizada no site da VMware, em: Caso tenha comentários sobre esta documentação, envie seu feedback para: docfeedback@vmware.com VMware, Inc Hillview Ave. Palo Alto, CA Copyright VMware, Inc. Todos os direitos reservados. Informações de direitos autorais e marcas registradas. VMware, Inc. 2

3 Conteúdo Sobre a configuração de recursos no VMware Identity Manager 5 1 Introdução à configuração de recursos no VMware Identity Manager 6 2 Fornecendo acesso a aplicativos Web 8 Adicionando aplicativos Web ao catálogo da sua organização 8 Usando adaptadores de provisionamento 13 3 Fornecendo acesso aos pools de desktops e de aplicativos do View, do Horizon 6 ou do Horizon 7 25 Integrando pods do View independentes 26 Integrando implantações da Arquitetura do Cloud Pod (CPA) do View 33 Habilitando várias URLs de acesso do cliente para intervalos de rede personalizados 47 Visualizando as informações de conexão para pools de desktops e de aplicativos do View 48 Visualizando direitos de grupo e de usuário para pools de desktops e aplicativos do View 48 Definindo o tipo de implantação para direitos do View 49 Visualizando opções de inicialização para desktops e aplicativos do View 51 Inicializando um aplicativo ou desktop do View 53 Permitindo que os usuários redefinam seus desktops do View no VMware Identity Manager 54 Especificando políticas de acesso para desktops e aplicativos específicos 54 Reduzindo o uso de recursos e aumentando o desempenho do desktop do VMware Identity Manager em desktops não persistentes do View 55 4 Fornecendo acesso ao VMware Horizon Cloud Service 57 Integrando desktops e aplicativos do Horizon Cloud 58 Exibindo detalhes de pools de aplicativos e desktops do Horizon Cloud 66 Exibindo direitos de usuário e de grupo para desktops e aplicativos do Horizon Cloud 67 Especificando políticas de acesso para desktops e aplicativos específicos 67 Definindo o tipo de implantação para direitos do Horizon Cloud 68 Inicializando um desktop ou aplicativo do Horizon Cloud 70 5 Fornecendo acesso a pacotes ThinApp da VMware 72 Integrando pacotes do VMware ThinApp 73 Autorizar usuários e grupos aos pacotes ThinApp 84 Distribuindo e gerenciando pacotes ThinApp usando o VMware Identity Manager 86 Atualizando pacotes ThinApp gerenciados após a implantação no VMware Identity Manager 90 Excluir pacotes ThinApp do VMware Identity Manager 96 Tornar pacotes ThinApp existentes compatíveis com o VMware Identity Manager 97 VMware, Inc. 3

4 Alterar a pasta de compartilhamento dos pacotes ThinApp 99 Especificando políticas de acesso para desktops e aplicativos específicos Configurando o VMware Identity Manager Desktop 101 Opções do instalador da linha de comando para o desktop do VMware Identity Manager 102 Instale o aplicativo do VMware Identity Manager Desktop com configurações idênticas para vários sistemas do Windows 108 Adicionar arquivos do instalador do VMware Identity Manager Desktop aos appliances virtuais do VMware Identity Manager 110 Usando o aplicativo da linha de comando hws-desktop-ctrl.exe Fornecendo acesso aos recursos publicados Citrix 113 Visão Geral 113 Componentes necessários para a integração da Citrix 114 Design de integração de alto nível 114 Pré-requisitos para a integração da Citrix 119 Configurando farms de servidores Citrix no VMware Identity Manager 139 Configurando a inicialização de recursos Citrix no VMware Identity Manager 143 Definindo as configurações do VMware Identity Manager para a integração da Citrix 148 Impacto de atualização sobre a integração de recursos publicados Citrix Solucionando a configuração do recurso do VMware Identity Manager 159 Solução de problemas de integração do ThinApp 159 Solução de problemas de integração do Horizon 162 Solução de problemas de integração de recursos publicados Citrix 164 VMware, Inc. 4

5 Sobre a configuração de recursos no VMware Identity Manager O guia oferece instruções sobre como adicionar recursos ao catálogo do VMware Identity Manager. As instruções incluem informações sobre como personalizar os recursos e disponibilizá-los dos sistemas dos usuários, como desktops e dispositivos móveis. Os recursos compatíveis incluem aplicativos Web, aplicativos do Windows capturados como pacotes ThinApp, pools de desktops e aplicativos do View e recursos publicados Citrix. Público-alvo Estas informações destinam-se a qualquer pessoa que configura e administra os recursos do VMware Identity Manager. Elas foram escritas para administradores experientes de sistemas Windows ou Linux que estão familiarizados com a tecnologia de máquina virtual. VMware, Inc. 5

6 Introdução à configuração de recursos no VMware Identity Manager 1 Depois de instalar e configurar o VMware Identity Manager, você deve habilitar esses recursos no console de administração do VMware Identity Manager para fornecer aos usuários acesso aos recursos compatíveis. Exceto aplicativos Web, cada tipo de recurso exige que você integre o VMware Identity Manager a outro produto ou componente. Você pode integrar os seguintes tipos de recursos ao VMware Identity Manager: aplicativos Web Aplicativos e desktops do VMware Horizon Cloud Service Pools de desktops e aplicativos do Horizon 7, Horizon 6 ou do View recursos publicados Citrix Aplicativos empacotados do ThinApp Integre esses recursos na guia Catálogo no console de administração. Para integrar aplicativos Web, use o menu Adicionar Aplicativo na guia Catálogo. Para integrar e habilitar pools de desktops e aplicativos do Horizon 7, Horizon 6 ou do View, os aplicativos e desktops hospedados do VMware Horizon Cloud Service, os recursos publicados pela Citrix ou aplicativos empacotados ThinApp, use o menu Gerenciar Aplicativos de Desktop na guia Catálogo. VMware, Inc. 6

7 Você pode gerenciar as configurações globais dos recursos integrados na página Catálogo > Configurações. Você pode gerenciar configurações de aplicativos individuais selecionando o aplicativo na guia Catálogo. VMware, Inc. 7

8 Fornecendo acesso a aplicativos Web 2 No serviço do VMware Identity Manager, você pode adicionar os aplicativos Web externos da sua organização e autorizar os usuários a eles. Para permitir que os usuários acessem um aplicativo da Web por meio do serviço, verifique se os seguintes requisitos foram atendidos: Se você configurar o aplicativo da Web para usar um protocolo de federação, use o SAML 1.1, o SAML 2.0 ou WS-Federation 1.2. Configurar o aplicativo da Web para usar um protocolo de federação não é um requisito. Os usuários que você planeja autorizar para o aplicativo Web são usuários registrados desse aplicativo ou você planeja configurar o adaptador de provisionamento para o aplicativo, se disponível, para provisionar usuários do VMware Identity Manager no aplicativo. Se o aplicativo da Web for um aplicativo de vários tenants, o serviço aponta para a instância do aplicativo. Este capítulo inclui os seguintes tópicos: Adicionando aplicativos Web ao catálogo da sua organização Usando adaptadores de provisionamento Adicionando aplicativos Web ao catálogo da sua organização Você pode adicionar aplicativos Web da sua organização ao seu catálogo e torná-los acessíveis aos seus usuários e grupos. Ao adicionar uma entrada de um aplicativo Web ao catálogo, você cria um registro de aplicativo e configura o endereço do aplicativo Web. O serviço do VMware Identity Manager utiliza o registro de aplicativo como um modelo para estabelecer uma conexão segura com o aplicativo Web. Os seguintes métodos podem ser usados para adicionar registros de aplicativos Web ao seu catálogo na guia Catálogo. VMware, Inc. 8

9 Método Do catálogo de aplicativo na nuvem Criar um novo Importar um arquivo ZIP ou JAR Descrição Os tipos de aplicativos Web empresariais populares estão listados no catálogo de aplicativo na nuvem. Esses aplicativos são configurados parcialmente. Você deve concluir o restante do formulário de registro de aplicativo. Você pode adicionar aplicativos Web ao seu catálogo que não estão listados no catálogo de aplicativo na nuvem. O registro de aplicativo desses aplicativos Web é mais genérico do que o de aplicativos do catálogo de aplicativo na nuvem. Insira as informações de descrição e configuração do aplicativo para criar o registro de aplicativo. Você pode importar um aplicativo Web configurado anteriormente no serviço. Talvez você deseje usar esse método para mover uma implantação da preparação para produção. Nessa situação, exporte um aplicativo Web da implantação de preparação como um arquivo ZIP. Em seguida, importe o arquivo ZIP para a implantação de produção. Depois de adicionar aplicativos Web ao catálogo, você poderá configurar as informações de direitos, políticas de acesso, licenciamento e provisionamento. Os aplicativos Web são adicionados no console de administração. Faça login com a função de usuário administrador atribuída a partir do Active Directory ou do diretório LDAP. Adicione um Aplicativo da Web ao seu Catálogo a partir do Catálogo de Aplicativos de Nuvem O catálogo de aplicativos na nuvem é preenchido com os aplicativos Web. Esses aplicativos incluem algumas informações em seus registros dos aplicativos. Ao adicionar uma aplicativo Web ao seu catálogo por meio do catálogo de aplicativos na nuvem, você deverá fornecer informações adicionais para completar o registro do aplicativo. Também é possível que você precise trabalhar com seus representantes de conta de aplicativo da Web para completar outras configurações que se façam necessárias. Muitos dos aplicativos do catálogo de aplicativos na nuvem usam SAML (SAML 1 ou SAML 2) para trocar os dados de autenticação e autorização para verificar se os usuários podem acessar um aplicativo Web. Ao adicionar um aplicativo da Web ao catálogo, você estará criando uma entrada que aponta indiretamente para o aplicativo da Web. A entrada é definida pelo registro do aplicativo, correspondendo a um formato que inclui uma URL para o aplicativo da Web. Você pode aplicar uma política de acesso para controlar o acesso do usuário ao aplicativo. Se você não desejar usar a política de acesso padrão, crie uma nova. Consulte o Guia de administração do VMware Identity Manager para obter informações sobre como gerenciar políticas de acesso. Procedimentos 1 No console de administração, clique na guia Catálogo. 2 Clique emadicionar Aplicativo > Aplicativo da Web...a partir do catálogo de aplicativos na nuvem. VMware, Inc. 9

10 3 Clique no ícone do aplicativo da Web que você deseja adicionar. O registro do aplicativo é adicionado ao seu catálogo e a página Detalhes aparece com o nome e o perfil de autenticação já especificado. 4 (Opcional) Personalize as informações na página Detalhes para que você possa se organizar de acordo com suas necessidades. Os itens da página são preenchidos com informações específicas para o aplicativo da Web. Você pode editar alguns dos itens, dependendo do aplicativo. Item do formulário Nome Descrição Solicitar Navegador VMware Ícone Categorias Descrição O nome do aplicativo. Uma descrição do aplicativo que os usuários podem ler. Habilite essa caixa de seleção para solicitar que este aplicativo abra apenas no Navegador VMware quando o aplicativo for acessado por meio do aplicativo Workspace ONE em dispositivos ios e Android. Clique em Navegar para fazer upload de um ícone para o aplicativo. Os ícones nos formatos de arquivo PNG, JPG e ICON, com até 4MB, são suportados. Os ícones de aplicativo que você carrega devem ter no mínimo 180 x 180 pixels. Se o ícone for muito pequeno, ele não será exibido. Nesse caso, o ícone do Workspace ONE aparece. Para permitir que o aplicativo apareça em uma busca de categoria dos recursos do catálogo, selecione uma categoria no menu suspenso. Você deverá ter criado a categoria antes. 5 Clique em Salvar. 6 Clique em Configuração, edite os detalhes de configuração do registro do aplicativo clique em Salvar. Alguns dos itens do formulário são pré-preenchidos com informações específicas para o aplicativo da Web. Alguns dos itens pré-preenchidos são editáveis, ao passo que outros não. As informações solicitadas variam de um aplicativo para outro. Para alguns aplicativos, o formulário tem uma seção de Parâmetros do aplicativo. Caso a seção exista para um aplicativo, e um parâmetro na seção não tenha um valor padrão, forneça um valor para permitir inicialização do aplicativo. Caso o valor padrão seja fornecido, você poderá editá-lo. 7 Selecione as guias Direitos, Licenciamento e Provisionamento e personalize as informações apropriadamente. Guia Direitos Políticas de acesso Descrição Autorize usuários e grupos a usar o aplicativo. Você pode configurar autorizações enquanto realiza as configurações iniciais ou posteriormente a qualquer momento. Aplique uma política de acesso para controlar o acesso do usuário ao aplicativo. VMware, Inc. 10

11 Guia Licenciamento Provisionamento Descrição Configure o rastreamento da licença. Adicione as informações sobre a licença para que o aplicativo rastreie o uso da licença nos relatórios. Selecione um adaptador de provisionamento, se aplicável. O provisionamento fornece gerenciamento automático de usuário de aplicativo a partir de um único local. Os adaptadores de provisionamento permitem que os aplicativos Web recuperem informações específicas do serviço VMware Identity Manager conforme necessário. Por exemplo, para permitir o provisionamento automático de usuários para o Google Apps, informações sobre a conta do usuário, como o nome de usuário, o primeiro nome e o sobrenome devem existir no banco de dados do Google Apps. Um aplicativo deve requerer outras informações, como a associação do grupo e as informações da função autorização. Consulte Usando adaptadores de provisionamento para obter mais informações. Próximo passo Para obter mais detalhes sobre como adicionar direitos de usuários e grupos para aplicativos Web, consulte Autorizando usuários e grupos a aplicativos Web. Adicionar um aplicativo da Web ao seu catálogo importando um arquivo ZIP ou JAR Você pode importar para seu catálogo um aplicativo da Web previamente configurado no serviço do VMware Identity Manager. Por exemplo, é possível que você deseje importar um aplicativo de seu ambiente de preparação para seu ambiente de produção. Esse processo envolve a exportação do pacote do aplicativo feita a partir do serviço e a importação desse pacote para o novo ambiente. É possível que o novo aplicativo não exija mais configurações, em especial se você realizou um teste completo nos valores de configuração do ambiente original. Para mais configurações no aplicativo da Web após a importação, veja Adicione um Aplicativo da Web ao seu Catálogo a partir do Catálogo de Aplicativos de Nuvem ou Adicionar um aplicativo Web ao seu catálogo criando um novo registro de aplicativo. Procedimentos 1 Faça login no console de administração do serviço a partir do qual você exportará o aplicativo da Web. 2 Clique na guia Catálogo. 3 Clique em Qualquer Tipo de Aplicativo > Aplicativos da Web. 4 Clique no ícone do aplicativo da Web a ser exportado. 5 Clique em Exportar. 6 Salve o pacote de aplicativo compactado para seu sistema local. 7 Faça login no console de administração do serviço no qual importar o aplicativo da Web. 8 Clique na guia Catálogo. 9 Clique em Adicionar Aplicativo > Aplicativo da Web...importar um aplicativo. VMware, Inc. 11

12 10 Clique em Navegar, navegue para o local em seu sistema local onde você salvou o pacote de aplicativo como um arquivo ZIP, selecione o arquivo e clique em Enviar. 11 Edite as informações páginas Detalhes, Configurações, Direitos, Políticas de acesso, Licenciamento e Provisionamento conforme for necessário. Próximo passo Para obter mais detalhes sobre como adicionar direitos de usuários e grupos para aplicativos Web, consulte Autorizando usuários e grupos a aplicativos Web. Para obter mais informações sobre adaptadores de provisionamento, consulte Usando adaptadores de provisionamento. Autorizando usuários e grupos a aplicativos Web Depois de adicionar aplicativos Web ao seu catálogo, você pode autorizar usuários e grupos a eles. Você pode autorizar usuários do VMware Identity Manager a aplicativos Web. Quando você autoriza um usuário a um aplicativo Web, o usuário vê o aplicativo e pode inicializá-lo pelo portal Workspace ONE. Se você remover o direito, o usuário não poderá ver ou inicializar o aplicativo. Em muitos casos, a maneira mais eficaz de autorizar usuários a aplicativos Web é adicionar um direito de aplicativo Web a um grupo de usuários. Entretanto, em certas situações, autorizar usuários individuais a um aplicativo da Web é mais apropriado. Procedimentos 1 Faça login no console de administração. VMware, Inc. 12

13 2 Autorize usuários a um aplicativo da Web. Método Descrição Acesse um aplicativo da Web e autorize usuários ou grupos a ele. Acesse a um usuário ou grupo e adicione direitos de aplicativos Web a esse usuário ou grupo. a b c d e f g a b c d e f g h Clique na guia Catálogo. Clique em Qualquer Tipo de Aplicativo > Aplicativos da Web. Clique no aplicativo da Web ao qual autorizar usuários e grupos. A página de informações do aplicativo da Web aparece com a guia Direitos selecionada por padrão. Os direitos de grupo e os direitos de usuário são listados em tabelas separadas. Clique em Adicionar direito de grupo ou Adicionar direito de usuário. Digite os nomes dos grupos ou usuários. Você pode procurar por usuários ou grupos começando a digitar uma cadeia de pesquisa e permitindo que o recurso de preenchimento automático liste as opções, ou você pode clicar em navegar para visualizar a lista inteira. Use o menu suspenso para selecionar como ativar cada aplicativo Web. Automático exibe o aplicativo por padrão na página Inicializador na próxima vez que o usuário fizer login no portal Workspace ONE. Ativado pelo Usuário requer que o usuário selecione o aplicativo na página Catálogo do portal Workspace ONE e adicione-o à página Inicializador para ativá-lo. Clique em Salvar. Clique na guia Usuários e Grupos. Clique na guia Usuários ou na guia Grupos. Clique no nome de um usuário ou grupo. Clique na guia Aplicativos e, em seguida, clique em Adicionar Direito. Na lista suspensa Tipo de aplicativo, selecione Aplicativos Web. Marque as caixas de seleção ao lado dos aplicativos Web aos quais você deseja autorizar o usuário ou o grupo. Na coluna IMPLANTAÇÃO, selecione a forma como ativar cada aplicativo Web. Automático exibe o aplicativo por padrão na página Inicializador na próxima vez que o usuário fizer login no portal Workspace ONE. Ativado pelo Usuário requer que o usuário selecione o aplicativo na página Catálogo do portal Workspace ONE e adicione-o à página Inicializador para ativá-lo. Clique em Salvar. Agora o usuário ou grupo selecionado está autorizado a usar o aplicativo da Web. Usando adaptadores de provisionamento O provisionamento fornece gerenciamento automático de usuário de aplicativo a partir de um único local. Os adaptadores de provisionamento permitem que os aplicativos Web recuperem informações específicas do serviço do VMware Identity Manager conforme necessário. Por exemplo, para permitir o provisionamento automático de usuários para o Google Apps, as informações necessárias sobre a conta do usuário, como o nome de usuário, o nome e o sobrenome, podem ser recuperadas a partir do serviço do VMware Identity Manager. VMware, Inc. 13

14 Se o provisionamento estiver habilitado para um aplicativo Web, quando você autorizar um usuário ao aplicativo no serviço do VMware Identity Manager, o usuário é provisionado no aplicativo Web. O serviço do VMware Identity Manager atualmente inclui o fornecimento de adaptadores para esses aplicativos. Google Apps Consulte Exemplo: usando o adaptador de provisionamento do Google Apps. Office 365 Socialcast Configurar o adaptador de provisionamento Os adaptadores de provisionamento estão disponíveis para alguns aplicativos Web. Os adaptadores de provisionamento permitem que você provisione usuários do VMware Identity Manager no aplicativo Web. Procedimentos 1 No console de administração, clique na guia Catálogo. 2 Clique no aplicativo Web, por exemplo, Google Apps. 3 Na página Modificar aplicativo, clique em Provisionamento. VMware, Inc. 14

15 4 Configure o provisionamento. Opção Guia de Configuração Descrição Configure o adaptador de provisionamento. a Clique em Habilitar Provisionamento. b Insira as informações da conta do aplicativo Web. As informações necessárias variam de acordo com o aplicativo. Por exemplo, para o Google Apps, você insere as informações da conta de serviço do Google. Guia de Provisionamento de Usuários Especifique os atributos para provisionar usuários no aplicativo Web. Somente atributos com um valor são usados. Você pode mapear os atributos para atributos do usuário do VMware Identity Manager ou inserir outro valor. Alguns atributos são necessários, o que significa que eles devem ter um valor. Para especificar ou alterar o valor de um atributo, clique no ícone de edição ao lado do atributo, selecione ou insira um valor e clique em Salvar. As expressões na lista suspensa são aquelas listadas na página Gerenciamento de Identidade e Acesso > Configuração > Atributos do Usuário. Para adicionar itens à lista suspensa, adicione-os à página Atributos do Usuário. Você também pode digitar um valor diretamente. Para alguns atributos, você pode especificar vários valores. Para excluir um mapeamento de atributo, clique no ícone de exclusão ao lado do atributo. Guia de Provisionamento de Grupos A guia Provisionamento de Grupos aparece somente para os adaptadores de provisionamento que suportam o provisionamento de grupos. Você seleciona o grupo do VMware Identity Manager que deseja provisionar no aplicativo Web e insere as informações necessárias. Os grupos são provisionados imediatamente. Por exemplo: O adaptador de provisionamento é configurado e o provisionamento é habilitado. VMware, Inc. 15

16 Ao autorizar um usuário para o aplicativo Web no VMware Identity Manager, o usuário também é criado no aplicativo Web. Se o tipo de implantação do direito for Automático, o usuário será provisionado imediatamente. Se o tipo de implantação for ativado pelo usuário, o usuário será provisionado quando adicionar o aplicativo Web à página Inicializador no portal Workspace ONE. Os grupos são provisionados imediatamente após serem adicionados à guia Provisionamento de Grupos. Habilitar ou desabilitar um adaptador de provisionamento Você pode habilitar ou desabilitar um adaptador de provisionamento de aplicativos Web depois de configurá-lo. Se o adaptador de provisionamento estiver habilitado, quando você der direito a um usuário para o aplicativo Web no serviço do VMware Identity Manager, o usuário também será criado no aplicativo Web. Você pode desabilitar o adaptador de provisionamento se não quiser provisionar usuários no aplicativo Web. Pré-requisitos Você configurou o adaptador de provisionamento. Procedimentos 1 No console de administração, clique na guia Catálogo e selecione o aplicativo Web. 2 Na página Modificar aplicativo, clique em Provisionamento. 3 Na guia Configuração, marque a caixa de seleção Habilitar Provisionamento para habilitar o adaptador ou desmarque a caixa de seleção para desabilitar o adaptador. Visualizar o relatório de status de provisionamento Se o provisionamento estiver habilitado para um aplicativo Web, você poderá exibir o relatório de Status de Provisionamento para o aplicativo. O relatório lista os usuários provisionados no aplicativo, o status de provisionamento de cada usuário, quaisquer mensagens de erro e o resultado do último evento para o usuário. Procedimentos 1 No console de administração, clique na seta na guia Painel e selecione Relatórios. 2 Na página Relatórios, selecione Status de Provisionamento no menu suspenso. 3 Selecione o aplicativo para o qual deseja exibir o relatório e clique em Exibir. Por exemplo: VMware, Inc. 16

17 Exemplo: usando o adaptador de provisionamento do Google Apps Você pode usar o adaptador de provisionamento do Google Apps para provisionar automaticamente usuários no Google a partir do serviço do VMware Identity Manager. Se o provisionamento estiver habilitado, sempre que você autorizar um usuário ao Google Apps no serviço, o usuário é criado no Google. Você também pode usar o adaptador para provisionar grupos no Google. Configurar a conta de serviço do Google Antes de ativar o adaptador de provisionamento do Google Apps no VMware Identity Manager, você deve criar uma conta de serviço do Google. Procedimentos 1 Crie uma conta de serviço do Google e suas credenciais. Você precisará de sua ID de cliente, do endereço de e do arquivo de chave privada da conta do serviço para habilitar o provisionamento. VMware, Inc. 17

18 2 Depois de criar a conta de serviço do Google, habilite a delegação de todo o domínio do Google Apps. a Na página Credenciais > Criar credenciais do Gerente de API, clique em Gerenciar contas de serviço. b Clique no ícone ícone ao lado de sua conta de serviço e selecione Editar. c Marque a caixa de seleção Habilitar a delegação de todo o domínio do Google Apps e clique em Salvar. 3 Delegue a autoridade de todo o domínio do Google Apps à sua conta de serviço a partir da página Segurança > Configurações avançadas > Autenticação > Gerenciar o acesso do cliente de API no console de administração do Google. Consulte a Documentação do Google para obter mais informações. Ao delegar autoridade em todo o domínio para a conta de serviço, insira os seguintes valores no campo Um ou Mais Escopos de API: pis.com/auth/admin.directory.user.alias.readonly, h/admin.directory.user.alias, eapis.com/auth/admin.directory.group.member.readonly, uth/admin.directory.group.member, group Agora você pode habilitar o provisionamento no serviço do VMware Identity Manager. Próximo passo Configure o adaptador de provisionamento do Google Apps no serviço do VMware Identity Manager. VMware, Inc. 18

19 Configurar o adaptador de provisionamento do Google Apps Configure o adaptador de provisionamento do Google Apps para provisionar usuários e grupos no Google a partir do serviço do VMware Identity Manager. Se o provisionamento estiver habilitado, sempre que você autorizar um usuário ao Google Apps no serviço, o usuário também é criado no Google. Você também pode provisionar grupos no Google. Procedimentos 1 Faça login no console de administração do VMware Identity Manager. 2 Clique na guia Catálogo. 3 Clique no Google Apps. 4 Na página Modificar aplicativo, clique em Provisionamento. 5 Na guia Configuração, configure o adaptador de provisionamento. Opção Habilitar o provisionamento Nome do usuário administrador Conta de serviço Chave privada Nome do domínio Suspender no desprovisionamento Descrição Selecione esta opção. Seu nome de usuário de administrador do Google Apps Não inclua o nome de domínio. Por exemplo: admin O do cliente da conta de serviço. Você pode obter o do cliente a partir do arquivo de chave. Copie e cole a chave privada da conta de serviço. O nome de domínio da sua empresa. Por exemplo: exemplo.com Selecione essa opção se quiser que os usuários sejam suspensos no Google quando você remover o direito deles ao Google Apps. Por exemplo: VMware, Inc. 19

20 6 Clique em Testar Conexão. Se a conexão for bem-sucedida, aparece uma mensagem "Foi estabelecida uma conexão ao serviço do Google" na parte superior da página. 7 Clique em Salvar. O provisionamento já está habilitado. Quando você autorizar um usuário ao Google Apps, se o usuário não existir no Google, o usuário será criado. Próximo passo Para concluir a configuração de provisionamento do usuário, especifique os atributos com os quais provisionar usuários no Google. Provisionar usuários no Google Para provisionar usuários no Google, você configura o adaptador do Google Apps, habilita o provisionamento e especifica os atributos com os quais provisionar os usuários no Google. Há uma lista de atributos do Google disponível. Para os atributos que você deseja usar, especifique o mapeamento do atributo. Você pode tanto mapear os atributos para atributos do usuário do VMware Identity Manager ou inserir outros valores. Os seguintes atributos são obrigatórios para usuários provisionados do Google. Esses atributos têm valores padronizados. Nome de usuário Nome Sobrenome Pré-requisitos Você configurou o adaptador de provisionamento do Google Apps e habilitou o provisionamento. Consulte Configurar o adaptador de provisionamento do Google Apps. Procedimentos 1 Na página Provisionamento, clique na guia Provisionamento de usuário. VMware, Inc. 20

21 2 Selecione os atributos com os quais provisionar usuários no Google definindo valores para eles. a b Clique no ícone de edição ao lado do atributo. Selecione ou digite um valor. As expressões na lista suspensa são aquelas listadas na página Gerenciamento de Identidade e Acesso > Configuração > Atributos do usuário. Se você deseja adicionar quaisquer expressões à lista, adicione-as à página Atributos de Usuário. Você também pode digitar um valor diretamente. Para alguns atributos, você pode especificar vários valores. Clique no ícone + no canto superior direito para adicionar um valor. Por exemplo, você pode especificar vários números de telefone para o atributo Telefones. c Clique em Salvar. 3 Para excluir um mapeamento de atributo, clique no ícone de exclusão ao lado do atributo. Atributos sem o valor expresso não são usados quando os usuários são provisionados no Google. O provisionamento de usuário agora está configurado. Quando você autorizar um usuário ao Google Apps, se o usuário não existir no Google, o usuário será criado. Observação Quando você autorizar um usuário ao Google Apps, se você definir o tipo de implantação como Automática, o usuário é provisionado imediatamente. Se você definir o tipo de implantação como Ativada pelo usuário, o usuário será provisionado quando adicionar Google Apps à página Inicializador no portal do Workspace ONE. Provisionar grupos no Google Você pode provisionar grupos no Google a partir do serviço do VMware Identity Manager usando o adaptador de provisionamento do Google Apps. Você pode selecionar qualquer um dos seus grupos do VMware Identity Manager a provisionar, independentemente se tenham sido criados localmente ou sincronizados do seu diretório corporativo. O grupo é criado no Google e os endereços de dos membros do grupo são adicionados a ele. Os Grupos do Google podem ser usados como listas de endereçamento. Eles também podem ser usados para gerenciar o acesso a documentos, sites, calendários etc. VMware, Inc. 21

22 Depois de provisionar um grupo no Google, você poderá controlá-lo como qualquer outro grupo do Google. Por exemplo, você pode adicionar ou excluir usuários. Pré-requisitos Você configurou o adaptador de provisionamento do Google Apps e habilitou o provisionamento. Consulte Configurar o adaptador de provisionamento do Google Apps. Procedimentos 1 No console de administração do VMware Identity Manager, clique na guia Catálogo. 2 Clique no Google Apps. 3 Na página Modificar aplicativo, clique em Provisionamento. 4 Na página Provisionamento, clique na guia Provisionamento de Grupo. 5 Clique em Adicionar Grupo para Provisionamento. 6 Na página Adicionar Grupo para Provisionamento exibida, insira as seguintes informações. Opção Nome do Grupo do Proprietário do Grupo do Grupo Descrição Insira o nome do grupo do VMware Identity Manager que você deseja provisionar no Google. Você pode começar a digitar para pesquisar um grupo. Insira o endereço de do proprietário do grupo. Insira um endereço de para o grupo no Google. O grupo será criado no Google com esse endereço de . O endereço de deve ser novo ou pertencer a um grupo existente do Google. Ele não deve pertencer a um usuário. Se um grupo com esse endereço de já existir no Google, os membros do grupo do VMware Identity Manager selecionado serão adicionados a esse grupo. Importante Certifique-se de que o domínio do endereço de corresponda ao domínio especificado na caixa de texto Nome do Domínio na guia Configuração. Por exemplo: 7 Clique no Provisionar. O grupo está provisionado no Google com o mesmo nome que o grupo do VMware Identity Manager e com o endereço de especificado. O status de provisionamento é exibido na guia Provisionamento do Grupo. VMware, Inc. 22

23 Próximo passo Para verificar se o grupo está provisionado no Google, siga estas etapas. 1 Faça login no console do Google Admin. 2 Clique no ícone Grupos. Talvez você precise clicar em MAIS CONTROLES na parte inferior da página para ver o ícone Grupos. 3 Selecione o novo grupo para exibir os detalhes. Desprovisionando grupos no Google É possível desprovisionar os grupos que você provisionou no Google a partir do serviço do VMware Identity Manager. O desprovisionamento de um grupo o exclui do Google. Pré-requisitos Verifique se o adaptador de provisionamento do Google Apps está configurado no serviço do VMware Identity Manager. Consulte Configurar o adaptador de provisionamento do Google Apps. Procedimentos 1 No console de administração do VMware Identity Manager, clique na guia Catálogo. 2 Clique no Google Apps. 3 Na página Modificar aplicativo, clique em Provisionamento e, em seguida, clique na guia Provisionamento de Grupo. 4 Na tabela, marque a caixa de seleção ao lado do grupo que deseja desprovisionar e clique em Desprovisionar. O grupo é excluído do Google. Ele também é removido da página Provisionamento de Grupo. Habilitar ou desabilitar o adaptador de provisionamento do Google Apps Se o provisionamento do Google Apps estiver habilitado, sempre que você autorizar um usuário ao Google Apps no serviço, o usuário também é criado no Google. Você pode desabilitar o adaptador de provisionamento se não quiser provisionar usuários no Google. Procedimentos 1 No console de administração, clique na guia Catálogo. 2 Clique no Google Apps. 3 Na página Modificar aplicativo, clique em Provisionamento. 4 Na página Provisionamento, clique na guia Configuração, se não estiver selecionada. 5 Marque a caixa de seleção Habilitar Provisionamento para habilitar o adaptador ou desmarque a caixa de seleção para desabilitar o adaptador. 6 Clique em Salvar. VMware, Inc. 23

24 Informações adicionais Há disponíveis informações adicionais na configuração de Single Sign-On baseado em SAML para aplicativos Web específicos, como o Office 365 e o Google Apps. Se aplicável, são incluídas informações sobre adaptadores de provisionamento. Consulte o site da Documentação de Integrações do VMware Identity Manager. VMware, Inc. 24

25 Fornecendo acesso aos pools de desktops e de aplicativos do View, do Horizon 6 ou do Horizon 7 3 Ao integrar o ambiente do View, do Horizon 6 ou do Horizon 7 da sua organização à implantação do VMware Identity Manager, você dá aos usuários do VMware Identity Manager a capacidade de usar o portal do Workspace ONE para acessar os pools de desktops e aplicativos do View autorizados. Você pode integrar pods do View independentes, que consistem em instâncias do View Connection Server, e federações de pod, que contêm vários pods e podem abranger vários sites e centros de dados. Você implanta e gerencia pools de desktops e aplicativos na interface de administrador do View. Você também pode criar direitos para usuários e grupos do Active Directory no View. Ao integrar federações de pod ou pods do View ao serviço do VMware Identity Manager, você sincroniza as informações sobre esses recursos e direitos com o VMware Identity Manager. No console de administração do VMware Identity Manager, você vê as associações entre usuários e grupos e os pools do View aos quais eles têm direito. Para obter informações sobre como configurar o View, consulte a documentação do View, do Horizon 6 ou do Horizon 7. Versões com suporte O VMware Identity Manager suporta as seguintes versões e recursos. A integração de pods do View independentes é suportada no View 5.3 e versões posteriores. A integração de federações de pod, criadas usando-se o recurso Arquitetura do Cloud Pod, é suportada no Horizon 6.2 e versões posteriores. O HTML Access é suportado no Horizon e versões posteriores. O certificado de SSO é suportado no Horizon 7.x. Veja também as últimas informações de suporte na VMware Product Interoperability Matrix. Este capítulo inclui os seguintes tópicos: Integrando pods do View independentes Integrando implantações da Arquitetura do Cloud Pod (CPA) do View Habilitando várias URLs de acesso do cliente para intervalos de rede personalizados Visualizando as informações de conexão para pools de desktops e de aplicativos do View VMware, Inc. 25

26 Visualizando direitos de grupo e de usuário para pools de desktops e aplicativos do View Definindo o tipo de implantação para direitos do View Visualizando opções de inicialização para desktops e aplicativos do View Inicializando um aplicativo ou desktop do View Permitindo que os usuários redefinam seus desktops do View no VMware Identity Manager Especificando políticas de acesso para desktops e aplicativos específicos Reduzindo o uso de recursos e aumentando o desempenho do desktop do VMware Identity Manager em desktops não persistentes do View Integrando pods do View independentes Para integrar pods do View independentes, adicione os detalhes do View Connection Server ao console de administração do VMware Identity Manager e sincronize com a instância do View Connection Server. Antes de executar quaisquer tarefas de integração no console de administração do VMware Identity Manager, configure o View. Crie e configure pools do View no View, não no VMware Identity Manager. Você também define os direitos para usuários e grupos do Active Directory no View. A integração do View envolve as seguintes tarefas de alto nível. Implante e configure o View. Implante pools de desktops e de aplicativos do View, com direitos definidos para usuários e grupos do Active Directory. Habilite o atributo userprincipalname no console de administração do VMware Identity Manager, na página Atributos de usuário. Sincronize usuários e grupos do Active Directory que têm direito aos pools do View em instâncias do View Connection Server com o serviço do VMware Identity Manager usando a sincronização de diretório. Posteriormente, ao adicionar pods do View ao VMware Identity Manager, você também pode selecionar a opção Realizar sincronização de diretório. Essa opção especifica que a sincronização de diretório pode ser realizada como parte da sincronização do View se qualquer um dos usuários e grupos com direito aos pools nas instâncias do View Connection Server sendo sincronizadas estiverem faltando no diretório do VMware Identity Manager. Ingresse no VMware Identity Manager para ter acesso ao mesmo domínio do Active Directory caso você pretenda sincronizar qualquer instância do View Connection Server 5.x ou usar a opção Realizar sincronização de diretório Ambas as configurações usam um modo alternativo de sincronizar, o que exige que se ingresse no domínio. Adicione pods do View ao VMware Identity Manager. Configure a autenticação SAML no View Connection Server. Você deve sempre usar o FQDN do VMware Identity Manager na página de configuração do Authenticator. VMware, Inc. 26

27 Configurar o View Para usar o View com o VMware Identity Manager, você deve primeiro instalar e configurar o View. O VMware Identity Manager é compatível com o View 5.3 e versões posteriores. Além disso, consulte a Matriz de interoperabilidade entre produtos VMware para receber as informações de suporte mais recentes. Observação O HTML Access é suportado no Horizon e versões posteriores. Quando você configurar o View, certifique-se de atender aos seguintes requisitos. Implante Servidores de Conexão do View na porta padrão 443 ou em uma porta personalizada. Verifique se você tem uma entrada DNS e um endereço IP que podem ser resolvidos durante a pesquisa inversa para cada Servidor de Conexão do View na sua configuração do View. O VMware Identity Manager exige a pesquisa inversa para os Servidores de Conexão do View, o servidor View Security e o balanceador de carga. Se a pesquisa inversa não estiver devidamente configurada, a integração do VMware Identity Manager com o View falha. Implante e configure pools e desktops do View com direitos definidos para os usuários e os grupos do Active Directory. Certifique-se de que os usuários tenham os direitos corretos. Durante a configuração de pools de desktops, em Configurações Remotas, certifique-se de definir a opção Fazer logoff automaticamente após a desconexão como 1 ou 2 minutos em vez de imediatamente. Não se esqueça de criar os pools do View na pasta raiz do View. Se você criar pools do View em uma pasta diferente da pasta raiz, o VMware Identity Manager não conseguirá consultar esses pools e direitos do View. É recomendável estender o período de expiração dos metadados SAML para 90 dias Servidores de Conexão do View. Consulte Alterar o período de expiração para os metadados do provedor de serviços no View Connection Server para obter mais informações. Ingressar no domínio do Active Directory Antes de integrar com o View, você deve ingressar no VMware Identity Manager para o domínio do Active Directory usado para o View caso você pretenda sincronizar qualquer instância do Connection Server 5.x ou usar a opção Realizar sincronização de diretório. As duas configurações usam um modo alternativo de sincronizar, o que exige o ingresso no domínio. Pré-requisitos Verifique se você tem um nome de domínio, um nome de usuário e uma senha do Active Directory com direitos para ingressar no domínio. Consulte Integrando com o Active Directory em Instalando e configurando o VMware Identity Manager para obter mais informações sobre como ingressar em um domínio. VMware, Inc. 27

28 Verifique se o atributo userprincipalname na página Atributos de Usuário do VMware Identity Manager está ativado. Você pode acessar essa página no console de administração clicando em Gerenciamento de Identidade e Acesso > Instalar > Atributos de Usuário. Verifique se os usuários e os grupos com direitos Pool do View foram sincronizados com o VMware Identity Manager usando a sincronização de diretório. Se for o caso, estabeleça uma conexão com vários domínios ou domínios de várias florestas confiáveis no Active Directory. Consulte o Instalação e configuração do VMware Identity Manager. Procedimentos 1 Faça login no console de administração. 2 Clique em Gerenciamento de Identidade e Acesso. 3 Clique em Instalar. 4 Na página Conectores, clique em Ingressar no Domínio ao lado do diretório adequado. 5 Digite as informações para o domínio do Active Directory e clique em Ingressar no domínio. Não use caracteres não ASCII quando você digitar as informações do seu domínio. Opção Domínio Descrição Selecione o domínio no qual ingressar ou selecione Personalizar domínio e digite o nome do domínio. Certifique-se de que você digitou o domínio totalmente qualificado do Active Directory. Por exemplo, servidor.exemplo.com. Observação O FQDN do Active Directory deve estar no mesmo domínio que o View Connection Server. Caso contrário, sua implantação apresenta falha. Usuário do domínio Senha do domínio Unidade organizacional (UO) do domínio a ingressar Digite o nome de usuário de uma conta no Active Directory que tem permissões para ingressar sistemas nesse domínio do Active Directory. Digite a senha associada ao Nome de Usuário do AD. Essa senha não é armazenada pelo VMware Identity Manager. (Opcional) A unidade organizacional (UO) em que ingressar. Essa opção ingressa o computador na UO especificada em vez de ingressar na UO dos computadores padrão. Por exemplo, ou=testou,dc=test,dc=example,dc=com. 6 Para configurar a integração do View em um ambiente de vários domínios, verifique se os servidores do VMware Identity Manager e do View ingressaram no mesmo domínio. Próximo passo Adicione pods do View ao VMware Identity Manager. Adicionar pods do Horizon View ao VMware Identity Manager e sincronizar recursos Você pode adicionar vários pods do View ao VMware Identity Manager. Depois de adicionar os pods, configure URLs de acesso de cliente para os diferentes pods. VMware, Inc. 28

29 Adicione pods do View na página Pools do View do console de administração do VMware Identity Manager. Você pode voltar para a página a qualquer momento para modificar a configuração do View ou para adicionar ou remover de pods do View. Pré-requisitos Para cada pod do View, você precisa das credenciais de um usuário que tenha a função Administradores. Procedimentos 1 Faça login no console de administração do VMware Identity Manager. 2 Clique na guia Catálogo. 3 Clique em Gerenciar Tipos de Recurso e selecione Aplicativos do View. 4 Marque a caixa de seleção Habilitar Pools do View. 5 Clique em Adicionar Pod do View para cada pod do View que você desejar adicionar. 6 Forneça as informações de configuração específicas de cada pod do View. Servidor de conexão Nome de usuário Senha Usando a Autenticação de Cartão Inteligente com um Provedor de Identidade de Terceiros SSO verdadeiro habilitado no Horizon View Direitos Locais de Sincronização Digite o nome de host totalmente qualificado da instância do Servidor de Conexão do Horizon, como connectionserver.exemplo.com. O nome de domínio deve corresponder exatamente ao nome de domínio ao qual você adicionou a instância do Servidor de Conexão do Horizon. Insira o nome de usuário do administrador desse pod do View. O usuário deve ter a função Administradores no View. Insira a senha do administrador desse pod do View. Se os usuários usarem a autenticação de cartão inteligente para fazer login nesse pod do View em vez de senhas, marque a caixa de seleção. Essa opção se aplica apenas às versões do Horizon que suportam o recurso SSO Verdadeiro. Quando o SSO Verdadeiro é configurado no View, os usuários não precisam de uma senha para entrar em seus desktops do Windows. Apesar disso, caso os usuários estejam conectados ao VMware Identity Manager usando um método de autenticação que não envolva a digitação de uma senha, tal como o SecurID, ao inicializarem seus desktops no Windows, eles serão convidados a digitar uma senha. Você pode selecionar essa opção para evitar que uma caixa de diálogo de senha seja mostrada aos usuários desse cenário. Se os direitos locais estiverem configurados para o pod, selecione essa opção. 7 Na lista suspensa Tipo de Implantação, selecione como os recursos do View são disponibilizados para os usuários no portal do usuário. Ativado pelo Usuário Os recursos do View são adicionados à página Catálogo no Workspace ONE. Para usar um recurso, os usuários devem movê-lo da página Catálogo para a página Inicializador. Automático Os recursos do View são adicionados diretamente à página Inicializador no Workspace ONE para uso imediato pelos usuários. VMware, Inc. 29

30 O tipo de implantação que você seleciona aqui é uma configuração global que se aplica a todos os direitos de usuário para todos os recursos na integração do View. Você pode modificar o tipo de implantação para usuários individuais ou grupos por recurso, a partir da página Direitos do recurso em questão. Recomenda-se definir o tipo de implantação global como Ativado pelo Usuário. Em seguida, você poderá modificar a configuração para usuários ou grupos específicos por recurso. Para obter mais informações sobre como definir o tipo de implantação, Definindo o tipo de implantação para direitos do View. 8 Marque a caixa de seleção Não sincronizar aplicativos duplicados para evitar que aplicativos duplicados sejam sincronizados entre vários servidores. Quando o VMware Identity Manager é implantado em vários data centers, os mesmos recursos são configurados nesses centros de dados. Selecionar essa opção evita a duplicação de pools de desktops ou aplicativos no seu catálogo do VMware Identity Manager. 9 Marque a caixa de seleção Configurando o 5.x Connection Server se qualquer uma das instâncias do View Connection Server que você configurou nesta página for a versão 5.x. Selecionar esta opção permite uma maneira alternativa de sincronizar os recursos necessários para o View 5.x. Observação Se você selecionar a opção Realizar Sincronização de Diretório, a opção Configurando o 5.x Connection Server também é automaticamente selecionada, pois ambas as opções dependem da maneira alternativa de sincronizar recursos. 10 Marque a caixa de seleção Realizar Sincronização de Diretório se desejar que a sincronização de diretório seja executada como parte da sincronização do View quando quaisquer usuários e grupos com direito a pools do View nas instâncias do View Connection Server estiverem ausentes no diretório do VMware Identity Manager. A opção Realizar Sincronização de Diretório não se aplica às federações de pod da Arquitetura do Cloud Pod. Se usuários e grupos com direitos globais estiverem ausentes no diretório do VMware Identity Manager, a sincronização do diretório não será acionada. Usuários e grupos sincronizados através deste processo podem ser gerenciados como qualquer outro usuário adicionado pela sincronização de diretório do VMware Identity Manager. Importante A sincronização do View demora mais quando você usa a opção Realizar Sincronização de Diretório. Observação Ao selecionar esta opção, a opção Configurando o 5.x Connection Server também é selecionada automaticamente, pois ambas as opções dependem de uma maneira alternativa de sincronizar recursos. VMware, Inc. 30

31 11 Na lista suspensa Escolher a Frequência de Sincronização do Pool do View, selecione a frequência com que deseja sincronizar a partir do View Connection Server. Você pode estabelecer uma agenda de sincronização regular ou optar pela sincronização manual. Caso você escolha Manualmente, deverá retornar a esta página e clicar em Sincronizar agora sempre que houver uma alteração em seus recursos ou direitos do View. 12 Na lista suspensa Selecionar Cliente de Inicialização Padrão, selecione o cliente padrão para inicializar os desktops ou os aplicativos do View. Opção Nenhum Navegador Cliente Descrição Nenhuma preferência padrão é definida no nível de administrador. Se essa opção estiver definida como Nenhuma, e uma preferência do usuário final também não estiver definida, a configuração Protocolo de Exibição Padrão do View será usada para determinar como iniciar o desktop ou o aplicativo. Via de regra, os desktops e os aplicativos do View são inicializados em um navegador da Web. As preferências do usuário final, se definidas, substituem essa configuração. Via de regra, os desktops e os aplicativos do View são inicializados no Horizon Client. As preferências do usuário final, se definidas, substituem essa configuração. Essa configuração aplica-se a todos os usuários e a todos os recursos na sua integração do View. A seguinte ordem de prioridade, listada da mais alta para a mais baixa, aplica-se às configurações padrão do cliente de inicialização: a b c Configuração de preferência de usuário final, definida no portal do Workspace ONE. Essa opção não está disponível no aplicativo do Workspace ONE. Configuração Selecionar Cliente de Inicialização Padrão do Administrador, configurada na página Pools do View no console de administração do VMware Identity Manager. Configuração Protocolo de Exibição Remota > Protocolo de Exibição Padrão do Horizon View para o pool de desktops ou aplicativos, definida no Horizon Administrator. Por exemplo, quando o protocolo de exibição é definido como PCoIP, o aplicativo ou o desktop é inicializado no Horizon Client. 13 Clique em Salvar. 14 Clique em Sincronizar Agora. Toda vez que você altera as configurações no View, por exemplo, adiciona um direito ou adiciona um usuário, é necessária uma sincronização para que as mudanças sejam propagadas para o VMware Identity Manager. 15 Configure as URLs de Acesso ao Cliente dos pods do View. a b c Clique na guia Gerenciamento de Identidade e Acesso e, em seguida, clique em Instalar. Clique em Intervalos de Rede. Selecione um intervalo de rede. VMware, Inc. 31

32 d e f Na página Editar Intervalo de Rede, na seção Pod do View, insira o nome do host e o número da porta da URL de acesso do Pod do View desse intervalo de rede. Na seção Intervalos de Rede, especifique os intervalos de IP aos quais você deseja aplicar as configurações. Clique em Salvar. Consulte também Habilitando várias URLs de acesso do cliente para intervalos de rede personalizados. Configurar a autenticação SAML Para inicializar um aplicativo ou desktop do View, Horizon 6 ou Horizon 7 a partir do serviço do VMware Identity Manager e fazer o single sign-on do VMware Identity Manager para o aplicativo ou desktop, você deve configurar a autenticação SAML em todas as instâncias do View Connection Server na sua implantação do View. Não execute essa tarefa se a sua organização usar a autenticação por cartão inteligente para ver os recursos usando um provedor de identidade de terceiros. Procedimentos 1 Faça login na interface da Web do View Administrator como usuário com a função de Administrador atribuída. 2 Configure a autenticação SAML para cada instância do View Connection Server na sua implantação do View. Você deve usar o nome de domínio totalmente qualificado do serviço do VMware Identity Manager na página de configuração do Authenticator. Importante O View e o VMware Identity Manager devem estar em sincronização de tempo. Se o View e o VMware Identity Manager não estiverem em sincronização de tempo, quando você tentar inicializar um aplicativo ou desktop do View, aparece uma mensagem de SAML inválido. Próximo passo Você deve estabelecer e manter a confiança SSL entre o VMware Identity Manager e o View Connection Server. Estabelecer ou atualizar a confiança SSL entre o VMware Identity Manager e o View Connection Server Inicialmente, você deve aceitar um certificado SSL no View Connection Server para estabelecer a confiança entre o VMware Identity Manager e o View Connection Server. Se você alterar um certificado SSL no View Connection Server após a integração, você deverá retornar ao VMware Identity Manager e restabelecer essa confiança. Pré-requisitos Verifique se o View instalou um certificado SSL. Por padrão, o View tem um certificado autoassinado. VMware, Inc. 32

33 No View, altere o certificado do View Connection Server para um certificado assinado pela raiz. Consulte a documentação do VMware View para obter informações sobre como configurar uma instância do View Connection Server ou do Servidor de Segurança para usar um novo certificado. Configure a autenticação SAML no View Connection Server. Você deve sempre usar o FQDN do VMware Identity Manager na página de configuração do Authenticator. Observação Se você usar um provedor de identidade de terceiros para acessar desktops do View a partir do VMware Identity Manager, a autenticação SAML no View Connection Server deverá ser definida como allowed. Procedimentos 1 No console de administração do VMware Identity Manager, clique na guia Catálogo. 2 Clique em Gerenciar Tipos de Recurso e selecione Aplicativos do View. 3 Clique no link Atualizar Certificado SSL ao lado do Grupo do Servidor Replicado. 4 Clique em Aceitar na página Informações do Certificado. Se o certificado do VMware Identity Manager mudar após a configuração inicial, você deverá aceitar novamente a Autenticação SAML a partir do View. Se o certificado do View mudar, você deverá aceitar o certificado SSL no VMware Identity Manager. Integrando implantações da Arquitetura do Cloud Pod (CPA) do View Além de integrar pods independentes do View com o VMware Identity Manager, você pode integrar as implantações da Arquitetura do Cloud Pod (CPA) do View. Figura 3 1. Integrando federações de pod do View com o VMware Identity Manager Site A Site B Pod independente Federação CPA Pod 1 Pod 2 Pod 3 VCS 1 VCS 3 Replicação de LDAP global VCS 5 VCS 2 VCS 4 VCS 6 Replicação de LDAP Replicação de LDAP Replicação de LDAP VMware Identity Manager no local Conector Serviço VMware, Inc. 33

34 O recurso Arquitetura do Cloud Pod do View une vários pods do View para formar um único grande ambiente de gerenciamento e agenciamento de aplicativos e de desktops chamado federação de pod. Uma federação de pod pode abranger vários sites e centros de dados. Você pode integrar uma ou mais federações de pod ao serviço do VMware Identity Manager. Observe que as federações de pod são criadas e gerenciadas no View e que os direitos de usuários e grupos para os pools de aplicativos e desktops da federação de pod são definidos no View. Você sincroniza os recursos e os direitos com o VMware Identity Manager. As federações de pod têm direitos globais, que permitem que você autorize os usuários a desktops e a aplicativos que podem ser acessados de qualquer pod na federação de pod. Um direito global pode consistir em recursos de vários pods na federação. Por exemplo, um direito de desktop global pode conter pools de desktop a partir de três pods diferentes em três centros de dados diferentes. Pods individuais na federação de pod também podem ter direitos locais configurados. Você pode sincronizar ambos os direitos globais e locais com o VMware Identity Manager. A integração de uma federação de pod do View com o serviço do VMware Identity Manager envolve as seguintes tarefas de alto nível no console de administração do VMware Identity Manager: Adicione todos os pods que formam a federação de pod, especificando detalhes do View Connection Server para cada um. Enquanto o VMware Identity Manager pode sincronizar direitos globais a partir de qualquer um dos pods na federação de pod, ele precisa conectar-se a cada pod para sincronizar os metadados exigidos para a autenticação SAML. Ele também precisa conectar-se aos pods para sincronizar direitos locais, se aplicável. Adicione os detalhes da federação de pod e especifique a URL de inicialização global. Usa-se a URL de inicialização global, normalmente a URL global do balanceador de carga, para inicializar desktops e aplicativos autorizados globalmente. Você pode personalizar a URL de inicialização global para os intervalos de rede específicos, por exemplo, para acesso interno e externo. Sincronize os recursos e os direitos da federação de pod com o serviço do VMware Identity Manager. Observação Somente os direitos globais que têm a política de escopo Todos os Sites em uma federação de pod são sincronizados. A política de escopo Todos os Sites define o escopo da pesquisa de um aplicativo ou desktop para todos os pods na federação de pod. Personalize a URL de inicialização global definindo as URLs de acesso de cliente para os intervalos de rede específicos. Essas URLs são usadas para inicializar, a partir da federação pod, recursos globalmente autorizados. Por padrão, a URL de inicialização global que você especificou ao adicionar a federação é usada como a URL de inicialização global para todos os intervalos de rede. VMware, Inc. 34

35 Especifique URLs de acesso de cliente para cada pod na federação de pod a qual tem direitos locais configurados. Essas URLs são usadas para inicializar, a partir do pod, desktops e aplicativos autorizados localmente. Uma URL de acesso do cliente pode ser uma URL do View Connection Server, uma URL do Servidor de Segurança ou uma URL do balanceador de carga. As URLs de acesso do cliente são definidas para intervalos de rede específicos. Por padrão, o View Connection Server que você especificou ao adicionar o pod é usado como a URL de acesso do cliente para todos os intervalos de rede. Quando você integra uma federação de pod com o serviço do VMware Identity Manager, o serviço faz o seguinte: Sincroniza todos os direitos globais, que têm a política de escopo Todos os Sites, a partir da federação de pod. Sincroniza direitos locais, se selecionados, a partir dos pods que fazem parte da federação de pod. Sincroniza metadados de todos os View Connection Servers na federação de pod. Permite que os usuários finais acessem seus aplicativos e desktops do View no portal do Workspace ONE. Os usuários finais podem acessar seus aplicativos e desktops do View no portal do Workspace ONE. Todos os recursos aos quais eles têm direito, por meio de direitos globais ou locais, são exibidos. Aplicativos e desktops são inicializados no Horizon Client. Quando um usuário inicializa um aplicativo ou desktop autorizado localmente, ele é inicializado a partir do View Connection Server ao qual o usuário se conecta. Os recursos autorizados globalmente são inicializados a partir do View Connection Server em que o recurso está localizado. Exemplo de implantação da Arquitetura do Cloud Pod O diagrama a seguir mostra um exemplo de implantação de arquitetura do Cloud Pod e como ele é integrado ao serviço do VMware Identity Manager. VMware, Inc. 35

36 Figura 3 2. Exemplo de implantação da Arquitetura do Cloud Pod Internet Interno URL EG BC global Federação 1 (F1) Pod 1 (P1) URL E1 LB Servidor de segurança Servidor de segurança Pod 2 (P2) Servidor de conexão Servidor de conexão URL I1 LB Conector Sincronização 1 Local URL E2 LB Servidor de segurança Servidor de segurança Servidor de conexão Servidor de conexão URL I2 LB URL IG BC global Sincronização 2 Local Sincronização 3 Local API de sincronização Serviço Pod 3 (P3) Servidor de conexão Servidor de conexão URL I3 LB Sincronização 4 Local VMware Identity Manager No Local Este diagrama mostra um exemplo de implantação de federação de pod. Uma federação de pod, chamada Federação 1, criada no Horizon 6. Ela tem três pods, Pod 1, Pod 2 e Pod 3. O Pod 1 e o Pod 2 são configurados com instâncias do Servidor de Segurança para cada View Connection Server e um balanceador de carga externa para acesso externo e com um balanceador de carga interno para acesso interno. O Pod 3 é configurado apenas para acesso interno com um balanceador de carga interno. A federação de pod como um todo tem um balanceador de carga global externo e um balanceador de carga global interno. Os pools de aplicativos e desktops são implantados nos pods. Os direitos globais são configurados para a Federação 1, e os direitos locais também são configurados para os pods individuais. A Federação 1 é integrada ao serviço do VMware Identity Manager. O serviço do VMware Identity Manager sincroniza direitos globais bem como direitos locais a partir da Federação 1. Como os direitos globais são replicados em cada pod, ele sincroniza os direitos globais a partir do Pod 1. Ele também sincroniza os direitos locais do Pod 1, Pod 2 e Pod 3. Os usuários finais podem visualizar todos os desktops e aplicativos aos quais eles têm direito, por meio de direitos globais ou de direitos locais, no portal do Workspace ONE no VMware Identity Manager. Quando um usuário inicializa um desktop ou aplicativo, se o desktop ou o aplicativo for parte de um direito global, a solicitação de inicialização vai para o balanceador de carga global externo ou interno, VMware, Inc. 36

37 URL EG ou URL IG, com base no intervalo de rede do usuário. Se o recurso for de um direito local, a solicitação de inicialização vai para o balanceador de carga interno ou externo do pod no qual o recurso é implantado, com base no intervalo de rede do usuário. Por exemplo, para um recurso no Pod 2, a solicitação vai para a URL I2 ou a URL E2. Requisitos para a integração das federações de pod do View A integração das federações de pod do View com o VMware Identity Manager tem os seguintes requisitos. O VMware Identity Manager oferece suporte suporta ao recurso Arquitetura do Cloud Pod no Horizon 6.2 e versões posteriores, tanto para os aplicativos quanto para desktops. Você pode integrar um máximo de 10 federações de pod ao serviço do VMware Identity Manager. Cada federação pode conter até 7 pods. Implante instâncias do View Connection Server na porta padrão 443 ou em uma porta personalizada. Verifique se você tem uma entrada DNS e um endereço IP que pode ser resolvido durante a pesquisa inversa para cada instância do View Connection Server no ambiente do View. O VMware Identity Manager requer a pesquisa inversa para as instâncias do View Connection Server, do Servidor de Segurança do View e do balanceador de carga. Se a pesquisa inversa não estiver devidamente configurada, a integração do VMware Identity Manager com o View falha. O conector do VMware Identity Manager, um componente do serviço, deve ser capaz de chegar a todas as instâncias do View Connection Server na federação de pod. Todas as instâncias do View Connection Server na federação de pod devem ter a autenticação SAML configurada, com o serviço do VMware Identity Manager especificado como o provedor de identidade. Você deve usar o nome de domínio totalmente qualificado do serviço como parte da URL. Consulte Configurar a autenticação SAML para obter mais informações. Recomenda-se estender o período de expiração dos metadados SAML para 90 dias nas instâncias do View Connection Server. Consulte Alterar o período de expiração para os metadados do provedor de serviços no View Connection Server para obter mais informações. Os certificados do View Connection Server serão sincronizados com o VMware Identity Manager. Implante pools de desktops e aplicativos nos pods do View. Durante a configuração de pools de desktops, em Configurações Remotas, certifique-se de definir a opção Fazer logoff automaticamente após a desconexão como 1 ou 2 minutos em vez de imediatamente. Não se esqueça de criar os pools do View na pasta raiz do View. Se você criar pools do View em uma pasta diferente da pasta raiz, o VMware Identity Manager não conseguirá consultar esses pods e direitos do View. Se você adicionar ou remover pools de aplicativos ou desktops após a integração com o VMware Identity Manager, para que as alterações apareçam no serviço do VMware Identity Manager, será necessário repetir a sincronização. VMware, Inc. 37

38 Você deve criar a federação de pod em seu ambiente do View inicializando o recurso Arquitetura do Cloud Pod a partir de um dos pods e ingressando todos os outros pods na federação, antes da integração com o serviço do VMware Identity Manager. Os direitos globais são replicados para os pods quando estes ingressam na federação. Se você ingressar ou remover um pod da federação de pod após a integração ao serviço do VMware Identity Manager, você deve editar os detalhes da federação de pod no console de administração do VMware Identity Manager para adicionar ou remover o pod, salvar as alterações e sincronizar novamente. Em seu ambiente do View, crie direitos globais na federação de pod para autorizar usuários ou grupos do Active Directory a desktops e aplicativos. Os direitos globais que você deseja sincronizar com o VMware Identity Manager devem definir a política de escopo como Todos os sites. Os direitos com qualquer outra política de escopo não são sincronizados. Para permitir que os usuários finais inicializem desktops ou aplicativos em um navegador da Web, selecione a opção HTML Access para o direito global no View. (Opcional) Crie direitos locais nos pods, se necessário. Para obter mais informações sobre como configurar o View, consulte a documentação do Horizon 6 ou Horizon 7. Configurar seu ambiente do VMware Identity Manager Depois de configurar seu ambiente do View, é necessário configurar o ambiente do VMware Identity Manager antes de integrar as federações de pod com o serviço. VMware, Inc. 38

39 Pré-requisitos Você tem um nome de usuário e uma senha com os direitos de ingresso no domínio do Active Directory que é usado com o View. Para obter mais informações sobre os direitos necessários para ingressar em um domínio, consulte "Integrando com o Active Directory" em Instalando e Configurando VMware Identity Manager. Procedimentos 1 Verifique se o atributo userprincipalname na página Atributos do Usuário do VMware Identity Manager está marcado como obrigatório. a b c No console de administração, clique na guia Gerenciamento de Identidade e Acesso. Clique na guia Configuração e selecione a guia Atributos do Usuário. Se a caixa de seleção Obrigatório para o atributo userprincipalname não estiver marcada, marque-a. Importante Você deve fazer isso antes de criar o diretório do VMware Identity Manager. Os atributos do usuário não podem ser alterados para obrigatório após a criação do diretório. 2 Sincronize os usuários e os grupos que têm direitos globais ou locais no ambiente do View a partir do Active Directory para o serviço do VMware Identity Manager por meio da sincronização de diretório. a b c d Para exibir usuários e grupos atuais, clique na guia Usuários e Grupos. Selecione a guia Gerenciamento de Identidade e Acesso > Diretórios. Escolha o diretório apropriado. Modifique as configurações do diretório se necessário e clique em Sincronizar Agora. 3 Se for o caso, estabeleça uma conexão com vários domínios ou domínios de várias florestas confiáveis no Active Directory. Consulte Instalando e Configurando o VMware Identity Manager para obter mais informações. 4 Ingresse no diretório do VMware Identity Manager para acesso ao mesmo domínio do Active Directory como o View, caso você esteja sincronizando com qualquer View Connection Server 5.x instâncias ou caso você pretenda usar a opção Realizar sincronização de diretório. As duas configurações usam um modo alternativo de sincronizar, o que exige o ingresso no domínio. a b c Clique na guia Gerenciamento de Identidade e Acesso. Clique em Configuração e selecione a guia Conectores. Clique em Ingressar no Domínio ao lado do diretório apropriado. VMware, Inc. 39

40 d Digite as informações para o domínio do Active Directory e clique em Ingressar no Domínio. Não use caracteres não ASCII quando você digitar as informações do seu domínio. Opção Domínio Descrição Selecione o domínio no qual ingressar ou selecione Personalizar domínio e digite o nome do domínio. Certifique-se de que você digitou o domínio totalmente qualificado do Active Directory. Por exemplo, servidor.exemplo.com. Observação O FQDN do Active Directory deve estar no mesmo domínio que as instâncias do View Connection Server. Caso contrário, sua implantação apresenta falha. Usuário do domínio Senha do domínio Unidade organizacional (UO) do domínio a ingressar Digite o nome de usuário no Active Directory que tenha permissões para ingressar sistemas nesse domínio do Active Directory. Digite a senha para o usuário. Essa senha não é armazenada pelo VMware Identity Manager. (Opcional) A unidade organizacional (UO) em que ingressar. Essa opção ingressa o computador na UO especificada em vez de ingressar na UO dos computadores padrão. Por exemplo, ou=testou,dc=test,dc=example,dc=com. e Verifique se o VMware Identity Manager e os servidores do View ingressaram no mesmo domínio. Adicionar uma federação do Cloud Pod e sincronizar recursos Para adicionar uma federação de pod, você primeiro deve adicionar todos os pods que pertencem à federação de pod; então, adicione os detalhes da federação de pod, especifique a URL de inicialização para direitos globais, direitos de sincronização e configurar as URLs de acesso do cliente para intervalos de rede específicos. Pré-requisitos Configure seu ambiente do View obedecendo aos requisitos descritos em Requisitos para a integração das federações de pod do View. Configure sua instância do VMware Identity Manager de acordo com os requisitos descritos em Configurar seu ambiente do VMware Identity Manager. Para cada pod do View, você precisa das credenciais de um usuário que tenha a função Administradores. Procedimentos 1 No console de administração, clique na guia Catálogo. 2 Clique em Gerenciar Aplicativos de Desktop e selecione Aplicativo do View. 3 Na guia Pods e Sincronização, marque a caixa de seleção Habilitar pools do View, caso ela ainda não tenha sido selecionada. VMware, Inc. 40

41 4 Adicione, um a um, todos os pods do View que fizerem parte da federação do cloud pod. a Forneça os detalhes do pod do View. Opção Connection Server Nome de usuário Senha Usando a Autenticação por cartão inteligente com Provedor de identidade de terceiros SSO verdadeiro habilitado no Horizon View Sincronize direitos locais Descrição Digite o nome de domínio totalmente qualificado (FQDN) da instância do Servidor de Conexão do Horizon, por exemplo, pod5server.exemplo.com. O nome de domínio deve corresponder ao nome de domínio ao qual você adicionou a instância do Servidor de Conexão do Horizon. O nome de usuário de administrador para o pod. O usuário deve ter a função Administradores no View. A senha de administrador para o pod. Caso os usuários utilizem autenticação por cartão inteligente em vez de senhas para fazer login nesse pod do View, marque a caixa de seleção. Essa opção se aplica apenas às versões do Horizon que suportam o recurso SSO Verdadeiro. Quando o SSO Verdadeiro é configurado no View, os usuários não precisam de uma senha para entrar em seus desktops do Windows. Apesar disso, caso os usuários estejam conectados ao VMware Identity Manager usando um método de autenticação que não envolva a digitação de uma senha, tal como o SecurID, ao inicializarem seus desktops no Windows, eles serão convidados a digitar uma senha. Você pode selecionar essa opção para evitar que uma caixa de diálogo de senha seja mostrada aos usuários desse cenário. Caso os direitos locais estejam configurados para o pod, marque esta caixa de seleção. Por exemplo: b c Clique em Adicionar Pod do View e então adicione o próximo pod. Repita essas etapas até que você tenha adicionado todos os pods na federação do cloud pod. VMware, Inc. 41

42 5 Clique em Salvar. Os servidores replicados em cada pod são exibidos. 6 Clique na guia Federação e marque a caixa de seleção Habilitar as Federações CPA. 7 No campo Nome da federação, digite o nome da federação do cloud pod. 8 No campo Inicializar URL, digite a URL de inicialização global a ser usada para inicializar desktops ou aplicativos autorizados globalmente. Por exemplo, federaçãoa.exemplo.com. A URL de inicialização normalmente corresponde à URL do balanceador de carga global da federação do cloud pod. Você pode personalizar a URL de inicialização posteriormente para intervalos de rede específicos no processo de configuração. 9 Selecione um pod que pertença à federação do cloud pod. Todos os pods que você adicionou na guia Pods e Sincronização estão relacionados na lista suspensa. 10 Clique em Adicionar Pod e marque, um a um, todos os pods que fizerem parte da federação do cloud pod. 11 Clique em Salvar. VMware, Inc. 42

43 12 Clique na guia Pods e Sincronização, role em direção ao pé da página e configure as opções de implantação e de sincronização para sua configuração. Opção Tipo de implantação Não sincronize aplicativos duplicados Configurando o 5.x Connection Server Descrição Selecione como os recursos do View são disponibilizados aos usuários. Ativado pelo Usuário: VMware Identity Manager adiciona os recursos do View à página Catálogo no Workspace ONE. Para usar um recurso, os usuários devem movê-lo da página Catálogo para a página Inicializador. Automático: VMware Identity Manager adiciona os recursos diretamente à página Inicializador para uso imediato pelos usuários. O tipo de implantação que você seleciona aqui é uma configuração global que se aplica a todos os direitos de usuário para todos os recursos na integração do View. Você pode modificar o tipo de implantação para usuários individuais ou grupos por recurso, a partir da página Direitos do recurso em questão. Recomenda-se definir o tipo de implantação global como Ativado pelo Usuário. Em seguida, você poderá modificar a configuração para usuários ou grupos específicos por recurso. Para obter mais informações sobre como definir o tipo de implantação, Definindo o tipo de implantação para direitos do View. Selecione essa opção caso você deseje evitar que aplicativos duplicados sejam sincronizados entre vários servidores. Quando o VMware Identity Manager é implantado em vários data centers, os mesmos recursos são configurados nesses centros de dados. Selecionar essa opção evita a duplicação de pools de desktops ou aplicativos no seu catálogo do VMware Identity Manager. Marque esta caixa de seleção se qualquer uma das instâncias do View Connection Server que você configurou nesta página for a versão 5.x. Selecionar esta opção permite uma maneira alternativa de sincronizar os recursos necessários para o View 5.x. Observação Se você selecionar a opção Realizar Sincronização de Diretório, a opção Configurando o 5.x Connection Server também é automaticamente selecionada, pois ambas as opções dependem da maneira alternativa de sincronizar recursos. Realizar sincronização de diretório Marque essa caixa de seleção se desejar que a sincronização de diretório seja realizada como parte da sincronização do View quando quaisquer usuários e grupos que tenham direito aos pools do View nas instâncias do Servidor de Conexão do Horizon estejam faltando no diretório do VMware Identity Manager. A opção Realizar Sincronização de Diretório só se aplica aos direitos locais. Ela não se aplica aos direitos globais. Se usuários e grupos com direitos globais estiverem ausentes no diretório do VMware Identity Manager, a sincronização do diretório não será acionada. Usuários e grupos sincronizados através deste processo podem ser gerenciados como qualquer outro usuário adicionado pela sincronização de diretório do VMware Identity Manager. Importante A sincronização do View demora mais quando você usa a opção Realizar Sincronização de Diretório. Observação Ao selecionar esta opção, a opção Configurando o 5.x Connection Server também é selecionada automaticamente, pois ambas as opções dependem de uma maneira alternativa de sincronizar recursos. VMware, Inc. 43

44 Opção Escolher a frequência de sincronização do pool do View Selecionar cliente de inicialização padrão Descrição Selecione com que frequência você deseja que os recursos do View e os direitos sincronizem. Você pode estabelecer uma agenda de sincronização regular ou optar pela sincronização manual. Caso você escolha Manualmente, deverá retornar a esta página e clicar em Sincronizar agora sempre que houver uma alteração em seus recursos ou direitos do View. Selecione o cliente padrão para inicializar aplicativos ou desktops do View. Opção Descrição Nenhuma Navegador Cliente Nenhuma preferência padrão é definida no nível de administrador. Se essa opção estiver definida como Nenhuma, e uma preferência do usuário final também não estiver definida, a configuração Protocolo de Exibição Padrão do View será usada para determinar como iniciar o desktop ou o aplicativo. Via de regra, os desktops e os aplicativos do View são inicializados em um navegador da Web. As preferências do usuário final, se definidas, substituem essa configuração. Via de regra, os desktops e os aplicativos do View são inicializados no Horizon Client. As preferências do usuário final, se definidas, substituem essa configuração. Essa configuração aplica-se a todos os usuários e a todos os recursos na sua integração do View. A seguinte ordem de prioridade, listada da mais alta para a mais baixa, aplica-se às configurações padrão do cliente de inicialização: a Configuração de preferência de usuário final, definida no portal do Workspace ONE. Essa opção não está disponível no aplicativo do Workspace ONE. b Configuração Selecionar Cliente de Inicialização Padrão do Administrador, configurada na página Pools do View no console de administração do VMware Identity Manager. c Configuração Protocolo de Exibição Remota > Protocolo de Exibição Padrão do Horizon View para o pool de desktops ou aplicativos, definida no Horizon Administrator. Por exemplo, quando o protocolo de exibição é definido como PCoIP, o aplicativo ou o desktop é inicializado no Horizon Client. 13 Clique em Salvar. 14 Clique em Sincronizar agora. Toda vez que você alterar as informações no View, como adicionar um direito ou um usuário, será necessária uma sincronização para propagar as alterações para o VMware Identity Manager. 15 No canto superior direito da página, clique em Console do administrador. 16 Clique na guia Gerenciamento de identidade e acesso; em seguida, clique em Configuração à direita da página. 17 Clique na guia Intervalos de Rede. VMware, Inc. 44

45 18 Personalize as URLs de inicialização para intervalos de rede específicos. Por exemplo, URLs de inicialização diferentes normalmente são configuradas para acesso interno e externo. a Selecione um intervalo de rede. Você pode selecionar um intervalo de rede já existente ou criar um novo. Você também pode editar o intervalo de rede padrão em ALL RANGES. É exibida a página Editar Intervalo de Rede. A seção Federação CPA do View lista a URL de inicialização global da federação do pod que você adicionou na guia Federação. Caso você tenha adicionado múltiplas federações de pod, todos estarão listados. A seção Pod do View lista todos os pods do View na guia Pods e Sincronização que tiverem a opção Sincronizar direitos locais selecionada. b Na seção Federação CPA do View, para a URL de inicialização global, especifique o nome de domínio totalmente qualificado do servidor ao qual direcionar as solicitações de inicialização para direitos globais com origem nesse intervalo de rede. Esta é normalmente a URL do balanceador de carga global da implantação da federação de pod do View. Por exemplo: lb.exemplo.com A URL de inicialização global é usada para inicializar os recursos globalmente autorizados. c Na seção Pod do View, para cada uma das instâncias do pod do View, especifique o nome de domínio totalmente qualificado do servidor ao qual direcionar a as solicitações de inicialização para direitos globais com origem nesse intervalo de rede. Você pode especificar uma instância para o View Connection Server, um balanceador de carga ou um servidor de segurança. Por exemplo, caso você esteja editando um intervalo que fornece acesso interno, deverá especificar o balanceador de carga interno para o pod. Por exemplo: lb.exemplo.com A URL de acesso do cliente é usada para inicializar os recursos autorizados localmente a partir do pod. Consulte também Habilitando várias URLs de acesso do cliente para intervalos de rede personalizados. VMware, Inc. 45

46 Configurar a autenticação SAML Para inicializar um aplicativo ou desktop do View, Horizon 6 ou Horizon 7 a partir do serviço do VMware Identity Manager e fazer o single sign-on do VMware Identity Manager para o aplicativo ou desktop, você deve configurar a autenticação SAML em todas as instâncias do View Connection Server na sua implantação do View. Não execute essa tarefa se a sua organização usar a autenticação por cartão inteligente para ver os recursos usando um provedor de identidade de terceiros. Procedimentos 1 Faça login na interface da Web do View Administrator como usuário com a função de Administrador atribuída. 2 Configure a autenticação SAML para cada instância do View Connection Server na sua implantação do View. Você deve usar o nome de domínio totalmente qualificado do serviço do VMware Identity Manager na página de configuração do Authenticator. Importante O View e o VMware Identity Manager devem estar em sincronização de tempo. Se o View e o VMware Identity Manager não estiverem em sincronização de tempo, quando você tentar inicializar um aplicativo ou desktop do View, aparece uma mensagem de SAML inválido. Próximo passo Você deve estabelecer e manter a confiança SSL entre o VMware Identity Manager e o View Connection Server. Estabelecer ou atualizar a confiança SSL entre o VMware Identity Manager e o View Connection Server Inicialmente, você deve aceitar um certificado SSL no View Connection Server para estabelecer a confiança entre o VMware Identity Manager e o View Connection Server. Se você alterar um certificado SSL no View Connection Server após a integração, você deverá retornar ao VMware Identity Manager e restabelecer essa confiança. Pré-requisitos Verifique se o View instalou um certificado SSL. Por padrão, o View tem um certificado autoassinado. No View, altere o certificado do View Connection Server para um certificado assinado pela raiz. Consulte a documentação do VMware View para obter informações sobre como configurar uma instância do View Connection Server ou do Servidor de Segurança para usar um novo certificado. VMware, Inc. 46

47 Configure a autenticação SAML no View Connection Server. Você deve sempre usar o FQDN do VMware Identity Manager na página de configuração do Authenticator. Observação Se você usar um provedor de identidade de terceiros para acessar desktops do View a partir do VMware Identity Manager, a autenticação SAML no View Connection Server deverá ser definida como allowed. Procedimentos 1 No console de administração do VMware Identity Manager, clique na guia Catálogo. 2 Clique em Gerenciar Tipos de Recurso e selecione Aplicativos do View. 3 Clique no link Atualizar Certificado SSL ao lado do Grupo do Servidor Replicado. 4 Clique em Aceitar na página Informações do Certificado. Se o certificado do VMware Identity Manager mudar após a configuração inicial, você deverá aceitar novamente a Autenticação SAML a partir do View. Se o certificado do View mudar, você deverá aceitar o certificado SSL no VMware Identity Manager. Habilitando várias URLs de acesso do cliente para intervalos de rede personalizados Se a sua empresa utilizar várias URLs de acesso de cliente para diferentes intervalos de rede, você deve editar o intervalo de rede padrão para que o usuário final se conecte ao número de porta e à URL de acesso do cliente corretos. Se essas configurações não forem atualizadas, o Horizon Client não inicializará. Procedimentos 1 Faça login no console de administração do VMware Identity Manager. 2 Clique na guia Gerenciamento de Identidade e Acesso. 3 Clique na Configuração à direita e depois em Intervalos de Rede. 4 Clique no intervalo de rede a ser modificado. Aparece a página Editar Intervalo de Rede. A seção Visualizar federação CPA só aparece se você tiver integrado implantações do Cloud Pod Architecture (CPA), também conhecidas como federações de pod. Essa seção lista a URL de inicialização global especificada para a federação de pod na guia Federação da página Pools do View. A seção Visualizar pod lista todos os pods do View que tiverem a opção Direitos Locais de Sincronização selecionada. 5 Usando a configuração da sua empresa, especifique a URL de acesso do cliente e a porta nos campos Acesso para cliente do host da URL e Porta da URL. Por exemplo: pod6.minhaempresa.com VMware, Inc. 47

48 6 Verifique se cada intervalo de rede em seu ambiente contém uma URL de acesso de cliente. Importante Se você perder um intervalo de rede, os usuários finais que inicializam por meio desse intervalo de rede podem ter problemas. Visualizando as informações de conexão para pools de desktops e de aplicativos do View Você pode visualizar as informações sobre a conexão entre o VMware Identity Manager e um pool de desktops ou aplicativos do View. Procedimentos 1 Faça login no console de administração. 2 Clique na guia Catálogo. 3 Para visualizar pools de desktops, clique em Qualquer Tipo de Aplicativo > Pools de Desktops do View. Para visualizar pools de aplicativos, clique em Qualquer Tipo de Aplicativo > Aplicativos Hospedados do View. 4 Clique no nome do pool de desktops ou aplicativos do View. 5 Clique em Detalhes à esquerda. 6 Visualize as informações de conexão, que consistem em atributos recuperados da instância do View Connection Server. Veja a documentação do View para obter detalhes sobre esses atributos. Visualizando direitos de grupo e de usuário para pools de desktops e aplicativos do View Você pode ver os pools do View aos quais seus usuários e grupos do VMware Identity Manager têm direito. Pré-requisitos Sincronize informações e os respectivos direitos de instâncias do Servidor de Conexão do View para o VMware Identity Manager. Você pode forçar uma sincronização na página Pools do View no console de administração clicando em Sincronizar Agora. Procedimentos 1 Faça login no console de administração. VMware, Inc. 48

49 2 Visualizar direitos de grupos e usuários a pools de desktops e aplicativos do View Opção Lista usuários e grupos com direito a um pool de desktops específico do View. Lista de direitos de pool de aplicativo e desktops do View para um usuário ou grupo específico. Ação a Clique na guia Catálogo. b Clique em Qualquer Tipo de Aplicativo > Pools do View Desktop ou Aplicativos Hospedados do View. c Clique no ícone do pool do View para o qual você deseja listar direitos. A guia Direitos é selecionada por padrão. Os direitos de grupo e os direitos de usuário são listados em tabelas separadas. a Clique na guia Usuários e Grupos. b Clique na guia Usuários ou na guia Grupos. c Clique no nome de um usuário ou grupo individual. d Clique na guia Aplicativos. São listados os pools de desktops e aplicativos do View aos quais o usuário ou grupo tem direito. Definindo o tipo de implantação para direitos do View Você pode definir o tipo de implantação para recursos do View, que determina como os recursos são disponibilizados aos usuários no Workspace ONE. Definir o tipo de implantação como Ativado pelo Usuário adiciona os recursos à página Catálogo. Para usar um recurso, os usuários devem movê-lo da página Catálogo para a página Inicializador. Definir o tipo de implantação como Automático adiciona os recursos diretamente à página Inicializador para uso imediato pelos usuários. Você pode definir o tipo de implantação em níveis diferentes. Nível Global A configuração global aplica-se a todos os direitos de usuário de todos os recursos do View em sua implantação. Você especifica o tipo de implantação global ao integrar pela primeira vez os recursos do View ao VMware Identity Manager a partir da página Pools do View. Após a integração inicial, você poderá modificar a configuração global da mesma página. Observe que, se você alterar a configuração global após a integração inicial, a nova configuração só se aplicará aos novos direitos sincronizados. Para modificar direitos existentes, você pode alterar a configuração no nível do recurso individual. Observação Recomenda-se definir o tipo de implantação global como Ativado pelo Usuário. Em cenários típicos, você define a configuração global como Ativado pelo Usuário e, em seguida, a modifica para Ativado para direitos de usuário e de grupos específicos. Nível de direito de usuário ou de grupo Você também pode definir o tipo de implantação no nível de desktop ou de aplicativo individual ou para usuários e grupos específicos. Essa configuração substitui a configuração global. Essa definição não será alterada durante as sincronizações subsequentes. VMware, Inc. 49

50 Durante a sincronização, o tipo de implantação para os direitos existentes não é alterado. Para os novos direitos na sincronização, aplica-se a configuração global. Observação Assim que um recurso for ativado, quer dizer, quando ele aparecer na página Inicializador de um usuário, ele continuará a aparecer na página Inicializador a menos que o usuário o apague. Qualquer mudança no tipo de implantação não o removerá da página Inicializador. Procedimentos 1 Para definir o tipo de implantação no nível global, siga estas etapas. a b c Clique na guia Catálogo e selecione Gerenciar Aplicativos de Desktop > Aplicativo do View. Selecione a guia Pods e Sincronização. No campo Tipo de Implantação, selecione Ativado pelo usuário ou Automático. Observação Recomenda-se definir o tipo de implantação global como Ativado pelo Usuário. d Clique em Salvar. A definição será aplicada a todos os novos direitos que começam com a próxima sincronização. 2 Para definir o tipo de implantação para um usuário ou um direito de grupo específico, siga estas etapas. a b c Clique na guia Catálogo. Clique no aplicativo ou no desktop cujo direito você deseja editar. Clique em Direitos para exibir a página Direitos do aplicativo. Você pode visualizar as configurações de implantação atuais para direitos de usuário e de grupo na coluna IMPLANTAÇÃO. d Clique em Editar ao lado do direito que você deseja editar. VMware, Inc. 50

51 e Na caixa de diálogo Editar Direito de Usuário, selecione o tipo de implantação para o direito. f Clique em Salvar. O tipo de implantação definido no nível do direito de usuário ou de grupo tem precedência sobre a definição do tipo de implantação global e não será modificado durante a sincronização. Visualizando opções de inicialização para desktops e aplicativos do View Os desktops e os aplicativos do View podem ser inicializados a partir do Workspace ONE no Horizon Client ou de um navegador da Web, com base no modo como o desktop ou o aplicativo foi configurado no View. Se um desktop ou aplicativo do View só for configurado para o Horizon Client, os usuários deverão instalar o Horizon Client em seus sistemas. O recurso HTML Access do View fornece aos administradores do View a opção de configuração de um aplicativo ou desktop do View para navegadores. Essa configuração é feita no View e não é necessária qualquer configuração no VMware Identity Manager. No Horizon 7, a configuração Permitir o HTML Access ao desktop e a aplicativos neste farm determina se os usuários no VMware Identity Manager têm a opção de inicializar desktops ou aplicativos a partir desse farm em um navegador. O VMware Identity Manager suporta o HTML Access para o Horizon e versões posteriores. O VMware Identity Manager também suporta todos os protocolos de exibição que o View suporta para o Horizon Client. Para o Horizon 7, o VMware Identity Manager oferece suporte ao protocolo Blast além do PCoIP e do RDP para o Horizon Client 4.0. Quando usuários do VMware Identity Manager inicializam um desktop ou aplicativo no Horizon Client, ele usa o protocolo que está definido para o farm no View. Observação No View, além de definir o protocolo de exibição padrão, os administradores podem especificar se os usuários têm autorização para escolher um protocolo de exibição. Se você quiser oferecer suporte a versões do Horizon Client não compatíveis com o protocolo padrão, convém permitir que os usuários escolham o protocolo de exibição. Caso contrário, o aplicativo ou desktop não poderá ser inicializado. VMware, Inc. 51

52 Para obter informações sobre como configurar os protocolos de exibição e as opções de inicialização, consulte a documentação do Horizon 7, do Horizon 6 ou do View. No console de administração do VMware Identity Manager, você pode verificar as opções de inicialização com suporte por um desktop ou aplicativo do View. Procedimentos 1 Faça login no console de administração do VMware Identity Manager. 2 Clique na guia Catálogo. 3 Para visualizar pools de desktops, clique em Qualquer Tipo de Aplicativo > Pools de Desktops do View. Para visualizar aplicativos, clique em Qualquer Tipo de Aplicativo > Aplicativos Hospedados do View. 4 Clique no nome do desktop ou aplicativo do View. 5 Clique em Detalhes à esquerda. O campo Tipos de clientes com suporte mostra as opções de inicialização. O valor do campo pode ser NATIVO ou NAVEGADOR, ou ambos. Se apenas NATIVO estiver listado, o desktop ou aplicativo só pode ser inicializado no Horizon Client. Os usuários devem instalar o Horizon Client em seus sistemas antes de iniciarem o aplicativo a partir do Workspace ONE. Se NAVEGADOR estiver listado, os usuários poderão iniciar o aplicativo ou desktop em um navegador. Se ambos estiverem especificados, os usuários poderão selecionar como desejam iniciar o aplicativo. Observação Para integrações do Horizon 7, a opção Permitir o HTML Access ao desktop e a aplicativos neste farm deve ser habilitada no Horizon 7 para a opção NAVEGADOR aparecer na lista Tipos de clientes com suporte. VMware, Inc. 52

53 Inicializando um aplicativo ou desktop do View Os usuários podem inicializar um desktop ou aplicativo do View a partir do portal ou aplicativo do Workspace ONE. Com base em como um desktop ou aplicativo foi configurado no View, ele pode ser inicializado no Horizon Client ou em um navegador. Para aplicativos ou desktops que só podem ser inicializados no Horizon Client, os usuários devem instalar o Horizon Client em seus sistemas. Para aplicativos e desktops que podem ser inicializados no Horizon Client ou em um navegador, os usuários podem selecionar o método de inicialização. Os usuários também podem definir a preferência de inicialização padrão na página Preferências no portal do Workspace ONE. Essa preferência do usuário substitui qualquer preferência de inicialização padrão definida no nível de administrador. Observação Os usuários não podem definir uma preferência de inicialização padrão no aplicativo do Workspace ONE. Pré-requisitos Com base na forma como o aplicativo ou o desktop foi configurado no View, talvez os usuários precisarão instalar o Horizon Client. Para as versões suportadas do Horizon Client, consulte a VMware Product Interoperability Matrix em Procedimentos 1 Faça login no portal Workspace ONE. 2 Clique com o botão direito do mouse no desktop ou no aplicativo que você deseja usar e verifique as opções de inicialização disponíveis. Se uma opção de inicialização não estiver disponível, o link ficará desabilitado. 3 Instale o Horizon Client em seu sistema, se for necessário e se você ainda não o tiver instalado. 4 Clique com o botão direito do mouse no desktop ou no aplicativo e selecione Iniciar no Navegador ou Iniciar no Cliente. Se você escolher a opção Navegador, o desktop ou aplicativo será iniciado em um navegador. Se você estiver usando o Horizon ou versão posterior, a janela do navegador também exibe uma Bandeja HTML Access. Observação Se os metadados SAML nas instâncias do View Connection Server tiverem expirado, o aplicativo ou desktop não será inicializado. Para resolver este problema, você deve sincronizar os recursos do View com o VMware Identity Manager novamente. Clique em Sincronizar Agora na página Pools do View no console de administração. VMware, Inc. 53

54 Permitindo que os usuários redefinam seus desktops do View no VMware Identity Manager Dependendo de como você configurar o View e o VMware Identity Manager, os usuários poderão usar o portal de aplicativos para redefinir o desktop do View que não responde. Ao configurar o View para permitir que os usuários redefinam seus desktops, a configuração se aplica tanto ao View quanto ao VMware Identity Manager. Pré-requisitos Configure o View para permitir que os usuários redefinam seus desktops. Veja a documentação do View, do Horizon 6 ou do Horizon 7, especificamente o guia Administração do View. Para garantir que os desktops específicos sejam redefiníveis pelos usuários, as URLs de acesso do cliente para os respectivos pods devem ter certificados confiáveis. Caso a URL tenha certificados assinados pela raiz ou autoassináveis, configure o VMware Identity Manager para torná-los confiáveis. Veja Instalação e configuração do VMware Identity Manager para obter mais informações sobre a aplicação de um certificado raiz. Procedimentos u (Opcional) Verifique se o VMware Identity Manager lista um determinado desktop como redefinível pelos usuários. a b c d e No console de administração, selecione a guia Catálogo. No menu suspenso Qualquer tipo de aplicativo, selecione Pools de Desktops do View. Clique no nome do desktop. Clique em Detalhes. Verifique se a configuração Configuração permitida está configurada como verdadeira. Caso a configuração seja falsa, então o View não estará configurado para permitir que os usuários redefinam o desktop. Próximo passo Caso um desktop do View fique sem resposta no futuro, você ou outros usuários poderão redefinir o desktop no portal de aplicativosclicando com o botão direito no desktop que não responde e clicando em Redefinir o Desktop. Especificando políticas de acesso para desktops e aplicativos específicos O conjunto de políticas de acesso padrão se aplica a todos os aplicativos e desktops no seu catálogo. Você também pode definir políticas de acesso para aplicativos individuais ou pools de desktop, que substituem a política de acesso padrão. VMware, Inc. 54

55 Você pode aplicar uma política de acesso a um ou mais aplicativos e desktops na página Políticas ou selecionar a política de acesso para um aplicativo específico na página de configuração do aplicativo. Para obter mais informações sobre políticas de acesso, consulte o Guia de Administração do VMware Identity Manager. Procedimentos 1 Para aplicar uma política de acesso a aplicativos e desktops na página Políticas, siga estas etapas. a b c d e Navegue para a página Gerenciamento de Identidade e Acesso > Gerenciar > Políticas. Clique em uma política para editá-la ou clique em Adicionar Política para criar uma nova política. Na página Política, edite ou defina a política. Na seção Aplicável a, selecione os aplicativos aos quais você deseja aplicar a política. Clique em Salvar. 2 Para selecionar uma política de acesso para um aplicativo específico na página de configuração do aplicativo, selecione estas etapas. a b c d Clique na guia Catálogo. Clique no aplicativo. Clique em Políticas de Acesso no painel esquerdo. Selecione a política de acesso para o aplicativo e clique em Salvar. Reduzindo o uso de recursos e aumentando o desempenho do desktop do VMware Identity Manager em desktops não persistentes do View Para reduzir o uso de recursos e aumentar o desempenho ao usar o portal do Workspace ONE em desktops não persistentes, também conhecidos como desktops sem monitoração de estado, você pode configurar o cliente com configurações otimizadas para usá-lo em um desktop não persistente do View. Problema Quando um desktop não persistente do View tem o aplicativo VMware Identity Manager Desktop instalado no desktop do View, toda vez que um usuário inicia uma sessão, aumenta-se a quantidade de recursos utilizados, como E/Ss de armazenamento. VMware, Inc. 55

56 Causa Os desktops não persistentes do View são inerentemente sem monitoração de estado. Tais desktops do View também são conhecidos como desktops flutuantes, e as novas sessões podem ser criadas quando os desktops flutuantes são recompostos ou quando o usuário recebe um novo desktop do pool. A menos que o aplicativo VMware Identity Manager Desktop usado em desktops não persistentes seja definido com configurações otimizadas para esse cenário, os usuários podem experimentar degradação do desempenho ao acessarem pacotes ThinApp. Normalmente, você configura o aplicativo VMware Identity Manager Desktop para desktops do View usando as opções do instalador da linha de comando. Consulte Opções do instalador da linha de comando para o desktop do VMware Identity Manager. Solução u Instale o aplicativo VMware Identity Manager Desktop no modelo usado para desktops não persistentes do View usando as opções do instalador da linha de comando recomendadas. /v Opção do Instalador Descrição ENABLE_AUTOUPDATE = 0 INSTALL_MODE = RUN_FROM_SHARE Impede a atualização automática do aplicativo VMware Identity Manager Desktop para uma versão mais recente. Normalmente, seu administrador do View atualiza o aplicativo no modelo. Se você pretende fazer com que os usuários usem pacotes ThinApp nesses desktops do View, use essa opção para que os pacotes ThinApp sejam transmitidos a partir do servidor em vez de baixados no sistema do Windows. Veja a seguir um exemplo da instalação do aplicativo VMware Identity Manager Desktop com uma configuração ideal para desktops não persistentes do View nos quais se espera que os usuários usem pacotes ThinApp. A opção WORKSPACE_SERVER especifica o servidor do VMware Identity Manager para esta instalação. VMware-Identity-Manager-Desktop-n.n.n-nnnnnnn.exe /v WORKSPACE_SERVER=" ENABLE_AUTOUPDATE=0 INSTALL_MODE=RUN_FROM_SHARE VMware, Inc. 56

57 Fornecendo acesso ao 4 VMware Horizon Cloud Service O VMware Horizon Cloud Service com infraestrutura hospedada ou no local pode ser integrado ao serviço do VMware Identity Manager. A integração do Horizon Cloud com o serviço do VMware Identity Manager oferece aos usuários a capacidade de acessar seus aplicativos e desktops do Horizon Cloudautorizados a partir do portal ou do aplicativo do Workspace ONE. Isso fornece aos usuários um único local para o acesso de todos os aplicativos nos dispositivos. Os pools de desktops e aplicativos, também conhecidos como atribuições, são configurados no tenant do Horizon Cloud. Você também define direitos de usuário e de grupo no tenant do Horizon Cloud, não no serviço do VMware Identity Manager. Você deve sincronizar esses usuários e grupos com o serviço do VMware Identity Manager a partir do Active Directory antes da integração ao tenant do Horizon Cloud. Depois de integrar o tenant do Horizon Cloud ao VMware Identity Manager, você poderá ver os desktops e aplicativos do Horizon Cloud no console de administração do VMware Identity Manager. Você também pode visualizar os direitos de usuário e de grupo. Você pode configurar um cronograma de sincronização para que sincronize regularmente os recursos e os direitos do tenant do Horizon Cloud com o serviço do VMware Identity Manager. Os usuários finais podem inicializar seus desktops e aplicativos autorizados a partir do portal ou do aplicativo do Workspace ONE. Esses desktops e aplicativos podem ser acessados via HTML em um navegador ou via protocolo de exibição suportado no VMware Horizon Client. Há suporte para as versões 3.4 e posteriores do Horizon Client. Este capítulo inclui os seguintes tópicos: Integrando desktops e aplicativos do Horizon Cloud Exibindo detalhes de pools de aplicativos e desktops do Horizon Cloud Exibindo direitos de usuário e de grupo para desktops e aplicativos do Horizon Cloud Especificando políticas de acesso para desktops e aplicativos específicos Definindo o tipo de implantação para direitos do Horizon Cloud Inicializando um desktop ou aplicativo do Horizon Cloud VMware, Inc. 57

58 Integrando desktops e aplicativos do Horizon Cloud Para integrar desktops e aplicativos do Horizon Cloud ao serviço do VMware Identity Manager, adicione os detalhes do tenant do Horizon Cloud no console de administração do VMware Identity Manager e sincronize os recursos e os direitos a partir do tenant do Horizon Cloud. Você também configura a autenticação SAML para habilitar a confiança entre o tenant do Horizon Cloud e o serviço do VMware Identity Manager. Pré-requisitos para a integração Antes de você integrar o Horizon Cloud ao VMware Identity Manager, certifique-se de que atende aos pré-requisitos. Verifique se você tem a seguinte configuração: Uma implantação local do VMware Identity Manager Um tenant do Horizon Cloud que pode ser acessado pelo serviço do VMware Identity Manager. Trabalhe com seu representante do Horizon Cloud para configurar isso. Importante Sua implantação do VMware Identity Manager e seu tenant do Horizon Cloud precisam de conectividade VPN para funcionarem. Caso você use um conector externo adicional, certifique-se de usar a versão ou posterior. Verifique se o tenant do Horizon Cloud atende aos seguintes requisitos. O nome do tenant deve ser um nome de domínio totalmente qualificado (FQDN), não apenas um nome de host. Por exemplo, servidor-ta1.exemplo.com em vez de servidor-ta1. Os appliances do tenant devem ter certificados válidos, assinados, emitidos por uma CA. Os certificados autoassinados não são suportados. O certificado deve corresponder ao FQDN do appliance do tenant. Se você tiver criado seu diretório do VMware Identity Manager com o UPN como um atributo de pesquisa e pretende sincronizar pools de desktop estático a partir do tenant do Horizon Cloud, seu provedor de serviços deverá habilitar o UPN para o tenant e reiniciar o appliance do tenant. Caso contrário, os usuários não conseguirão inicializar desktops estáticos. Certifique-se de que o tenant do Horizon Cloud e o serviço do VMware Identity Manager estejam em sincronização horária. Se eles não estiverem em sincronização horária, um erro de SAML inválido poderá ocorrer quando os usuários inicializarem desktops e aplicativos do Horizon Cloud. Crie e configure pools de desktops e aplicativos, também conhecidos como atribuições, no console de administração do tenant do Horizon Cloud. Você pode criar os seguintes tipos de pools no tenant do Horizon Cloud: Pool de desktops dinâmicos, também conhecido como atribuição de desktop flutuante VMware, Inc. 58

59 Pool de desktops estáticos, também conhecido como atribuição de desktop dedicado Pool com base em sessão com desktops, também conhecido como atribuição de desktop de sessão Pool com base em sessão com aplicativos, também conhecido como atribuição de aplicativo remoto Para obter mais informações sobre os tipos de pools, consulte a documentação do Horizon Air. As seguintes limitações aplicam-se. Você só pode sincronizar a partir de um único tenant do Horizon Cloud para com o VMware Identity Manager. Defina direitos de usuário e de grupo para desktops e aplicativos do Horizon Cloud no console de administração do tenant do Horizon Air. Observação São sincronizados somente os direitos para os usuários que pertencem a um grupo registrado. Os usuários que não pertencem a nenhum grupo não visualizarão seus direitos no VMware Identity Manager. No console de administração VMware Identity Manager, garanta que os usuários e os grupos com esses direitos sejam sincronizados do Active Directory com o VMware Identity Manager usando a sincronização de diretório. Habilitar desktops e aplicativos do Horizon Cloud no VMware Identity Manager Para integrar desktops e aplicativos do Horizon Cloud ao serviço do VMware Identity Manager, adicione os detalhes do tenant do Horizon Cloud no console de administração do VMware Identity Manager e sincronize os recursos e os direitos a partir do tenant do Horizon Cloud com o serviço do VMware Identity Manager. Observação Se você tiver configurado vários conectores em um cenário de alta disponibilidade, deverá configurar a integração do Horizon Cloud em todos os conectores. Você pode definir uma agenda de sincronização automatizada em um dos conectores, mas deve definir a sincronização manual nos outros conectores. Pré-requisitos Verifique se você atende aos pré-requisitos descritos em Pré-requisitos para a integração Verifique se o nome do tenant do Horizon Cloud é um nome de domínio totalmente qualificado (FQDN). Por exemplo, servidor-ta1-1.exemplo.com em vez de servidor-ta1-1. Verifique se o appliance do tenant v tem um certificado SSL válido de uma CA instalada. Os certificados autoassinados não são suportados. O certificado deve corresponder ao FQDN do appliance do tenant. VMware, Inc. 59

60 Procedimentos 1 Faça login no console de administração do VMware Identity Manager. 2 Na guia Catálogo, selecione Gerenciar Aplicativos de Desktop > Horizon Cloud. 3 Marque a caixa de seleção Habilitar Desktops e Aplicativos do Horizon Cloud. 4 Insira as informações de seu ambiente. Importante Não use caracteres não ASCII quando você digitar as informações do seu domínio. Opção Host do Tenant Descrição Nome de domínio totalmente qualificado do host de seu tenant. Por exemplo: tenant1.exemplo.com Porta do Tenant Número da porta do host de seu tenant. Por exemplo: 443 Nome de usuário de administrador Senha de administrador Domínio de administrador Domínios a serem sincronizados Nome de usuário de sua conta de administrador de tenant. Por exemplo: tenantadmin Senha de sua conta de administrador de tenant. O nome do domínio do Active Directory NETBIOS em que reside o administrador do tenant. Nomes de domínio NETBIOS do Active Directory para a sincronização de recursos e direitos do Horizon Cloud. Observação Esse campo distingue letras maiúsculas e minúsculas. Certifiquese de aplicar corretamente o uso de letras maiúsculas e minúsculas ao digitar os nomes. Tipo de implantação Selecione como os recursos do Horizon Cloud são disponibilizados aos usuários. Ativado pelo Usuário: Horizon Cloud os recursos são adicionados à página Catálogo no Workspace ONE. Para usar um recurso, os usuários devem movê-lo da página Catálogo para a página Inicializador. Automático: Horizon Cloud os recursos são adicionados diretamente à página Inicializador no Workspace ONE para uso imediato pelos usuários. O tipo de implantação que você selecionar aqui é uma configuração global que se aplica a todos os direitos de usuário para todos os recursos em sua integração do Horizon Cloud. Você pode modificar o tipo de implantação para usuários individuais ou grupos por recurso, a partir da página Direitos do recurso em questão. Recomenda-se definir o tipo de implantação global como Ativado pelo Usuário. Em seguida, você poderá modificar a configuração para usuários ou grupos específicos por recurso. Para obter mais informações sobre como definir o tipo de implantação, Definindo o tipo de implantação para direitos do Horizon Cloud. VMware, Inc. 60

61 Opção Escolher a frequência de sincronização do Horizon Air Selecionar cliente de inicialização padrão Descrição A frequência na qual sincronizar recursos e direitos do Horizon Cloud. Você pode estabelecer uma agenda de sincronização regular ou optar pela sincronização manual. Se você escolher Manualmente, deverá retornar a esta página e clicar em Sincronizar Agora sempre que houver uma alteração em seus recursos ou direitos do Horizon Cloud. Selecione o cliente padrão no qual inicializar aplicativos ou desktops do Horizon Cloud. Opção Nenhuma Navegador Cliente Descrição Nenhuma preferência padrão é definida no nível de administrador. Se essa opção estiver definida como Nenhuma, e uma preferência do usuário final também não estiver definida, a configuração Protocolo Padrão do Horizon Cloud será usada para determinar como iniciar o desktop ou o aplicativo. Via de regra, os desktops e os aplicativos do Horizon Cloud são inicializados em um navegador da Web. As preferências do usuário final, se definidas, substituem essa configuração. Via de regra, os desktops e os aplicativos do Horizon Cloud são inicializados no Horizon Client. As preferências do usuário final, se definidas, substituem essa configuração. Essa configuração aplica-se a todos os usuários e a todos os recursos na sua integração do Horizon Cloud. A seguinte ordem de prioridade, listada da mais alta para a mais baixa, aplica-se às configurações padrão do cliente de inicialização: a Configuração de preferência de usuário final, definida no portal do Workspace ONE. Essa opção não está disponível para o aplicativo do Workspace ONE. b Configuração Selecionar Cliente de Inicialização Padrão do Administrador, configurada na página Recursos do Horizon Cloud no console de administração do VMware Identity Manager. c Configurações do Protocolo Padrão do Horizon Cloud. Por exemplo: VMware, Inc. 61

62 5 Clique em Salvar. 6 Clique em Sincronizar Agora para sincronizar recursos e direitos do tenant do Horizon Cloud com o serviço do VMware Identity Manager. Próximo passo Configurar a autenticação SAML. Configurar a autenticação SAML Configure a autenticação SAML para habilitar a confiança entre o provedor de serviços, o tenant do Horizon Cloud e o provedor de identidade, VMware Identity Manager. Para configurar a autenticação SAML, crie um artefato de federação para o tenant do Horizon Cloud no console de administração do VMware Identity Manager e configure a autenticação SAML no tenant do Horizon Cloud. Criar artefato de federação para o Horizon Cloud Para configurar a autenticação SAML, você precisará criar um artefato de federação para o tenant do Horizon Cloud. Pré-requisitos Verifique o seguinte com o seu provedor de serviços: O nome do tenant do Horizon Cloud é um nome de domínio totalmente qualificado (FQDN). Por exemplo, servidor-ta1-1.exemplo.com em vez de servidor-ta1-1. VMware, Inc. 62

63 Os appliances do tenant do Horizon Cloud possuem certificados SSL válidos de uma CA instalada. Os certificados autoassinados não são suportados. O certificado deve corresponder ao FQDN do appliance do tenant. Procedimentos 1 No console de administração do VMware Identity Manager, clique na seta na guia Catálogo e selecione Configurações. 2 No painel à esquerda, selecione Horizon Cloud. 3 Insira as informações para o seu ambiente criar um artefato de federação. Configuração Serviço Consumidor de Asserções Público URLs de Appliance do Tenant Descrição URL à qual postar a asserção SAML. Essa URL normalmente é o IP flutuante do tenant do Horizon Cloud ou a URL do Access Point. Por exemplo, Identificador exclusivo do tenant do Horizon Cloud. Essa URL normalmente é o IP flutuante do tenant do Horizon Cloud ou a URL do Access Point. Por exemplo, A URL do appliance do tenant do Horizon Cloud, no formato Se você tiver vários appliances de tenant, clique em Adicionar URL de Appliance do Tenant para adicionar as URLs. Se os appliances do tenant estiverem atrás de um appliance de ponto de acesso ou IP flutuante, especifique a URL do appliance de ponto de acesso ou IP flutuante, no formato Por exemplo: 4 Clique no link Aceitar Certificado ao lado de cada URL de appliance do tenant do Horizon Cloud para aceitar o certificado. Importante Se você alterar o certificado SSL no appliance do tenant do Horizon Cloud após a integração, deverá retornar a esta página e aceitar o certificado novamente para restabelecer a confiança. VMware, Inc. 63

64 5 Clique em Salvar. Próximo passo Configure a autenticação SAML no tenant do Horizon Cloud. Configurar a autenticação SAML no tenant do Horizon Cloud Depois de criar um artefato de federação no console de administração do VMware Identity Manager, configure a autenticação SAML no tenant do Horizon Cloud. Observação Não configure a autenticação SAML se a sua organização usar a autenticação por cartão inteligente para ver os recursos usando um provedor de identidade de terceiros. Observação O appliance do tenant do Horizon Cloud e o VMware Identity Manager devem estar em sincronização de tempo. Se eles não estiverem em sincronização de tempo, quando você tentar inicializar desktops e aplicativos do Horizon Cloud, aparecerá uma mensagem de SAML inválido. Procedimentos 1 No console de administração do VMware Identity Manager, clique na seta na guia Catálogo e selecione Configurações. 2 No painel esquerdo, clique em Metadados SAML. 3 Clique no link Metadados do Provedor de Identidade (IdP). 4 Anote a URL da barra de endereços do navegador, tal como 5 Faça logon no tenant do Horizon Cloud. 6 Navegue para Configurações > Configurações Gerais > Editar. 7 Na seção IDM, insira as informações necessárias. Opção Descrição URL do IDM A URL de metadados do IdP do VMware Identity Manager copiada na etapa 4. Tempo limite do token SSO (Opcional) O tempo, em minutos, após o qual o token SSO expira. VMware, Inc. 64

65 Opção Data Center Endereço do tenant Descrição O nome do centro de dados do Horizon Cloud. Por exemplo, Horizon. O endereço do tenant do Horizon Cloud. Especifique o nome de host ou o endereço IP flutuante, ou o nome de host ou endereço IP do Access Point do appliance do tenant do Horizon Cloud. Por exemplo, mytenant.example.com. Sua integração foi concluída. Agora você pode visualizar os pools de aplicativos e desktops do Horizon Cloud no console de administração do VMware Identity Manager, e os usuários finais podem iniciar os recursos aos quais eles têm direito. Personalizando a ID de usuário para a integração do Horizon Cloud Você pode personalizar a ID de usuário que é usada na resposta SAML quando os usuários inicializam aplicativos e desktops do Horizon Cloud. Via de regra, usa-se o nome UPN. Você pode optar por usar outros formatos de ID de nome, como samaccountname ou endereço de e personalizar o valor. A capacidade de selecionar o formato de ID de nome é útil em cenários como os seguintes: Quando os usuários de vários subdomínios são sincronizados, o nome UPN pode não funcionar. Você pode usar um formato de ID de nome diferente, como samaccountname ou endereço de e- mail, para identificar os usuários de forma exclusiva. Importante Certifique-se de que a configuração de formato de ID de nome seja a mesma no Horizon Cloud e no VMware Identity Manager. Pré-requisitos Você habilitou e configurou a integração do Horizon Cloud na página Recursos do Horizon Cloud, acessada em Catálogo > Gerenciar Aplicativos de Desktop > Horizon Cloud. Procedimentos 1 No console de administração do VMware Identity Manager, clique na seta na guia Catálogo e selecione Configurações. 2 Clique em Horizon Cloud à esquerda. 3 Na página Horizon Cloud, especifique o formato de ID de nome a ser usado. Opção Formato da ID de nome Valor da ID de nome Descrição Selecione o formato ID de nome, como endereço de ou nome UPN. O valor padrão é Não Especificado (nome de usuário). Clique em Selecionar das sugestões e escolha em uma lista predefinida de valores ou clique em Valor personalizado e insira o valor. O valor padrão é $ {user.userprincipalname}. 4 Clique em Salvar. VMware, Inc. 65

66 Próximo passo Sempre que você fizer uma alteração e clicar em Salvar na página de integração dos Recursos do Horizon Cloud, acessada em Catálogo > Gerenciar Aplicativos de Desktop > Horizon Cloud, retorne à página Catálogo > Configurações > Horizon Cloud, verifique as configurações e clique em Salvar novamente. Se ocorrer um erro durante o salvamento das configurações nessa página, clique em Redefinir, insira as informações da configuração novamente e clique em Salvar. Sincronizando desktops e aplicativos do Horizon Cloud com o VMware Identity Manager Quando você integrar inicialmente o Horizon Cloud ao VMware Identity Manager, sincronizará recursos e direitos do tenant do Horizon Cloud com o serviço do VMware Identity Manager. Subsequentemente, os recursos e os direitos serão sincronizados em intervalos regulares se você configurar um cronograma de sincronização. Além disso, você pode sincronizar atualizações com o VMware Identity Manager a qualquer momento usando a opção Sincronizar Agora. Procedimentos 1 Faça login no console de administração do VMware Identity Manager. 2 Na guia Catálogo, clique em Gerenciar Aplicativos de Desktop > Horizon Cloud. 3 Clique em Sincronizar Agora. 4 (Opcional) Para especificar um cronograma de sincronização normal, selecione uma das opções no campo Escolher a Frequência de Sincronização do Horizon Cloud e clique em Salvar. Exibindo detalhes de pools de aplicativos e desktops do Horizon Cloud No console de administração do VMware Identity Manager, você pode visualizar informações sobre os pools de aplicativos e desktops do Horizon Cloud sincronizados. Procedimentos 1 Faça login no console de administração do VMware Identity Manager. 2 Clique na guia Catálogo. 3 Clique em Qualquer Tipo de Aplicativo e selecione Desktops do Horizon Cloud ou Aplicativos do Horizon Cloud. 4 Selecione um pool de desktops ou de aplicativos. 5 Clique em Detalhes. Os atributos recuperados do tenant do Horizon Cloud são exibidos. Veja na documentação do Horizon Cloud mais informações sobre esses atributos. VMware, Inc. 66

67 Exibindo direitos de usuário e de grupo para desktops e aplicativos do Horizon Cloud No console de administração do VMware Identity Manager, você pode visualizar os direitos do Horizon Cloud para usuários e grupos específicos. Os direitos de usuário e de grupo aos recursos do Horizon Cloud são definidos na interface administrativa do tenant do Horizon Cloud e não podem ser modificados no console de administração do VMware Identity Manager. Pré-requisitos Para ver as informações mais recentes, sincronize os desktops e os aplicativos do Horizon Cloud. Você pode forçar uma sincronização selecionando Catálogo > Gerenciar Aplicativos de Desktop > Horizon Cloud para ir à página Recursos do Horizon Air, e clicando em Sincronizar Agora. Procedimentos 1 Faça login no console de administração do VMware Identity Manager. 2 Visualize os direitos de usuário e de grupo para desktops e aplicativos do Horizon Cloud. Opção Liste usuários e grupos com direito a um pool de aplicativos ou desktops do Horizon Cloud específico. Lista dos direitos a pool de aplicativos e desktops do Horizon Cloud para um usuário ou grupo específico. Ação a Clique na guia Catálogo. b Clique em Qualquer Tipo de Aplicativo > Desktops do Horizon Cloud ou Aplicativos do Horizon Cloud. c Selecione o pool para o qual você deseja listar os direitos. A guia Direitos é selecionada por padrão. Os direitos de grupo e os direitos de usuário são listados em tabelas separadas. a Clique na guia Usuários e Grupos. b Clique na guia Usuários ou na guia Grupos. c Clique no nome de um usuário ou grupo individual. d Clique na guia Aplicativos. São listados os pools de desktops e aplicativos do Horizon Cloud aos quais o usuário ou grupo tem direito. Especificando políticas de acesso para desktops e aplicativos específicos O conjunto de políticas de acesso padrão se aplica a todos os aplicativos e desktops no seu catálogo. Você também pode definir políticas de acesso para aplicativos individuais ou pools de desktop, que substituem a política de acesso padrão. Você pode aplicar uma política de acesso a um ou mais aplicativos e desktops na página Políticas ou selecionar a política de acesso para um aplicativo específico na página de configuração do aplicativo. Para obter mais informações sobre políticas de acesso, consulte o Guia de Administração do VMware Identity Manager. VMware, Inc. 67

68 Procedimentos 1 Para aplicar uma política de acesso a aplicativos e desktops na página Políticas, siga estas etapas. a b c d e Navegue para a página Gerenciamento de Identidade e Acesso > Gerenciar > Políticas. Clique em uma política para editá-la ou clique em Adicionar Política para criar uma nova política. Na página Política, edite ou defina a política. Na seção Aplicável a, selecione os aplicativos aos quais você deseja aplicar a política. Clique em Salvar. 2 Para selecionar uma política de acesso para um aplicativo específico na página de configuração do aplicativo, selecione estas etapas. a b c d Clique na guia Catálogo. Clique no aplicativo. Clique em Políticas de Acesso no painel esquerdo. Selecione a política de acesso para o aplicativo e clique em Salvar. Definindo o tipo de implantação para direitos do Horizon Cloud Você pode definir o tipo de implantação para recursos do Horizon Cloud, que determina como os recursos são disponibilizados aos usuários. Definir o tipo de implantação como Ativado pelo Usuário adiciona os recursos à página Catálogo no Workspace ONE. Para usar um recurso, os usuários devem movê-lo da página Catálogo para a página Inicializador. Definir o tipo de implantação como Automático adiciona os recursos diretamente à página Inicializador para uso imediato pelos usuários. Você pode definir o tipo de implantação em níveis diferentes. Nível Global A configuração global se aplica a todos os direitos do usuário para todos os recursos do Horizon Cloud em sua implantação. Você especifica o tipo de implantação global quando você integra pela primeira vez recursos do Horizon Cloud ao VMware Identity Manager a partir da página Recursos do Horizon Air. Após a integração inicial, você poderá modificar a configuração global da mesma página. Observe que, se você alterar a configuração global após a integração inicial, a nova configuração só se aplicará aos novos direitos sincronizados. Para modificar direitos existentes, você pode alterar a configuração no nível do recurso individual. Observação Recomenda-se definir o tipo de implantação global como Ativado pelo Usuário. Em cenários típicos, você define a configuração global como Ativado pelo Usuário e, em seguida, a modifica para Ativado para direitos de usuário e de grupos específicos. Nível de direito de usuário ou de grupo VMware, Inc. 68

69 Você também pode definir o tipo de implantação no nível de desktop ou de aplicativo individual ou para usuários e grupos específicos. Essa configuração substitui a configuração global. Essa definição não será alterada durante as sincronizações subsequentes. Durante a sincronização, o tipo de implantação para os direitos existentes não é alterado. Para os novos direitos na sincronização, aplica-se a configuração global. Observação Assim que um recurso for ativado, quer dizer, quando ele aparecer na página Inicializador de um usuário, ele continuará a aparecer na página Inicializador a menos que o usuário o apague. Qualquer mudança no tipo de implantação não o removerá da página Inicializador. Procedimentos 1 Para definir o tipo de implantação no nível global, siga estas etapas. a b Clique na guia Catálogo e selecione Gerenciar Aplicativos de Desktop > Horizon Cloud. No campo Tipo de Implantação na página Recursos do Horizon Cloud, selecione Ativado pelo Usuário ou Automático. Observação Recomenda-se definir o tipo de implantação global como Ativado pelo Usuário. c Clique em Salvar. A definição será aplicada a todos os novos direitos que começam com a próxima sincronização. 2 Para definir o tipo de implantação para um usuário ou um direito de grupo específico, siga estas etapas. a b c Clique na guia Catálogo. Clique no aplicativo ou no desktop cujo direito você deseja editar. Clique em Direitos para exibir a página Direitos do aplicativo. Você pode visualizar as configurações de implantação atuais para direitos de usuário e de grupo na coluna IMPLANTAÇÃO. d Clique em Editar ao lado do direito que você deseja editar. VMware, Inc. 69

70 e Na caixa de diálogo Editar Direito de Usuário, selecione o tipo de implantação para o direito. f Clique em Salvar. O tipo de implantação definido no nível do direito de usuário ou de grupo tem precedência sobre a definição do tipo de implantação global e não será modificado durante a sincronização. Inicializando um desktop ou aplicativo do Horizon Cloud Os usuários finais podem fazer logon no portal ou no aplicativo do Workspace ONE e iniciar os desktops e aplicativos do Horizon Cloud aos quais eles têm direito. Com base em como um aplicativo ou desktop foi configurado no tenant do Horizon Cloud, ele pode ser iniciado no Horizon Client ou em um navegador. Para aplicativos ou desktops que só podem ser inicializados no Horizon Client, os usuários devem instalar o Horizon Client em seus sistemas. Para aplicativos e desktops que podem ser inicializados no Horizon Client ou em um navegador, os usuários podem selecionar o método de inicialização. Os usuários também podem definir a preferência de inicialização padrão na página Preferências no portal do Workspace ONE. Essa preferência do usuário substitui qualquer preferência de inicialização padrão definida no nível de administrador. Observação Os usuários não podem definir uma preferência de inicialização padrão no aplicativo do Workspace ONE. Procedimentos 1 Faça login no portal Workspace ONE. 2 Clique com o botão direito do mouse no desktop ou no aplicativo que você deseja usar e verifique as opções de inicialização disponíveis. Se uma opção de inicialização não estiver disponível, o link ficará desabilitado. 3 Instale o Horizon Client no sistema, se necessário. VMware, Inc. 70

71 4 Clique com o botão direito do mouse no desktop ou no aplicativo e selecione Iniciar no Navegador ou Iniciar no Cliente. VMware, Inc. 71

72 Fornecendo acesso a pacotes ThinApp da VMware 5 Com o VMware Identity Manager, você pode distribuir e gerenciar centralmente pacotes ThinApp. Os Pacotes ThinApp são aplicativos virtualizados do Windows, que são usados em sistemas do Windows. Os usuários autorizados que instalaram o aplicativo do VMware Identity Manager Desktop em seus sistemas do Windows podem inicializar e usar seus pacotes ThinApp autorizados nesses sistemas do Windows. Nos processos de captura e criação do ThinApp, crie um aplicativo virtual a partir de um aplicativo do Windows. Esse aplicativo virtualizado do Windows pode ser executado em um sistema do Windows sem que esse sistema tenha o aplicativo original do Windows instalado. O pacote ThinApp é o conjunto de arquivos de aplicativo virtual gerados pela execução dos processos de captura e criação do ThinApp em um aplicativo do Windows. O pacote inclui os arquivos de contêiner de dados primário e os arquivos de ponto de entrada para acessar o aplicativo do Windows. Nem todo pacote ThinApp é compatível com o VMware Identity Manager. Quando você captura um aplicativo do Windows, as configurações padrão no processo de captura e compilação do ThinApp criam um pacote que o VMware Identity Manager não pode distribuir e gerenciar. Crie um pacote ThinApp que o VMware Identity Manager possa distribuir e gerenciar definindo os parâmetros adequados durante os processos de captura e criação. Consulte a documentação do VMware ThinApp para obter informações detalhadas sobre os recursos e os parâmetros do ThinApp adequados a serem usados para criar um pacote compatível com o VMware Identity Manager. Após integrar o VMware Identity Manager ao seu repositório do ThinApp, você poderá ver em seu catálogo os pacotes ThinApp do repositório que o VMware Identity Manager pode distribuir e gerenciar. Depois de ver os pacotes ThinApp em seu catálogo do VMware Identity Manager, você poderá autorizar usuários e grupos a esses pacotes ThinApp e, opcionalmente, configurar informações de rastreamento de licenças para cada pacote. Este capítulo inclui os seguintes tópicos: Integrando pacotes do VMware ThinApp Autorizar usuários e grupos aos pacotes ThinApp Distribuindo e gerenciando pacotes ThinApp usando o VMware Identity Manager Atualizando pacotes ThinApp gerenciados após a implantação no VMware Identity Manager Excluir pacotes ThinApp do VMware Identity Manager Tornar pacotes ThinApp existentes compatíveis com o VMware Identity Manager VMware, Inc. 72

73 Alterar a pasta de compartilhamento dos pacotes ThinApp Especificando políticas de acesso para desktops e aplicativos específicos Integrando pacotes do VMware ThinApp Para usar o VMware Identity Manager para distribuir e gerenciar aplicativos fornecidos com o VMware ThinApp, você deve ter um repositório ThinApp que contenha os pacotes ThinApp, apontar para esse repositório e sincronizar os pacotes. Após a conclusão do processo de sincronização, os pacotes ThinApp estarão disponíveis no seu catálogo do VMware Identity Manager e você poderá qualificá-los para os seus usuários e grupos do VMware Identity Manager. O ThinApp oferece virtualização de aplicativos dissociando um aplicativo do sistema operacional subjacente e suas respectivas bibliotecas e estrutura, e agrupando o aplicativo em um único arquivo executável chamado de pacote de aplicativos. Para que sejam gerenciados pelo VMware Identity Manager, esses pacotes devem ser ativados com as opções adequadas. No assistente do ThinApp Setup Capture, marque a caixa de seleção Gerenciar com o Workspace. Para obter mais informações sobre os recursos do ThinApp e como ativar os seus aplicativos para o gerenciamento pelo VMware Identity Manager, consulte a documentação do VMware ThinApp. Normalmente, você executa as etapas para conectar o VMware Identity Manager ao repositório e sincronizar os pacotes como parte da instalação geral e da configuração do seu ambiente VMware Identity Manager. O repositório ThinApp deve ser um compartilhamento de rede acessível pelo VMware Identity Manager usando um caminho de Convenção de Nomenclatura Uniforme (UNC). O VMware Identity Manager é sincronizado regularmente com esse compartilhamento de rede para obter os metadados do pacote ThinApp que o VMware Identity Manager exige para distribuir e gerenciar os pacotes. Consulte Requisitos do VMware Identity Manager para pacotes ThinApp e o repositório do compartilhamento de rede. O compartilhamento de rede pode ser um compartilhamento Common Internet File System (CIFS) ou Distributed File System (DFS). O compartilhamento DFS pode ser um único compartilhamento de arquivos de protocolo SMB ou vários compartilhamentos de arquivos SMB organizados como um sistema de arquivos distribuídos. Compartilhamentos CIFS e DFS em execução em sistemas de armazenamento NetApp são compatíveis. Requisitos do VMware Identity Manager para pacotes ThinApp e o repositório do compartilhamento de rede Ao capturar e armazenar aplicativos ThinApp a serem distribuídos a partir do VMware Identity Manager, você deve atender a certos requisitos. Requisitos dos aplicativos ThinApp Para criar ou remontar pacotes ThinApp que o VMware Identity Manager que pode gerenciar, você deve usar uma versão do ThinApp que o VMware Identity Manager suporta. O VMware Identity Manager suporta o ThinApp e versões posteriores. Para obter informações atualizadas sobre as versões suportadas, consulte as VMware Product Interoperability Matrixes em VMware, Inc. 73

74 Você deve ter pacotes ThinApp que o VMware Identity Manager pode gerenciar. No processo de captura e compilação do ThinApp, você pode criar pacotes que o VMware Identity Manager consegue gerenciar ou que ele não consegue gerenciar. Por exemplo, quando você usa o assistente de Captura de configuração do ThinApp para capturar um aplicativo, pode criar um pacote que o VMware Identity Manager consegue gerenciar selecionando a caixa de seleção Gerenciar com o Workspace. Consulte a documentação do VMware ThinApp para obter informações detalhadas sobre os recursos e os parâmetros do ThinApp adequados a serem usados para criar um pacote compatível com o VMware Identity Manager. Para pacotes ThinApp existentes, você pode usar o comando relink - h para habilitar os pacotes para o VMware Identity Manager. Para obter informações sobre como converter pacotes ThinApp existentes em pacotes que o VMware Identity Manager consegue gerenciar, consulte Guia de administração do VMware Identity Manager. Você deve armazenar os pacotes ThinApp em um compartilhamento de rede que atende aos requisitos para a combinação do tipo de compartilhamento de rede, do acesso ao repositório e do modo de implantação do pacote ThinApp desejado para as necessidades da sua organização. Requisitos do repositório de compartilhamento de rede Os pacotes ThinApp devem residir em um compartilhamento de rede, também conhecido como o repositório de pacotes ThinApp. O compartilhamento de rede deve ser acessível usando-se um caminho UNC (convenção de nomenclatura uniforme) de cada sistema que está executando o aplicativo VMware Identity Manager Desktop para acessar os pacotes ThinApp. Por exemplo, um compartilhamento de rede chamado appshare, em um host chamado server, pode ser acessado usando-se o caminho UNC \\server\appshare. O nome de host totalmente qualificado da pasta de compartilhamento de rede deve ser resolvido a partir do VMware Identity Manager. O compartilhamento de rede pode ser um compartilhamento Common Internet File System (CIFS) ou Distributed File System (DFS). O compartilhamento DFS pode ser um único compartilhamento de arquivos de protocolo SMB ou vários compartilhamentos de arquivos SMB organizados como um sistema de arquivos distribuídos. Compartilhamentos CIFS e DFS em execução em sistemas de armazenamento NetApp são compatíveis. O compartilhamento de rede deve atender aos critérios adequados para o tipo de acesso que você configurar para o VMware Identity Manager usar a fim de acessar o repositório de pacotes ThinApp: acesso com base em domínio ou acesso com base em conta. O tipo de acesso determina as combinações permitidas para os seguintes itens: Se você usa um compartilhamento de rede CIFS ou um compartilhamento de rede DFS para o repositório de pacotes ThinApp. Se você deve ingressar o VMware Identity Manager e o host do compartilhamento de rede no mesmo domínio do Active Directory. Se o sistema do Windows do usuário deve ingressar no domínio do Active Directory para usar os pacotes ThinApp. VMware, Inc. 74

75 O modo de instalação do pacote ThinApp que o aplicativo VMware Identity Manager Desktop instalado está configurado para usar para a obtenção e a execução dos aplicativos virtualizados no sistema do Windows no qual o aplicativo está instalado. O modo de instalação do pacote utilizado no sistema do Windows do usuário é definido durante o processo de instalação quando o aplicativo do VMware Identity Manager Desktop é instalado nesse sistema do Windows. Esse modo de instalação de pacote determina o modo de implantação ThinApp utilizado por esse sistema do Windows, modo de download ou modo contínuo. VMware, Inc. 75

76 Tipo de Tipo de acesso compartilhamento de rede Requisitos do VMware Identity Manager Requisitos para o sistema do Windows do usuário Acesso com base em domínio Você pode usar um compartilhamento CIFS para o seu repositório de pacotes ThinApp quando utilizar o acesso com base em domínio. Você não pode usar um compartilhamento DFS para o acesso com base em domínio. Se você tiver um compartilhamento DFS, deverá usar o acesso com base em conta. Você deve ingressar o VMware Identity Manager no domínio do Active Directory para que ele possa ingressar no compartilhamento de rede do Windows e acessar os pacotes. Para obter mais informações sobre como configurar o VMware Identity Manager para ingressar no domínio, consulte as informações sobre como configurar o Kerberos em Instalação e configuração do VMware Identity Manager. Observação A autenticação do Windows não é necessária. O compartilhamento de rede deve suportar as permissões de autenticação e de arquivo baseadas em contas de computador. O VMware Identity Manager acessa o compartilhamento de rede com a conta de computador do VMware Identity Manager no domínio. As permissões de pasta e de arquivo do compartilhamento de rede devem ser configuradas de modo que a combinação de permissões permita o acesso de leitura para a conta de computador do VMware Identity Manager no domínio. O sistema do Windows do usuário deve ingressar no domínio do Active Directory antes que o usuário possa usar seus pacotes ThinApp autorizados. Todos os seguintes sistemas devem ingressar no mesmo domínio: O sistema do Windows do usuário VMware Identity Manager O host da unidade de compartilhamento de rede com os pacotes ThinApp Quando você usa o acesso com base em domínio, os seguintes modos de instalação para os pacotes ThinApp são permitidos. COPY_TO_LOCAL. Com esse modo de instalação, os pacotes são baixados no sistema cliente do Windows. Esse modo de instalação corresponde ao uso do modo de download do ThinApp para o aplicativo virtualizado. A conta usada para se fazer login no sistema cliente do Windows é a conta de usuário usada para se copiar os pacotes do compartilhamento de rede no sistema cliente do Windows, e essa conta deve ter permissões para ler os pacotes e copiar os arquivos desse compartilhamento de rede. Depois que o pacote for baixado no sistema cliente do Windows, e o usuário inicializar o pacote, o aplicativo virtualizado é executado localmente no sistema cliente do Windows. RUN_FROM_SHARE. Com esse modo de instalação, os pacotes não são baixados no sistema cliente do Windows. Um usuário inicializa os pacotes usando atalhos na desktop local, e os aplicativos virtualizados são executados a partir do compartilhamento de rede que está usando o modo contínuo do ThinApp. A conta usada para se fazer login no sistema cliente do Windows é a conta de usuário usada para se executar os pacotes do VMware, Inc. 76

77 Tipo de Tipo de acesso compartilhamento de rede Requisitos do VMware Identity Manager Requisitos para o sistema do Windows do usuário compartilhamento de rede, e essa conta deve ter permissões para ler e executar arquivos a partir desse compartilhamento de rede. Observação RUN_FROM_SHARE é mais adequado para sistemas do Windows que sempre terão conectividade para o compartilhamento de rede dos pacotes ThinApp. Os sistemas Windows que melhor se encaixam nessa descrição são os desktops do View, porque estão sempre conectados aos seus domínios. Os desktops do View flutuantes ou sem monitoração de estado usam melhor o RUN_FROM_SHARE para evitar o uso de recursos inerentes ao download dos pacotes para o sistema do Windows. Por padrão, o modo de instalação do COPY_TO_LOCAL é definido como o modo de instalação padrão quando você instalar o aplicativo do VMware Identity Manager Desktop em um sistema do Windows executando a versão gráfica do programa de instalação do cliente. Para definir um modo de instalação diferente como o modo de instalação padrão para os pacotes, você deve executar a instalação do cliente usando a linha de comando. Consulte as Opções do instalador da linha de comando para o desktop do VMware Identity Manager. Acesso com base em conta Você pode usar um compartilhamento CIFS ou DFS para o seu repositório de pacotes ThinApp quando utilizar o acesso com base em conta. Você deve configurar o VMware Identity Manager para usar uma conta e senha de usuário de compartilhamento para acessar o compartilhamento de rede e os pacotes. A conta e a senha de usuário de compartilhamento é qualquer combinação que tem acesso de leitura ao caminho UNC para a pasta de compartilhamento de rede. O sistema do Windows do usuário não precisa ingressar no domínio do Active Directory antes que o usuário possa usar seus pacotes ThinApp autorizados. A autenticação do Windows não é necessária. O sistema do Windows, o VMware Identity Manager e o host do compartilhamento de rede do usuário com os pacotes ThinApp não precisam ingressar no mesmo domínio do Active Directory. VMware, Inc. 77

78 Tipo de Tipo de acesso compartilhamento de rede Requisitos do VMware Identity Manager Requisitos para o sistema do Windows do usuário Você não precisa ingressar o VMware Identity Manager no domínio do Active Directory para acessar o compartilhamento de rede. Com o acesso com base em conta configurado, os seguintes modos de instalação para os pacotes ThinApp são permitidos. Se o sistema do Windows do usuário não Observação No console de administração, você deve concluir a página Ingressar no Domínio antes de poder usar a página Pacotes ThinApp. Observação Se você estiver usando o compartilhamento NetApp, será necessário o acesso com base em conta. tiver ingressado no domínio, o cliente deverá usar o modo de instalação do HTTP_DOWNLOAD para obter o aplicativo virtualizado. Esse modo de instalação corresponde ao uso do modo de download do ThinApp para o aplicativo virtualizado. O VMware Identity Manager usa a conta de usuário de compartilhamento para recuperar os pacotes do repositório. Se o usuário ingressar no sistema do Windows para o domínio, o cliente poderá usar o modo de instalação do COPY_TO_LOCAL ou o modo de instalação RUN_FROM_SHARE para executar os pacotes ThinApp autorizados do usuário. A conta usada para se fazer login no sistema cliente do Windows é a VMware, Inc. 78

79 Tipo de Tipo de acesso compartilhamento de rede Requisitos do VMware Identity Manager Requisitos para o sistema do Windows do usuário conta de usuário usada para se obter os pacotes do compartilhamento de rede, e essa conta deve ter permissões adequadas no compartilhamento de rede. Se o sistema do Windows do usuário puder ingressar no domínio em alguns momentos e não puder ingressar em outros momentos, você pode instalar o cliente com o modo COPY_TO_LOCAL e a opção AUTO_TRY_HTTP habilitada, contanto que o VMware Identity Manager esteja configurado para o acesso com base em conta. Com essa configuração, o cliente primeiro tenta usar o modo COPY_TO_LOCAL para baixar os pacotes. Se o sistema do Windows não estiver ingressado nesse domínio naquele momento, a tentativa de copiar os pacotes falha. No entanto, com a opção AUTO_TRY_HTTP habilitada, o cliente faz imediatamente uma tentativa de usar o HTTP para baixar os pacotes. Essa combinação de COPY_TO_LOCAL e AUTO_TRY_HTTP é o padrão quando você instala o aplicativo do VMware Identity Manager Desktop em um sistema do Windows executando a versão gráfica do programa de instalação do cliente. O VMware Identity Manager deve ser configurado para o acesso com base em conta para a tentativa de baixar os pacotes usando-se o modo HTTP_DOWNLOAD para ser bemsucedido. Além disso, o repositório de pacotes ThinApp deve atender aos seguintes critérios de acordo com a situação descrita. Quando suas configurações envolvem sistemas ingressando no domínio do Active Directory, certifique-se de que um namespace não contíguo não impede que computadores membros do domínio acessem o compartilhamento de rede que hospeda os pacotes ThinApp. Um namespace não contíguo ocorre quando um nome de domínio do Active Directory é diferente do namespace de DNS usado pela máquina nesse domínio. As permissões de arquivo e de compartilhamento do compartilhamento de rede devem ser configuradas para se fornecer acesso de leitura e a capacidade de executar aplicativos a esses usuários que você deseja que executem os aplicativos ThinApp usando a opção COPY_TO_LOCAL ou RUN_FROM_SHARE. VMware, Inc. 79

80 Por exemplo, para as contas de usuário do Active Directory desses usuários que você deseja que executem os aplicativos ThinApp em modo contínuo, definir a permissão Pasta compartilhada como Leitura e a permissão NTFS como Ler e Executar fornece a esses usuários acesso de leitura e a capacidade de executar os aplicativos. A configuração da permissão NTFS como Ler e Executar é necessária para a execução de um aplicativo ThinApp usando-se o modo contínuo do ThinApp, que corresponde ao modo de instalação do RUN_FROM_SHARE do aplicativo do VMware Identity Manager Desktop. Se a sua organização exigir que o conjunto de permissões NTFS seja definido como Ler, seus usuários poderão usar o modo de download do ThinApp para o aplicativo virtualizado. O modo de download do ThinApp corresponde à instalação do cliente do Windows seja com o modo de instalação do COPY_TO_LOCAL seja com o modo de instalação do HTTP_DOWNLOAD. Com qualquer um desses modos de instalação, os aplicativos são baixados nos sistemas do Windows e inicializados localmente. Ambos os compartilhamentos de rede CIFS e DFS devem ter os pacotes ThinApp organizados em subdiretórios individuais em um diretório sob o namespace, não subdiretórios no próprio namespace, como \\server\appshare\thinapp1, \\server\appshare\thinapp2 e assim por diante. Consulte Criar um compartilhamento de rede para pacotes ThinApp que o VMware Identity Manager gerencia. Criar um compartilhamento de rede para pacotes ThinApp que o VMware Identity Manager gerencia Se você quiser habilitar os recursos de gerenciamento do VMware ThinApp do VMware Identity Manager e permitir que os usuários acessem pacotes ThinApp a partir do catálogo, precisará criar um compartilhamento de rede e armazenar os pacotes ThinApp na pasta desse compartilhamento de rede. O VMware Identity Manager obtém os metadados necessários concernentes aos pacotes ThinApp a partir do compartilhamento de arquivos na rede. Pré-requisitos Verifique se os pacotes ThinApp atendem aos requisitos do VMware Identity Manager. Verifique se você tem o acesso e as permissões apropriados para criar um compartilhamento de arquivos na rede em seu ambiente de TI que atenda aos requisitos do VMware Identity Manager para pacotes ThinApp. Procedimentos 1 Crie um compartilhamento de rede que atenda aos requisitos do VMware Identity Manager para pacotes ThinApp. VMware, Inc. 80

81 2 No compartilhamento de rede, crie uma subpasta de compartilhamento de rede para cada pacote ThinApp. Normalmente, você nomeia a subpasta para corresponder ao nome do aplicativo ThinApp ou indica qual aplicativo está na pasta. Por exemplo, se o compartilhamento de rede for chamado appshare em um host chamado servidor, e o aplicativo for chamado abceditor, a subpasta do pacote ThinApp será \\servidor\appshare\abceditor. Observação Não use caracteres diferentes de ASCII ao criar seus nomes de subpasta de compartilhamento de rede de pacotes ThinApp a serem distribuídos usando o VMware Identity Manager. Os caracteres diferentes de ASCII não são compatíveis. 3 Para cada pacote ThinApp, copie seus arquivos, como os arquivos EXE e DAT, na subpasta nomeada para o aplicativo virtualizado desse pacote. Depois de copiar os arquivos, você terá um conjunto de subpastas e arquivos parecidos com os seguintes arquivos: \\server\appshare\abceditor\abceditor.exe \\server\appshare\abceditor\abceditor.dat Próximo passo Configure o acesso do VMware Identity Manager aos pacotes do ThinApp. Configurando o acesso do VMware Identity Manager a pacotes ThinApp Para configurar o VMware Identity Manager para fornecer aos usuários acesso a pacotes ThinApp, você deve habilitar que o VMware Identity Manager localize os pacotes ThinApp armazenados e sincronize pacotes com o VMware Identity Manager. Pré-requisitos Crie um compartilhamento de rede com a configuração adequada e armazene os pacotes ThinApp no local apropriado nesse compartilhamento de rede. Consulte Criar um compartilhamento de rede para pacotes ThinApp que o VMware Identity Manager gerencia. Confirme que você tem o caminho UNC para a pasta de compartilhamento de rede em que os pacotes ThinApp localizam-se. Confirme que você tem um nome de domínio do Active Directory e o nome de usuário e a senha de uma conta nesse Active Directory que tem os direitos de ingresso no domínio. Ainda que você esteja usando o acesso com base em conta, o console de administração exige a conclusão da página Ingressar no Domínio antes que você possa usar a página Pacotes ThinApp. VMware, Inc. 81

82 Para permitir o acesso com base em domínio, você também deve ingressar o VMware Identity Manager no mesmo domínio do Active Directory no qual o repositório de pacotes ThinApp ingressou. Confirme que você tem o nome de domínio do Active Directory do domínio que o compartilhamento de rede usa, e o nome de usuário e a senha de uma conta nesse Active Directory que tem os direitos de ingresso no domínio. A conta do Active Directory é usada para ingressar o VMware Identity Manager no domínio. Ao habilitar o acesso com base em conta, verifique se você tem um nome de usuário e senha com permissão para ler o compartilhamento de rede. Consulte Requisitos do VMware Identity Manager para pacotes ThinApp e o repositório do compartilhamento de rede. Observação A menos que você queira restringir o uso dos pacotes ThinApp a sistemas do Windows que ingressaram em um domínio para todas as situações de tempo de execução, você deve habilitar o acesso com base em conta, além do acesso com base em domínio. Essa combinação fornece a mais alta flexibilidade para o suporte a situações de tempo de execução nas quais os usuários precisam usar os pacotes ThinApp autorizados, sem que os seus sistemas do Windows precisem ingressar no domínio. Procedimentos 1 Ingresse no domínio do Active Directory. a b c d e Faça login no console de administração. Selecione a guia Gerenciamento de Identidade e Acesso. Clique em Instalar. Na página Conectores, clique em Ingressar no Domínio na linha do conector apropriado. Na página Ingressar no Domínio, digite as informações para o domínio do Active Directory e clique em Ingressar no Domínio. Importante Não use caracteres não ASCII ao inserir o nome do domínio do Active Directory (AD), o nome de usuário do AD ou a senha do AD. Os caracteres não ASCII não são suportados nesses campos de entrada no console de administração. Opção Domínio do AD Nome de usuário do AD Senha do AD Descrição Digite o nome do domínio totalmente qualificado do Active Directory. Um exemplo é HS.TRDOT.COM. Digite o nome de usuário de uma conta no Active Directory que tem permissões para ingressar sistemas nesse domínio do Active Directory. Digite a senha associada ao Nome de Usuário do AD. Essa senha não é armazenada pelo VMware Identity Manager. Importante Toda vez que você importar a configuração do VMware Identity Manager, você deve reingressar o VMware Identity Manager no domínio. VMware, Inc. 82

83 A página Ingressar no Domínio é atualizada e exibe uma mensagem informando que você ingressou no domínio. 2 Habilite o acesso aos pacotes ThinApp armazenados. a b c d Selecione a guia Catálogo. Clique em Gerenciar Aplicativos de Desktop e selecione Aplicativos ThinApp. Marque a caixa de seleção Habilitar aplicativos empacotados. Preencha as informações e clique em Salvar. Importante Não use caracteres não ASCII para as entradas nos campos desta página. Os caracteres não ASCII não são suportados nesses campos de entrada no console de administração. Opção Caminho Escolher Frequência Habilitar acesso baseado em conta Descrição Digite o caminho para a pasta compartilhada em que as pastas dos pacotes ThinApp estão localizadas, no formato de caminho UNC \\servidor\compartilhamento\subpasta. Por exemplo: \\HostdoDiretório\CompartilhamentodeArquivosThinApp. Em HostdoDiretório, forneça o nome do host, não o endereço IP. Para ambos os compartilhamentos de rede CIFS e DFS, esse caminho deve ser um diretório sob o namespace, não o próprio namespace. Selecione o intervalo no qual você deseja que o VMware Identity Manager sincronize as informações sobre os pacotes ThinApp localizados no local de compartilhamento de rede com o VMware Identity Manager. Para um intervalo semanal, defina o dia e o horário do dia em que a sincronização deverá ocorrer. Para um intervalo diário, defina o horário. Selecione essa opção se você quiser usar o acesso baseado em conta. Observação Se o seu repositório de pacotes ThinApp for um compartilhamento de rede DFS, você deverá selecionar essa opção. Se você quiser que os usuários consigam usar seus pacotes ThinApp autorizados em sistemas do Windows não ingressados em um domínio, habilite o acesso baseado em conta. Observação Se você estiver usando o compartilhamento NetApp, será necessário o acesso com base em conta. Usuário de Compartilhamento Senha de Compartilhamento Digite o nome de usuário para uma conta de usuário que tem acesso de leitura ao compartilhamento de rede. Essas informações são usadas quando se seleciona Habilitar acesso baseado em conta. Digite a senha associada à conta do usuário Usuário de Compartilhamento. Aparece uma mensagem informando que os valores foram salvos, e um resumo do último status de sincronização é exibido. VMware, Inc. 83

84 3 Sincronize os pacotes ThinApp com o VMware Identity Manager clicando em Sincronizar Agora. O tempo necessário para a conclusão do processo de sincronização depende do número de pacotes ThinApp. Após a conclusão do processo de sincronização, aparece uma lista dos pacotes ThinApp que foram sincronizados. O VMware Identity Manager já está configurado para que você possa autorizar grupos e usuários a pacotes ThinApp, e esses usuários podem executar seus pacotes ThinApp usando o aplicativo do VMware Identity Manager Desktop instalado em seus sistemas do Windows. Próximo passo Autorizar grupos e usuários a pacotes ThinApp. Consulte Guia de administração do VMware Identity Manager. Autorizar usuários e grupos aos pacotes ThinApp Você pode autorizar usuários e grupos aos aplicativos do Windows capturados como pacotes ThinApp. Você só pode autorizar usuários do VMware Identity Manager, usuários importados a partir do seu servidor de diretório, aos pacotes ThinApp. Quando você autoriza um usuário a um pacote ThinApp, o usuário vê o aplicativo e pode iniciá-lo pelo aplicativo do VMware Identity Manager Desktop em seu sistema. Se você remover o direito, o usuário não poderá ver ou iniciar o aplicativo. Muitas vezes, a maneira mais eficaz de autorizar usuários a pacotes ThinApp é adicionar um direito de pacote ThinApp a um grupo de usuários. Em certas situações, é mais apropriado autorizar usuários individuais a um pacote ThinApp. Pré-requisitos Configure o VMware Identity Manager para a sincronização de pacotes ThinApp com o seu catálogo do VMware Identity Manager. Quando os pacotes ThinApp estiverem sincronizados com seu catálogo, você poderá autorizar que os usuários e grupos os usem. Use o console de administração para a sincronização de pacotes ThinApp com seu catálogo. Não é possível adicionar pacotes ThinApp diretamente ao seu catálogo a partir do console de administração. Procedimentos 1 Faça login no console de administração. VMware, Inc. 84

85 2 Autorize usuários a um pacote ThinApp. Opção Descrição Acesse um pacote ThinApp e autorize usuários ou grupos a ele. a b c d e f Clique na guia Catálogo. Clique em Qualquer Tipo de Aplicativo > Pacotes ThinApp. Clique no pacote ThinApp ao qual autorizar usuários e grupos. A guia Direitos é selecionada por padrão. Os direitos de grupo são listados em uma tabela, e os direitos de usuário são listados em outra tabela. Clique em Adicionar direito de grupo ou Adicionar direito de usuário. Digite os nomes dos grupos ou usuários. Você pode procurar por usuários ou grupos começando digitar uma cadeia de pesquisa e permitindo que o recurso de preenchimento automático liste as opções. Você pode clicar em navegar para visualizar a lista inteira. No menu suspenso, selecione o método de ativação para o pacote ThinApp. Automático Ativado pelo usuário Os usuários terão acesso imediato ao pacote ThinApp na próxima vez que efetuarem login no aplicativo do VMware Identity Manager Desktop. Os usuários devem ativar o pacote ThinApp no aplicativo do VMware Identity Manager Desktop antes de poderem usar o aplicativo. Acesse um usuário ou grupo e adicione direitos de pacotes ThinApp a esse usuário ou grupo. g a b c d e f g h Clique em Salvar. Clique na guia Usuários e Grupos. Clique na guia Usuários ou na guia Grupos. Clique no nome de um usuário ou grupo individual. Clique na guia Aplicativos. Clique em Adicionar direito. Na lista suspensa, Tipo de Aplicativo, selecione Pacotes ThinApp. Clique nas caixas de seleção ao lado dos pacotes ThinApp aos quais autorizar o usuário ou grupo. Na coluna IMPLANTAÇÃO, selecione o método de ativação para o pacote ThinApp. Automático Ativado pelo usuário Os usuários terão acesso imediato ao pacote ThinApp na próxima vez que efetuarem login no aplicativo do VMware Identity Manager Desktop. Os usuários devem ativar o pacote ThinApp no aplicativo do VMware Identity Manager Desktop antes de poderem usar o aplicativo. i Clique em Salvar. Agora os usuários ou grupos selecionados estão autorizados a usar o pacote ThinApp. Próximo passo Verifique se o aplicativo do VMware Identity Manager Desktop está instalado nos sistemas do Windows dos usuários. VMware, Inc. 85

86 Distribuindo e gerenciando pacotes ThinApp usando o VMware Identity Manager Antes que os seus usuários do VMware Identity Manager possam executar pacotes ThinApp registrados para eles usando o VMware Identity Manager, eles devem ter o aplicativo VMware Identity Manager Desktop instalado e em execução nos respectivos sistemas do Windows. Os pacotes ThinApp são virtualizados nos aplicativos Windows. Os pacotes ThinApp são distribuídos para sistemas do Windows, e um usuário conectado ao sistema do Windows pode iniciar e executar os pacotes ThinApp que são registrados nesse sistema. O VMware Identity Manager pode distribuir e gerenciar pacotes ThinApp que são compatíveis com o VMware Identity Manager. Para iniciar e executar com êxito um desses aplicativos virtualizados na sessão conectada do Windows do usuário, os seguintes elementos são necessários: O pacote ThinApp do aplicativo virtualizado está registrado para uso por esse usuário pelo VMware Identity Manager. Uma DLL específica está disponível nesse sistema do Windows. O processo hws-desktop-client.exe está em execução. Quando um pacote ThinApp compatível é criado, ele é configurado para carregar uma DLL específica quando o usuário conectado inicializa o aplicativo virtualizado na respectiva sessão conectada do Windows. Nesse momento, o aplicativo virtualizado tenta carregar a DLL. Quando a DLL é carregada, ela tenta verificar com o aplicativo VMware Identity Manager Desktop instalado localmente se esse pacote ThinApp está registrado nesse desktop do Windows para esse usuário. O aplicativo VMware Identity Manager Desktop instalado localmente determina se esse aplicativo está registrado para esse usuário sem se comunicar com o VMware Identity Manager. Se o aplicativo estiver registrado nesse desktop do Windows para esse usuário, o aplicativo VMware Identity Manager Desktop verificará quando ocorreu a última sincronização com o VMware Identity Manager. Se o aplicativo VMware Identity Manager Desktop confirmar que o tempo desde a última sincronização está no período de carência offline configurado para o cliente instalado, o cliente permitirá que o aplicativo seja executado. Como essa DLL estará disponível no sistema Windows somente se o aplicativo VMware Identity Manager Desktop estiver instalado, e como o processo hws-desktop-client.exe estará em execução se o aplicativo VMware Identity Manager Desktop estiver em execução no sistema, o aplicativo VMware Identity Manager Desktop deverá ser instalado no sistema Windows para executar os pacotes ThinApp que são distribuídos e gerenciados pelo VMware Identity Manager. VMware, Inc. 86

87 Implantando o aplicativo VMware Identity Manager Desktop para usar pacotes ThinApp O aplicativo VMware Identity Manager Desktop pode ser instalado por meio de um clique duplo no respectivo arquivo EXE do instalador, da execução do arquivo executável usando as opções de linha de comando ou da execução de um script que usa as opções de linha de comando. São necessários privilégios de administrador local para a instalação do aplicativo. Para obter informações sobre como instalar o aplicativo VMware Identity Manager Desktop clicando duas vezes no respectivo arquivo EXE do instalador, consulte o Guia do usuário do VMware Identity Manager. A configuração do aplicativo instalado determina como um pacote ThinApp que é distribuído pelo VMware Identity Manager é implantado nesse sistema do Windows. Por padrão, quando o aplicativo VMware Identity Manager Desktop foi instalado por meio de um clique duplo no respectivo arquivo EXE do instalador, o cliente é configurado para implantar pacotes ThinApp usando o modo de implantação COPY_TO_LOCAL, com a opção AUTO_TRY_HTTP ativada. Essas opções do instalador padrão resultam no que é chamado de modo de implantação de download. Com as definições padrão COPY_TO_LOCAL e AUTO_TRY_HTTP, o aplicativo cliente primeiro tenta fazer download dos pacotes ThinApp, copiando-os para o endpoint do sistema do Windows, e, se a primeira tentativa falhar, o aplicativo cliente tentará fazer download dos pacotes ThinApp usando HTTP. Se o VMware Identity Manager estiver configurado para acesso baseado em conta ao seu repositório ThinApp, o aplicativo cliente poderá fazer download dos pacotes ThinApp usando HTTP. Depois do download dos pacotes ThinApp para o sistema do Windows local, o usuário executará os aplicativos virtualizados no sistema local. Para evitar que os aplicativos virtualizados sejam baixados para o sistema do Windows local e usem o espaço no sistema do Windows, você pode fazer com que os usuários executem os pacotes ThinApp do compartilhamento de rede usando o que é chamado de modo de implantação de streaming. Para que os seus usuários executem os pacotes ThinApp usando o modo de streaming, você deve instalar o aplicativo VMware Identity Manager Desktop nos sistemas do Windows usando um processo de instalação de linha de comando. O instalador apresenta as opções de linha de comando que você pode usar para definir o modo de implantação de tempo de execução dos pacotes ThinApp. Para definir o modo de implantação de tempo de execução para transmitir os pacotes ThinApp, use a opção RUN_FROM_SHARE do instalador. Um método para instalar o aplicativo VMware Identity Manager Desktop em vários sistemas do Windows é usar um script para instalar o aplicativo silenciosamente nos sistemas do Windows. Você pode instalar o cliente silenciosamente em vários sistemas do Windows ao mesmo tempo. Observação Uma instalação silenciosa não exibe mensagens nem janelas durante o processo de instalação. Defina um valor no script para indicar se os clientes instalados por esse script implantam os pacotes ThinApp usando o modo de streaming do ThinApp, a opção RUN_FROM_SHARE ou um dos modos de download do ThinApp, como a opção COPY_TO_LOCAL ou HTTP_DOWNLOAD. VMware, Inc. 87

88 Determinar o modo de implantação adequado para pacotes ThinApp nos endpoints Windows A configuração do aplicativo do VMware Identity Manager Desktop no endpoint do Windows determina se um pacote ThinApp distribuído usando-se o VMware Identity Manager é implantado por meio do modo contínuo do ThinApp, o RUN_FROM_SHARE ou por meio de um dos modos de download do ThinApp, COPY_TO_LOCAL ou HTTP_DOWNLOAD. Ao criar o script para instalar silenciosamente o aplicativo VMware Identity Manager Desktop em endpoints Windows, como computadores desktop e laptop, você define as opções que especificam o modo de implantação do pacote ThinApp. Escolha o modo de implantação mais adequado ao ambiente de rede dos endpoints selecionados, considerando detalhes como a latência da rede. Com o modo de streaming, quando o aplicativo VMware Identity Manager Desktop é sincronizado com o VMware Identity Manager, o cliente baixa os atalhos de aplicativo dos aplicativos do Windows virtualizados dos pacotes ThinApp para o desktop do Windows e, quando o usuário inicializa os pacotes ThinApp, os aplicativos do Windows virtualizados são executados no compartilhamento de arquivos no qual os pacotes ThinApp residem. Portanto, o modo de streaming é adequado para sistemas que estarão sempre conectados ao compartilhamento de rede, como desktops do View. Com o modo de download, no primeiro uso ou atualização de um pacote ThinApp, o usuário deve primeiro aguardar o download do pacote ThinApp para o sistema do Windows e a criação dos atalhos. Após o download inicial, o usuário inicializa e executa o aplicativo do Windows virtualizado no sistema do Windows local. Importante Para desktops do View não persistentes, também conhecidos como desktops flutuantes ou sem monitoração de estado do View, espera-se que você defina o cliente para usar o modo de streaming do ThinApp usando a opção /v INSTALL_MODE=RUN_FROM_SHARE do instalador de linha de comando ao instalar o cliente. A opção RUN_FROM_SHARE oferece a experiência de tempo de execução ideal para o uso de pacotes ThinApp em desktops flutuantes do View. Consulte Opções do instalador da linha de comando para o desktop do VMware Identity Manager. VMware, Inc. 88

89 Tabela 5 1. Modo de implantação do ThinApp para aplicativos virtualizados capturados como pacotes ThinApp Modo modo de streaming do ThinApp modo de download do ThinApp Descrição No modo de streaming do ThinApp, os aplicativos virtualizados são transmitidos sempre que são iniciados. Esse método evita o uso de espaço em disco no desktop que seria usado durante a cópia dos aplicativos virtualizados para o desktop. O desktop deve estar conectado ao compartilhamento de rede dos pacotes ThinApp para que os aplicativos sejam executados. Os seguintes ambientes podem fornecer a consistência e a estabilidade necessárias: Desktops do View, sem monitoração de estado ou persistentes, com excelente conectividade com o compartilhamento de arquivos no qual os pacotes ThinApp residem. Usuários com desktop do Windows que não são desktops do View, que são compartilhados por vários usuários. Essa situação evita o acúmulo no disco de aplicativos específicos do usuário baixados e também fornece acesso rápido a aplicativos sem causar um atraso nos downloads específicos de um usuário. A conta que o usuário utiliza para fazer login no sistema do Windows é usada para obter os pacotes ThinApp do compartilhamento de rede. Essa conta deve ter permissões adequadas no compartilhamento de rede para ler e executar os arquivos a partir do compartilhamento de rede. No modo de download do ThinApp, os aplicativos são baixados para o endpoint do Windows. O usuário executa o aplicativo virtualizado localmente no endpoint. Você pode preferir o modo de download do ThinApp nas seguintes situações: Desktops persistentes do View Desktops conectados por LAN que estão periodicamente offline Uma LAN com latência de rede fraca O VMware Identity Manager fornece dois tipos de modo de download do ThinApp: COPY_TO_LOCAL e HTTP_DOWNLOAD. Se o cliente estiver configurado para COPY_TO_LOCAL, o endpoint do Windows deverá ter ingressado no mesmo domínio que o compartilhamento de arquivos, a menos que a opção AUTO_TRY_HTTP esteja ativada e o VMware Identity Manager esteja configurada acesso baseado em conta ao compartilhamento de rede dos pacotes ThinApp. Quando a opção AUTO_TRY_HTTP está ativada e VMware Identity Manager está configurado para acesso baseado em conta, se o endpoint do Windows não estiver associado ao mesmo domínio e a primeira tentativa de fazer download dos pacotes ThinApp falhar, o aplicativo VMware Identity Manager Desktop tentará automaticamente fazer download dos pacotes ThinApp usando o protocolo HTTP como no modo HTTP_DOWNLOAD. Com HTTP_DOWNLOAD, o endpoint do Windows não precisa ter ingressado no mesmo domínio que o compartilhamento de arquivos. No entanto, durante o uso de HTTP_DOWNLOAD, o tempo gasto para cópia e sincronização é significativamente maior do que quando COPY_TO_LOCAL é utilizado. Importante Se o VMware Identity Manager não estiver ativado para acesso baseado em conta, fazer download usando o protocolo HTTP não funcionará, mesmo que AUTO_TRY_HTTP esteja ativado ou o cliente esteja configurado com a opção HTTP_DOWNLOAD. Durante o uso de COPY_TO_LOCAL, a conta que o usuário utiliza para fazer login no sistema do Windows é usada para obter os pacotes ThinApp do compartilhamento de rede. Essa conta deve ter permissões adequadas no compartilhamento de rede para ler e copiar os arquivos a partir do compartilhamento de rede. Durante o uso de HTTP_DOWNLOAD, a conta de usuário do compartilhamento que você insere no console de administração ao configurar o acesso do VMware Identity Manager ao compartilhamento de rede dos pacotes ThinApp é a conta usada para fazer download dos pacotes ThinApp. Essa conta de usuário do compartilhamento precisa ter permissão de leitura no compartilhamento de rede dos pacotes ThinApp para copiar os arquivos do compartilhamento de rede. VMware, Inc. 89

90 O compartilhamento de rede dos pacotes ThinApp deve atender aos requisitos adequados do modo de implantação definido para os endpoints do Windows. Consulte o Instalação e configuração do VMware Identity Manager. Período de carência offline e pacotes ThinApp O período de carência offline é o período de tempo durante o qual um aplicativo virtualizado tem permissão para ser inicializado e executado em um sistema do Windows sem sincronização com o VMware Identity Manager. Os pacotes ThinApp são aplicativos virtualizados do Windows e o VMware Identity Manager pode distribuir esses aplicativos para os sistemas Windows. Quando o VMware Identity Manager distribui um pacote ThinApp para o sistema do Windows pela primeira vez para o usuário conectado ao sistema, os aplicativos virtualizados do pacote são registrados nesse sistema do Windows para utilização pelo usuário. Os atalhos adequados são adicionados ao desktop do Windows, e o usuário pode inicializar os aplicativos virtualizados usando-os como aplicativos padrão do Windows instalados nesse sistema. Quando um usuário inicializa um dos aplicativos virtualizados que foi implantado no sistema do Windows pelo VMware Identity Manager, o pacote ThinApp solicita permissão para ser executado partir do agente ThinApp em execução no sistema. O agente ThinApp verifica as condições a seguir. Verifica se o aplicativo está registrado nesse desktop do Windows para o usuário conectado. Verifica se o sistema do Windows foi sincronizado com o VMware Identity Manager dentro do período de carência offline permitido. Se essas duas condições forem verdadeiras, o agente ThinApp permitirá que o aplicativo virtualizado seja executado. A frequência com que o aplicativo VMware Identity Manager Desktop é sincronizado com o VMware Identity Manager é definida pela opção do instalador POLLINGINTERVAL. Por padrão, a frequência é a cada cinco minutos. O período de carência offline é definido como 30 dias por padrão. Se um sistema do Windows tiver tido conectividade de rede para se conectar ao VMware Identity Manager a qualquer momento durante um período de tempo de 30 dias, o aplicativo poderá ser sincronizado com o VMware Identity Manager e os aplicativos virtualizados poderão ser executados. No entanto, se o sistema do Windows não tiver conectividade de rede para se conectar ao VMware Identity Manager, o aplicativo não poderá ser sincronizado com o VMware Identity Manager. Os aplicativos virtualizados registrados nesse sistema do Windows podem ser executados no sistema desconectado até o tempo definido pelo período de carência offline. Atualizando pacotes ThinApp gerenciados após a implantação no VMware Identity Manager Após adicionar um pacote ThinApp ao catálogo da sua organização e habilitar seus usuários do VMware Identity Manager a esse pacote do ThinApp, talvez sua organização queira atualizar esse pacote e fazer com que os usuários usem uma versão nova ou reconstruída do pacote ThinApp, sem ter que desautorizar os usuários do pacote atual e, em seguida, os autorizar ao pacote mais recente. VMware, Inc. 90

91 Um pacote ThinApp atualizado pode ser disponibilizado se uma versão mais recente do aplicativo do Windows para esse pacote for lançada, ou se o empacotador do aplicativo tiver alterado os valores dos parâmetros usados pelo pacote. O ThinApp e as versões mais recentes fornecem um mecanismo de atualização para pacotes ThinApp usados no VMware Identity Manager. Este mecanismo de atualização do ThinApp é diferente dos outros mecanismos de atualização para pacotes ThinApp usados fora de um ambiente do VMware Identity Manager. O pacote ThinApp atualizado deve ter sido atualizado com esse mecanismo para que você consiga implantar o pacote atualizado no VMware Identity Manager e faça com que os usuários vejam automaticamente a versão mais recente. Para os pacotes ThinApp gerenciados no VMware Identity Manager, dois parâmetros Package.ini são usados pelo VMware Identity Manager para determinar que um pacote é uma versão atualizada de outro pacote. AppID O identificador exclusivo para o pacote ThinApp no VMware Identity Manager. Todos os pontos de entrada (executáveis) para o aplicativo do pacote são atribuídos à mesma AppID. Depois que um pacote ThinApp for sincronizado com o catálogo do VMware Identity Manager da sua organização, a AppID do pacote aparece na coluna GUID na página de recursos do pacote ThinApp. Este valor é composto por caracteres alfanuméricos em um padrão de conjuntos de caracteres, cada conjunto separado por traços, como no exemplo a seguir: XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX O VMware Identity Manager considera qualquer pacote ThinApp com a mesma AppID como versões do mesmo aplicativo. VersionID O número da versão do pacote ThinApp. O VMware Identity Manager usa a VersionID para manter o controle das diferentes versões do pacote ThinApp gerenciado. Você incrementa o valor da VersionID por um (1) para marcar esse pacote ThinApp como uma atualização de outro pacote, mantendo a mesma AppID. Você coloca o pacote atualizado em uma nova pasta na pasta de compartilhamento de rede configurada para os pacotes ThinApp gerenciados. Consulte Instalando e Configurando VMware Identity Manager. Quando o VMware Identity Manager executa a sincronização agendada com a pasta de compartilhamento de rede e encontra um aplicativo que tenha a mesma AppID que outro aplicativo, ele VMware, Inc. 91

92 compara os valores de VersionID. O pacote ThinApp com a maior VersionID é utilizado como a atualização mais recente. O VMware Identity Manager incorpora automaticamente os direitos de usuário anteriores ao pacote ThinApp com a maior VersionID, e os atalhos nos sistemas dos usuários são sincronizados para apontar para o pacote atualizado. Importante O parâmetro InventoryName do ThinApp padrão é importante para as atualizações bemsucedidas de pacotes ThinApp gerenciados. Ambos os pacotes ThinApp anteriores e atualizados devem ter o mesmo valor para o parâmetro InventoryName. Se a pessoa que está criando o pacote ThinApp alterar o InventoryName em um pacote e, em seguida, criar um pacote atualizado, você deve garantir que os valores de InventoryName correspondam para que as atualizações funcionem corretamente no VMware Identity Manager. Consulte o Guia de Referência dos Parâmetros do Package.ini do ThinApp para obter detalhes sobre os vários parâmetros usados em um arquivo Package.ini do pacote do ThinApp. Atualizar um pacote ThinApp gerenciado A atualização de um pacote ThinApp que já está gerenciado pelo VMware Identity Manager e já está no catálogo da sua organização envolve várias etapas. O pacote ThinApp atualizado pode ser fornecido a você por outro grupo em sua organização. Para garantir que o VMware Identity Manager possa usar automaticamente o pacote atualizado no lugar do existente para os usuários autorizados, você deve garantir que o pacote atualizado foi criado usando-se a mesma AppID que o pacote atual, tenha um valor de VersionID maior que o valor da versionid do pacote existente e esteja habilitado para o gerenciamento pelo VMware Identity Manager. Pré-requisitos Verifique se você tem acesso ao local em que seus pacotes ThinApp gerenciados residem e se você pode criar subpastas nesse local. Próximo passo Seu catálogo VMware Identity Manager exibe a nova versão do pacote ThinApp atualizado após a próxima sincronização do pacote ThinApp. Se você quiser ver a nova versão refletida na página de recursos do pacote do ThinApp, você pode sincronizar manualmente usando a página Aplicativos Empacotados - ThinApp das console de administração. Obter os valores AppID e versionid de um pacote ThinApp gerenciado Para garantir que o VMware Identity Manager use automaticamente o pacote ThinApp atualizado no lugar do atual, o pacote ThinApp atualizado deve ser criado usando o AppID do pacote ThinApp gerenciado atualmente e um valor de VersionID mais alto que a versão atual. Quando o processo do Setup Capture é utilizado para criar um pacote ThinApp atualizado, o valor de AppID é automaticamente recuperado pelo programa Setup Capture a partir dos executáveis do pacote ThinApp existente, e o valor de VersionID é incrementado automaticamente. No entanto, a pessoa que cria o pacote ThinApp atualizado pode usar um método diferente para criar o pacote atualizado. Quando VMware, Inc. 92

93 o processo do Setup Capture não é usada para criar o pacote ThinApp atualizado, a pessoa que cria o pacote deve obter os valores de AppID e VersionID para o pacote ThinApp atualmente gerenciado pelo VMware Identity Manager. Os valores de AppID e VersionID são exibidos nas páginas na página de recursos do pacote ThinApp no console de administração. Procedimentos 1 Clique na guia Catálogo. 2 Clique em Qualquer Tipo de Aplicativo > Pacotes ThinApp. 3 Clique no pacote ThinApp para abrir a respectiva página de recursos. 4 Clique em Detalhes. 5 Anote o valor listado no campo Versão na página Detalhes. 6 Clique em Pacote ThinApp para exibir a página Pacote ThinApp. 7 Anote o valor de AppID listado na coluna GUID. O valor listado na coluna GUID é o valor que o VMware Identity Manager usa para identificar esse pacote ThinApp. Próximo passo A pessoa que cria o pacote ThinApp atualizado deve concluir as etapas em Criar o pacote ThinApp atualizado. Criar o pacote ThinApp atualizado Os valores da AppID e da VersionID do pacote ThinApp gerenciado atualmente são usados para criar o pacote atualizado. O pacote atualizado usa o mesmo valor da AppID e um valor da VersionID mais alto. Às vezes, o pacote ThinApp atualizado é fornecido a você por outra equipe em sua organização. A pessoa que cria o pacote ThinApp atualizado pode usar um dos métodos descritos. Pré-requisitos Verifique se você tem os valores da AppID e da VersionID do pacote ThinApp atual completando os passos em Obter os valores AppID e versionid de um pacote ThinApp gerenciado. Verifique se você tem uma versão do programa ThinApp que é compatível com sua versão do VMware Identity Manager. Para obter informações atualizadas sobre as versões do ThinApp específicas, consulte as VMware Product Interoperability Matrixes em VMware, Inc. 93

94 Procedimentos u Usando uma versão do programa ThinApp que seja suportada pelo VMware Identity Manager, crie o pacote ThinApp atualizado usando um dos métodos disponíveis. Opção Recapture usando o Setup Capture. Descrição Use esse método quando a pasta do projeto para o pacote ThinApp existente gerenciado pelo VMware Identity Manager estiver indisponível. Para criar um pacote atualizado com o Setup Capture, você precisará apenas dos seguintes itens: Os executáveis do aplicativo extraídos do pacote ThinApp existente O instalador do aplicativo O programa do Setup Capture e do ThinApp em uma versão suportada pelo VMware Identity Manager. Durante o processo de captura, selecione gerenciar o pacote com o VMware Identity Manager e certifique-se de que o pacote seja uma versão atualizada de um pacote ThinApp com base já existente. Navegue para a pasta que contém os executáveis para o pacote ThinApp gerenciado atualmente. Aponte para a pasta e não para os executáveis específicos. Com esse método, você não precisará obter a AppID ou os valores da VersionID antes de criar o pacote atualizado. Após ter designado o pacote como uma atualização e esta apontar para a versão anterior no Setup Capture, o processo de captura lerá a AppID do pacote anterior e o reusará para o pacote atualizado. O processo também fornece uma VersionID incrementada para o pacote atualizado e atribui a mesma InventoryName. Atualize o arquivo Package.ini manualmente e então compile o pacote. Use o comando relink -h para as opções AppID e VersionID. Use esse método quando não tiver o instalador do aplicativo para o processo de recaptura, ou quando precisar atualizar o pacote para uma versão mais recente do ThinApp e desejar atualizar mais do que aquilo de que a relink do comando daria conta. Devido à recompilação de um pacote incorporar mudanças ao sistema e ao registro do arquivo que acompanha uma nova versão do ThinApp, uma recompilação obteria essas alterações, tal como na situação em que uma nova versão do ThinApp fornece um novo parâmetro Package.ini que você deseje configurar. Para marcar o novo pacote como uma atualização, edite os seguintes parâmetros do VMware Identity Manager na seção [Build Options] do arquivo Package.ini: Defina o parâmetro da AppID para que ele corresponda ao valor da AppID do aplicativo ThinApp gerenciado atualmente. Você não poderá reusar valor de genid para a AppID, porque assim um valor de AppID será gerado para o pacote atualizado e o VMware Identity Manager não reconhecerá o novo pacote como uma atualização para aquele já existente. Incremente o valor do parâmetro da VersionID para um inteiro mais alto do que o pacote ThinApp gerenciado atualmente. Caso não haja nenhum VersionID parâmetro de para o pacote gerenciado atualmente, via de regra seu valor será 1, e você deverá adicionar uma linha para o parâmetro da VersionIDao Package.ini e configurá-lo para um valor 2 (VersionID = 2). Certifique-se de que o valor da InventoryName do parâmetro corresponda ao valor da InventoryName do pacote gerenciado atualmente. Os valores da InventoryName para o pacote atual e para o pacote atualizado devem ser idênticos. Utilize esse método em uma das seguintes situações: Você não tem a pasta do projeto para o aplicativo. VMware, Inc. 94

95 Opção Descrição Você já capturou, compilou e testou o pacote fora de um ambiente do VMware Identity Manager, e as únicas etapas que faltam são habilitar o pacote atualizado para o VMware Identity Manager e substituí-lo no compartilhamento de rede usado pelo VMware Identity Manager. Você está atualizando o pacote apenas para atualizar o tempo de execução do pacote para incorporar os ajustes de bug disponíveis na nova versão ThinApp. Por exemplo, você alterou o diretório do projeto, incluindo o arquivo Package.ini, para um aplicativo virtual, recompilou o pacote e testou-o, o ambiente de teste pode não ter sido o VMware Identity Manager. O estágio final da atualização do aplicativo é habilitá-lo para o VMware Identity Manager. Nesse ponto, o caminho mais fácil é usar o comando relink -h, em vez de recapturá-lo ou recompilá-lo. Observação O tempo de execução do ThinApp é sempre atualizado quando você executa o comando relink -h em um pacote ThinApp. Você poderá executar o comando vincular novamente a partir do diretório de Arquivos de Programas do ThinApp para ajudá-lo a conseguir ajuda na sintaxe do comando. Quando o pacote ThinApp existente já estiver habilitado para uso pelo VMware Identity Manager, você poderá executar o seguinte comando para reusar a AppID do pacote já existente e incrementar a VersionID: relink -h -VersionID + pasta executável/*.* Onde pasta executável é uma pasta que contém os executáveis do pacote ThinApp que você deseja atualizar. Importante Quando usa o comando relink, você não pode apontá-lo diretamente para a pasta dos executáveis do pacote no compartilhamento de rede usado para os pacotes ThinApp no ambiente do VMware Identity Manager. O comando converte os antigos executáveis em arquivos BAK quando atualiza o tempo de execução do ThinApp, e grava esses arquivos BAK, bem como os novos arquivos, na pasta. Devido ao compartilhamento de rede normalmente não permitir esse tipo de gravação, você deverá apontar o comando vincular novamente para uma cópia da pasta de executáveis. Outros casos de uso para o comando relink, incluindo a habilitação de um pacote ThinApp para uso em um ambiente do VMware Identity Manager, são cobertos no artigo disponível na base de dados de conhecimento em Você tem um conjunto de arquivos (arquivos EXE, e opcionalmente arquivos DAT) para o pacote ThinApp atualizado. Próximo passo Copie os arquivos para uma nova subpasta no compartilhamento de rede cumprindo as seguintes etapas em Copiar um pacote ThinApp atualizado no compartilhamento de rede. Copiar um pacote ThinApp atualizado no compartilhamento de rede Depois de criar o pacote ThinApp atualizado, você copia os arquivos apropriados em uma nova subpasta no mesmo nível que a subpasta existente no compartilhamento de rede. VMware, Inc. 95

96 Pré-requisitos Verifique se você tem os arquivos para o pacote ThinApp atualizado, como resultado da conclusão das etapas em Criar o pacote ThinApp atualizado e da incrementação do valor VersionID. Verifique se você tem acesso ao compartilhamento de rede, pode criar subpastas e copiar arquivos nela. Procedimentos 1 Na pasta de compartilhamento de rede, crie uma nova subpasta para o pacote ThinApp atualizado. Retenha a subpasta existente para o pacote ThinApp que você está atualizando e não altere seu conteúdo. Após a próxima sincronização agendada, o VMware Identity Manager ignora o pacote antigo quando reconhece que o novo pacote tem o mesmo valor de AppID e um valor de VersionID mais alto. Normalmente, você nomeia a subpasta para corresponder ao nome do aplicativo ThinApp ou indica qual aplicativo está na pasta. Por exemplo, se o compartilhamento de rede for chamado appshare em um host chamado servidor, e o aplicativo for chamado abceditor, a subpasta do pacote ThinApp será \\servidor\appshare\abceditor. Observação Não use caracteres diferentes de ASCII ao criar seus nomes de subpasta de compartilhamento de rede de pacotes ThinApp a serem distribuídos usando o VMware Identity Manager. Os caracteres diferentes de ASCII não são compatíveis. 2 Copie os arquivos EXE e DAT do pacote ThinApp atualizado nessa nova subpasta. 3 (Opcional) Se não quiser esperar pelo próximo horário de sincronização agendado, você pode sincronizar o VMware Identity Manager manualmente com o compartilhamento de rede usando a página Aplicativos Empacotados - ThinApp do console de administração. Quando o VMware Identity Manager executa a sincronização agendada com a pasta de compartilhamento de rede e encontra um aplicativo que tenha a mesma AppID que outro aplicativo, ele compara os valores de VersionID. O pacote ThinApp com a maior VersionID é utilizado como a atualização mais recente. O VMware Identity Manager incorpora automaticamente os direitos de usuário anteriores ao pacote ThinApp com a maior VersionID, e os atalhos nos sistemas dos usuários são sincronizados para apontar para o pacote atualizado. Excluir pacotes ThinApp do VMware Identity Manager Você pode remover permanentemente um pacote ThinApp do VMware Identity Manager. Ao excluir um pacote ThinApp do VMware Identity Manager, você o remove permanentemente. Você não pode mais autorizar os usuários ao pacote ThinApp a menos que você o adicione de volta ao VMware Identity Manager. Procedimentos 1 Exclua a subpasta do pacote ThinApp do compartilhamento de arquivo de rede que é o repositório de pacotes ThinApp conectado ao VMware Identity Manager. VMware, Inc. 96

97 2 Exclua o aplicativo do VMware Identity Manager. a b c d e f Faça login no console de administração. Clique na guia Catálogo. Clique em Qualquer Tipo de Aplicativo > Pacotes ThinApp. Procure o pacote ThinApp a ser excluído. Clique no nome do pacote ThinApp para exibir sua página de recursos. Clique em Excluir, leia a mensagem e, se você concordar, clique em Sim. O pacote ThinApp não existe no seu catálogo do VMware Identity Manager. Tornar pacotes ThinApp existentes compatíveis com o VMware Identity Manager Você pode converter um pacote ThinApp de um que não é compatível com o VMware Identity Manager em um que o VMware Identity Manager pode distribuir e gerenciar. Você pode usar um dos seguintes métodos: usar o comando relink do ThinApp 4.7.2, recriar o pacote a partir dos respectivos arquivos de projeto do ThinApp após a edição do arquivo Parcagem.ni do projeto para adicionar os parâmetros do VMware Identity Manager necessários ou recapturar o aplicativo do Windows com as configurações adequadas do VMware Identity Manager selecionadas no programa ThinApp Set up Capture. Observação Um pacote ThinApp compatível com o VMware Identity Manager pode ser usado somente para uma implantação do VMware Identity Manager. Somente os usuários do VMware Identity Manager com o aplicativo VMware Identity Manager Desktop instalado podem inicializar e executar esses pacotes ativados. Em tempo de execução, o pacote ThinApp carrega uma DLL nomeada de forma específica, e usa essa DLL para verificar o direito do usuário com o VMware Identity Manager. Como a DLL é instalada com o aplicativo VMware Identity Manager Desktop, esses pacotes ThinApp podem ser executados somente em sistemas do Windows nos quais o aplicativo VMware Identity Manager Desktop está instalado. Pré-requisitos Verifique se você tem acesso aos itens necessários para o seu método escolhido. Se estiver usando o comando relink, verifique se você tem os arquivos executáveis do pacote ThinApp que está convertendo e o aplicativo relinga.exe do ThinApp Se estiver atualizando o arquivo Parcagem.ni do projeto do ThinApp e recriando o pacote, verifique se você tem os arquivos de projeto que o programa ThinApp precisa para recriar o pacote. Se estiver recuperando o aplicativo do Windows, verifique se você tem o programa ThinApp Set up Capture e o instalador do aplicativo, além de outros itens que o programa precisa para recuperar o aplicativo. Consulte o Guia do usuário do ThinApp para obter detalhes. Verifique se você tem acesso ao compartilhamento de rede do ThinApp usado pelo VMware Identity Manager, que você pode criar subastas e copiar arquivos para ela. VMware, Inc. 97

98 Procedimentos u Utilizando uma versão programa ThinApp com suporte do VMware Identity Manager, crie um pacote ThinApp compatível usando um dos métodos disponíveis. Opção Use o comando relink -h. Descrição Usar o comando relink -h é o método mais fácil. Você deve usar o programa relinga.exe do ThinApp ou versões posteriores. Utilize esse método em uma das seguintes situações: Você não pode usar o método de recriação, pois não tem a pasta do projeto. Usar o Set up Capture para recapturar o aplicativo levaria muito tempo. Você não tem o instalador do aplicativo, que é necessário para recapturar usando o Set up Capture. Observação O tempo de execução do ThinApp é sempre atualizado quando você executa o comando relink -h em um pacote ThinApp. Você poderá executar o comando vincular novamente a partir do diretório de Arquivos de Programas do ThinApp para ajudá-lo a conseguir ajuda na sintaxe do comando. Para criar um pacote compatível, utilize a sintaxe básica do comando: relink -h pasta executável/*.* Onde pasta executável é uma pasta que contém os executáveis do pacote ThinApp que você deseja atualizar. Importante Quando usa o comando relink, você não pode apontá-lo diretamente para a pasta dos executáveis do pacote no compartilhamento de rede usado para os pacotes ThinApp no ambiente do VMware Identity Manager. O comando converte os antigos executáveis em arquivos BAK quando atualiza o tempo de execução do ThinApp, e grava esses arquivos BAK, bem como os novos arquivos, na pasta. Devido ao compartilhamento de rede normalmente não permitir esse tipo de gravação, você deverá apontar o comando vincular novamente para uma cópia da pasta de executáveis. Outros casos de uso do comando relink são abordados no artigo da base de conhecimento da VMware em Atualize o arquivo Parcagem.ni manualmente com os parâmetros necessários e, em seguida, recrie o pacote. Utilize esse método quando você não tiver o instalador do aplicativo para o processo de recaptura, quando desejar evitar a configuração adiantada que a recaptura do aplicativo exige ou quando desejar incorporar a funcionalidade de uma versão mais recente do ThinApp além do que o comando relink forneceria. Devido à recompilação de um pacote incorporar mudanças ao sistema e ao registro do arquivo que acompanha uma nova versão do ThinApp, uma recompilação obteria essas alterações, tal como na situação em que uma nova versão do ThinApp fornece um novo parâmetro Package.ini que você deseje configurar. Na seção [Build Options] do arquivo Parcagem.ni, adicione os seguintes parâmetros: ;--- VMware Identity Manager Parameters --- AppID=genid NotificationDLLs=hzntapluginlugin.dll VMware, Inc. 98

99 Opção Descrição Halofuginona.dl é a DLL que o tempo de execução do ThinApp chamada para verificar o direito do usuário do VMware Identity Manager a usar o aplicativo virtualizado. Opcionalmente, você pode incluir o parâmetro HorizonOrgURL e defini-lo como o seu nome de domínio totalmente qualificado do VMware Identity Manager. Consulte o Instalação e configuração do VMware Identity Manager. Recapture usando o Set up Capture e selecione as configurações necessárias do VMware Identity Manager. Utilize esse método quando você preferir recapturar o aplicativo em vez de usar um dos outros métodos. Para criar um pacote compatível utilizando o ThinApp Set up Capture, selecione as configurações adequadas no assistente para gerenciar o pacote com o VMware Identity Manager durante o processo de captura. Consulte o Guia do usuário do ThinApp para obter detalhes sobre o processo de captura. Você tem um conjunto de arquivos (arquivos EXE e, opcionalmente, arquivos DAT) de um pacote ThinApp que o VMware Identity Manager pode distribuir e gerenciar. Próximo passo Para obter as etapas para adicionar pacotes ThinApp ao compartilhamento de rede, consulte Criar um compartilhamento de rede para pacotes ThinApp que o VMware Identity Manager gerencia. Alterar a pasta de compartilhamento dos pacotes ThinApp Após configurar o acesso do VMware Identity Manager aos seus pacotes ThinApp, é possível que seu ambiente de TI mude tanto que seus pacotes ThinApp estejam em outro local. Quando essa situação ocorre, no console de administração, atualize o caminho para o novo local. Pré-requisitos Verifique se o local de compartilhamento da nova rede adere às exigências de compartilhamento da rede conforme descrito em Requisitos do VMware Identity Manager para pacotes ThinApp e o repositório do compartilhamento de rede. Procedimentos 1 Faça login no console de administração. 2 Selecione a guia Catálogo. 3 Clique em Gerenciar Aplicativos de Desktop e selecione Aplicativos ThinApp. 4 Altere o valor na caixa de texto Caminho para a nova pasta de compartilhamento onde os pacotes ThinApp estão localizados no formato de caminho UNC. 5 (Opcional) Caso o compartilhamento de rede anterior seja um compartilhamento CIFS e o novo compartilhamento seja um compartilhamento DFS, marque a caixa de seleção Habilitar acesso com base em conta e digite o nome e a senha de um usuário que tenha acesso de leitura a esse compartilhamento de rede. VMware, Inc. 99

100 6 Clique em Salvar. Especificando políticas de acesso para desktops e aplicativos específicos O conjunto de políticas de acesso padrão se aplica a todos os aplicativos e desktops no seu catálogo. Você também pode definir políticas de acesso para aplicativos individuais ou pools de desktop, que substituem a política de acesso padrão. Você pode aplicar uma política de acesso a um ou mais aplicativos e desktops na página Políticas ou selecionar a política de acesso para um aplicativo específico na página de configuração do aplicativo. Para obter mais informações sobre políticas de acesso, consulte o Guia de Administração do VMware Identity Manager. Procedimentos 1 Para aplicar uma política de acesso a aplicativos e desktops na página Políticas, siga estas etapas. a b c d e Navegue para a página Gerenciamento de Identidade e Acesso > Gerenciar > Políticas. Clique em uma política para editá-la ou clique em Adicionar Política para criar uma nova política. Na página Política, edite ou defina a política. Na seção Aplicável a, selecione os aplicativos aos quais você deseja aplicar a política. Clique em Salvar. 2 Para selecionar uma política de acesso para um aplicativo específico na página de configuração do aplicativo, selecione estas etapas. a b c d Clique na guia Catálogo. Clique no aplicativo. Clique em Políticas de Acesso no painel esquerdo. Selecione a política de acesso para o aplicativo e clique em Salvar. VMware, Inc. 100

101 Configurando o VMware 6 Identity Manager Desktop Antes que os usuários do VMware Identity Manager possam executar os pacotes ThinApp registrados neles usando o VMware Identity Manager, eles precisam que o aplicativo do VMware Identity Manager Desktop esteja instalado e em execução nos seus sistemas do Windows. O aplicativo do VMware Identity Manager Desktop pode ser instalado por meio de um clique duplo no seu arquivo executável do instalador e usando-se o assistente de instalação, por meio da execução do arquivo executável usando as opções da linha de comando ou por meio da execução de um script que usa as opções da linha de comando. São necessários privilégios de administrador local para a instalação do aplicativo. A configuração do aplicativo do VMware Identity Manager Desktop no endpoint do Windows determina se um pacote ThinApp distribuído usando-se o VMware Identity Manager é implantado por meio do modo contínuo do ThinApp, o RUN_FROM_SHARE ou por meio de um dos modos de download do ThinApp, COPY_TO_LOCAL ou HTTP_DOWNLOAD. Ao criar o script para instalar silenciosamente o VMware Identity Manager Desktop em endpoints do Windows, como computadores desktop e laptop, defina as opções que configuram o modo de implantação do pacote ThinApp. Escolha o modo de implantação mais adequado ao ambiente de rede dos endpoints selecionados, considerando detalhes como a latência da rede. Observação Se qualquer janela do navegador estiver aberta durante a instalação do aplicativo do VMware Identity Manager Desktop, podem ocorrer problemas com a inicialização de pacotes ThinApp a partir do portal do usuário. Feche todas as janelas do navegador antes de instalar o aplicativo ou, imediatamente após a instalação do aplicativo, reinicie os navegadores. Consulte Pacotes ThinApp não inicializam a partir do Portal do Usuário. Este capítulo inclui os seguintes tópicos: Opções do instalador da linha de comando para o desktop do VMware Identity Manager Instale o aplicativo do VMware Identity Manager Desktop com configurações idênticas para vários sistemas do Windows Adicionar arquivos do instalador do VMware Identity Manager Desktop aos appliances virtuais do VMware Identity Manager Usando o aplicativo da linha de comando hws-desktop-ctrl.exe VMware, Inc. 101

102 Opções do instalador da linha de comando para o desktop do VMware Identity Manager Você poderá configurar diversas opções para o aplicativo do VMware Identity Manager Desktop ao executar seu programa de instalação usando a linha de comando ou um script de implantação. Opções de linha de comando disponíveis para o instalador do VMware Identity Manager Desktop Após baixar o arquivo.exe para o instalador do aplicativo do cliente destinado a um sistema do Windows, você poderá consultar uma lista das opções de instalação executando o seguinte comando: VMware-Identity-Manager-Desktop-n.n.n-nnnnnnn /? onde n.n.n-nnnnnnn representa a versão do arquivo e o número da compilação. Aparece uma caixa de diálogo que lista as opções de instalação disponíveis para a instalação do aplicativo do cliente usando a linha de comando ou um script de implantação. Tabela 6 1. Opções de linha de comando do instalador Opções de instalador Valor Descrição /? Exibe as opções de linha de comando do instalador. /a Executa uma instalação administrativa. Para obter mais informações, veja a documentação do Windows Installer. /a caminho completo para a instalação administrativa existente Corrige uma instalação administrativa existente. /s Oculta a caixa de diálogo de inicialização durante a instalação. Para fazer a instalação no modo silencioso, use /s /v/qn. No modo silencioso, nenhuma mensagem, caixa de diálogo ou prompt é exibido durante a instalação. Normalmente, essa opção é usada ao criar um script de implantação para executar o instalador. /v pares de chave-valor Um conjunto de parâmetros para passar o instalador, especificado como pares de chave-valor. Use o formato key=value. Esses argumentos configuram as opções de tempo de execução para os pacotes ThinApp e para o VMware Identity Manager Desktop em geral. /c Limpa as informações do registro de instalação. /l [caminho completo para o arquivo de log] Executa o log detalhado e o salva no arquivo de log especificado. Caso você não especifique um arquivo de log, um log padrão em %TEMP% será usado. /x Desempacote o instalador na pasta %TEMP%. VMware, Inc. 102

103 Pares de chave-valor para a opção /v Você poderá usar os seguintes pares de chave-valor para a opção de instalador /v. VMware, Inc. 103

104 Tabela 6 2. Chaves para a opção de linha de comando do instalador /v Chave Valor Descrição WORKSPACE_SE RVER INSTALL_MODE Nome do host ou URL do serviço do VMware Identity Manager Um dos seguintes: COPY_TO_LOCAL HTTP_DOWNLOAD RUN_FROM_SHARE Fornece o nome do host de serviço ou URL do VMware Identity Manager, para permitir que o aplicativo do VMware Identity Manager Desktop se comunique com o serviço. HTTPS é o protocolo exigido. Marque o valor entre aspas. Use o seguinte formato: WORKSPACE_SERVER=" ou WORKSPACE_SERVER="VMwareIdentityManagerHostName" Por exemplo: WORKSPACE_SERVER=" WORKSPACE_SERVER="myserver" Define o modo de implantação para o modo de o aplicativo do VMware Identity Manager Desktop obter os pacotes ThinApp no tempo de execução. Os pacotes ThinApp são virtualizados nos aplicativos Windows. Os pacotes ThinApp residem em um compartilhamento de rede integrado com o VMware Identity Manager. COPY_TO_LOCAL: Os pacotes autorizados do usuário são baixados no sistema do Windows do cliente usando uma cópia de arquivo. Quando o usuário inicializa um pacote ThinApps, o aplicativo virtualizado é executado localmente nesse sistema. Antes de o usuário fazer o primeiro download, usar um pacote ThinApp autorizado e continuar a sincronização dos pacotes no sistema do Windows do cliente, o sistema do Windows do cliente deverá ingressar no mesmo domínio do Active Directory no qual o compartilhamento de rede do pacote ThinApp está ingressado. A conta de usuário utilizada para fazer login no sistema do Windows é a conta usada para obter os pacotes ThinApp a partir do compartilhamento de rede. Essa conta deve ter permissões adequadas no compartilhamento de rede para ler e copiar os arquivos a partir do compartilhamento de rede. HTTP_DOWNLOAD: Os pacotes autorizados do usuário são baixados no sistema do Windows do cliente usando o protocolo HTTP. Quando o usuário inicializa um pacote ThinApps, o aplicativo virtualizado é executado localmente nesse sistema. O aplicativo do VMware Identity Manager Desktop usa a conta do sistema do VMware Identity Manager do usuário para autenticar-se no VMware Identity Manager a fim de obter a lista dos pacotes autorizados do usuário para download. A conta de usuário de compartilhamento fornecida no console de administração para habilitar o acesso com base em conta ao compartilhamento de rede dos pacotes ThinApp usados pelo VMware Identity Manager para acessar os pacotes do ThinApp a partir do repositório. Essa conta de usuário de compartilhamento para o VMware Identity Manager precisa ler a permissão no compartilhamento de rede. A conta que o usuário utilizou para fazer login no sistema do Windows e a conta de sistema do usuário no VMware Identity Manager não precisam de nenhuma permissão no compartilhamento de rede. O cliente do sistema do Windows não tem de ingressar no mesmo domínio no qual o compartilhamento de rede dos VMware, Inc. 104

105 Tabela 6 2. Chaves para a opção de linha de comando do instalador /v (Continuação) Chave Valor Descrição pacotes ThinApp está ingressado. Esse método de download é normalmente mais lento do que outros. O benefício desse modo reside no fato de o sistema do Windows do cliente não ter de ingressar no domínio do Active Directory para obter e executar o aplicativo virtualizado. Importante Para que a opção HTTP_DOWNLOAD funcione, a integração dos pacotes ThinApp no VMware Identity Manager deve ser configurada para acesso com base em conta. Consulte o Instalação e configuração do VMware Identity Manager. Importante Para o VMware Identity Manager 2.6 e posterior no Windows 2008 R2 ou no Windows 7, a opção HTTP_DOWNLOAD não funcionará, a menos que você habilite o TLS 1.0 no VMware Identity Manager ou habilite o TLS 1.1. ou 1.2 no sistema do Windows 2008 R2 ou do Windows 7. Para habilitar o TLS 1.0 no VMware Identity Manager, consulte o artigo da Base de Conhecimento. Para habilitar o TLS 1.1 ou 1.2 no sistema do Windows, consulte a documentação da Microsoft em RUN_FROM_SHARE: O aplicativo virtualizado é transmitido para o sistema do Windows do cliente a partir do compartilhamento de rede quando o usuário inicializa o pacote ThinApp. A opção RUN_FROM_SHARE é mais adequada aos sistemas do Windows que sempre tenham conectividade com o compartilhamento de rede onde os pacotes ThinApp residirem, porque os pacotes ThinApp não estão presentes no sistema do Windows e os aplicativos virtualizados são executados apenas se o sistema do Windows puder conectar-se ao compartilhamento de rede. O cliente do sistema do Windows deve ingressar no mesmo domínio do Active Directory no qual o compartilhamento de rede dos pacotes ThinApp está ingressado. A conta de usuário utilizada para fazer login no sistema do Windows é a conta usada para obter os pacotes ThinApp a partir do compartilhamento de rede. Essa conta deve ter permissões adequadas no compartilhamento de rede para ler e executar os arquivos a partir do compartilhamento de rede. O valor padrão é COPY_TO_LOCAL. O compartilhamento de rede deverá ter as permissões adequadas de compartilhamento e de arquivo configuradas para cada um dos modos. Consulte o Instalação e configuração do VMware Identity Manager. Importante Ao instalar o VMware Identity Manager Desktop em desktops do View flutuantes, use a opção RUN_FROM_SHARE para evitar copiar os pacotes ThinApp nesses sistemas de desktop do View sem monitoração de estado. Quando o aplicativo do VMware Identity Manager Desktop é instalado com uma dessas configurações, a conta de usuário que faz login no sistema do Windows deve ter as permissões de compartilhamento e os arquivos adequados no compartilhamento de rede para que seja possível obter os pacotes ThinApp: A opção RUN_FROM_SHARE A opção COPY_TO_LOCAL, sem também ter a opção AUTO_TRY_HTTP habilitada e o acesso com base em conta configurado no VMware Identity Manager VMware, Inc. 105

106 Tabela 6 2. Chaves para a opção de linha de comando do instalador /v (Continuação) Chave Valor Descrição POLLING_INTERV AL Frequência em segundos Configura a frequência, em segundos, de sincronização entre o aplicativo VMware Identity Manager Desktop instalado e o VMware Identity Manager para verificar os novos pacotes ou direitos ThinApp. Caso não esteja especificado, aplica-se o valor padrão de 300 segundos (5 minutos). Por exemplo: POLLING_INTERVAL=600 ENABLE_AUTOUP DATE 0 ou 1 Habilita ou desabilita a verificação de atualização automática e a atividade de download. Caso esteja habilitado, o aplicativo do VMware Identity Manager Desktop instalado automaticamente verifica se um novo aplicativo está disponível para download. Caso uma nova versão esteja disponível, o aplicativo do VMware Identity Manager Desktop será baixado automaticamente e atualizado para a versão mais recente. Essa opção já vem habilitada. Defina o valor dessa variável para 0 de maneira que a atualização seja desabilitada. Caso não esteja especificado, aplica-se o valor padrão 1. A instalação das atualizações automáticas exige privilégios de administrador. SHARED_CACHE 0 ou 1 Determina se o cache do pacote ThinApp está localizado em uma pasta comum no sistema do Windows no qual o aplicativo do cliente está sendo instalado. Defina o valor dessa variável em 1 para especificar que todos os usuários de conta do sistema do Windows compartilhem uma localização de cache comum. Via de regra, a pasta comum é %ProgramData%\VMware\Identity Manager Desktop\thinapp. Caso não esteja especificada, aplica-se o valor padrão 0, e cada conta de usuário obtém seu próprio cache, e o valor padrão é %LOCALAPPDATA %\VMware\Identity Manager Desktop\thinapp. Observação Caso você especifique um cache compartilhado, o aplicativo VMware Identity Manager Desktop não excluirá os pacotes ThinApp desse cache compartilhado. Porque SHARED_CACHE=1 indica que todas as contas de usuário do sistema do Windows compartilham o mesmo local; os pacotes devem permanecer no local compartilhado de modo que os usuários autorizados possam usá-los, mesmo quando um usuário for desautorizado. Ao desautorizar um usuário a partir de um pacote ThinApp, o aplicativo do VMware Identity Manager Desktop cancela o pacote para esse usuário. Outros usuários autorizados nesse sistema do Windows poderão continuar a usar o pacote ThinApp. Você poderá excluir manualmente o cache comum para recuperar o espaço se nenhuma conta de usuário nesse sistema do Windows estiver autorizada a usar os pacotes ThinApp. Cada pacote ThinApp tem sua própria pasta no local do cache. CACHE_DIR Caminho para a pasta Define o local onde os pacotes ThinApp serão armazenados em cache localmente se os modos de instalação HTTP_DOWNLOAD ou COPY_TO_LOCAL forem usados. Esse valor é definido por sistema, não por usuário; portanto, você deverá usar variáveis de ambiente, tais como %LOCALAPPDATA%, para selecionar os locais específicos de usuário. Certifique-se de escapar do caractere % na linha de comando para evitar a expansão imediata. Por exemplo: CACHE_DIR=^%LOCALAPPDATA^%\cache VMware, Inc. 106

107 Tabela 6 2. Chaves para a opção de linha de comando do instalador /v (Continuação) Chave Valor Descrição AUTO_TRY_HTTP 0 ou 1 Quando o aplicativo do VMware Identity Manager Desktop é instalado com a opção COPY_TO_LOCAL e o acesso com base em conta é configurado para o VMware Identity Manager, a opção AUTO_TRY_HTTP determina se o cliente deve tentar baixar automaticamente os pacotes ThinApp autorizados do usuário usando o protocolo HTTP, similar à opção HTTP_DOWNLOAD, caso a primeira tentativa de fazer download falhe. Essa opção já vem habilitada. Defina o valor dessa opção para 0 de modo a desabilitá-la automaticamente tentando o protocolo HTTP para o download. Importante Para que a opção AUTO_TRY_HTTP funcione, a integração dos pacotes ThinApp no VMware Identity Manager deve ser configurada para acesso com base em conta. Consulte Requisitos do VMware Identity Manager para pacotes ThinApp e o repositório do compartilhamento de rede. INSTALL_MODULE S MIGRATE_ACTION thinapp Um dos seguintes: MOVE COPY NONE Uma lista separada por vírgulas especificando quais módulos instalar. Atualmente, apenas o módulo thinapp está disponível. Caso o antigo aplicativo Workspace for Windows esteja instalado, o instalador migrará os dados e as configurações do antigo aplicativo para o novo. O valor padrão é MOVE. As seguintes configurações são movidas, copiadas ou ignoradas, dependendo do valor que você especificar. Pacotes ThinApp armazenados em cache Os pacotes do ThinApp que tiverem sido baixados serão copiados do Workspace para o cache do Windows, %LOCALAPPDATA%\VMware\Horizon ThinApp\PackageCache, para o novo local do cache, %LOCALAPPDATA %\VMware\Identity Manager Desktop\thinapp. Os nomes das pastas dentro da pasta do cache serão alterados. Importante As propriedades definidas para o VMware Identity Manager durante a instalação têm precedência sobre quaisquer valores migrados para essas propriedades. Por exemplo, se o INSTALL_MODE no Workspace for Windows foi configurado para COPY_TO_LOCAL, e, durante a instalação do Manager Desktop você especificar /v INSTALL_MODE=HTTP_DOWNLOAD, então INSTALL_MODE está configurado para HTTP_DOWNLOAD. Exemplo: Usando as opções do instalador de linha de comando VMware Identity Manager Desktop Caso sua instância VMware Identity Manager tenha uma URL de e o VMware Identity Manageresteja configurada para acesso com base em conta ao seu compartilhamento de rede de pacotes ThinApp, e você deseje instalar silenciosamente o aplicativo do VMware Identity Manager Desktop em múltiplos desktops dessa instância do VMware Identity Manager com essas opções: A opção de instalação do ThinApp configurada para HTTP_DOWNLOAD, porque você espera que esses sistemas do Windows não ingressem no domínio. O VMware Identity Manager provavelmente está configurado para acesso com base em conta ao compartilhamento de rede dos pacotes ThinApp. VMware, Inc. 107

108 Os clientes verificam se os novos pacotes e direitos com o VMware Identity Manager a cada 60 segundos. Você criaria um script que invoca o seguinte comando: VMware-Identity-Manager-Desktop-n.n.n-nnnnnnn.exe /s /v/qn WORKSPACE_SERVER=" INSTALL_MODE=HTTP_DOWNLOAD POLLING_INTERVAL=60 em que você substitui a parte n.n.n-nnnnnnn do nome do arquivo para que o nome corresponda ao seu instalador VMware Identity Manager Desktop baixado. Instale o aplicativo do VMware Identity Manager Desktop com configurações idênticas para vários sistemas do Windows Para implantar o aplicativo do VMware Identity Manager Desktop em vários sistemas do Windows e aplicar as mesmas configurações a todos esses sistemas, você pode implementar um script que instala o aplicativo VMware Identity Manager Desktop usando as opções de instalação da linha de comando. Importante As mensagens de erro não aparecem na tela quando você implanta o VMware Identity Manager Desktop silenciosamente. Para verificar se há erros durante uma instalação silenciosa, monitore a pasta %TEMP% buscando novos arquivos vminst.xxxxxx.log. As mensagens de erro para uma instalação silenciosa não aparecem nesses arquivos. Normalmente, esse cenário de implantação é usado para sistemas Windows que são desktops do View. Para ver uma descrição das configurações a serem usadas para desktops do View não persistentes, também conhecidos como flutuantes ou sem monitoração de estado, consulte Reduzindo o uso de recursos e aumentando o desempenho do desktop do VMware Identity Manager em desktops não persistentes do View. Pré-requisitos Verifique se os sistemas do Windows estão executando sistemas operacionais do Windows suportados para a versão do aplicativo do VMware Identity Manager Desktop que você está instalando. Consulte Guia do usuário do VMware Identity Manager ou as notas da versão. Verifique se há navegadores suportados instalados nos sistemas do Windows. Se você quiser a capacidade de executar um comando para familiarizar-se com as opções disponíveis antes de criar o script de implantação, verifique se você tem um sistema do Windows no qual você pode executar esse comando. O comando para listar as opções só está disponível em um sistema do Windows. Consulte Opções do instalador da linha de comando para o desktop do VMware Identity Manager. VMware, Inc. 108

109 Procedimentos 1 Obtenha o arquivo executável do instalador do VMware Identity Manager Desktop e localize o arquivo executável no sistema do qual você deseja executar silenciosamente o instalador. Na página de download do sistema do VMware Identity Manager, é possível baixar o arquivo executável. Se você tiver configurado seu sistema do VMware Identity Manager para fornecer o instalador do aplicativo do Windows a partir da página de download, você pode baixar o arquivo executável abrindo a URL da página de download em um navegador. 2 Usando as opções da linha de comando do instalador, crie um script de implantação que atenda às necessidades da sua organização. Exemplos de scripts que você pode usar: scripts de login, scripts VB, arquivos em lote, SCCM e scripts da política de grupo do Active Directory, entre outros. Por exemplo, se a sua instância do VMware Identity Manager tivesse uma URL você desejasse instalar silenciosamente o cliente do Windows em sistemas do Windows que você espera que serão usados fora do domínio, com o modo de implantação ThinApp definido como o modo de download, e desejasse realizar a sincronização de aplicativo do VMware Identity Manager Desktop com o servidor a cada 60 segundos, você criaria um script para chamar o seguinte comando: VMware-Identity-Manager-Desktop-n.n.n-nnnnnnn.exe /s /v /qn WORKSPACE_SERVER=" INSTALL_MODE=HTTP_DOWNLOAD POLLING_INTERVAL=60 em que você substitui a parte n.n.n-nnnnnnn do nome do arquivo por uma que corresponda à do arquivo baixado. 3 Execute o script de implantação nos sistemas do Windows. Se a instalação silenciosa for bem-sucedida, o aplicativo do VMware Identity Manager Desktop é implantado nos sistemas do Windows. Os usuários conectados nesses sistemas do Windows podem acessar seus ativos autorizados a partir desses sistemas. Observação O pacote ThinApp autorizado de um usuário é transmitido ou baixado e armazenado em cache no sistema do Windows do usuário após a decorrência do intervalo de pesquisa. Como resultado, os usuários poderão ver o pacote ThinApp exibido quando efetuarem login no portal do usuário do VMware Identity Manager. O pacote ThinApp não começa até que o cliente sincronize o aplicativo no próximo intervalo de pesquisa. Próximo passo Tentando executar algumas tarefas de usuário típicas, verifique se o VMware Identity Manager Desktop está devidamente instalado nos sistemas do Windows. VMware, Inc. 109

110 Adicionar arquivos do instalador do VMware Identity Manager Desktop aos appliances virtuais do VMware Identity Manager Quando forem liberadas novas versões do VMware Identity Manager Desktop, copie e instale o arquivo zip na página VMware Downloads em cada appliance virtual do VMware Identity Manager na sua implantação. Execute o comando check-client-updates.pl para implantar os arquivos do instalador e reiniciar o serviço Tomcat em cada appliance virtual. Pré-requisitos Os usuários devem ter privilégios de administrador nos próprios computadores para instalar e atualizar automaticamente o aplicativo VMware Identity Manager Desktop. Se os usuários não tiverem privilégios de administrador, você poderá usar ferramentas de distribuição de software para distribuir e atualizar o aplicativo para os seus usuários. Agende a adição desses arquivos do instalador aos appliances virtuais do VMware Identity Manager durante um período de manutenção, pois o appliance virtual é reiniciado e isso pode interromper o acesso do usuário. Procedimentos 1 Baixe o arquivo zip do VMware Identity Manager Desktop na página My VMware Downloads para um computador que possa acessar o appliance virtual do VMware Identity Manager. 2 Copie o arquivo zip para um local temporário no appliance virtual. Por exemplo: scp filen.n.n-nnnnnnn.zip root@identitymanager-va.com:/tmp/ 3 Faça login no appliance virtual como o usuário root. 4 Descompacte e instale o novo arquivo zip no diretório Downloads. /usr/local/horizon/scripts/check-client-updates.pl --install --clientfile /tmp/file.n.n.nnnnnn.zip Esse script descompacta automaticamente o arquivo e copia o arquivo de instalação do VMware Identity Manager Desktop para os computadores Windows no diretório /opt/vmware/horizon/workspace/webapps/root/client. Ele é atualizado automaticamente para o diretório /opt/vmware/horizon/workspace/webapps/root/client/cds e atualiza o valor do parâmetro da URL do link de downloads. 5 Reinicie o serviço Tomcat no appliance virtual. 6 Repita essas etapas para cada appliance virtual do VMware Identity Manager no seu ambiente. Os usuários podem baixar o aplicativo Identity Manager Desktop das respectivas contas do VMware Identity Manager ou usando o link de download, Os aplicativos do Identity Manager Desktop do usuário serão atualizados automaticamente quando eles baixarem a nova versão. VMware, Inc. 110

111 Usando o aplicativo da linha de comando hws-desktopctrl.exe O aplicativo do VMware Identity Manager Desktop inclui um aplicativo da linha de comando, o hwsdesktop-ctrl.exe, que você pode usar para executar operações relacionadas ao uso de pacotes ThinApp no sistema do Windows do usuário. O processo de instalação do aplicativo do VMware Identity Manager Desktop instala o hws-desktopctrl.exe na pasta HorizonThinApp no local do diretório do Windows em que o aplicativo do VMware Identity Manager Desktop está instalado. Para usar o aplicativo hws-desktop-ctrl.exe para realizar um de seus comandos suportados, use o seguinte formato. hws-desktop-ctrl.exe command options Comando hws-desktop-ctrl.exe recheck hws-desktop-ctrl.exe set InstallMode=install_mode hws-desktop-ctrl.exe authorize guid=thinapp_guid path=package_path Descrição Este comando faz, imediatamente, uma verificação de direito dos pacotes ThinApp associados à conta de usuário que está conectada ao aplicativo do VMware Identity Manager Desktop. Qualquer pacote ThinApp recém-autorizado ou atualizado é sincronizado. Esse comando altera o modo de implantação do ThinApp usado para pacotes ThinApp neste sistema do Windows. Como esse comando altera as chaves de registro associadas ao modo de implantação do ThinApp, apenas os administradores com as permissões de registro apropriadas conseguem alterar o modo de instalação usando esse comando. Os valores disponíveis para install_mode são: CopyToLocal RunFromShare HttpDownload Esse comando verifica se um pacote ThinApp pode ser inicializado. Na verdade este comando não inicializa o pacote ThinApp. Forneça o GUID do pacote ThinApp e o caminho para o arquivo executável do pacote. Se o modo de download do ThinApp for usado para os pacotes no sistema cliente do Windows, o caminho é relativo à pasta raiz de cache local, que é o mesmo que o caminho relativo à raiz do repositório. Exemplo hws-desktop-ctrl.exe authorize guid= 436E1D7D-552C-4F DB1B05D30394 path="filezilla Client 3.3.2/FileZilla.exe" Você pode ver o GUID do pacote ThinApp, o caminho do aplicativo e o nome do arquivo executável na respectiva página de recursos no console de administração. VMware, Inc. 111

112 Comando hws-desktop-ctrl.exe quit hws-desktop-ctrl.exe launch app=package_path url=launch_url Descrição Esse comando diz para o aplicativo VMware Identity Manager Desktop sair corretamente. Esse comando é usado para inicializar manualmente um pacote ThinApp, no qual package_path é o caminho para o arquivo executável do pacote e launch_url é a URL do protocolo do VMware Identity Manager desse pacote, no formato horizon://package_caminho. Exemplo hws-desktop-ctrl.exe launch app="filezilla Client 3.3.2/FileZilla.exe" url="horizon://filezilla Client 3.3.2/FileZilla.exe" Esse comando normalmente não é usado por usuários finais, que podem inicializar seus pacotes ThinApp autorizados no portal do Workspace ONE. Normalmente, esse comando é usado para depuração. VMware, Inc. 112

113 Fornecendo acesso aos recursos publicados Citrix 7 Você pode integrar sua implantação da Citrix com o VMware Identity Manager para fornecer um acesso dos usuários do Workspace ONE aos recursos publicados Citrix. Este capítulo inclui os seguintes tópicos: Visão Geral Componentes necessários para a integração da Citrix Design de integração de alto nível Pré-requisitos para a integração da Citrix Configurando farms de servidores Citrix no VMware Identity Manager Configurando a inicialização de recursos Citrix no VMware Identity Manager Definindo as configurações do VMware Identity Manager para a integração da Citrix Impacto de atualização sobre a integração de recursos publicados Citrix Visão Geral Integrando sua implantação Citrix ao VMware Identity Manager, você pode fornecer aos usuários do Workspace ONE acesso a recursos publicados pela Citrix. Os recursos publicados Citrix incluem aplicativos e desktops em farms do Citrix XenApp e XenDesktop. Desktops também são chamados de grupos de entrega publicados Citrix. Os usuários finais podem iniciar os aplicativos e desktops publicados Citrix no portal ou aplicativo Workspace ONE. Eles podem instalar o Citrix Receiver nos sistemas e dispositivos para acessar os recursos aos quais eles têm direito. Gerencie os aplicativos e desktops publicados Citrix e autorize os usuários a recursos na Citrix. No console de administração do VMware Identity Manager, você pode exibir os recursos e seus direitos. Você também pode editar as configurações de sessão do ICA, como as configurações que controlam a resolução ou compactação, no VMware Identity Manager. Você pode definir as configurações globalmente, para todos os recursos Citrix no catálogo do VMware Identity Manager, ou para recursos individuais Citrix. O VMware Identity Manager suporta implantações Citrix que incluem o Citrix Netscaler. VMware, Inc. 113

114 Versões com suporte O VMware Identity Manager suporta o XenApp 5.0, 6.0, 6.5 e 7.x, e o XenDesktop 7.x. Os sistemas operacionais compatíveis com o Integration Broker, o componente do VMware Identity Manager que se comunica com a implantação Citrix, são o Windows Server 2008 R2, o Windows Server 2012 e o Windows Server 2012 R2. Para se usar a REST API do Citrix StoreFront, é necessário o Integration Broker ou posteriores. Para se usar o XenApp 7.x ou o XenDesktop 7.x, é necessário o Integration Broker 2.6 ou posteriores. Para se usar o recurso Netscaler, é necessário o Integration Broker 2.4 ou posteriores. Observação É recomendável usar a versão mais recente do VMware Identity Manager e seus componentes. Componentes necessários para a integração da Citrix Para integrar uma implantação da Citrix com o serviço do VMware Identity Manager, os componentes a seguir são necessários. Uma instância do VMware Identity Manager instalada no local. Uma instância do Integration Broker instalada em um Windows Server com suporte no local. O Integration Broker, um componente do VMware Identity Manager, é o componente que se comunica com farms de servidores Citrix. Você pode fazer download do Integration Broker em Uma implantação Citrix no local. Durante a implantação dos componentes, verifique se você atende a estes requisitos: O serviço do VMware Identity Manager deve ser capaz de se comunicar com o Integration Broker. Se você implantar várias instâncias do appliance do serviço, verifique se todas elas conseguem se comunicar com o Integration Broker. O Integration Broker deve ser capaz de se comunicar com o farm de servidores Citrix. Observação É recomendável usar a versão mais recente do VMware Identity Manager e seus componentes. Design de integração de alto nível O VMware Identity Manager usa o Integration Broker e outros componentes para sincronizar os recursos publicados Citrix com o VMware Identity Manager e inicializar os recursos de portal ou aplicativo Workspace ONE. VMware, Inc. 114

115 Sincronização de direitos e recursos publicados Citrix O VMware Identity Manager sincroniza aplicativos e desktops publicados Citrix e os direitos de usuário, do farm de servidores Citrix com o serviço do VMware Identity Manager. Você pode definir uma agenda de sincronização para sincronizar os recursos e direitos em intervalos regulares. O farm Citrix é a única fonte da verdade para todas as operações compatíveis no VMware Identity Manager. Gerencie os recursos e autorize os usuários a eles na Citrix. Quando recursos ou direitos são adicionados, alterados ou excluídos no farm Citrix, as informações são atualizadas no VMware Identity Manager após uma sincronização. Diagrama de arquitetura de sincronização Workspace ONE Citrix Receiver Cliente do Receiver HTML5 Receiver Receiver para Web (Navegador) Configuração do VMware Identity Manager Componentes Citrix 4 3 Serviço do VMware Identity Manager Conector 1 Integration Broker PowerShell 2 StoreFront Controlador Servidor XML Host da Sessão Host da Sessão Host da Sessão Active Directory Configuração da Citrix Os usuários e grupos são sincronizados do seu diretório corporativo com o serviço do VMware Identity Manager pelo VMware Identity Manager Connector. Os direitos e recursos publicados Citrix são sincronizados do farm de servidores Citrix com o VMware Identity Manager usando o conector, o Integration Broker e o SDK do PowerShell. VMware, Inc. 115

116 Inicialização de aplicativos e desktops publicados Citrix O VMware Identity Manager usa o componente do Integration Broker e o Citrix Web Interface SDK ou a REST API do Citrix StoreFront para inicializar aplicativos publicados Citrix no portal ou aplicativo Workspace ONE. Você pode configurar o acesso interno e externo aos recursos publicados Citrix. Os usuários finais devem instalar o Citrix Receiver em seus sistemas ou dispositivos para inicializar os aplicativos e desktops. Diagrama de arquitetura de inicialização (acesso interno) Workspace ONE 5 Citrix Receiver 1 4 Arquivo ICA Serviço do VMware Identity Manager 2 3 Conector Integration Broker Componentes Citrix SDK da Interface da Web/ API do StoreFront 6 Arquivo ICA de autenticação e solicitação da API REST StoreFront Controlador Servidor XML Servidor STA Host da Sessão Host da Sessão Host da Sessão Configuração da Citrix 1 Um usuário inicializa um aplicativo ou desktop publicado Citrix no portal ou aplicativo Workspace ONE. 2 A solicitação vai para o serviço e o conector do VMware Identity Manager, como também para o Integration Broker. 3 O Integration Broker se comunica com o farm de servidores Citrix por meio do Web Interface SDK ou da REST API do StoreFront para autenticar e solicitar o arquivo ICA. 4 O arquivo ICA é obtido e transmitido para o portal ou aplicativo Workspace ONE. 5 O arquivo ICA é transmitido para o Citrix Receiver. 6 O Citrix Receiver inicializa o aplicativo ou desktop. VMware, Inc. 116

117 Diagrama de arquitetura de inicialização (acesso externo) Workspace ONE 5 Citrix Receiver 1 4 Arquivo ICA Serviço do VMware Identity Manager 2 3 Conector Integration Broker Componentes Citrix SDK da Interface da Web/ API do StoreFront 6 Arquivo ICA de autenticação e solicitação da API REST StoreFront Controlador Servidor XML Host da Sessão Host da Sessão Servidor STA Host da Sessão 7 NetScaler 8 Configuração da Citrix 1 Um usuário inicializa um aplicativo ou desktop publicado Citrix no portal ou aplicativo Workspace ONE. 2 A solicitação vai para o serviço e o conector do VMware Identity Manager, como também para o Integration Broker. 3 O Integration Broker se comunica com o farm de servidores Citrix por meio do Web Interface SDK ou da REST API do StoreFront para autenticar e solicitar o arquivo ICA. 4 O arquivo ICA é obtido e transmitido para o portal ou aplicativo Workspace ONE. 5 O arquivo ICA é transmitido para o Citrix Receiver. 6 O Citrix Receiver se comunica com o NetScaler. 7 O NetScaler se comunica com o servidor do Citrix STA que tem o tíquete STA e obtém as informações do servidor de sessão da Citrix. 8 O NetScaler se comunica com o servidor do Host da Sessão da Citrix e cria uma sessão de inicialização do aplicativo. Observação Na versão 7.x, o servidor do Host da Sessão da Citrix é o servidor do Citrix VDA. Na versão 6.5, é o servidor do Citrix Worker. VMware, Inc. 117

118 Usando a REST API do StoreFront ou o Web Interface SDK para a inicialização O Integration Broker pode usar o Citrix Web Interface SDK e a REST API do Citrix StoreFront para se comunicar com a implantação da Citrix a fim de inicializar aplicativos ou desktops. Quando a REST API do StoreFront é usada, o Integration Broker atua como um cliente REST. O Web Interface SDK e a REST API do StoreFront são usadas para a autenticação e a geração do arquivo ICA da implantação da Citrix. Você pode especificar qual opção é usada marcando ou desmarcando a caixa de seleção Usar StoreFront na página de configuração da Citrix no console de administração do VMware Identity Manager. Uma instância do Integration Broker pode usar tanto o Web Interface SDK quanto a REST API do StoreFront. Se você quiser se comunicar com um farm Citrix usando o Web Interface SDK e outro farm Citrix usando a REST API do StoreFront, marque ou desmarque a caixa de seleção Usar StoreFront conforme necessário. Para usar a opção REST API do StoreFront, que está disponível no VMware Identity Manager e posterior, certifique-se de cumprir os seguintes requisitos. Instale o Integration Broker ou posteriores. Certifique-se de que o StoreFront seja suportado pela versão do XenApp ou XenDesktop que você está usando. Certifique-se de que o Integration Broker possa se comunicar com o servidor do StoreFront. Quando você habilita a REST API do StoreFront, o Integration Broker se comunica com o servidor do StoreFront para gerar o arquivo ICA. Habilite a autenticação básica HTTP como um método de autenticação na loja do Citrix StoreFront. Isso é necessário somente para o acesso interno. Cuidado Se você não habilitar a autenticação básica HTTP, a autenticação falhará. VMware, Inc. 118

119 Observação Para usar a REST API do StoreFront, você não precisa baixar nem copiar arquivos adicionais em sua instalação. Pré-requisitos para a integração da Citrix Antes de configurar os detalhes do farm de servidores Citrix no console de administração do VMware Identity Manager, você deve concluir determinadas tarefas de pré-requisitos. Você deve implantar e configurar o Integration Broker, um componente do VMware Identity Manager, em um Windows Server com suporte e configurar a Citrix PowerShell Remoting para habilitar a comunicação entre o Integration Broker e o farm de servidores Citrix. As tarefas de alto nível incluem as seguintes: Prepare o Windows Server para a instalação do Integration Broker. Adicione funções e recursos. Instale o Microsoft J# 2.0 Redistributable Package. O Microsoft J# 2.0 não será necessário se você planejar usar a REST API do Storefront em vez do Citrix Web Interface SDK para se conectar ao farm de servidores Citrix. Instale o Integration Broker. Baixe e instale o Integration Broker. Defina configurações do Gerenciador do IIS para o Integration Broker. Configure associações de HTTPS para o Integration Broker. VMware, Inc. 119

120 Defina a Citrix PowerShell Remoting para habilitar as invocações remotas entre o servidor do Integration Broker e o farm de servidores Citrix. Instale o Citrix PowerShell SDK no servidor do Integration Broker. Habilite a PowerShell Remoting nos servidores da Citrix (somente Citrix 5.0 e 6.0). Baixe e copie os arquivos dll do Citrix Web Interface SDK. O Citrix Web Interface SDK não será necessário se você planejar usar a REST API do Storefront para se conectar ao farm de servidores Citrix. Sobre a implantação do Integration Broker O Integration Broker é um componente do VMware Identity Manager usado para se comunicar com o farm de servidores Citrix. Instale o Integration Broker no local em um Windows Server com suporte. Siga essas diretrizes ao implantar o Integration Broker. Você pode instalar o Integration Broker no Windows Server 2008 R2, Windows Server 2012 ou Windows Server 2012 R2. Para usar o recurso NetScaler, você deve instalar o Integration Broker 2.4 ou versões posteriores. Para o XenApp ou o XenDesktop 7.x, você deve instalar o Integration Broker 2.6 ou versões posteriores. Para usar a REST API do Citrix StoreFront, você deve instalar o Integration Broker ou versões posteriores. O conector do VMware Identity Manager deve conseguir se comunicar com o Integration Broker. Se você tiver configurado várias instâncias de conector, certifique-se de que todas elas consigam se comunicar com o Integration Broker. Uma única instância do Integration Broker pode oferecer suporte a vários ambientes do Citrix 5.x, 6.x e 7.x. Se você estiver usando o VMware Enterprise Systems Connector no Windows, observe o seguinte. Baixe o Integration Broker na página de produto do VMware Identity Manager em My VMware. É recomendável instalar o Integration Broker e o VMware Enterprise Systems Connector em diferentes servidores. Se você estiver instalando o Integration Broker no mesmo servidor que o conector, garanta que as portas de associação HTTP e HTTPS não estejam em conflito com as portas usadas pelo componente do VMware Identity Manager Connector. O componente do VMware Identity Manager Connector sempre usa a porta 80. Ele também usa a 443, a menos que uma porta diferente seja configurada durante a instalação. Gera-se um certificado autoassinado durante a instalação do conector. Se você estiver instalando o Integration Broker no mesmo servidor que o conector, poderá usar esse certificado. Instale o certificado na loja da Microsoft e use-o para a associação HTTPS. VMware, Inc. 120

121 Antes de iniciar, planeje também sua estratégia de implantação. Considere se você usará várias instâncias do Integration Broker. Várias instâncias são úteis para os fins de balanceamento de carga e os de alta disponibilidade. Para alta disponibilidade, configure um cluster de duas ou mais instâncias do Integration Broker. Você pode usar o mesmo cluster para sincronização de direitos e recursos e para inicialização de recursos, ou pode configurar diferentes clusters, com base em suas necessidades. Se a sua implantação distribuir tráfego intenso, aumente o número de instâncias do Integration Broker usado para a inicialização de recursos. Considere se você usará os balanceadores de carga. Se a sua implantação usar várias instâncias do Integration Broker para fins de alta disponibilidade ou de balanceamento de carga, considere instalá-las atrás de um ou mais balanceadores de carga. Preparar o Windows Server para a instalação do Integration Broker Antes de instalar o Integration Broker, você deve configurar o Windows Server. Os seguintes sistemas operacionais são compatíveis com o Integration Broker. Windows Server 2008 R2 Windows Server 2012 Windows Server 2012 R2 Observação Consulte as VMware Product Interoperability Matrixes em para obter as informações mais recentes sobre as versões com suporte. Adicionar recursos e funções do Windows Server Adicione as funções, os recursos e os serviços de função necessárias no servidor do Integration Broker. Observação As etapas neste procedimento se referem à interface do usuário do Windows Server 2012 ou Windows Server 2012 R2. Se for o caso, serão anotadas as diferenças para o Windows Server 2008 R2. Pré-requisitos Verifique se o Windows Server 2008 R2, o Windows Server 2012 ou o Windows Server 2012 R2 está instalado com as últimas atualizações. Para verificar as atualizações, selecione Painel de Controle > Windows Update. Crie um pool de aplicativos, se necessário. Você pode usar o pool de aplicativos padrão ou criar um pool de aplicativos dedicado ao Integração Broker. VMware, Inc. 121

122 Procedimentos 1 Selecione Iniciar > Gerenciador do Servidor. 2 No Gerenciador do Servidor, selecione Gerenciar > Adicionar Funções e Recursos. 3 No assistente para Adicionar Funções e Recursos, clique em Avançar até a página Funções de Servidor ser exibida. 4 Selecione as funções a seguir e clique em Avançar. Funções Servidor de Aplicativos Serviços de Arquivo e Armazenamento Servidor Web (IIS) Observação Quando você seleciona Servidor Web (IIS), é exibida uma caixa de diálogo solicitando que você confirme os recursos necessários para o Servidor Web (IIS). Verifique se as Ferramentas de Gerenciamento estão incluídas e clique em Adicionar Recursos. VMware, Inc. 122

123 5 Na página Recursos, selecione os recursos a seguir. Recursos Recursos do.net Framework 3.5.NET Framework 3.5 (inclui o.net 2.0 e o 3.0) Ativação HTTP Quando você seleciona Ativação HTTP, é exibida uma caixa de diálogo solicitando que você confirme os recursos necessários para a Ativação HTTP. Clique em Adicionar Recursos. Observação No Windows Server 2008 R2, selecione estas opções: Recursos do.net Framework 3.5.NET Framework 3.5 Ativação de WCF Ativação HTTP Núcleo da Web Hospedável do IIS Serviço de Ativação de Processos do Windows Extensão do IIS do WinRM Por exemplo: Figura 7 1. Windows Server 2012 R2 6 Clique em Avançare, em seguida, em Avançar novamente para exibir a página Serviços de Função de Servidor de Aplicativos. VMware, Inc. 123

124 7 Na página Serviços de Função de Servidor de Aplicativos, selecione os serviços de função a seguir. Serviços de Função de Servidor de Aplicativos Serviços de Função de Servidor de Aplicativos.NET Framework 4.5 (não alterar se estiver pré-selecionado) Suporte ao Servidor Web (IIS) Observação Quando você seleciona Servidor Web (IIS), é exibida uma caixa de diálogo solicitando que você confirme os recursos necessários para o Servidor Web (IIS). Clique em Adicionar Recursos. Suporte ao Serviço de Ativação de Processos do Windows Ativação HTTP Por exemplo: 8 Clique em Avançar e, em seguida, em Avançar novamente para exibir a página Serviços de Função da Função de Servidor Web (IIS). VMware, Inc. 124

125 9 Na página Serviços de Função da Função de Servidor Web (IIS), selecione os serviços de função a seguir. Serviços de Função da Função de Servidor Web (IIS) Servidor Web Aceite as seleções padrão Habilite a seguinte opção: Ferramentas de Gerenciamento Console de Gerenciamento do IIS Compatibilidade com Gerenciamento do IIS 6 Por exemplo: 10 Clique em Avançar. 11 Clique em Instalar. 12 Quando a instalação estiver concluída, clique em Fechar para fechar o assistente para Adicionar Funções e Recursos. Próximo passo Instale o Microsoft Visual J# 2.0 Redistributable Package, se necessário. Instale o Microsoft Visual J# bit Redistributable Package Baixe e instale o Microsoft Visual J# bit Redistributable Package - Second Edition. Essa etapa não será necessária se você planejar usar a REST API do Citrix Storefront em vez do Citrix Web Interface SDK para se conectar ao farm de servidores Citrix. Procedimentos 1 Baixe o Microsoft Visual J# bit Redistributable Package - Second Edition do site da Microsoft. 2 Clique duas vezes no arquivo vjredist.exe e siga o assistente para instalar o pacote. VMware, Inc. 125

126 Implantar o Integration Broker Para implantar o Integration Broker, baixe e instale o Integration Broker em um Windows Server com suporte, defina as configurações do Gerenciador do IIS para ele e configure as associações de HTTP e HTTPS. Instalar o Integration Broker Instale o Integration Broker no Windows Server que você configurou. Pré-requisitos Prepare o Windows Server. Consulte Preparar o Windows Server para a instalação do Integration Broker. Baixe o Integration Broker na página de produto do VMware Identity Manager em My VMware. Procedimentos 1 Faça login como administrador do Windows. 2 Clique no arquivo setup.exe para executar o instalador do Integration Broker. 3 Aceite o contrato de licença de usuário final. 4 Selecione o local da Web em que você deseja instalar o Integration Broker. 5 (Opcional) Se você tiver criado um pool de aplicativos separado para o Integration Broker, selecione o pool de aplicativos. Cuidado Não altere o nome do Diretório Virtual. 6 Clique em Avançar para concluir a instalação do Integration Broker. Próximo passo Defina as configurações do Gerenciador do IIS. Definir as configurações do Gerenciador do IIS Defina as configurações necessárias do Gerenciador do IIS para o Integration Broker. Observação As etapas neste procedimento se referem à interface do usuário do Windows Server 2012 ou Windows Server 2012 R2. Se for o caso, serão anotadas as diferenças para o Windows Server 2008 R2. Pré-requisitos As credenciais para o usuário de Identidade. O usuário de Identidade deve atender aos seguintes requisitos: Usuário do domínio VMware, Inc. 126

127 Privilégios para habilitar a PowerShell Remoting no servidor do Integration Broker: a b Iniciar o PowerShell com privilégios de administrador Executar o Enable-PSRemoting Uma das seguintes funções no servidor da Citrix: Pelo menos Administrador Somente Leitura (versão 7.x) ou Administrador Somente para Exibição (versão 6.x) Uma função de administrador personalizada que tenha as permissões para executar os seguintes cmdlets do PowerShell. Esses cmdlets são usados para recuperar informações de aplicativos, servidor, farm e ícone do farm de servidores Citrix. No XenApp 6.5: Get-XAApplication Get-XAServer Get-XAAccount Get-XAApplicationIcon Get-XAFarm No XenApp ou XenDesktop 7.x: Get-BrokerApplication Get-BrokerIcon Get-BrokerDesktopGroup Get-BrokerAccessPolicyRule Get-BrokerAppEntitlementPolicyRule Get-BrokerIcon Get-BrokerEntitlementPolicyRule Procedimentos 1 Clique em Iniciar > Gerenciador do Servidor. 2 No Gerenciador do Servidor, selecione Ferramentas > Gerenciador dos Serviços de Informações da Internet (IIS). VMware, Inc. 127

128 3 No Gerenciador do IIS, configure o pool de aplicativos que você selecionou ao instalar o Integration Broker. Dica Para verificar o pool de aplicativos corretos, clique em Pools de Aplicativos no painel esquerdo, clique com botão direito do mouse no pool de aplicativos, selecione Exibir Aplicativos e verifique se o Integration Broker aparece na lista. a b c No painel esquerdo, clique em Pools de Aplicativos. Selecione o pool de aplicativos que você está usando para o Integration Broker. Clique em Configurações Avançadas no painel direito. VMware, Inc. 128

129 d Na caixa de diálogo Configurações Avançadas, defina as configurações a seguir. Opção Versão do.net CLR Descrição Verifique se o valor é v2.0. Observação No Windows 2012 e no Windows 2012 R2, o pool de aplicativos pode ter sido configurado para uma versão diferente do.net por padrão. Certifique-se de configurá-lo para v2.0. Habilitar aplicativos de 32 bits Defina o valor como True. Identidade 1 Clique em Identidade. 2 Clique no ícone... 3 Na caixa de diálogo Identidade do Pool de Aplicativos, clique em Conta Personalizada e em Configurar. 4 Insira o nome de usuário e a senha para o usuário de Identidade. Consulte os requisitos para o usuário de Identidade na seção Prérequisitos. 5 Clique em OK e em OK novamente. e Clique em OK para fechar a caixa de diálogo Configurações Avançadas. VMware, Inc. 129

130 Definir a associação de site HTTPS para o Integration Broker Você deve definir a associação de site HTTPS para o Integration Broker. Para definir a associação, você precisa de um certificado SSL para o servidor do Integration Broker. Você pode obter um certificado de uma Autoridade de Certificação ou criar um certificado autoassinado. Observação Se você estiver usando o no Windows e estiver instalando o Integration Broker no mesmo servidor que o conector, garanta que as portas de associação HTTP e HTTPS não estejam em conflito com as portas usadas pelo componente do VMware Identity Manager Connector. O componente do VMware Identity Manager Connector sempre usa a porta 80. Ele também usa a 443, a menos que uma porta diferente seja configurada durante a instalação. Para obter mais informações sobre as portas usadas, consulte a Instalação e configuração do VMware Enterprise Systems Connector. É recomendável instalar o Integration Broker e o VMware Enterprise Systems Connector em diferentes servidores. Pré-requisitos Obtenha um certificado SSL para o servidor do Integration Broker. Você pode obter um certificado de uma Autoridade de Certificação ou criar um certificado autoassinado. Instale o certificado no repositório da Microsoft no servidor do Integration Broker. Consulte o Exemplo: criar um certificado autoassinado usando o Gerenciador do IIS e o Exemplo: criar um certificado autoassinado usando o OpenSSL. Observação Se você estiver usando o VMware Enterprise Systems Connector no Windows e tiver instalado o Integration Broker no mesmo servidor que o conector, poderá usar o certificado autoassinado durante a instalação do conector. Instale o certificado na loja da Microsoft e use-o para a associação HTTPS. Se você usar uma autoridade de certificação interna para criar o certificado, para permitir que o VMware Identity Manager confie no certificado, você deve carregar o certificado raiz da autoridade de certificação interna em na guia Encerrar o SSL em um Balanceador de Carga, em que vidmhostname é a instância do VMware Identity Manager na qual a integração da Citrix está configurada. Em um ambiente de SaaS, vá para /cfg/ssl. Procedimentos 1 No Gerenciador do IIS, no painel esquerdo, clique no site em que instalou o Integration Broker. Dica Para verificar o site correto, você pode expandir o site no painel esquerdo e conferir se o Integration Broker está listado abaixo dele. 2 No painel direito, em Editar Site, clique em Associações. VMware, Inc. 130

131 3 Adicione uma associação de HTTPS usando o certificado que você criou. a b c d Clique em Adicionar. No campo Tipo, selecione https. Se você estiver usando o IIS 8.0 ou posterior, verifique se o campo Nome do host está vazio. Ele não deve ter nenhum valor. No campo Certificado SSL, selecione o certificado SSL que você criou. Por exemplo: e Clique em OK. 4 Reinicie o IIS. a b Abra a janela do Prompt de Comando como administrador. Digite o iisreset. Próximo passo Verifique as associações. Verifique se a associação HTTP produz a saída esperada digitando /IB/API/RestServiceImpl.svc/ibhealthcheck na barra de endereço de um navegador. Saída esperada: Tudo ok Verifique se a associação HTTPS produz a saída esperada digitando /IB/API/RestServiceImpl.svc/ibhealthcheck na barra de endereço de um navegador. Saída esperada: Tudo ok Observação No Internet Explorer, o arquivo de saída não é exibido diretamente. Em vez disso, o arquivo de saída é baixado. Abra o arquivo para exibir a saída. VMware, Inc. 131

132 Exemplo: criar um certificado autoassinado usando o Gerenciador do IIS Você pode criar um certificado autoassinado para o servidor do Integration Broker usando o Gerenciador do IIS. Procedimentos 1 Inicie o Gerenciador do IIS. 2 Navegue até Certificados de Servidor. 3 No painel direito, em Ação, selecione Criar Certificado Autoassinado. 4 Siga o assistente para gerar o certificado autoassinado. O certificado é instalado automaticamente no repositório da Microsoft no servidor do Integration Broker. Próximo passo Use o certificado para a associação de HTTPS do site do Integration Broker. Exemplo: criar um certificado autoassinado usando o OpenSSL Estas instruções fornecem uma amostra de como configurar um certificado autoassinado usando o OpenSSL para Integration Broker. Procedimentos 1 Crie um certificado autoassinado para o servidor do Integration Broker. 2 Crie a pasta ibcerts a ser usada como o diretório de trabalho. VMware, Inc. 132

133 3 Crie um arquivo de configuração usando o comando vi openssl_ext.conf. a Copie e cole os seguintes comandos do OpenSSL no arquivo de configuração. # openssl x509 extfile params extensions = extend [req] # openssl req params prompt = no distinguished_name = dn-param [dn-param] # DN fields C = US ST = CA O = VMware (Certificado fictício) OU = Horizon Workspace (Certificado fictício) CN = nome do host (Nome do host da máquina virtual na qual o Integration Broker está instalado. ) address = PROTECTED [extend] # openssl extensions subjectkeyidentifier = hash authoritykeyidentifier = keyid:always keyusage = digitalsignature,keyencipherment extendedkeyusage=serverauth,clientauth [policy] # certificate policy extension data Observação Digite o valor CN antes de salvar o arquivo. b Execute este comando para gerar uma chave privada. openssl genrsa -des3 -out server.key 1024 c d Digite a frase secreta de server.key, por exemplo, vmware. Renomeie o arquivo server.key como server.key.orig. mv server.key server.key.orig e Remova a senha associada à chave. openssl rsa -in server.key.orig -out server.key 4 Crie uma CSR (solicitação de assinatura de certificado) com a chave gerada. O arquivo server.csr é armazenado em seu diretório de trabalho. openssl req -new -key server.key -out server.csr -config./openssl_ext.conf 5 Assine a CSR. openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt -extfile openssl_ext.conf VMware, Inc. 133

134 A saída esperada aparece. Signature ok subject=/c=us/st=ca/o=vmware (Certificado fictício)/ou=horizon Workspace (Certificado fictício)/cn=w2-hwdog-xa.vmware.com/ address= PROTECTED Getting Private key 6 Crie o formato P12. openssl pkcs12 -export -in server.crt -inkey server.key -out server.p12 a Pressione Enter no prompt para obter uma senha de exportação. Importante Não insira uma senha. O resultado esperado é o arquivo server.p12. b c d e f Mova o arquivo server.p12 para a máquina Windows na qual o Integration Broker está instalado. No Prompt de Comando, digite mmc. Clique em Arquivo > Adicionar ou Remover Snap-ins. Na janela Snap-in, clique em Certificados e em Adicionar. Selecione o botão de opção Conta de Computador. 7 Importe o certificado para a raiz e armazene os certificados pessoais. a b c d e Escolha Todos os Arquivos na caixa de diálogo. Selecione o arquivo server.p12. Clique na caixa de seleção Exportável. Deixe a senha em branco. Aceite os padrões nas etapas subsequentes. 8 Copie o certificado para as CAs Raiz Confiáveis no mesmo console do mmc. 9 Verifique se o conteúdo do certificado inclui esses elementos. Chave privada CN no atributo da entidade que corresponde ao nome do host do Integration Broker Atributo de uso de chave estendido com o cliente e a autenticação do servidor ativados Habilitar a Citrix PowerShell Remoting Você deve habilitar as invocações remotas entre o Integration Broker e o farm de servidores Citrix configurando a Citrix PowerShell Remoting. Para configurar a Citrix PowerShell Remoting, você instala o SDK do Citrix PowerShell no servidor do Integration Broker e verifica se essa PowerShell Remoting está habilitada nos servidores da Citrix. VMware, Inc. 134

135 No servidor do Integration Broker, você deve instalar a versão apropriada do SDK do Citrix PowerShell. Se você se conectar a várias versões de farms de servidores Citrix, instale todas as versões necessárias do SDK do Citrix PowerShell no servidor do Integration Broker, pois os SDKs não são compatíveis com versões anteriores. A PowerShell Remoting deve ser habilitada nos servidores da Citrix para que o servidor do Integration Broker possa se conectar a eles e recuperar as informações necessárias, como informações de recursos, direitos e ícones. Você precisa habilitar a PowerShell Remoting apenas nos Delivery Controllers ou XML Brokers que serão configurados no VMware Identity Manager, e não em todos os servidores no seu farm de servidores. No XenApp ou XenDesktop 7.x, estes são os Delivery Controllers, que também atuam como XML Brokers. Nos farms de servidores Citrix 5.0, 6.0 ou 6.5, estes são os servidores do XML Broker. Nas versões 5.0 e 6.0 do farm de servidores Citrix, a Citrix PowerShell Remoting requer um canal HTTPS seguro para fazer chamadas remotas. Certifique-se de que os Citrix Delivery Controllers ou XML Brokers tenham certificados SSL válidos. Instalar o Citrix PowerShell SDK no servidor do Integration Broker Você deve instalar o Citrix PowerShell SDK no servidor do Integration Broker para permitir conexões entre o servidor do Integration Broker e o farm de servidores Citrix. Baixe e instale a versão do Citrix PowerShell SDK correspondente ao farm de servidores Citrix que você está integrando ao VMware Identity Manager. Se você se conectar a várias versões de farms de servidores Citrix, instale todas as versões necessárias do SDK do Citrix PowerShell no servidor do Integration Broker, pois os SDKs não são compatíveis com versões anteriores. Procedimentos 1 Faça login no servidor do Integration Broker. 2 Se você estiver se conectando ao XenApp ou XenDesktop 7.x, siga estas etapas. a b Baixe e instale o Citrix Studio no servidor do Integration Broker. Verifique a instalação. 1 Abra o Windows PowerShell como administrador. 2 Insira este comando: Add-PSSnapin Citrix* 3 Insira os seguintes comandos: Get-BrokerDesktopGroup -AdminAddress CitrixDeliveryController Get-ConfigSite -AdminAddress CitrixDeliveryController Observação Se você receber um erro de autenticação, defina a política de execução com o comando set-executionpolicy remotesigned e tente executar novamente os comandos. VMware, Inc. 135

136 3 Se você estiver se conectando ao farm de servidores Citrix 6.5, siga estas etapas. a b Baixe e instale o Citrix PowerShell SDK 6.5 no servidor do Integration Broker. Verifique a instalação. 1 Abra Arquivos de Programas > Citrix PowerShell Module. 2 Insira este comando: Get-XAApplication -ComputerName CitrixServer Verifique se a lista inclui todos os aplicativos hospedados pela Citrix. Observação Se o comando falhar, verifique se o serviço XenApp Commands Remoting está em execução no servidor da Citrix. 4 Se você estiver se conectando ao farm de servidores Citrix 5.0 ou 6.0, baixe e instale o Citrix PowerShell SDK 5.0 ou 6.0 no servidor do Integration Broker, dependendo da sua versão do farm de servidores Citrix. Habilitar a Citrix PowerShell Remoting no farm de servidores Citrix Habilite a Citrix PowerShell Remoting no farm de servidores Citrix, se necessário. No Citrix XenApp ou XenDesktop 7.x, verifique se a PowerShell Remoting está habilitada nos Delivery Controllers com os quais o VMware Identity Manager se conectará. No Citrix 6.5, verifique se o serviço Citrix XenApp Commands Remoting está sendo executado nos XML Brokers com o qual o VMware Identity Manager se conectará. No Citrix 5.0 ou 6.0, habilite a PowerShell Remoting. Consulte Configurando a Citrix PowerShell Remoting no Citrix Server Farm 5.0 ou 6.0. Configurando a Citrix PowerShell Remoting no Citrix Server Farm 5.0 ou 6.0 Você deve habilitar o Citrix PowerShell Remoting nos servidores Citrix XML Broker que você está integrando ao VMware Identity Manager. A Citrix PowerShell Remoting permite conexões entre o Integration Broker e o farm de servidores Citrix. Observação Você precisa habilitar a Citrix PowerShell Remoting somente nos XML Brokers que serão configurados no VMware Identity Manager, e não em todos os servidores no seu farm de servidores. Pré-requisitos Se você não tiver o Winrm instalado, baixe e instale o Winrm do site da Microsoft. Verifique se os Citrix XML Brokers possuem certificados SSL válidos. Além disso, clique em Propriedades e verifique se a Autenticação do Servidor está habilitada para os certificados. Procedimentos 1 Abra o PowerShell no modo de administrador. VMware, Inc. 136

137 2 Habilite a Citrix PowerShell Remoting. a b Digite o comando Get-Service winrm para verificar se o Winrm está instalado no servidor. Digite o comando Enable-PSRemoting. Este comando habilita a comunicação remota do PowerShell no servidor. c d Instale o Citrix PowerShell SDK 5.0 ou 6.0 dependendo da versão do servidor Citrix. Habilite o ouvinte de HTTPS do winrm a partir do prompt de comando. 1 Crie um certificado no servidor. 2 Grave a impressão digital do certificado. 3 Verifique se a impressão digital do certificado está configurada. winrm quickconfig -transport:https e Verifique se o ouvinte foi criado. winrm e winrm/config/listener Esse servidor está pronto para ser usado. f Após a criação do ouvinte, vá para o servidor do Integration Broker para verificar se a comunicação remota do PowerShell está instalada corretamente. winrm identify -r: -u:username Saída: IdentifyResponse ProtocolVersion= ProductVendor=Microsoft Corporation ProductVersion=OS: SP: 2.0 Stack: 2.0 Verificar a conexão com o farm de servidores Citrix Depois de implantar o Integration Broker e configurar a comunicação remota do PowerShell, verifique a conexão com o farm de servidores Citrix. VMware, Inc. 137

138 Procedimentos 1 Em um navegador, insira a URL apropriada para sua versão do farm Citrix. Farm de servidores Citrix XenApp ou XenDesktop 7.x computername=xenappserverhostname&xenappversion=version7x Citrix Server Farm computername=xenappserverhostname&xenappversion=version65orlater Farm de servidores Citrix 5.0 ou computername=xenappserverhostname&xenappversion=legacy 2 Verifique a saída. Caso o Integration Broker esteja configurado adequadamente, a página exibirá as informações do farm de servidores Citrix, tal como a seguir: "[{\"FarmName\":\"test data\",\"serverversion\":\" \",\"AdministratorType\":\"Full\",\"SessionCount\":\"2\",\"MachineName\" :\"test data\"}] Se a página da Web não exibir as informações do farm de servidores, verifique os logs no servidor do Integration Broker em %programdata%/vmware/horizonintegrationbroker. Baixar o Citrix Web Interface SDK 5.4 O Citrix Web Interface SDK é usado para autenticar e gerar o arquivo ICA dos Citrix Delivery Controllers ou XML Brokers para inicializar desktops e aplicativos publicados Citrix. Observação Se você planeja usar a REST API do Citrix StoreFront para se comunicar com o farm Citrix para gerar o arquivo ICA, não é necessário instalar o Citrix Web Interface SDK. Procedimentos 1 Baixe o Citrix Web Interface SDK 5.4 (arquivo zip WISDK) no site da Citrix. 2 Descompacte o arquivo wisdk.zip. 3 Copie o conteúdo do diretório WI5_4_0_SDK/zipfiles/sdkdemo/wisdk no diretório bin padrão do Integration Broker em c:\inetpub\wwwroot\ib\bin. 4 Reinicie o IIS. a b Abra a janela do Prompt de Comando como administrador. Digite o iisreset. VMware, Inc. 138

139 Configurando farms de servidores Citrix no VMware Identity Manager Para configurar os recursos publicados Citrix no VMware Identity Manager, insira as informações do Integration Broker e do farm de servidores Citrix no console de administração do VMware Identity Manager e agende a frequência de sincronização entre VMware Identity Manager e o farm de servidores Citrix. Antes de configurar os recursos publicados Citrix no VMware Identity Manager, atenda a todos os prérequisitos. Também siga estas diretrizes para configurações de farm de servidores Citrix. Sincronizando grupos de entrega A configuração Tipo de Entrega de um grupo de entrega no Citrix determina como o VMware Identity Manager sincroniza o grupo de entrega. O VMware Identity Manager sincroniza um grupo de remessa apenas se o seu Tipo de Entrega for definido como DesktopsAndApps ou DesktopsOnly. Se o Tipo de Entrega do grupo de entrega for definido como AppsOnly, seus aplicativos são sincronizados, mas o grupo de entrega em si não é sincronizado e não aparece no catálogo do VMware Identity Manager. Configure seus grupos de entrega de acordo com as necessidades. No XenDesktop e no XenApp 7.9, se você usar a opção de Grupo de Visibilidade Limitada para restringir usuários, verifique se o Grupo de Visibilidade Limitada contém usuários ou grupos. Se ele não contiver qualquer usuário ou grupo, a sincronização com o VMware Identity Manager não funcionará. Verifique se todos os aplicativos e desktops publicados Citrix em um site contêm usuários válidos. Se você excluir um usuário ou grupo, certifique-se de remover também o usuário ou grupo dos recursos publicados Citrix. Certifique-se de que os usuários e grupos foram atribuídos ao Grupo de Distribuição correto. Se você selecionar configurações para restringir usuários, certifique-se de que elas incluam usuários e grupos. Pré-requisitos Configure o VMware Identity Manager. Consulte Instalando e configurando o VMware Identity Manager e Administração do VMware Identity Manager para obter informações. Verifique se os usuários e os grupos com direitos da Citrix foram sincronizados do seu diretório empresarial com o VMware Identity Manager usando a sincronização de diretório. VMware, Inc. 139

140 Verifique se distinguishedname está marcado como um atributo obrigatório no diretório do VMware Identity Manager. Os recursos publicados Citrix não podem ser sincronizados sem essa marcação. Os atributos obrigatórios devem ser definidos antes da criação de um diretório. Se você já tiver criado um diretório e distinguishedname não for um atributo obrigatório, exclua o diretório, torne distinguishedname um atributo obrigatório na página Gerenciamento de Identidade e Acesso > Configuração > Atributos de Usuário e, em seguida, crie um novo diretório. Implante o Integration Broker e certifique-se de que você tenha atendido a todos os pré-requisitos descritos em Pré-requisitos para a integração da Citrix. Para distribuir a carga em uma implantação empresarial de grande escala, dedique duas ou mais instâncias do Integration Broker para fins de sincronização e duas ou mais instâncias do Integration Broker para fins de SSO. Se você usar várias instâncias do Integration Broker para fins de sincronização ou de SSO, coloque um balanceador de carga na frente dessas instâncias do Integration Broker e anote o nome do host ou o endereço IP do balanceador de carga para usá-lo durante esta tarefa. Se você quiser usar a opção Usar StoreFront, disponível no VMware Identity Manager e posterior, cumpra os requisitos a seguir. Instale o Integration Broker ou posteriores. Certifique-se de que o StoreFront seja suportado pela versão do XenApp ou XenDesktop que você está usando. Certifique-se de que o Integration Broker possa se comunicar com o servidor do StoreFront. Quando você habilita a REST API do StoreFront, o Integration Broker se comunica com o servidor do StoreFront para gerar o arquivo ICA. Habilite a autenticação básica HTTP como um método de autenticação na loja do Citrix StoreFront. Esse requisito se aplica somente ao acesso interno. Cuidado Se você não habilitar a autenticação básica HTTP, a autenticação falhará. Reveja a documentação da Citrix para sua versão do Citrix XenApp ou XenDesktop. Procedimentos 1 Faça login no console de administração do VMware Identity Manager. 2 Selecione a guia Catálogo. 3 Clique em Gerenciar Aplicativos de Desktop e selecione Aplicativos Publicados pela Citrix no menu suspenso. 4 Na página Aplicativos Publicados - Citrix, selecione a caixa de seleção Habilitar Aplicativos baseados em Citrix. VMware, Inc. 140

141 5 Insira o número de porta e o nome de host do balanceador de carga ou do Integration Broker de Sincronização. Se você tiver configurado um balanceador de carga na frente de várias instâncias do Integration Broker usadas para fins de sincronização, digite o nome do host ou o endereço IP e o nome da porta do balanceador de carga. Selecione a opção Use SSL se você estiver se conectando ao Integration Broker via SSL. 6 Insira as informações do SSO Integration Broker. Se você estiver usando a mesma instância do Integration Broker tanto para a sincronização quanto para o single sign-on, clique no botão Usar o mesmo que Integration Broker de Sincronização. Se você tiver configurado instâncias do SSO Integration Broker e de sincronização dedicadas, insira a seguinte informação. a Digite o número de porta e o nome de host do balanceador de carga ou do SSO Integration Broker. Se você tiver configurado um balanceador de carga na frente de várias instâncias do Integration Broker dedicadas ao fornecimento de SSO, digite o nome do host ou o endereço IP e o número da porta do balanceador de carga. b Selecione a opção Use SSL se você estiver se conectando ao Integration Broker via SSL. 7 Digite os detalhes do farm de servidores Citrix. Para adicionar vários farms, clique em +Adicionar Farm de Servidores. Opção Versão Usar o StoreFront Descrição Selecione a versão do farm de servidores Citrix: 5.0, 6.0, 6.5 ou 7.x. Selecione essa opção se você quiser que os recursos do XenApp sejam inicializados usando-se a REST API do Citrix StoreFront. Quando essa opção é selecionada, o Integration Broker usa a REST API do Citrix StoreFront para se comunicar com o servidor do StoreFront e recuperar o arquivo ICA. Se essa opção não estiver selecionada, o Integration Broker usará a SDK de Interface da Web da Citrix para se comunicar com componentes Citrix e recuperar o arquivo ICA. Observação Se você marcar ou desmarcar essa opção após a configuração e a sincronização iniciais, clique em Salvar e depois em Sincronizar Agora para sincronizar novamente, a fim de que a alteração entre em vigor. URL do StoreFront Digite a URL do servidor StoreFront no seguinte formato: transporttype://storefrontserverfqdn/citrix/storenameweb Por exemplo: Observação Essa é a URL do site Store Web Receiver. Importante Insira também essa URL no campo Host de URL de Acesso do Cliente na seção XenApp das configurações de Intervalo de Rede. Nome do servidor Nome do servidor atribuído em seu ambiente. VMware, Inc. 141

142 Opção Servidores (ordem de failover) Descrição Organize os agentes do XML Citrix (servidores) na ordem de failover. O VMware Identity Manager respeita essa ordem durante o SSO e em condições de failover. Observação Os agentes do XML devem ter a Comunicação remota do PowerShell habilitada. Tipo de transporte Tipo de transporte usado na sua configuração do servidor Citrix: HTTP, HTTPS ou SSL RELAY. Observação O tipo de transporte e a porta devem corresponder à configuração do servidor Citrix. Números da porta Definição de porta usada em sua configuração do servidor Citrix Observação O tipo de transporte e a porta devem corresponder à configuração do servidor Citrix. 8 Na lista suspensa Tipo de Implantação, selecione como os recursos publicados pela Citrix serão disponibilizados aos usuários no Workspace ONE. Ativado pelo usuário - VMware Identity Manager adiciona recursos da Citrix à página Catálogo. Para usar um recurso, os usuários devem movê-lo da página Catálogo para a página Indicadores. Automático - VMware Identity Manager adiciona o recurso diretamente à página Indicadores para uso imediato pelos usuários. O tipo de implantação que você selecionar aqui é uma configuração global que se aplica a todos os direitos de usuário de todos os recursos da sua integração Citrix. Você pode modificar o tipo de implantação para usuários individuais ou grupos por recurso na página Direitos do aplicativo ou desktop. Recomenda-se definir o tipo de implantação global como Ativado pelo Usuário. Em seguida, você poderá modificar a configuração para usuários ou grupos específicos por recurso. Para obter mais informações sobre como definir o tipo de implantação, consulte Definindo o tipo de implantação para direitos Citrix. 9 Selecione Sincronizar categorias dos farms de servidores se você quiser sincronizar categorias a partir dos farms Citrix com o VMware Identity Manager. 10 Selecione Não sincronizar aplicativos duplicados para evitar que aplicativos duplicados sejam sincronizados entre vários servidores. Quando o VMware Identity Manager é implantado em vários data centers, os mesmos recursos são configurados nesses centros de dados. Marcar essa opção evita a duplicação de desktops ou aplicativos no seu catálogo do VMware Identity Manager. 11 No campo Escolher Frequência, selecione a frequência com que você deseja sincronizar automaticamente os recursos e os direitos a partir dos farms Citrix. Se você não quiser configurar uma agenda de sincronização automática, selecione Manualmente. VMware, Inc. 142

143 12 Clique em Sincronizar Agora para sincronizar os recursos publicados Citrix com o VMware Identity Manager. Às vezes, quando você sincroniza o Integration Broker com o SSL, a sincronização pode ser lenta dependendo de fatores de seu ambiente, como o tráfego e a velocidade da rede. A sincronização também pode ser lenta se a sua implantação Citrix for muito grande, por exemplo, mais de 300 aplicativos. Observação O recurso de grupo de usuário anônimo no produto Citrix não é suportado com o VMware Identity Manager. 13 Clique em Salvar. Aparece uma caixa de diálogo que lista o número de aplicativos, grupos de entrega (desktops) e direitos que serão sincronizados. Você pode clicar nos links para ver os detalhes. Clique em Salvar e Continuar na caixa de diálogo. Os recursos publicados Citrix e os direitos correspondentes são sincronizados com o VMware Identity Manager. Próximo passo Se você tiver selecionado a opção Usar StoreFront, edite as configurações de intervalo de rede e, no campo Host de URL de Acesso do Cliente, na seção XenApp, insira a mesma URL inserida no campo URL do StoreFront. Configurando a inicialização de recursos Citrix no VMware Identity Manager Depois de configurar a página Aplicativos Publicados Citrix, configure os intervalos de IP da rede para a inicialização de recursos. Você pode especificar se o tráfego de inicialização (tráfego de ICA) do aplicativo ou desktop deve ser encaminhado por meio do NetScaler ou por meio de uma conexão direta com o servidor do XenApp. Isso permite que você atenda às necessidades dos usuários para ambos os acessos externo e interno aos recursos Citrix na sua implantação. Quando um usuário inicializa um aplicativo ou desktop no portal do Workspace ONE, se o endereço IP do usuário cair em um intervalo de rede configurado para o NetScaler, o tráfego de ICA será encaminhado por meio do NetScaler para o servidor do XenApp. Se o endereço IP estiver no intervalo de conexão direta, o tráfego de ICA será encaminhado diretamente para o servidor XenApp. Configurando a inicialização de recursos para a rede interna Você pode configurar os intervalos de rede para o qual o tráfego de inicialização (tráfego de ICA) do aplicativo ou desktop deve ser encaminhado diretamente para o servidor do XenApp. Normalmente, isso é usado para fornecer acesso interno aos recursos publicados Citrix. VMware, Inc. 143

144 Quando um usuário inicializa um aplicativo ou desktop no portal do Workspace ONE, se o endereço IP do usuário cair no intervalo de conexão direta, o tráfego de ICA será encaminhado por meio do Netscaler para o servidor do XenApp. Observação Para configurar a inicialização de recursos para redes externas, consulte Configurando a inicialização de recursos para redes externas com o NetScaler. Procedimentos 1 Faça login no console de administração do VMware Identity Manager. 2 Clique na guia Gerenciamento de Identidade e Acesso. 3 Clique na guia Configuração e selecione a guia Intervalos de Rede. 4 Selecione um intervalo de rede existente ou clique em Adicionar intervalo de rede para criar um novo. 5 Se você estiver criando um novo intervalo de rede, forneça um nome e uma descrição para ele. 6 Na seção XenApp da página, insira as seguintes informações. a Digite o nome do host do servidor XenApp no campo Acesso para cliente do host da URL. Por exemplo: hostdoxenapp.exemplo.com Observação Se você tiver marcado a caixa de seleção Usar StoreFront para o farm de servidores na página Aplicativos Publicados - Citrix, insira a mesma URL que você inseriu no campo URL do StoreFront. b Digite a porta no campo Porta da URL. Por exemplo: 443 c Desmarque a caixa de seleção NetScaler para conexões diretas. 7 No campo Intervalos de IPs, especifique o intervalo de IPs ao qual suas seleções se aplicam. VMware, Inc. 144

145 8 Clique em Salvar. Configurando a inicialização de recursos para redes externas com o NetScaler O VMware Identity Manager oferece suporte a implantações da Citrix que incluam o NetScaler. Normalmente se usa um appliance do NetScaler para fornecer acesso externo a aplicativos ou desktops do XenApp ou XenDesktop. Se a sua implantação da Citrix incluir um appliance do NetScaler, você poderá configurar o VMware Identity Manager com as configurações apropriadas de modo que, quando os usuários inicializarem recursos Citrix, o tráfego seja encaminhado por meio do NetScaler para o servidor do XenApp. No VMware Identity Manager, você precisa especificar o servidor de Autoridade de Tíquete Seguro (STA) para cada farm XenApp. Usa-se o servidor STA para gerar e validar tíquetes de STA durante o processo de inicialização do aplicativo. Você também pode definir políticas nos intervalos de IPs de rede de cliente que especificam se o tráfego de inicialização deve ser encaminhado para o servidor do XenApp por meio do NetScaler ou se ele deve ser encaminhado diretamente para o servidor do XenApp. Isso permite que você atenda a ambas as necessidades de acesso externo e interno. Observação Para usar o recurso NetScaler, você deve usar o Integration Broker 2.4 ou posterior. Você pode baixar o Integration Broker em My VMware. Não há suporte para a atualização. Desinstale a versão antiga e, em seguida, instale a nova versão. Definindo as configurações do NetScaler no VMware Identity Manager Para configurar o VMware Identity Manager para o NetScaler, você precisa especificar um servidor de Secure Ticket Authority (STA) para cada farm XenApp em sua implantação da Citrix. Usa-se o servidor STA para gerar e validar tíquetes de STA durante o processo de inicialização de aplicativo ou de desktop. Quando um usuário inicializa um aplicativo ou desktop, o VMware Identity Manager obtém um tíquete do servidor STA. O tíquete é apresentado ao NetScaler, junto com outras informações, e o NetScaler valida o tíquete no servidor STA antes de estabelecer uma conexão segura com o farm XenApp. Pré-requisitos Você integrou os recursos publicados Citrix ao VMware Identity Manager e concluiu a configuração na página Catálogo > Gerenciar Aplicativos de Desktop > Aplicativos Publicados Citrix. Procedimentos 1 No console de administração do VMware Identity Manager, clique na seta na guia Catálogo e selecione Configurações. 2 Selecione Aplicativos Publicados Citrix no painel esquerdo. VMware, Inc. 145

146 3 Selecione a guia Configuração do NetScaler. 4 Os campos UUID do Farm, Nome do Farm, Versão do Farm e Servidores XML são preenchidos previamente e não é possível modificar os valores. 5 Especifique um ou mais servidores STA. a No campo Servidor STA, insira a URL do servidor STA no seguinte formato. tipodetransporte://servidor:porta Por exemplo: Somente caracteres alfanuméricos, ponto (.) e hífen (-) podem ser usados na URL. b Clique em Adicionar à Lista. O servidor aparece na lista Servidores Xenapp STA. c d (Opcional) Digite servidores STA adicionais se necessário. Por exemplo, talvez você queira especificar um segundo servidor STA para fins de failover. Se você tiver adicionado vários servidores STA, selecione a ordem nos campos Servidores Xenapp STA clicando em Mover para cima ou Mover para baixo. 6 Clique em Atualizar. 7 Se houver vários farms XenApp em sua implantação, especifique um servidor STA para cada farm. Próximo passo Defina as políticas para intervalos de IPs de rede específicos que especificam que o tráfego de inicialização deve ser encaminhado por meio do NetScaler para o servidor do XenApp. VMware, Inc. 146

147 Configurar o intervalo de rede para o NetScaler Você pode configurar os intervalos de rede para o qual o tráfego de inicialização (tráfego de ICA) do aplicativo ou desktop deve ser encaminhado pelo NetScaler para o servidor do XenApp. Normalmente, isso é usado para fornecer acesso externo aos recursos publicados Citrix. Quando um usuário inicializar um aplicativo ou desktop no portal do Workspace ONE, se o endereço IP do usuário cair no intervalo configurado para o Netscaler, o tráfego de ICA será roteado por meio do NetScaler para o servidor do XenApp. Observação Para configurar a inicialização de recurso para redes internas, consulte Configurando a inicialização de recursos para a rede interna. Pré-requisitos Você configurou o VMware Identity Manager para o NetScaler na guia Catálogo > Configurações > Aplicativos Publicados Citrix > Configuração do NetScaler. Procedimentos 1 Faça login no console de administração do VMware Identity Manager. 2 Clique na guia Gerenciamento de Identidade e Acesso. 3 Clique na guia Configuração e, em seguida, na guia Intervalos de Rede. 4 Selecione um intervalo de rede existente ou clique em Adicionar intervalo de rede para criar um novo. 5 Se você estiver criando um novo intervalo de rede, forneça um nome e uma descrição para ele. VMware, Inc. 147

148 6 Na seção XenApp da página, insira as seguintes informações. a Digite o nome do host do NetScaler no campo Acesso para Cliente do Host da URL. Por exemplo: hostdonetscaler.exemplo.com Observação Se você tiver marcado a caixa de seleção Usar StoreFront para o farm de servidores na página Aplicativos Publicados - Citrix, insira a mesma URL que você inseriu no campo URL do StoreFront. b Digite a porta no campo Porta da URL. Por exemplo: 443 c Marque a caixa de seleção NetScaler. 7 No campo Intervalos de IPs, especifique o intervalo de IPs ao qual suas seleções se aplicam. 8 Clique em Salvar. Definindo as configurações do VMware Identity Manager para a integração da Citrix Você pode definir várias configurações no VMware Identity Manager para a integração da Citrix. Definindo o tipo de implantação para direitos Citrix Você pode definir o tipo de implantação para os recursos publicados Citrix, o qual determina como os recursos são disponibilizados para os usuários. Definir o tipo de implantação como Ativado pelo Usuário adiciona os recursos à página Catálogo. Para usar um recurso, os usuários devem movê-lo da página Catálogo para a página Indicadores. Definir o tipo de implantação como Automático adiciona os recursos diretamente à página Indicadores para uso imediato pelos usuários. Você pode definir o tipo de implantação em níveis diferentes. Nível Global A configuração global aplica-se a todos os direitos de usuário de todos os recursos publicados Citrix em sua implantação. Você especifica o tipo de implantação global ao integrar pela primeira vez os recursos publicados Citrix ao VMware Identity Manager a partir da página Aplicativos Publicados - Citrix. Após a integração inicial, você poderá modificar a configuração global da mesma página. Observe que, se você alterar a configuração global após a integração inicial, a nova configuração só se aplicará aos novos direitos sincronizados. Para modificar direitos existentes, você pode alterar a configuração no nível do recurso individual. Observação Recomenda-se definir o tipo de implantação global como Ativado pelo Usuário. Em cenários típicos, você define a configuração global como Ativado pelo Usuário e, em seguida, a modifica para Ativado para direitos de usuário e de grupos específicos. Nível de direito de usuário ou de grupo VMware, Inc. 148

149 Você também pode definir o tipo de implantação no nível de desktop ou de aplicativo individual ou para usuários e grupos específicos. Essa configuração substitui a configuração global. Essa definição não será alterada durante as sincronizações subsequentes. Durante a sincronização, o tipo de implantação para os direitos existentes não é alterado. Para os novos direitos na sincronização, aplica-se a configuração global. Observação Assim que um recurso for ativado, quer dizer, quando ele aparecer na página Indicadores de um usuário, ele continuará a aparecer na página Indicadores, a menos que o usuário o exclua. Qualquer alteração no tipo de implantação não o removerá da página Indicadores. Procedimentos 1 Para definir o tipo de implantação no nível global, siga estas etapas. a b Clique na guia Catálogo e selecione Gerenciar Aplicativos de Desktop > Aplicativo Publicado Citrix. No campo Tipo de Implantação, selecione Ativado pelo usuário ou Automático. Observação Recomenda-se definir o tipo de implantação global como Ativado pelo Usuário. c Clique em Salvar. A definição será aplicada a todos os novos direitos que começam com a próxima sincronização. 2 Para definir o tipo de implantação para um usuário ou um direito de grupo específico, siga estas etapas. a b c Clique na guia Catálogo. Clique no aplicativo ou no desktop cujo direito você deseja editar. Clique em Direitos para exibir a página Direitos do aplicativo. Você pode visualizar as configurações de implantação atuais para direitos de usuário e de grupo na coluna IMPLANTAÇÃO. d Clique em Editar ao lado do direito que você deseja editar. VMware, Inc. 149

150 e Na caixa de diálogo Editar Direito de Usuário, selecione o tipo de implantação para o direito. f Clique em Salvar. O tipo de implantação definido no nível do direito de usuário ou de grupo tem precedência sobre a definição do tipo de implantação global e não será modificado durante a sincronização. Gerenciando categorias para recursos publicados Citrix Você pode usar o console de administração do VMware Identity Manager e a sua implantação Citrix para gerenciar categorias de recursos publicados Citrix. Em sua implantação Citrix, você dá a um desktop ou aplicativo publicado Citrix um nome de categoria editando a caixa de texto Pasta de aplicativo do cliente nas propriedades do recurso. Quando você integra sua implantação Citrix ao VMware Identity Manager, os nomes das categoria existentes para desktops e aplicativos publicados Citrix são transferidos para o VMware Identity Manager. Após a integração, você pode continuar a criar categorias na sua implantação Citrix. Se você tiver habilitado a caixa de seleção Sincronizar categorias dos farms de servidores na página Aplicativos Publicados - Citrix, as novas categorias são transferidas para o VMware Identity Manager durante a próxima sincronização. Consulte Configurando farms de servidores Citrix no VMware Identity Manager. Você também pode criar categorias diretamente no VMware Identity Manager. Consulte Guia de administração do VMware Identity Manager para obter informações sobre o uso de categorias de recursos. No console de administração, você pode criar e visualizar as categorias de todos os recursos publicados Citrix clicando na guia Catálogo e depois clicando em Qualquer Tipo de Aplicativo e selecionando Aplicativos publicados Citrix para aplicativos ou Grupos de Distribuição Publicados Citrix para desktops. Você pode visualizar e editar as categorias de um recurso publicado Citrix clicando no nome do recurso e selecionando Detalhes. Quando você cria uma categoria no VMware Identity Manager, a categoria nunca aparece na implantação Citrix. VMware, Inc. 150

151 Quando você cria uma categoria na implantação Citrix, a categoria aparece no VMware Identity Manager na próxima sincronização. Quando você atualizar um nome de categoria na implantação Citrix, o nome de categoria atualizado aparece no VMware Identity Manager, e o nome original da categoria permanece onde está. Se você quiser remover o nome original da categoria do VMware Identity Manager, você deve removê-lo manualmente. Definindo configurações de entrega (propriedades do ICA) para recursos publicados Citrix Você pode editar as configurações de entrega de aplicativos e desktops publicados Citrix no console de administração do VMware Identity Manager. Os desktops são chamados de grupos de entrega. Você pode editar globalmente as configurações de entrega para todos os aplicativos e desktops publicados Citrix disponíveis na sua implantação do VMware Identity Manager ou individualmente para recursos publicados Citrix específicos. Configure as definições de entrega editando as propriedades da Arquitetura de Computação Independente (ICA). ICA é um protocolo proprietário da Citrix. Uma vasta gama de propriedades ICA estão disponíveis e controlam áreas como segurança, exibição e compactação. Para obter mais informações sobre como configurar as propriedades ICA, consulte a documentação da Citrix. O VMware Identity Manager inclui configurações globais padrão que definem como a implantação Citrix configurada entrega recursos publicados Citrix aos usuários. Você pode editar as configurações padrão do VMware Identity Manager e adicionar novas configurações. Você também pode especificar as configurações de entrega de recursos individuais. As configurações de recursos individuais têm precedência sobre as configurações globais. Quando você fornecer propriedades ICA para a entrega de um recurso específico, liste todas as propriedades necessárias para a implantação Citrix para entregar o recurso da maneira esperada. Quando há configurações de entrega no VMware Identity Manager para um recurso individual, o VMware Identity Manager aplica somente essas configurações e ignora todas as configurações globais de entrega de recursos. Editar as configurações de entrega de recurso globalmente para todos os recursos publicados Citrix Você pode editar as configurações de entrega globalmente para todos os aplicativos e desktops publicados Citrix na implantação do VMware Identity Manager. Os campos de propriedades do ICA para essas configurações globais são preenchidos com valores padrão até que você os edite. Importante As propriedades do ICA especificadas na guia Aplicativos Publicados Citrix > Configuração ICA ou Grupos de Distribuição Publicados Citrix > Configuração ICA aplicam-se ao tráfego de inicialização que passa por uma conexão direta. Para obter informações sobre o tráfego de inicialização roteado pelo NetScaler, consulte Editando propriedades do ICA para o NetScaler. Procedimentos 1 Faça login no console de administração. VMware, Inc. 151

152 2 Clique na seta na guia Catálogo e selecione Configurações. 3 Selecione Aplicativos Publicados Citrix para editar as configurações do ICA para os aplicativos ou selecione Grupos de Distribuição Publicados Citrix para editar as configurações do ICA para os desktops. Por exemplo: 4 Na guia Configuração ICA, edite as propriedades do ICA de acordo com as diretrizes da Citrix. Os campos Propriedades de Cliente ICA e Propriedades de Inicialização ICA devem ser utilizados em conjunto. Ou se atribuem valores a ambos os campos ou ambos ficam vazios. 5 Clique em Salvar. A menos que os recursos individuais tenham as próprias configurações de entrega de recursos, sua implantação Citrix aplica as propriedades do ICA globais quando ela entrega os recursos publicados Citrix disponíveis por meio do VMware Identity Manager aos usuários. Editar as configurações de entrega de um recurso publicado Citrix único É possível editar as configurações de entrega (propriedades do ICA) para aplicativos e desktops publicados Citrix individuais na implantação do VMware Identity Manager. Por padrão, as caixas de texto de propriedades do ICA para aplicativos individuais vêm vazias. VMware, Inc. 152

153 Se você editar as propriedades do ICA, de um recurso publicado Citrix individual, essas configurações terão precedência sobre as configurações globais. Para obter informações sobre as configurações globais, consulte Editar as configurações de entrega de recurso globalmente para todos os recursos publicados Citrix. Importante As propriedades do ICA definidas em aplicativos ou desktops individuais não se aplicam ao tráfego de ICA roteado pelo NetScaler. Apenas as configurações globais na página Propriedades do Netscaler ICA, acessadas pela guia Catálogo > Configurações > Aplicativos Publicados Citrix e pela guia Catálogo > Configurações > Grupos de Distribuição Publicados Citrix aplicam-se ao tráfego de ICA roteado pelo Netscaler. Para obter mais informações, consulte Editando propriedades do ICA para o NetScaler. Procedimentos 1 Faça login no console de administração. 2 Clique na guia Catálogo. 3 Clique em Qualquer Tipo de Aplicativo > Aplicativos Publicados Citrix para editar as configurações de aplicativos ou Qualquer Tipo de Aplicativo > Grupos de Distribuição Publicados Citrix para editar as configurações para desktops. 4 Clique no nome do recurso publicado Citrix a ser editado. 5 Clique em Configuração. 6 Veja as informações sobre o recurso conforme transmitidas da implantação Citrix. A página fornece vários detalhes sobre o recurso, tal como o nome do recurso, a ID do recurso, o nome do servidor e assim por diante. Além disso, a página exibe informações sobre a habilitação de recursos. Se a caixa de seleção Habilitado não estiver marcada, o recurso será desabilitado na implantação Citrix e ocultado dos usuários. 7 Nas caixas de texto de propriedades do ICA, adicione propriedades ou edite as propriedades existentes de acordo com as diretrizes da Citrix. Observação Ambas as caixas de texto Propriedades de Cliente ICA e Propriedades de Inicialização ICA devem ter algum valor ou ficar vazias. 8 Clique em Salvar. Editando propriedades do ICA para o NetScaler Você pode definir as configurações de entrega para os recursos publicados Citrix editando as propriedades do ICA. Para o tráfego de ICA encaminhado pelo NetScaler, edite as propriedades do ICA nas guias Aplicativos Publicados Citrix > Configuração do NetScaler ICA ou Grupos de Distribuição Publicados Citrix > Configuração do NetScaler ICA. Para os aplicativos, use Aplicativos Publicados Citrix > Configuração do NetScaler ICA. Para desktops, use Grupos de Distribuição Publicados Citrix > Configuração do NetScaler ICA. VMware, Inc. 153

154 As configurações de entrega de aplicativo definidas nos recursos Citrix individuais não se aplicam ao tráfego de ICA encaminhado pelo NetScaler. Observação Para editar as propriedades do ICA para o tráfego de ICA que passa por uma conexão direta, e não pelo NetScaler, consulte Editar as configurações de entrega de recurso globalmente para todos os recursos publicados Citrix. Procedimentos 1 Faça login no console de administração. 2 Clique na seta na guia Catálogo e selecione Configurações. 3 Selecione Aplicativos Publicados Citrix para aplicativos ou Grupos de Distribuição Publicados Citrix para desktops e, em seguida, selecione a guia Propriedades do NetScaler ICA. Os campos de propriedades são preenchidos com as configurações padrão. 4 Edite as propriedades do cliente ou as propriedades de inicialização de ICA. É possível alterar os valores das propriedades ou adicionar novas. Consulte a documentação da Citrix para obter informações sobre as propriedades do ICA. Observação Os campos Propriedades de Cliente ICA e Propriedades de Inicialização ICA devem ser utilizados em conjunto. Ou se atribuem valores a ambos os campos ou ambos ficam vazios. 5 Clique em Salvar. VMware, Inc. 154

155 Especificando políticas de acesso para desktops e aplicativos específicos O conjunto de políticas de acesso padrão se aplica a todos os aplicativos e desktops no seu catálogo. Você também pode definir políticas de acesso para aplicativos individuais ou pools de desktop, que substituem a política de acesso padrão. Você pode aplicar uma política de acesso a um ou mais aplicativos e desktops na página Políticas ou selecionar a política de acesso para um aplicativo específico na página de configuração do aplicativo. Para obter mais informações sobre políticas de acesso, consulte o Guia de Administração do VMware Identity Manager. Procedimentos 1 Para aplicar uma política de acesso a aplicativos e desktops na página Políticas, siga estas etapas. a b c d e Navegue para a página Gerenciamento de Identidade e Acesso > Gerenciar > Políticas. Clique em uma política para editá-la ou clique em Adicionar Política para criar uma nova política. Na página Política, edite ou defina a política. Na seção Aplicável a, selecione os aplicativos aos quais você deseja aplicar a política. Clique em Salvar. 2 Para selecionar uma política de acesso para um aplicativo específico na página de configuração do aplicativo, selecione estas etapas. a b c d Clique na guia Catálogo. Clique no aplicativo. Clique em Políticas de Acesso no painel esquerdo. Selecione a política de acesso para o aplicativo e clique em Salvar. Exibindo direitos de usuário e grupo a recursos publicados Citrix Você pode ver os aplicativos e desktops publicados Citrix aos quais os seus usuários e grupos do VMware Identity Manager têm direito. Os desktops são chamados de grupos de entrega no console de administração do VMware Identity Manager. Importante Você não pode usar o VMware Identity Manager para fazer alterações na sua implantação Citrix. Se um administrador da Citrix fizer qualquer alteração, como qualificar novos usuários a um recurso publicado Citrix ou adicionar um novo farm de servidores, você deverá forçar uma sincronização para propagar as alterações para o VMware Identity Manager. VMware, Inc. 155

156 Pré-requisitos Verifique se o VMware Identity Manager é integrado à sua implantação do Citrix. Consulte Capítulo 7 Fornecendo acesso aos recursos publicados Citrix. Sincronize as informações, incluindo os direitos, da sua implantação Citrix com o VMware Identity Manager. Você pode forçar uma sincronização usando as seguintes etapas: 1 Faça login no console de administração do VMware Identity Manager. 2 Selecione a guia Catálogo. 3 Clique em Gerenciar Aplicativos de Desktop e selecione Aplicativo Publicado Citrix no menu suspenso. 4 Na página Aplicativos Publicados - Citrix, clique em Sincronizar Agora. Procedimentos 1 Faça login no console de administração do VMware Identity Manager. 2 Exiba os direitos de usuário e grupo a recursos publicados Citrix. Os recursos publicados Citrix incluem aplicativos e desktops publicados Citrix, também conhecidos como grupos de entrega. Opção Ação Exiba a lista de usuários e grupos com direitos a um recurso publicado Citrix específico. Exiba a lista dos direitos do recurso publicado Citrix de um usuário ou um grupo específico. a b c a b c d Clique na guia Catálogo. Clique em Qualquer Tipo de Aplicativo e selecione Aplicativos Publicados Citrix para exibir aplicativos ou Grupos de Distribuição Publicados Citrix para exibir desktops. Clique no nome do recurso publicado Citrix cujos direitos você deseja listar. A guia Direitos é selecionada por padrão. Os direitos de grupo e os direitos de usuário são listados em tabelas separadas. Clique na guia Usuários e Grupos. Clique na guia Usuários ou na guia Grupos. Clique no nome de um usuário ou grupo individual. Clique na guia Aplicativos. Os recursos publicados Citrix com direitos são listados nas tabelas Aplicativos publicados Citrix e Grupos de entrega publicados Citrix. Inicializando os recursos publicados Citrix em diferentes navegadores Quando os usuários inicializam um desktop ou aplicativo publicado Citrix no portal do Workspace ONE, um arquivo ICA é baixado e passado para o Citrix Receiver. O Citrix Receiver é um aplicativo de SO nativo que inicializa os desktops e os aplicativos publicados Citrix. A experiência de inicialização varia de acordo com as diferentes plataformas e navegadores. VMware, Inc. 156

157 Processo de inicialização Dependendo da plataforma e do navegador, o aplicativo ou desktop é inicializado de modo diferente. Em alguns casos, o aplicativo ou desktop é inicializado diretamente. Em outros casos, o usuário precisa associar um tipo de arquivo.ica com o Citrix Receiver primeiro para que o aplicativo ou desktop possa ser inicializado diretamente. Em alguns casos, o usuário precisa clicar no arquivo ICA para inicializar o aplicativo ou desktop. Consulte a tabela para obter informações mais detalhadas. Plataforma Navegador Como o aplicativo ou desktop é inicializado Ação necessária Windows Firefox Inicializa o aplicativo ou desktop diretamente Nenhum Chrome Inicializa o aplicativo ou desktop diretamente. Observação Com o Citrix 4.5 e o XenDesktop, há problemas conhecidos com a inicialização de grupo de distribuição. Nenhum Internet Explorer Borda Faz download do arquivo ICA com extensão.ica. Depois que o tipo de arquivo é associado ao Citrix Receiver, ele inicializa automaticamente o aplicativo ou desktop. Inicializa o aplicativo ou desktop diretamente. Observação Com o Citrix 4.5 e o XenDesktop, há problemas conhecidos com a inicialização de grupo de distribuição. No navegador, associe o tipo de arquivo.ica com o Citrix Receiver. Nenhum Mac Safari, Firefox Inicializa o aplicativo ou desktop diretamente Nenhum Chrome Inicializa o aplicativo ou desktop diretamente Nenhum Windows Surface Chrome Os downloads do arquivo ICA com extensão.ica. Depois que o tipo de arquivo é associado ao Citrix Receiver, ele inicializa automaticamente o aplicativo ou desktop. No navegador, associe o tipo de arquivo.ica com o Citrix Receiver. Android Chrome Baixa o arquivo ICA Clique no arquivo ICA para inicializar o desktop ou aplicativo. ios Safari Baixa o arquivo ICA Clique no arquivo ICA para inicializar o desktop ou aplicativo. Chrome Não é possível baixar o arquivo ICA Não há suporte para esse cenário. Permitindo o plug-in do Citrix Receiver no Firefox No Firefox, quando os usuários inicializam um aplicativo publicado Citrix, ele são solicitados a permitir o plug-in do Citrix Receiver. Permitir que execute o Citrix Receiver? VMware, Inc. 157

158 Os usuários devem clicar em Permitir Agora ou Permitir e Lembrar para iniciar o aplicativo. Impacto de atualização sobre a integração de recursos publicados Citrix Nenhuma configuração adicional é necessária após um upgrade do VMware Identity Manager ou um upgrade de produto da Citrix para se manter a integração entre o VMware Identity Manager e os recursos publicados pela Citrix. Para atualizar o Integration Broker, você deve desinstalar a versão mais antiga e, em seguida, instalar a nova versão. Para reinstalar o Citrix Receiver, consulte a documentação da Citrix. VMware, Inc. 158