Configurando recursos no VMware Identity Manager (local) ABRIL DE 2019 VMware Identity Manager 19.03

Transcrição

1 Configurando recursos no VMware Identity Manager (local) ABRIL DE 2019 VMware Identity Manager 19.03

2 Você pode encontrar a documentação técnica mais atualizada no site da VMware, em: O site da VMware também fornece as atualizações mais recentes de produtos. Caso tenha comentários sobre esta documentação, envie seu feedback para: docfeedback@vmware.com VMware, Inc Hillview Ave. Palo Alto, CA VMware Brasil Rua Surubim, 504 4º andar CEP Cidade Monções São Paulo SÃO PAULO: Brasil Tel: Fax: Direitos autorais VMware, Inc. Todos os direitos reservados. Informações sobre direitos autorais e marca registrada. VMware, Inc. 2

3 Conteúdo Configurando recursos no VMware Identity Manager on-premise (local) 6 1 Introdução à configuração de recursos no VMware Identity Manager 7 2 Fornecendo acesso a aplicativos Web 9 Adicionando um aplicativo Web ao seu catálogo 11 Atribuindo usuários e grupos a um aplicativo Web 15 Editando um aplicativo Web 16 Copiando um aplicativo Web 17 Exportando um aplicativo Web 18 Importando um aplicativo Web 18 Excluindo um aplicativo Web do catálogo 19 Criando e selecionando categorias para aplicativos 19 Adicionar vários tenants de aplicativos Web 20 Adicionando aplicativos OpenID Connect ao catálogo 21 Usando adaptadores de provisionamento 24 Gerenciando configurações de aplicativos Web 25 Informações adicionais 26 3 Usando coleções de aplicativos virtuais para integrações da área de trabalho 27 Sobre as coleções de aplicativos virtuais 27 Migrando as configurações existentes para as coleções de aplicativos virtuais 30 Criando coleções de aplicativos virtuais 32 Editando coleções de aplicativos virtuais 35 Sincronizando coleções de aplicativos virtuais 36 Monitorando coleções de aplicativos virtuais 37 Excluindo coleções de aplicativos virtuais 39 4 Fornecendo acesso aos pools de desktops e de aplicativos do Horizon 7 ou do Horizon 6 41 Sobre como integrar pods do Horizon independentes 42 Sobre a integração de implantações da Arquitetura do Horizon Cloud Pod (CPA) 43 Configurando pods e federações de pod do Horizon no VMware Identity Manager 49 Definindo FQDNs da Acesso para Cliente para intervalos de rede 57 Inicializando os recursos do Horizon por meio de gateways de validação 59 Exibindo as informações do pool de aplicativos e desktops do Horizon no VMware Identity Manager 60 Exibindo atribuições de grupo e de usuário para pools de desktops e aplicativos do Horizon 61 VMware, Inc. 3

4 Especificando políticas de acesso para desktops e aplicativos específicos 62 Permitindo que os usuários redefinam seus desktops do Horizon a partir do Catálogo do Workspace ONE 62 Exibindo as opções de inicialização para áreas de trabalho e aplicativos do Horizon 64 Inicializando um aplicativo ou área de trabalho do Horizon 65 5 Fornecendo acesso a aplicativos e áreas de trabalho do VMware Horizon Cloud Service 67 Integrando desktops e aplicativos do Horizon Cloud 68 Exibindo as informações do pool de aplicativos e desktops do Horizon Cloud no VMware Identity Manager 77 Exibindo atribuições de usuário e de grupo para desktops e aplicativos do Horizon Cloud 78 Especificando políticas de acesso para desktops e aplicativos específicos 78 Permitindo que os usuários redefinam áreas de trabalho do Horizon Cloud 79 Executando um desktop ou aplicativo do Horizon Cloud 80 6 Fornecendo acesso a pacotes ThinApp da VMware 81 Integrando pacotes do VMware ThinApp 82 Autorizar usuários e grupos aos pacotes ThinApp 93 Distribuindo e gerenciando pacotes ThinApp usando o VMware Identity Manager 95 Atualizando pacotes ThinApp gerenciados após a implantação no VMware Identity Manager 99 Tornar pacotes ThinApp existentes compatíveis com o VMware Identity Manager 106 Alterar a pasta de compartilhamento dos pacotes ThinApp 108 Especificando políticas de acesso para desktops e aplicativos específicos Configurando o VMware Identity Manager Desktop 110 Opções do instalador da linha de comando para o desktop do VMware Identity Manager 111 Instale o aplicativo do VMware Identity Manager Desktop com configurações idênticas para vários sistemas do Windows 118 Adicionar arquivos do instalador do VMware Identity Manager Desktop aos appliances virtuais do VMware Identity Manager 119 Usando o aplicativo da linha de comando hws-desktop-ctrl.exe Fornecendo acesso aos recursos publicados Citrix 122 Visão geral da integração de recursos publicados Citrix 122 Componentes necessários para a integração da Citrix 124 Design de integração de alto nível 125 Pré-requisitos para a integração da Citrix 129 Configurando farms de servidores Citrix no VMware Identity Manager 157 Configurando a inicialização de recursos Citrix no VMware Identity Manager 164 Definindo as configurações do VMware Identity Manager para a integração da Citrix 170 Impacto de atualização sobre a integração de recursos publicados Citrix 175 VMware, Inc. 4

5 9 Fornecendo acesso a aplicativos de terceiros no Workspace ONE 176 Adicionar uma origem do aplicativo ao catálogo do Workspace ONE 177 Autorizar usuários para a origem do aplicativo 178 Adicionar aplicativos gerenciados da origem do aplicativo Solucionando a configuração do recurso do VMware Identity Manager 180 Solução de erros de inicialização 180 Solução de problemas de integração do ThinApp 180 Solução de problemas de integração do Horizon 183 Solução de problemas de integração de recursos publicados Citrix 184 VMware, Inc. 5

6 Configurando recursos no VMware Identity Manager on-premise (local) Configurando recursos no VMware Identity Manager fornece informações sobre como adicionar recursos ao catálogo do VMware Identity Manager e disponibilizá-los dos sistemas dos usuários, como áreas de trabalhos e dispositivos móveis. Os recursos com suporte incluem aplicativos da Web, áreas de trabalho e aplicativos do VMware Horizon, áreas de trabalho e aplicativos do VMware Horizon Cloud Service, recursos publicados Citrix, e pacotes do VMware ThinApp. Público-alvo Estas informações destinam-se a qualquer pessoa que configura e administra os recursos do VMware Identity Manager. Elas foram escritas para administradores experientes de sistemas Windows ou Linux que estão familiarizados com a tecnologia de máquina virtual. VMware, Inc. 6

7 Introdução à configuração de recursos no VMware Identity Manager 1 Você deve configurar os recursos no console do VMware Identity Manager para fornecer aos usuários acesso aos recursos compatíveis. Exceto aplicativos Web, cada tipo de recurso exige que você integre o VMware Identity Manager a outro produto ou componente. Você pode integrar os seguintes tipos de recursos ao VMware Identity Manager: Aplicativos Web Aplicativos virtuais Aplicativos e desktops do VMware Horizon Cloud Service Pools de desktops e aplicativos do VMware Horizon 7 e do Horizon 6 Recursos publicados Citrix Aplicativos empacotados do VMware ThinApp Observação A integração com aplicativos empacotados do ThinApp só é compatível com o VMware Identity Manager Connector do Linux. Ela não é compatível com o conector do Windows. Integre esses recursos na guia Catálogo do console do VMware Identity Manager. Para integrar aplicativos Web, você deve usar a guia Catálogo > Aplicativos Web. Para integrar e gerenciar pools de aplicativos e desktops do Horizon, desktops e aplicativos do Horizon Cloud, recursos publicados Citrix ou aplicativos empacotados do ThinApp, use as guias Catálogo > Coleções de Aplicativos Virtuais e Catalog > Aplicativos Virtuais. Configure as integrações na página Catálogo > Coleções de Aplicativos Virtuais e exiba os recursos sincronizados na página Catálogo > Aplicativos Virtuais. VMware, Inc. 7

8 Você pode gerenciar as configurações de recursos integrados das páginas a seguir. As configurações globais estão disponíveis na guia Catálogo > Configurações. As configurações para aplicativos Web estão disponíveis no botão Configurações da guia Catálogo > Aplicativos Web. As configurações para o Horizon, o Horizon Cloud, o ThinApp e os recursos publicados Citrix estão disponíveis no botão Configurações da guia Catálogo > Aplicativos Virtuais. Você também pode gerenciar configurações de aplicativos individuais clicando no aplicativo na página Catálogo > Aplicativos Web ou Catálogo > Aplicativos Virtuais e clicando em Editar. VMware, Inc. 8

9 Fornecendo acesso a aplicativos Web 2 Você pode adicionar aplicativos Web ao catálogo do VMware Identity Manager e atribuí-los a usuários e grupos para fornecer aos usuários acesso a esses aplicativos a partir do portal ou do aplicativo Workspace ONE. Você ativar o single sign-on (SSO) para os aplicativos usando um protocolo de federação, como o SAML 2.0, para configurar os aplicativos. As políticas de acesso podem ser aplicadas nos aplicativos para controlar o acesso do usuário com base nos critérios, como intervalo de rede ou tipo de dispositivo do usuário. Você pode criar políticas de acesso para um único aplicativo, um conjunto de aplicativos ou todos os aplicativos em seu catálogo. Quando você adiciona um aplicativo ao catálogo, pode selecionar a política de acesso a ser usada. Você também pode configurar um fluxo de aprovação para que os usuários devem solicitar acesso a um aplicativo e a solicitação deverá ser aprovada antes de eles poderem usar o aplicativo. Os seguintes tipos de aplicativos Web podem ser adicionados ao catálogo: Aplicativos SAML 2.0 Aplicativos SAML 1.1 O SAML 1.1 é um padrão de autenticação SAML mais antigo. Para obter mais segurança, implemente o SAML 2.0. Aplicativos WS-Federation 1.2 Aplicativos OpenID Connect Aplicativos que não usam um protocolo de federação Aplicativos associados a provedores de identidade de terceiros, como Okta, Ping e ADFS. Para adicionar esses aplicativos, você deve primeiro configurar o provedor de identidade de terceiros como uma origem do aplicativo no VMware Identity Manager. Consulte Capítulo 9Fornecendo acesso a aplicativos de terceiros no Workspace ONE para obter informações. Antes de configurar os aplicativos Web no catálogo, preste atenção nas considerações a seguir. Se você configurar o aplicativo Web para usar um protocolo de federação, use SAML 2.0, SAML 1.1, WS-Federation 1.2 ou OpenID Connect. Configurar o aplicativo Web para usar um protocolo de federação não é um requisito. VMware, Inc. 9

10 Os usuários que você planeja autorizar para o aplicativo Web devem ser usuários registrados desse aplicativo, ou você planeja configurar o adaptador de provisionamento para o aplicativo, se disponível, para provisionar usuários do VMware Identity Manager no aplicativo. Se o aplicativo da Web for um aplicativo de vários tenants, o serviço aponta para a instância do aplicativo. Requisitos da função para o gerenciamento de aplicativos Web As seguintes funções podem gerenciar aplicativos Web: Superadministrador Função de administrador personalizada que tem a seguinte configuração: Serviço: catálogo Ações: gerenciar aplicativos Web, gerenciar origens do aplicativo, gerenciar aplicativos de terceiros, conforme aplicável Recursos: todos os recursos ou recursos específicos, conforme aplicável Para atribuir aplicativos a usuários e grupos, a função deve incluir a ação de Gerenciar Direitos. Para obter mais informações sobre as funções, consulte "Gerenciando funções de administrador" na Administração do VMware Identity Manager. Este capítulo inclui os seguintes tópicos: Adicionando um aplicativo Web ao seu catálogo Atribuindo usuários e grupos a um aplicativo Web Editando um aplicativo Web Copiando um aplicativo Web Exportando um aplicativo Web Importando um aplicativo Web Excluindo um aplicativo Web do catálogo Criando e selecionando categorias para aplicativos Adicionar vários tenants de aplicativos Web Adicionando aplicativos OpenID Connect ao catálogo Usando adaptadores de provisionamento Gerenciando configurações de aplicativos Web Informações adicionais VMware, Inc. 10

11 Adicionando um aplicativo Web ao seu catálogo Você pode adicionar aplicativos Web ao seu catálogo selecionando-os no catálogo de aplicativos da nuvem ou criando novos. O catálogo de aplicativos da nuvem contém aplicativos Web empresariais comumente usados. Esses aplicativos são configurados parcialmente e você deve fornecer informações adicionais para concluir o registro do aplicativo. Também é possível que você precise trabalhar com seus representantes de conta de aplicativo da Web para completar outras configurações que se façam necessárias. Muitos dos aplicativos no catálogo de aplicativos da nuvem usam SAML 2.0 ou 1.1 para trocar dados de autenticação e autorização para permitir single sign-on do Workspace ONE no aplicativo Web. Quando você cria um novo aplicativo, precisa inserir todas as informações de configuração do aplicativo. A configuração varia de acordo com o tipo de aplicativo que você está adicionando. Para aplicativos sem um protocolo de federação, solicite apenas uma URL de Destino. Os aplicativos de quaisquer provedores de identidade de terceiros que você configurou como origens do aplicativo no VMware Identity Manager são adicionados como novos aplicativos. Ao adicionar um aplicativo, você também pode selecionar uma política de acesso para controlar o acesso do usuário ao aplicativo. Uma política de acesso padrão está disponível, e você também pode criar novas políticas na página Gerenciamento de Identidade e Acesso > Gerenciar > Políticas. Consulte Administração do VMware Identity Manager para obter informações sobre as políticas de acesso. Pré-requisitos Obtenha as informações de configuração do aplicativo. Crie uma política de acesso se não quiser usar a política de acesso padrão. Você pode criar políticas de acesso na página Gerenciamento de Identidade e Acesso > Gerenciar > Políticas. Crie categorias se quiser agrupar aplicativos desta maneira. Uma categoria Recomendado predefinida está disponível. Você pode criar categorias na página Catálogo > Aplicativos Web clicando em Categorias e digitando o nome da categoria na caixa de texto. Crie grupos de usuários, se necessário. Você pode criar grupos na guia Usuários e Grupos > Grupos. Procedimentos 1 No console do VMware Identity Manager, selecione a guia Catálogo > Aplicativos Web. 2 Clique em Novo. O assistente de Novo Aplicativo SaaS é exibido. VMware, Inc. 11

12 3 Selecione um aplicativo no catálogo de aplicativos da nuvem ou crie um novo. Para selecionar um aplicativo no catálogo de aplicativos da nuvem, digite seu nome na caixa de pesquisa ou clique em "ou procurar no catálogo" e selecione-o na lista de aplicativos. Os campos nas páginas Definição e Configuração estão preenchidos parcialmente. Para criar um novo aplicativo, digite seu nome no campo Nome. 4 Na página Definição, insira as informações necessárias. Opção Nome Descrição Ícone Categoria Descrição Insira um nome exclusivo para o aplicativo. (Opcional) Insira uma descrição do aplicativo. (Opcional) Carregue um ícone para o aplicativo. Os ícones nos formatos de arquivo PNG, JPG e ICON, com até 4MB, são suportados. O ícone deve ter no mínimo 180 x 180 pixels. Se o ícone for muito pequeno, ele não será exibido. Nesse caso, o ícone do Workspace ONE aparece. (Opcional) Para adicionar o aplicativo a uma categoria, selecione-a no menu suspenso. As categorias já devem estar criadas. Uma categoria Recomendado predefinida está disponível. Selecione-a se desejar que o aplicativo apareça na página Recomendado do Workspace ONE. Se você deseja que o aplicativo seja exibido na página Indicadores dos usuários, selecione a categoria Recomendado e, na página Catálogo > Configurações > Configuração do Portal do Usuário, selecione a guia Mostrar aplicativos recomendados em Indicadores. 5 Clique em Avançar. 6 Na página Configuração, insira os detalhes de configuração do aplicativo. Para aplicativos que são adicionados do catálogo de aplicativos da nuvem, alguns campos são prépreenchidos com informações específicas para cada aplicativo Web. Alguns dos itens prépreenchidos são editáveis, ao passo que outros não. As informações exigidas variam de um aplicativo para outro. VMware, Inc. 12

13 Para aplicativos que estão sendo adicionados como novos aplicativos, os campos variam de acordo com o tipo de autenticação que você seleciona. Para obter informações sobre campos específicos, clique no ícone de informações ao lado do campo. Opção Single Sign-On Descrição Tipo de Autenticação Para aplicativos que são adicionados do catálogo de aplicativos da nuvem, o tipo de autenticação está pré-selecionado. Para novos aplicativos, selecione o tipo de autenticação, se aplicável. Se o aplicativo não usar um protocolo de federação, selecione Link do Aplicativo Web. As seguintes opções estão disponíveis: SAML 2.0 Se o aplicativo Web oferecer suporte a SAML 2.0, um padrão baseado em XML para a troca segura de informações de autenticação e autorização, selecione essa opção para ativar o single sign-on do Workspace ONE no aplicativo. SAML 1.1 Se o aplicativo Web oferecer suporte a SAML 1.1, selecione essa opção para ativar o single sign-on do Workspace ONE no aplicativo. WSFed 1.2 Se o aplicativo Web oferecer suporte à autenticação WS-Federation 1.2, selecione essa opção para ativar o single sign-on do Workspace ONE no aplicativo. OpenID Connect Se o aplicativo oferecer suporte a OpenID Connect, um protocolo de autenticação baseado no protocolo OAuth 2.0, selecione essa opção para ativar o single sign-on do Workspace ONE no aplicativo. Qualquer provedor de identidade de terceiros configurado como origens do aplicativo no VMware Identity Manager, por exemplo, Okta. VMware, Inc. 13

14 Opção Descrição Selecione essa opção para adicionar um aplicativo de uma origem do aplicativo. As origens do aplicativo aparecerão na lista somente se já estiverem configuradas na página Configurações de Aplicativos Web. Quando você seleciona uma origem do aplicativo, só precisa inserir a URL de destino do aplicativo quando o resto da configuração já foi concluído na origem do aplicativo. Link do Aplicativo Web Selecione essa opção se o aplicativo não usar um protocolo de federação. Você só precisa inserir a URL de destino do aplicativo. Configuração Os campos que aparecem variam de acordo com o tipo de autenticação selecionado. Clique no ícone de informações para obter uma descrição de cada campo. Se você selecionou uma origem do aplicativo ou um Link do Aplicativo Web, você só precisa inserir a URL de destino do aplicativo. Parâmetros do Aplicativo Para aplicativos adicionados do catálogo de aplicativos da nuvem, os parâmetros podem ser listados. Se um parâmetro estiver listado e não tiver um valor padrão, insira um valor para permitir a inicialização do aplicativo. Caso o valor padrão seja fornecido, você poderá editá-lo. Para novos aplicativos, adicione os parâmetros necessários. Observação Essa seção não aparece quando OpenID Connect, uma origem do aplicativo, ou Link do Aplicativo Web está selecionado como o tipo de autenticação. Propriedades Avançadas As propriedades avançadas incluem opções para assinar e criptografar as asserções SAML. As propriedades que você pode configurar variam de acordo com o tipo de autenticação selecionado. Clique no ícone de informações para obter uma descrição de cada campo. Observação Essa seção não aparece quando OpenID Connect, uma origem do aplicativo, ou Link do Aplicativo Web está selecionado como o tipo de autenticação. Abrir no VMware Browser Selecione essa opção se você deseja que o aplicativo Workspace ONE abra o aplicativo no VMware Browser, que fornece uma alternativa segura ao navegador da Web nativo. 7 Clique em Avançar. 8 Na página Políticas de Acesso, selecione a política de acesso para gerenciar o acesso do usuário ao aplicativo. A default_access_policy_set está selecionada por padrão. 9 Na página Resumo, reveja suas seleções e clique em Salvar ou clique em Salvar e Atribuir para atribuir o aplicativo a usuários e grupos. Se você não atribuir o aplicativo a quaisquer usuários e grupos neste momento, poderá fazer isso mais tarde selecionando o aplicativo na página Catálogo > Aplicativos Web e clicando em Atribuir. VMware, Inc. 14

15 10 Se você tiver clicado em Salvar e Atribuir, atribua o aplicativo a usuários e grupos. a b Adicione usuários e grupos digitando o nome na caixa de pesquisa e selecionando os resultados. Selecione o tipo de implantação para cada usuário e grupo. Não importa se você seleciona Ativado pelo Usuário ou Automático, o aplicativo é exibido na página Catálogo do Workspace ONE. Os usuários podem executar o aplicativo na página Catálogo ou marcá-lo e executá-lo da página Indicadores. Se você planejar configurar um fluxo de aprovação para o aplicativo, selecione Ativado pelo Usuário. c Clique em Salvar. O aplicativo é adicionado ao catálogo e aparece na lista de aplicativos da guia Catálogo > Aplicativos Web. Atribuindo usuários e grupos a um aplicativo Web Depois de adicionar aplicativos Web ao seu catálogo, você pode atribuí-los a usuários e grupos. Quando você autoriza um usuário a um aplicativo Web, o usuário pode exibir e iniciar o aplicativo a partir do portal ou aplicativo Workspace ONE. Se você remover o direito do usuário, o usuário não poderá ver ou iniciar o aplicativo. Em muitos casos, a maneira mais eficaz de autorizar usuários é atribuir os aplicativos Web a um grupo de usuários. Pré-requisitos Crie grupos, se necessário. Você pode criar grupos na guia Usuários e Grupos > Grupos. Procedimentos 1 Faça login no console do VMware Identity Manager. VMware, Inc. 15

16 2 Autorize usuários a um aplicativo da Web. Método Descrição Acessar um aplicativo Web e atribuí-lo a usuários ou grupos Acesse a um usuário ou grupo e adicione direitos de aplicativos Web a esse usuário ou grupo. a b c d e f a b c d e f g h Selecione a guia Catálogo > Aplicativos Web. Clique no aplicativo Web. Clique em Atribuir. Selecione usuários e grupos digitando o nome na caixa de pesquisa e selecionando os resultados. Selecione o tipo de implantação para cada usuário e grupo. Não importa se você seleciona Ativado pelo Usuário ou Automático, o aplicativo é adicionado à página Catálogo no Workspace ONE. Os usuários podem executar o aplicativo na página Catálogo ou marcá-lo para executá-lo da página Indicadores. No entanto, se você quiser configurar um fluxo de aprovação para o aplicativo, selecione Ativado pelo Usuário. Clique em Salvar. Clique na guia Usuários e Grupos. Clique na guia Usuários ou na guia Grupos. Clique no nome de um usuário ou grupo. Clique na guia Aplicativos e, em seguida, clique em Adicionar Direito. Na lista suspensa Tipo de aplicativo, selecione Aplicativos Web. Marque as caixas de seleção ao lado dos aplicativos Web aos quais você deseja autorizar o usuário ou o grupo. Na coluna IMPLANTAÇÃO, selecione a forma como ativar cada aplicativo Web. Não importa se você seleciona Ativado pelo Usuário ou Automático, o aplicativo é adicionado à página Catálogo no Workspace ONE. Os usuários podem executar o aplicativo na página Catálogo ou marcá-lo para executá-lo da página Indicadores. No entanto, se você quiser configurar um fluxo de aprovação para o aplicativo, selecione Ativado pelo Usuário. Clique em Salvar. Agora o usuário ou grupo selecionado está autorizado a usar o aplicativo da Web. Editando um aplicativo Web Você pode editar todos os aplicativos Web você adicionou ao seu catálogo do VMware Identity Manager. Você pode alterar a definição de aplicativo, a configuração, a política de acesso e as atribuições de usuários. Procedimentos 1 No console do VMware Identity Manager, selecione a guia Catálogo > Aplicativos Web. 2 Clique no aplicativo que deseja editar. 3 Clique em Editar. VMware, Inc. 16

17 4 Siga o assistente para Editar Aplicativo SaaS para modificar o aplicativo conforme necessário. O processo é o mesmo que criar um novo aplicativo. Consulte Adicionando um aplicativo Web ao seu catálogo. Copiando um aplicativo Web Você pode fazer uma cópia de um aplicativo Web no seu catálogo e modificá-la para criar um novo aplicativo. Copiar um aplicativo é útil quando você deseja adicionar outro aplicativo com uma configuração semelhante ou quando você está adicionando vários tenants de um aplicativo. Procedimentos 1 No console do VMware Identity Manager, selecione a guia Catálogo > Aplicativos Web. 2 Clique no aplicativo que deseja copiar. 3 Clique em Copiar. 4 Siga o assistente para Copiar Aplicativo SaaS para configurar o novo aplicativo. a b Verifique se você inseriu um novo nome para o aplicativo copiado. Por padrão, o nome é alterado para applicationname_copy. Modifique a configuração conforme necessário. O processo é o mesmo que criar um novo aplicativo. Consulte Adicionando um aplicativo Web ao seu catálogo. c Clique em Salvar. 5 Na página Resumo, reveja suas seleções e clique em Salvar ou clique em Salvar e Atribuir para atribuir o aplicativo a usuários e grupos. As atribuições de usuário e grupo do aplicativo original não são copiadas para o novo aplicativo. Se você não atribuir o aplicativo a quaisquer usuários e grupos neste momento, poderá fazer isso mais tarde selecionando o aplicativo na página Catálogo > Aplicativos Web e clicando em Atribuir. 6 Se você tiver clicado em Salvar e Atribuir, atribua o aplicativo a usuários e grupos. a b Adicione usuários e grupos digitando o nome na caixa de pesquisa e selecionando os resultados. Selecione o tipo de implantação para cada usuário e grupo. Não importa se você seleciona Ativado pelo Usuário ou Automático, o aplicativo é exibido na página Catálogo do Workspace ONE. Os usuários podem executar o aplicativo na página Catálogo ou marcá-lo e executá-lo da página Indicadores. Se você planejar configurar um fluxo de aprovação para o aplicativo, selecione Ativado pelo Usuário. c Clique em Salvar. VMware, Inc. 17

18 Exportando um aplicativo Web Você pode exportar e importar um aplicativo Web de uma instância do VMware Identity Manager para outra. Por exemplo, é possível que você deseje importar um aplicativo de seu ambiente de preparação para seu ambiente de produção. Esse processo envolve a exportação do pacote de aplicativos de uma instância e a importação desse pacote para a outra instância. É possível que o aplicativo não exija mais configurações, em especial se você realizou um teste completo da configuração no ambiente original. Procedimentos 1 Faça login no console da instância do VMware Identity Manager a partir do qual você exportará um aplicativo Web. 2 Selecione a guia Catálogo > Aplicativos Web. 3 Clique no aplicativo que você deseja exportar. 4 Clique em Exportar. O pacote de aplicativos é baixado para seu sistema como um arquivo zip. Próximo passo Importe o pacote de aplicativos para a instância do VMware Identity Manager na qual você deseja usá-lo. Importando um aplicativo Web Você pode exportar e importar um aplicativo Web de uma instância do VMware Identity Manager para outra. Por exemplo, é possível que você deseje importar um aplicativo de seu ambiente de preparação para seu ambiente de produção. Pré-requisitos Você exportou o aplicativo de outra instância do VMware Identity Manager. Procedimentos 1 Faça login no console da instância do VMware Identity Manager para a qual você importará um aplicativo Web. 2 Selecione a guia Catálogo > Aplicativos Web. 3 Clique em Mais > Importar. 4 Selecione o arquivo zip do aplicativo e clique em Abrir. O aplicativo é carregado. VMware, Inc. 18

19 Excluindo um aplicativo Web do catálogo Você pode excluir aplicativos Web do catálogo do VMware Identity Manager que não precisa mais para fornecer aos seus usuários. Quando você exclui um aplicativo, ele não fica mais disponível para qualquer usuário no Workspace ONE. Procedimentos 1 No console do VMware Identity Manager, selecione a guia Catálogo > Aplicativos Web. 2 Clique no aplicativo que deseja excluir. 3 Clique em Excluir. Criando e selecionando categorias para aplicativos Você pode agrupar os aplicativos Web em categorias para facilitar a localização de aplicativos. Por exemplo, você pode criar uma categoria chamada Benefícios e atribuir seus aplicativos de folha de pagamento, seguros e 401K a ela. Além das categorias que você cria, uma categoria Recomendado predefinida também está disponível. Selecione essa categoria para aplicativos que você deseja adicionar à página Recomendado no Workspace ONE. Você também pode usar a categoria Recomendado para colocar aplicativos específicos diretamente nas páginas Favoritos dos usuários. Você pode fazer isso selecionando a categoria Recomendado para os aplicativos e selecionando Mostrar aplicativos recomendados nos Indicadores na página Catálogo > Configurações > Configuração do Portal do Usuário. Você pode selecionar categorias para os aplicativos de várias maneiras. Selecione as categorias enquanto adiciona um aplicativo ao catálogo, se as categorias já tiverem sido criadas. Edite um aplicativo para selecionar categorias. Aplique as categorias a vários aplicativos ao mesmo tempo na guia Catálogo > Aplicativos Web. Procedimentos 1 No console do VMware Identity Manager, selecione a guia Catálogo > Aplicativos Web. 2 Clique em Categorias. 3 Na caixa de texto exibida, digite um nome para a nova categoria e selecione Adicionar Categoria newcategoryname. 4 Atribua aplicativos à categoria. a b Na guia Catálogo > Aplicativos Web, selecione os aplicativos que você deseja adicionar à categoria. Clique no menu suspenso Categorias e selecione a categoria que você criou. VMware, Inc. 19

20 Adicionar vários tenants de aplicativos Web O VMware Identity Manager é compatível com a adição de vários tenants de um provedor de serviços a uma instância do VMware Identity Manager. Se você tiver vários tenants de um aplicativo, como o Office 365 que pode ser usado por diferentes linhas de negócios em sua organização, poderá adicionar todos os tenants a uma única instância do VMware Identity Manager. Isso permite que você gerencie o SSO e o acesso a todos os tenants em um único local. Para adicionar vários tenants, você pode adicionar várias cópias do aplicativo ao catálogo do VMware Identity Manager e modificar a configuração de cada uma delas. Mapeie cada cópia do aplicativo para um tenant diferente do provedor de serviços. Cada tenant pode ter um ou mais domínios. Você também precisa autorizar os usuários para a cópia apropriada do aplicativo. Quando os usuários fazem login no Workspace ONE e clicam no aplicativo ao qual eles têm direito, o aplicativo correto é iniciado. Quando os usuários fazem login no provedor de serviços diretamente, o provedor de serviço os redireciona para o VMware Identity Manager para autenticação. O VMware Identity Manager autentica o usuário e inicializa o aplicativo correto com base nos direitos de usuário. Procedimentos 1 No console do VMware Identity Manager, selecione a guia Catálogo > Aplicativos Web. 2 Clique em Novo. 3 Selecione o aplicativo do catálogo de aplicativos da nuvem digitando o nome na caixa de pesquisa ou clicando em "procurar no catálogo" e selecionando-o. Os campos nas páginas Definição e Configuração estão preenchidos parcialmente. 4 Siga o assistente para configurar o aplicativo e clique em Salvar. 5 Crie uma cópia do aplicativo seguindo um destes procedimentos: Crie um novo aplicativo clicando em Novo na página Catálogo > Aplicativos Web e adicionando o aplicativo do catálogo de aplicativos da nuvem. Copie o aplicativo clicando no aplicativo na página Catálogo > Aplicativos Web e clicando em Copiar. Edite campos, como o nome e uma descrição, para que o novo aplicativo possa ser facilmente identificado. 6 Configure cada cópia do aplicativo para o tenant apropriado. Mapeie cada cópia do aplicativo para um tenant do provedor de serviços diferente. VMware, Inc. 20

21 Certifique-se de que os usuários sejam exclusivos em todos os domínios e tenants do provedor de serviços. Observação Se os usuários não forem exclusivos, certifique-se de que as URLs POST do provedor de serviços, ou seja, as URLs do Serviço Consumidor de Asserção que você insere no console do VMware Identity Manager, sejam exclusivas nos tenants. 7 Configure os direitos de usuário de cada cópia do aplicativo. Autorize os usuários ao tenant apropriado. a b c d Na guia Catálogo > Aplicativos Web, clique na cópia do aplicativo que corresponde ao tenant. Clique em Atribuir. Selecione usuários e grupos digitando os nomes na caixa de pesquisa e selecionando os resultados. Selecione o tipo de implantação para cada usuário e grupo. Se você selecionar, ou não, a opção Automático ou Ativado pelo Usuário, o aplicativo será adicionado à página Catálogo no Workspace ONE. Os usuários podem executar o aplicativo na página Catálogo ou movê-lo para a página Favoritos. No entanto, se você quiser configurar um fluxo de aprovação para qualquer um dos aplicativos, deverá selecionar Ativado pelo Usuário para esse aplicativo. e Clique em Salvar. Adicionando aplicativos OpenID Connect ao catálogo Você pode adicionar aplicativos que usam o protocolo de autenticação OpenID Connect ao VMware Identity Manager e gerenciá-los como qualquer outro aplicativo no catálogo. Você pode aplicar uma política de acesso a cada aplicativo para especificar como os usuários são autenticados com base nos critérios, como intervalo de rede e tipo de dispositivo. Depois de adicionar o aplicativo, você pode atribuílo a usuários e grupos. Para adicionar um aplicativo OpenID Connect, especifique a URL de destino do aplicativo, redirecione a URL, a ID do cliente e o segredo do cliente. Quando você adiciona um aplicativo OpenID Connect ao catálogo, um cliente OAuth 2.0 é criado automaticamente no VMware Identity Manager para o aplicativo. O cliente é criado com as informações de configuração que você especificou ao adicionar o aplicativo, que inclui a URL de destino, a URL de redirecionamento, a ID do cliente e o segredo do cliente. Todos os outros parâmetros usam valores padrão. Eles incluem: Tipo de concessão: authorization_code, refresh_token Escopo: admin, openid, user Exibir concessão do usuário: false Vida útil (TTL) do token de acesso: 3 horas VMware, Inc. 21

22 Vida útil (TTL) do token de atualização: ativada e definida como 90 dias Vida útil (TTL) ociosa do token de atualização: 4 dias Você pode exibir o cliente OAuth 2.0 para o aplicativo na guia Clientes da página Catálogo > Configurações > Acesso Remoto a Aplicativos. Clique no nome do cliente para exibir as informações de configuração. Não edite nenhum campo no cliente. Importante Não exclua o cliente OAuth 2.0 associado ao aplicativo ou o aplicativo não estará mais disponível para os usuários. Quando você exclui o aplicativo do catálogo, o cliente OAuth 2.0 também é excluído. Fluxo de autenticação quando o aplicativo é acessado do Workspace ONE Quando um usuário clica no aplicativo no Workspace ONE, o fluxo de autenticação é o seguinte: 1 O usuário clica no aplicativo no Workspace ONE. 2 O VMware Identity Manager redireciona o usuário para a URL de destino. 3 O aplicativo redireciona o usuário para o VMware Identity Manager com uma solicitação de autorização. 4 O VMware Identity Manager autentica o usuário com base na política de autenticação que você especificou para o aplicativo. 5 O VMware Identity Manager verifica se o usuário tem direito ao aplicativo. 6 O VMware Identity Manager envia o código de autorização para a URL de redirecionamento. 7 Usando o código de autorização, o aplicativo solicita o token de acesso. 8 O VMware Identity Manager envia a ID do token, o token de acesso e o token de atualização para o aplicativo. Fluxo de autenticação quando o aplicativo é acessado diretamente do provedor de serviços Quando um usuário acessa o aplicativo diretamente do provedor de serviços, o fluxo de autenticação é o seguinte: 1 O usuário clica no aplicativo. 2 O usuário é redirecionado para o VMware Identity Manager para autenticação. 3 O VMware Identity Manager autentica o usuário com base na política de autenticação que você especificou para o aplicativo. 4 O VMware Identity Manager verifica se o usuário tem direito ao aplicativo. 5 O VMware Identity Manager envia um token de ID para o provedor de serviços. VMware, Inc. 22

23 Adicionar um aplicativo OpenID Connect Você pode adicionar aplicativos OpenID Connect ao catálogo do VMware Identity Manager na guia Catálogo > Aplicativos Web. Pré-requisitos Obtenha a URL de destino, a URL de redirecionamento, a ID de cliente e o segredo do cliente para o aplicativo. Crie uma política de acesso se não quiser usar a política de acesso padrão. Você pode criar políticas de acesso na página Gerenciamento de Identidade e Acesso > Gerenciar > Políticas. Crie categorias, se necessário. Você pode criar categorias na página Catálogo > Aplicativos Web clicando em Categorias e digitando o nome da categoria na caixa de texto. Crie grupos de usuários, se necessário. Você pode criar grupos na guia Usuários e Grupos > Grupos. Procedimentos 1 No console do VMware Identity Manager, selecione a guia Catálogo > Aplicativos Web. 2 Clique em Novo. 3 Na página Definição do assistente de Novo Aplicativo SaaS, insira as informações necessárias. Opção Nome Descrição Ícone Categoria Descrição Insira um nome exclusivo para o aplicativo. (Opcional) Insira uma descrição do aplicativo. (Opcional) Carregue um ícone para o aplicativo. Os ícones nos formatos de arquivo PNG, JPG e ICON, com até 4MB, são suportados. O ícone deve ter no mínimo 180 x 180 pixels. Se o ícone for muito pequeno, ele não será exibido. Nesse caso, o ícone do Workspace ONE aparece. (Opcional) Para adicionar o aplicativo a uma categoria, selecione-a no menu suspenso. As categorias já devem estar criadas. Uma categoria Recomendado predefinida também está disponível. Selecione-a se desejar que o aplicativo apareça na página Recomendado do Workspace ONE. Se você deseja que o aplicativo seja exibido na página Indicadores dos usuários, selecione a categoria Recomendado e, na página Catálogo > Configurações > Configuração do Portal do Usuário, selecione Mostrar aplicativos recomendados na guia Indicadores. 4 Clique em Avançar. 5 Na página Configuração, insira as informações de configuração necessárias. Opção Tipo de Autenticação URL de Destino Descrição Selecione OpenID Connect. A URL do aplicativo para a qual os usuários serão enviados ao clicarem no aplicativo no Workspace ONE. VMware, Inc. 23

24 Opção Redirecione a URL ID do Cliente Segredo do Cliente Abrir no VMware Browser Descrição A URL para a qual o VMware Identity Manager enviará o código de autorização. O Identificador do Cliente que o aplicativo incluirá nas solicitações de autenticação feitas para o VMware Identity Manager. A ID do Cliente deve ser exclusiva por tenant. O segredo que o aplicativo usará para se identificar nas solicitações de autenticação feitas ao VMware Identity Manager. Selecione essa opção se você deseja que o aplicativo Workspace ONE abra o aplicativo no VMware Browser, que fornece uma alternativa segura ao navegador da Web nativo. 6 Clique em Avançar. 7 Na página Políticas de Acesso, selecione a política de acesso para gerenciar o acesso do usuário ao aplicativo A default_access_policy_set está selecionada por padrão. Para obter informações sobre como criar e gerenciar políticas de acesso, consulte Administração do VMware Identity Manager. 8 Na página Resumo, reveja suas seleções e clique em Salvar ou clique em Salvar e Atribuir para atribuir o aplicativo a usuários e grupos. Se você não atribuir o aplicativo a quaisquer usuários e grupos neste momento, poderá fazer isso mais tarde selecionando o aplicativo na página Catálogo > Aplicativos Web e clicando em Atribuir. 9 Se você tiver clicado em Salvar e Atribuir, atribua o aplicativo a usuários e grupos. a b Adicione usuários e grupos digitando o nome na caixa de pesquisa e selecionando os resultados Selecione o tipo de implantação para cada usuário e grupo. Não importa se você seleciona Ativado pelo Usuário ou Automático, o aplicativo é exibido na página Catálogo do Workspace ONE. Os usuários podem executar o aplicativo na página Catálogo ou marcá-lo e executá-lo da página Indicadores. Se você planejar configurar um fluxo de aprovação para o aplicativo, selecione Ativado pelo Usuário. 10 Clique em Salvar. O aplicativo é adicionado ao catálogo. Para editar a configuração do aplicativo a qualquer momento, selecione o aplicativo na página Catálogo > Aplicativos Web e clique em Editar. Usando adaptadores de provisionamento O provisionamento fornece gerenciamento automático de usuário de aplicativo a partir de um único local. Os adaptadores de provisionamento permitem que os aplicativos Web recuperem informações específicas do serviço do VMware Identity Manager conforme necessário. Por exemplo, quando o provisionamento automático de usuários para o Google Apps está ativado, as informações necessárias sobre a conta do usuário, como o nome de usuário, o nome e o sobrenome, podem ser obtidas do serviço do VMware Identity Manager. VMware, Inc. 24

25 Se o provisionamento estiver habilitado para um aplicativo Web, quando você autorizar um usuário ao aplicativo no serviço do VMware Identity Manager, o usuário é provisionado no aplicativo Web. Configure o adaptador de provisionamento para um aplicativo ao adicionar o aplicativo ao catálogo na guia Catálogo > Aplicativos Web. O serviço do VMware Identity Manager inclui atualmente o adaptadores de provisionamento para os seguintes aplicativos: Google Apps Consulte Exemplo: usando o adaptador de provisionamento do Google Apps. Office 365 Socialcast Gerenciando configurações de aplicativos Web As configurações para aplicativos Web estão disponíveis no botão Configurações da página Catálogo > Aplicativos Web no console do VMware Identity Manager. Na página Configurações, você pode ativar um fluxo de aprovação para aplicativos, configurar provedores de identidade de terceiros como origens do aplicativo e gerenciar os metadados SAML. Configuração Aprovações Metadados SAML Origens do Aplicativo Descrição Quando as aprovações estão ativadas, os usuários precisam solicitar acesso aos aplicativos antes de poderem usar os aplicativos do catálogo do Workspace ONE. Para obter informações sobre como configurar as aprovações, consulte Administração do VMware Identity Manager. Você pode baixar o certificado de assinatura SAML autoassinado e os e metadados SAML do VMware Identity Manager da guia Baixar Metadados SAML. Se você quiser obter um certificado de uma autoridade de certificação de terceiros, poderá gerar uma Solicitação de Assinatura de Certificado (CSR) na guia Gerar CSR, obter o certificado e carregá-lo para a mesma guia. Para obter mais informações sobre como gerenciar os metadados SAML, consulte "Gerenciando o catálogo" na Administração do VMware Identity Manager Você pode configurar certos provedores de identidade de terceiros, como OKTA ou ADFS, como origens do aplicativo e adicionar os aplicativos associados ao catálogo. Para obter informações sobre como configurar origens do aplicativo, consulte Capítulo 9Fornecendo acesso a aplicativos de terceiros no Workspace ONE. VMware, Inc. 25

26 Informações adicionais Há disponíveis informações adicionais na configuração de Single Sign-On baseado em SAML para aplicativos Web específicos, como o Office 365 e o Google Apps. Se aplicável, são incluídas informações sobre adaptadores de provisionamento. Consulte o site da Documentação de Integrações do VMware Identity Manager. VMware, Inc. 26

27 Usando coleções de aplicativos virtuais para integrações da área de trabalho 3 Além de aplicativos da Web, você pode integrar os desktops e os aplicativos do Horizon, os desktops e os aplicativos do Horizon Cloud, os aplicativos e desktops publicados Citrix e os aplicativos empacotados do ThinApp com o VMware Identity Manager. Esses recursos são chamados de Aplicativos Virtuais na interface do VMware Identity Manager e são gerenciados por meio do recurso Coleções de Aplicativos Virtuais. Este capítulo inclui os seguintes tópicos: Sobre as coleções de aplicativos virtuais Migrando as configurações existentes para as coleções de aplicativos virtuais Criando coleções de aplicativos virtuais Editando coleções de aplicativos virtuais Sincronizando coleções de aplicativos virtuais Monitorando coleções de aplicativos virtuais Excluindo coleções de aplicativos virtuais Sobre as coleções de aplicativos virtuais Você pode integrar os desktops e os aplicativos do Horizon, os desktops e os aplicativos do Horizon Cloud, os recursos publicados Citrix e os aplicativos empacotados do ThinApp com o serviço do VMware Identity Manager. Esses recursos são gerenciados por meio de coleções de aplicativos virtuais. Uma coleção de aplicativos virtuais contém as informações de configuração para uma integração, incluindo o tipo de recurso, os servidores dos quais os recursos são sincronizados, o conector a ser usado para sincronização e a agenda de sincronização. Você pode criar uma única coleção de aplicativos virtuais ou várias coleções para qualquer tipo de recurso, exceto os pacotes do ThinApp para os quais você só pode criar uma única coleção. Por exemplo, para integrar uma implantação de 50 farms do Citrix XenApp, você pode configurar 10 coleções de aplicativos virtuais no VMware Identity Manager, com cinco farms em cada coleção. Isso permite o gerenciamento mais fácil da configuração, bem como a sincronização mais rápida, já que cada coleção é sincronizada separadamente. Você também pode usar conectores diferentes para cada coleção para distribuir a carga da sincronização. VMware, Inc. 27

28 A página Coleções de Aplicativos Virtuais, que pode ser acessada navegando até Catálogo > Coleções de Aplicativos Virtuais no console do VMware Identity Manager, fornece um local central para gerenciar todas as suas integrações de recursos. Você pode criar e editar coleções, monitorar o status de sincronização de todas as coleções, exibir alertas e sincronizar manualmente a partir desta página. Observação A integração com aplicativos empacotados do ThinApp só é compatível com o VMware Identity Manager Connector do Linux. Ela não é compatível com o conector do Windows. Benefícios do uso de coleções de aplicativos virtuais O recurso coleções de aplicativos virtuais fornece os seguintes benefícios: Uma localização central da qual podem ser gerenciadas todas as integrações de recursos Gerenciar todos os tipos de recursos Gerenciar a configuração e as definições de sincronização para cada coleção Monitorar o status de sincronização de todas as coleções Capacidade de sincronizar conjuntos de dados menores configurando várias coleções para integração grande de recursos. Por exemplo, você pode criar coleções separadas para cada pod do Horizon ou cada farm do XenApp. Capacidade de configurar coleções separadas para domínios diferentes. Vários domínios não precisarão de uma relação de confiança se você usar coleções separadas para cada domínio. Requisitos para coleções de aplicativos virtuais O recurso coleção de aplicativos virtuais tem os seguintes requisitos: Todas as instâncias do serviço do VMware Identity Manager devem ter a versão 3.1 ou posterior. Todos os conectores usados para sincronizar os recursos devem ter a versão ou posterior. VMware, Inc. 28

29 Requisitos de função A função de Superadministrador é necessária para acessar a página Coleções de Aplicativos Virtuais inicialmente. Em uma nova instalação, quando você seleciona a guia Catálogo > Coleções de Aplicativos Virtuais pela primeira vez, é exibida uma página de informações e você clica em Iniciar para exibir a página Coleções de Aplicativos Virtuais. Esse fluxo de introdução inicial requer uma função de superadministrador. Para instalações que são atualizadas de uma versão anterior, a função de Superadministrador é necessária para migrar as configurações de recursos existentes para as coleções de aplicativos virtuais. Para instalações que são atualizadas de uma versão anterior, mas não têm recursos configurados, a função de Superadministrador é necessária para acessar inicialmente a página de coleções de aplicativos virtuais. Esse cenário é semelhante ao novo cenário de instalação. Posteriormente, você pode gerenciar coleções de aplicativos virtuais com qualquer função que possa executar as seguintes ações no serviço de Catálogo: Gerenciar Aplicativos de Desktop (para criar, editar ou excluir o Horizon, o Horizon Cloud e as coleções de aplicativos virtuais publicados Citrix) Gerenciar ThinApps (para criar, editar ou excluir as coleções de ThinApps) A função de Superadministrador é necessária para salvar a página Intervalos de Rede para as coleções do Horizon e do Citrix. A página Intervalos de Rede é usada para especificar FQDNs do Acesso para Cliente para direcionar as solicitações do usuário para os servidores apropriados. Migrando de versões anteriores O recurso Coleção de Aplicativos Virtuais foi introduzido no VMware Identity Manager 3.1. Com as coleções de aplicativos virtuais, as configurações de recursos são armazenadas no serviço do VMware Identity Manager e não no conector. Elas são gerenciadas na página Catálogo > Coleções de Aplicativos Virtuais em vez das páginas Catálogo > Catálogo de Aplicativos > Gerenciar Aplicativos de Desktop > ResourceType. Em novas instalações, a página Coleções de Aplicativos Virtuais é ativada automaticamente. Para integrar os recursos do Horizon, Horizon Cloud, Citrix ou ThinApp, crie novas coleções. Para atualizar de versões anteriores, um caminho de migração está disponível para manter suas integrações de recurso existentes. Consulte Migrando as configurações existentes para as coleções de aplicativos virtuais para obter informações. VMware, Inc. 29

30 Migrando as configurações existentes para as coleções de aplicativos virtuais O recurso Coleções de Aplicativos Virtuais foi introduzido no VMware Identity Manager 3.1. Com as coleções de aplicativos virtuais, as configurações de recursos são armazenadas no serviço do VMware Identity Manager em vez do conector. Elas são gerenciadas na página Catálogo > Coleções de Aplicativos Virtuais em vez das páginas Catálogo > Aplicativos de Catálogo > Gerenciar Aplicativos de Desktop > ResourceType. Não há mais suporte para a interface de usuário antiga da opção Gerenciar Aplicativos de Desktop. Você deve migrar as integrações de recurso existentes para coleções de aplicativos virtuais, se ainda não o tiver feito. No VMware Identity Manager 19.03, você pode começar com coleções de aplicativos virtuais diretamente ou seguir um caminho de migração, dependendo do seu cenário de instalação. Em novas instalações, você pode criar novas coleções de aplicativos virtuais para recursos do Horizon, Horizon Cloud, Citrix ou ThinApp diretamente. Selecione a guia Catálogo > Coleções de Aplicativos Virtuais. Revise as informações na página e clique em Iniciar. Selecione o tipo de recurso que deseja integrar e siga o assistente para criar uma nova coleção de aplicativos virtuais. Se você atualizar para o VMware Identity Manager e todos os seus conectores forem da versão ou posterior, deverá migrar quaisquer configurações existentes que ainda estão sendo gerenciadas por meio da interface do usuário de Gerenciar Aplicativos de Desktop para coleções de aplicativos virtuais. Selecione a guia Catálogo > Coleções de Aplicativos Virtuais. Revise as informações na página e clique em Iniciar para usar o Assistente de migração. Consulte Usando o Assistente de Migração para migrar para coleções de aplicativos virtuais. Depois de migrar as configurações existentes, a nova página de Coleções de Aplicativos Virtuais é ativada, o que lhe permite visualizar e editar as configurações migradas e criar novas. Para acessar a página a qualquer momento, selecione a guia Catálogo > Coleções de Aplicativos Virtuais. Se você estiver atualizando de uma versão anterior e tiver pelo menos um conector com versão anterior à , não poderá criar novas coleções de aplicativos virtuais. Atualize todos os conectores para ou posterior e, em seguida, use o assistente de Migração para migrar as configurações existentes para as coleções de aplicativos virtuais. Importante Para criar novas coleções de aplicativos virtuais ou para migrar configurações existentes para coleções de aplicativos virtuais, todas as instâncias do serviço do VMware Identity Manager devem ser da versão 3.1 ou posterior e todos os conectores deve ser da versão ou posterior. A função de Superadministrador é necessária para acessar a página Coleções de Aplicativos Virtuais inicialmente e para migrar os recursos existentes. Consulte Sobre as coleções de aplicativos virtuais para obter mais informações. VMware, Inc. 30

31 Usando o Assistente de Migração para migrar para coleções de aplicativos virtuais Use o Assistente de migração para migrar as configurações existentes do recurso da interface do usuário Gerenciar Aplicativos de Desktop disponível nas versões anteriores para coleções de aplicativos virtuais. Importante Você deve migrar todas as configurações existentes do recurso ao mesmo tempo. Por exemplo, se você tiver recursos do Horizon Cloud e do Citrix configurados, selecione os dois no assistente de Migração. O assistente de Migração é destinado a ser usado somente uma vez para migrar todos os recursos ao mesmo tempo. Quando ele é executado uma vez, não estará mais disponível. Observação Em um ambiente hospedado, o processo de migração pode levar algum tempo. Pré-requisitos Atualize todas as instâncias de serviço do VMware Identity Manager para a versão 3.1 ou posterior e todas as instâncias de conector para a versão ou posterior. A função de Superadministrador é necessária para acesso inicial à página de Coleção de Aplicativos Virtuais e para executar a migração. Consulte Sobre as coleções de aplicativos virtuais para obter mais informações. Procedimentos 1 No console do VMware Identity Manager, selecione a guia Catálogo > Coleções de Aplicativos Virtuais. 2 Revise as informações e clique em Iniciar. O assistente de Migração aparece e exibe todas as configurações de recursos existentes. Observe que o assistente de Migração aparecerá somente se a sua instalação antiga tiver recursos configurados. 3 No Assistente de Migração, para cada tipo de recurso, selecione o trabalhador do conector que foi usado para a configuração na instalação antiga. VMware, Inc. 31

32 O menu suspenso de cada tipo de recurso lista somente os conectores que tinham esse recurso configurado. Se o recurso tiver sido configurado em vários conectores para alta disponibilidade, todos os conectores aparecerão na lista. O rótulo Sincronizando Automaticamente ou Sincronizando Manualmente indica se um cronograma de sincronização foi definido para o recurso nesse conector ou se ele foi definido para a sincronização manual. Selecione o conector que possui o rótulo Sincronizando Automaticamente. Isso também é a seleção padrão em cada lista. Cuidado Verifique se você faz uma seleção para todas as configurações existentes. O assistente de Migração pode ser usado somente uma vez para migrar todos os recursos ao mesmo tempo. Quando ele é executado uma vez, não estará mais disponível. 4 Clique em Migrar. Em um ambiente hospedado, o processo de migração pode levar algum tempo. As configurações existentes de recurso são migradas. Uma coleção de aplicativos virtuais é criada para cada tipo de configuração. Essas coleções são exibidas na página Coleções de Aplicativos Virtuais que aparece após a conclusão da migração. Para visualizar ou editar uma coleção, clique em seu nome. Para acessar a página Coleções de Aplicativos Virtuais a qualquer momento, selecione a guia Catálogo > Coleções de Aplicativos Virtuais. Para obter informações de solução de problemas sobre coleções de aplicativos virtuais, exiba o arquivo de log do conector, connector.log e o arquivo de log dp serviço, o horizon.log. Em appliances virtuais do Linux, os arquivos de log estão no diretório /opt/vmware/horizon/workspace/logs. Nos servidores do Windows, os arquivos de log estão no diretório install_dir\idmconnector_or_vmwareidentitymanager\opt\vmware\horizon\workspace\logs. Próximo passo Apenas um conector, o selecionado no Assistente de Migração, é adicionado a cada nova coleção de aplicativos virtuais. Se você tiver configurado um cluster do conector para alta disponibilidade, edite as coleções e adicione os outros conectores. Uma única coleção de aplicativos virtuais é criada para cada configuração migrada. Para integrações grandes, com muitos servidores e aplicativos, considere dividir a coleção em várias coleções para que o gerenciamento seja mais fácil e a sincronização mais rápida. O recurso de coleção de aplicativos virtuais permite que você crie várias coleções de cada tipo de integração, exceto as integrações do ThinApp. Criando coleções de aplicativos virtuais Você pode criar uma ou mais coleções de aplicativos virtuais para cada tipo de integração, como o Horizon Cloud ou os recursos publicados Citrix. VMware, Inc. 32

33 Pré-requisitos Todas as instâncias do serviço do VMware Identity Manager devem ter a versão 3.1 ou posterior. Todos os conectores usados para sincronizar os recursos devem ter a versão ou posterior. As seguintes funções de administrador são necessárias: Para começar a usar as coleções de aplicativos virtuais, use a função de superadministrador. Consulte Sobre as coleções de aplicativos virtuais para obter mais informações. Para criar, editar ou excluir o Horizon, o Horizon Cloud e as coleções de aplicativos virtuais publicados do Citrix, use qualquer função que possa executar a ação de Gerenciar Aplicativos de Desktop no serviço de Catálogo. Para criar, editar ou excluir coleções de ThinApps, use qualquer função que possa executar a ação de Gerenciar ThinApps no serviço de Catálogo. Para editar e salvar a página Intervalos de Rede para as coleções de aplicativos virtuais publicados Citrix e Horizon, use a função de Superadministrador. A integração com aplicativos empacotados do ThinApp só é compatível com o VMware Identity Manager Connector do Linux. Ela não é compatível com o conector do Windows. Procedimentos 1 No console do VMware Identity Manager, selecione a guia Catálogo > Coleções de Aplicativos Virtuais. Se esta for a primeira vez que você estiver acessando a página, uma página de informações será exibida. Clique em Iniciar para continuar. A página Selecionar o Tipo de Origem é exibida. Observação Se uma página de Migração aparecer em vez disso, você terá as configurações existentes que devem ser migradas para as coleções de aplicativos virtuais. Consulte Migrando as configurações existentes para as coleções de aplicativos virtuais. Se você tiver acessado a página anteriormente, a página Coleções de Aplicativos Virtuais será exibida. Clique em Novo na página para prosseguir. VMware, Inc. 33

34 2 Selecione o tipo de recurso a ser integrado. Você pode selecionar Horizon, Horizon Cloud, aplicativos publicados Citrix ou pacotes ThinApp como tipos de origem. Observação A integração com aplicativos empacotados do ThinApp só é compatível com o VMware Identity Manager Connector do Linux. Ela não é compatível com o conector do Windows. 3 Siga o assistente de Nova Coleção para criar a coleção. As informações de configuração para cada tipo de integração são diferentes. Para uma integração do Horizon no local, consulte Configurar pods do Horizon e federações de pod no VMware Identity Manager para obter mais informações. Para uma integração do Horizon Cloud Service, consulte Configurar tenant do Horizon Cloud no VMware Identity Manager para obter mais informações. Para uma integração de aplicativos publicados Citrix, consulte Configurando farms de servidores Citrix no VMware Identity Manager para obter mais informações. Para uma integração do ThinApp, consulte Configurando o acesso do VMware Identity Manager a pacotes ThinApp para obter mais informações. Alguns campos, como os seguintes, aparecem para todos os tipos de origem. Opção Conector Descrição Selecione o conector que você deseja usar para sincronizar nesta coleção. Para selecionar o conector, selecione o diretório que está associado a ele. Se você tiver configurado um cluster de conectores, todas as instâncias do conector aparecerão na lista Host e você poderá organizá-las na ordem de failover dessa coleção. Para reorganizar a lista, clique e arraste as linhas para a posição desejada. Importante Depois de criar a coleção, não é possível selecionar um diretório diferente. Frequência de sincronização Política de Ativação Selecione quando e a frequência com que deseja sincronizar os recursos na coleção. A frequência de sincronização pode variar de hora para semana. Se você não quiser configurar uma agenda de sincronização automática, selecione Manual. Selecione como deseja disponibilizar os recursos nesta coleção para os usuários no aplicativo e no portal do Workspace ONE. Se você pretende configurar um fluxo de aprovação, selecione Ativado pelo Usuário; caso contrário, selecione Automático. Com as opções Ativado pelo Usuário e Automático, os recursos são adicionados à página Catálogo. Os usuários podem usar os recursos da página Catálogo ou movê-los para a página Favoritos. No entanto, para configurar um fluxo de aprovação para qualquer um dos aplicativos, você deve selecionar Ativado pelo Usuário para esse aplicativo. A política de ativação se aplica a todos os direitos de usuário para todos os recursos na coleção. Você pode modificar a política de ativação para usuários individuais ou grupos por recurso, na página do usuário ou grupo na guia Usuários e Grupos. VMware, Inc. 34

35 Próximo passo Depois de criar a coleção, você pode exibir e editar a coleção na página Coleções de Aplicativos Virtuais. Os recursos na nova coleção ainda não estão sincronizados. Se você definir uma agenda de sincronização para a coleção, os recursos serão sincronizados no próximo horário agendado. Para sincronizar os recursos manualmente, selecione a coleção na página Coleções de Aplicativos Virtuais e clique em Sincronização. Editando coleções de aplicativos virtuais Você pode editar todas as coleções de aplicativos virtuais, para todos os tipos de integrações, na página Coleções de Aplicativos Virtuais do console do VMware Identity Manager. Pré-requisitos As seguintes funções de administrador são necessárias: Para criar, editar ou excluir o Horizon, o Horizon Cloud e as coleções de aplicativos virtuais publicados do Citrix, use qualquer função que possa executar a ação de Gerenciar Aplicativos de Desktop no serviço de Catálogo. Para criar, editar ou excluir coleções de ThinApps, use qualquer função que possa executar a ação de Gerenciar ThinApps no serviço de Catálogo. Procedimentos 1 No console do VMware Identity Manager, selecione a guia Catálogo > Coleções de Aplicativos Virtuais. 2 Selecione a coleção a ser editada e clique em Editar. 3 No assistente para Editar Coleção de Aplicativos Virtuais, edite a coleção e salve as alterações. Você pode alterar as seguintes configurações: O nome da coleção O servidor ou caminho de origem e as configurações relacionadas Configurações de sincronização, como a frequência de sincronização ou a hora da sincronização agendada Outras configurações, conforme aplicável ao tipo de integração Não é possível alterar o diretório após a criação de uma coleção. Observação Em uma coleção de aplicativos virtuais do Horizon, não é possível modificar o FQDN de um pod do Horizon que foi adicionado anteriormente. Remova o pod da coleção e adicione-o novamente. Próximo passo Como prática recomendada, sincronize a coleção após editá-la. Acesse a página Catálogo > Coleções de Aplicativos Virtuais, selecione a coleção e clique em Sincronização. VMware, Inc. 35

36 Sincronizando coleções de aplicativos virtuais Você pode sincronizar uma coleção de aplicativos virtuais a qualquer momento na página Coleções de Aplicativos Virtuais, independentemente se você selecionou uma agenda de sincronização automática ou manual para a coleção. A sincronização de uma coleção propaga recursos e direitos do servidor de origem para o VMware Identity Manager. Procedimentos 1 No console do VMware Identity Manager, selecione a guia Catálogo > Coleções de Aplicativos Virtuais. 2 Selecione a coleção de aplicativos virtuais a ser sincronizada e clique em Sincronização. O VMware Identity Manager compara os recursos e as atribuições entre a origem e o catálogo do VMware Identity Manager e exibe a caixa de diálogo Calculando Ações de Sincronização. Se os recursos e atribuições corresponderem, a seguinte mensagem será exibida: Se houver alterações na origem que precisam ser propagadas para o VMware Identity Manager, a caixa de diálogo Calculando Ações de Sincronização exibirá o número de aplicativos, desktops e atribuições de usuário que exigem a sincronização. Você pode clicar nos links para ver os nomes de aplicativos, desktops e atribuições. Por exemplo: VMware, Inc. 36

37 3 Clique em Salvar na caixa de diálogo Calculando Ações de Sincronização. O processo de sincronização é iniciado e pode levar algum tempo para ser concluído, dependendo do número de recursos e atribuições que exigem sincronização. Quando a sincronização for concluída, o Status de Sincronização na página Coleções de Aplicativos Virtuais será alterado de Iniciado para Sincronização Concluída. Monitorando coleções de aplicativos virtuais Você pode monitorar o status de sincronização de todas as suas integrações de recursos na página Coleções de Aplicativos Virtuais. Para cada coleção de aplicativos virtuais, você pode ver a hora na qual os recursos foram sincronizados pela última vez, se a sincronização foi bem-sucedida, quais recursos e atribuições foram sincronizados e se quaisquer alertas ocorreram durante a sincronização. Procedimentos 1 No console do VMware Identity Manager, selecione a guia Catálogo > Coleções de Aplicativos Virtuais. Todas as coleções aparecem na página, para todos os tipos de integrações de recursos. VMware, Inc. 37

38 2 Visualize as informações para cada coleção. Para visualizar A agenda de sincronização definida para a coleção A hora da última tentativa de sincronização O status da última sincronização Consulte A coluna Frequência de Sincronização. Se você não tiver definido uma agenda de sincronização automática, a coluna exibirá Manual. Com uma configuração Manual, você deve sincronizar a coleção de aplicativos virtuais manualmente toda vez que quiser propagar quaisquer alterações nos recursos ou nos direitos dos servidores de origem para o VMware Identity Manager. A coluna Última Tentativa de Sincronização. A coluna Status da Sincronização exibe um dos seguintes estados: Ainda não sincronizado A coleção de aplicativos virtuais nunca foi sincronizada. Exercício de Simulação Concluído Quando você clica em Sincronização para sincronizar uma coleção de aplicativos virtuais manualmente, antes uma sincronização seja realizada, o VMware Identity Manager calcula o número de aplicativos, desktops e atribuições que exigem a sincronização e exibe os resultados na caixa de diálogo Calculando Ações de Sincronização. Nesse momento, o status é Exercício de Simulação Concluído. A tarefa de sincronização é iniciada depois que você clica em Salvar. Iniciado O processo de sincronização foi iniciado. Falha ao iniciar a sincronização O processo de sincronização não pode ser iniciado porque uma sincronização anterior está em andamento. Sincronização Concluída O processo de sincronização está concluído. Falha ao concluir a sincronização O processo de sincronização não foi concluído. Por exemplo, se um problema de rede impediu o conector de acessar o servidor do qual os recursos são sincronizados, a sincronização não foi concluída. Nem todos os recursos e direitos foram sincronizados Alguns recursos e direitos não foram sincronizados porque o processo de sincronização não foi concluído. VMware, Inc. 38

39 Para visualizar Desktops, aplicativos e direitos que foram adicionados ou excluídos na última sincronização Consulte 1 Clique em Mais na coluna Status de Sincronização. Observação O link Mais só aparecerá se todos os conectores forem da versão Clique no ícone de informações. A caixa de diálogo Resumo da Ação de Sincronização lista o número de aplicativos, desktops e atribuições que foram adicionados, excluídos ou atualizados na última sincronização. Por exemplo: 3 Para visualizar os nomes dos aplicativos, desktops ou atribuições, clique nos links. Alertas 1 Clique em Mais na coluna Status de Sincronização. 2 Clique no ícone de alerta. A caixa de diálogo Alertas de Sincronização exibe alertas ocorridos durante a sincronização. Por exemplo, se houver atribuições para um usuário que não existe no VMware Identity Manager, um alerta será exibido. Observação Os alertas não são separados pela coleção ou pela execução da sincronização. Todos os alertas são exibidos na lista, incluindo alertas de sincronização de diretório. Excluindo coleções de aplicativos virtuais Você pode excluir as coleções de aplicativos virtuais da página Coleção de Aplicativos Virtuais no console do VMware Identity Manager. VMware, Inc. 39

40 Quando você exclui uma coleção, todos os aplicativos e áreas de trabalho sincronizados pela coleção serão excluídos. Quando você exclui uma coleção do Horizon ou do Citrix, as políticas correspondentes configuradas em intervalos de rede também serão excluídas. Quando você exclui uma coleção do Horizon ou do Horizon Cloud, o artefato de federação também será excluído. Pré-requisitos Para excluir o Horizon, o Horizon Cloud e as coleções de aplicativos virtuais publicados do Citrix, use uma função de administrador que possa executar a ação de Gerenciar Aplicativos de Desktop no serviço de Catálogo. Para excluir coleções de ThinApps, use uma função de administrador que possa executar a ação de Gerenciar ThinApps no serviço de Catálogo. Procedimentos 1 No console do VMware Identity Manager, selecione a guia Catálogo > Coleções de Aplicativos Virtuais. 2 Selecione a coleção que deseja excluir e clique em Excluir. VMware, Inc. 40

41 Fornecendo acesso aos pools de desktops e de aplicativos do Horizon 7 ou do Horizon 6 4 A integração do Horizon 7 ou do Horizon 6 com o serviço VMware Identity Manager oferece aos usuários a capacidade de acessar seus aplicativos e desktops do Horizon autorizados no aplicativo ou portal do Workspace ONE. Você pode integrar pods do Horizon independentes, que consistem em instâncias do Servidor de Conexão do Horizon, e federações de pod, que contêm vários pods e podem abranger vários sites e centros de dados. Implante e gerencie pools de áreas de trabalho e aplicativos na interface do Horizon Administrator. Também é possível criar direitos para usuários e grupos do Active Directory no Horizon, e não no VMware Identity Manager. Você deve sincronizar esses usuários e grupos com o serviço do VMware Identity Manager a partir do Active Directory antes da integração ao Horizon. Para integrar pods do Horizon e federações de pod ao VMware Identity Manager, você pode criar uma ou mais coleções de aplicativos virtuais no console do VMware Identity Manager. As coleções contêm informações de configuração para os pods e as federações de pod, bem como as configurações de sincronização. Você sincroniza os recursos e os direitos do Horizon com o VMware Identity Manager. No console do VMware Identity Manager, você pode visualizar os aplicativos e desktops do Horizon. Você também pode visualizar os direitos de usuário e de grupo. Os usuários finais podem executar suas áreas de trabalho e aplicativos autorizados no portal ou aplicativo do Workspace ONE. Esses aplicativos e áreas de trabalho podem ser acessados via HTML em um navegador ou via protocolo de exibição com suporte no Horizon Client. Versões com suporte O VMware Identity Manager oferece suporte às versões e aos recursos a seguir. A integração de pods do Horizon independentes tem suporte no Horizon 6 e versões posteriores. A integração de federações de pod, criadas usando-se o recurso Arquitetura do Cloud Pod, é suportada no Horizon 6.2 e versões posteriores. O HTML Access é suportado no Horizon e versões posteriores. O certificado de SSO é suportado no Horizon 7.x. Veja as últimas informações de suporte na Matriz de interoperabilidade entre produtos VMware. VMware, Inc. 41

42 Este capítulo inclui os seguintes tópicos: Sobre como integrar pods do Horizon independentes Sobre a integração de implantações da Arquitetura do Horizon Cloud Pod (CPA) Configurando pods e federações de pod do Horizon no VMware Identity Manager Definindo FQDNs da Acesso para Cliente para intervalos de rede Inicializando os recursos do Horizon por meio de gateways de validação Exibindo as informações do pool de aplicativos e desktops do Horizon no VMware Identity Manager Exibindo atribuições de grupo e de usuário para pools de desktops e aplicativos do Horizon Especificando políticas de acesso para desktops e aplicativos específicos Permitindo que os usuários redefinam seus desktops do Horizon a partir do Catálogo do Workspace ONE Exibindo as opções de inicialização para áreas de trabalho e aplicativos do Horizon Inicializando um aplicativo ou área de trabalho do Horizon Sobre como integrar pods do Horizon independentes Para integrar pods do Horizon ao VMware Identity Manager, você pode criar uma ou mais coleções de aplicativos virtuais no console do VMware Identity Manager. As coleções contêm informações de configuração para os Servidores de Conexão do Horizon, bem como as configurações de sincronização. Antes de executar quaisquer tarefas de integração no console do VMware Identity Manager, configure o Horizon. Crie e configure pools de áreas de trabalho e aplicativos no Horizon Administrator, e não no VMware Identity Manager. Defina também os direitos para usuários e grupos do Active Directory no Horizon Administrator. Integrar os pods do Horizon ao VMware Identity Manager envolve as seguintes tarefas de alto nível. Implante e configure os servidores Horizon. Implante pools de áreas de trabalho e de aplicativos do Horizon, com direitos definidos para usuários e grupos do Active Directory. Sincronize usuários e grupos do Active Directory que têm direito aos pools de aplicativos e de áreas de trabalho em instâncias do Servidor de Conexão do Horizon com o serviço VMware Identity Manager usando a sincronização de diretório. Crie uma ou mais coleções de aplicativos virtuais para os pods do Horizon em VMware Identity Manager. Configure a autenticação SAML no Servidor de Conexão do Horizon. Você deve sempre usar o FQDN do VMware Identity Manager na página de configuração do Authenticator. VMware, Inc. 42

43 Requisitos para a integração de pods do Horizon Ao configurar os pods do Horizon, certifique-se de que você atenda aos requisitos para a integração do VMware Identity Manager. Implante os Horizon Connection Servers na porta padrão 443 ou em uma porta personalizada. Verifique se você tem uma entrada DNS e um endereço IP que podem ser resolvidos durante a pesquisa inversa para cada Horizon Connection Server na sua configuração. O VMware Identity Manager requer a pesquisa inversa para os Horizon Connection Servers, o Servidor de Segurança do Horizon e o balanceador de carga. Se a pesquisa inversa não estiver devidamente configurada, a integração do VMware Identity Manager com o Horizon falhará. Implante e configure pools e áreas de trabalho do Horizon com direitos definidos para os usuários e os grupos do Active Directory. Certifique-se de que os usuários tenham os direitos corretos. Durante a configuração de pools de desktops, em Configurações Remotas, certifique-se de definir a opção Fazer logoff automaticamente após a desconexão como 1 ou 2 minutos em vez de imediatamente. Certifique-se de que você possa criar pools na pasta raiz do servidor do Horizon. Se você criar pools em uma pasta diferente da pasta raiz, o VMware Identity Manager não conseguirá consultar esses pools e direitos do Horizon. É recomendável estender o período de expiração dos metadados SAML para 90 dias nos Horizon Connection Servers. Consulte Alterar o período de expiração para os metadados do provedor de serviços no View Connection Server para obter mais informações. Sobre a integração de implantações da Arquitetura do Horizon Cloud Pod (CPA) Além de integrar pods independentes do Horizon com o VMware Identity Manager, você pode integrar as implantações da Arquitetura do Horizon Cloud Pod (CPA). VMware, Inc. 43

44 Figura 4 1. Integrando federações de pod do Horizon com o VMware Identity Manager Site A Site B Pod independente Federação CPA Pod 1 Pod 2 Pod 3 VCS 1 VCS 3 Replicação de LDAP global VCS 5 VCS 2 VCS 4 VCS 6 Replicação de LDAP Replicação de LDAP Replicação de LDAP VMware Identity Manager no local Conector Serviço O recurso Arquitetura do Horizon Cloud Pod une vários pods do Horizon para formar um único grande ambiente de gerenciamento e agenciamento de aplicativos e de áreas de trabalho chamado federação de pod. Uma federação de pod pode abranger vários sites e centros de dados. Você pode integrar uma ou mais federações de pod ao serviço do VMware Identity Manager. Observe que as federações de pod são criadas e gerenciadas no Horizon e que os direitos de usuários e grupos para os pools de aplicativos e áreas de trabalho da federação de pod são definidos no Horizon. Você sincroniza os recursos e os direitos com o VMware Identity Manager. As federações de pod têm direitos globais, que permitem que você autorize os usuários a desktops e a aplicativos que podem ser acessados de qualquer pod na federação de pod. Um direito global pode consistir em recursos de vários pods na federação. Por exemplo, um direito de desktop global pode conter pools de desktop a partir de três pods diferentes em três centros de dados diferentes. Pods individuais na federação de pod também podem ter direitos locais configurados. Você pode sincronizar ambos os direitos globais e locais com o VMware Identity Manager. A integração de uma federação de pod com o serviço VMware Identity Manager envolve as seguintes tarefas de alto nível no console do VMware Identity Manager: Adicione todos os pods que formam a federação de pod, especificando detalhes do Servidor de Conexão do View para cada um. Enquanto o VMware Identity Manager pode sincronizar direitos globais a partir de qualquer um dos pods na federação de pod, ele precisa conectar-se a cada pod para sincronizar os metadados exigidos para a autenticação SAML. Ele também precisa conectar-se aos pods para sincronizar direitos locais, se aplicável. VMware, Inc. 44

45 Adicione os detalhes da federação de pod e especifique a URL de inicialização global. Usa-se a URL de inicialização global, normalmente a URL global do balanceador de carga, para inicializar desktops e aplicativos autorizados globalmente. Você pode personalizar a URL de inicialização global para os intervalos de rede específicos, por exemplo, para acesso interno e externo. Sincronize os recursos e os direitos da federação de pod com o serviço do VMware Identity Manager. Observação Somente os direitos globais que têm a política de escopo Todos os Sites em uma federação de pod são sincronizados. A política de escopo Todos os Sites define o escopo da pesquisa de um aplicativo ou desktop para todos os pods na federação de pod. Personalize a URL de inicialização global definindo as URLs de acesso de cliente para os intervalos de rede específicos. Essas URLs são usadas para inicializar, a partir da federação pod, recursos globalmente autorizados. Por padrão, a URL de inicialização global que você especificou ao adicionar a federação é usada como a URL de inicialização global para todos os intervalos de rede. Especifique URLs de acesso de cliente para cada pod na federação de pod a qual tem direitos locais configurados. Essas URLs são usadas para inicializar, a partir do pod, desktops e aplicativos autorizados localmente. Uma URL de acesso do cliente pode ser uma URL do Servidor de Conexão do Horizon, uma URL do Servidor de Segurança ou uma URL do balanceador de carga. As URLs de acesso do cliente são definidas para intervalos de rede específicos. Por padrão, o Servidor de Conexão do Horizon que você especificou ao adicionar o pod é usado como a URL de acesso do cliente para todos os intervalos de rede. Quando você integra uma federação de pod com o serviço do VMware Identity Manager, o serviço faz o seguinte: Sincroniza todos os direitos globais, que têm a política de escopo Todos os Sites, a partir da federação de pod. Sincroniza direitos locais, se selecionados, a partir dos pods que fazem parte da federação de pod. Sincroniza metadados de todos os Servidores de Conexão do Horizon na federação de pod. Permite que os usuários finais acessem seus aplicativos e áreas de trabalho do Horizon no portal do Workspace ONE. Os usuários finais acessam seus aplicativos e desktops do Horizon no portal do Workspace ONE. Todos os recursos aos quais eles têm direito, por meio de direitos globais ou locais, são exibidos. Aplicativos e desktops são inicializados no Horizon Client. Quando um usuário inicializa um aplicativo ou área de trabalho autorizado localmente, ele é inicializado a partir do Servidor de Conexão do Horizon ao qual o usuário se conecta. Os recursos autorizados globalmente são inicializados a partir do Servidor de Conexão do Horizon em que o recurso está localizado. VMware, Inc. 45

46 Exemplo de implantação da Arquitetura do Cloud Pod O diagrama a seguir mostra um exemplo de implantação de arquitetura do Cloud Pod e como ele é integrado ao serviço do VMware Identity Manager. Figura 4 2. Exemplo de implantação da Arquitetura do Cloud Pod Internet Interno URL EG BC global Federação 1 (F1) Pod 1 (P1) URL E1 LB Servidor de segurança Servidor de segurança Pod 2 (P2) Servidor de conexão Servidor de conexão URL I1 LB Conector Sincronização 1 Local URL E2 LB Servidor de segurança Servidor de segurança Servidor de conexão Servidor de conexão URL I2 LB URL IG BC global Sincronização 2 Local Sincronização 3 Local API de sincronização Serviço Pod 3 (P3) Servidor de conexão Servidor de conexão URL I3 LB Sincronização 4 Local VMware Identity Manager No Local Este diagrama mostra um exemplo de implantação de federação de pod. Uma federação de pod, chamada Federação 1, criada no Horizon 6. Ela tem três pods, Pod 1, Pod 2 e Pod 3. O Pod 1 e o Pod 2 são configurados com instâncias do Servidor de Segurança para cada Servidor de Conexão do Horizon e um balanceador de carga externa para acesso externo e com um balanceador de carga interno para acesso interno. O Pod 3 é configurado apenas para acesso interno com um balanceador de carga interno. A federação de pod como um todo tem um balanceador de carga global externo e um balanceador de carga global interno. Os pools de aplicativos e desktops são implantados nos pods. Os direitos globais são configurados para a Federação 1, e os direitos locais também são configurados para os pods individuais. A Federação 1 é integrada ao serviço do VMware Identity Manager. O serviço do VMware Identity Manager sincroniza direitos globais bem como direitos locais a partir da Federação 1. Como os direitos globais são replicados em cada pod, ele sincroniza os direitos globais a partir do Pod 1. Ele também sincroniza os direitos locais do Pod 1, Pod 2 e Pod 3. VMware, Inc. 46

47 Os usuários finais podem visualizar todos os desktops e aplicativos aos quais eles têm direito, por meio de direitos globais ou de direitos locais, no portal do Workspace ONE no VMware Identity Manager. Quando um usuário inicializa um desktop ou aplicativo, se o desktop ou o aplicativo for parte de um direito global, a solicitação de inicialização vai para o balanceador de carga global externo ou interno, URL EG ou URL IG, com base no intervalo de rede do usuário. Se o recurso for de um direito local, a solicitação de inicialização vai para o balanceador de carga interno ou externo do pod no qual o recurso é implantado, com base no intervalo de rede do usuário. Por exemplo, para um recurso no Pod 2, a solicitação vai para a URL I2 ou a URL E2. Requisitos para a integração das federações de pod do Horizon A integração das federações de pod do Horizon com o VMware Identity Manager tem os seguintes requisitos. O VMware Identity Manager oferece suporte suporta ao recurso Arquitetura do Cloud Pod no Horizon 6.2 e versões posteriores, tanto para os aplicativos quanto para desktops. Você pode integrar um máximo de 10 federações de pod ao serviço do VMware Identity Manager. Cada federação pode conter até 7 pods. Implante instâncias do Servidor de Conexão do Horizon na porta padrão 443 ou em uma porta personalizada. Verifique se você tem uma entrada DNS e um endereço IP que podem ser resolvidos durante a pesquisa inversa para cada instância do Servidor de Conexão do Horizon no seu ambiente. O VMware Identity Manager requer a pesquisa inversa para as instâncias do Servidor de Conexão do Horizon, do Servidor de Segurança e do balanceador de carga. Se a pesquisa inversa não estiver devidamente configurada, a integração do VMware Identity Manager com o Horizon falhará. O VMware Identity Manager Connector deve ser capaz de acessar todas as instâncias do Servidor de Conexão do Horizon na federação de pod. A autenticação SAML deve ser configurada no Horizon, com o serviço do VMware Identity Manager especificado como o provedor de identidade. Você deve usar o nome de domínio totalmente qualificado do serviço como parte da URL. É recomendável configurar a autenticação SAML em todas as instâncias do Servidor de Conexão do Horizon na federação de pod. Consulte Configurar a autenticação SAML no Horizon para obter mais informações. É recomendável estender o período de expiração dos metadados SAML para 90 dias nas instâncias do Servidor de Conexão do Horizon. Consulte Alterar o período de expiração para os metadados do provedor de serviços no Servidor de Conexão do View para obter mais informações. Os certificados do Servidor de Conexão do Horizon serão sincronizados com o VMware Identity Manager. Implante pools de áreas de trabalho e de aplicativos nos pods do Horizon. Durante a configuração de pools de desktops, em Configurações Remotas, certifique-se de definir a opção Fazer logoff automaticamente após a desconexão como 1 ou 2 minutos em vez de imediatamente. VMware, Inc. 47

48 Certifique-se de que você possa criar pools do Horizon na pasta raiz. Se você criar pools em uma pasta diferente da pasta raiz, o VMware Identity Manager não conseguirá consultar esses pods e direitos do Horizon. Se você adicionar ou remover pools de aplicativos ou desktops após a integração com o VMware Identity Manager, para que as alterações apareçam no serviço do VMware Identity Manager, será necessário repetir a sincronização. Você deve criar a federação de pod inicializando o recurso Arquitetura do Cloud Pod a partir de um dos pods e ingressando todos os outros pods na federação, antes da integração com o serviço VMware Identity Manager. Os direitos globais são replicados para os pods quando estes ingressam na federação. Se você ingressar ou remover um pod da federação de pod após a integração ao serviço do VMware Identity Manager, deverá editar os detalhes da federação de pod no console do VMware Identity Manager para adicionar ou remover o pod, salvar as alterações e sincronizar novamente. Em seu ambiente do Horizon, crie direitos globais na federação de pod para autorizar usuários ou grupos do Active Directory a áreas de trabalho e aplicativos. Os direitos globais que você deseja sincronizar com o VMware Identity Manager devem definir a política de escopo como Todos os sites. Os direitos com qualquer outra política de escopo não são sincronizados. Para permitir que os usuários finais inicializem áreas de trabalho ou aplicativos em um navegador da Web, selecione a opção HTML Access para o direito global no Horizon. VMware, Inc. 48

49 (Opcional) Crie direitos locais nos pods, se necessário. Para obter mais informações sobre como configurar o Horizon, consulte a documentação do Horizon 6 ou do Horizon 7. Configurando pods e federações de pod do Horizon no VMware Identity Manager Para configurar os pods e as federações de pod do Horizon no VMware Identity Manager, configure seu ambiente do VMware Identity Manager, crie uma ou mais coleções de aplicativos virtuais para a integração, especifique os FQDNs do Acesso para Cliente para intervalos de rede específicos e defina a autenticação SAML no Horizon. Configurar seu ambiente do VMware Identity Manager Depois de configurar seu ambiente do Horizon, você deve configurar seu ambiente do VMware Identity Manager antes de integrar os pods e federações de pod do Horizon com o serviço VMware Identity Manager. Procedimentos 1 Certifique-se de que distinguishedname esteja definido como um atributo obrigatório para o diretório do VMware Identity Manager e que esteja mapeado para o atributo distinguishedname do Active Directory. Os atributos devem ser marcados como obrigatórios antes da criação do diretório. Após a criação do diretório, os atributos não poderão ser alterados de opcional para obrigatório. a b c d No console do VMware Identity Manager, navegue até a página Gerenciamento de Identidade e Acesso > Instalação > Atributos de Usuário. Em Atributos Padrão, marque a caixa de seleção Obrigatório para distinguishedname. Clique em Salvar. Ao criar o diretório, mapeie o atributo distinguishedname para o atributo distinguishedname do Active Directory. 2 Sincronize os usuários e os grupos que têm direitos globais ou locais no Horizon a partir do Active Directory com o serviço VMware Identity Manager por meio da sincronização de diretório. a b Para exibir usuários e grupos atuais, clique na guia Usuários e Grupos. Selecione a guia Gerenciamento de Identidade e Acesso > Diretórios. VMware, Inc. 49

50 c d Escolha o diretório apropriado. Modifique as configurações do diretório se necessário e clique em Sincronizar Agora. Observação Os usuários devem ter o atributo userprincipalname definido. Se o atributo userprincipalname não estiver definido para um usuário, o usuário poderá não conseguir executar aplicativos e desktops. 3 Se for o caso, estabeleça uma conexão com vários domínios ou domínios de várias florestas confiáveis no Active Directory. Consulte Instalando e Configurando o VMware Identity Manager para obter mais informações. Configurar pods do Horizon e federações de pod no VMware Identity Manager Configure os pods do Horizon e as federações de pod no console do VMware Identity Manager para sincronizar recursos e direitos para o serviço do VMware Identity Manager. Para configurar os pods e as federações de pod, crie uma ou mais coleções de aplicativos virtuais na página Catálogo > Coleções de Aplicativos Virtuais e digite as informações de configuração, como os Servidores de Conexão do Horizon dos quais são sincronizados os recursos e direitos, os detalhes da federação de pod, o VMware Identity Manager Connector a ser usado para sincronização, e as configurações de administrador, como o cliente de inicialização padrão. Depois de adicionar os pods e as federações de pod, configure os FQDNs do Acesso para Cliente para intervalos de rede específicos, para que os usuários finais se conectem aos servidores corretos quando eles acessarem recursos. Você pode adicionar todos os pods e federações de pod do Horizon em uma coleção, ou pode criar várias coleções de acordo com as suas necessidades. Por exemplo, você pode optar por criar coleções separadas para cada federação de pod ou cada pod para facilitar o gerenciamento e para distribuir a carga de sincronização entre vários conectores. Ou você pode optar por incluir todos os pods e federações de pod em uma coleção para fins de teste e ter outra coleção idêntica para o seu ambiente de produção. Pré-requisitos Configure o Horizon de acordo com Requisitos para a integração de pods do Horizon e Requisitos para a integração das federações de pod do Horizon. Configure o VMware Identity Manager acordo com Configurar seu ambiente do VMware Identity Manager. Para cada pod do Horizon que você deseja configurar no VMware Identity Manager, certifique-se de ter as credenciais de um usuário com a função de Administradores. Para executar esse procedimento no VMware Identity Manager, você deve usar uma função de administrador que inclua a ação Gerenciar Aplicativos de Desktop no serviço de Catálogo. VMware, Inc. 50

51 No final desse procedimento, você será redirecionado para a página Intervalos de Rede para configurar os FQDNs do Acesso para Cliente. Para editar e salvar a página Intervalos de Rede, você precisa de uma função de Superadministrador. Você pode optar por realizar essa etapa separadamente. Procedimentos 1 Faça login no console do VMware Identity Manager. 2 Selecione a guia Catálogo > Coleções de Aplicativos Virtuais. 3 Clique em Novo. 4 Selecione Horizon como o tipo de origem. 5 No assistente para Nova Coleção de Aplicativos Virtuais do Horizon, digite as seguintes informações na página Conector. Opção Nome Conector Descrição Digite um nome exclusivo para a coleção do Horizon. Selecione o conector que você deseja usar para sincronizar nesta coleção. Para selecionar o conector, selecione o diretório que está associado a ele. Se você tiver configurado um cluster de conectores, todas as instâncias do conector aparecerão na lista Host e você poderá organizá-las na ordem de failover dessa coleção. Importante Depois de criar a coleção, não é possível selecionar um diretório diferente. 6 Clique em Avançar. 7 Na página Pod e Federação, clique em Adicionar um Pod e digite as informações do pod. Se o pod tiver várias instâncias do Servidor de Conexão do Horizon, digite as informações para qualquer uma das instâncias. Opção Servidor de Conexão Nome de usuário Senha Autenticação por cartão inteligente Descrição Digite o nome de host totalmente qualificado de qualquer uma das instâncias do Servidor de Conexão do Horizon no pod, como servidordeconexao.dominiodohorizon.com. O nome de domínio deve corresponder ao nome de domínio ao qual a instância do Servidor de Conexão do Horizon foi adicionada. Digite o nome de usuário do administrador do Servidor de Conexão do Horizon. O usuário deve ter a função Administradores no Horizon. Digite a senha de administrador do Servidor de Conexão do Horizon. Ative essa opção se os usuários utilizarem a autenticação de cartão inteligente em vez de senhas para fazer login no Servidor de Conexão do Horizon. VMware, Inc. 51

52 Opção True SSO Sincronizar Atribuições Locais Descrição Marque esta opção somente se o True SSO estiver ativado para o Servidor de Conexão do Horizon. Essa opção se aplica apenas às versões do Horizon que suportam o recurso SSO Verdadeiro. Quando essa opção está ativada, os usuários conectados ao VMware Identity Manager com um método de autenticação sem senha, como o SecurID, não serão solicitados a fornecer uma senha quando inicializarem seus desktops do Windows. Ative esta opção para sincronizar os direitos locais do Servidor de Conexão do Horizon, além de atribuições globais. 8 Para adicionar mais pods, clique em Adicionar um Pod e digite as informações para cada pod. 9 Se a opção Arquitetura do Cloud Pod estiver ativada no Horizon para qualquer um dos pods que você adicionou, siga estas etapas para adicionar as informações de federação de pod. a b c Defina a opção A Arquitetura do Cloud Pod foi ativada para qualquer um dos pods adicionados acima como Sim. Clique em Adicionar uma federação. Digite as informações da federação de pod. Opção Nome da Federação FQDN do Acesso para Cliente Pods do Horizon Descrição O nome da federação de pod. O nome de domínio totalmente qualificado (FQDN) do servidor ao qual direcionar clientes acessando direitos globais nesta federação de pod. Esse valor é normalmente o balanceador de carga global da implantação da federação de pod. Por exemplo, federaçãoa.exemplo.com. Você pode personalizar o FQDN do Acesso para Cliente posteriormente para intervalos de rede específicos no processo de configuração. Selecione os pods que pertencem à federação de pod. A coluna Pods Disponíveis exibe todos os pods que você adicionou à coleção. Quando você seleciona um pod, ele é adicionado à coluna Pods Selecionados. Você pode organizar os pods na coluna Pods Selecionados na ordem de failover. d Para adicionar outra federação de pod, clique em Adicionar uma federação e digite as informações da federação de pod. 10 Clique em Avançar. VMware, Inc. 52

53 11 Na página Configuração, insira as informações a seguir. Opção Frequência de sincronização Sincronizar Aplicativos Duplicados Descrição Selecione a frequência com que deseja sincronizar os recursos na coleção. Você pode estabelecer uma agenda de sincronização automática ou optar pela sincronização manual. Para definir um agendamento, selecione o intervalo, como diariamente ou semanalmente, e selecione a hora do dia para executar a sincronização. Se você selecionar Manual, deverá clicar em Sincronização na página Coleções de Aplicativos Virtuais depois de configurar a coleção e sempre que houver uma alteração em seus recursos ou direitos do Horizon Cloud. Defina como Não caso você deseje evitar que aplicativos duplicados sejam sincronizados entre vários servidores. Quando o VMware Identity Manager é implantado em vários data centers, os mesmos recursos são configurados nesses centros de dados. Definir essa opção como Não evita a duplicação de pools de desktops ou aplicativos no seu catálogo do VMware Identity Manager. VMware, Inc. 53

54 Opção Política de Ativação Cliente Padrão para Inicialização Descrição Selecione como deseja disponibilizar os recursos nesta coleção para os usuários no aplicativo e no portal do Workspace ONE. Se você pretende configurar um fluxo de aprovação, selecione Ativado pelo Usuário; caso contrário, selecione Automático. Com as opções Ativado pelo Usuário e Automático, os recursos são adicionados à página Catálogo. Os usuários podem usar os recursos da página Catálogo ou movê-los para a página Favoritos. No entanto, para configurar um fluxo de aprovação para qualquer um dos aplicativos, você deve selecionar Ativado pelo Usuário para esse aplicativo. A política de ativação se aplica a todos os direitos de usuário para todos os recursos na coleção. Você pode modificar a política de ativação para usuários individuais ou grupos por recurso, na página do usuário ou grupo na guia Usuários e Grupos. Selecione o cliente padrão para usuários finais que acessam desktops e aplicativos do Horizon no aplicativo ou no portal do Workspace ONE. Nenhum Navegador Nativos Nenhuma preferência padrão é definida no nível de administrador. Se essa opção estiver definida como Nenhuma e o usuário final também não tiver definido uma preferência, a configuração de Protocolo de exibição padrão do Horizon será usada para determinar como iniciar o desktop ou o aplicativo. Por padrão, as áreas de trabalho e os aplicativos do Horizon são inicializados em um navegador da Web. As preferências do usuário final, se definidas, substituem essa configuração. Por padrão, as áreas de trabalho e os aplicativos do Horizon são inicializados no Horizon Client. As preferências do usuário final, se definidas, substituem essa configuração. Essa configuração se aplica a todos os usuários para todos os recursos nesta coleção. A seguinte ordem de prioridade, listada da mais alta para a mais baixa, aplica-se às configurações padrão do cliente de inicialização: a Configuração de preferência de usuário final, definida no portal do Workspace ONE. Essa opção não está disponível no aplicativo do Workspace ONE. b Configuração Cliente de Inicialização Padrão do administrador para a coleção, definida no console do VMware Identity Manager. c Configuração Protocolo de Exibição Remota > Protocolo de Exibição Padrão do Horizon para o pool de áreas de trabalho ou aplicativos, definida no Horizon Administrator. Por exemplo, quando o protocolo de exibição é definido como PCoIP, o aplicativo ou o desktop é inicializado no Horizon Client. 12 Clique em Avançar. 13 Na página Resumo, revise suas seleções e clique em Salvar e Configurar o Intervalo de Rede. A página Intervalos de Rede é exibida. VMware, Inc. 54

55 14 Na página Intervalos de Rede, edite cada intervalo de rede e especifique os FQDNs do Acesso para Cliente para os pods e as federações de pod do Horizon para que os usuários finais que acessam aplicativos e desktops do Horizon se conectem ao servidor correto. a b c Clique no intervalo de rede a ser editado ou clique em Criar Intervalo de Rede para criar um novo intervalo de rede, se necessário. Se você estiver criando um novo intervalo de rede, digite um nome, uma descrição opcional e o intervalo de endereços IP. Role até as seções Pod e Visualizar Federação CPA. A seção Pod lista todos os pods do Horizon que você adicionou à coleção que tiverem a opção Sincronizar Atribuições Locais ativada. A seção Visualizar Federação CPA lista todas as federações de pod que você adicionou. d Edite a seção Pod para cada pod e digite os valores apropriados para esse intervalo de rede. Opção FQDN do Acesso para Cliente Porta Encapsular Artefato no JWT Público-Alvo no JWT Descrição Especifique o nome de domínio totalmente qualificado (FQDN) do servidor para o qual direcionar clientes acessando direitos locais neste pod, quando as solicitações forem provenientes desse intervalo de rede. Pode ser um Servidor de Conexão do Horizon, um servidor de segurança, um balanceador de carga ou um FQDN de proxy reverso. Por exemplo: bcinterno.exemplo.com O FQDN do Acesso para Cliente de um pod é usado para inicializar os recursos autorizados localmente a partir do pod. A porta do servidor. Consulte Inicializando os recursos do Horizon por meio de gateways de validação. Consulte Inicializando os recursos do Horizon por meio de gateways de validação. VMware, Inc. 55

56 e Edite a seção Visualizar Federação CPA para cada federação de pod e digite os valores apropriados para esse intervalo de rede. Opção FQDN do Acesso para Cliente Porta Encapsular Artefato no JWT Público-Alvo no JWT Descrição Especifique o nome de domínio totalmente qualificado (FQDN) do servidor para o qual direcionar clientes acessando direitos locais nesta federação de pod, quando as solicitações forem provenientes desse intervalo de rede. Esse é normalmente o balanceador de carga global da implantação da federação de pod. Por exemplo: bcglobal.exemplo.com O FQDN do Acesso para Cliente de uma federação de pod é usado para inicializar os recursos autorizados globalmente. A porta do servidor. Quando o serviço do VMware Identity Manager está integrado a um gateway de validação, como o F5, essa opção deve ser ativada para autenticar os recursos do Horizon atribuídos aos usuários. Consulte Inicializando os recursos do Horizon por meio de gateways de validação. Consulte Inicializando os recursos do Horizon por meio de gateways de validação. f g h Clique em Salvar. Repita essas etapas para editar os outros intervalos de rede. Clique em Concluir na página Intervalos de Rede. Próximo passo A coleção do Horizon é criada e exibida na página Catálogo > Coleções de Aplicativos Virtuais. Os recursos na coleção ainda não foram sincronizados. Você pode aguardar pela próxima sincronização agendada ou sincronizar a coleção manualmente a partir da página Catálogo > Coleções de Aplicativos Virtuais. Configurar a autenticação SAML no Horizon Depois de criar uma coleção de aplicativos virtuais do Horizon no VMware Identity Manager, faça login no Horizon Administrator e configure a autenticação SAML nas instâncias do Servidor de Conexão do Horizon para permitir que os usuários inicializem aplicativos e desktops do Horizon usando single signon. Você deve configurar a autenticação SAML pelo menos uma instância do Servidor de Conexão do Horizon em um pod. É recomendável configurar a autenticação SAML em todas as instâncias em um pod. Se a autenticação SAML estiver desativada em algumas das instâncias do Servidor de Conexão do Horizon em um pod, o VMware Identity Manager usará outras instâncias para sincronização. No entanto, certifique-se de que qualquer instância com a autenticação SAML desativada não seja usada para inicialização, caso contrário, os usuários não poderão inicializar aplicativos ou desktops do Horizon. Não use a instância como o FQDN do Acesso para Cliente ou, se o FQDN do Acesso para Cliente apontar para um balanceador de carga, como um dos nós no balanceador de carga. VMware, Inc. 56

57 Se a autenticação SAML estiver desativada em todas as instâncias do Servidor de Conexão do Horizon no pod, a sincronização falhará. Observação Você não precisará configurar a autenticação SAML se a sua organização usar a autenticação por cartão inteligente para exibir os recursos usando um provedor de identidade de terceiros. Procedimentos 1 Faça login no Horizon Administrator como um usuário com a função de Administrador. 2 Configure a autenticação SAML nas instâncias do Servidor de Conexão do Horizon. Consulte a documentação do Horizon 7 para obter informações. Certifique-se de especificar o FQDN do serviço do VMware Identity Manager ao configurar o Autenticador SAML. Importante Os servidores Horizon e VMware Identity Manager devem estar em sincronização de horário. Se os servidores não estiverem em sincronização de horário, quando os usuários acessarem um aplicativo ou desktop do Horizon, será exibida uma mensagem de SAML inválida. Definindo FQDNs da Acesso para Cliente para intervalos de rede Como parte da integração do VMware Identity Manager e do Horizon, você especifica os FQDNs da Acesso para Cliente para intervalos de rede, para que os usuários se conectem ao servidor correto com base no intervalo de rede do qual eles estão acessando os recursos do Horizon. Quando você cria uma coleção de aplicativos virtuais do Horizon, o assistente o orienta até a página Intervalos de Rede para configurar essas informações. Depois de criar a coleção, você pode editar os FQDNs do Acesso para Cliente a qualquer momento. Sempre que você criar novos intervalos de rede no VMware Identity Manager, certifique-se de seguir este procedimento para adicionar FQDNs do Acesso para Cliente para pods do Horizon e federações de pod aos novos intervalos de rede. Pré-requisitos É necessária uma função de Superadministrador para este procedimento. Procedimentos 1 Faça login no console do VMware Identity Manager. 2 Selecione a guia Catálogo > Coleções de Aplicativos Virtuais. 3 Clique na coleção do Horizon e clique em Editar Intervalo de Rede. 4 Na página Intervalos de Rede, clique no intervalo de rede a ser editado ou clique em Criar Intervalo de Rede para criar um novo intervalo de rede, se necessário. VMware, Inc. 57

58 5 Se você estiver criando um novo intervalo de rede, insira um nome, uma descrição opcional e o intervalo de IP. 6 Role até as seções Pod e Federação CPA. A seção Pod lista todos os pods do Horizon na coleção que têm a opção Sincronizar Atribuições Locais ativada. A seção Federação CPA lista as federações de pod na coleção, se houver. 7 Edite a seção Pod para cada pod e digite os valores apropriados para esse intervalo de rede. Opção FQDN do Acesso para Cliente Porta Encapsular Artefato no JWT Público-alvo no JWT Descrição O nome de domínio totalmente qualificado (FQDN) do servidor ao qual os clientes são direcionados, que acessam direitos locais neste pod quando as solicitações são provenientes desse intervalo de rede. Esse valor pode ser um Servidor de Conexão do Horizon, um servidor de segurança, um balanceador de carga ou um FQDN de proxy reverso. Por exemplo: bcinterno.exemplo.com O FQDN do Acesso para Cliente para um pod é usado para inicializar localmente os recursos autorizados do pod. A porta do servidor. Consulte Inicializando os recursos do Horizon por meio de gateways de validação. Consulte Inicializando os recursos do Horizon por meio de gateways de validação. 8 Edite a seção Federação do CPA para cada federação de pod e insira os valores apropriados para esse intervalo de rede. Opção FQDN do Acesso para Cliente Porta Descrição O nome de domínio totalmente qualificado (FQDN) do servidor ao qual os clientes são direcionados, que acessam direitos globais nesta federação de pod quando as solicitações são provenientes desse intervalo de rede. Esse valor é normalmente o balanceador de carga global da implantação da federação de pod. Por exemplo: bcglobal.exemplo.com O FQDN do Acesso para Cliente para uma federação de pod é usado para inicializar recursos autorizados globalmente. A porta do servidor. VMware, Inc. 58

59 Opção Encapsular Artefato no JWT Público-Alvo no JWT Descrição Quando o serviço do VMware Identity Manager está integrado a um gateway de validação, como o F5, essa opção deve ser ativada para autenticar os recursos do Horizon atribuídos aos usuários. Consulte Inicializando os recursos do Horizon por meio de gateways de validação. Consulte Inicializando os recursos do Horizon por meio de gateways de validação. 9 Clique em Salvar. 10 Repita essas etapas para editar os outros intervalos de rede, se necessário. Verifique se cada intervalo de rede em seu ambiente contém um FQDN de Acesso para Cliente definido. Se um intervalo de rede estiver sem o FQDN do Acesso para Cliente, os usuários que acessam os recursos por meio desse intervalo de rede não poderão iniciar seus desktops e aplicativos. 11 Clique em Concluir na página Intervalos de Rede. Inicializando os recursos do Horizon por meio de gateways de validação Quando o serviço VMware Identity Manager é integrado a um gateway de validação, como o F5, a configuração Encapsular Artefato no JWT deve ser habilitada no serviço do VMware Identity Manager para autenticar os recursos do Horizon atribuídos aos usuários. Quando a opção Encapsular Artefato no JWT está habilitada para autenticar uma solicitação de inicialização de recurso do Horizon, o serviço do VMware Identity Manager gera um token JWT assinado digitalmente que inclui o artefato SAML para permitir a verificação. Esse token JWT é enviado para o gateway de validação no DMZ. O gateway valida o token JWT do VMware Identity Manager e extrai o valor do artefato SAML do token. O gateway encaminha a solicitação com o valor real do artefato SAML para o Servidor de Conexão do Horizon. O Servidor de Conexão verifica a solicitação e o usuário é conectado ao recurso do Horizon. Se a opção Encapsular Artefato no JWT não estiver habilitada, o gateway de validação não passará o artefato para o Servidor de Conexão do Horizon em relação às falhas de validação e autenticação. Pré-requisitos O gateway de validação deve ser configurado com os detalhes do VMware Identity Manger a seguir. Certificado SSL ID e segredo do cliente OAuth2 URL de endpoint de validação do VMware Identity Manager É necessária uma função de SuperAdministrador no VMware Identity Manager para realizar esse procedimento. VMware, Inc. 59

60 Procedimentos 1 Faça login no console do VMware Identity Manager. 2 Selecione a guia Catálogo > Coleções de Aplicativos Virtuais. 3 Clique na coleção do Horizon a ser editada e clique em Editar Intervalo de Rede. 4 Clique no intervalo de endereços IP da rede que o recurso do Horizon pode usar. A seção Pod lista todos os pods do Horizon que você adicionou à coleção que tiverem a opção Direitos Locais de Sincronização selecionada. Consulte Configurar pods do Horizon e federações de pod no VMware Identity Manager para obter as etapas para configurar FQDNs do Acesso para Cliente para pods e federações de pod. 5 Na seção Pod, ative a opção Encapsular Artefato no JWT no ambiente do Horizon que está configurado. 6 Se mais de um gateway de validação puder processar as solicitações, crie identificadores exclusivos e adicione os nomes à caixa de texto Público-Alvo no JWT. Esse nome de público-alvo está definido na configuração do gateway de validação e é usado para verificar se este gateway é o público-alvo. Se o público-alvo no JWT não corresponder ao nome do público-alvo configurado aqui, a solicitação será rejeitada. 7 Clique em Salvar e em Concluir na página Intervalos de Rede. Próximo passo Os nomes de público-alvo exclusivos que você adiciona aqui também devem ser adicionados à configuração do gateway de validação. Exibindo as informações do pool de aplicativos e desktops do Horizon no VMware Identity Manager Depois de integrar o VMware Identity Manager e o Horizon, você pode visualizar detalhes sobre os pools de aplicativos e desktops do Horizon que são sincronizados com o VMware Identity Manager a partir dos servidores do Horizon. Procedimentos 1 No console do VMware Identity Manager, clique na guia Catálogo > Aplicativos Virtuais. 2 Clique no ícone no título da coluna Tipo e selecione Área de Trabalho do Horizon ou Aplicativo do Horizon, ou ambos, para exibir todos os pools de aplicativos e desktops do Horizon. Você também pode procurar um pool específico pelo nome. VMware, Inc. 60

61 3 Clique no nome do desktop ou do aplicativo. A seção Definição na página do aplicativo lista as informações sincronizadas do Horizon, incluindo o seguinte: UUID do Aplicativo ID Externa Nome do pool Tipos de cliente compatíveis Servidor de Conexão do Horizon do qual o pool é sincronizado Observação Nessa página, você também pode editar as configurações do VMware Identity Manager para o aplicativo, como categorias, políticas de acesso e licenciamento. Exibindo atribuições de grupo e de usuário para pools de desktops e aplicativos do Horizon No console do VMware Identity Manager, você pode exibir atribuições de usuário e de grupo para pools de aplicativos e desktops do Horizon. Essas atribuições são definidas no Horizon e sincronizadas com o VMware Identity Manager. Não é possível editar as atribuições do VMware Identity Manager. Pré-requisitos Para ver as atualizações mais recentes, sincronize manualmente os recursos e as atribuições das instâncias do Servidor de Conexão do Horizon com o VMware Identity Manager na página Catálogo > Coleções de Aplicativos Virtuais. Procedimentos 1 Faça login no console do VMware Identity Manager. 2 Exiba as atribuições de grupo e de usuário para pools de aplicativos e desktops do Horizon. Opção Listar usuários e grupos atribuídos a um pool de aplicativos ou desktops específico do Horizon Listar as atribuições de pools de aplicativos e desktops do Horizon para um usuário ou grupo específico Ação a Clique na guia Catálogo > Aplicativos Virtuais. b (Opcional) Clique no ícone no título da coluna Tipo e procure o pool por nome ou selecione Área de Trabalho do Horizon ou Horizon Application para exibir todos os pools de aplicativos ou desktops do Horizon. c Clique no desktop ou aplicativo. d Clique em Exibir Atribuições. Todos os usuários e grupos aos quais o aplicativo é atribuído são listados. a Clique na guia Usuários e Grupos. b Clique na guia Usuários ou na guia Grupos. c Clique no nome de um usuário ou grupo individual. d Clique na guia Aplicativos. São listadas as atribuições de pools de desktops e aplicativos do Horizon para o usuário ou grupo. VMware, Inc. 61

62 Especificando políticas de acesso para desktops e aplicativos específicos O conjunto de políticas de acesso padrão se aplica a todos os aplicativos e desktops no seu catálogo. Você também pode definir políticas de acesso para aplicativos ou desktops individuais, que substituem a política de acesso padrão. Você pode configurar as políticas de aplicativos para desktops e aplicativos na página de configuração do aplicativo ou na página Políticas. Para obter informações detalhadas sobre as políticas de acesso e como elas são aplicadas, consulte o Guia de Administração do VMware Identity Manager. Procedimentos 1 Para selecionar uma política de acesso para um aplicativo específico na página de configuração do aplicativo, siga estas etapas. a b c No console do VMware Identity Manager, selecione a guia Catálogo > Aplicativos Virtuais. Clique no aplicativo. Clique em Editar. Determinados campos na página do aplicativo agora são editáveis. d e Na seção Políticas de Acesso, selecione o conjunto de políticas de acesso para o aplicativo. Clique em Salvar no topo da página. 2 Para aplicar uma política de acesso a um ou mais aplicativos e desktops na página Políticas, siga estas etapas. a b c d e No console dovmware Identity Manager, navegue até a página Gerenciamento de Identidade e Acesso > Políticas. Clique em uma política para editá-la ou clique em Adicionar Política para criar uma nova política. Na página Definição do assistente, na seção Aplica-se a, selecione os aplicativos e desktops aos quais você deseja aplicar a política. Na seção Aplicável a, selecione os aplicativos aos quais você deseja aplicar a política. Salve as alterações. Permitindo que os usuários redefinam seus desktops do Horizon a partir do Catálogo do Workspace ONE Dependendo de como você configura o Horizon e o VMware Identity Manager, os usuários podem redefinir o desktop do Horizon que não responde a partir do catálogo do Workspace ONE. VMware, Inc. 62

63 Defina essa configuração no Horizon Administrator, não no console do VMware Identity Manager. A configuração se aplica ao Horizon e ao VMware Identity Manager. No console do VMware Identity Manager, você pode ver se um desktop específico pode ser redefinido. A opção para redefinir as áreas de trabalho a partir do Workspace ONE está disponível no VMware Identity Manager 3.2, no Conector e em versões posteriores. Verifique se todos os conectores têm versão ou posterior, caso contrário, o comando Redefinir não será exibido. A opção é compatível com: Pods do Horizon 7.x ou posterior Áreas de trabalho dedicadas e flutuantes do Horizon Pré-requisitos Configure o Horizon para permitir que os usuários redefinam suas áreas de trabalho. Consulte a documentação do Horizon 7 ou Horizon 6. Verifique se você está usando o VMware Identity Manager 3.2 ou posterior e o Conector ou posterior. Todos os conectores devem ter a versão ou posterior. Para que os desktops do Horizon sejam redefinidos pelos usuários, os FQDNs do acesso para cliente para os respectivos pods devem ter certificados confiáveis. Caso a URL tenha certificados assinados pela raiz ou autoassináveis, configure o VMware Identity Manager para torná-los confiáveis. Veja Instalação e configuração do VMware Identity Manager para obter informações sobre a adição de um certificado raiz. Procedimentos u (Opcional) Verifique se o VMware Identity Manager lista o desktop como redefinível pelos usuários. a b c d No console do VMware Identity Manager, selecione a guia Catálogo > Aplicativos Virtuais. (Opcional) Clique no ícone no título da coluna Tipo e procure o desktop por nome ou selecione Desktop do Horizon para exibir todos os desktops do Horizon. Clique no desktop. Na seção Definição da página, verifique se a configuração Redefinição Permitida está definida como Ativado. Se estiver definido como Desativado, o Horizon não será configurado para permitir que os usuários redefinam o desktop. Próximo passo Se um desktop do Horizon parar de responder, você ou outros usuários poderão redefinir o desktop usando o comando Redefinir. VMware, Inc. 63

64 Exibindo as opções de inicialização para áreas de trabalho e aplicativos do Horizon Os aplicativos e desktops do Horizon podem ser inicializados a partir do catálogo do Workspace ONE no Horizon Client ou de um navegador da Web, com base no modo como o desktop ou aplicativo foi configurado no Horizon. Se um desktop ou aplicativo só for configurado para o Horizon Client, os usuários deverão instalar o Horizon Client em seus sistemas. O recurso HTML Access do Horizon oferece aos administradores do Horizon a opção de configurar uma área de trabalho ou um aplicativo para navegadores. Essa configuração é feita no Horizon e não é necessária qualquer configuração no VMware Identity Manager. No Horizon 7, a configuração Permitir o HTML Access ao desktop e a aplicativos neste farm determina se os usuários no VMware Identity Manager têm a opção de inicializar desktops ou aplicativos a partir desse farm em um navegador. O VMware Identity Manager suporta o HTML Access para o Horizon e versões posteriores. O VMware Identity Manager também oferece suporte a todos os protocolos de exibição que o Horizon aceita para o Horizon Client. Para o Horizon 7, o VMware Identity Manager oferece suporte ao protocolo Blast além do PCoIP e do RDP para o Horizon Client 4.0. Quando usuários do VMware Identity Manager inicializam um desktop ou um aplicativo no Horizon Client, ele usa o protocolo que está definido no Horizon. Observação No Horizon, além de definir o protocolo de exibição padrão, os administradores podem especificar se os usuários têm autorização para escolher um protocolo de exibição. Se você quiser oferecer suporte a versões do Horizon Client não compatíveis com o protocolo padrão, convém permitir que os usuários escolham o protocolo de exibição. Caso contrário, o aplicativo ou desktop não poderá ser inicializado. Para obter informações sobre como configurar os protocolos de exibição e as opções de inicialização, consulte a documentação do Horizon. No console do VMware Identity Manager, você pode verificar as opções de inicialização com suporte por um desktop ou aplicativo do Horizon. Procedimentos 1 Faça login no console do VMware Identity Manager. 2 Clique na guia Catálogo > Aplicativos Virtuais. 3 (Opcional) Clique no ícone no título da coluna Tipo e selecione Área de Trabalho do Horizon ou Horizon Application, ou ambos, para exibir todos os pools de aplicativos e desktops do Horizon. Você também pode procurar um pool específico pelo nome. 4 Clique no nome do desktop ou do aplicativo. Na seção Definição, o campo Tipos de cliente compatíveis exibe as opções de inicialização que são definidas no Horizon. VMware, Inc. 64

65 O valor pode ser NATIVO ou NAVEGADOR, ou ambos. Se apenas NATIVO estiver listado, o desktop ou aplicativo só poderá ser inicializado no Horizon Client. Os usuários devem instalar o Horizon Client em seus sistemas antes de iniciarem o aplicativo a partir do catálogo do Workspace ONE. Se NAVEGADOR estiver listado, os usuários poderão iniciar o aplicativo ou desktop em um navegador. Se ambos estiverem especificados, os usuários poderão selecionar como desejam iniciar o aplicativo. Observação Para integrações do Horizon 7, a opção Permitir o HTML Access ao desktop e a aplicativos neste farm deve ser habilitada no Horizon 7 para a opção NAVEGADOR aparecer na lista Tipos de clientes com suporte. Inicializando um aplicativo ou área de trabalho do Horizon Os usuários podem executar as áreas de trabalho e os aplicativos do Horizon aos quais eles têm direito no portal ou aplicativo do Workspace ONE. Com base na forma como um aplicativo ou desktop foi configurado no Horizon, ele pode ser inicializado no Horizon Client ou em um navegador. Para aplicativos ou desktops que só podem ser inicializados no Horizon Client, os usuários devem instalar o Horizon Client em seus sistemas. Para aplicativos e desktops que podem ser inicializados no Horizon Client ou em um navegador, os usuários podem selecionar o método de inicialização. Os usuários também podem definir a preferência de inicialização padrão na página Preferências no portal do Workspace ONE. Essa preferência do usuário substitui qualquer preferência de inicialização padrão definida no nível de administrador. Observação Os usuários não podem definir uma preferência de inicialização padrão no aplicativo do Workspace ONE. VMware, Inc. 65

66 Pré-requisitos Com base na forma como o aplicativo ou desktop foi configurado no Horizon, talvez os usuários precisem instalar o Horizon Client. Para as versões suportadas do Horizon Client, consulte a VMware Product Interoperability Matrix em Procedimentos 1 Faça login no portal Workspace ONE. 2 Clique em Abrir na área de trabalho ou no aplicativo que deseja usar, selecione o método de inicialização e clique em Abrir. Observação Com base na forma como o desktop ou aplicativo é configurado e na sua preferência, você talvez precise instalar o Horizon Client em seu sistema. Se você escolher a opção Navegador, o desktop ou aplicativo será iniciado em um navegador. Se você estiver usando o Horizon ou versão posterior, a janela do navegador também exibe uma Bandeja HTML Access. Observação Se os metadados SAML nas instâncias do Servidor de Conexão do Horizon tiverem expirado, o aplicativo ou a área de trabalho não será inicializado. Para resolver esse problema, sincronize os recursos do Horizon com o VMware Identity Manager novamente. Navegue até a página Catálogo de Aplicativos Virtuais > Coleções de Aplicativos Virtuais, selecione a coleção e clique em Sincronização. VMware, Inc. 66

67 Fornecendo acesso a aplicativos e áreas de trabalho do VMware Horizon Cloud Service 5 O VMware Horizon Cloud Service com infraestrutura hospedada ou no local pode ser integrado ao serviço do VMware Identity Manager. A integração do Horizon Cloud com o serviço VMware Identity Manager oferece aos usuários a capacidade de acessar seus aplicativos e áreas de trabalho do Horizon Cloudautorizados no portal ou aplicativo do Workspace ONE. Isso fornece aos usuários um único local para o acesso de todos os aplicativos nos dispositivos. Os pools de desktops e aplicativos, também conhecidos como atribuições, são configurados no tenant do Horizon Cloud. Você também define direitos de usuário e de grupo no tenant do Horizon Cloud, não no serviço do VMware Identity Manager. Você deve sincronizar esses usuários e grupos com o serviço do VMware Identity Manager a partir do Active Directory antes da integração ao tenant do Horizon Cloud. Para integrar o Horizon Cloud ao VMware Identity Manager, crie uma ou mais coleções de aplicativos virtuais no console do VMware Identity Manager. As coleções contêm informações de configuração para os tenants do Horizon Cloud, bem como as configurações de sincronização. Você pode configurar uma agenda de sincronização para sincronizar regularmente os recursos e os direitos do tenant do Horizon Cloud com o serviço VMware Identity Manager. Depois de integrar o tenant do Horizon Cloud ao VMware Identity Manager, você poderá ver os desktops e aplicativos do Horizon Cloud no console do VMware Identity Manager. Você também pode visualizar os direitos de usuário e de grupo. Os usuários finais podem inicializar seus desktops e aplicativos autorizados a partir do portal ou do aplicativo do Workspace ONE. Essas áreas de trabalho e aplicativos podem ser acessadas em um navegador ou no VMware Horizon Client. Há suporte para as versões 3.4 e posteriores do Horizon Client. Este capítulo inclui os seguintes tópicos: Integrando desktops e aplicativos do Horizon Cloud Exibindo as informações do pool de aplicativos e desktops do Horizon Cloud no VMware Identity Manager Exibindo atribuições de usuário e de grupo para desktops e aplicativos do Horizon Cloud Especificando políticas de acesso para desktops e aplicativos específicos Permitindo que os usuários redefinam áreas de trabalho do Horizon Cloud VMware, Inc. 67

68 Executando um desktop ou aplicativo do Horizon Cloud Integrando desktops e aplicativos do Horizon Cloud Para integrar aplicativos e áreas de trabalho do Horizon Cloud ao serviço VMware Identity Manager, você pode criar uma ou mais coleções de aplicativos virtuais no console do VMware Identity Manager, configurar os detalhes do tenant do Horizon Cloud na coleção e sincronizar os recursos e direitos do tenant do Horizon Cloud. Você também configura a autenticação SAML para habilitar a confiança entre o tenant do Horizon Cloud e o serviço do VMware Identity Manager. Integrando várias instâncias do Horizon Cloud Você pode integrar vários tenants do Horizon Cloud com uma única instância do VMware Identity Manager para que os recursos e os direitos do Horizon Cloud de todos os tenants possam ser sincronizados com um único local, as políticas de autenticação e acesso possam ser gerenciadas centralmente, e os usuários com direitos em tenants diferentes possam ser atendidos de um único portal ou aplicativo. O VMware Identity Manager oferece suporte à integração aos seguintes tipos de ambientes do Horizon Cloud: Infraestrutura Hospedada do Horizon Cloud (Soft-Layer e Azure) Infraestrutura Local do Horizon Cloud Durante a integração de vários tenants do Horizon Cloud, preste atenção nas considerações a seguir. Um único VMware Identity Manager Connector pode sincronizar recursos e direitos de vários tenants do Horizon Cloud com o serviço VMware Identity Manager. Cada tenant do Horizon Cloud pode fornecer direitos para usuários em diferentes instâncias e domínios do Active Directory. Certifique-se de adicionar todos os diretórios e domínios relevantes ao VMware Identity Manager para que todos os usuários com direitos em qualquer um dos tenants do Horizon Cloud sejam sincronizados com o VMware Identity Manager. Se os appliances do tenant tiverem certificados autoassinados, você deverá carregar o certificado autoassinado como um certificado raiz confiável para o VMware Identity Manager. Ao integrar vários tenants do Horizon Cloud, você deve garantir que todos os certificados tenham o mesmo certificado raiz, pois somente um certificado raiz pode ser carregado para o VMware Identity Manager. O VMware Identity Manager não pode acessar e sincronizar os direitos de um tenant no qual a autenticação de dois fatores está ativada. No VMware Identity Manager, você pode adicionar todos os tenants do Horizon Cloud a uma configuração, chamada de uma coleção de aplicativos virtuais, ou criar várias configurações. Quando todos os tenants do Horizon Cloud forem adicionados a uma configuração, se o VMware Identity Manager não puder acessar um dos tenants, ele criará um alerta e continuará a sincronizar recursos e direitos dos outros tenants. VMware, Inc. 68

69 Verifique se você configurou a autenticação SAML em cada tenant do Horizon Cloud que integra ao VMware Identity Manager. Pré-requisitos para a integração Antes de você integrar o Horizon Cloud ao VMware Identity Manager, certifique-se de que atende aos pré-requisitos. Verifique se você tem a seguinte configuração: Uma implantação local do VMware Identity Manager Há suporte para a integração de vários tenants do Horizon Cloud com uma única instância do VMware Identity Manager no VMware Identity Manager 3.x e posteriores. Um VMware Identity Manager Connector instalado no local. A versão ou posterior do VMware Identity Manager Connector é necessária para a integração do Horizon Cloud. A versão ou posterior é necessária para a integração com vários tenants do Horizon Cloud. Um ou mais tenants do Horizon Cloud que são acessíveis pelo serviço do VMware Identity Manager. Trabalhe com seu representante do Horizon Cloud para configurar isso. Importante Sua implantação do VMware Identity Manager e seus tenants do Horizon Cloud precisam de conectividade VPN para funcionarem. Verifique se cada tenant do Horizon Cloud atende aos requisitos a seguir. O nome do tenant deve ser um nome de domínio totalmente qualificado (FQDN), não apenas um nome de host. Por exemplo, servidor-ta1.exemplo.com em vez de servidor-ta1. Os appliances do tenant devem ter certificados válidos, assinados, emitidos por uma autoridade de certificação. O certificado deve corresponder ao FQDN do appliance do tenant. Se os appliances do tenant tiverem certificados autoassinados, você deverá carregar o certificado autoassinado como um certificado raiz confiável para o VMware Identity Manager. Ao integrar vários tenants do Horizon Cloud, você deve garantir que todos os certificados tenham o mesmo certificado raiz, pois somente um certificado raiz pode ser carregado para o VMware Identity Manager. Certifique-se de que os tenants do Horizon Cloud e o serviço do VMware Identity Manager estejam em sincronização horária. Se eles não estiverem em sincronização de horário, um erro de SAML inválido poderá ocorrer quando os usuários executarem áreas de trabalho e aplicativos do Horizon Cloud. Crie e configure pools de desktops e aplicativos, também conhecidos como atribuições, no console de administração do tenant do Horizon Cloud. Você pode criar os seguintes tipos de pools no tenant do Horizon Cloud: Pool de desktops dinâmicos, também conhecido como atribuição de desktop flutuante VMware, Inc. 69

70 Pool de desktops estáticos, também conhecido como atribuição de desktop dedicado Pool com base em sessão com desktops, também conhecido como atribuição de desktop de sessão Pool com base em sessão com aplicativos, também conhecido como atribuição de aplicativo remoto Para obter mais informações sobre os tipos de pools, consulte a documentação do Horizon Cloud. Defina direitos de usuário e de grupo para áreas de trabalho e aplicativos do Horizon Cloud no console de administração do tenant do Horizon Cloud. Observação São sincronizados somente os direitos para os usuários que pertencem a um grupo registrado. Os usuários que não pertencem a nenhum grupo não visualizarão seus direitos no VMware Identity Manager. No console do VMware Identity Manager, garanta que os usuários e os grupos com os direitos do Horizon Cloud sejam sincronizados do Active Directory com o VMware Identity Manager usando a sincronização de diretório. Siga estas diretrizes: Se você estiver integrando vários tenants do Horizon Cloud, certifique-se de que você adicione todos os diretórios e domínios relevantes ao VMware Identity Manager para que os usuários com direitos em qualquer um dos tenants do Horizon Cloud sejam sincronizados com o VMware Identity Manager. samaccountname deve ser definido como o atributo de pesquisa de diretório para o diretório no VMware Identity Manager. distinguishedname deve ser definido como um atributo obrigatório para o diretório do VMware Identity Manager e ele deve ser mapeado para o distinguishedname de atributo do Active Directory. Os atributos devem ser marcados como obrigatórios antes da criação do diretório. Após a criação do diretório, os atributos não poderão ser alterados de opcional para obrigatório. 1 No console do VMware Identity Manager, navegue até a página Gerenciamento de Identidade e Acesso > Instalação > Atributos de Usuário. 2 Em Atributos Padrão, marque a caixa de seleção Obrigatório para distinguishedname. 3 Clique em Salvar. 4 Ao criar o diretório, mapeie o atributo distinguishedname para o atributo distinguishedname do Active Directory. VMware, Inc. 70

71 Configurar tenant do Horizon Cloud no VMware Identity Manager Para integrar os tenants do Horizon Cloud com o serviço VMware Identity Manager, você pode criar uma coleção de aplicativos virtuais no console do VMware Identity Manager que contenham informações de tenant do Horizon Cloud, bem como as configurações de sincronização, e sincronizar os recursos e direitos do tenant do Horizon Cloud com o serviço VMware Identity Manager. Se você tiver vários tenants do Horizon Cloud, poderá criar coleções de aplicativos virtuais separadas para cada tenant ou configurar todos os tenants em uma única coleção, com base em suas necessidades. Cada coleção é sincronizada separadamente. Pré-requisitos Verifique se você atende aos pré-requisitos descritos em Pré-requisitos para a integração Consulte também Integrando várias instâncias do Horizon Cloud. Você deve usar uma função de administrador que possa executar a ação de Gerenciar Aplicativos de Desktop no serviço de Catálogo. Procedimentos 1 Faça login no console do VMware Identity Manager. 2 Selecione a guia Catálogo > Coleções de Aplicativos Virtuais. 3 Clique em Novo. 4 Selecione Horizon Cloud como o tipo de origem. 5 No assistente de Nova Coleção de Aplicativos Virtuais do Horizon Cloud, digite as seguintes informações na página Conector. Opção Nome Conector Descrição Digite um nome exclusivo para a coleção do Horizon Cloud. Selecione o conector que você deseja usar para sincronizar nesta coleção. Para selecionar o conector, selecione o diretório que está associado a ele. Se você tiver configurado um cluster de conectores, todas as instâncias do conector aparecerão na lista Host e você poderá organizá-las na ordem de failover dessa coleção. Importante Depois de criar a coleção, não é possível selecionar um diretório diferente. 6 Clique em Avançar. VMware, Inc. 71

72 7 Na página Tenant, clique em Adicionar um Tenant e digite suas informações de tenant do Horizon Cloud. Importante Não use caracteres não ASCII quando você digitar as informações do seu domínio. Opção Host Descrição Nome de domínio totalmente qualificado do host do tenant do Horizon Cloud. Por exemplo: tenant1.exemplo.com Porta Número da porta do host do tenant do Horizon Cloud. Por exemplo: 443 Usuário Administrador Senha de administrador Domínio de administrador Domínios a serem sincronizados Nome de usuário da sua conta de administrador de tenant do Horizon Cloud. Por exemplo: tenantadmin Senha da sua conta de administrador de tenant do Horizon Cloud. O nome do domínio do Active Directory NETBIOS em que reside o administrador do tenant do Horizon Cloud. Nomes de domínio NETBIOS do Active Directory para a sincronização de recursos e direitos do Horizon Cloud. Observação Esse campo distingue letras maiúsculas e minúsculas. Certifiquese de aplicar corretamente o uso de letras maiúsculas e minúsculas ao digitar os nomes. URL do Serviço Consumidor de Asserções A URL na qual é publicada a asserção SAML. Essa URL geralmente é o endereço IP ou nome do host flutuante do tenant do Horizon Cloud, ou a URL do Unified Access Gateway. Por exemplo, VMware, Inc. 72

73 Opção True SSO Mapeamento de ID Personalizado Descrição Marque esta opção somente se o True SSO estiver ativado para o tenant do Horizon Cloud. Quando essa opção estiver ativada, os usuários conectados ao VMware Identity Manager com um método de autenticação sem senha, como o SecurID, não serão solicitados a fornecer uma senha ao inicializarem seus desktops do Windows. Você pode personalizar a ID de usuário que é usada na resposta SAML quando os usuários inicializam aplicativos e desktops do Horizon Cloud. Via de regra, usa-se o nome UPN. Você pode optar por usar outros formatos de ID de nome, como samaccountname ou endereço de e personalizar o valor. Formato da ID de Nome: selecione o formato da ID de nome, como Endereço de ou Nome Principal do Usuário. O valor padrão é Não Especificado (nome de usuário). Valor da ID de Nome: clique em Selecionar das sugestões e escolha em uma lista predefinida de valores ou clique em Valor personalizado e insira o valor. Esse valor pode ser qualquer expressão válida da Linguagem de Expressão (EL), como ${user.username}@${user.domain}. O valor padrão é $ {user.userprincipalname}. Observação Verifique se os atributos usados na expressão são atributos mapeados no diretório do VMware. Você pode exibir os atributos mapeados na guia Configurações de Sincronização do diretório. No exemplo acima, username, userprincipalname e domain são atributos mapeados do diretório. A capacidade de selecionar o formato de ID de nome é útil em cenários como os seguintes: Quando os usuários de vários subdomínios são sincronizados, o nome UPN pode não funcionar. Você pode usar um formato de ID de nome diferente, como samaccountname ou endereço de , para identificar os usuários de forma exclusiva. Importante Certifique-se de usar a mesma configuração de formato de ID de nome no Horizon Cloud e no VMware Identity Manager. 8 Clique em Adicionar. 9 Adicione outros tenants, se necessário, e clique em Avançar. VMware, Inc. 73

74 10 Na página Configuração, insira as informações a seguir. Opção Frequência de sincronização Política de Ativação Cliente Padrão para Inicialização Descrição Selecione a frequência com que deseja sincronizar os recursos na coleção. Você pode estabelecer uma agenda de sincronização automática ou optar pela sincronização manual. Para definir um agendamento, selecione o intervalo, como diariamente ou semanalmente, e selecione a hora do dia para executar a sincronização. Se você selecionar Manual, deverá clicar em Sincronização na página Coleções de Aplicativos Virtuais depois de configurar a coleção e sempre que houver uma alteração em seus recursos ou direitos do Horizon Cloud. Selecione como deseja disponibilizar os recursos nesta coleção para os usuários no aplicativo e no portal do Workspace ONE. Se você pretende configurar um fluxo de aprovação, selecione Ativado pelo Usuário; caso contrário, selecione Automático. Com as opções Ativado pelo Usuário e Automático, os recursos são adicionados à página Catálogo. Os usuários podem usar os recursos da página Catálogo ou movê-los para a página Favoritos. No entanto, para configurar um fluxo de aprovação para qualquer um dos aplicativos, você deve selecionar Ativado pelo Usuário para esse aplicativo. A política de ativação se aplica a todos os direitos de usuário para todos os recursos na coleção. Você pode modificar a política de ativação para usuários individuais ou grupos por recurso, na página do usuário ou grupo na guia Usuários e Grupos. Selecione o cliente padrão para usuários finais que acessam desktops e aplicativos do Horizon Cloud no portal ou aplicativo Workspace ONE. Nenhum Navegador Nativos Nenhuma preferência padrão é definida no nível de administrador. Se essa opção estiver definida como Nenhuma, e o usuário final também não tiver definido uma preferência, a configuração de Protocolo Padrão do Horizon Cloud será usada para determinar como iniciar o desktop ou o aplicativo. Por padrão, as áreas de trabalho e os aplicativos do Horizon Cloud são inicializados em um navegador da Web. As preferências do usuário final, se definidas, substituem essa configuração. Por padrão, as áreas de trabalho e os aplicativos do Horizon Cloud são inicializados no Horizon Client. As preferências do usuário final, se definidas, substituem essa configuração. Essa configuração se aplica a todos os usuários para todos os recursos nesta coleção. A seguinte ordem de prioridade, listada da mais alta para a mais baixa, aplica-se às configurações padrão do cliente de inicialização: a Configuração de preferência de usuário final, definida no portal do Workspace ONE. Essa configuração não está disponível no aplicativo Workspace ONE. b Configuração Cliente de Inicialização Padrão do administrador para a coleção, definida no console do VMware Identity Manager. c Configurações de protocolo padrão do Horizon Cloud 11 Clique em Avançar. VMware, Inc. 74

75 12 Na página Resumo, revise suas seleções e clique em Salvar. A coleção é criada e exibida na página Coleções de Aplicativos Virtuais. 13 Para sincronizar os recursos e direitos na coleção, selecione a coleção na página Coleções de Aplicativos Virtuais e clique em Sincronização. Sempre que os recursos ou direitos são alterados no Horizon Cloud, é necessária uma sincronização para propagar as alterações para o VMware Identity Manager. Próximo passo Configure a autenticação SAML no tenant do Horizon Cloud para habilitar a confiança entre o serviço do VMware Identity Manager e o tenant do Horizon Cloud. Configurar a autenticação SAML no tenant do Horizon Cloud Depois de criar uma coleção de aplicativos virtuais para a integração do Horizon Cloud no console do VMware Identity Manager, configure a autenticação SAML no tenant do Horizon Cloud. Se você estiver integrando vários tenants do Horizon Cloud, certifique-se de que você configure a autenticação SAML em todos os tenants. Observação O appliance do tenant do Horizon Cloud e o VMware Identity Manager devem estar em sincronização de tempo. Se eles não estiverem em sincronização de tempo, quando você tentar inicializar desktops e aplicativos do Horizon Cloud, aparecerá uma mensagem de SAML inválido. Procedimentos 1 No console do VMware Identity Manager, selecione a guia Catálogo > Aplicativos Virtuais e clique em Configurações. 2 No painel esquerdo, em Aplicativos SaaS, clique em Metadados SAML. 3 Na guia Baixar Metadados SAML, clique em Copiar URL ao lado do link de Metadados do Provedor de Identidade (IdP). A URL, que está em um formato semelhante ao será copiada para a área de transferência. VMware, Inc. 75

76 4 Faça logon no tenant do Horizon Cloud. 5 Vá para Configurações > Gerenciamento de Identidade. 6 Clique em Novo. 7 Defina as configurações obrigatórias. Opção URL do Identity Manager Tempo limite do token SSO Data Center Endereço do tenant Descrição A URL de metadados de IdP do VMware Identity Manager que você copiou. Geralmente, a URL está no seguinte formato: (Opcional) O tempo, em minutos, após o qual o token SSO expira. O nome do centro de dados do Horizon Cloud. Selecione o nome na lista suspensa. O endereço do tenant do Horizon Cloud. Especifique o endereço IP flutuante ou o nome do host do appliance do tenant do Horizon Cloud ou o endereço IP ou nome do host do Unified Access Gateway. Por exemplo, mytenant.example.com. No Horizon Cloud no Azure, as configurações a seguir são exibidas. Opção URL do VMware Identity Manager Tempo limite do token SSO Localização Nó Data Center Endereço do tenant Descrição A URL de metadados de IdP do VMware Identity Manager que você copiou. Geralmente, a URL está no seguinte formato: (Opcional) O tempo, em minutos, após o qual o token SSO expira. Selecione uma localização para filtrar a lista suspensa Nó para os nós associados a essa localização. Selecione o nó que você está integrando ao VMware Identity Manager. O nome do centro de dados do Horizon Cloud. Selecione o nome na lista suspensa. O endereço do tenant do Horizon Cloud. Especifique o endereço IP flutuante ou o nome do host do appliance do tenant do Horizon Cloud ou o endereço IP ou nome do host do Unified Access Gateway. Por exemplo, mytenant.example.com. VMware, Inc. 76

77 8 Clique em Salvar. Se a integração for bem-sucedida, o status ficará verde. 9 Para bloquear o acesso do usuário exceto por meio do VMware Identity Manager, clique em Configurar e edite as configurações. Opção Forçar Usuários Remotos ao Identity Manager Forçar Usuários Internos ao Identity Manager Descrição Selecione SIM para bloquear acesso de usuários remotos, exceto por meio do IDM. A opção só será exibida se o status do Identity Manager for verde. Selecione SIM para bloquear acesso de usuários internos, exceto por meio do IDM. A opção só será exibida se o status do Identity Manager for verde. Sua integração foi concluída. Depois de sincronizar os recursos do Horizon Cloud com o VMware Identity Manager, você pode visualizar os pools de aplicativo e desktop do Horizon Cloud no console do VMware Identity Manager e os usuários finais podem inicializar os recursos aos quais eles têm direito a partir do portal ou aplicativo Workspace ONE. Exibindo as informações do pool de aplicativos e desktops do Horizon Cloud no VMware Identity Manager No console do VMware Identity Manager, você pode visualizar informações sobre os pools de aplicativos e desktops do Horizon Cloud sincronizados. Procedimentos 1 No console do VMware Identity Manager, clique na guia Catálogo > Aplicativos Virtuais. 2 Clique no ícone no título da coluna Tipo e selecione Desktop do Horizon Cloud ou Aplicativo do Horizon Cloud, ou ambos, para exibir todos os pools de aplicativos e desktops do Horizon Cloud. Você também pode procurar um pool específico pelo nome. 3 Clique no nome do desktop ou do aplicativo. A seção Definição na página do aplicativo lista os atributos sincronizados a partir do tenant do Horizon Cloud, como o seguinte: UUID do Aplicativo Nome, ID e domínio do pool Clientes para inicialização compatíveis Veja na documentação do Horizon Cloud mais informações sobre esses atributos. Observação Nessa página, você também pode editar as configurações do VMware Identity Manager para o aplicativo, como categorias, políticas de acesso e licenciamento. VMware, Inc. 77

78 Exibindo atribuições de usuário e de grupo para desktops e aplicativos do Horizon Cloud No console do VMware Identity Manager, você pode exibir atribuições de usuário e de grupo para pools de aplicativos e desktops do Horizon Cloud. Essas atribuições são definidas no Horizon Cloud e sincronizadas com o VMware Identity Manager. Não é possível editar as atribuições do VMware Identity Manager. Pré-requisitos Para ver as atualizações mais recentes, sincronize manualmente os recursos e os direitos dos tenants do Horizon Cloud com o VMware Identity Manager na página Catálogo > Aplicativos Virtuais. Procedimentos 1 Faça login no console do VMware Identity Manager. 2 Exiba as atribuições de grupo e de usuário para pools de aplicativos e desktops do Horizon Cloud. Opção Listar usuários e grupos atribuídos a um pool de aplicativos ou desktops específico do Horizon Cloud Listar as atribuições de pools de aplicativos e desktops do Horizon para um usuário ou grupo específico Ação a Clique na guia Catálogo > Aplicativos Virtuais. b (Opcional) Clique no ícone no título da coluna Tipo e procure o pool por nome ou selecione Desktop do Horizon Cloud ou Aplicativo do Horizon Cloud para exibir todos os pools de aplicativos ou desktops do Horizon Cloud. c Clique no desktop ou aplicativo. d Clique em Exibir Atribuições. Todos os usuários e grupos aos quais o aplicativo é atribuído são listados. a Clique na guia Usuários e Grupos. b Clique na guia Usuários ou na guia Grupos. c Clique no nome de um usuário ou grupo individual. d Clique na guia Aplicativos. São listadas as atribuições de pools de desktops e aplicativos do Horizon Cloud para o usuário ou grupo. Especificando políticas de acesso para desktops e aplicativos específicos O conjunto de políticas de acesso padrão se aplica a todos os aplicativos e desktops no seu catálogo. Você também pode definir políticas de acesso para aplicativos ou desktops individuais, que substituem a política de acesso padrão. Você pode configurar as políticas de aplicativos para desktops e aplicativos na página de configuração do aplicativo ou na página Políticas. Para obter informações detalhadas sobre as políticas de acesso e como elas são aplicadas, consulte o Guia de Administração do VMware Identity Manager. VMware, Inc. 78

79 Procedimentos 1 Para selecionar uma política de acesso para um aplicativo específico na página de configuração do aplicativo, siga estas etapas. a b c No console do VMware Identity Manager, selecione a guia Catálogo > Aplicativos Virtuais. Clique no aplicativo. Clique em Editar. Determinados campos na página do aplicativo agora são editáveis. d e Na seção Políticas de Acesso, selecione o conjunto de políticas de acesso para o aplicativo. Clique em Salvar no topo da página. 2 Para aplicar uma política de acesso a um ou mais aplicativos e desktops na página Políticas, siga estas etapas. a b c d e No console dovmware Identity Manager, navegue até a página Gerenciamento de Identidade e Acesso > Políticas. Clique em uma política para editá-la ou clique em Adicionar Política para criar uma nova política. Na página Definição do assistente, na seção Aplica-se a, selecione os aplicativos e desktops aos quais você deseja aplicar a política. Na seção Aplicável a, selecione os aplicativos aos quais você deseja aplicar a política. Salve as alterações. Permitindo que os usuários redefinam áreas de trabalho do Horizon Cloud Dependendo de como a configuração é definida no Horizon Cloud, os usuários podem redefinir áreas de trabalho dedicadas do Horizon Cloud a partir do Workspace ONE. Os usuários poderão redefinir suas áreas de trabalho se eles se tornarem não responsivos, por exemplo. A opção para permitir que os usuários redefinam suas áreas de trabalho está configurada no Horizon Cloud, não no VMware Identity Manager. A configuração é permitida no VMware Identity Manager 3.2, no Conector e em versões posteriores. Verifique se todos os conectores têm a versão ou posterior. Somente as áreas de trabalho dedicadas do Horizon Cloud podem ser redefinidas a partir do Workspace ONE. Se o Horizon Cloud permitir que os usuários redefinam as áreas de trabalho, o comando Redefinir estará disponível para a área de trabalho no Workspace ONE. O comando aparece somente para as áreas de trabalho para as quais a redefinição é permitida. VMware, Inc. 79

80 Executando um desktop ou aplicativo do Horizon Cloud Os usuários finais podem executar os desktops e aplicativos do Horizon Cloud aos quais eles foram atribuídos no portal ou aplicativo Workspace ONE. Com base na forma como um aplicativo ou área de trabalho foi configurado no tenant do Horizon Cloud, ele pode ser executado no Horizon Client ou em um navegador. Para aplicativos ou áreas de trabalho que estão configurados somente para o Horizon Client, os usuários devem instalar o Horizon Client em seus sistemas. Para aplicativos e áreas de trabalho que estão configurados para o Horizon Client e os navegadores, os usuários podem selecionar o método de inicialização. Os usuários também podem definir a preferência de inicialização padrão na página Preferências no portal do Workspace ONE. Essa preferência do usuário substitui qualquer preferência de inicialização padrão definida no nível de administrador. Observação Os usuários não podem definir uma preferência de inicialização padrão no aplicativo do Workspace ONE. Pré-requisitos Com base na forma como o aplicativo ou a área de trabalho foi configurada no tenant do Horizon Cloud, talvez os usuários precisem instalar o Horizon Client. Para as versões suportadas do Horizon Client, consulte a VMware Product Interoperability Matrix em Procedimentos 1 Faça login no portal Workspace ONE. 2 Clique em Abrir na área de trabalho ou no aplicativo que deseja usar, selecione o método de inicialização e clique em Abrir. Observação Com base na forma como o desktop ou aplicativo é configurado e na sua preferência, você talvez precise instalar o Horizon Client em seu sistema. VMware, Inc. 80

81 Fornecendo acesso a pacotes ThinApp da VMware 6 Com o VMware Identity Manager, você pode distribuir e gerenciar centralmente pacotes ThinApp. Os Pacotes ThinApp são aplicativos virtualizados do Windows, que são usados em sistemas do Windows. Os usuários autorizados que instalaram o aplicativo do VMware Identity Manager Desktop em seus sistemas do Windows podem inicializar e usar seus pacotes ThinApp autorizados nesses sistemas do Windows. Nos processos de captura e criação do ThinApp, crie um aplicativo virtual a partir de um aplicativo do Windows. Esse aplicativo virtualizado do Windows pode ser executado em um sistema do Windows sem que esse sistema tenha o aplicativo original do Windows instalado. O pacote ThinApp é o conjunto de arquivos de aplicativo virtual gerados pela execução dos processos de captura e criação do ThinApp em um aplicativo do Windows. O pacote inclui os arquivos de contêiner de dados primário e os arquivos de ponto de entrada para acessar o aplicativo do Windows. Nem todo pacote ThinApp é compatível com o VMware Identity Manager. Quando você captura um aplicativo do Windows, as configurações padrão no processo de captura e compilação do ThinApp criam um pacote que o VMware Identity Manager não pode distribuir e gerenciar. Crie um pacote ThinApp que o VMware Identity Manager possa distribuir e gerenciar definindo os parâmetros adequados durante os processos de captura e criação. Consulte a documentação do VMware ThinApp para obter informações detalhadas sobre os recursos e os parâmetros do ThinApp adequados a serem usados para criar um pacote compatível com o VMware Identity Manager. Após integrar o VMware Identity Manager ao seu repositório do ThinApp, você poderá ver em seu catálogo os pacotes ThinApp do repositório que o VMware Identity Manager pode distribuir e gerenciar. Depois de ver os pacotes ThinApp em seu catálogo do VMware Identity Manager, você poderá autorizar usuários e grupos a esses pacotes ThinApp e, opcionalmente, configurar informações de rastreamento de licenças para cada pacote. Importante A integração com o ThinApp é compatível apenas com o VMware Identity Manager Connector do Linux. Ela não é compatível com o conector do Windows. Este capítulo inclui os seguintes tópicos: Integrando pacotes do VMware ThinApp Autorizar usuários e grupos aos pacotes ThinApp Distribuindo e gerenciando pacotes ThinApp usando o VMware Identity Manager VMware, Inc. 81

82 Atualizando pacotes ThinApp gerenciados após a implantação no VMware Identity Manager Tornar pacotes ThinApp existentes compatíveis com o VMware Identity Manager Alterar a pasta de compartilhamento dos pacotes ThinApp Especificando políticas de acesso para desktops e aplicativos específicos Integrando pacotes do VMware ThinApp Para usar o VMware Identity Manager para distribuir e gerenciar aplicativos fornecidos com o VMware ThinApp, você deve ter um repositório ThinApp que contenha os pacotes ThinApp, apontar para esse repositório e sincronizar os pacotes. Após a conclusão do processo de sincronização, os pacotes ThinApp estarão disponíveis no seu catálogo do VMware Identity Manager e você poderá qualificá-los para os seus usuários e grupos do VMware Identity Manager. O ThinApp oferece virtualização de aplicativos dissociando um aplicativo do sistema operacional subjacente e suas respectivas bibliotecas e estrutura, e agrupando o aplicativo em um único arquivo executável chamado de pacote de aplicativos. Para que sejam gerenciados pelo VMware Identity Manager, esses pacotes devem ser ativados com as opções adequadas. No assistente do ThinApp Setup Capture, marque a caixa de seleção Gerenciar com o Workspace. Para obter mais informações sobre os recursos do ThinApp e como ativar os seus aplicativos para o gerenciamento pelo VMware Identity Manager, consulte a documentação do VMware ThinApp. Normalmente, você executa as etapas para conectar o VMware Identity Manager ao repositório e sincronizar os pacotes como parte da instalação geral e da configuração do seu ambiente VMware Identity Manager. O repositório ThinApp deve ser um compartilhamento de rede acessível pelo VMware Identity Manager usando um caminho de Convenção de Nomenclatura Uniforme (UNC). O VMware Identity Manager é sincronizado regularmente com esse compartilhamento de rede para obter os metadados do pacote ThinApp que o VMware Identity Manager exige para distribuir e gerenciar os pacotes. Consulte Requisitos do VMware Identity Manager para pacotes ThinApp e o repositório do compartilhamento de rede. O compartilhamento de rede pode ser um compartilhamento Common Internet File System (CIFS) ou Distributed File System (DFS). O compartilhamento DFS pode ser um único compartilhamento de arquivos de protocolo SMB ou vários compartilhamentos de arquivos SMB organizados como um sistema de arquivos distribuídos. Compartilhamentos CIFS e DFS em execução em sistemas de armazenamento NetApp são compatíveis. Também há suporte para compartilhamentos DFS em sistemas de armazenamento Isilon. Requisitos do VMware Identity Manager para pacotes ThinApp e o repositório do compartilhamento de rede Ao capturar e armazenar aplicativos ThinApp a serem distribuídos a partir do VMware Identity Manager, você deve atender a certos requisitos. VMware, Inc. 82

83 Requisitos dos aplicativos ThinApp Para criar ou remontar pacotes ThinApp que o VMware Identity Manager que pode gerenciar, você deve usar uma versão do ThinApp que o VMware Identity Manager suporta. O VMware Identity Manager suporta o ThinApp e versões posteriores. Para obter informações atualizadas sobre as versões suportadas, consulte as VMware Product Interoperability Matrixes em Você deve ter pacotes ThinApp que o VMware Identity Manager pode gerenciar. No processo de captura e compilação do ThinApp, você pode criar pacotes que o VMware Identity Manager consegue gerenciar ou que ele não consegue gerenciar. Por exemplo, quando você usa o assistente de Captura de configuração do ThinApp para capturar um aplicativo, pode criar um pacote que o VMware Identity Manager consegue gerenciar selecionando a caixa de seleção Gerenciar com o Workspace. Consulte a documentação do VMware ThinApp para obter informações detalhadas sobre os recursos e os parâmetros do ThinApp adequados a serem usados para criar um pacote compatível com o VMware Identity Manager. Para pacotes ThinApp existentes, você pode usar o comando relink - h para habilitar os pacotes para o VMware Identity Manager. Para obter informações sobre como converter pacotes ThinApp existentes em pacotes que o VMware Identity Manager consegue gerenciar, consulte Guia de administração do VMware Identity Manager. Você deve armazenar os pacotes ThinApp em um compartilhamento de rede que atende aos requisitos para a combinação do tipo de compartilhamento de rede, do acesso ao repositório e do modo de implantação do pacote ThinApp desejado para as necessidades da sua organização. Requisitos do repositório de compartilhamento de rede Os pacotes ThinApp devem residir em um compartilhamento de rede, também conhecido como o repositório de pacotes ThinApp. O compartilhamento de rede deve ser acessível usando-se um caminho UNC (convenção de nomenclatura uniforme) de cada sistema que está executando o aplicativo VMware Identity Manager Desktop para acessar os pacotes ThinApp. Por exemplo, um compartilhamento de rede chamado appshare, em um host chamado server, pode ser acessado usando-se o caminho UNC \\server\appshare. O nome de host totalmente qualificado da pasta de compartilhamento de rede deve ser resolvido a partir do VMware Identity Manager. O compartilhamento de rede pode ser um compartilhamento Common Internet File System (CIFS) ou Distributed File System (DFS). O compartilhamento DFS pode ser um único compartilhamento de arquivos de protocolo SMB ou vários compartilhamentos de arquivos SMB organizados como um sistema de arquivos distribuídos. Compartilhamentos CIFS e DFS em execução em sistemas de armazenamento NetApp são compatíveis. Também há suporte para compartilhamentos DFS em sistemas de armazenamento Isilon. VMware, Inc. 83

84 O compartilhamento de rede deve atender aos critérios adequados para o tipo de acesso que você configurar para o VMware Identity Manager usar a fim de acessar o repositório de pacotes ThinApp: acesso com base em domínio ou acesso com base em conta. O tipo de acesso determina as combinações permitidas para os seguintes itens: Se você usa um compartilhamento de rede CIFS ou um compartilhamento de rede DFS para o repositório de pacotes ThinApp. Se você deve ingressar o VMware Identity Manager e o host do compartilhamento de rede no mesmo domínio do Active Directory. Se o sistema do Windows do usuário deve ingressar no domínio do Active Directory para usar os pacotes ThinApp. O modo de instalação do pacote ThinApp que o aplicativo VMware Identity Manager Desktop instalado está configurado para usar para a obtenção e a execução dos aplicativos virtualizados no sistema do Windows no qual o aplicativo está instalado. O modo de instalação do pacote utilizado no sistema do Windows do usuário é definido durante o processo de instalação quando o aplicativo do VMware Identity Manager Desktop é instalado nesse sistema do Windows. Esse modo de instalação de pacote determina o modo de implantação ThinApp utilizado por esse sistema do Windows, modo de download ou modo contínuo. VMware, Inc. 84

85 Tipo de Tipo de acesso compartilhamento de rede Requisitos do VMware Identity Manager Requisitos para o sistema do Windows do usuário Acesso com base em domínio Você pode usar um compartilhamento CIFS para o seu repositório de pacotes ThinApp quando utilizar o acesso com base em domínio. Você não pode usar um compartilhamento DFS para o acesso com base em domínio. Se você tiver um compartilhamento DFS, deverá usar o acesso com base em conta. Você deve ingressar o VMware Identity Manager no domínio do Active Directory para que ele possa ingressar no compartilhamento de rede do Windows e acessar os pacotes. Para obter mais informações sobre como configurar o VMware Identity Manager para ingressar no domínio, consulte as informações sobre como configurar o Kerberos em Instalação e configuração do VMware Identity Manager. Observação A autenticação do Windows não é necessária. O compartilhamento de rede deve suportar as permissões de autenticação e de arquivo baseadas em contas de computador. O VMware Identity Manager acessa o compartilhamento de rede com a conta de computador do VMware Identity Manager no domínio. As permissões de pasta e de arquivo do compartilhamento de rede devem ser configuradas de modo que a combinação de permissões permita o acesso de leitura para a conta de computador do VMware Identity Manager no domínio. O sistema do Windows do usuário deve ingressar no domínio do Active Directory antes que o usuário possa usar seus pacotes ThinApp autorizados. Todos os seguintes sistemas devem ingressar no mesmo domínio: O sistema do Windows do usuário VMware Identity Manager O host da unidade de compartilhamento de rede com os pacotes ThinApp Quando você usa o acesso com base em domínio, os seguintes modos de instalação para os pacotes ThinApp são permitidos. COPY_TO_LOCAL. Com esse modo de instalação, os pacotes são baixados no sistema cliente do Windows. Esse modo de instalação corresponde ao uso do modo de download do ThinApp para o aplicativo virtualizado. A conta usada para se fazer login no sistema cliente do Windows é a conta de usuário usada para se copiar os pacotes do compartilhamento de rede no sistema cliente do Windows, e essa conta deve ter permissões para ler os pacotes e copiar os arquivos desse compartilhamento de rede. Depois que o pacote for baixado no sistema cliente do Windows, e o usuário inicializar o pacote, o aplicativo virtualizado é executado localmente no sistema cliente do Windows. RUN_FROM_SHARE. Com esse modo de instalação, os pacotes não são baixados no sistema cliente do Windows. Um usuário inicializa os pacotes usando atalhos na desktop local, e os aplicativos virtualizados são executados a partir do compartilhamento de rede que está usando o modo contínuo do ThinApp. A conta usada para se fazer login no sistema cliente do Windows é a conta de usuário usada para se executar os pacotes do VMware, Inc. 85

86 Tipo de Tipo de acesso compartilhamento de rede Requisitos do VMware Identity Manager Requisitos para o sistema do Windows do usuário compartilhamento de rede, e essa conta deve ter permissões para ler e executar arquivos a partir desse compartilhamento de rede. Observação RUN_FROM_SHARE é mais adequado para sistemas do Windows que sempre terão conectividade para o compartilhamento de rede dos pacotes ThinApp. Os sistemas Windows que melhor se encaixam nessa descrição são os desktops do Horizon, porque estão sempre conectados aos seus domínios. Os desktops do Horizon flutuantes ou sem monitoração de estado usam melhor o RUN_FROM_SHARE para evitar o uso de recursos inerentes ao download dos pacotes para o sistema do Windows. Por padrão, o modo de instalação do COPY_TO_LOCAL é definido como o modo de instalação padrão quando você instalar o aplicativo do VMware Identity Manager Desktop em um sistema do Windows executando a versão gráfica do programa de instalação do cliente. Para definir um modo de instalação diferente como o modo de instalação padrão para os pacotes, você deve executar a instalação do cliente usando a linha de comando. Consulte as Opções do instalador da linha de comando para o desktop do VMware Identity Manager. Importante O modo HTTP_DOWNLOAD requer que a URL do IDP seja acessível pela máquina do Windows do usuário. Os modos RUN_FROM_SHARE e COPY_TO_LOCAL requerem que o compartilhamento do ThinApp seja acessível pela máquina do Windows do usuário. Acesso com base em conta Você pode usar um compartilhamento CIFS ou DFS para o seu repositório de pacotes ThinApp quando utilizar o acesso com base em conta. Você deve configurar o VMware Identity Manager para usar uma conta e senha de usuário de compartilhamento para acessar o compartilhamento de rede e os pacotes. A conta e a senha de usuário de compartilhamento é qualquer combinação que tem acesso de leitura ao caminho UNC para a pasta de compartilhamento de rede. O sistema do Windows do usuário não precisa ingressar no domínio do Active Directory antes que o usuário possa usar seus pacotes ThinApp autorizados. A autenticação do Windows não é necessária. O sistema do Windows, o VMware Identity Manager e o host do compartilhamento de rede do usuário com os pacotes ThinApp não precisam ingressar no mesmo domínio do Active Directory. VMware, Inc. 86

87 Tipo de Tipo de acesso compartilhamento de rede Requisitos do VMware Identity Manager Requisitos para o sistema do Windows do usuário Você não precisa ingressar o VMware Identity Manager no domínio do Active Directory para acessar o compartilhamento de rede. Com o acesso com base em conta configurado, os seguintes modos de instalação para os pacotes ThinApp são permitidos. Se o sistema do Windows do usuário não Observação No console do VMware Identity Manager, você deve concluir a página Ingressar no Domínio antes de poder usar a página Pacotes ThinApp. Observação Se você estiver usando o compartilhamento NetApp, será necessário o acesso com base em conta. tiver ingressado no domínio, o cliente deverá usar o modo de instalação do HTTP_DOWNLOAD para obter o aplicativo virtualizado. Esse modo de instalação corresponde ao uso do modo de download do ThinApp para o aplicativo virtualizado. O VMware Identity Manager usa a conta de usuário de compartilhamento para recuperar os pacotes do repositório. Se o usuário ingressar no sistema do Windows para o domínio, o cliente poderá usar o modo de instalação do COPY_TO_LOCAL ou o modo de instalação RUN_FROM_SHARE para executar os pacotes ThinApp autorizados do usuário. A conta usada para se fazer login no sistema cliente do Windows é a VMware, Inc. 87

88 Tipo de Tipo de acesso compartilhamento de rede Requisitos do VMware Identity Manager Requisitos para o sistema do Windows do usuário conta de usuário usada para se obter os pacotes do compartilhamento de rede, e essa conta deve ter permissões adequadas no compartilhamento de rede. Se o sistema do Windows do usuário puder ingressar no domínio em alguns momentos e não puder ingressar em outros momentos, você pode instalar o cliente com o modo COPY_TO_LOCAL e a opção AUTO_TRY_HTTP habilitada, contanto que o VMware Identity Manager esteja configurado para o acesso com base em conta. Com essa configuração, o cliente primeiro tenta usar o modo COPY_TO_LOCAL para baixar os pacotes. Se o sistema do Windows não estiver ingressado nesse domínio naquele momento, a tentativa de copiar os pacotes falha. No entanto, com a opção AUTO_TRY_HTTP habilitada, o cliente faz imediatamente uma tentativa de usar o HTTP para baixar os pacotes. Essa combinação de COPY_TO_LOCAL e AUTO_TRY_HTTP é o padrão quando você instala o aplicativo do VMware Identity Manager Desktop em um sistema do Windows executando a versão gráfica do programa de instalação do cliente. O VMware Identity Manager deve ser configurado para o acesso com base em conta para a tentativa de baixar os pacotes usando-se o modo HTTP_DOWNLOAD para ser bemsucedido. Importante O modo HTTP_DOWNLOAD requer que a URL do IDP seja acessível pela máquina do Windows do usuário. Os modos RUN_FROM_SHARE e COPY_TO_LOCAL requerem que o compartilhamento do ThinApp seja acessível pela máquina do Windows do usuário. Além disso, o repositório de pacotes ThinApp deve atender aos seguintes critérios de acordo com a situação descrita. Quando suas configurações envolvem sistemas ingressando no domínio do Active Directory, certifique-se de que um namespace não contíguo não impede que computadores membros do domínio acessem o compartilhamento de rede que hospeda os pacotes ThinApp. Um namespace não contíguo ocorre quando um nome de domínio do Active Directory é diferente do namespace de DNS usado pela máquina nesse domínio. VMware, Inc. 88

89 As permissões de arquivo e de compartilhamento do compartilhamento de rede devem ser configuradas para se fornecer acesso de leitura e a capacidade de executar aplicativos a esses usuários que você deseja que executem os aplicativos ThinApp usando a opção COPY_TO_LOCAL ou RUN_FROM_SHARE. Por exemplo, para as contas de usuário do Active Directory desses usuários que você deseja que executem os aplicativos ThinApp em modo contínuo, definir a permissão Pasta compartilhada como Leitura e a permissão NTFS como Ler e Executar fornece a esses usuários acesso de leitura e a capacidade de executar os aplicativos. A configuração da permissão NTFS como Ler e Executar é necessária para a execução de um aplicativo ThinApp usando-se o modo contínuo do ThinApp, que corresponde ao modo de instalação do RUN_FROM_SHARE do aplicativo do VMware Identity Manager Desktop. Se a sua organização exigir que o conjunto de permissões NTFS seja definido como Ler, seus usuários poderão usar o modo de download do ThinApp para o aplicativo virtualizado. O modo de download do ThinApp corresponde à instalação do cliente do Windows seja com o modo de instalação do COPY_TO_LOCAL seja com o modo de instalação do HTTP_DOWNLOAD. Com qualquer um desses modos de instalação, os aplicativos são baixados nos sistemas do Windows e inicializados localmente. Ambos os compartilhamentos de rede CIFS e DFS devem ter os pacotes ThinApp organizados em subdiretórios individuais em um diretório sob o namespace, não subdiretórios no próprio namespace, como \\server\appshare\thinapp1, \\server\appshare\thinapp2 e assim por diante. Consulte Criar um compartilhamento de rede para pacotes ThinApp que o VMware Identity Manager gerencia. Criar um compartilhamento de rede para pacotes ThinApp que o VMware Identity Manager gerencia Se você quiser habilitar os recursos de gerenciamento do VMware ThinApp do VMware Identity Manager e permitir que os usuários acessem pacotes ThinApp a partir do catálogo, precisará criar um compartilhamento de rede e armazenar os pacotes ThinApp na pasta desse compartilhamento de rede. O VMware Identity Manager obtém os metadados necessários concernentes aos pacotes ThinApp a partir do compartilhamento de arquivos na rede. Pré-requisitos Verifique se os pacotes ThinApp atendem aos requisitos do VMware Identity Manager. Verifique se você tem o acesso e as permissões apropriados para criar um compartilhamento de arquivos na rede em seu ambiente de TI que atenda aos requisitos do VMware Identity Manager para pacotes ThinApp. Procedimentos 1 Crie um compartilhamento de rede que atenda aos requisitos do VMware Identity Manager para pacotes ThinApp. VMware, Inc. 89

90 2 No compartilhamento de rede, crie uma subpasta de compartilhamento de rede para cada pacote ThinApp. Normalmente, você nomeia a subpasta para corresponder ao nome do aplicativo ThinApp ou indica qual aplicativo está na pasta. Por exemplo, se o compartilhamento de rede for chamado appshare em um host chamado servidor, e o aplicativo for chamado abceditor, a subpasta do pacote ThinApp será \\servidor\appshare\abceditor. Observação Não use caracteres diferentes de ASCII ao criar seus nomes de subpasta de compartilhamento de rede de pacotes ThinApp a serem distribuídos usando o VMware Identity Manager. Os caracteres diferentes de ASCII não são compatíveis. 3 Para cada pacote ThinApp, copie seus arquivos, como os arquivos EXE e DAT, na subpasta nomeada para o aplicativo virtualizado desse pacote. Depois de copiar os arquivos, você terá um conjunto de subpastas e arquivos parecidos com os seguintes arquivos: \\server\appshare\abceditor\abceditor.exe \\server\appshare\abceditor\abceditor.dat Próximo passo Configure o acesso do VMware Identity Manager aos pacotes do ThinApp. Configurando o acesso do VMware Identity Manager a pacotes ThinApp Para configurar o VMware Identity Manager para concedor aos usuários acesso a pacotes ThinApp, crie uma coleção de aplicativos virtuais que contenha as informações de configuração, como o caminho para a localização de armazenamento dos pacotes, o conector a ser usado para sincronização e a agenda de sincronização. Você só pode criar uma única coleção de aplicativos virtuais para todas as suas integrações de ThinApps. Pré-requisitos Crie um compartilhamento de rede com a configuração adequada e armazene os pacotes ThinApp no local apropriado nesse compartilhamento de rede. Consulte Criar um compartilhamento de rede para pacotes ThinApp que o VMware Identity Manager gerencia. Confirme que você tem o caminho UNC para a pasta de compartilhamento de rede em que os pacotes ThinApp localizam-se. Se o conector ainda não tiver ingressado no domínio, verifique se você tem um nome de domínio do Active Directory e o nome de usuário e a senha de uma conta nesse Active Directory que tenha os direitos de ingresso no domínio. Ainda que você esteja usando o acesso com base em conta, o console do VMware Identity Manager exigirá a conclusão da página Ingressar no Domínio antes que você possa usar a página Pacotes ThinApp. VMware, Inc. 90

91 Para permitir o acesso com base em domínio, você também deve ingressar o VMware Identity Manager no mesmo domínio do Active Directory no qual o repositório de pacotes ThinApp ingressou. Confirme que você tem o nome de domínio do Active Directory do domínio que o compartilhamento de rede usa, e o nome de usuário e a senha de uma conta nesse Active Directory que tem os direitos de ingresso no domínio. A conta do Active Directory é usada para ingressar o VMware Identity Manager no domínio. Ao habilitar o acesso com base em conta, verifique se você tem um nome de usuário e senha com permissão para ler o compartilhamento de rede. Consulte Requisitos do VMware Identity Manager para pacotes ThinApp e o repositório do compartilhamento de rede. Observação A menos que você queira restringir o uso dos pacotes ThinApp a sistemas do Windows que ingressaram em um domínio para todas as situações de tempo de execução, você deve habilitar o acesso com base em conta, além do acesso com base em domínio. Essa combinação fornece a mais alta flexibilidade para o suporte a situações de tempo de execução nas quais os usuários precisam usar os pacotes ThinApp autorizados, sem que os seus sistemas do Windows precisem ingressar no domínio. Você deve usar uma função de administrador que possa executar a ação de Gerenciar ThinApps no serviço de Catálogo. Procedimentos 1 Se o VMware Identity Manager Connector para Linux ainda não tiver ingressado no domínio, ingresse-o no domínio do Active Directory. a b c d e Faça login no console do VMware Identity Manager. Selecione a guia Gerenciamento de Identidade e Acesso. Clique em Configuração. Na página Conectores, clique em Ingressar no Domínio na linha do conector apropriado. Na página Ingressar no Domínio, digite as informações para o domínio do Active Directory e clique em Ingressar no Domínio. Importante Não use caracteres não ASCII ao inserir o nome do domínio do Active Directory (AD), o nome de usuário do AD ou a senha do AD. Os caracteres não ASCII não têm suporte nesses campos de entrada no console do VMware Identity Manager. Opção Domínio do AD Nome de usuário do AD Senha do AD Descrição Digite o nome do domínio totalmente qualificado do Active Directory. Um exemplo é HS.TRDOT.COM. Digite o nome de usuário de uma conta no Active Directory que tem permissões para ingressar sistemas nesse domínio do Active Directory. Digite a senha associada ao Nome de Usuário do AD. Essa senha não é armazenada pelo VMware Identity Manager. VMware, Inc. 91

92 A página Ingressar no Domínio é atualizada e exibe uma mensagem informando que você ingressou no domínio. 2 Selecione a guia Catálogo > Coleções de Aplicativos Virtuais. 3 Clique em Novo. 4 Selecione Pacote ThinApp como o tipo de origem. 5 No assistente para Nova Coleção do ThinApp, digite as seguintes informações na página Conector. Opção Nome Conector Descrição Digite um nome exclusivo para a coleção do ThinApp. Selecione o conector que você deseja usar para sincronizar nesta coleção. Para selecionar o conector, selecione o diretório que está associado a ele. Se você tiver configurado um cluster de conectores, todas as instâncias do conector aparecerão na lista Host e você poderá organizá-las na ordem de failover dessa coleção. Importante Depois de criar a coleção, não é possível selecionar um diretório diferente. 6 Clique em Avançar. 7 Na página Configuração, insira as informações obrigatórias. Opção Caminho Habilitar acesso baseado em conta Descrição O caminho para a pasta compartilhada em que as pastas dos pacotes ThinApp estão localizadas, no formato de caminho UNC \\servidor\compartilhamento\subpasta. Por exemplo: \\HostdoDiretório\CompartilhamentodeArquivosThinApp. Em HostdoDiretório, forneça o nome do host, não o endereço IP. Para ambos os compartilhamentos de rede CIFS e DFS, esse caminho deve ser um diretório sob o namespace, não o próprio namespace. O acesso baseado em conta é necessário nos seguintes casos: Para sistemas de armazenamento do NetApp e outras marcas de compartilhamentos de rede DFS Se você estiver usando o modo de implantação de download HTTP Se quiser que os usuários possam usar seus pacotes ThinApp autorizados em sistemas do Windows não ingressados em um domínio Usuário de Compartilhamento Senha de Compartilhamento O nome de usuário para uma conta de usuário que tem acesso de leitura ao compartilhamento de rede. O usuário de compartilhamento é necessário para ativar o acesso baseado em conta aos pacotes ThinApp armazenados. A senha associada à conta do usuário Usuário de Compartilhamento. VMware, Inc. 92

93 Opção Frequência de sincronização Política de Ativação Descrição Selecione a frequência com que deseja sincronizar os recursos na coleção. Você pode estabelecer uma agenda de sincronização automática ou optar pela sincronização manual. Para definir um agendamento, selecione o intervalo, como diariamente ou semanalmente, e selecione a hora do dia para executar a sincronização. Se você selecionar Manual, deverá clicar em Sincronização na página Coleções de Aplicativos Virtuais depois de configurar a coleção e sempre que houver uma alteração em seus recursos ou direitos do Horizon Cloud. Selecione como deseja disponibilizar os recursos nesta coleção para os usuários no aplicativo e no portal do Workspace ONE. Se você pretende configurar um fluxo de aprovação, selecione Ativado pelo Usuário; caso contrário, selecione Automático. Com as opções Ativado pelo Usuário e Automático, os recursos são adicionados à página Catálogo. Os usuários podem usar os recursos da página Catálogo ou movê-los para a página Favoritos. No entanto, para configurar um fluxo de aprovação para qualquer um dos aplicativos, você deve selecionar Ativado pelo Usuário para esse aplicativo. A política de ativação se aplica a todos os direitos de usuário para todos os recursos na coleção. Você pode modificar a política de ativação para usuários individuais ou grupos por recurso, na página do usuário ou grupo na guia Usuários e Grupos. 8 Clique em Avançar. 9 Na página Resumo, revise suas seleções e clique em Salvar. A coleção é criada e exibida na página Coleções de Aplicativos Virtuais. Os aplicativos ainda não estão sincronizados. 10 Para sincronizar os aplicativos na coleção, selecione a coleção na página Coleções de Aplicativos Virtuais e clique em Sincronização. Sempre que os aplicativos ThinApp forem alterados, será necessária uma sincronização para propagar as alterações para o VMware Identity Manager. O VMware Identity Manager já está configurado para que você possa autorizar grupos e usuários a pacotes ThinApp, e esses usuários podem executar seus pacotes ThinApp usando o aplicativo do VMware Identity Manager Desktop instalado em seus sistemas do Windows. Próximo passo Autorizar grupos e usuários a pacotes ThinApp. Autorizar usuários e grupos aos pacotes ThinApp Você pode autorizar usuários e grupos aos aplicativos do Windows capturados como pacotes ThinApp. Você só pode autorizar usuários do VMware Identity Manager, usuários importados a partir do seu servidor de diretório, aos pacotes ThinApp. Quando você autoriza um usuário a um pacote ThinApp, o usuário vê o aplicativo e pode iniciá-lo pelo aplicativo do VMware Identity Manager Desktop em seu sistema. Se você remover o direito, o usuário não poderá ver ou iniciar o aplicativo. VMware, Inc. 93

94 Muitas vezes, a maneira mais eficaz de autorizar usuários a pacotes ThinApp é adicionar um direito de pacote ThinApp a um grupo de usuários. Em certas situações, é mais apropriado autorizar usuários individuais a um pacote ThinApp. Pré-requisitos Configure uma coleção de aplicativos virtuais para pacotes ThinApp na página Catálogo > Coleções de Aplicativos Virtuais. Depois de criar a coleção, sincronize os pacotes ThinApp com o VMware Identity Manager. Quando os pacotes ThinApp estiverem sincronizados com seu catálogo, você poderá autorizar que os usuários e grupos os usem. Procedimentos 1 Faça login no console do VMware Identity Manager. 2 Autorize usuários a um pacote ThinApp. Opção Descrição Acesse um pacote ThinApp e autorize usuários ou grupos a ele. Acesse um usuário ou grupo e adicione direitos de pacotes ThinApp a esse usuário ou grupo. a b c d e f g a b c d e f g h Clique na guia Catálogo > Aplicativos Virtuais. (Opcional) Clique no ícone no título da coluna Tipo e selecione Pacote ThinApp para exibir todos os pacotes ThinApp. Você também pode procurar um pacote ThinApp por nome. Clique no pacote. Clique em Atribuir. Selecione usuários e grupos digitando o nome na caixa de pesquisa e selecionando os resultados. Selecione o tipo de implantação para cada usuário e grupo. Não importa se você seleciona Ativado pelo Usuário ou Automático, o aplicativo é adicionado à página Catálogo no aplicativo ou portal do Workspace ONE. Os usuários podem executar o aplicativo na página Catálogo ou marcá-lo para executá-lo da página Indicadores. No entanto, se você quiser configurar um fluxo de aprovação para o aplicativo, selecione Ativado pelo Usuário. Clique em Salvar. Clique na guia Usuários e Grupos. Clique na guia Usuários ou na guia Grupos. Clique no nome de um usuário ou grupo individual. Clique na guia Aplicativos e, em seguida, clique em Adicionar Direito. Na lista suspensa, Tipo de Aplicativo, selecione Pacotes ThinApp. Marque nas caixas de seleção ao lado dos pacotes ThinApp aos quais autorizar o usuário ou grupo. Na coluna IMPLANTAÇÃO, selecione o método de ativação para o pacote ThinApp. Não importa se você seleciona Ativado pelo Usuário ou Automático, o aplicativo é adicionado à página Catálogo no Workspace ONE. Os usuários podem executar o aplicativo na página Catálogo ou marcá-lo para executá-lo da página Indicadores. No entanto, se você quiser configurar um fluxo de aprovação para o aplicativo, selecione Ativado pelo Usuário. Clique em Salvar. VMware, Inc. 94

95 Agora os usuários ou grupos selecionados estão autorizados a usar o pacote ThinApp. Próximo passo Verifique se o aplicativo do VMware Identity Manager Desktop está instalado nos sistemas do Windows dos usuários. Distribuindo e gerenciando pacotes ThinApp usando o VMware Identity Manager Antes que os seus usuários do VMware Identity Manager possam executar pacotes ThinApp registrados para eles usando o VMware Identity Manager, eles devem ter o aplicativo VMware Identity Manager Desktop instalado e em execução nos respectivos sistemas do Windows. Os pacotes ThinApp são virtualizados nos aplicativos Windows. Os pacotes ThinApp são distribuídos para sistemas do Windows, e um usuário conectado ao sistema do Windows pode iniciar e executar os pacotes ThinApp que são registrados nesse sistema. O VMware Identity Manager pode distribuir e gerenciar pacotes ThinApp que são compatíveis com o VMware Identity Manager. Para iniciar e executar com êxito um desses aplicativos virtualizados na sessão conectada do Windows do usuário, os seguintes elementos são necessários: O pacote ThinApp do aplicativo virtualizado está registrado para uso por esse usuário pelo VMware Identity Manager. Uma DLL específica está disponível nesse sistema do Windows. O processo hws-desktop-client.exe está em execução. Quando um pacote ThinApp compatível é criado, ele é configurado para carregar uma DLL específica quando o usuário conectado inicializa o aplicativo virtualizado na respectiva sessão conectada do Windows. Nesse momento, o aplicativo virtualizado tenta carregar a DLL. Quando a DLL é carregada, ela tenta verificar com o aplicativo VMware Identity Manager Desktop instalado localmente se esse pacote ThinApp está registrado nesse desktop do Windows para esse usuário. O aplicativo VMware Identity Manager Desktop instalado localmente determina se esse aplicativo está registrado para esse usuário sem se comunicar com o VMware Identity Manager. Se o aplicativo estiver registrado nesse desktop do Windows para esse usuário, o aplicativo VMware Identity Manager Desktop verificará quando ocorreu a última sincronização com o VMware Identity Manager. Se o aplicativo VMware Identity Manager Desktop confirmar que o tempo desde a última sincronização está no período de carência offline configurado para o cliente instalado, o cliente permitirá que o aplicativo seja executado. Como essa DLL estará disponível no sistema Windows somente se o aplicativo VMware Identity Manager Desktop estiver instalado, e como o processo hws-desktop-client.exe estará em execução se o aplicativo VMware Identity Manager Desktop estiver em execução no sistema, o aplicativo VMware Identity Manager Desktop deverá ser instalado no sistema Windows para executar os pacotes ThinApp que são distribuídos e gerenciados pelo VMware Identity Manager. VMware, Inc. 95

96 Implantando o aplicativo VMware Identity Manager Desktop para usar pacotes ThinApp O aplicativo VMware Identity Manager Desktop pode ser instalado por meio de um clique duplo no respectivo arquivo EXE do instalador, da execução do arquivo executável usando as opções de linha de comando ou da execução de um script que usa as opções de linha de comando. São necessários privilégios de administrador local para a instalação do aplicativo. Para obter informações sobre como instalar o aplicativo VMware Identity Manager Desktop clicando duas vezes no respectivo arquivo EXE do instalador, consulte o Guia do usuário do VMware Identity Manager. A configuração do aplicativo instalado determina como um pacote ThinApp que é distribuído pelo VMware Identity Manager é implantado nesse sistema do Windows. Por padrão, quando o aplicativo VMware Identity Manager Desktop foi instalado por meio de um clique duplo no respectivo arquivo EXE do instalador, o cliente é configurado para implantar pacotes ThinApp usando o modo de implantação COPY_TO_LOCAL, com a opção AUTO_TRY_HTTP ativada. Essas opções do instalador padrão resultam no que é chamado de modo de implantação de download. Com as definições padrão COPY_TO_LOCAL e AUTO_TRY_HTTP, o aplicativo cliente primeiro tenta fazer download dos pacotes ThinApp, copiando-os para o endpoint do sistema do Windows, e, se a primeira tentativa falhar, o aplicativo cliente tentará fazer download dos pacotes ThinApp usando HTTP. Se o VMware Identity Manager estiver configurado para acesso baseado em conta ao seu repositório ThinApp, o aplicativo cliente poderá fazer download dos pacotes ThinApp usando HTTP. Depois do download dos pacotes ThinApp para o sistema do Windows local, o usuário executará os aplicativos virtualizados no sistema local. Para evitar que os aplicativos virtualizados sejam baixados para o sistema do Windows local e usem o espaço no sistema do Windows, você pode fazer com que os usuários executem os pacotes ThinApp do compartilhamento de rede usando o que é chamado de modo de implantação de streaming. Para que os seus usuários executem os pacotes ThinApp usando o modo de streaming, você deve instalar o aplicativo VMware Identity Manager Desktop nos sistemas do Windows usando um processo de instalação de linha de comando. O instalador apresenta as opções de linha de comando que você pode usar para definir o modo de implantação de tempo de execução dos pacotes ThinApp. Para definir o modo de implantação de tempo de execução para transmitir os pacotes ThinApp, use a opção RUN_FROM_SHARE do instalador. Um método para instalar o aplicativo VMware Identity Manager Desktop em vários sistemas do Windows é usar um script para instalar o aplicativo silenciosamente nos sistemas do Windows. Você pode instalar o cliente silenciosamente em vários sistemas do Windows ao mesmo tempo. Observação Uma instalação silenciosa não exibe mensagens nem janelas durante o processo de instalação. Defina um valor no script para indicar se os clientes instalados por esse script implantam os pacotes ThinApp usando o modo de streaming do ThinApp, a opção RUN_FROM_SHARE ou um dos modos de download do ThinApp, como a opção COPY_TO_LOCAL ou HTTP_DOWNLOAD. VMware, Inc. 96

97 Determinar o modo de implantação adequado para pacotes ThinApp nos endpoints Windows A configuração do aplicativo do VMware Identity Manager Desktop no endpoint do Windows determina se um pacote ThinApp distribuído usando-se o VMware Identity Manager é implantado por meio do modo contínuo do ThinApp, o RUN_FROM_SHARE ou por meio de um dos modos de download do ThinApp, COPY_TO_LOCAL ou HTTP_DOWNLOAD. Ao criar o script para instalar silenciosamente o aplicativo VMware Identity Manager Desktop em endpoints Windows, como computadores desktop e laptop, você define as opções que especificam o modo de implantação do pacote ThinApp. Escolha o modo de implantação mais adequado ao ambiente de rede dos endpoints selecionados, considerando detalhes como a latência da rede. Com o modo de streaming, quando o aplicativo VMware Identity Manager Desktop é sincronizado com o VMware Identity Manager, o cliente baixa os atalhos de aplicativo dos aplicativos do Windows virtualizados dos pacotes ThinApp para o desktop do Windows e, quando o usuário inicializa os pacotes ThinApp, os aplicativos do Windows virtualizados são executados no compartilhamento de arquivos no qual os pacotes ThinApp residem. Portanto, o modo de streaming é adequado para sistemas que estarão sempre conectados ao compartilhamento de rede, como desktops do Horizon. Com o modo de download, no primeiro uso ou atualização de um pacote ThinApp, o usuário deve primeiro aguardar o download do pacote ThinApp para o sistema do Windows e a criação dos atalhos. Após o download inicial, o usuário inicializa e executa o aplicativo do Windows virtualizado no sistema do Windows local. Importante Para desktops do Horizon não persistentes, também conhecidos como desktops flutuantes ou sem monitoração de estado do Horizon, espera-se que você defina o cliente para usar o modo de streaming do ThinApp usando a opção /v INSTALL_MODE=RUN_FROM_SHARE do instalador de linha de comando ao instalar o cliente. A opção RUN_FROM_SHARE oferece a experiência de tempo de execução ideal para o uso de pacotes ThinApp em desktops flutuantes do Horizon. Consulte Opções do instalador da linha de comando para o desktop do VMware Identity Manager. Importante O modo HTTP_DOWNLOAD requer que a URL do IDP seja acessível pela máquina do Windows do usuário. Os modos RUN_FROM_SHARE e COPY_TO_LOCAL requerem que o compartilhamento do ThinApp seja acessível pela máquina do Windows do usuário. VMware, Inc. 97

98 Tabela 6 1. Modo de implantação do ThinApp para aplicativos virtualizados capturados como pacotes ThinApp Modo modo de streaming do ThinApp modo de download do ThinApp Descrição No modo de streaming do ThinApp, os aplicativos virtualizados são transmitidos sempre que são iniciados. Esse método evita o uso de espaço em disco no desktop que seria usado durante a cópia dos aplicativos virtualizados para o desktop. O desktop deve estar conectado ao compartilhamento de rede dos pacotes ThinApp para que os aplicativos sejam executados. Os seguintes ambientes podem fornecer a consistência e a estabilidade necessárias: Desktops do Horizon, sem monitoração de estado ou persistentes, com excelente conectividade com o compartilhamento de arquivos no qual os pacotes ThinApp residem. Usuários com desktop do Windows que não são desktops do Horizon, compartilhados por vários usuários. Essa situação evita o acúmulo no disco de aplicativos específicos do usuário baixados e também fornece acesso rápido a aplicativos sem causar um atraso nos downloads específicos de um usuário. A conta que o usuário utiliza para fazer login no sistema do Windows é usada para obter os pacotes ThinApp do compartilhamento de rede. Essa conta deve ter permissões adequadas no compartilhamento de rede para ler e executar os arquivos a partir do compartilhamento de rede. No modo de download do ThinApp, os aplicativos são baixados para o endpoint do Windows. O usuário executa o aplicativo virtualizado localmente no endpoint. Você pode preferir o modo de download do ThinApp nas seguintes situações: Desktops do Horizon persistentes Desktops conectados por LAN que estão periodicamente offline Uma LAN com latência de rede fraca O VMware Identity Manager fornece dois tipos de modo de download do ThinApp: COPY_TO_LOCAL e HTTP_DOWNLOAD. Se o cliente estiver configurado para COPY_TO_LOCAL, o endpoint do Windows deverá ter ingressado no mesmo domínio que o compartilhamento de arquivos, a menos que a opção AUTO_TRY_HTTP esteja ativada e o VMware Identity Manager esteja configurada acesso baseado em conta ao compartilhamento de rede dos pacotes ThinApp. Quando a opção AUTO_TRY_HTTP está ativada e VMware Identity Manager está configurado para acesso baseado em conta, se o endpoint do Windows não estiver associado ao mesmo domínio e a primeira tentativa de fazer download dos pacotes ThinApp falhar, o aplicativo VMware Identity Manager Desktop tentará automaticamente fazer download dos pacotes ThinApp usando o protocolo HTTP como no modo HTTP_DOWNLOAD. Com HTTP_DOWNLOAD, o endpoint do Windows não precisa ter ingressado no mesmo domínio que o compartilhamento de arquivos. No entanto, durante o uso de HTTP_DOWNLOAD, o tempo gasto para cópia e sincronização é significativamente maior do que quando COPY_TO_LOCAL é utilizado. Importante Se o VMware Identity Manager não estiver ativado para acesso baseado em conta, fazer download usando o protocolo HTTP não funcionará, mesmo que AUTO_TRY_HTTP esteja ativado ou o cliente esteja configurado com a opção HTTP_DOWNLOAD. Durante o uso de COPY_TO_LOCAL, a conta que o usuário utiliza para fazer login no sistema do Windows é usada para obter os pacotes ThinApp do compartilhamento de rede. Essa conta deve ter permissões adequadas no compartilhamento de rede para ler e copiar os arquivos a partir do compartilhamento de rede. Durante o uso de HTTP_DOWNLOAD, a conta de usuário do compartilhamento que você insere no console do VMware Identity Manager ao configurar o acesso do VMware Identity Manager ao compartilhamento de rede dos pacotes ThinApp é a conta usada para baixar os pacotes ThinApp. Essa conta de usuário do compartilhamento precisa ter permissão de leitura no compartilhamento de rede dos pacotes ThinApp para copiar os arquivos do compartilhamento de rede. VMware, Inc. 98

99 O compartilhamento de rede dos pacotes ThinApp deve atender aos requisitos adequados do modo de implantação definido para os endpoints do Windows. Consulte o Instalação e configuração do VMware Identity Manager. Período de carência offline e pacotes ThinApp O período de carência offline é o período de tempo durante o qual um aplicativo virtualizado tem permissão para ser inicializado e executado em um sistema do Windows sem sincronização com o VMware Identity Manager. Os pacotes ThinApp são aplicativos virtualizados do Windows e o VMware Identity Manager pode distribuir esses aplicativos para os sistemas Windows. Quando o VMware Identity Manager distribui um pacote ThinApp para o sistema do Windows pela primeira vez para o usuário conectado ao sistema, os aplicativos virtualizados do pacote são registrados nesse sistema do Windows para utilização pelo usuário. Os atalhos adequados são adicionados ao desktop do Windows, e o usuário pode inicializar os aplicativos virtualizados usando-os como aplicativos padrão do Windows instalados nesse sistema. Quando um usuário inicializa um dos aplicativos virtualizados que foi implantado no sistema do Windows pelo VMware Identity Manager, o pacote ThinApp solicita permissão para ser executado partir do agente ThinApp em execução no sistema. O agente ThinApp verifica as condições a seguir. Verifica se o aplicativo está registrado nesse desktop do Windows para o usuário conectado. Verifica se o sistema do Windows foi sincronizado com o VMware Identity Manager dentro do período de carência offline permitido. Se essas duas condições forem verdadeiras, o agente ThinApp permitirá que o aplicativo virtualizado seja executado. A frequência com que o aplicativo VMware Identity Manager Desktop é sincronizado com o VMware Identity Manager é definida pela opção do instalador POLLINGINTERVAL. Por padrão, a frequência é a cada cinco minutos. O período de carência offline é definido como 30 dias por padrão. Se um sistema do Windows tiver tido conectividade de rede para se conectar ao VMware Identity Manager a qualquer momento durante um período de tempo de 30 dias, o aplicativo poderá ser sincronizado com o VMware Identity Manager e os aplicativos virtualizados poderão ser executados. No entanto, se o sistema do Windows não tiver conectividade de rede para se conectar ao VMware Identity Manager, o aplicativo não poderá ser sincronizado com o VMware Identity Manager. Os aplicativos virtualizados registrados nesse sistema do Windows podem ser executados no sistema desconectado até o tempo definido pelo período de carência offline. Atualizando pacotes ThinApp gerenciados após a implantação no VMware Identity Manager Após adicionar um pacote ThinApp ao catálogo da sua organização e habilitar seus usuários do VMware Identity Manager a esse pacote do ThinApp, talvez sua organização queira atualizar esse pacote e fazer com que os usuários usem uma versão nova ou reconstruída do pacote ThinApp, sem ter que desautorizar os usuários do pacote atual e, em seguida, os autorizar ao pacote mais recente. VMware, Inc. 99

100 Um pacote ThinApp atualizado pode ser disponibilizado se uma versão mais recente do aplicativo do Windows para esse pacote for lançada, ou se o empacotador do aplicativo tiver alterado os valores dos parâmetros usados pelo pacote. O ThinApp e as versões mais recentes fornecem um mecanismo de atualização para pacotes ThinApp usados no VMware Identity Manager. Este mecanismo de atualização do ThinApp é diferente dos outros mecanismos de atualização para pacotes ThinApp usados fora de um ambiente do VMware Identity Manager. O pacote ThinApp atualizado deve ter sido atualizado com esse mecanismo para que você consiga implantar o pacote atualizado no VMware Identity Manager e faça com que os usuários vejam automaticamente a versão mais recente. Para os pacotes ThinApp gerenciados no VMware Identity Manager, dois parâmetros Package.ini são usados pelo VMware Identity Manager para determinar que um pacote é uma versão atualizada de outro pacote. AppID O identificador exclusivo para o pacote ThinApp no VMware Identity Manager. Todos os pontos de entrada (executáveis) para o aplicativo do pacote são atribuídos à mesma AppID. Depois que um pacote ThinApp for sincronizado com o catálogo do VMware Identity Manager da sua organização, a AppID do pacote aparece na coluna GUID na página de recursos do pacote ThinApp. Este valor é composto por caracteres alfanuméricos em um padrão de conjuntos de caracteres, cada conjunto separado por traços, como no exemplo a seguir: XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX O VMware Identity Manager considera qualquer pacote ThinApp com a mesma AppID como versões do mesmo aplicativo. VersionID O número da versão do pacote ThinApp. O VMware Identity Manager usa a VersionID para manter o controle das diferentes versões do pacote ThinApp gerenciado. Você incrementa o valor da VersionID por um (1) para marcar esse pacote ThinApp como uma atualização de outro pacote, mantendo a mesma AppID. Você coloca o pacote atualizado em uma nova pasta na pasta de compartilhamento de rede configurada para os pacotes ThinApp gerenciados. Consulte Instalando e Configurando VMware Identity Manager. Quando o VMware Identity Manager executa a sincronização agendada com a pasta de compartilhamento de rede e encontra um aplicativo que tenha a mesma AppID que outro aplicativo, ele VMware, Inc. 100

101 compara os valores de VersionID. O pacote ThinApp com a maior VersionID é utilizado como a atualização mais recente. O VMware Identity Manager incorpora automaticamente os direitos de usuário anteriores ao pacote ThinApp com a maior VersionID, e os atalhos nos sistemas dos usuários são sincronizados para apontar para o pacote atualizado. Importante O parâmetro InventoryName do ThinApp padrão é importante para as atualizações bemsucedidas de pacotes ThinApp gerenciados. Ambos os pacotes ThinApp anteriores e atualizados devem ter o mesmo valor para o parâmetro InventoryName. Se a pessoa que está criando o pacote ThinApp alterar o InventoryName em um pacote e, em seguida, criar um pacote atualizado, você deve garantir que os valores de InventoryName correspondam para que as atualizações funcionem corretamente no VMware Identity Manager. Consulte o Guia de Referência dos Parâmetros do Package.ini do ThinApp para obter detalhes sobre os vários parâmetros usados em um arquivo Package.ini do pacote do ThinApp. Atualizar um pacote ThinApp gerenciado A atualização de um pacote ThinApp que já está gerenciado pelo VMware Identity Manager e já está no catálogo da sua organização envolve várias etapas. O pacote ThinApp atualizado pode ser fornecido a você por outro grupo em sua organização. Para garantir que o VMware Identity Manager possa usar automaticamente o pacote atualizado no lugar do existente para os usuários autorizados, você deve garantir que o pacote atualizado foi criado usando-se a mesma AppID que o pacote atual, tenha um valor de VersionID maior que o valor da versionid do pacote existente e esteja habilitado para o gerenciamento pelo VMware Identity Manager. Pré-requisitos Verifique se você tem acesso ao local em que seus pacotes ThinApp gerenciados residem e se você pode criar subpastas nesse local. Próximo passo Seu catálogo VMware Identity Manager exibe a nova versão do pacote ThinApp atualizado após a próxima sincronização do pacote ThinApp. Se você quiser ver a nova versão refletida na página de recursos do pacote do ThinApp, poderá sincronizar manualmente usando a página Aplicativos Empacotados - ThinApp do console do VMware Identity Manager. Obter os valores AppID e versionid de um pacote ThinApp gerenciado Para garantir que o VMware Identity Manager use automaticamente o pacote ThinApp atualizado no lugar do atual, o pacote ThinApp atualizado deve ser criado usando o AppID do pacote ThinApp gerenciado atualmente e um valor de VersionID mais alto que a versão atual. Quando o processo do Setup Capture é utilizado para criar um pacote ThinApp atualizado, o valor de AppID é automaticamente recuperado pelo programa Setup Capture a partir dos executáveis do pacote ThinApp existente, e o valor de VersionID é incrementado automaticamente. No entanto, a pessoa que cria o pacote ThinApp atualizado pode usar um método diferente para criar o pacote atualizado. Quando VMware, Inc. 101

102 o processo do Setup Capture não é usada para criar o pacote ThinApp atualizado, a pessoa que cria o pacote deve obter os valores de AppID e VersionID para o pacote ThinApp atualmente gerenciado pelo VMware Identity Manager. Os valores de AppID e VersionID são exibidos nas páginas na página de recursos do pacote ThinApp no console do VMware Identity Manager. Procedimentos 1 No console do VMware Identity Manager, clique na guia Catálogo > Aplicativos Virtuais. 2 (Opcional) Clique no ícone no título da coluna Tipo e procure o pacote por nome ou selecione Pacote ThinApp para exibir todos os pacotes ThinApp. 3 Clique no pacote ThinApp. 4 Anote um dos seguintes valores. O valor Versão na seção Definição da página. O valor AppID listado na coluna GUID da seção Pacote ThinApp. O valor listado na coluna GUID é o valor que o VMware Identity Manager usa para identificar esse pacote ThinApp. Próximo passo Para criar o pacote ThinApp atualizado, conclua as etapas em Criar o pacote ThinApp atualizado. Criar o pacote ThinApp atualizado Os valores da AppID e da VersionID do pacote ThinApp gerenciado atualmente são usados para criar o pacote atualizado. O pacote atualizado usa o mesmo valor da AppID e um valor da VersionID mais alto. Às vezes, o pacote ThinApp atualizado é fornecido a você por outra equipe em sua organização. A pessoa que cria o pacote ThinApp atualizado pode usar um dos métodos descritos. Pré-requisitos Verifique se você tem os valores da AppID e da VersionID do pacote ThinApp atual completando os passos em Obter os valores AppID e versionid de um pacote ThinApp gerenciado. Verifique se você tem uma versão do programa ThinApp que é compatível com sua versão do VMware Identity Manager. Para obter informações atualizadas sobre as versões do ThinApp específicas, consulte as VMware Product Interoperability Matrixes em VMware, Inc. 102

103 Procedimentos u Usando uma versão do programa ThinApp que seja suportada pelo VMware Identity Manager, crie o pacote ThinApp atualizado usando um dos métodos disponíveis. Opção Recapture usando o Setup Capture. Descrição Use esse método quando a pasta do projeto para o pacote ThinApp existente gerenciado pelo VMware Identity Manager estiver indisponível. Para criar um pacote atualizado com o Setup Capture, você precisará apenas dos seguintes itens: Os executáveis do aplicativo extraídos do pacote ThinApp existente O instalador do aplicativo O programa do Setup Capture e do ThinApp em uma versão suportada pelo VMware Identity Manager. Durante o processo de captura, selecione gerenciar o pacote com o VMware Identity Manager e certifique-se de que o pacote seja uma versão atualizada de um pacote ThinApp com base já existente. Navegue para a pasta que contém os executáveis para o pacote ThinApp gerenciado atualmente. Aponte para a pasta e não para os executáveis específicos. Com esse método, você não precisará obter a AppID ou os valores da VersionID antes de criar o pacote atualizado. Após ter designado o pacote como uma atualização e esta apontar para a versão anterior no Setup Capture, o processo de captura lerá a AppID do pacote anterior e o reusará para o pacote atualizado. O processo também fornece uma VersionID incrementada para o pacote atualizado e atribui a mesma InventoryName. Atualize o arquivo Package.ini manualmente e então compile o pacote. Use o comando relink -h para as opções AppID e VersionID. Use esse método quando não tiver o instalador do aplicativo para o processo de recaptura, ou quando precisar atualizar o pacote para uma versão mais recente do ThinApp e desejar atualizar mais do que aquilo de que a relink do comando daria conta. Devido à recompilação de um pacote incorporar mudanças ao sistema e ao registro do arquivo que acompanha uma nova versão do ThinApp, uma recompilação obteria essas alterações, tal como na situação em que uma nova versão do ThinApp fornece um novo parâmetro Package.ini que você deseje configurar. Para marcar o novo pacote como uma atualização, edite os seguintes parâmetros do VMware Identity Manager na seção [Build Options] do arquivo Package.ini: Defina o parâmetro da AppID para que ele corresponda ao valor da AppID do aplicativo ThinApp gerenciado atualmente. Você não poderá reusar valor de genid para a AppID, porque assim um valor de AppID será gerado para o pacote atualizado e o VMware Identity Manager não reconhecerá o novo pacote como uma atualização para aquele já existente. Incremente o valor do parâmetro da VersionID para um inteiro mais alto do que o pacote ThinApp gerenciado atualmente. Caso não haja nenhum VersionID parâmetro de para o pacote gerenciado atualmente, via de regra seu valor será 1, e você deverá adicionar uma linha para o parâmetro da VersionIDao Package.ini e configurá-lo para um valor 2 (VersionID = 2). Certifique-se de que o valor da InventoryName do parâmetro corresponda ao valor da InventoryName do pacote gerenciado atualmente. Os valores da InventoryName para o pacote atual e para o pacote atualizado devem ser idênticos. Utilize esse método em uma das seguintes situações: Você não tem a pasta do projeto para o aplicativo. VMware, Inc. 103

104 Opção Descrição Você já capturou, compilou e testou o pacote fora de um ambiente do VMware Identity Manager, e as únicas etapas que faltam são habilitar o pacote atualizado para o VMware Identity Manager e substituí-lo no compartilhamento de rede usado pelo VMware Identity Manager. Você está atualizando o pacote apenas para atualizar o tempo de execução do pacote para incorporar os ajustes de bug disponíveis na nova versão ThinApp. Por exemplo, você alterou o diretório do projeto, incluindo o arquivo Package.ini, para um aplicativo virtual, recompilou o pacote e testou-o, o ambiente de teste pode não ter sido o VMware Identity Manager. O estágio final da atualização do aplicativo é habilitá-lo para o VMware Identity Manager. Nesse ponto, o caminho mais fácil é usar o comando relink -h, em vez de recapturá-lo ou recompilá-lo. Observação O tempo de execução do ThinApp é sempre atualizado quando você executa o comando relink -h em um pacote ThinApp. Você poderá executar o comando vincular novamente a partir do diretório de Arquivos de Programas do ThinApp para ajudá-lo a conseguir ajuda na sintaxe do comando. Quando o pacote ThinApp existente já estiver habilitado para uso pelo VMware Identity Manager, você poderá executar o seguinte comando para reusar a AppID do pacote já existente e incrementar a VersionID: relink -h -VersionID + pasta executável/*.* Onde pasta executável é uma pasta que contém os executáveis do pacote ThinApp que você deseja atualizar. Importante Quando usa o comando relink, você não pode apontá-lo diretamente para a pasta dos executáveis do pacote no compartilhamento de rede usado para os pacotes ThinApp no ambiente do VMware Identity Manager. O comando converte os antigos executáveis em arquivos BAK quando atualiza o tempo de execução do ThinApp, e grava esses arquivos BAK, bem como os novos arquivos, na pasta. Devido ao compartilhamento de rede normalmente não permitir esse tipo de gravação, você deverá apontar o comando vincular novamente para uma cópia da pasta de executáveis. Outros casos de uso para o comando relink, incluindo a habilitação de um pacote ThinApp para uso em um ambiente do VMware Identity Manager, são cobertos no artigo disponível na base de dados de conhecimento em Você tem um conjunto de arquivos (arquivos EXE, e opcionalmente arquivos DAT) para o pacote ThinApp atualizado. Próximo passo Copie os arquivos para uma nova subpasta no compartilhamento de rede cumprindo as seguintes etapas em Copiar um pacote ThinApp atualizado no compartilhamento de rede. Copiar um pacote ThinApp atualizado no compartilhamento de rede Depois de criar o pacote ThinApp atualizado, você copia os arquivos apropriados em uma nova subpasta no mesmo nível que a subpasta existente no compartilhamento de rede. VMware, Inc. 104

105 Pré-requisitos Verifique se você tem os arquivos para o pacote ThinApp atualizado, como resultado da conclusão das etapas em Criar o pacote ThinApp atualizado e da incrementação do valor VersionID. Verifique se você tem acesso ao compartilhamento de rede, pode criar subpastas e copiar arquivos nela. Procedimentos 1 Na pasta de compartilhamento de rede, crie uma nova subpasta para o pacote ThinApp atualizado. Retenha a subpasta existente para o pacote ThinApp que você está atualizando e não altere seu conteúdo. Após a próxima sincronização agendada, o VMware Identity Manager ignora o pacote antigo quando reconhece que o novo pacote tem o mesmo valor de AppID e um valor de VersionID mais alto. Normalmente, você nomeia a subpasta para corresponder ao nome do aplicativo ThinApp ou indica qual aplicativo está na pasta. Por exemplo, se o compartilhamento de rede for chamado appshare em um host chamado servidor, e o aplicativo for chamado abceditor, a subpasta do pacote ThinApp será \\servidor\appshare\abceditor. Observação Não use caracteres diferentes de ASCII ao criar seus nomes de subpasta de compartilhamento de rede de pacotes ThinApp a serem distribuídos usando o VMware Identity Manager. Os caracteres diferentes de ASCII não são compatíveis. 2 Copie os arquivos EXE e DAT do pacote ThinApp atualizado nessa nova subpasta. 3 (Opcional) Se não quiser esperar pelo próximo horário de sincronização agendado, você pode sincronizar o VMware Identity Manager manualmente com o compartilhamento de rede por meio da página Aplicativos Empacotados - ThinApp do console do VMware Identity Manager. Quando o VMware Identity Manager executa a sincronização agendada com a pasta de compartilhamento de rede e encontra um aplicativo que tenha a mesma AppID que outro aplicativo, ele compara os valores de VersionID. O pacote ThinApp com a maior VersionID é utilizado como a atualização mais recente. O VMware Identity Manager incorpora automaticamente os direitos de usuário anteriores ao pacote ThinApp com a maior VersionID, e os atalhos nos sistemas dos usuários são sincronizados para apontar para o pacote atualizado. VMware, Inc. 105

106 Tornar pacotes ThinApp existentes compatíveis com o VMware Identity Manager Você pode converter um pacote ThinApp de um que não é compatível com o VMware Identity Manager em um que o VMware Identity Manager pode distribuir e gerenciar. Você pode usar um dos seguintes métodos: usar o comando relink do ThinApp 4.7.2, recriar o pacote a partir dos respectivos arquivos de projeto do ThinApp após a edição do arquivo Parcagem.ni do projeto para adicionar os parâmetros do VMware Identity Manager necessários ou recapturar o aplicativo do Windows com as configurações adequadas do VMware Identity Manager selecionadas no programa ThinApp Set up Capture. Observação Um pacote ThinApp compatível com o VMware Identity Manager pode ser usado somente para uma implantação do VMware Identity Manager. Somente os usuários do VMware Identity Manager com o aplicativo VMware Identity Manager Desktop instalado podem inicializar e executar esses pacotes ativados. Em tempo de execução, o pacote ThinApp carrega uma DLL nomeada de forma específica, e usa essa DLL para verificar o direito do usuário com o VMware Identity Manager. Como a DLL é instalada com o aplicativo VMware Identity Manager Desktop, esses pacotes ThinApp podem ser executados somente em sistemas do Windows nos quais o aplicativo VMware Identity Manager Desktop está instalado. Pré-requisitos Verifique se você tem acesso aos itens necessários para o seu método escolhido. Se estiver usando o comando relink, verifique se você tem os arquivos executáveis do pacote ThinApp que está convertendo e o aplicativo relinga.exe do ThinApp Se estiver atualizando o arquivo Parcagem.ni do projeto do ThinApp e recriando o pacote, verifique se você tem os arquivos de projeto que o programa ThinApp precisa para recriar o pacote. Se estiver recuperando o aplicativo do Windows, verifique se você tem o programa ThinApp Set up Capture e o instalador do aplicativo, além de outros itens que o programa precisa para recuperar o aplicativo. Consulte o Guia do usuário do ThinApp para obter detalhes. Verifique se você tem acesso ao compartilhamento de rede do ThinApp usado pelo VMware Identity Manager, que você pode criar subastas e copiar arquivos para ela. VMware, Inc. 106

107 Procedimentos u Utilizando uma versão programa ThinApp com suporte do VMware Identity Manager, crie um pacote ThinApp compatível usando um dos métodos disponíveis. Opção Use o comando relink -h. Descrição Usar o comando relink -h é o método mais fácil. Você deve usar o programa relinga.exe do ThinApp ou versões posteriores. Utilize esse método em uma das seguintes situações: Você não pode usar o método de recriação, pois não tem a pasta do projeto. Usar o Set up Capture para recapturar o aplicativo levaria muito tempo. Você não tem o instalador do aplicativo, que é necessário para recapturar usando o Set up Capture. Observação O tempo de execução do ThinApp é sempre atualizado quando você executa o comando relink -h em um pacote ThinApp. Você poderá executar o comando vincular novamente a partir do diretório de Arquivos de Programas do ThinApp para ajudá-lo a conseguir ajuda na sintaxe do comando. Para criar um pacote compatível, utilize a sintaxe básica do comando: relink -h pasta executável/*.* Onde pasta executável é uma pasta que contém os executáveis do pacote ThinApp que você deseja atualizar. Importante Quando usa o comando relink, você não pode apontá-lo diretamente para a pasta dos executáveis do pacote no compartilhamento de rede usado para os pacotes ThinApp no ambiente do VMware Identity Manager. O comando converte os antigos executáveis em arquivos BAK quando atualiza o tempo de execução do ThinApp, e grava esses arquivos BAK, bem como os novos arquivos, na pasta. Devido ao compartilhamento de rede normalmente não permitir esse tipo de gravação, você deverá apontar o comando vincular novamente para uma cópia da pasta de executáveis. Outros casos de uso do comando relink são abordados no artigo da base de conhecimento da VMware em Atualize o arquivo Parcagem.ni manualmente com os parâmetros necessários e, em seguida, recrie o pacote. Utilize esse método quando você não tiver o instalador do aplicativo para o processo de recaptura, quando desejar evitar a configuração adiantada que a recaptura do aplicativo exige ou quando desejar incorporar a funcionalidade de uma versão mais recente do ThinApp além do que o comando relink forneceria. Devido à recompilação de um pacote incorporar mudanças ao sistema e ao registro do arquivo que acompanha uma nova versão do ThinApp, uma recompilação obteria essas alterações, tal como na situação em que uma nova versão do ThinApp fornece um novo parâmetro Package.ini que você deseje configurar. Na seção [Build Options] do arquivo Parcagem.ni, adicione os seguintes parâmetros: ;--- VMware Identity Manager Parameters --- AppID=genid NotificationDLLs=hzntapluginlugin.dll VMware, Inc. 107

108 Opção Descrição Halofuginona.dl é a DLL que o tempo de execução do ThinApp chamada para verificar o direito do usuário do VMware Identity Manager a usar o aplicativo virtualizado. Opcionalmente, você pode incluir o parâmetro HorizonOrgURL e defini-lo como o seu nome de domínio totalmente qualificado do VMware Identity Manager. Consulte o Instalação e configuração do VMware Identity Manager. Recapture usando o Set up Capture e selecione as configurações necessárias do VMware Identity Manager. Utilize esse método quando você preferir recapturar o aplicativo em vez de usar um dos outros métodos. Para criar um pacote compatível utilizando o ThinApp Set up Capture, selecione as configurações adequadas no assistente para gerenciar o pacote com o VMware Identity Manager durante o processo de captura. Consulte o Guia do usuário do ThinApp para obter detalhes sobre o processo de captura. Você tem um conjunto de arquivos (arquivos EXE e, opcionalmente, arquivos DAT) de um pacote ThinApp que o VMware Identity Manager pode distribuir e gerenciar. Próximo passo Para obter as etapas para adicionar pacotes ThinApp ao compartilhamento de rede, consulte Criar um compartilhamento de rede para pacotes ThinApp que o VMware Identity Manager gerencia. Alterar a pasta de compartilhamento dos pacotes ThinApp Após configurar o acesso do VMware Identity Manager aos seus pacotes ThinApp, é possível que seu ambiente de TI mude tanto que seus pacotes ThinApp estejam em outro local. Quando essa situação ocorre, no console do VMware Identity Manager, atualize o caminho para a nova localização. Pré-requisitos Verifique se o local de compartilhamento da nova rede adere às exigências de compartilhamento da rede conforme descrito em Requisitos do VMware Identity Manager para pacotes ThinApp e o repositório do compartilhamento de rede. Procedimentos 1 Faça login no console do VMware Identity Manager. 2 Selecione a guia Catálogo > Coleções de Aplicativos Virtuais. 3 Selecione a coleção de ThinApp e clique em Editar. 4 No assistente de Edição do ThinApp, clique em Configuração para acessar a página Configuração. 5 Altere o valor na caixa de texto Caminho para a nova pasta de compartilhamento onde os pacotes ThinApp estão localizados no formato de caminho UNC. 6 (Opcional) Caso o novo compartilhamento seja um compartilhamento DFS, marque a caixa de seleção Habilitar acesso baseado em conta e digite o nome e a senha de um usuário que tenha acesso de leitura a esse compartilhamento de rede. VMware, Inc. 108

109 7 Clique em Avançar e em Salvar. Especificando políticas de acesso para desktops e aplicativos específicos O conjunto de políticas de acesso padrão se aplica a todos os aplicativos e desktops no seu catálogo. Você também pode definir políticas de acesso para aplicativos ou desktops individuais, que substituem a política de acesso padrão. Você pode configurar as políticas de aplicativos para desktops e aplicativos na página de configuração do aplicativo ou na página Políticas. Para obter informações detalhadas sobre as políticas de acesso e como elas são aplicadas, consulte o Guia de Administração do VMware Identity Manager. Procedimentos 1 Para selecionar uma política de acesso para um aplicativo específico na página de configuração do aplicativo, siga estas etapas. a b c No console do VMware Identity Manager, selecione a guia Catálogo > Aplicativos Virtuais. Clique no aplicativo. Clique em Editar. Determinados campos na página do aplicativo agora são editáveis. d e Na seção Políticas de Acesso, selecione o conjunto de políticas de acesso para o aplicativo. Clique em Salvar no topo da página. 2 Para aplicar uma política de acesso a um ou mais aplicativos e desktops na página Políticas, siga estas etapas. a b c d e No console dovmware Identity Manager, navegue até a página Gerenciamento de Identidade e Acesso > Políticas. Clique em uma política para editá-la ou clique em Adicionar Política para criar uma nova política. Na página Definição do assistente, na seção Aplica-se a, selecione os aplicativos e desktops aos quais você deseja aplicar a política. Na seção Aplicável a, selecione os aplicativos aos quais você deseja aplicar a política. Salve as alterações. VMware, Inc. 109

110 Configurando o VMware 7 Identity Manager Desktop Antes que os usuários do VMware Identity Manager possam executar os pacotes ThinApp registrados neles usando o VMware Identity Manager, eles precisam que o aplicativo do VMware Identity Manager Desktop esteja instalado e em execução nos seus sistemas do Windows. O aplicativo do VMware Identity Manager Desktop pode ser instalado por meio de um clique duplo no seu arquivo executável do instalador e usando-se o assistente de instalação, por meio da execução do arquivo executável usando as opções da linha de comando ou por meio da execução de um script que usa as opções da linha de comando. São necessários privilégios de administrador local para a instalação do aplicativo. A configuração do aplicativo do VMware Identity Manager Desktop no endpoint do Windows determina se um pacote ThinApp distribuído usando-se o VMware Identity Manager é implantado por meio do modo contínuo do ThinApp, o RUN_FROM_SHARE ou por meio de um dos modos de download do ThinApp, COPY_TO_LOCAL ou HTTP_DOWNLOAD. Ao criar o script para instalar silenciosamente o VMware Identity Manager Desktop em endpoints do Windows, como computadores desktop e laptop, defina as opções que configuram o modo de implantação do pacote ThinApp. Escolha o modo de implantação mais adequado ao ambiente de rede dos endpoints selecionados, considerando detalhes como a latência da rede. Importante O modo HTTP_DOWNLOAD requer que a URL do IDP seja acessível pela máquina do Windows do usuário. Os modos RUN_FROM_SHARE e COPY_TO_LOCAL requerem que o compartilhamento do ThinApp seja acessível pela máquina do Windows do usuário. Observação Se qualquer janela do navegador estiver aberta durante a instalação do aplicativo do VMware Identity Manager Desktop, podem ocorrer problemas com a inicialização de pacotes ThinApp a partir do portal do usuário. Feche todas as janelas do navegador antes de instalar o aplicativo ou, imediatamente após a instalação do aplicativo, reinicie os navegadores. Consulte Pacotes ThinApp não inicializam a partir do Portal do Usuário. Este capítulo inclui os seguintes tópicos: Opções do instalador da linha de comando para o desktop do VMware Identity Manager Instale o aplicativo do VMware Identity Manager Desktop com configurações idênticas para vários sistemas do Windows VMware, Inc. 110

111 Adicionar arquivos do instalador do VMware Identity Manager Desktop aos appliances virtuais do VMware Identity Manager Usando o aplicativo da linha de comando hws-desktop-ctrl.exe Opções do instalador da linha de comando para o desktop do VMware Identity Manager Você poderá configurar diversas opções para o aplicativo do VMware Identity Manager Desktop ao executar seu programa de instalação usando a linha de comando ou um script de implantação. Opções de linha de comando disponíveis para o instalador do VMware Identity Manager Desktop Após baixar o arquivo.exe para o instalador do aplicativo do cliente destinado a um sistema do Windows, você poderá consultar uma lista das opções de instalação executando o seguinte comando: VMware-Identity-Manager-Desktop-n.n.n-nnnnnnn /? onde n.n.n-nnnnnnn representa a versão do arquivo e o número da compilação. Aparece uma caixa de diálogo que lista as opções de instalação disponíveis para a instalação do aplicativo do cliente usando a linha de comando ou um script de implantação. Tabela 7 1. Opções de linha de comando do instalador Opções de instalador Valor Descrição /? Exibe as opções de linha de comando do instalador. /a Executa uma instalação administrativa. Para obter mais informações, veja a documentação do Windows Installer. /a caminho completo para a instalação administrativa existente Corrige uma instalação administrativa existente. /s Oculta a caixa de diálogo de inicialização durante a instalação. Para fazer a instalação no modo silencioso, use /s /v/qn. No modo silencioso, nenhuma mensagem, caixa de diálogo ou prompt é exibido durante a instalação. Normalmente, essa opção é usada ao criar um script de implantação para executar o instalador. /v pares de chave-valor Um conjunto de parâmetros para passar o instalador, especificado como pares de chave-valor. Use o formato key=value. Esses argumentos configuram as opções de tempo de execução para os pacotes ThinApp e para o VMware Identity Manager Desktop em geral. /c Limpa as informações do registro de instalação. VMware, Inc. 111

112 Tabela 7 1. Opções de linha de comando do instalador (Continuação) Opções de instalador Valor Descrição /l [caminho completo para o arquivo de log] Executa o log detalhado e o salva no arquivo de log especificado. Caso você não especifique um arquivo de log, um log padrão em %TEMP% será usado. /x Desempacote o instalador na pasta %TEMP%. Pares de chave-valor para a opção /v Você poderá usar os seguintes pares de chave-valor para a opção de instalador /v. VMware, Inc. 112

113 Tabela 7 2. Chaves para a opção de linha de comando do instalador /v Chave Valor Descrição WORKSPACE_SE RVER INSTALL_MODE Nome do host ou URL do serviço do VMware Identity Manager Um dos seguintes: COPY_TO_LOCAL HTTP_DOWNLOAD RUN_FROM_SHARE Fornece o nome do host de serviço ou URL do VMware Identity Manager, para permitir que o aplicativo do VMware Identity Manager Desktop se comunique com o serviço. HTTPS é o protocolo exigido. Marque o valor entre aspas. Use o seguinte formato: WORKSPACE_SERVER=" ou WORKSPACE_SERVER="VMwareIdentityManagerHostName" Por exemplo: WORKSPACE_SERVER=" WORKSPACE_SERVER="myserver" Define o modo de implantação para o modo de o aplicativo do VMware Identity Manager Desktop obter os pacotes ThinApp no tempo de execução. Os pacotes ThinApp são virtualizados nos aplicativos Windows. Os pacotes ThinApp residem em um compartilhamento de rede integrado com o VMware Identity Manager. COPY_TO_LOCAL: Os pacotes autorizados do usuário são baixados no sistema do Windows do cliente usando uma cópia de arquivo. Quando o usuário inicializa um pacote ThinApps, o aplicativo virtualizado é executado localmente nesse sistema. Antes de o usuário fazer o primeiro download, usar um pacote ThinApp autorizado e continuar a sincronização dos pacotes no sistema do Windows do cliente, o sistema do Windows do cliente deverá ingressar no mesmo domínio do Active Directory no qual o compartilhamento de rede do pacote ThinApp está ingressado. A conta de usuário utilizada para fazer login no sistema do Windows é a conta usada para obter os pacotes ThinApp a partir do compartilhamento de rede. Essa conta deve ter permissões adequadas no compartilhamento de rede para ler e copiar os arquivos a partir do compartilhamento de rede. Importante O modo COPY_TO_LOCAL requer que o compartilhamento do ThinApp seja acessível pela máquina do Windows do usuário. HTTP_DOWNLOAD: Os pacotes autorizados do usuário são baixados no sistema do Windows do cliente usando o protocolo HTTP. Quando o usuário inicializa um pacote ThinApps, o aplicativo virtualizado é executado localmente nesse sistema. O aplicativo do VMware Identity Manager Desktop usa a conta do sistema do VMware Identity Manager do usuário para autenticar-se no VMware Identity Manager a fim de obter a lista dos pacotes autorizados do usuário para download. A conta de usuário de compartilhamento fornecida no console do VMware Identity Manager para habilitar o acesso com base em conta ao compartilhamento de rede dos pacotes ThinApp usados pelo VMware Identity Manager para acessar os pacotes do ThinApp a partir do repositório. Essa conta de usuário de compartilhamento para o VMware Identity Manager precisa ler a permissão no compartilhamento de rede. A conta que o usuário utilizou para fazer login no sistema do Windows e a conta de sistema do usuário no VMware Identity Manager não precisam de nenhuma permissão no compartilhamento de rede. O cliente do sistema do Windows não tem de ingressar no mesmo domínio no qual o compartilhamento de rede dos VMware, Inc. 113

114 Tabela 7 2. Chaves para a opção de linha de comando do instalador /v (Continuação) Chave Valor Descrição pacotes ThinApp está ingressado. Esse método de download é normalmente mais lento do que outros. O benefício desse modo reside no fato de o sistema do Windows do cliente não ter de ingressar no domínio do Active Directory para obter e executar o aplicativo virtualizado. Importante Para que a opção HTTP_DOWNLOAD funcione, a integração dos pacotes ThinApp no VMware Identity Manager deve ser configurada para acesso com base em conta. Consulte o Instalação e configuração do VMware Identity Manager. Importante Para o VMware Identity Manager 2.6 e posterior no Windows 2008 R2 ou no Windows 7, a opção HTTP_DOWNLOAD não funcionará, a menos que você habilite o TLS 1.0 no VMware Identity Manager ou habilite o TLS 1.1. ou 1.2 no sistema do Windows 2008 R2 ou do Windows 7. Para habilitar o TLS 1.0 no VMware Identity Manager, consulte o artigo da Base de Conhecimento. Para habilitar o TLS 1.1 ou 1.2 no sistema do Windows, consulte a documentação da Microsoft em Importante O modo HTTP_DOWNLOAD requer que a URL do IDP seja acessível pelo sistema do Windows do usuário. RUN_FROM_SHARE: O aplicativo virtualizado é transmitido para o sistema do Windows do cliente a partir do compartilhamento de rede quando o usuário inicializa o pacote ThinApp. A opção RUN_FROM_SHARE é mais adequada aos sistemas do Windows que sempre tenham conectividade com o compartilhamento de rede onde os pacotes ThinApp residirem, porque os pacotes ThinApp não estão presentes no sistema do Windows e os aplicativos virtualizados são executados apenas se o sistema do Windows puder conectar-se ao compartilhamento de rede. O cliente do sistema do Windows deve ingressar no mesmo domínio do Active Directory no qual o compartilhamento de rede dos pacotes ThinApp está ingressado. A conta de VMware, Inc. 114

115 Tabela 7 2. Chaves para a opção de linha de comando do instalador /v (Continuação) Chave Valor Descrição usuário utilizada para fazer login no sistema do Windows é a conta usada para obter os pacotes ThinApp a partir do compartilhamento de rede. Essa conta deve ter permissões adequadas no compartilhamento de rede para ler e executar os arquivos a partir do compartilhamento de rede. Importante O modo RUN_FROM_SHARE requer que o compartilhamento do ThinApp seja acessível pela máquina do Windows do usuário. O valor padrão é COPY_TO_LOCAL. O compartilhamento de rede deverá ter as permissões adequadas de compartilhamento e de arquivo configuradas para cada um dos modos. Consulte o Instalação e configuração do VMware Identity Manager. Importante Ao instalar o VMware Identity Manager Desktop em desktops do Horizon flutuantes, use a opção RUN_FROM_SHARE para evitar copiar os pacotes ThinApp nesses sistemas de desktop do Horizon independente. Quando o aplicativo do VMware Identity Manager Desktop é instalado com uma dessas configurações, a conta de usuário que faz login no sistema do Windows deve ter as permissões de compartilhamento e os arquivos adequados no compartilhamento de rede para que seja possível obter os pacotes ThinApp: A opção RUN_FROM_SHARE A opção COPY_TO_LOCAL, sem também ter a opção AUTO_TRY_HTTP habilitada e o acesso com base em conta configurado no VMware Identity Manager POLLING_INTERV AL Frequência em segundos Configura a frequência, em segundos, de sincronização entre o aplicativo VMware Identity Manager Desktop instalado e o VMware Identity Manager para verificar os novos pacotes ou direitos ThinApp. Caso não esteja especificado, aplica-se o valor padrão de 300 segundos (5 minutos). Por exemplo: POLLING_INTERVAL=600 ENABLE_AUTOUP DATE 0 ou 1 Habilita ou desabilita a verificação de atualização automática e a atividade de download. Caso esteja habilitado, o aplicativo do VMware Identity Manager Desktop instalado automaticamente verifica se um novo aplicativo está disponível para download. Caso uma nova versão esteja disponível, o aplicativo do VMware Identity Manager Desktop será baixado automaticamente e atualizado para a versão mais recente. Essa opção já vem habilitada. Defina o valor dessa variável para 0 de maneira que a atualização seja desabilitada. Caso não esteja especificado, aplica-se o valor padrão 1. A instalação das atualizações automáticas exige privilégios de administrador. VMware, Inc. 115

116 Tabela 7 2. Chaves para a opção de linha de comando do instalador /v (Continuação) Chave Valor Descrição SHARED_CACHE 0 ou 1 Determina se o cache do pacote ThinApp está localizado em uma pasta comum no sistema do Windows no qual o aplicativo do cliente está sendo instalado. Defina o valor dessa variável em 1 para especificar que todos os usuários de conta do sistema do Windows compartilhem uma localização de cache comum. Via de regra, a pasta comum é %ProgramData%\VMware\Identity Manager Desktop\thinapp. Caso não esteja especificada, aplica-se o valor padrão 0, e cada conta de usuário obtém seu próprio cache, e o valor padrão é %LOCALAPPDATA %\VMware\Identity Manager Desktop\thinapp. Observação Caso você especifique um cache compartilhado, o aplicativo VMware Identity Manager Desktop não excluirá os pacotes ThinApp desse cache compartilhado. Porque SHARED_CACHE=1 indica que todas as contas de usuário do sistema do Windows compartilham o mesmo local; os pacotes devem permanecer no local compartilhado de modo que os usuários autorizados possam usá-los, mesmo quando um usuário for desautorizado. Ao desautorizar um usuário a partir de um pacote ThinApp, o aplicativo do VMware Identity Manager Desktop cancela o pacote para esse usuário. Outros usuários autorizados nesse sistema do Windows poderão continuar a usar o pacote ThinApp. Você poderá excluir manualmente o cache comum para recuperar o espaço se nenhuma conta de usuário nesse sistema do Windows estiver autorizada a usar os pacotes ThinApp. Cada pacote ThinApp tem sua própria pasta no local do cache. CACHE_DIR Caminho para a pasta Define o local onde os pacotes ThinApp serão armazenados em cache localmente se os modos de instalação HTTP_DOWNLOAD ou COPY_TO_LOCAL forem usados. Esse valor é definido por sistema, não por usuário; portanto, você deverá usar variáveis de ambiente, tais como %LOCALAPPDATA%, para selecionar os locais específicos de usuário. Certifique-se de escapar do caractere % na linha de comando para evitar a expansão imediata. Por exemplo: CACHE_DIR=^%LOCALAPPDATA^%\cache AUTO_TRY_HTTP 0 ou 1 Quando o aplicativo do VMware Identity Manager Desktop é instalado com a opção COPY_TO_LOCAL e o acesso com base em conta é configurado para o VMware Identity Manager, a opção AUTO_TRY_HTTP determina se o cliente deve tentar baixar automaticamente os pacotes ThinApp autorizados do usuário usando o protocolo HTTP, similar à opção HTTP_DOWNLOAD, caso a primeira tentativa de fazer download falhe. Essa opção já vem habilitada. Defina o valor dessa opção para 0 de modo a desabilitá-la automaticamente tentando o protocolo HTTP para o download. Importante Para que a opção AUTO_TRY_HTTP funcione, a integração dos pacotes ThinApp no VMware Identity Manager deve ser configurada para acesso com base em conta. Consulte Requisitos do VMware Identity Manager para pacotes ThinApp e o repositório do compartilhamento de rede. VMware, Inc. 116

117 Tabela 7 2. Chaves para a opção de linha de comando do instalador /v (Continuação) Chave Valor Descrição INSTALL_MODULE S MIGRATE_ACTION thinapp Um dos seguintes: MOVE COPY NONE Uma lista separada por vírgulas especificando quais módulos instalar. Atualmente, apenas o módulo thinapp está disponível. Caso o antigo aplicativo Workspace for Windows esteja instalado, o instalador migrará os dados e as configurações do antigo aplicativo para o novo. O valor padrão é MOVE. As seguintes configurações são movidas, copiadas ou ignoradas, dependendo do valor que você especificar. Pacotes ThinApp armazenados em cache Os pacotes do ThinApp que tiverem sido baixados serão copiados do Workspace para o cache do Windows, %LOCALAPPDATA%\VMware\Horizon ThinApp\PackageCache, para o novo local do cache, %LOCALAPPDATA %\VMware\Identity Manager Desktop\thinapp. Os nomes das pastas dentro da pasta do cache serão alterados. Importante As propriedades definidas para o VMware Identity Manager durante a instalação têm precedência sobre quaisquer valores migrados para essas propriedades. Por exemplo, se o INSTALL_MODE no Workspace for Windows foi configurado para COPY_TO_LOCAL, e, durante a instalação do Manager Desktop você especificar /v INSTALL_MODE=HTTP_DOWNLOAD, então INSTALL_MODE está configurado para HTTP_DOWNLOAD. Exemplo: Usando as opções do instalador de linha de comando VMware Identity Manager Desktop Caso sua instância VMware Identity Manager tenha uma URL de e o VMware Identity Manageresteja configurada para acesso com base em conta ao seu compartilhamento de rede de pacotes ThinApp, e você deseje instalar silenciosamente o aplicativo do VMware Identity Manager Desktop em múltiplos desktops dessa instância do VMware Identity Manager com essas opções: A opção de instalação do ThinApp configurada para HTTP_DOWNLOAD, porque você espera que esses sistemas do Windows não ingressem no domínio. O VMware Identity Manager provavelmente está configurado para acesso com base em conta ao compartilhamento de rede dos pacotes ThinApp. Os clientes verificam se os novos pacotes e direitos com o VMware Identity Manager a cada 60 segundos. Você criaria um script que invoca o seguinte comando: VMware-Identity-Manager-Desktop-n.n.n-nnnnnnn.exe /s /v/qn WORKSPACE_SERVER=" INSTALL_MODE=HTTP_DOWNLOAD POLLING_INTERVAL=60 em que você substitui a parte n.n.n-nnnnnnn do nome do arquivo para que o nome corresponda ao seu instalador VMware Identity Manager Desktop baixado. VMware, Inc. 117

118 Instale o aplicativo do VMware Identity Manager Desktop com configurações idênticas para vários sistemas do Windows Para implantar o aplicativo do VMware Identity Manager Desktop em vários sistemas do Windows e aplicar as mesmas configurações a todos esses sistemas, você pode implementar um script que instala o aplicativo VMware Identity Manager Desktop usando as opções de instalação da linha de comando. Importante As mensagens de erro não aparecem na tela quando você implanta o VMware Identity Manager Desktop silenciosamente. Para verificar se há erros durante uma instalação silenciosa, monitore a pasta %TEMP% buscando novos arquivos vminst.xxxxxx.log. As mensagens de erro para uma instalação silenciosa não aparecem nesses arquivos. Normalmente, esse cenário de implantação é usado para sistemas Windows que são desktops do Horizon. Para ver uma descrição das configurações a serem usadas para desktops do Horizon não persistentes, também conhecidos como flutuantes ou sem monitoração de estado, consulte GUID EC18-4EE7-AD9D-13B7CC6FEF44#GUID EC18-4EE7- AD9D-13B7CC6FEF44. Pré-requisitos Verifique se os sistemas do Windows estão executando sistemas operacionais do Windows suportados para a versão do aplicativo do VMware Identity Manager Desktop que você está instalando. Consulte Guia do usuário do VMware Identity Manager ou as notas da versão. Verifique se há navegadores suportados instalados nos sistemas do Windows. Se você quiser a capacidade de executar um comando para familiarizar-se com as opções disponíveis antes de criar o script de implantação, verifique se você tem um sistema do Windows no qual você pode executar esse comando. O comando para listar as opções só está disponível em um sistema do Windows. Consulte Opções do instalador da linha de comando para o desktop do VMware Identity Manager. Procedimentos 1 Obtenha o arquivo executável do instalador do VMware Identity Manager Desktop e localize o arquivo executável no sistema do qual você deseja executar silenciosamente o instalador. Na página de download do sistema do VMware Identity Manager, é possível baixar o arquivo executável. Se você tiver configurado seu sistema do VMware Identity Manager para fornecer o instalador do aplicativo do Windows a partir da página de download, você pode baixar o arquivo executável abrindo a URL da página de download em um navegador. VMware, Inc. 118

119 2 Usando as opções da linha de comando do instalador, crie um script de implantação que atenda às necessidades da sua organização. Exemplos de scripts que você pode usar: scripts de login, scripts VB, arquivos em lote, SCCM e scripts da política de grupo do Active Directory, entre outros. Por exemplo, se a sua instância do VMware Identity Manager tivesse uma URL você desejasse instalar silenciosamente o cliente do Windows em sistemas do Windows que você espera que serão usados fora do domínio, com o modo de implantação ThinApp definido como o modo de download, e desejasse realizar a sincronização de aplicativo do VMware Identity Manager Desktop com o servidor a cada 60 segundos, você criaria um script para chamar o seguinte comando: VMware-Identity-Manager-Desktop-n.n.n-nnnnnnn.exe /s /v /qn WORKSPACE_SERVER=" INSTALL_MODE=HTTP_DOWNLOAD POLLING_INTERVAL=60 em que você substitui a parte n.n.n-nnnnnnn do nome do arquivo por uma que corresponda à do arquivo baixado. 3 Execute o script de implantação nos sistemas do Windows. Se a instalação silenciosa for bem-sucedida, o aplicativo do VMware Identity Manager Desktop é implantado nos sistemas do Windows. Os usuários conectados nesses sistemas do Windows podem acessar seus ativos autorizados a partir desses sistemas. Observação O pacote ThinApp autorizado de um usuário é transmitido ou baixado e armazenado em cache no sistema do Windows do usuário após a decorrência do intervalo de pesquisa. Como resultado, os usuários poderão ver o pacote ThinApp exibido quando efetuarem login no portal do usuário do VMware Identity Manager. O pacote ThinApp não começa até que o cliente sincronize o aplicativo no próximo intervalo de pesquisa. Próximo passo Tentando executar algumas tarefas de usuário típicas, verifique se o VMware Identity Manager Desktop está devidamente instalado nos sistemas do Windows. Adicionar arquivos do instalador do VMware Identity Manager Desktop aos appliances virtuais do VMware Identity Manager Quando forem liberadas novas versões do VMware Identity Manager Desktop, copie e instale o arquivo zip na página VMware Downloads em cada appliance virtual do VMware Identity Manager na sua implantação. Execute o comando check-client-updates.pl para implantar os arquivos do instalador e reiniciar o serviço Tomcat em cada appliance virtual. VMware, Inc. 119

120 Pré-requisitos Os usuários devem ter privilégios de administrador nos próprios computadores para instalar e atualizar automaticamente o aplicativo VMware Identity Manager Desktop. Se os usuários não tiverem privilégios de administrador, você poderá usar ferramentas de distribuição de software para distribuir e atualizar o aplicativo para os seus usuários. Agende a adição desses arquivos do instalador aos appliances virtuais do VMware Identity Manager durante um período de manutenção, pois o appliance virtual é reiniciado e isso pode interromper o acesso do usuário. Procedimentos 1 Baixe o arquivo zip do VMware Identity Manager Desktop na página My VMware Downloads para um computador que possa acessar o appliance virtual do VMware Identity Manager. 2 Copie o arquivo zip para um local temporário no appliance virtual. Por exemplo: scp filen.n.n-nnnnnnn.zip root@identitymanager-va.com:/tmp/ 3 Faça login no appliance virtual como o usuário root. 4 Descompacte e instale o novo arquivo zip no diretório Downloads. /usr/local/horizon/scripts/check-client-updates.pl --install --clientfile /tmp/file.n.n.nnnnnn.zip Esse script descompacta automaticamente o arquivo e copia o arquivo de instalação do VMware Identity Manager Desktop para os computadores Windows no diretório /opt/vmware/horizon/workspace/webapps/root/client. Ele é atualizado automaticamente para o diretório /opt/vmware/horizon/workspace/webapps/root/client/cds e atualiza o valor do parâmetro da URL do link de downloads. 5 Reinicie o serviço Tomcat no appliance virtual. 6 Repita essas etapas para cada appliance virtual do VMware Identity Manager no seu ambiente. Os usuários podem baixar o aplicativo Identity Manager Desktop das respectivas contas do VMware Identity Manager ou usando o link de download, Os aplicativos do Identity Manager Desktop do usuário serão atualizados automaticamente quando eles baixarem a nova versão. Usando o aplicativo da linha de comando hws-desktopctrl.exe O aplicativo do VMware Identity Manager Desktop inclui um aplicativo da linha de comando, o hwsdesktop-ctrl.exe, que você pode usar para executar operações relacionadas ao uso de pacotes ThinApp no sistema do Windows do usuário. O processo de instalação do aplicativo do VMware Identity Manager Desktop instala o hws-desktopctrl.exe na pasta HorizonThinApp no local do diretório do Windows em que o aplicativo do VMware Identity Manager Desktop está instalado. VMware, Inc. 120

121 Para usar o aplicativo hws-desktop-ctrl.exe para realizar um de seus comandos suportados, use o seguinte formato. hws-desktop-ctrl.exe command options Comando hws-desktop-ctrl.exe recheck hws-desktop-ctrl.exe set InstallMode=install_mode hws-desktop-ctrl.exe authorize guid=thinapp_guid path=package_path Descrição Este comando faz, imediatamente, uma verificação de direito dos pacotes ThinApp associados à conta de usuário que está conectada ao aplicativo do VMware Identity Manager Desktop. Qualquer pacote ThinApp recém-autorizado ou atualizado é sincronizado. Esse comando altera o modo de implantação do ThinApp usado para pacotes ThinApp neste sistema do Windows. Como esse comando altera as chaves de registro associadas ao modo de implantação do ThinApp, apenas os administradores com as permissões de registro apropriadas conseguem alterar o modo de instalação usando esse comando. Os valores disponíveis para install_mode são: CopyToLocal RunFromShare HttpDownload Esse comando verifica se um pacote ThinApp pode ser inicializado. Na verdade este comando não inicializa o pacote ThinApp. Forneça o GUID do pacote ThinApp e o caminho para o arquivo executável do pacote. Se o modo de download do ThinApp for usado para os pacotes no sistema cliente do Windows, o caminho é relativo à pasta raiz de cache local, que é o mesmo que o caminho relativo à raiz do repositório. Exemplo hws-desktop-ctrl.exe authorize guid= 436E1D7D-552C-4F DB1B05D30394 path="filezilla Client 3.3.2/FileZilla.exe" Você pode ver o GUID do pacote ThinApp, o caminho do aplicativo e o nome do arquivo executável na respectiva página de recursos no console do VMware Identity Manager. hws-desktop-ctrl.exe quit hws-desktop-ctrl.exe launch app=package_path url=launch_url Esse comando diz para o aplicativo VMware Identity Manager Desktop sair corretamente. Esse comando é usado para inicializar manualmente um pacote ThinApp, no qual package_path é o caminho para o arquivo executável do pacote e launch_url é a URL do protocolo do VMware Identity Manager desse pacote, no formato horizon://package_caminho. Exemplo hws-desktop-ctrl.exe launch app="filezilla Client 3.3.2/FileZilla.exe" url="horizon://filezilla Client 3.3.2/FileZilla.exe" Esse comando normalmente não é usado por usuários finais, que podem inicializar seus pacotes ThinApp autorizados no portal do Workspace ONE. Normalmente, esse comando é usado para depuração. VMware, Inc. 121

122 Fornecendo acesso aos recursos publicados Citrix 8 Você pode integrar sua implantação da Citrix com o VMware Identity Manager para fornecer um acesso dos usuários do Workspace ONE aos recursos publicados Citrix. Este capítulo inclui os seguintes tópicos: Visão geral da integração de recursos publicados Citrix Componentes necessários para a integração da Citrix Design de integração de alto nível Pré-requisitos para a integração da Citrix Configurando farms de servidores Citrix no VMware Identity Manager Configurando a inicialização de recursos Citrix no VMware Identity Manager Definindo as configurações do VMware Identity Manager para a integração da Citrix Impacto de atualização sobre a integração de recursos publicados Citrix Visão geral da integração de recursos publicados Citrix Integrando sua implantação Citrix ao VMware Identity Manager, você pode fornecer aos usuários do Workspace ONE acesso a recursos publicados pela Citrix. Os recursos publicados Citrix incluem aplicativos e desktops em farms de servidores do Citrix XenApp e do XenDesktop. Desktops também são chamados de grupos de entrega publicados Citrix. Gerencie as áreas de trabalho e os aplicativos publicados Citrix na interface administrativa do Citrix. Defina tamém os direitos de usuário e de grupo na interface do Citrix, não no serviço VMware Identity Manager. Você deve sincronizar esses usuários e grupos com o serviço VMware Identity Manager a partir do Active Directory antes da integração aos farms de servidores Citrix. Para integrar os farms de servidores Citrix ao VMware Identity Manager, crie uma ou mais coleções de aplicativos virtuais no console do VMware Identity Manager. As coleções contêm informações de configuração para os farms de servidores, bem como as configurações de sincronização. Você pode configurar uma agenda de sincronização para sincronizar regularmente os recursos e os direitos dos farms de servidores Citrix com o serviço VMware Identity Manager. VMware, Inc. 122

123 Depois de integrar os farms de servidores Citrix, você pode exibir os recursos e os direitos sincronizados no console do VMware Identity Manager. Você também pode editar as configurações de sessão do ICA, como as configurações que controlam a resolução ou compactação. Você pode definir as configurações globalmente, para todos os recursos Citrix no catálogo do VMware Identity Manager, ou para recursos individuais Citrix. Os usuários finais podem iniciar os aplicativos e desktops publicados Citrix no portal ou aplicativo Workspace ONE. Eles podem instalar o Citrix Receiver nos sistemas e dispositivos para acessar os recursos aos quais eles têm direito. Observação O VMware Identity Manager oferece suporte a implantações Citrix que incluem o Citrix NetScaler. Versões e recursos com suporte O VMware Identity Manager é compatível com o Citrix XenApp 6.0 e 6.5, o XenApp e XenDesktop 7.x e o Citrix Virtual Apps and Desktops Observação A partir do VMware Identity Manager 3.3, não haverá mais suporte para o XenApp 5.x. O VMware Identity Manager oferece suporte à API do Citrix StoreFront 2.6 e posterior. O VMware Identity Manager só oferece suporte à autenticação de nome de usuário e senha no servidor XenApp ou no servidor NetScaler. Ele não oferece suporte a outros métodos de autenticação, como os seguintes: Cartão inteligente HTML 5 Autenticação de dois fatores Autenticação SAML (Citrix FAS) Os sistemas operacionais compatíveis com o Integration Broker, o componente do VMware Identity Manager que se comunica com o farm de servidores Citrix, são o Windows Server 2008 R2, Windows Server 2012, Windows Server 2012 R2 e Windows Server Requisitos de versão do Integration Broker: Versão do VMware Identity Manager ou Connector Versão do Integration Broker compatível VMware Identity Manager VMware Identity Manager Connector VMware Identity Manager VMware Identity Manager Connector (conector lançado com o VMware Identity Manager 3.3) 3.3 VMware Identity Manager VMware Identity Manager Connector (conector lançado com o VMware Identity Manager 3.2) 3.2 VMware, Inc. 123

124 Versão do VMware Identity Manager ou Connector Versão do Integration Broker compatível VMware Identity Manager VMware Identity Manager Connector (conector lançado com o VMware Identity Manager 3.1) 3.1 VMware Identity Manager VMware Identity Manager Connector (conector lançado com o VMware Identity Manager 3.0) VMware Identity Manager ou anterior VMware Identity Manager Connector ou anterior ou anterior ou anterior Observação Para usar a API do Citrix StoreFront, é necessário ter o Integration Broker ou posterior. No XenApp ou no XenDesktop 7.x, é necessário ter o Integration Broker 2.6 ou posterior. Para usar o recurso NetScaler, é necessário ter o Integration Broker 2.4 ou posterior. Observação É recomendável usar a versão mais recente do VMware Identity Manager e seus componentes. Componentes necessários para a integração da Citrix Para integrar uma implantação da Citrix com o serviço do VMware Identity Manager, os componentes a seguir são necessários. Uma instância do VMware Identity Manager instalada no local. Uma instância do Integration Broker instalada em um Windows Server com suporte no local. O Integration Broker, um componente do VMware Identity Manager, é o componente que se comunica com farms de servidores Citrix. Você pode fazer download do Integration Broker em Uma implantação Citrix no local. Durante a implantação dos componentes, verifique se você atende a estes requisitos: O serviço do VMware Identity Manager deve ser capaz de se comunicar com o Integration Broker. Se você implantar várias instâncias do appliance do serviço, verifique se todas elas conseguem se comunicar com o Integration Broker. O Integration Broker deve ser capaz de se comunicar com o farm de servidores Citrix. Observação É recomendável usar a versão mais recente do VMware Identity Manager e seus componentes. VMware, Inc. 124

125 Design de integração de alto nível O VMware Identity Manager usa o Integration Broker e outros componentes para sincronizar os recursos publicados Citrix com o VMware Identity Manager e inicializar os recursos de portal ou aplicativo Workspace ONE. Sincronização de direitos e recursos publicados Citrix O VMware Identity Manager sincroniza aplicativos e desktops publicados Citrix e os direitos de usuário, do farm de servidores Citrix com o serviço do VMware Identity Manager. Você pode definir uma agenda de sincronização para sincronizar os recursos e direitos em intervalos regulares. O farm Citrix é a única fonte da verdade para todas as operações compatíveis no VMware Identity Manager. Gerencie os recursos e autorize os usuários a eles na interface administrativa da Citrix. Quando recursos ou direitos são adicionados, alterados ou excluídos no farm Citrix, as informações são atualizadas no VMware Identity Manager após uma sincronização. Diagrama de arquitetura de sincronização Workspace ONE Citrix Receiver Cliente do Receiver HTML5 Receiver Receiver para Web (Navegador) Configuração do VMware Identity Manager Componentes Citrix 4 Serviço do VMware Identity Manager 3 Conector 1 Integration Broker PowerShell 2 StoreFront Controlador Servidor XML Host da Sessão Host da Sessão Host da Sessão Configuração da Citrix 1 O VMware Identity Manager Connector se conecta às informações do Integration Broker e solicita informações do aplicativo, do grupo de entrega e dos direitos. 2 O Integration Broker obtém as informações de recursos e direitos do servidor Citrix XML. VMware, Inc. 125

126 3 O conector compara as novas informações com as informações dos recursos e direitos existentes e envia as diferenças para o serviço do VMware Identity Manager. 4 O serviço do VMware Identity Manager armazena os resultados no banco de dados do VMware Identity Manager. Inicialização de aplicativos e desktops publicados Citrix O VMware Identity Manager usa o componente do Integration Broker e o Citrix Web Interface SDK ou a REST API do Citrix StoreFront para inicializar aplicativos publicados Citrix no portal ou aplicativo Workspace ONE. Você pode configurar o acesso interno e externo aos recursos publicados Citrix. Os usuários finais devem instalar o Citrix Receiver em seus sistemas ou dispositivos para inicializar os aplicativos e desktops. Diagrama de arquitetura de inicialização (acesso interno) Workspace ONE 5 Citrix Receiver 1 4 Arquivo ICA Serviço do VMware Identity Manager 2 3 Conector Integration Broker Componentes Citrix SDK da Interface da Web/ API do StoreFront 6 Arquivo ICA de autenticação e solicitação da API REST StoreFront Controlador Servidor XML Servidor STA Host da Sessão Host da Sessão Host da Sessão Configuração da Citrix 1 Um usuário inicializa um aplicativo ou desktop publicado Citrix no portal ou aplicativo Workspace ONE. 2 A solicitação vai para o serviço e o conector do VMware Identity Manager, como também para o Integration Broker. 3 O Integration Broker se comunica com o farm de servidores Citrix por meio do Web Interface SDK ou da REST API do StoreFront para autenticar e solicitar o arquivo ICA. 4 O arquivo ICA é obtido e transmitido para o portal ou aplicativo Workspace ONE. 5 O arquivo ICA é transmitido para o Citrix Receiver. VMware, Inc. 126

127 6 O Citrix Receiver inicializa o aplicativo ou desktop. Diagrama de arquitetura de inicialização (acesso externo) Workspace ONE 5 Citrix Receiver 1 4 Arquivo ICA Serviço do VMware Identity Manager 2 3 Conector Integration Broker Componentes Citrix SDK da Interface da Web/ API do StoreFront 6 Arquivo ICA de autenticação e solicitação da API REST StoreFront Controlador Servidor XML Host da Sessão Host da Sessão Servidor STA Host da Sessão 7 NetScaler 8 Configuração da Citrix 1 Um usuário inicializa um aplicativo ou desktop publicado Citrix no portal ou aplicativo Workspace ONE. 2 A solicitação vai para o serviço e o conector do VMware Identity Manager, como também para o Integration Broker. 3 O Integration Broker se comunica com o farm de servidores Citrix por meio do Web Interface SDK ou da REST API do StoreFront para autenticar e solicitar o arquivo ICA. 4 O arquivo ICA é obtido e transmitido para o portal ou aplicativo Workspace ONE. 5 O arquivo ICA é transmitido para o Citrix Receiver. 6 O Citrix Receiver se comunica com o NetScaler. 7 O NetScaler se comunica com o servidor do Citrix STA que tem o tíquete STA e obtém as informações do servidor de sessão da Citrix. 8 O NetScaler se comunica com o servidor do Host da Sessão da Citrix e cria uma sessão de inicialização do aplicativo. Observação Na versão 7.x, o servidor do Host da Sessão da Citrix é o servidor do Citrix VDA. Na versão 6.5, é o servidor do Citrix Worker. VMware, Inc. 127

128 Usando a REST API do StoreFront ou o Web Interface SDK para a inicialização O Integration Broker pode usar o Citrix Web Interface SDK e a REST API do Citrix StoreFront para se comunicar com a implantação da Citrix a fim de inicializar aplicativos ou desktops. Quando a REST API do StoreFront é usada, o Integration Broker atua como um cliente REST. O Web Interface SDK e a REST API do StoreFront são usadas para a autenticação e a geração do arquivo ICA da implantação da Citrix. Você pode especificar qual opção usar selecionando a opção Usar StoreFront ou Usar Web Interface SDK na página de configuração da Citrix no console do VMware Identity Manager. Uma instância do Integration Broker pode usar tanto o Web Interface SDK quanto a REST API do StoreFront. Se você quiser se comunicar com um farm da Citrix usando o Web Interface SDK e outro farm da Citrix usando a REST API do StoreFront, faça as seleções adequadas para cada um. Para usar a opção REST API do StoreFront, que está disponível no VMware Identity Manager e posterior, certifique-se de cumprir os seguintes requisitos. Use a API do StoreFront 2.6 ou posterior. Instale o Integration Broker ou posteriores. Certifique-se de que o StoreFront seja suportado pela versão do XenApp ou XenDesktop que você está usando. Certifique-se de que o Integration Broker possa se comunicar com o servidor do StoreFront. Quando você habilita a REST API do StoreFront, o Integration Broker se comunica com o servidor do StoreFront para gerar o arquivo ICA. No servidor do StoreFront, quando você configura a autenticação para um repositório, domínios confiáveis podem ser configurados para o método de autenticação "Nome de usuário e senha". Se você configurar domínios confiáveis, certifique-se de adicionar nomes de domínio no formato de nome de domínio totalmente qualificado à lista "Domínios confiáveis". Se você usar nomes NetBIOS para o StoreFront, adicione o nome de domínio totalmente qualificado, além do nome NetBIOS. O VMware Identity Manager requer o nome de domínio totalmente qualificado. Se somente o nome NetBIOS for adicionado, a inicialização de aplicativo e desktop da Citrix a partir do Workspace ONE falhará. VMware, Inc. 128

129 Observação Para usar a REST API do StoreFront, você não precisa baixar nem copiar arquivos adicionais em sua instalação. Métodos de autenticação compatíveis no servidor Citrix O VMware Identity Manager só oferece suporte à autenticação de nome de usuário e senha no servidor XenApp ou no servidor NetScaler. Ele não oferece suporte a outros métodos de autenticação, como os seguintes: Cartão inteligente HTML 5 Autenticação de dois fatores Autenticação SAML (Citrix FAS) Pré-requisitos para a integração da Citrix Antes de configurar os detalhes do farm de servidores Citrix no console do VMware Identity Manager, você deve concluir determinadas tarefas de pré-requisitos. Você deve implantar e configurar o Integration Broker, um componente do VMware Identity Manager, em um Windows Server com suporte e configurar a Citrix PowerShell Remoting para habilitar a comunicação entre o Integration Broker e o farm de servidores Citrix. As tarefas de alto nível incluem as seguintes: Prepare o Windows Server para a instalação do Integration Broker. Adicione funções e recursos. VMware, Inc. 129

130 Instale o Microsoft J# 2.0 Redistributable Package. O Microsoft J# 2.0 não será necessário se você planejar usar a REST API do Storefront em vez do Citrix Web Interface SDK para se conectar ao farm de servidores Citrix. Instale o Integration Broker. Baixe e instale o Integration Broker. Defina configurações do Gerenciador do IIS para o Integration Broker. Configure associações de HTTPS para o Integration Broker. Defina a Citrix PowerShell Remoting para habilitar as invocações remotas entre o servidor do Integration Broker e o farm de servidores Citrix. Instale o Citrix PowerShell SDK no servidor do Integration Broker. Habilite a PowerShell Remoting nos servidores da Citrix (somente Citrix 6.0). Baixe e copie os arquivos dll do Citrix Web Interface SDK. O Citrix Web Interface SDK não será necessário se você planejar usar a REST API do Storefront para se conectar ao farm de servidores Citrix. Você pode assistir ao seguinte vídeo para obter uma visão geral do processo. Instalando o Integration Broker para áreas de trabalho e aplicativos publicados Citrix ( bctid=ref:video_integration_broker_citrix) Sobre a implantação do Integration Broker O Integration Broker é um componente do VMware Identity Manager usado para se comunicar com o farm de servidores Citrix. Instale o Integration Broker no local em um Windows Server com suporte. Siga essas diretrizes ao implantar o Integration Broker. Você pode instalar o Integration Broker no Windows Server 2016, Windows Server 2012 R2, Windows Server 2012 ou Windows Server 2008 R2. Tabela 8 1. Requisitos de servidor do Integration Broker Requisito Notas Windows Server 2016, Windows Server 2012 R2, Windows Server 2012 ou Windows Server 2008 R2 com processador de núcleo duplo 4 GB de RAM 30 GB Isso inclui o armazenamento necessário para o sistema operacional Windows. VMware, Inc. 130

131 Requisitos de versão do Integration Broker: Versão do VMware Identity Manager ou Connector Versão do Integration Broker compatível VMware Identity Manager VMware Identity Manager Connector VMware Identity Manager VMware Identity Manager Connector (conector lançado com o VMware Identity Manager 3.3) 3.3 VMware Identity Manager VMware Identity Manager Connector (conector lançado com o VMware Identity Manager 3.2) 3.2 VMware Identity Manager VMware Identity Manager Connector (conector lançado com o VMware Identity Manager 3.1) 3.1 VMware Identity Manager VMware Identity Manager Connector (conector lançado com o VMware Identity Manager 3.0) VMware Identity Manager ou anterior VMware Identity Manager Connector ou anterior ou anterior ou anterior Observação Para usar a REST API do Citrix StoreFront, é necessário ter o Integration Broker ou posterior. No XenApp ou no XenDesktop 7.x, é necessário ter o Integration Broker 2.6 ou posterior. Para usar o recurso NetScaler, é necessário ter o Integration Broker 2.4 ou posterior. Observação É recomendável usar a versão mais recente do VMware Identity Manager e seus componentes. O conector do VMware Identity Manager deve conseguir se comunicar com o Integration Broker. Se você configurar várias instâncias de conector, certifique-se de que todas elas consigam se comunicar com o Integration Broker. Observação Você deve se conectar via SSL para qualquer instância do Integration Broker que é usada na inicialização. Uma única instância do Integration Broker pode oferecer suporte a vários ambientes Citrix. Se você estiver usando a versão para Windows do VMware Identity Manager Connector, siga estas diretrizes. Recomenda-se a instalação do Integration Broker e do VMware Identity Manager Connector em servidores diferentes. VMware, Inc. 131

132 Se você estiver instalando o Integration Broker no mesmo servidor que o conector, garanta que as portas de associação HTTP e HTTPS não estejam em conflito com as portas usadas pelo VMware Identity Manager Connector. O VMware Identity Manager Connector sempre usa a porta 80. Ele também usa a 443, a menos que uma porta diferente seja configurada durante a instalação. Gera-se um certificado autoassinado durante a instalação do conector. Se você estiver instalando o Integration Broker no mesmo servidor que o conector, poderá usar esse certificado. Instale o certificado na loja da Microsoft e use-o para a associação HTTPS. Antes de começar, planeje também sua estratégia de implantação. Consulte Modelos de implantação do Integration Broker para obter recomendações para cenários comuns. Modelos de implantação do Integration Broker Implante uma ou mais instâncias do Integration Broker, dependendo das suas necessidades de negócios. Os seguintes modelos de implantação são baseados em cenários comuns. Ambientes da prova de conceito Nos ambientes de prova de conceito, em que você está configurando apenas alguns aplicativos publicados Citrix no VMware Identity Manager para se familiarizar com o processo de integração e a experiência do usuário final, recomenda-se configurar uma única instância do Integration Broker. Selecione a mesma instância do Integration Broker como o Integration Broker de Sincronização e o SSO Integration Broker na coleção de aplicativos virtuais. Sincronização Serviço do VMware Identity Manager Conector do VMware Identity Manager Inicializar Integration Broker Ambientes de teste Em ambientes de teste pequenos, nos quais você deseja testar o fluxo todo, incluindo sincronização e ativação, recomenda-se implantar duas instâncias do Integration Broker, uma para sincronização dos recursos e direitos e outra para inicialização de recursos. Nesse cenário, você normalmente integra apenas alguns aplicativos e não espera que um grande número de usuários inicie aplicativos simultaneamente. Selecione uma das instâncias como o Integration Broker de Sincronização e a outra como o SSO Integration Broker na coleção de aplicativos virtuais. VMware, Inc. 132

133 Sincronização Integration Broker Serviço do VMware Identity Manager Conector do VMware Identity Manager Inicializar Integration Broker Ambientes de produção Em ambientes de produção, recomenda-se configurar um cluster de instâncias do Integration Broker atrás de um balanceador de carga para fins de balanceamento de carga e alta disponibilidade. Se uma das instâncias do Integration Broker não estiver disponível, a sincronização e a ativação permanecerão disponíveis à medida que as solicitações forem redirecionadas para outra instância do cluster. Insira as informações do balanceador de carga nos campos Integration Broker de Sincronização e SSO Integration Broker na coleção de aplicativos virtuais. Sincronização Integration Broker Serviço do VMware Identity Manager Conector do VMware Identity Manager Inicializar Balanceador de carga Integration Broker Ambientes de produção de grande escala Em ambientes de produção grande que integram um grande número de aplicativos e têm tráfego intenso, recomenda-se configurar clusters separados do Integration Broker para sincronização e ativação. Configure cada cluster atrás de um balanceador de carga. Essa configuração fornece a flexibilidade de aumentar o número de instâncias com base nas necessidades específicas. Por exemplo, se você sofrer atrasos devido a um grande número de inicializações simultâneas, poderá adicionar mais instâncias do Integration Broker ao cluster usado para inicialização. VMware, Inc. 133

134 Insira os balanceadores de carga apropriados nos campos Integration Broker de Sincronização e SSO Integration Broker na coleção de aplicativos virtuais. Observação Para uma instância do Integration Broker que é usada apenas para inicialização e não para sincronização, não é necessário configurar o Citrix PowerShell de forma remota. Além disso, se você usar a REST API do StoreFront para se conectar ao farm de servidores Citrix, não precisará baixar o Citrix Web Interface SDK. Integration Broker Sincronização Balanceador de carga Serviço do VMware Identity Manager Conector do VMware Identity Manager Integration Broker Inicializar Balanceador de carga Integration Broker Preparar o Windows Server para a instalação do Integration Broker Antes de instalar o Integration Broker, você deve configurar o Windows Server. Os seguintes sistemas operacionais são compatíveis com o Integration Broker. Windows Server 2008 R2 Windows Server 2012 Windows Server 2012 R2 VMware, Inc. 134

135 Windows Server 2016 Observação O Windows Server 2016 é compatível com o VMware Identity Manager e versões posteriores. Observação Consulte as VMware Product Interoperability Matrixes em para obter as informações mais recentes sobre as versões com suporte. Adicionar funções e recursos do Windows Server (Windows Server 2012 R2, 2012 ou 2008 R2) Adicione as funções, os recursos e os serviços de função necessárias no servidor do Integration Broker. Observação As etapas neste procedimento se referem à interface do usuário do Windows Server 2012 ou Windows Server 2012 R2. Se for o caso, serão anotadas as diferenças para o Windows Server 2008 R2. Para adicionar funções e serviços no Windows Server 2016, consulte Adicionar funções e recursos do Windows Server (Windows Server 2016). Pré-requisitos Verifique se o Windows Server 2008 R2, o Windows Server 2012 ou o Windows Server 2012 R2 está instalado com as últimas atualizações. Para verificar as atualizações, selecione Painel de Controle > Windows Update. Crie um pool de aplicativos, se necessário. Você pode usar o pool de aplicativos padrão ou criar um pool de aplicativos dedicado ao Integração Broker. Procedimentos 1 Selecione Iniciar > Gerenciador do Servidor. 2 No Gerenciador do Servidor, selecione Gerenciar > Adicionar Funções e Recursos. 3 No assistente para Adicionar Funções e Recursos, clique em Avançar até a página Funções de Servidor ser exibida. VMware, Inc. 135

136 4 Selecione as funções a seguir e clique em Avançar. Funções Servidor de Aplicativos Serviços de Arquivo e Armazenamento Servidor Web (IIS) Observação Quando você seleciona Servidor Web (IIS), é exibida uma caixa de diálogo solicitando que você confirme os recursos necessários para o Servidor Web (IIS). Verifique se as Ferramentas de Gerenciamento estão incluídas e clique em Adicionar Recursos. VMware, Inc. 136

137 5 Na página Recursos, selecione os recursos a seguir. Recursos Recursos do.net Framework 3.5.NET Framework 3.5 (inclui o.net 2.0 e o 3.0) Ativação HTTP Quando você seleciona Ativação HTTP, é exibida uma caixa de diálogo solicitando que você confirme os recursos necessários para a Ativação HTTP. Clique em Adicionar Recursos. Observação No Windows Server 2008 R2, selecione estas opções: Recursos do.net Framework 3.5.NET Framework 3.5 Ativação de WCF Ativação HTTP Núcleo da Web Hospedável do IIS Serviço de Ativação de Processos do Windows Extensão do IIS do WinRM Por exemplo: Figura 8 1. Windows Server 2012 R2 6 Clique em Avançare, em seguida, em Avançar novamente para exibir a página Serviços de Função de Servidor de Aplicativos. VMware, Inc. 137

138 7 Na página Serviços de Função de Servidor de Aplicativos, selecione os serviços de função a seguir. Serviços de Função de Servidor de Aplicativos Serviços de Função de Servidor de Aplicativos.NET Framework 4.5 (não alterar se estiver pré-selecionado) Suporte ao Servidor Web (IIS) Observação Quando você seleciona Servidor Web (IIS), é exibida uma caixa de diálogo solicitando que você confirme os recursos necessários para o Servidor Web (IIS). Clique em Adicionar Recursos. Suporte ao Serviço de Ativação de Processos do Windows Ativação HTTP Por exemplo: 8 Clique em Avançar e, em seguida, em Avançar novamente para exibir a página Serviços de Função da Função de Servidor Web (IIS). VMware, Inc. 138

139 9 Na página Serviços de Função da Função de Servidor Web (IIS), selecione os serviços de função a seguir. Serviços de Função da Função de Servidor Web (IIS) Servidor Web Aceite as seleções padrão Habilite a seguinte opção: Ferramentas de Gerenciamento Console de Gerenciamento do IIS Compatibilidade com Gerenciamento do IIS 6 Por exemplo: 10 Clique em Avançar. 11 Clique em Instalar. 12 Quando a instalação estiver concluída, clique em Fechar para fechar o assistente para Adicionar Funções e Recursos. Próximo passo Instale o Microsoft Visual J# 2.0 Redistributable Package, se necessário. Adicionar funções e recursos do Windows Server (Windows Server 2016) Adicione os recursos e as funções obrigatórios do Windows Server no servidor do Integration Broker. Observação As etapas neste procedimento se referem à interface do usuário do Windows Server Para o Windows Server 2012 R2, o Windows Server 2012 e o Windows Server 2008 R2, consulte Adicionar funções e recursos do Windows Server (Windows Server 2012 R2, 2012 ou 2008 R2). VMware, Inc. 139

140 Pré-requisitos Você está usando o VMware Identity Manager ou posterior. Instalar o Integration Broker no Windows Server 2016 é permitido no VMware Identity Manager e versões posteriores. Verifique se o Windows Server 2016 está instalado com as últimas atualizações. Crie um pool de aplicativos, se necessário. Você pode usar o pool de aplicativos padrão ou criar um pool de aplicativos dedicado ao Integração Broker. Procedimentos 1 Selecione Iniciar > Gerenciador do Servidor. 2 No Gerenciador do Servidor, selecione Gerenciar > Adicionar Funções e Recursos. 3 No assistente para Adicionar Funções e Recursos, clique em Avançar até a página Funções de Servidor ser exibida. 4 Na página Funções de Servidor, selecione as seguintes funções. Serviços de Arquivo e Armazenamento Serviços de armazenamento Servidor Web (IIS) Servidor Web VMware, Inc. 140

141 Ferramentas de Gerenciamento VMware, Inc. 141

142 5 Clique em Avançar. 6 Na página Recursos, selecione os recursos a seguir. Recursos do.net Framework 3.5.NET Framework 3.5 (inclui o.net 2.0 e o 3.0) Ativação HTTP Quando você seleciona Ativação HTTP, é exibida uma caixa de diálogo solicitando que você confirme os recursos necessários para a Ativação HTTP. Clique em Adicionar Recursos. Recursos do.net Framework 4.6.NET Framework 4.6 ASP.NET 4.6 Serviços WCF Gerenciamento de políticas de grupo Núcleo da Web Hospedável do IIS Extensão do IIS de OData de gerenciamento Fundação de mídia Enfileiramento de mensagens Serviços de enfileiramento de mensagens VMware, Inc. 142

143 Ferramentas de administração de servidor remoto Suporte ao compartilhamento de arquivos SMB 1.0/CIFS Cliente Telnet Recursos do Windows Defender VMware, Inc. 143

144 Windows PowerShell Serviço de Ativação de Processos do Windows Extensão do IIS do WinRM Suporte a Wow64 VMware, Inc. 144

145 7 Clique em Avançar e, na página Confirmação, clique em Instalar. 8 Quando a instalação estiver concluída, clique em Fechar para fechar o assistente para Adicionar Funções e Recursos. Próximo passo Instale o Microsoft Visual J# 2.0 Redistributable Package, se necessário. Instale o Microsoft Visual J# bit Redistributable Package Baixe e instale o Microsoft Visual J# bit Redistributable Package - Second Edition. Essa etapa não será necessária se você planejar usar a REST API do Citrix StoreFront em vez do Citrix Web Interface SDK para se conectar ao farm de servidores Citrix. Procedimentos 1 Baixe o Microsoft Visual J# bit Redistributable Package - Second Edition do site da Microsoft. 2 Clique duas vezes no arquivo vjredist.exe e siga o assistente para instalar o pacote. Implantar o Integration Broker Para implantar o Integration Broker, baixe e instale o Integration Broker em um Windows Server com suporte, defina as configurações do Gerenciador do IIS para ele e configure as associações de HTTP e HTTPS. Instalar o Integration Broker Instale o Integration Broker no Windows Server que você configurou. VMware, Inc. 145

146 Pré-requisitos Prepare o Windows Server. Consulte Preparar o Windows Server para a instalação do Integration Broker. Baixe o Integration Broker na página de produto do VMware Identity Manager em My VMware. Procedimentos 1 Faça login como administrador do Windows. 2 Clique no arquivo setup.exe para executar o instalador do Integration Broker. 3 Aceite o contrato de licença de usuário final. 4 Selecione o local da Web em que você deseja instalar o Integration Broker. 5 (Opcional) Se você tiver criado um pool de aplicativos separado para o Integration Broker, selecione o pool de aplicativos. Cuidado Não altere o nome do Diretório Virtual. 6 Clique em Avançar para concluir a instalação do Integration Broker. Próximo passo Defina as configurações do Gerenciador do IIS. Definir as configurações do Gerenciador do IIS Defina as configurações necessárias do Gerenciador do IIS para o Integration Broker. Observação As etapas neste procedimento se referem à interface do usuário do Windows Server 2012 ou Windows Server 2012 R2. Pré-requisitos As credenciais para o usuário de Identidade. O usuário de Identidade deve atender aos seguintes requisitos: Usuário do domínio Privilégios para habilitar a PowerShell Remoting no servidor do Integration Broker: a b Iniciar o PowerShell com privilégios de administrador Executar o Enable-PSRemoting Uma das seguintes funções no servidor da Citrix: Pelo menos Administrador Somente Leitura (versão 7.x) ou Administrador Somente para Exibição (versão 6.x) Uma função de administrador personalizada que tenha as permissões para executar os seguintes cmdlets do PowerShell. Esses cmdlets são usados para recuperar informações de aplicativos, servidor, farm e ícone do farm de servidores Citrix. VMware, Inc. 146

147 No XenApp 6.5: Get-XAApplication Get-XAServer Get-XAAccount Get-XAApplicationIcon Get-XAFarm No XenApp ou XenDesktop 7.x: Get-BrokerApplication Get-BrokerIcon Get-BrokerDesktopGroup Get-BrokerAccessPolicyRule Get-BrokerAppEntitlementPolicyRule Get-BrokerIcon Get-BrokerEntitlementPolicyRule Procedimentos 1 Clique em Iniciar > Gerenciador do Servidor. 2 No Gerenciador do Servidor, selecione Ferramentas > Gerenciador dos Serviços de Informações da Internet (IIS). 3 No Gerenciador do IIS, configure o pool de aplicativos que você selecionou ao instalar o Integration Broker. Dica Para verificar o pool de aplicativos corretos, clique em Pools de Aplicativos no painel esquerdo, clique com botão direito do mouse no pool de aplicativos, selecione Exibir Aplicativos e verifique se o Integration Broker aparece na lista. a b c No painel esquerdo, clique em Pools de Aplicativos. Selecione o pool de aplicativos que você está usando para o Integration Broker. Clique em Configurações Avançadas no painel direito. VMware, Inc. 147

148 d Na caixa de diálogo Configurações Avançadas, defina as configurações a seguir. Opção Versão do.net CLR Descrição Verifique se o valor é v2.0. Observação No Windows 2012 e no Windows 2012 R2, o pool de aplicativos pode ter sido configurado para uma versão diferente do.net por padrão. Certifique-se de configurá-lo para v2.0. Habilitar aplicativos de 32 bits Defina o valor como True. Identidade 1 Clique em Identidade. 2 Clique no ícone... 3 Na caixa de diálogo Identidade do Pool de Aplicativos, clique em Conta Personalizada e em Configurar. 4 Insira o nome de usuário e a senha para o usuário de Identidade. Consulte os requisitos para o usuário de Identidade na seção Prérequisitos. 5 Clique em OK e em OK novamente. e Clique em OK para fechar a caixa de diálogo Configurações Avançadas. VMware, Inc. 148

149 Definir a associação de site HTTPS para o Integration Broker Você deve definir a associação de site HTTPS para o Integration Broker. Para definir a associação, você precisa de um certificado SSL para o servidor do Integration Broker. Você pode obter um certificado de uma Autoridade de Certificação ou criar um certificado autoassinado. Observação Se você estiver usando uma versão para Windows do VMware Identity Manager Connector e estiver instalando o Integration Broker no mesmo servidor que o conector, garanta que as portas de associação HTTP e HTTPS não estejam em conflito com as portas usadas pelo conector. O VMware Identity Manager Connector sempre usa a porta 80. Ele também usa a 443, a menos que uma porta diferente seja configurada durante a instalação. Para obter mais informações sobre as portas usadas, consulte Instalando e configurando o VMware Identity Manager Connector (Windows). É recomendável instalar o Integration Broker e o VMware Identity Manager Connector em diferentes servidores. Pré-requisitos Obtenha um certificado SSL para o servidor do Integration Broker. Você pode obter um certificado de uma Autoridade de Certificação ou criar um certificado autoassinado. Instale o certificado no repositório da Microsoft no servidor do Integration Broker. Consulte o Exemplo: criar um certificado autoassinado usando o Gerenciador do IIS e o Exemplo: criar um certificado autoassinado usando o OpenSSL. Observação Se você estiver usando uma versão para Windows do VMware Identity Manager Connector e tiver instalado o Integration Broker no mesmo servidor que o conector, será possível usar o certificado autoassinado durante a instalação do conector. Instale o certificado na loja da Microsoft e use-o para a associação HTTPS. Procedimentos 1 No Gerenciador do IIS, no painel esquerdo, clique no site em que instalou o Integration Broker. Dica Para verificar o site correto, você pode expandir o site no painel esquerdo e conferir se o Integration Broker está listado abaixo dele. 2 No painel direito, em Editar Site, clique em Associações. 3 Adicione uma associação de HTTPS usando o certificado que você criou. a b c Clique em Adicionar. No campo Tipo, selecione https. Se você estiver usando o IIS 8.0 ou posterior, verifique se o campo Nome do host está vazio. Ele não deve ter nenhum valor. VMware, Inc. 149

150 d No campo Certificado SSL, selecione o certificado SSL que você criou. Por exemplo: e Clique em OK. 4 Reinicie o IIS. a b Abra a janela do Prompt de Comando como administrador. Digite o iisreset. Próximo passo Verifique as associações. Verifique se a associação HTTP produz a saída esperada digitando /IB/API/RestServiceImpl.svc/ibhealthcheck na barra de endereço de um navegador. Saída esperada: Tudo ok Verifique se a associação HTTPS produz a saída esperada digitando /IB/API/RestServiceImpl.svc/ibhealthcheck na barra de endereço de um navegador. Saída esperada: Tudo ok Observação No Internet Explorer, o arquivo de saída não é exibido diretamente. Em vez disso, o arquivo de saída é baixado. Abra o arquivo para exibir a saída. Exemplo: criar um certificado autoassinado usando o Gerenciador do IIS Você pode criar um certificado autoassinado para o servidor do Integration Broker usando o Gerenciador do IIS. Procedimentos 1 Inicie o Gerenciador do IIS. 2 Navegue até Certificados de Servidor. VMware, Inc. 150

151 3 No painel direito, em Ação, selecione Criar Certificado Autoassinado. 4 Siga o assistente para gerar o certificado autoassinado. O certificado é instalado automaticamente no repositório da Microsoft no servidor do Integration Broker. Próximo passo Use o certificado para a associação de HTTPS do site do Integration Broker. Exemplo: criar um certificado autoassinado usando o OpenSSL Estas instruções fornecem uma amostra de como configurar um certificado autoassinado usando o OpenSSL para Integration Broker. Procedimentos 1 Crie um certificado autoassinado para o servidor do Integration Broker. 2 Crie a pasta ibcerts a ser usada como o diretório de trabalho. 3 Crie um arquivo de configuração usando o comando vi openssl_ext.conf. a Copie e cole os seguintes comandos do OpenSSL no arquivo de configuração. # openssl x509 extfile params extensions = extend [req] # openssl req params prompt = no distinguished_name = dn-param [dn-param] # DN fields C = US ST = CA O = VMware (Certificado fictício) OU = Horizon Workspace (Certificado fictício) CN = nome do host (Nome do host da máquina virtual na qual o Integration Broker está instalado. ) address = PROTECTED [extend] # openssl extensions subjectkeyidentifier = hash authoritykeyidentifier = keyid:always keyusage = digitalsignature,keyencipherment extendedkeyusage=serverauth,clientauth [policy] # certificate policy extension data Observação Digite o valor CN antes de salvar o arquivo. b Execute este comando para gerar uma chave privada. openssl genrsa -des3 -out server.key 1024 c Digite a frase secreta de server.key, por exemplo, vmware. VMware, Inc. 151

152 d Renomeie o arquivo server.key como server.key.orig. mv server.key server.key.orig e Remova a senha associada à chave. openssl rsa -in server.key.orig -out server.key 4 Crie uma CSR (solicitação de assinatura de certificado) com a chave gerada. O arquivo server.csr é armazenado em seu diretório de trabalho. openssl req -new -key server.key -out server.csr -config./openssl_ext.conf 5 Assine a CSR. openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt -extfile openssl_ext.conf A saída esperada aparece. Signature ok subject=/c=us/st=ca/o=vmware (Certificado fictício)/ou=horizon Workspace (Certificado fictício)/cn=w2-hwdog-xa.vmware.com/ address= PROTECTED Getting Private key 6 Crie o formato P12. openssl pkcs12 -export -in server.crt -inkey server.key -out server.p12 a Pressione Enter no prompt para obter uma senha de exportação. Importante Não insira uma senha. O resultado esperado é o arquivo server.p12. b c d e f Mova o arquivo server.p12 para a máquina Windows na qual o Integration Broker está instalado. No Prompt de Comando, digite mmc. Clique em Arquivo > Adicionar ou Remover Snap-ins. Na janela Snap-in, clique em Certificados e em Adicionar. Selecione o botão de opção Conta de Computador. 7 Importe o certificado para a raiz e armazene os certificados pessoais. a b c Escolha Todos os Arquivos na caixa de diálogo. Selecione o arquivo server.p12. Clique na caixa de seleção Exportável. VMware, Inc. 152

153 d e Deixe a senha em branco. Aceite os padrões nas etapas subsequentes. 8 Copie o certificado para as CAs Raiz Confiáveis no mesmo console do mmc. 9 Verifique se o conteúdo do certificado inclui esses elementos. Chave privada CN no atributo da entidade que corresponde ao nome do host do Integration Broker Atributo de uso de chave estendido com o cliente e a autenticação do servidor ativados Habilitar a Citrix PowerShell Remoting Você deve habilitar as invocações remotas entre o Integration Broker e o farm de servidores Citrix configurando a Citrix PowerShell Remoting. Para configurar a Citrix PowerShell Remoting, você instala o SDK do Citrix PowerShell no servidor do Integration Broker e verifica se essa PowerShell Remoting está habilitada nos servidores da Citrix. No servidor do Integration Broker, você deve instalar a versão apropriada do SDK do Citrix PowerShell. Se você se conectar a várias versões de farms de servidores Citrix, instale todas as versões necessárias do SDK do Citrix PowerShell no servidor do Integration Broker, pois os SDKs não são compatíveis com versões anteriores. A PowerShell Remoting deve ser habilitada nos servidores da Citrix para que o servidor do Integration Broker possa se conectar a eles e recuperar as informações necessárias, como informações de recursos, direitos e ícones. Você precisa habilitar a PowerShell Remoting apenas nos Delivery Controllers ou XML Brokers que serão configurados no VMware Identity Manager, e não em todos os servidores no seu farm de servidores. No XenApp ou XenDesktop 7.x, estes são os Delivery Controllers, que também atuam como XML Brokers. Nos farms de servidores Citrix 6.0 e 6.5, estes são os servidores do XML Broker. No farm de servidores Citrix 6.0, a Citrix PowerShell Remoting requer um canal HTTPS seguro para fazer chamadas remotas. Certifique-se de que os Citrix Delivery Controllers ou XML Brokers tenham certificados SSL válidos. Instalar o Citrix PowerShell SDK no servidor do Integration Broker Você deve instalar o Citrix PowerShell SDK no servidor do Integration Broker para permitir conexões entre o servidor do Integration Broker e o farm de servidores Citrix. Baixe e instale a versão do Citrix PowerShell SDK correspondente ao farm de servidores Citrix que você está integrando ao VMware Identity Manager. Se você se conectar a várias versões de farms de servidores Citrix, instale todas as versões necessárias do SDK do Citrix PowerShell no servidor do Integration Broker, pois os SDKs não são compatíveis com versões anteriores. Procedimentos 1 Faça login no servidor do Integration Broker. VMware, Inc. 153

154 2 Se você estiver se conectando ao XenApp ou XenDesktop 7.x, siga estas etapas. a b Baixe e instale o Citrix Studio no servidor do Integration Broker. Verifique a instalação. 1 Abra o Windows PowerShell como administrador. 2 Insira este comando: Add-PSSnapin Citrix* 3 Insira os seguintes comandos: Get-BrokerDesktopGroup -AdminAddress CitrixDeliveryController Get-ConfigSite -AdminAddress CitrixDeliveryController Observação Se você receber um erro de autenticação, defina a política de execução com o comando set-executionpolicy remotesigned e tente executar novamente os comandos. 3 Se você estiver se conectando ao farm de servidores Citrix 6.5, siga estas etapas. a b Baixe e instale o Citrix PowerShell SDK 6.5 no servidor do Integration Broker. Verifique a instalação. 1 Abra Arquivos de Programas > Citrix PowerShell Module. 2 Insira este comando: Get-XAApplication -ComputerName CitrixServer Verifique se a lista inclui todos os aplicativos hospedados pela Citrix. Observação Se o comando falhar, verifique se o serviço XenApp Commands Remoting está em execução no servidor da Citrix. 4 Se você estiver conectando ao Citrix Server Farm 6.0, baixe e instale o Citrix PowerShell SDK 6.0 no servidor do Integration Broker. Habilitar a Citrix PowerShell Remoting no farm de servidores Citrix Habilite a Citrix PowerShell Remoting no farm de servidores Citrix, se necessário. No Citrix XenApp ou XenDesktop 7.x, verifique se a PowerShell Remoting está habilitada nos Delivery Controllers com os quais o VMware Identity Manager se conectará. No Citrix 6.5, verifique se o serviço Citrix XenApp Commands Remoting está sendo executado nos XML Brokers com o qual o VMware Identity Manager se conectará. No Citrix 6.0, habilite a PowerShell Remoting. Consulte Configurando o Citrix PowerShell Remoting no Citrix Server Farm 6.0. VMware, Inc. 154

155 Configurando o Citrix PowerShell Remoting no Citrix Server Farm 6.0 Você deve habilitar o Citrix PowerShell Remoting nos servidores Citrix XML Broker que você está integrando ao VMware Identity Manager. A Citrix PowerShell Remoting permite conexões entre o Integration Broker e o farm de servidores Citrix. Observação Você precisa habilitar a Citrix PowerShell Remoting somente nos XML Brokers que serão configurados no VMware Identity Manager, e não em todos os servidores no seu farm de servidores. Pré-requisitos Se você não tiver o Winrm instalado, baixe e instale o Winrm do site da Microsoft. Verifique se os Citrix XML Brokers possuem certificados SSL válidos. Além disso, clique em Propriedades e verifique se a Autenticação do Servidor está habilitada para os certificados. Procedimentos 1 Abra o PowerShell no modo de administrador. 2 Habilite a Citrix PowerShell Remoting. a b Digite o comando Get-Service winrm para verificar se o Winrm está instalado no servidor. Digite o comando Enable-PSRemoting. Este comando habilita a comunicação remota do PowerShell no servidor. c Instale o Citrix PowerShell SDK 6.0. d Habilite o ouvinte de HTTPS do winrm a partir do prompt de comando. 1 Crie um certificado no servidor. 2 Grave a impressão digital do certificado. 3 Verifique se a impressão digital do certificado está configurada. winrm quickconfig -transport:https VMware, Inc. 155

156 e Verifique se o ouvinte foi criado. winrm e winrm/config/listener Esse servidor está pronto para ser usado. f Após a criação do ouvinte, vá para o servidor do Integration Broker para verificar se a comunicação remota do PowerShell está instalada corretamente. winrm identify -r: -u:username Saída: IdentifyResponse ProtocolVersion= ProductVendor=Microsoft Corporation ProductVersion=OS: SP: 2.0 Stack: 2.0 Verificar a conexão com o farm de servidores Citrix Depois de implantar o Integration Broker e configurar a comunicação remota do PowerShell, verifique a conexão com o farm de servidores Citrix. Procedimentos 1 Em um navegador, insira a URL apropriada para sua versão do farm Citrix. Farm de servidores Citrix XenApp ou XenDesktop 7.x computername=xenappserverhostname&xenappversion=version7x Citrix Server Farm computername=xenappserverhostname&xenappversion=version65orlater Citrix Server Farm computername=xenappserverhostname&xenappversion=legacy 2 Verifique a saída. Caso o Integration Broker esteja configurado adequadamente, a página exibirá as informações do farm de servidores Citrix, tal como a seguir: "[{\"FarmName\":\"test data\",\"serverversion\":\" \",\"AdministratorType\":\"Full\",\"SessionCount\":\"2\",\"MachineName\" :\"test data\"}] Se a página da Web não exibir as informações do farm de servidores, verifique os logs no servidor do Integration Broker em %programdata%/vmware/horizonintegrationbroker. VMware, Inc. 156

157 Baixar o Citrix Web Interface SDK 5.4 O Citrix Web Interface SDK é usado para autenticar e gerar o arquivo ICA dos Citrix Delivery Controllers ou XML Brokers para inicializar desktops e aplicativos publicados Citrix. Observação Se você planeja usar a REST API do Citrix StoreFront para se comunicar com o farm Citrix para gerar o arquivo ICA, não é necessário instalar o Citrix Web Interface SDK. Procedimentos 1 Baixe o Citrix Web Interface SDK 5.4 (arquivo zip WISDK) no site da Citrix. 2 Descompacte o arquivo wisdk.zip. 3 Copie o conteúdo do diretório WI5_4_0_SDK/zipfiles/sdkdemo/wisdk no diretório bin padrão do Integration Broker em c:\inetpub\wwwroot\ib\bin. 4 Reinicie o IIS. a b Abra a janela do Prompt de Comando como administrador. Digite o iisreset. Configurando farms de servidores Citrix no VMware Identity Manager Para configurar os farms de servidores Citrix XenApp e XenDesktop no VMware Identity Manager, crie uma ou mais coleções de aplicativos virtuais na página Configuração de Aplicativos Virtuais, que contêm informações de configuração, como os servidores Citrix dos quais se deseja sincronizar recursos e direitos, o Integration Broker a ser usado para sincronização e SSO, o conector do VMware Identity Manager a ser usado para sincronização e as configurações de administrador, como o cliente de inicialização padrão. Você pode adicionar todos os seus farms de servidores Citrix em uma coleção ou criar várias coleções, de acordo com suas necessidades. Por exemplo, você pode optar por criar uma coleção separada para cada farm para facilitar o gerenciamento e distribuir a carga de sincronização entre diferentes conectores. Ou você pode optar por incluir todos os farms de servidores em uma coleção para um ambiente de teste e ter outra coleção idêntica para o seu ambiente de produção. Antes de configurar os recursos publicados Citrix no VMware Identity Manager, atenda a todos os prérequisitos. Também siga estas diretrizes para configurações de farm de servidores Citrix. Sincronizando grupos de entrega VMware, Inc. 157

158 A configuração Tipo de Entrega de um grupo de entrega no Citrix determina como o VMware Identity Manager sincroniza o grupo de entrega. O VMware Identity Manager sincroniza um grupo de remessa apenas se o seu Tipo de Entrega for definido como Desktops e Aplicativos ou Apenas Desktops. Se o Tipo de Entrega do grupo de entrega for definido como Apenas Aplicativos, seus aplicativos são sincronizados, mas o grupo de entrega em si não é sincronizado e não aparece no catálogo do VMware Identity Manager. Configure seus grupos de entrega de acordo com as necessidades. No XenDesktop e no XenApp 7.9, se você usar a opção de Grupo de Visibilidade Limitada para restringir usuários, verifique se o Grupo de Visibilidade Limitada contém usuários ou grupos. Se ele não contiver qualquer usuário ou grupo, a sincronização com o VMware Identity Manager não funcionará. Verifique se todos os aplicativos e desktops publicados Citrix em um site contêm usuários válidos. Se você excluir um usuário ou grupo, certifique-se de remover também o usuário ou grupo dos recursos publicados Citrix. Certifique-se de que os usuários e grupos foram atribuídos ao Grupo de Distribuição correto. Se você selecionar configurações para restringir usuários, certifique-se de que elas incluam usuários e grupos. O XenDesktop e o XenApp 7.x permitem que você defina direitos para todos os usuários autenticados no nível do grupo de entrega com a configuração "Permitir qualquer usuário autenticado use este grupo de entrega". O VMware Identity Manager não oferece suporte a essa configuração. Para garantir que os usuários tenham os direitos corretos no VMware Identity Manager, defina direitos explícitos para os usuários e grupos. O VMware Identity Manager não oferece suporte ao recurso de grupo de usuários anônimos do Citrix. Observação A partir do VMware Identity Manager 3.3, não haverá mais suporte para o XenApp 5.x. Você não pode atualizar ou salvar as configurações existentes que incluem um servidor XenApp 5.x, a menos que você remova o servidor da configuração. Depois de remover o servidor 5.x da configuração e salvar a configuração, todos os recursos associados ao servidor 5.x serão removidos do catálogo durante a próxima sincronização. Os usuários poderão executar os recursos até que eles sejam removidos do catálogo. Pré-requisitos Configure o VMware Identity Manager. Consulte Instalando e configurando o VMware Identity Manager e Administração do VMware Identity Manager para obter informações. Verifique se os usuários e os grupos com direitos da Citrix foram sincronizados do seu diretório empresarial com o VMware Identity Manager usando a sincronização de diretório. VMware, Inc. 158

159 Ao criar o diretório, certifique-se de tornar o userprincipalname um atributo obrigatório. Os usuários devem ter o atributo distinguishedname. Se o atributo não estiver definido para um usuário, o usuário poderá não ser capaz de executar aplicativos e áreas de trabalho. Implante o Integration Broker e certifique-se de que você tenha atendido a todos os pré-requisitos descritos em Pré-requisitos para a integração da Citrix. Se você estiver usando um balanceador de carga na frente do Integration Broker, anote o nome do host ou endereço IP do balanceador de carga a ser usado durante esta tarefa. Se você quiser usar a opção StoreFront, disponível no VMware Identity Manager e posterior, cumpra os requisitos a seguir. Instale o Integration Broker ou posteriores. Certifique-se de que o StoreFront seja suportado pela versão do XenApp ou XenDesktop que você está usando. Certifique-se de que o Integration Broker possa se comunicar com o servidor do StoreFront. Quando você habilita a REST API do StoreFront, o Integration Broker se comunica com o servidor do StoreFront para gerar o arquivo ICA. No servidor StoreFront, se você configurar domínios confiáveis para o método de autenticação "Nome de usuário e senha", certifique-se de adicionar nomes de domínio no formato de nome de domínio totalmente qualificado à lista "Domínios confiáveis". O VMware Identity Manager requer o nome de domínio totalmente qualificado. Para obter mais informações, consulte Inicialização de aplicativos e desktops publicados Citrix. Se a sua implantação Citrix incluir um servidor de Gateway do Citrix NetScaler e você pretender se conectar ao farm de servidores Citrix usando o SDK de Interface da Web, obtenha a URL do servidor Citrix Secure Ticket Authority (STA) associado ao servidor de Gateway do NetScaler. Consulte Obter a URL do Servidor STA para o Gateway do NetScaler. Reveja a documentação da Citrix para sua versão do Citrix XenApp ou XenDesktop. Para executar esse procedimento no VMware Identity Manager, use uma função de administrador que inclua a ação Gerenciar Aplicativos de Desktop no serviço de Catálogo. No final desse procedimento, você será redirecionado para a página Intervalos de Rede para configurar os FQDNs do Acesso para Cliente. Para editar e salvar a página Intervalos de Rede, você precisa de uma função de Superadministrador. Você pode optar por realizar essa etapa separadamente. Procedimentos 1 Faça login no console do VMware Identity Manager. 2 Selecione a guia Catálogo > Coleções de Aplicativos Virtuais. 3 Clique em Novo. 4 Selecione Aplicativo Publicado Citrix como o tipo de origem. VMware, Inc. 159

160 5 No assistente do Novo Citrix XenApp, digite as seguintes informações na página Conector e Agente. Opção Nome Conector Descrição Digite um nome exclusivo para a coleção de aplicativos virtuais Citrix. Selecione o conector que você deseja usar para sincronizar nesta coleção. Para selecionar o conector, selecione o diretório que está associado a ele. Se você tiver configurado um cluster de conectores, todas as instâncias do conector aparecerão na lista Host e você poderá organizá-las na ordem de failover dessa coleção. Para reorganizar a lista, clique e arraste as linhas para a posição desejada. Importante Depois de criar a coleção, não é possível selecionar um diretório diferente. Integration Broker de Sincronização Digite as informações de conexão para a instância do Integration Broker que você deseja usar para sincronizar os recursos nesta coleção. Host: digite o nome de domínio totalmente qualificado da instância do Integration Broker. Por exemplo, ibserver.exemplo.com. Se você tiver configurado um balanceador de carga na frente de várias instâncias do Integration Broker dedicadas à sincronização, digite o nome do host ou o endereço IP do balanceador de carga. Porta: digite o número da porta do balanceador de carga ou da instância do Integration Broker. Usar SSL: para se conectar ao Integration Broker sobre SSL, ative Usar SSL e copie e cole o certificado SSL do servidor do Integration Broker na caixa Certificado SSL. Digite todas as linhas, incluindo ---BEGIN CERTIFICATE---- e -----END CERTIFICATE----. O certificado será usado quando os recursos neste conjunto de aplicativos virtuais forem sincronizados com o VMware Identity Manager. Iniciar o Integration Broker Digite as informações de conexão para a instância do Integration Broker que você deseja usar para processar as solicitações de inicialização nesta coleção. Você deve se conectar ao SSL Integration Broker sobre SSL. O SSL Integration Broker pode ser o mesmo que o SSO Integration Broker. Host: digite o nome de domínio totalmente qualificado da instância do Integration Broker. Por exemplo, ibserver.exemplo.com. Se você tiver configurado um balanceador de carga na frente de várias instâncias do Integration Broker dedicadas à inicialização, digite o nome de domínio totalmente qualificado do balanceador de carga. Observação Não use o endereço IP. Porta: digite o número da porta do balanceador de carga ou da instância do Integration Broker. Certificado SSL: copie e cole o certificado SSL do servidor do Integration Broker na caixa Certificado SSL. Digite todas as linhas, incluindo ---BEGIN CERTIFICATE---- e -----END CERTIFICATE----. O certificado será usado durante a inicialização dos recursos dessa coleção de aplicativos virtuais. 6 Clique em Avançar. VMware, Inc. 160

161 7 Na página Farm de Servidores, clique em Adicionar Farm de Servidores e digite as informações do farm de servidores Citrix. Opção Descrição Versão Selecione a versão da sua implantação do Citrix XenApp ou XenDesktop: 6.0, 6.5 ou 7.x. Servidor Clique em Adicionar Servidor e adicione o nome de domínio totalmente qualificado do seu servidor Citrix XML (agente XML). Por exemplo, xenappserver.exemplo.com. Você deve adicionar pelo menos um servidor Citrix XML. Para adicionar vários servidores, clique em Adicionar Servidor e adicione o servidor. Organize os servidores na ordem de failover. O VMware Identity Manager segue essa ordem para o SSO e em condições de failover. Para reorganizar a lista, clique e arraste as linhas para a posição desejada. Para excluir um servidor da lista, clique no ícone x à direita da linha. Observação Os agentes do XML devem ter a Comunicação remota do PowerShell habilitada. Preferência de Inicialização Selecione como deseja que o VMware Identity Manager processe solicitações de inicialização para recursos Citrix. Se você tiver o Citrix StoreFront implantado, selecione StoreFront; caso contrário, selecione SDK da Interface da Web. Você precisa selecionar e inserir informações para apenas uma das opções. VMware, Inc. 161

162 Opção StoreFront Descrição Selecione essa opção se você quiser que os recursos Citrix sejam inicializados usando a REST API do Citrix StoreFront. Quando essa opção é selecionada, o Integration Broker usa a REST API do Citrix StoreFront para se comunicar com o servidor do StoreFront e recuperar o arquivo ICA. URL do Servidor StoreFront Digite a URL do servidor StoreFront no seguinte formato: transporttype://storefrontserverfqdn/citrix/storenameweb Por exemplo, Observação Esta é a URL do servidor StoreFront URL do site. Importante Mais tarde, depois de criar a coleção de aplicativos virtuais, quando você configurar intervalos de rede internos para o XenApp, certifiquese de inserir a mesma URL no campo Acesso para Cliente do Host da URL. Observação Depois de criar e sincronizar a coleção de aplicativos virtuais, se você optar por não usar a opção StoreFront, certifique-se de atualizar também a URL de acesso para cliente para intervalos de rede. SDK de Interface da Web Selecione essa opção se você quiser que os recursos Citrix sejam inicializados usando o Citrix Web Interface SDK. Quando essa opção estiver selecionada, o Integration Broker usará a SDK de Interface da Web da Citrix para se comunicar com componentes Citrix e recuperar o arquivo ICA. Tipo de transporte Selecione o tipo de transporte usado na sua configuração do servidor Citrix: HTTP, HTTPS ou SSL RELAY. Isso deve corresponder à sua configuração do servidor Citrix. Porta Insira a porta usada na configuração do servidor Citrix. Isso deve corresponder à sua configuração do servidor Citrix. Porta de Retransmissão de SSL Digite a porta de Retransmissão de SSL usada na configuração do servidor Citrix. Essa opção será exibida somente se você selecionar SSL RELAY como o tipo de transporte. Servidor STA Se a sua implantação Citrix incluir um servidor de Gateway do NetScaler, especifique o servidor Secure Ticket Authority (STA) associado a ele. O servidor STA é usado para controlar o acesso a um servidor de Gateway do NetScaler. 1 Clique em Adicionar Servidor STA e digite a URL do servidor STA no seguinte formato: tipodetransporte://servidor:porta Por exemplo: Somente caracteres alfanuméricos, ponto (.) e hífen (-) podem ser usados na URL. 2 Para adicionar vários servidores STA, clique em Adicionar Servidor STA e adicione os servidores. VMware, Inc. 162

163 Opção Descrição 3 Organize os servidores STA na ordem de failover. Para mover uma linha, clique no identificador à esquerda da linha e arraste até o local desejado. Para excluir um servidor da lista, clique no ícone x à direita da linha. 8 Clique em Avançar. 9 Na página Configuração, insira as informações a seguir. Opção Frequência de sincronização Sincronizar Aplicativos Duplicados Sincronizar Categorias de Farms do Servidor Política de Ativação Descrição Selecione a frequência com que você deseja sincronizar os recursos na coleção do farm de servidores Citrix com o VMware Identity Manager. Você pode estabelecer uma agenda de sincronização automática ou optar pela sincronização manual. Para definir um agendamento, selecione o intervalo, como diariamente ou semanalmente, e selecione a hora do dia para executar a sincronização. Se você selecionar Manual, deverá clicar em Sincronização na página Coleção de Aplicativos Virtuais depois de criar a coleção e sempre que houver uma alteração em seus direitos ou recursos Citrix. Defina como Não caso você deseje evitar que aplicativos duplicados sejam sincronizados entre vários servidores. Quando o VMware Identity Manager é implantado em vários data centers, os mesmos recursos são configurados nesses centros de dados. Definir essa opção como Não impede a duplicação de aplicativos e desktops no seu catálogo do VMware Identity Manager. Ative esta opção se você quiser sincronizar as categorias dos servidores Citrix com o VMware Identity Manager. Selecione como deseja disponibilizar os recursos nesta coleção para os usuários no aplicativo e no portal do Workspace ONE. Se você pretende configurar um fluxo de aprovação, selecione Ativado pelo Usuário; caso contrário, selecione Automático. Com as opções Ativado pelo Usuário e Automático, os recursos são adicionados à página Catálogo. Os usuários podem usar os recursos da página Catálogo ou movê-los para a página Favoritos. No entanto, para configurar um fluxo de aprovação para qualquer um dos aplicativos, você deve selecionar Ativado pelo Usuário para esse aplicativo. A política de ativação se aplica a todos os direitos de usuário para todos os recursos na coleção. Você pode modificar a política de ativação para usuários individuais ou grupos por recurso, na página do usuário ou grupo na guia Usuários e Grupos. 10 Clique em Avançar. 11 Na página Resumo, revise suas seleções e clique em Salvar e Configurar o Intervalo de Rede. A coleção é criada, mas os recursos na coleção ainda não estão sincronizados. A página Intervalos de Rede é exibida. Próximo passo Configure intervalos de rede para a inicialização de recurso. Consulte Configurando a inicialização de recursos Citrix no VMware Identity Manager. VMware, Inc. 163

164 Para sincronizar os recursos e os direitos na coleção dos servidores Citrix com o VMware Identity Manager, selecione a coleção na página Coleções de Aplicativos Virtuais e clique em Sincronização. Observação O VMware Identity Manager não oferece suporte ao recurso de grupo de usuários anônimos do Citrix. Configurando a inicialização de recursos Citrix no VMware Identity Manager Depois de configurar a página Aplicativos Publicados Citrix, configure os intervalos de IP da rede para a inicialização de recursos. Você pode especificar se o tráfego de inicialização (tráfego de ICA) do aplicativo ou desktop deve ser encaminhado por meio do NetScaler ou por meio de uma conexão direta com o servidor do XenApp. Isso permite que você atenda às necessidades dos usuários para ambos os acessos externo e interno aos recursos Citrix na sua implantação. Quando um usuário inicializa um aplicativo ou desktop no catálogo do Workspace ONE, se o endereço IP do usuário cair em um intervalo de rede configurado para o NetScaler, o tráfego de ICA será encaminhado por meio do NetScaler para o servidor do XenApp. Se o endereço IP estiver no intervalo de conexão direta, o tráfego de ICA será encaminhado diretamente para o servidor XenApp. Configurando a inicialização de recursos para redes internas Configure os intervalos de rede para os quais o tráfego de inicialização (tráfego de ICA) do aplicativo ou desktop deve ser encaminhado diretamente para o servidor do XenApp. Normalmente, essa configuração é usada para fornecer acesso interno aos recursos publicados Citrix. Quando um usuário inicializa um aplicativo ou desktop no portal do catálogo do Workspace ONE, se o endereço IP do usuário cair no intervalo de rede interna, o tráfego de ICA será encaminhado por meio do Netscaler para o servidor do XenApp. Observação Para configurar a inicialização de recursos para redes externas, consulte Configurando a inicialização de recursos para redes externas com o NetScaler. Pré-requisitos É necessária uma função de Superadministrador para editar e salvar a página Intervalos de Rede. Procedimentos 1 Faça login no console do VMware Identity Manager. 2 Selecione a guia Catálogo > Coleções de Aplicativos Virtuais. 3 Clique na coleção Citrix para a qual você deseja definir intervalos de rede. 4 Clique em Editar Intervalo de Rede. VMware, Inc. 164

165 5 Na página Intervalos de Rede, clique no intervalo de rede a ser configurado para a inicialização de recurso Citrix interno para que os usuários finais que acessam os recursos Citrix de uma rede interna possam se conectar ao servidor correto. a b c Clique no intervalo de rede a ser editado ou clique em Criar Intervalo de Rede para criar um novo intervalo de rede, se necessário. Se você estiver criando um novo intervalo de rede, digite um nome, uma descrição opcional e o intervalo de endereços IP. Role até a seção Farm XenApp. Essa seção lista todos os servidores do XenApp que você configurou na coleção de aplicativos virtuais Citrix. d Para cada servidor XenApp, insira os valores apropriados para esse intervalo de rede. Opção FQDN do Acesso para Cliente Descrição Se a opção StoreFront estiver selecionada como a preferência de inicialização na coleção de aplicativos virtuais Citrix, digite a mesma URL que você inseriu na caixa de texto URL do StoreFront. Caso contrário, digite o nome do host do servidor do XenApp. Por exemplo, hostdoxenapp.exemplo.com. Se houver um balanceador de carga na frente dos servidores XenApp, use o seguinte formato: URLdobalanceadordecarga/citrix/storeweb Porta A porta do servidor. Por exemplo, 443. Se você inseriu uma URL do balanceador de carga na caixa de texto FQDN do Acesso para Cliente, use a porta 443. NetScaler Defina esta opção como Não. e f g Clique em Salvar. Repita essas etapas para editar os outros intervalos de rede, se necessário. Clique em Concluir na página Intervalos de Rede. Configurando a inicialização de recursos para redes externas com o Gateway do NetScaler O VMware Identity Manager oferece suporte a implantações da Citrix que incluam o Gateway do NetScaler. Normalmente se usa um Gateway do NetScaler para fornecer acesso externo a aplicativos ou desktops do XenApp ou XenDesktop. VMware, Inc. 165

166 Se a sua implantação da Citrix incluir um appliance do Gateway do NetScaler, você poderá configurar o VMware Identity Manager com as configurações apropriadas de modo que, quando os usuários inicializarem recursos Citrix, o tráfego seja encaminhado por meio do Gateway do NetScaler para o servidor do XenApp. No console do VMware Identity Manager, para cada farm do XenApp, especifique o servidor Secure Ticket Authority (STA) associado ao appliance do Gateway do NetScaler. Usa-se o servidor STA para gerar e validar tíquetes de STA durante o processo de inicialização do aplicativo. Você também pode definir políticas nos intervalos de IPs de rede de cliente que especificam se o tráfego de inicialização deve ser encaminhado para o servidor do XenApp por meio do Gateway do NetScaler ou se ele deve ser encaminhado diretamente para o servidor do XenApp. Isso permite que você atenda a ambas as necessidades de acesso externo e interno. Observação O VMware Identity Manager também é compatível com o Citrix Secure Gateway. As etapas de configuração desta seção aplicam-se tanto ao Gateway do NetScaler quanto ao Citrix Secure Gateway. Observação Para usar o Gateway do NetScaler no VMware Identity Manager, você deve usar o Integration Broker 2.4 ou posterior. Obter a URL do Servidor STA para o Gateway do NetScaler Antes de definir as configurações do Gateway do NetScaler no VMware Identity Manager, obtenha a URL do servidor Secure Ticket Authority (STA) associado ao appliance do Gateway do NetScaler. Esse procedimento descreve as etapas do NetScaler 11. Procedimentos 1 Na interface de gerenciamento do NetScaler, navegue até Configuração > Gateway do NetScaler > Servidores Virtuais. 2 Clique duas vezes no servidor virtual. VMware, Inc. 166

167 3 Na janela que aparece, em Aplicativos Publicados, clique em Servidor STA. 4 Anote a URL do Servidor STA. Configurar o Gateway do NetScaler no VMware Identity Manager Para configurar o Gateway do NetScaler no VMware Identity Manager, especifique um servidor de Secure Ticket Authority (STA) para cada farm XenApp em sua implantação da Citrix. Usa-se o servidor STA para gerar e validar tíquetes de STA durante o processo de inicialização de aplicativo ou de desktop. Quando um usuário inicializa um aplicativo ou desktop Citrix, o VMware Identity Manager obtém um tíquete do servidor STA. O tíquete é apresentado ao Gateway do NetScaler, junto com outras informações, e o Gateway do NetScaler valida o tíquete no servidor STA antes de estabelecer uma conexão segura com o farm XenApp. Observação As informações deste tópico também se aplicam ao Citrix Secure Gateway. Pré-requisitos Obtenha as informações do servidor STA para cada farm XenApp. Consulte Obter a URL do Servidor STA para o Gateway do NetScaler. VMware, Inc. 167

168 Procedimentos 1 No console do VMware Identity Manager, selecione a guia Catálogo > Coleções de Aplicativos Virtuais. 2 Clique na coleção para a qual você deseja especificar um servidor STA e clique em Editar. 3 No assistente para Editar Coleção do Citrix XenApp, clique em Farm de Servidores no painel esquerdo. 4 Clique no farm de servidores a ser editado. 5 Role para baixo até a seção Servidor STA e clique em Adicionar Servidor STA. 6 Insira a URL do servidor STA no seguinte formato: tipodetransporte://servidor:porta Por exemplo: Somente caracteres alfanuméricos, ponto (.) e hífen (-) podem ser usados na URL. 7 Adicione servidores STA adicionais, se necessário, clicando em Adicionar Servidor STA. A sua implantação pode incluir um segundo servidor STA para fins de failover, por exemplo. 8 Se você tiver adicionado vários servidores STA, organize-os na ordem de failover clicando no identificador à esquerda de cada linha e arrastando a linha para a posição desejada. 9 Clique em Salvar. 10 Se houver vários farms XenApp em sua implantação, repita essas etapas para especificar um servidor STA para cada farm. Próximo passo Defina as políticas para intervalos de IPs de rede específicos que especificam que o tráfego de inicialização deve ser encaminhado por meio do Gateway do NetScaler para o servidor do XenApp. Configurar o intervalo de rede para o Gateway do NetScaler Você pode configurar os intervalos de rede para o qual o tráfego de inicialização (tráfego de ICA) do aplicativo ou desktop deve ser encaminhado pelo Gateway do NetScaler para o servidor do XenApp. Normalmente, isso é usado para fornecer acesso externo aos recursos publicados Citrix. VMware, Inc. 168

169 Quando um usuário inicializar um aplicativo ou desktop no aplicativo ou portal do Workspace ONE, se o endereço IP do usuário cair no intervalo configurado para o Gateway do NetScaler, o tráfego de ICA será roteado por meio do Gateway do NetScaler para o servidor do XenApp. Observação Para configurar a inicialização de recurso para redes internas, consulte Configurando a inicialização de recursos para redes internas. Observação As informações deste tópico também se aplicam ao Citrix Secure Gateway. Se você estiver usando o Citrix Secure Gateway em vez do Gateway do NetScaler, insira o nome de host e a porta do Secure Gateway e marque a caixa de seleção NetScaler. Pré-requisitos Você configurou o Gateway do NetScaler na coleção de aplicativos virtuais Citrix, conforme descrito em Configurar o Gateway do NetScaler no VMware Identity Manager. É necessária uma função de Superadministrador para executar esse procedimento. Procedimentos 1 No console do VMware Identity Manager, selecione a guia Catálogo > Coleções de Aplicativos Virtuais. 2 Clique na coleção Citrix para a qual você deseja definir intervalos de rede. 3 Clique em Editar Intervalo de Rede. 4 Na página Intervalos de Rede, clique no intervalo de rede a ser configurado para o Gateway do NetScaler. a b c Clique no intervalo de rede a ser editado ou clique em Criar Intervalo de Rede para criar um novo intervalo de rede, se necessário. Se você estiver criando um novo intervalo de rede, digite um nome, uma descrição opcional e o intervalo de endereços IP. Role até a seção Farm XenApp. Essa seção lista todos os servidores XenApp configurados na coleção de aplicativos virtuais Citrix. VMware, Inc. 169

170 d Para cada servidor XenApp, insira os valores apropriados para esse intervalo de rede. Opção FQDN do Acesso para Cliente Descrição O nome do host do appliance do Gateway do NetScaler. Por exemplo: hostdonetscaler.exemplo.com Porta A porta do appliance do Gateway do NetScaler. Por exemplo: 443 NetScaler Defina esta opção como Sim. e f g Clique em Salvar. Repita essas etapas para editar os outros intervalos de rede, se necessário. Clique em Concluir na página Intervalos de Rede. Definindo as configurações do VMware Identity Manager para a integração da Citrix Você pode definir várias configurações no VMware Identity Manager para a integração da Citrix. Gerenciando categorias para recursos publicados Citrix Você pode usar o console do VMware Identity Manager e a sua implantação Citrix para gerenciar categorias de recursos publicados Citrix. Em sua implantação Citrix, você dá a um desktop ou aplicativo publicado Citrix um nome de categoria editando a caixa de texto Pasta de aplicativo do cliente nas propriedades do recurso. Quando você integra sua implantação Citrix ao VMware Identity Manager, os nomes das categoria existentes para desktops e aplicativos publicados Citrix são transferidos para o VMware Identity Manager. Após a integração, você pode continuar a criar categorias na sua implantação Citrix. Se você tiver ativado a caixa de seleção Sincronizar categorias dos farms de servidores para a coleção, as novas categorias serão transferidas para o VMware Identity Manager durante a próxima sincronização. Consulte Configurando farms de servidores Citrix no VMware Identity Manager. Você também pode criar categorias diretamente no VMware Identity Manager. Crie, atribua e exiba as categorias da página Catálogo > Aplicativos Virtuais no console do VMware Identity Manager. Quando você cria uma categoria no VMware Identity Manager, a categoria nunca aparece na implantação Citrix. VMware, Inc. 170

171 Quando você cria uma categoria na implantação Citrix, a categoria aparece no VMware Identity Manager na próxima sincronização. Quando você atualizar um nome de categoria na implantação Citrix, o nome de categoria atualizado aparece no VMware Identity Manager, e o nome original da categoria permanece onde está. Se você quiser remover o nome original da categoria do VMware Identity Manager, você deve removê-lo manualmente. Definindo configurações de entrega (propriedades do ICA) para recursos publicados Citrix Você pode editar as configurações de entrega de recursos publicados Citrix no console do VMware Identity Manager. Essas configurações definem como a implantação da Citrix configurada entrega recursos publicados Citrix aos usuários. Para configurar as definições de entrega, edite as propriedades da Arquitetura de Computação Independente (ICA). ICA é um protocolo proprietário da Citrix. Uma vasta gama de propriedades ICA estão disponíveis e controlam áreas como segurança, exibição e compactação. Para obter mais informações sobre como configurar as propriedades ICA, consulte a documentação da Citrix. O VMware Identity Manager inclui as configurações de entrega padrão. Essas configurações são globais, ou seja, elas se aplicam a todos os recursos publicados Citrix no serviço VMware Identity Manager. Você pode editar as configurações padrão e adicionar novas. Editando as propriedades do ICA para todos os recursos publicados Citrix É possível editar as configurações de entrega (propriedades do ICA) para todos os aplicativos e desktops publicados Citrix na implantação do VMware Identity Manager. Essas configurações só são aplicáveis para coleções que tenham a opção SDK da Interface da Web selecionada. Os campos de propriedades do ICA são preenchidos com valores padrão até que você os edite. Procedimentos 1 No console do VMware Identity Manager, selecione a guia Catálogo > Aplicativos Virtuais e clique em Configurações. 2 No painel esquerdo, clique em Citrix XenApp ou Citrix XenDesktop, com base na sua implantação. 3 Edite as propriedades do ICA de acordo com as diretrizes da Citrix. Para editar as propriedades do tráfego de inicialização que vai diretamente para o servidor XenApp ou XenDesktop, edite a seção Configuração ICA. Para editar as propriedades do tráfego de inicialização roteado pelo Gateway do NetScaler, edite a seção Configuração do NetScaler ICA. Por exemplo: VMware, Inc. 171

172 4 Clique em Salvar. A menos que os recursos individuais tenham as próprias configurações de entrega de recursos, sua implantação Citrix aplica as propriedades do ICA globais quando ela entrega os recursos publicados Citrix disponíveis por meio do VMware Identity Manager aos usuários. Especificando políticas de acesso para desktops e aplicativos específicos O conjunto de políticas de acesso padrão se aplica a todos os aplicativos e desktops no seu catálogo. Você também pode definir políticas de acesso para aplicativos ou desktops individuais, que substituem a política de acesso padrão. Você pode configurar as políticas de aplicativos para desktops e aplicativos na página de configuração do aplicativo ou na página Políticas. Para obter informações detalhadas sobre as políticas de acesso e como elas são aplicadas, consulte o Guia de Administração do VMware Identity Manager. Procedimentos 1 Para selecionar uma política de acesso para um aplicativo específico na página de configuração do aplicativo, siga estas etapas. a b No console do VMware Identity Manager, selecione a guia Catálogo > Aplicativos Virtuais. Clique no aplicativo. VMware, Inc. 172

173 c Clique em Editar. Determinados campos na página do aplicativo agora são editáveis. d e Na seção Políticas de Acesso, selecione o conjunto de políticas de acesso para o aplicativo. Clique em Salvar no topo da página. 2 Para aplicar uma política de acesso a um ou mais aplicativos e desktops na página Políticas, siga estas etapas. a b c d e No console dovmware Identity Manager, navegue até a página Gerenciamento de Identidade e Acesso > Políticas. Clique em uma política para editá-la ou clique em Adicionar Política para criar uma nova política. Na página Definição do assistente, na seção Aplica-se a, selecione os aplicativos e desktops aos quais você deseja aplicar a política. Na seção Aplicável a, selecione os aplicativos aos quais você deseja aplicar a política. Salve as alterações. Exibindo atribuições de usuário e grupo a recursos publicados Citrix No console do VMware Identity Manager, você pode exibir atribuições de usuário e grupo para desktops e aplicativos publicados Citrix. Essas atribuições são definidas na sua implantação Citrix e sincronizadas com o VMware Identity Manager. Não é possível editar as atribuições do VMware Identity Manager. Pré-requisitos Para ver as atualizações mais recentes, sincronize manualmente os recursos e os direitos dos farms de servidores Citrix com o VMware Identity Manager na página Catálogo > Coleções de Aplicativos Virtuais. Procedimentos 1 Faça login no console do VMware Identity Manager. VMware, Inc. 173

174 2 Exiba as atribuições de usuário e grupo a recursos publicados Citrix. Os recursos publicados Citrix incluem aplicativos e desktops publicados Citrix, também conhecidos como grupos de distribuição. Opção Listar usuários e grupos atribuídos a um desktop ou aplicativo publicado Citrix específico Listar as atribuições de desktop e aplicativo publicado Citrix para um usuário ou grupo específico Ação a Clique na guia Catálogo > Aplicativos Virtuais. b (Opcional) Clique no ícone no título da coluna Tipo e selecione Aplicativo publicado Citrix e Grupo de Distribuição Publicado Citrix para exibir todos os recursos publicados Citrix. Você também pode procurar um aplicativo ou desktop pelo nome. c Clique no desktop ou aplicativo. d Clique em Exibir Atribuições. Todos os usuários e grupos aos quais o aplicativo é atribuído são listados. a Clique na guia Usuários e Grupos. b Clique na guia Usuários ou na guia Grupos. c Clique no nome de um usuário ou grupo individual. d Clique na guia Aplicativos. As atribuições de desktop e aplicativo publicado Citrix para o usuário ou grupo são listadas. Inicializando os recursos publicados Citrix em diferentes navegadores Quando os usuários inicializam um desktop ou aplicativo publicado Citrix no portal do Workspace ONE, um arquivo ICA é baixado e passado para o Citrix Receiver. O Citrix Receiver é um aplicativo de SO nativo que inicializa os desktops e os aplicativos publicados Citrix. A experiência de inicialização varia de acordo com as diferentes plataformas e navegadores. Processo de inicialização Dependendo da plataforma e do navegador, o aplicativo ou desktop é inicializado de modo diferente. Em alguns casos, o aplicativo ou desktop é inicializado diretamente. Em outros casos, o usuário precisa associar um tipo de arquivo.ica com o Citrix Receiver primeiro para que o aplicativo ou desktop possa ser inicializado diretamente. Em alguns casos, o usuário precisa clicar no arquivo ICA para inicializar o aplicativo ou desktop. Consulte a tabela para obter informações mais detalhadas. Plataforma Navegador Como o aplicativo ou desktop é inicializado Ação necessária Windows Firefox Inicializa o aplicativo ou desktop diretamente Nenhum Chrome Inicializa o aplicativo ou desktop diretamente. Observação Com o Citrix 4.5 e o XenDesktop, há problemas conhecidos com a inicialização de grupo de distribuição. Nenhum Internet Explorer Faz download do arquivo ICA com extensão.ica. Depois que o tipo de arquivo é associado ao Citrix Receiver, ele inicializa automaticamente o aplicativo ou desktop. No navegador, associe o tipo de arquivo.ica com o Citrix Receiver. VMware, Inc. 174

175 Plataforma Navegador Como o aplicativo ou desktop é inicializado Ação necessária Borda Inicializa o aplicativo ou desktop diretamente. Observação Com o Citrix 4.5 e o XenDesktop, há problemas conhecidos com a inicialização de grupo de distribuição. Nenhum Mac Safari, Firefox Inicializa o aplicativo ou desktop diretamente Nenhum Chrome Inicializa o aplicativo ou desktop diretamente Nenhum Windows Surface Chrome Os downloads do arquivo ICA com extensão.ica. Depois que o tipo de arquivo é associado ao Citrix Receiver, ele inicializa automaticamente o aplicativo ou desktop. No navegador, associe o tipo de arquivo.ica com o Citrix Receiver. Android Chrome Baixa o arquivo ICA Clique no arquivo ICA para inicializar o desktop ou aplicativo. ios Safari Baixa o arquivo ICA Clique no arquivo ICA para inicializar o desktop ou aplicativo. Chrome Não é possível baixar o arquivo ICA Não há suporte para esse cenário. Permitindo o plug-in do Citrix Receiver no Firefox No Firefox, quando os usuários inicializam um aplicativo publicado Citrix, ele são solicitados a permitir o plug-in do Citrix Receiver. Permitir que execute o Citrix Receiver? Os usuários devem clicar em Permitir Agora ou Permitir e Lembrar para iniciar o aplicativo. Impacto de atualização sobre a integração de recursos publicados Citrix Nenhuma configuração adicional é necessária após um upgrade do VMware Identity Manager ou um upgrade de produto da Citrix para se manter a integração entre o VMware Identity Manager e os recursos publicados pela Citrix. Para atualizar o Integration Broker, você deve desinstalar a versão mais antiga e, em seguida, instalar a nova versão. Para reinstalar o Citrix Receiver, consulte a documentação da Citrix. VMware, Inc. 175