Configurazione delle risorse in VMware Identity Manager 3.2 (in locale) AGO 2018 VMware Identity Manager 3.2

Transcript

1 Configurazione delle risorse in VMware Identity Manager 3.2 (in locale) AGO 2018 VMware Identity Manager 3.2

2 È possibile trovare la documentazione tecnica più aggiornata sul sito Web di VMware all'indirizzo: In caso di commenti sulla presente documentazione, inviare un messaggio all'indirizzo: VMware, Inc Hillview Ave. Palo Alto, CA VMware, Inc. Centro Leoni Palazzo A Via Spadolini 5 Ground Floor Milan, MI tel: fax: Copyright VMware, Inc. Tutti i diritti sono riservati. Informazioni sul copyright e sui marchi VMware, Inc. 2

3 Sommario Configurazione delle risorse in VMware Identity Manager (in locale) 7 1 Introduzione alla configurazione delle risorse in VMware Identity Manager 8 2 Consentire l'accesso alle applicazioni Web 10 Aggiunta di un'applicazione Web al catalogo 11 Assegnazione di utenti e gruppi a un'applicazione Web 15 Modifica di un'applicazione Web 17 Copia di un'applicazione Web 17 Esportazione di un'applicazione Web 18 Eliminazione di un'applicazione Web dal catalogo 18 Creazione e selezione di categorie per le applicazioni 19 Aggiunta di più tenant di app Web 19 Aggiunta di applicazioni OpenID Connect al catalogo 21 Aggiunta di un'applicazione OpenID Connect 22 Utilizzo degli adattatori di provisioning 24 Gestione delle impostazioni delle app Web 25 Informazioni aggiuntive 25 3 Utilizzo delle raccolte di app virtuali per le integrazioni di desktop 26 Informazioni sulle raccolte di app virtuali 26 Creazione di raccolte di app virtuali 28 Modifica delle raccolte di app virtuali 30 Eliminazione delle raccolte di app virtuali 31 Monitoraggio delle raccolte di app virtuali 32 Migrazione delle configurazioni esistenti a Raccolta app virtuali 32 Utilizzo della procedura guidata di migrazione per eseguire la migrazione alle raccolte di app virtuali 34 4 Consentire l'accesso a pool di desktop e applicazioni View, Horizon 6 oppure Horizon 7 37 Informazioni sull'integrazione di pod Horizon indipendenti 38 Requisiti per l'integrazione di pod Horizon 39 Informazioni sull'integrazione di distribuzioni Cloud Pod Architecture (CPA) di Horizon Cloud 39 Requisiti per l'integrazione di federazioni di pod Horizon 43 Configurazione di pod Horizon e federazioni di pod in VMware Identity Manager 45 Configurazione dell'ambiente di VMware Identity Manager 45 Configurarazione di pod Horizon e federazioni di pod in VMware Identity Manager 47 VMware, Inc. 3

4 Configurazione dell'autenticazione SAML 54 Attivazione di URL di accesso client multipli per gli intervalli di rete personalizzati 54 Avvio delle risorse di Horizon tramite gateway di convalida 56 Visualizzazione delle informazioni di connessione per i pool di applicazioni e desktop di Horizon 57 Visualizzazione dei permessi di utenti e gruppi per i pool di desktop e applicazioni di Horizon 58 Impostazione di criteri di accesso per applicazioni e desktop specifici 58 Permettere agli utenti di reimpostare i propri desktop di Horizon in VMware Identity Manager 59 Visualizzazione delle opzioni di avvio per applicazioni e desktop di Horizon 60 Avvio di un desktop o di un'applicazione di Horizon 62 5 Fornire accesso a desktop e applicazioni di VMware Horizon Cloud Service 64 Integrazione di desktop e applicazioni di Horizon Cloud 65 Integrazione di più istanze di Horizon Cloud 65 Prerequisiti per l'integrazione 66 Configurazione di tenant Horizon Cloud in VMware Identity Manager 67 Configurazione dell'autenticazione SAML nel tenant di Horizon Cloud 71 Visualizzazione dei dettagli sui pool di desktop e applicazioni di Horizon Cloud 73 Visualizzazione dei permessi di utenti e gruppi per i desktop e le applicazioni di Horizon Cloud 74 Impostazione di criteri di accesso per applicazioni e desktop specifici 75 Permettere agli utenti di reimpostare desktop Horizon Cloud 75 Utilizzo di un desktop o un'applicazione di Horizon Cloud 76 6 Consentire l'accesso a pacchetti VMware ThinApp 78 Integrazione di pacchetti VMware ThinApp 79 Requisiti di VMware Identity Manager per i pacchetti ThinApp e il repository della condivisione di rete 79 Creazione di una condivisione di rete per i pacchetti ThinApp 86 Configurazione dell'accesso di VMware Identity Manager ai pacchetti ThinApp 86 Autorizzazione di utenti e gruppi per i pacchetti ThinApp 90 Distribuzione e gestione di pacchetti ThinApp 92 Periodo di grazia offline e pacchetti ThinApp 96 Aggiornamento di pacchetti ThinApp gestiti dopo la distribuzione in VMware Identity Manager 96 Aggiornamento di un pacchetto ThinApp gestito 98 Eliminazione di pacchetti ThinApp da VMware Identity Manager 102 Impostazione dei pacchetti ThinApp come compatibili con VMware Identity Manager 103 Modifica della cartella di condivisione dei pacchetti ThinApp 106 Impostazione di criteri di accesso per applicazioni e desktop specifici Configurazione di VMware Identity Manager Desktop 108 Opzioni del programma d'installazione da riga di comando per VMware Identity Manager Desktop 109 Installazione dell'applicazione Windows con impostazioni uguali in più sistemi 114 VMware, Inc. 4

5 Aggiunta dei file del programma di installazione di VMware Identity Manager Desktop alle appliance virtuali di VMware Identity Manager 115 Utilizzo dell'applicazione da riga di comando hws-desktop-ctrl.exe Consentire l'accesso a risorse pubblicate Citrix 118 Panoramica dell'integrazione delle risorse pubblicate da Citrix 118 Componenti di richiesti per l'integrazione di Citrix 120 Progettazione integrazione di alto livello 120 Sincronizzazione di risorse e permessi pubblicati da Citrix 120 Avvio di applicazioni e desktop pubblicati da Citrix 121 Prerequisiti per l'integrazione di Citrix 125 Informazioni sulla distribuzione di Integration Broker 126 Preparazione di Windows Server per l'installazione di Integration Broker 130 Distribuire Integration Broker 140 Abilitazione della comunicazione remota di Citrix PowerShell 148 Verificare la connessione per server farm Citrix 151 Scaricare Citrix Web Interface SDK Configurazione di server farm Citrix in VMware Identity Manager 152 Configurazione di avvio di risorse Citrix in VMware Identity Manager 157 Configurazione dell'avvio di risorse per una rete interna 157 Configurazione di avvio di risorse per reti esterne con NetScaler 159 Configurazione delle impostazioni di VMware Identity Manager per l'integrazione di Citrix 163 Gestione delle categorie per le risorse pubblicate Citrix 163 Configurazione delle impostazioni di consegna (proprietà ICA) per le risorse pubblicate da Citrix 164 Impostazione di criteri di accesso per applicazioni e desktop specifici 167 Visualizzazione di permessi di utenti e gruppi per le risorse pubblicate da Citrix 168 Avvio delle risorse pubblicate da Citrix in browser diversi 169 Impatto dell'aggiornamento sull'integrazione di risorse pubblicate da Citrix Consentire l'accesso ad applicazioni gestite dalla terza parte in Workspace ONE 172 Aggiungere un'origine dell'applicazione al catalogo di Workspace ONE 173 Autorizzare gli utenti per l'origine dell'applicazione 174 Aggiungere applicazioni gestite dall'origine dell'applicazione Risoluzione dei problemi relativi alla configurazione delle risorse di VMware Identity Manager 176 Risoluzione dei problemi di integrazione di ThinApp 176 Non è possibile avviare i pacchetti ThinApp dal portale utente 176 Risoluzione dei problemi di integrazione di Horizon 179 Impossibile sincronizzare le risorse di Horizon 179 Gli utenti non riescono ad avviare le applicazioni o i desktop di Horizon 180 VMware, Inc. 5

6 Risoluzione dei problemi di integrazione delle risorse pubblicate da Citrix 181 Gli utenti che accedono alle risorse pubblicate da Citrix ricevono un errore di crittografia 181 Le risorse pubblicate da Citrix non sono disponibili in VMware Identity Manager 182 Quando gli utenti avviano una risorsa pubblicata da Citrix, nel browser viene visualizzato un errore server interno Un problema di memoria impedisce la corretta configurazione di Integration Broker 186 Errore di risorsa non disponibile all'avvio di desktop XenApp 7.x 187 Non è possibile avviare il desktop dalla farm di Citrix XenDesktop in Windows L'avvio di risorse pubblicate da Citrix non riesce se la porta XML è impostata in modo errato 187 La sincronizzazione di risorse Citrix non riesce se il Gruppo visibilità limitata non contiene utenti o gruppi 188 Problemi di sincronizzazione se le applicazioni pubblicate o i desktop in un sito non contengono utenti validi 188 I permessi Citrix non vengono visualizzati in VMware Identity Manager 189 Eccezione durante la sincronizzazione se Identità pool di applicazioni non è configurato 190 Il file ICA non viene creato durante l'avvio delle risorse Citrix 191 Riavvio di Integration Broker 191 VMware, Inc. 6

7 Configurazione delle risorse in VMware Identity Manager (in locale) Configurazione delle risorse in VMware Identity Manager fornisce informazioni sull'aggiunta di risorse al catalogo di VMware Identity Manager e sul renderle disponibili ai sistemi degli utenti, come ad esempio dai loro desktop e dai dispositivi mobili. Le risorse supportate includono applicazioni Web, desktop e applicazioni di VMware Horizon, desktop e applicazioni di VMware Horizon Cloud Service, risorse pubblicate da Citrix e pacchetti VMware ThinApp. Destinatari Queste informazioni sono dirette a chiunque configuri e amministri le risorse per VMware Identity Manager. Sono scritte per amministratori di sistema Windows o Linux esperti che hanno familiarità con la tecnologia delle macchine virtuali e le operazioni di data center. Nota sulla funzionalità Raccolta app virtuali Quando esegue l'aggiornamento a VMware Identity Manager 3.1 o versione successiva, è possibile migrare le configurazioni delle risorse esistenti nella nuova funzionalità Raccolta app virtuali. Fino a quando non si esegue la migrazione, è possibile continuare a utilizzare il menu Gestisci applicazioni Desktop nella pagina Catalogo > Catalogo applicazioni per gestire le configurazioni. La presente guida fa riferimento alla nuova interfaccia utente di Raccolta app virtuali per tutte le integrazioni. Se si continua a utilizzare l'interfaccia utente precedente dal menu Gestisci applicazioni Desktop, fare riferimento alla versione 3.0 della documentazione, Configurazione delle risorse in VMware Identity Manager 3.0 (PDF). VMware, Inc. 7

8 Introduzione alla configurazione delle risorse in VMware Identity Manager 1 Dopo aver installato e configurato VMware Identity Manager, per consentire agli utenti di accedere alle risorse supportate, è necessario configurare le risorse nella console di amministrazione di VMware Identity Manager. Tranne le applicazioni Web, ogni tipo di risorsa richiede l'integrazione di VMware Identity Manager con un altro prodotto o componente. È possibile integrare con VMware Identity Manager i seguenti tipi di risorse: applicazioni Web Applicazioni e desktop di VMware Horizon Cloud Service Pool di applicazioni e desktop di VMware Horizon 7, Horizon 6 e View risorse pubblicate da Citrix Applicazioni compresse VMware ThinApp Tali risorse vengono integrate dalle schede Catalogo nella console di amministrazione. Per integrare applicazioni Web, utilizzare la scheda Catalogo > App Web. Per integrare e gestire pool di applicazioni e desktop di Horizon, applicazioni e desktop di Horizon Cloud, risorse pubblicate da Citrix o applicazioni compresse ThinApp, utilizzare la scheda Catalogo > App virtuali. VMware, Inc. 8

9 È possibile gestire le impostazioni per le risorse integrate dalle pagine seguenti. Le impostazioni globali sono disponibili nella scheda Catalogo > Impostazioni. Le impostazioni per le applicazioni Web sono disponibili dal pulsante Impostazioni nella scheda Catalogo > App Web. Le impostazioni per Horizon, Horizon Cloud, ThinApp e le risorse pubblicate da Citrix sono disponibili dal pulsante Impostazioni nella scheda Catalogo > App virtuali. È inoltre possibile gestire le impostazioni per le singole applicazioni facendo clic sull'applicazione nella pagina Catalogo > App Web o Catalogo > App virtuali e modificando la configurazione. VMware, Inc. 9

10 Consentire l'accesso alle 2 applicazioni Web È possibile aggiungere applicazioni Web al catalogo di VMware Identity Manager e assegnarle a utenti e gruppi per consentire agli utenti di accedervi dall'app o dal portale di Workspace ONE. Abilitare Single Sign-On (SSO) per le applicazioni utilizzando un protocollo di federazione, come ad esempio SAML 2.0, per configurare le applicazioni. È possibile applicare criteri di accesso alle applicazioni per controllare l'accesso degli utenti in base ai criteri, come ad esempio tipo di dispositivo o all'intervallo di rete dell'utente. È possibile creare criteri di accesso per una singola applicazione, per un set di applicazioni o per tutte le applicazioni nel catalogo. Quando si aggiunge un'applicazione al catalogo, si seleziona il criterio di accesso da utilizzare. È anche possibile impostare un flusso di approvazione in modo che gli utenti debbano richiedere l'accesso a un'applicazione e che la richiesta debba essere approvata prima di poter utilizzare l'applicazione. È possibile aggiungere i seguenti tipi di applicazioni Web al catalogo: Applicazioni SAML 2.0 Applicazioni SAML 1.1 SAML 1.1 è uno standard di autenticazione SAML precedente. Per maggiore sicurezza, è consigliabile implementare SAML 2.0. Applicazioni WS-Federation 1.2 Applicazioni OpenID Connect Applicazioni che non utilizzano un protocollo di federazione Applicazioni associate a fornitori di identità di terze parti quali Okta, Ping e ADFS. Per aggiungere queste applicazioni, è necessario prima configurare il fornitore di identità di terze parti come origine di applicazioni in VMware Identity Manager. Vedere Capitolo 9 Consentire l'accesso ad applicazioni gestite dalla terza parte in Workspace ONE per informazioni. Prima di impostare le applicazioni Web nel catalogo, prendere in considerazione i seguenti aspetti. Se si configura l'applicazione Web per utilizzare un protocollo di federazione, utilizzare SAML 2.0, SAML 1.1, WS-Federation 1.2 o OpenID Connect. La configurazione dell'applicazione Web per l'uso di un protocollo di federazione non è un requisito. VMware, Inc. 10

11 Gli utenti a cui si intende concedere il permesso di accedere all'applicazione Web devono essere utenti registrati di tale applicazione. In alternativa, è possibile configurare l'adattatore di provisioning per l'applicazione, se disponibile, in modo che esegua il provisioning degli utenti di VMware Identity Manager nell'applicazione. Se l'applicazione Web è un'applicazione multitenant, il servizio indirizzerà all'istanza dell'applicazione. Requisiti dei ruoli per la gestione di applicazioni Web VMware Identity Manager 3.2 introduce il controllo degli accessi in base al ruolo. I seguenti ruoli possono gestire le applicazioni Web: Super amministratore Ruolo di amministratore personalizzato con la seguente configurazione: Servizio: Catalogo Azioni: Gestisci applicazioni Web, Gestisci origini app, Gestisci app di terze parti, come applicabile Risorse: Tutte le risorse o risorse specifiche, come applicabile Per assegnare applicazioni a utenti e gruppi, il ruolo deve includere l'azione Gestisci permessi. Per ulteriori informazioni sui ruoli, vedere "Gestione dei ruoli di amministratore" in Amministrazione di VMware Identity Manager. Questo capitolo include i seguenti argomenti: Aggiunta di un'applicazione Web al catalogo Assegnazione di utenti e gruppi a un'applicazione Web Modifica di un'applicazione Web Copia di un'applicazione Web Esportazione di un'applicazione Web Eliminazione di un'applicazione Web dal catalogo Creazione e selezione di categorie per le applicazioni Aggiunta di più tenant di app Web Aggiunta di applicazioni OpenID Connect al catalogo Utilizzo degli adattatori di provisioning Gestione delle impostazioni delle app Web Informazioni aggiuntive Aggiunta di un'applicazione Web al catalogo È possibile aggiungere applicazioni Web al catalogo selezionandole dal catalogo di applicazioni cloud oppure creando nuove applicazioni. VMware, Inc. 11

12 Il catalogo di applicazioni cloud contiene le applicazioni Web aziendali di uso comune. Queste applicazioni sono configurate parzialmente ed è necessario fornire informazioni aggiuntive per completare il record dell'applicazione. Il completamento della configurazione rimanente necessaria potrebbe richiedere anche la collaborazione dei rappresentanti degli account dell'applicazione Web. Molte delle applicazioni nel catalogo di applicazioni cloud utilizzano SAML 2.0 o 1.1 per scambiare dati di autenticazione e autorizzazione per abilitare l'autenticazione Single Sign-On da Workspace ONE all'applicazione Web. Quando si crea una nuova applicazione, è necessario immettere tutte le informazioni di configurazione per l'applicazione. La configurazione varia in base al tipo di applicazione che si sta aggiungendo. Per le applicazioni senza protocollo di federazione, è necessario solo un URL di destinazione. Le applicazioni di provider di identità di terze parti configurati come origini di applicazioni in VMware Identity Manager vengono aggiunte come nuove applicazioni. Quando si aggiunge un'applicazione, si seleziona anche un criterio di accesso per controllare l'accesso degli utenti all'applicazione. È disponibile un criterio di accesso predefinito ed è anche possibile creare nuovi criteri dalla pagina Gestione identità e accessi > Gestisci > Criteri. Per informazioni sui criteri di accesso, vedere Amministrazione di VMware Identity Manager. Prerequisiti Ottenere le informazioni di configurazione per l'applicazione. Creare un criterio di accesso se non si desidera utilizzare il criterio di accesso predefinito. È possibile creare criteri di accesso dalla pagina Gestione identità e accessi > Gestisci > Criteri. Creare categorie se si desidera raggruppare applicazioni in categorie. È disponibile una categoria predefinita Consigliato. È possibile creare categorie dalla pagina Catalogo > App Web facendo clic su Categorie e digitando il nome della categoria nella casella di testo. Creare gruppi di utenti, se necessario. È possibile creare gruppi dalla scheda Utenti e gruppi > Gruppi. Procedura 1 Nella console di amministrazione, selezionare la scheda Catalogo > App Web. 2 Fare clic su Nuovo. Viene visualizzata la procedura guidata per la nuova applicazione SaaS. 3 Selezionare un'applicazione dal catalogo di applicazioni cloud o crearne una nuova. Per selezionare un'applicazione dal catalogo di applicazioni cloud, digitarne il nome nella casella di ricerca oppure fare clic su "o sfoglia nel catalogo" e selezionarla nell'elenco delle applicazioni. I campi nelle pagine della definizione e della configurazione sono popolati parzialmente. Per creare una nuova applicazione, immetterne il nome nel campo Nome. VMware, Inc. 12

13 4 Nella pagina Definizione, immettere le informazioni necessarie. Opzione Nome Descrizione Icona Categoria Descrizione Immettere un nome univoco per l'applicazione. (Facoltativo) Inserire una descrizione dell'applicazione. (Facoltativo) Caricare un'icona per l'applicazione. Sono supportate icone nei formati di file PNG, JPG e ICON, con dimensione massima di 4MB. L'icona deve essere almeno 180 x 180 pixel. Se l'icona è troppo piccola non verrà visualizzata. In questo caso, viene visualizzata l'icona di Workspace ONE. (Facoltativo) Per aggiungere l'applicazione a una categoria, selezionarla dal menu a discesa. Le categorie devono essere già state create. È disponibile una categoria predefinita Consigliato. Selezionarla se si desidera che l'applicazione venga visualizzata nella pagina Consigliato in Workspace ONE. Se si desidera che l'app venga visualizzata nella pagina Segnalibri degli utenti, selezionare la categoria Consigliato e nella pagina Catalogo > Impostazioni > Configurazione portale utente, selezionare Mostra app consigliate nella scheda Segnalibri. 5 Fare clic su Avanti. 6 Nella pagina Configurazione, immettere i dettagli della configurazione dell'applicazione. Per le applicazioni che vengono aggiunte dal catalogo di applicazioni cloud, alcuni campi sono precompilati con informazioni specifiche per ogni applicazione Web. Alcuni elementi precompilati sono modificabili, mentre altri non lo sono. Le informazioni necessarie variano da applicazione ad applicazione. Per le applicazioni che vengono aggiunte come nuove applicazioni, i campi variano in base al tipo di autenticazione selezionato. VMware, Inc. 13

14 Per informazioni su campi specifici, fare clic sull'icona delle informazioni accanto al campo. Opzione Single Sign-On Descrizione Tipo di autenticazione Per le applicazioni che vengono aggiunte dal catalogo di applicazioni cloud, il tipo di autenticazione è preselezionato. Per le nuove applicazioni, selezionare il tipo di autenticazione, se applicabile. Se l'applicazione non utilizza un protocollo di federazione, selezionare Collegamento applicazione Web. Sono disponibili le seguenti opzioni: SAML 2.0 Se l'applicazione Web supporta SAML 2.0, uno standard basato su XML per lo scambio sicuro di informazioni di autenticazione e autorizzazione, selezionare questa opzione per abilitare Single Sign-On da Workspace ONE all'applicazione. SAML 1.1 Se l'applicazione Web supporta SAML 1.1, selezionare questa opzione per abilitare Single Sign-On da Workspace ONE all'applicazione. WSFed 1.2 Se l'applicazione Web supporta l'autenticazione WS-Federation 1.2, selezionare questa opzione per abilitare Single Sign-On da Workspace ONE all'applicazione. OpenID Connect Se l'applicazione supporta OpenID Connect, un protocollo di autenticazione basato sul protocollo OAuth 2.0, selezionare questa opzione per abilitare Single Sign-On da Workspace ONE all'applicazione. Tutti i provider di identità di terze parti configurati come origini di applicazioni in VMware Identity Manager, ad esempio Okta. Selezionare questa opzione per aggiungere un'applicazione da un'origine di applicazioni. Le origini di applicazioni vengono visualizzate nell'elenco solo se sono già configurate nella pagina delle impostazioni delle app Web. Quando si seleziona un'origine di applicazioni, è sufficiente immettere l'url di destinazione dell'applicazione dato che la parte restante della configurazione è già stata completata nell'origine di applicazioni. Collegamento applicazione Web Selezionare questa opzione se l'applicazione non utilizza un protocollo di federazione. È sufficiente immettere l'url di destinazione dell'applicazione. Configurazione I campi visualizzati variano in base al tipo di autenticazione selezionato. Fare clic sull'icona delle informazioni per visualizzare una descrizione di ciascun campo. Se si seleziona un'origine di applicazioni o Collegamento applicazione Web, è sufficiente immettere solo l'url di destinazione dell'applicazione. Parametri dell'applicazione Per le applicazioni aggiunte dal catalogo di applicazioni cloud, potrebbero essere elencati parametri. Se un parametro è nell'elenco e non ha un valore predefinito, immettere un valore per consentire l'avvio dell'applicazione. Se è fornito un valore predefinito questo può essere modificato. VMware, Inc. 14

15 Opzione Descrizione Per le nuove applicazioni, aggiungere i parametri necessari. Nota Questa sezione non viene visualizzata quando come tipo di autenticazione sono selezionati OpenID Connect, un'origine di applicazioni o Collegamento applicazione Web. Proprietà avanzate Le proprietà avanzate includono le opzioni per firmare e crittografare le asserzioni e le risposte SAML. Le proprietà che è possibile configurare variano in base al tipo di autenticazione selezionato. Fare clic sull'icona delle informazioni per visualizzare una descrizione di ciascun campo. Nota Questa sezione non viene visualizzata quando come tipo di autenticazione sono selezionati OpenID Connect, un'origine di applicazioni o Collegamento applicazione Web. Apri in VMware Browser Selezionare questa opzione se si desidera che l'app Workspace ONE apra l'applicazione in VMware Browser, che offre un'alternativa sicura al browser Web nativo. 7 Fare clic su Avanti. 8 Nella pagina Criteri di accesso, selezionare il criterio di accesso per gestire l'accesso degli utenti all'applicazione. Il criterio default_access_policy_set è selezionato per impostazione predefinita. 9 Nella pagina Riepilogo, rivedere le selezioni e fare clic su Salva oppure su Salva e assegna per assegnare l'applicazione a utenti e gruppi. Se non si assegna l'applicazione ad alcun utente o gruppo, è possibile farlo in un secondo momento selezionando l'applicazione nella pagina Catalogo > App Web e facendo clic su Assegna. 10 Se si fa clic su Salva e assegna, assegnare l'applicazione a utenti e gruppi. a b Aggiungere utenti e gruppi digitandone il nome nella casella di ricerca e selezionandolo nei risultati. Selezionare il tipo di distribuzione per ciascun utente e gruppo. Indipendentemente dal fatto che si selezioni l'opzione Attivata dall'utente o Automatico, l'applicazione viene visualizzata nella pagina Catalogo in Workspace ONE. Gli utenti possono eseguire l'applicazione dalla pagina Catalogo o aggiungere un segnalibro all'applicazione ed eseguirla dalla pagina Segnalibri. Se si intende configurare un flusso di approvazione per l'applicazione, selezionare Attivata dall'utente. c Fare clic su Salva. L'applicazione viene aggiunta al catalogo e viene visualizzata nell'elenco delle applicazioni nella scheda Catalogo > App Web. Assegnazione di utenti e gruppi a un'applicazione Web Dopo aver aggiunto applicazioni Web al catalogo, è possibile assegnarle a utenti e gruppi. VMware, Inc. 15

16 Quando si autorizza un utente a un'applicazione Web, l'utente può visualizzare e avviare l'applicazione dall'app o dal portale Workspace ONE. Se si rimuove il permesso dell'utente, questo non potrà vedere né avviare l'applicazione. In molti casi, il modo più efficace per autorizzare gli utenti è per assegnare le applicazioni Web a un gruppo di utenti. Prerequisiti Creare gruppi, se necessario. È possibile creare gruppi dalla scheda Utenti e gruppi > Gruppi. Procedura 1 Accedere alla console di amministrazione. 2 Autorizzare gli utenti a un'applicazione Web. Metodo Descrizione Accedere a un'applicazione Web e assegnarla a utenti o gruppi Accedere a un utente o gruppo e aggiungere i permessi per l'applicazione Web all'utente o al gruppo. a b c d e f a b c d e f g h Selezionare la scheda Catalogo > App Web. Fare clic sull'applicazione Web. Fare clic su Assegna. Selezionare utenti e gruppi digitando il nome nella casella di ricerca e selezionandoli dai risultati. Selezionare il tipo di distribuzione per ciascun utente e gruppo. Indipendentemente dalla selezione o meno dell'opzioen Attivata dall'utente o Automatica, l'applicazione viene aggiunta alla pagina Catalogo in Workspace ONE. Gli utenti possono eseguire l'applicazione dalla pagina Catalogo o creare un segnalibro che punta a essa per eseguirla dalla pagina dei segnalibri. Tuttavia, se si desidera impostare un flusso di approvazione per l'applicazione, selezionare Attivata dall'utente. Fare clic su Salva. Fare clic sulla scheda Utenti e gruppi. Selezionare la scheda Utenti o la scheda Gruppi. Fare clic sul nome di un utente o gruppo. Fare clic sulla scheda App, quindi su Aggiungi permesso. Nell'elenco a discesa Tipo di applicazione, selezionare Applicazioni Web. Selezionare le caselle di controllo corrispondenti alle applicazioni Web per cui si desidera autorizzare l'utente o il gruppo. Nella colonna DISTRIBUZIONE selezionare la modalità di attivazione di ogni applicazione Web. Indipendentemente dalla selezione o meno dell'opzioen Attivata dall'utente o Automatica, l'applicazione viene aggiunta alla pagina Catalogo in Workspace ONE. Gli utenti possono eseguire l'applicazione dalla pagina Catalogo o creare un segnalibro che punta a essa per eseguirla dalla pagina dei segnalibri. Tuttavia, se si desidera impostare un flusso di approvazione per l'applicazione, selezionare Attivata dall'utente. Fare clic su Salva. L'utente o il gruppo selezionato ora ha il permesso di utilizzare l'applicazione Web. VMware, Inc. 16

17 Modifica di un'applicazione Web È possibile modificare tutte le applicazioni Web aggiunte al catalogo di VMware Identity Manager. È possibile modificare la definizione dell'applicazione, la configurazione, il criterio di accesso e le assegnazioni degli utenti. Procedura 1 Selezionare la scheda Catalogo > App Web. 2 Fare clic sull'applicazione da modificare. 3 Fare clic su Modifica. 4 Seguire la procedura guidata Modifica applicazione SaaS per modificare l'applicazione come richiesto. Il processo è uguale a quello per la creazione di una nuova applicazione. Vedere Aggiunta di un'applicazione Web al catalogo. Copia di un'applicazione Web È possibile creare una copia di un'applicazione Web nel catalogo e modificarla in modo da creare una nuova applicazione. La copia di un'applicazione è utile quando si desidera aggiungere un'altra applicazione con una configurazione simile o quando si aggiungono più tenant di un'applicazione. Procedura 1 Selezionare la scheda Catalogo > App Web. 2 Fare clic sull'applicazione che si desidera copiare. 3 Fare clic su Copia. 4 Seguire la procedura guidata Copia applicazione SaaS per configurare la nuova applicazione. a b Assicurarsi di immettere un nuovo nome per l'applicazione copiata. Per impostazione predefinita, il nome viene cambiato in applicationname_copy. Modificare la configurazione di base alle necessità. Il processo è uguale a quello per la creazione di una nuova applicazione. Vedere Aggiunta di un'applicazione Web al catalogo. c Fare clic su Salva. 5 Nella pagina Riepilogo, rivedere le selezioni e fare clic su Salva oppure su Salva e assegna per assegnare l'applicazione a utenti e gruppi. Le assegnazioni di utenti e gruppi dall'applicazione originale non vengono copiate alla nuova applicazione. Se non si assegna l'applicazione ad alcun utente o gruppo, è possibile farlo in un secondo momento selezionando l'applicazione nella pagina Catalogo > App Web e facendo clic su Assegna. VMware, Inc. 17

18 6 Se si fa clic su Salva e assegna, assegnare l'applicazione a utenti e gruppi. a b Aggiungere utenti e gruppi digitandone il nome nella casella di ricerca e selezionandolo nei risultati. Selezionare il tipo di distribuzione per ciascun utente e gruppo. Indipendentemente dal fatto che si selezioni l'opzione Attivata dall'utente o Automatica, l'applicazione viene visualizzata nella pagina Catalogo in Workspace ONE. Gli utenti possono eseguire l'applicazione dalla pagina Catalogo o aggiungere un segnalibro all'applicazione ed eseguirla dalla pagina Segnalibri. Se si intende configurare un flusso di approvazione per l'applicazione, selezionare Attivata dall'utente. c Fare clic su Salva. Esportazione di un'applicazione Web È possibile esportare e importare un'applicazione Web da un'istanza di VMware Identity Manager a un'altra. Ad esempio si può scegliere di importare un'applicazione dall'ambiente di gestione temporanea all'ambiente di produzione. Questo processo prevede l'esportazione del pacchetto applicazione da un'istanza del servizio e la sua importazione nell'altra. L'applicazione potrebbe non richiedere ulteriore configurazione, specialmente se è stata testata approfonditamente nell'ambiente originario. Importante La possibilità di importare applicazioni Web non è attualmente disponibile nella nuova interfaccia utente nella versione 3.2. Procedura 1 Accedere alla console di amministrazione dell'istanza del servizio da cui esportare un'applicazione Web. 2 Selezionare la scheda Catalogo > App Web. 3 Fare clic sull'applicazione che si desidera esportare. 4 Fare clic su Esporta. Il pacchetto dell'applicazione viene scaricato nel sistema come file zip. Operazioni successive Importare il pacchetto applicazione nell'istanza del servizio in cui si desidera utilizzarlo. Questa funzionalità attualmente non è disponibile nella nuova interfaccia utente nella versione 3.2. Eliminazione di un'applicazione Web dal catalogo È possibile eliminare applicazioni Web dal catalogo di VMware Identity Manager che non occorre più fornire agli utenti. Quando si elimina un'applicazione, questa non è più disponibile a tutti gli utenti in Workspace ONE. VMware, Inc. 18

19 Procedura 1 Selezionare la scheda Catalogo > App Web. 2 Fare clic sull'applicazione da eliminare. 3 Fare clic su Elimina. Creazione e selezione di categorie per le applicazioni È possibile raggruppare le applicazioni Web in categorie per rendere più semplice la ricerca delle applicazioni. Ad esempio, è possibile creare una categoria denominata Benefit e assegnare a essa le applicazioni stipendio, assicurazione e 401K. In aggiunta alle categorie create, è disponibile anche una categoria Consigliato. Selezionare questa categoria per le applicazioni che si desidera aggiungere alla pagina Consigliato in Workspace ONE. È possibile utilizzare la categoria Consigliato anche per posizionare applicazioni specifiche direttamente nelle pagine dei segnalibri degli utenti. Eseguire questa operazione selezionando la categoria Consigliato per le applicazioni e quindi selezionando Mostra app consigliate nella scheda Segnalibri nella pagina Impostazioni > Catalogo > Configurazione portale utente. Esistono diversi modi per selezionare categorie per le applicazioni. Selezionare le categorie durante l'aggiunta di un'applicazione nel catalogo, se le categorie sono già state create. Modificare un'applicazione per selezionare le categorie. Associare categorie a più applicazioni contemporaneamente dalla scheda Catalogo > App Web. Procedura 1 Selezionare la scheda Catalogo > App Web. 2 Fare clic su Categorie. 3 Nella casella di testo visualizzata, digitare un nome per la nuova categoria e selezionare Aggiungi categoria newcategoryname. 4 Assegnare applicazioni alla la categoria. a b Nella scheda Catalogo > App Web, selezionare le applicazioni da aggiungere alla categoria. Fare clic sul menu a discesa Categorie e selezionare la categoria creata. Aggiunta di più tenant di app Web VMware Identity Manager supporta l'aggiunta di più tenant di un provider di servizi a un'istanza di VMware Identity Manager. Se esistono più tenant di un'app come Office 365 che può essere utilizzata da diverse linee di business all'interno dell'organizzazione, è possibile aggiungere tutti i tenant a una singola istanza di VMware Identity Manager. Questo consente di gestire SSO e l'accesso a tutti i tenant da un'unica posizione. VMware, Inc. 19

20 Per aggiungere più tenant, aggiungere più copie dell'app al catalogo di VMware Identity Manager e quindi modificare la configurazione di ogni copia. Mappare ogni copia dell'app a un tenant diverso del provider di servizi. Ogni tenant può avere uno o più domini. È inoltre necessario autorizzare gli utenti alla copia appropriata dell'app. Quando gli utenti accedono a Workspace ONE e fanno clic sull'app a cui sono autorizzati, viene avviata l'app corretta. Quando gli utenti accedono al provider di servizi direttamente, il provider di servizi effettua automaticamente il reindirizzamento a VMware Identity Manager per l'autenticazione, e VMware Identity Manager effettua l'autenticazione dell'utente e avvia l'app corretta in base ai permessi dell'utente. Procedura 1 Selezionare la scheda Catalogo > App Web. 2 Fare clic su Nuovo. 3 Selezionare l'app dal catalogo di applicazioni cloud digitando il suo nome nella casella di ricerca o facendo clic su "Sfoglia dal catalogo" e selezionarla. I campi nelle pagine della definizione e della configurazione sono popolati parzialmente. 4 Seguire la procedura guidata per configurare l'applicazione e fare clic su Salva. 5 Creare una copia dell'app eseguendo una delle seguenti opzioni: Creare una nuova app facendo clic su Nuovo nella pagina Catalogo > App Web e aggiungendo l'app dal catalogo delle applicazioni cloud. Copiare l'applicazione facendo clic sull'applicazione nella pagina Catalogo > App Web, quindi facendo clic su Copia. Modificare i campi, come il nome e la descrizione, in modo da identificare facilmente la nuova app. 6 Configurare ciascuna copia dell'app per il tenant appropriato. Mappare ogni copia dell'app a un tenant di provider di servizi diverso. Verificare che gli utenti siano univoci in tutti i domini e i tenant del provider di servizi. Nota Se gli utenti non sono univoci, verificare che gli URL POST del provider di servizi, ovvero gli URL del servizio consumer di asserzione specificati nella console di amministrazione di VMware Identity Manager, siano univoci nei tenant. 7 Configurare i permessi degli utenti per ogni copia dell'app. Autorizzare gli utenti al tenant appropriato. a b c Nella scheda Catalogo > App Web, fare clic sulla copia dell'app che corrisponde al tenant. Fare clic su Assegna. Selezionare utenti e gruppi digitando i nomi nella casella di ricerca e selezionandoli dai risultati. VMware, Inc. 20

21 d Selezionare il tipo di distribuzione per ciascun utente e gruppo. Indipendentemente dalla selezione o meno dell'opzione Attivata dall'utente o Automatica, l'applicazione viene aggiunto alla pagina Catalogo in Workspace ONE. Gli utenti possono eseguire l'applicazione dalla pagina Catalogo o spostarla nella pagina Segnalibri. Tuttavia, se si desidera impostare un flusso di approvazione per l'app, è necessario selezionare Attivata dall'utente per l'app. e Fare clic su Salva. Aggiunta di applicazioni OpenID Connect al catalogo È possibile aggiungere applicazioni che utilizzano il protocollo di autenticazione OpenID Connect a VMware Identity Manager e gestirle come qualsiasi altra applicazione nel catalogo. È possibile applicare un criterio di accesso per ogni applicazione per specificare la modalità con cui gli utenti vengono autenticati in base ai criteri, come ad esempio l'intervallo di rete e il tipo di dispositivo. Dopo aver aggiunto l'applicazione, questa viene assegnata a utenti e gruppi. Per aggiungere un'applicazione OpenID Connect, specificare URL di destinazione, URL di reindirizzamento, ID client e segreto client dell'applicazione. Quando si aggiunge un'applicazione OpenID Connect al catalogo, in VMware Identity Manager viene creato automaticamente un client OAuth 2.0 per l'applicazione. Il client viene creato con le informazioni di configurazione specificate all'aggiunta dell'applicazione, che includono URL di destinazione, URL di reindirizzamento, ID client e segreto client. Tutti gli altri parametri utilizzano i valori predefiniti. Questi includono: Tipo di concessione: authorization_code, refresh_token Ambito: admin, openid, user Visualizzazione concessione utente: false TTL (time-to-live) token di accesso: 3 ore TTL (time-to-live) token di aggiornamento: abilitato e impostato su 90 giorni TTL inattivo token di aggiornamento: 4 giorni È possibile visualizzare il client OAuth 2.0 per l'applicazione dalla scheda Client nella pagina Catalogo > Impostazioni > Accesso remoto app. Fare clic sul nome del client per visualizzare le informazioni di configurazione. Non modificare alcun campo nel client. Importante Non eliminare il client OAuth 2.0 associato all'applicazione, altrimenti l'applicazione non sarà più disponibile agli utenti. Quando si elimina l'applicazione dal catalogo, viene eliminato anche il client OAuth 2.0. VMware, Inc. 21

22 Flusso di autenticazione quando si accede all'applicazione da Workspace ONE Quando un utente fa clic sull'applicazione in Workspace ONE, il flusso di autenticazione è il seguente: 1 L'utente fa clic sull'applicazione in Workspace ONE. 2 VMware Identity Manager reindirizza l'utente per l'url di destinazione. 3 L'applicazione reindirizza l'utente a VMware Identity Manager con una richiesta di autorizzazione. 4 VMware Identity Manager autentica l'utente in base al criterio di autenticazione specificato per l'applicazione. 5 VMware Identity Manager controlla se l'utente è autorizzato per l'applicazione. 6 VMware Identity Manager invia il codice di autorizzazione per l'url di reindirizzamento. 7 Utilizzando il codice di autorizzazione, l'applicazione richiede il token di accesso. 8 VMware Identity Manager invia il token ID, il token di accesso e il token di aggiornamento all'applicazione. Flusso di autenticazione quando si accede all'applicazione direttamente dal provider di servizi Quando un utente accede all'applicazione direttamente dal provider di servizi, il flusso di autenticazione è il seguente: 1 L'utente fa clic sull'applicazione. 2 L'utente viene reindirizzato a VMware Identity Manager per l'autenticazione. 3 VMware Identity Manager autentica l'utente in base al criterio di autenticazione specificato per l'applicazione. 4 VMware Identity Manager controlla se l'utente è autorizzato per l'applicazione. 5 VMware Identity Manager invia un token ID al provider di servizi. Aggiunta di un'applicazione OpenID Connect Le applicazioni OpenID Connect possono essere aggiunte al catalogo di VMware Identity Manager dalla scheda Catalogo > App Web. Prerequisiti Ottenere URL di destinazione, URL di reindirizzamento, ID client e segreto client per l'applicazione. Creare un criterio di accesso se non si desidera utilizzare il criterio di accesso predefinito. È possibile creare criteri di accesso dalla pagina Gestione identità e accessi > Gestisci > Criteri. Creare categorie, se necessario. È possibile creare categorie dalla pagina Catalogo > App Web facendo clic su Categorie e digitando il nome della categoria nella casella di testo. VMware, Inc. 22

23 Creare gruppi di utenti, se necessario. È possibile creare gruppi dalla scheda Utenti e gruppi > Gruppi. Procedura 1 Nella console di amministrazione, selezionare la scheda Catalogo > App Web. 2 Fare clic su Nuovo. 3 Nella pagina Definizione della procedura guidata relativa alla nuova applicazione SaaS, immettere le informazioni richieste. Opzione Nome Descrizione Icona Categoria Descrizione Immettere un nome univoco per l'applicazione. (Facoltativo) Inserire una descrizione dell'applicazione. (Facoltativo) Caricare un'icona per l'applicazione. Sono supportate icone nei formati di file PNG, JPG e ICON, con dimensione massima di 4MB. L'icona deve essere almeno 180 x 180 pixel. Se l'icona è troppo piccola non verrà visualizzata. In questo caso, viene visualizzata l'icona di Workspace ONE. (Facoltativo) Per aggiungere l'applicazione a una categoria, selezionarla dal menu a discesa. Le categorie devono essere già state create. È disponibile anche la categoria predefinita Consigliato. Selezionarla se si desidera che l'applicazione venga visualizzata nella pagina Consigliato in Workspace ONE. Se si desidera che l'app venga inclusa nella pagina Segnalibri degli utenti, selezionare la categoria Consigliato e nella pagina Catalogo > Impostazioni > Configurazione portale utente, selezionare Mostra app consigliate nella scheda Segnalibri. 4 Fare clic su Avanti. 5 Nella pagina Configurazione, immettere le informazioni di configurazione richieste. Opzione Tipo di autenticazione URL di destinazione Reindirizza URL ID client Segreto client Apri in VMware Browser Descrizione Selezionare OpenID Connect. URL dell'applicazione a cui verranno indirizzati gli utenti quando fanno clic sull'app in Workspace ONE. URL a cui VMware Identity Manager invierà il codice di autorizzazione. Identificatore del client che l'app includerà nelle richieste di autenticazione inviate a VMware Identity Manager. L'ID del client deve essere univoco per il tenant. Segreto che l'applicazione utilizzerà per identificarsi nelle richieste di autenticazione inviate a VMware Identity Manager. Selezionare questa opzione se si desidera che l'app Workspace ONE apra l'applicazione in VMware Browser, che offre un'alternativa sicura al browser Web nativo. 6 Fare clic su Avanti. VMware, Inc. 23

24 7 Nella pagina Criteri di accesso, selezionare il criterio di accesso per gestire l'accesso degli utenti all'applicazione. Il criterio default_access_policy_set è selezionato per impostazione predefinita. Per informazioni sulla creazione e la gestione dei criteri di accesso, vedere Amministrazione di VMware Identity Manager. 8 Nella pagina Riepilogo, rivedere le selezioni e fare clic su Salva oppure su Salva e assegna per assegnare l'applicazione a utenti e gruppi. Se non si assegna l'applicazione ad alcun utente o gruppo, è possibile farlo in un secondo momento selezionando l'applicazione nella pagina Catalogo > App Web e facendo clic su Assegna. 9 Se si fa clic su Salva e assegna, assegnare l'applicazione a utenti e gruppi. a b Aggiungere utenti e gruppi digitandone il nome nella casella di ricerca e selezionandolo nei risultati. Selezionare il tipo di distribuzione per ciascun utente e gruppo. Indipendentemente dal fatto che si selezioni l'opzione Attivata dall'utente o Automatica, l'applicazione viene visualizzata nella pagina Catalogo in Workspace ONE. Gli utenti possono eseguire l'applicazione dalla pagina Catalogo o aggiungere un segnalibro all'applicazione ed eseguirla dalla pagina Segnalibri. Se si intende configurare un flusso di approvazione per l'applicazione, selezionare Attivata dall'utente. 10 Fare clic su Salva. L'applicazione viene aggiunta al catalogo. Per modificare la configurazione dell'applicazione in qualsiasi momento, selezionare l'applicazione nella pagina Catalogo > App Web e fare clic su Modifica. Utilizzo degli adattatori di provisioning Il provisioning consente la gestione automatica degli utenti dell'applicazione da un unico sito. Gli adattatori di provisioning consentono alle applicazioni Web di recuperare informazioni specifiche dal servizio VMware Identity Manager in base alle necessità. Ad esempio, quando è abilitato il provisioning automatico degli utenti in Google Apps, le informazioni necessarie dell'account utente, come il nome utente, il nome e il cognome, possono essere recuperate dal servizio VMware Identity Manager. Se il provisioning è abilitato per un'applicazione Web, quando si concede a un utente l'accesso all'applicazione nel servizio VMware Identity Manager, viene eseguito il provisioning dell'utente nell'applicazione Web. Configurare l'adattatore di provisioning per un'applicazione quando si aggiunge l'applicazione al catalogo dalla scheda Catalogo > App Web. Il servizio VMware Identity Manager attualmente include adattatori di provisioning per le seguenti applicazioni: Google Apps Vedere #unique_16. Office 365 VMware, Inc. 24

25 Socialcast Importante Solo l'adattatore di provisioning di Office 365 è attualmente disponibile nella nuova interfaccia utente nella versione 3.2. Gestione delle impostazioni delle app Web Le impostazioni per le applicazioni Web sono disponibili dal pulsante Impostazioni nella pagina Catalogo > App Web. Dalla pagina Impostazioni è possibile abilitare un flusso di approvazione per le applicazioni, configurare i fornitori di identità di terze parti come origini di applicazioni e gestire metadati SAML. Impostazione Approvazioni Metadati SAML Origini applicazioni Descrizione Quando sono abilitate le approvazioni, gli utenti devono richiedere l'accesso alle applicazioni prima di poter utilizzare le applicazioni dal catalogo di Workspace ONE. Per informazioni sull'impostazione delle di approvazioni, vedere Amministrazione di VMware Identity Manager. È possibile scaricare il certificato della firma SAML di VMware Identity Manager autofirmato e i metadati SAML dalla scheda Scarica metadati SAML. Se si desidera ottenere un certificato da un'autorità di certificazione (CA) di terze part, è possibile generare una richiesta di firma certificato (CSR) dalla scheda Genera CSR, ottenere il certificato e caricarlo nella stessa scheda. Per ulteriori informazioni sulla gestione dei metadati SAML, vedere "Gestione del catalogo" in Amministrazione di VMware Identity Manager È possibile configurare determinati fornitori di identità terzi, come ad esempio OKTA o ADFS, come origini di applicazioni e quindi aggiungere le applicazioni associate al catalogo. Per informazioni sull'impostazione delle origini di applicazioni, vedere Capitolo 9 Consentire l'accesso ad applicazioni gestite dalla terza parte in Workspace ONE. Informazioni aggiuntive Sono disponibili informazioni aggiuntive sulla configurazione di SSO (Single Sign-On) basato su SAML per applicazioni Web specifiche, come Office 365 e Google Apps. Sono incluse informazioni sugli adattatori del provisioning, se applicabili. Fare riferimento alla pagina della documentazione relativa alle integrazioni di VMware Identity Manager. VMware, Inc. 25

26 Utilizzo delle raccolte di app virtuali per le integrazioni di desktop 3 Oltre alle applicazioni Web, è possibile integrare desktop e applicazioni di Horizon, applicazioni e desktop di Horizon Cloud, risorse pubblicate da Citrix e applicazioni ThinApp con VMware Identity Manager. A partire dalla versione 3.1, queste risorse sono gestite con la nuova funzione delle raccolte di app virtuali. Questo capitolo include i seguenti argomenti: Informazioni sulle raccolte di app virtuali Creazione di raccolte di app virtuali Modifica delle raccolte di app virtuali Eliminazione delle raccolte di app virtuali Monitoraggio delle raccolte di app virtuali Migrazione delle configurazioni esistenti a Raccolta app virtuali Informazioni sulle raccolte di app virtuali È possibile integrare desktop e applicazioni di Horizon, applicazioni e desktop di Horizon Cloud, risorse pubblicate da Citrix e pacchetti ThinApp con il servizio VMware Identity Manager. A partire dalla versione 3.1, queste risorse vengono gestite tramite raccolte di app virtuali. Una raccolta di app virtuali contiene le informazioni di configurazione per un'integrazione, tra cui il tipo di risorsa, i server da cui si desidera sincronizzare risorse, il connettore da utilizzare per la sincronizzazione e la pianificazione della sincronizzazione. È possibile creare una o più raccolte di app virtuali per qualsiasi tipo di risorsa, ad eccezione dei pacchetti ThinApp per cui è possibile creare solo un'unica raccolta. Ad esempio, per integrare una distribuzione di 50 farm di Citrix XenApp, è possibile impostare 10 raccolte di app virtuali in VMware Identity Manager, con 5 farm in ogni raccolta. Ciò consente di facilitare la gestione della configurazione e di rendere più veloce la sincronizzazione dato che ogni raccolta viene sincronizzata separatamente. È anche possibile utilizzare connettori diversi per ogni raccolta al fine di distribuire il carico di sincronizzazione. VMware, Inc. 26

27 La pagina Raccolta app virtuali nella console di amministrazione, accessibile selezionando Catalogo > App virtuali, costituisce una posizione centralizzata da cui gestire tutte le integrazioni delle risorse. Da questa pagina è possibile creare e modificare le raccolte, monitorare lo stato di sincronizzazione di tutte le raccolte, visualizzare gli avvisi e sincronizzare manualmente. Vantaggi nell'utilizzo delle raccolte di app virtuali I vantaggi di utilizzare la funzione di raccolta delle app virtuali sono i seguenti: Una posizione centrale dalla quale gestire tutte le integrazioni di risorse Gestire tutti i tipi di risorse Gestire la configurazione e le impostazioni di sincronizzazione per ogni raccolta Monitorare lo stato di sincronizzazione di tutte le raccolte Possibilità di sincronizzare set di dati più piccoli mediante l'impostazione di più raccolte per una grande integrazione di risorse. Ad esempio è possibile creare raccolte separate per ogni pod di Horizon o per ogni farm XenApp. Possibilità di impostare raccolte separate per domini diversi. Più domini non richiedono una relazione di attendibilità se si utilizzano raccolte separate per ciascun dominio. Requisiti per le raccolte di app virtuali La funzione di raccolta app virtuali presenta i seguenti requisiti: Tutte le istanze del servizio VMware Identity Manager devono essere versione 3.1 o successiva. Tutti i connettori utilizzati per sincronizzare le risorse devono essere versione o successiva. In VMware Identity Manager 3.2, è necessario un ruolo Amministratore super per poter iniziare con le raccolte app virtuali. In una nuova installazione di VMware Identity Manager 3.2, il ruolo Amministratore super è necessario per poter accedere inizialmente alla pagina di configurazione App virtuali. Quando si seleziona la scheda Catalogo > App virtuali per la prima volta, viene visualizzata la pagina Introduzione a Raccolta app virtuali ed è necessario fare clic su Inizia per visualizzare la pagina di configurazione delle app virtuali. Questo flusso di avvio iniziale richiede il ruolo di amministratore con privilegi avanzati. VMware, Inc. 27

28 Successivamente, è possibile utilizzare qualsiasi ruolo che può eseguire le seguenti azioni nel servizio del catalogo: Gestisci applicazioni Desktop: per creare, modificare o eliminare raccolte app virtuali pubblicate da Horizon, Horizon Cloud e Citrix Gestisci ThinApps: per creare, modificare o eliminare raccolte di ThinApp Per le installazioni aggiornate alla versione 3.2 da versioni precedenti, il ruolo Amministratore super è necessario eseguire la migrazione delle configurazioni delle risorse esistenti in raccolte app virtuali. Una volta migrate le risorse, è possibile utilizzare qualsiasi ruolo che può eseguire le seguenti azioni nel servizio del catalogo: Gestisci applicazioni Desktop: consente di creare, modificare o eliminare raccolte app virtuali pubblicate da Horizon, Horizon Cloud e Citrix Gestisci ThinApps: consente di creare, modificare o eliminare raccolte di ThinApp Fino a quando non si migrano le configurazioni delle risorse in raccolte app virtuali, è possibile continuare a utilizzare le configurazioni esistenti dal menu Gestisci applicazioni Desktop. Il ruolo di amministratore solo lettura è sufficiente per modificare e gestire queste configurazioni. Se è stato effettuato l'aggiornamento alla versione 3.2 da una versione precedente e non sono state configurate tutte le risorse, si applica lo scenario di una nuova installazione. Migrazione da versioni precedenti La funzione Raccolta app virtuali è stata introdotta in VMware Identity Manager 3.1. Con le raccolte di app virtuali, nel servizio VMware Identity Manager vengono archiviate le configurazioni delle risorse anziché il connettore. Queste sono gestite dalla pagina Catalogo > Raccolta app virtuali invece che dalle pagine Catalogo > Gestisci applicazioni Desktop > ResourceType. Nella nuova 3.1 o nelle installazioni successive, la pagina Raccolta app virtuali viene automaticamente attivata. Per integrare le risorse di Horizon, Horizon Cloud, Citrix o ThinApp, creare una o più raccolte. Per l'aggiornamento da versioni precedenti, è disponibile un percorso di migrazione per il mantenimento delle integrazioni delle risorse esistenti. Vedere Migrazione delle configurazioni esistenti a Raccolta app virtuali per informazioni. Creazione di raccolte di app virtuali È possibile creare una o più raccolte di app virtuali per ogni tipo di integrazione come risorse pubblicate da Citrix o Horizon Cloud. Prerequisiti Tutte le istanze del servizio VMware Identity Manager devono essere versione 3.1 o successiva. Tutti i connettori utilizzati per sincronizzare le risorse devono essere versione o successiva. VMware, Inc. 28

29 Nella versione 3.2, sono necessari i seguenti ruoli di amministratore: Per iniziare raccolte app virtuali, utilizzare il ruolo amministratore super. Vedere Informazioni sulle raccolte di app virtuali per ulteriori informazioni. Per creare, modificare o eliminare raccolte app virtuali pubblicate da Horizon, Horizon Cloud e Citrix, utilizzare qualsiasi ruolo che possa eseguire l'azione Gestisci app desktop nel servizio del catalogo. Per creare, modificare o eliminare raccolte ThinApps, utilizzare qualsiasi ruolo che possa eseguire l'azione Gestisci ThinApps nel servizio del catalogo. Procedura 1 Nella console di amministrazione, selezionare la scheda Catalogo > App virtuali, quindi fare clic su Configurazione App virtuali. Se questa è la prima volta che si accede alla pagina, viene visualizzata la pagina Introduzione a Raccolta app virtuali. Fare clic su Inizia per procedere. Se viene visualizzata la procedura di migrazione guidata, vedere Migrazione delle configurazioni esistenti a Raccolta app virtuali. 2 Fare clic su Aggiungi App virtuali in alto a destra della pagina e selezionare il tipo di integrazione, ad esempio Applicazione pubblicata Citrix. 3 Immettere le informazioni di configurazione. I campi seguenti sono comuni a tutti i tipi di integrazioni. Opzione Nome Sincronizza connettori Descrizione Immettere un nome univoco per la raccolta. Selezionare il connettore che si desidera utilizzare per sincronizzare le risorse nella raccolta. Se è stato configurato un cluster di connettori per l'alta disponibilità, fare clic su Aggiungi connettore e selezionare gli altri connettori nel cluster nell'ordine di failover. VMware, Inc. 29

30 Opzione Frequenza di sincronizzazione Criterio di attivazione Descrizione Selezionare la frequenza con cui si desidera sincronizzare le risorse nella raccolta. Se non si desidera configurare una pianificazione di sincronizzazione automatica, selezionare Manualmente. Selezionare come le risorse vengono rese disponibili agli utenti in Workspace ONE. Con entrambe le opzioni Attivata dall'utente e Automatico, le risorse vengono aggiunte alla pagina Catalogo. Gli utenti possono utilizzare le risorse dalla pagina Catalogo o spostarle nella pagina Segnalibri. Tuttavia, per configurare un flusso di approvazione per le app, è necessario selezionare l'opzione Attivata dall'utente per quell'app. Il criterio di attivazione qui selezionato si applica a tutti i permessi utente per tutte le risorse nella raccolta. È possibile modificare il criterio di attivazione per utenti singoli o gruppi per risorsa dalla pagina Permessi dell'applicazione o del desktop. Se si desidera impostare un flusso di approvazione, è consigliabile impostare il criterio di attivazione per la raccolta su Attivata dall'utente. 4 Nei campi rimanenti, immettere le informazioni di configurazione per l'integrazione, che è diversa per ogni tipo di integrazione. Per un'integrazione di Horizon in locale, vedere Configurarazione di pod Horizon e federazioni di pod in VMware Identity Manager per ulteriori informazioni. Per un'integrazione di Horizon Cloud Service, vedere Configurazione di tenant Horizon Cloud in VMware Identity Manager per ulteriori informazioni. Per un'integrazione di applicazioni pubblicate da Citrix, vedere Configurazione di server farm Citrix in VMware Identity Manager per ulteriori informazioni. Per un'integrazione di ThinApp, vedere Configurazione dell'accesso di VMware Identity Manager ai pacchetti ThinApp per ulteriori informazioni. 5 Fare clic su Salva. Viene creata la raccolta. È possibile visualizzare e modificare la raccolta dalla pagina App virtuali. Operazioni successive Le risorse nella nuova raccolta non vengono ancora sincronizzate. Se è stata impostata una pianificazione di sincronizzazione per la raccolta, le risorse saranno sincronizzate al momento programmato successivo. Per sincronizzare manualmente le risorse, fare clic sul pulsante Sincronizza accanto alla raccolta nella pagina App virtuali. Modifica delle raccolte di app virtuali È possibile modificare tutte le raccolte di app virtuali, per tutti i tipi di integrazioni, dalla pagina App virtuali. VMware, Inc. 30

31 Prerequisiti Nella versione 3.2, sono necessari i seguenti ruoli di amministratore: Per creare, modificare o eliminare raccolte app virtuali pubblicate da Horizon, Horizon Cloud e Citrix, utilizzare qualsiasi ruolo che possa eseguire l'azione Gestisci app desktop nel servizio del catalogo. Per creare, modificare o eliminare raccolte ThinApps, utilizzare qualsiasi ruolo che possa eseguire l'azione Gestisci ThinApps nel servizio del catalogo. Procedura 1 Selezionare la scheda Catalogo > App virtuali. 2 Nella tabella delle raccolte, fare clic sul nome della raccolta da modificare. 3 Modificare la pagina della raccolta. È possibile modificare le impostazioni seguenti: Il nome della raccolta La frequenza di sincronizzazione Il connettore utilizzato per sincronizzare le risorse per la raccolta Impostazioni di configurazione per l'integrazione Nota In una raccolta di app virtuali di Horizon, è possibile modificare un pod di Horizon che è stata aggiunto in precedenza. Rimuovere il pod dalla raccolta e aggiungerlo di nuovo. 4 Fare clic su Salva. Operazioni successive Dopo aver modificato una raccolta, è consigliabile eseguire una sincronizzazione. Passare alla pagina Catalogo > App virtuali e fare clic su Sincronizza per la raccolta. Eliminazione delle raccolte di app virtuali È possibile eliminare le raccolte di app virtuali dalla pagina App virtuali. Quando si elimina una raccolta, tutte le applicazioni e i desktop sincronizzati dalla raccolta vengono eliminati. Quando si elimina una raccolta di Horizon o Citrix, vengono eliminati anche i criteri corrispondenti configurati negli intervalli di rete. Quando si elimina una raccolta di Horizon o Horizon Cloud, viene eliminato anche l'artefatto di federazione. Prerequisiti Nella versione 3.2, sono necessari i seguenti ruoli di amministratore: Per creare, modificare o eliminare raccolte app virtuali pubblicate da Horizon, Horizon Cloud e Citrix, utilizzare qualsiasi ruolo che possa eseguire l'azione Gestisci app desktop nel servizio del catalogo. VMware, Inc. 31

32 Per creare, modificare o eliminare raccolte ThinApps, utilizzare qualsiasi ruolo che possa eseguire l'azione Gestisci ThinApps nel servizio del catalogo. Procedura 1 Selezionare la scheda Catalogo > App virtuali. 2 Nella tabella, trovare la raccolta da eliminare e fare clic su Elimina nella colonna Azioni. Monitoraggio delle raccolte di app virtuali Dalla pagina App virtuali è possibile monitorare lo stato di sincronizzazione di tutte le risorse. È inoltre possibile visualizzare gli avvisi. Procedura 1 Selezionare la scheda Catalogo > App virtuali. Vengono elencate tutte le raccolte, per tutti i tipi di integrazioni di risorse. 2 Visualizzare lo stato di sincronizzazione nella colonna Stato sincronizzazione per ogni raccolta. Sincronizzazione non ancora eseguita Data e ora dell'ultima sincronizzazione completata La raccolta viene creata ma non ancora sincronizzata. Fare clic su Sincronizza per sincronizzare manualmente o attendere la sincronizzazione pianificata successiva, se impostata. L'ultima volta che la sincronizzazione è stata completata. 3 Per visualizzare gli avvisi, fare clic su Avvisi. Ad esempio, viene visualizzato un avviso se per un utente non è stato possibile completare la sincronizzazione. Nota Vengono visualizzati tutti gli avvisi, non solo quelle che si riferiscono a raccolte di app virtuali. Visualizzare l'elenco per trovare gli avvisi pertinenti alle raccolte. Migrazione delle configurazioni esistenti a Raccolta app virtuali La funzionalità Raccolta app virtuali è stata introdotta in VMware Identity Manager 3.1. Con le raccolte di app virtuali, nel servizio VMware Identity Manager vengono archiviate le configurazioni delle risorse anziché il connettore. Queste sono gestite dalla pagina Catalogo > App virtuali invece che dalle pagine Catalogo > Gestisci applicazioni Desktop > ResourceType. Per l'aggiornamento da versioni precedenti, è disponibile un percorso di migrazione per il mantenimento di tutte le configurazioni delle risorse esistenti. VMware, Inc. 32

33 In base allo scenario d'installazione, è possibile iniziare direttamente con le raccolte di app virtuali o seguire un percorso di migrazione. Importante Nella versione 3.2, il ruolo Amministratore super è necessario per accedere inizialmente alla pagina di configurazione delle app virtuali e per eseguire la migrazione delle risorse esistenti. Vedere Informazioni sulle raccolte di app virtuali per ulteriori informazioni. Le nuove installazioni 3.1 o versione successiva, in cui il servizio VMware Identity Manager è in versione 3.1 o successiva e tutti i connettori sono in versione o successiva, è possibile creare nuove raccolte di app virtuali per le risorse di Horizon, Horizon Cloud, Citrix o ThinApp. Selezionare la scheda Catalogo > App virtuali, esaminare le informazioni e fare clic su Inizia per passare alla nuova pagina in cui è possibile creare le raccolte di app virtuali. Una raccolta di app virtuali contiene le informazioni di configurazione per un'integrazione, come ad esempio i server da cui si desidera sincronizzare risorse, il connettore da utilizzare e la pianificazione della sincronizzazione. Se esegue l'aggiornamento da versioni precedenti e si aggiornare il servizio alla versione 3.1 o successiva e tutti i connettori alla versione o successiva: Se le risorse di Horizon, Horizon Cloud, Citrix o ThinApp sono state configurate nell'installazione precedente, dopo l'aggiornamento è disponibile un percorso di migrazione. È possibile effettuare la migrazione delle configurazioni esistenti nelle raccolte di app virtuali utilizzando la procedura guidata di migrazione, disponibile facendo clic su Inizia nella pagina Catalogo > App virtuali. Fino a quando non si esegue la migrazione, è possibile continuare a gestire le configurazioni delle risorse esistenti dal menu Gestisci applicazioni desktop della pagina Catalogo > Catalogo applicazioni. Dopo la migrazione delle configurazioni esistenti viene abilitata la nuova pagina delle raccolte di app virtuali, che consente di visualizzare e modificare le configurazioni migrate e di crearne di nuove. Il menu Gestisci applicazioni desktop non è più disponibile. Se nell'installazione precedente non è stata configurata alcuna risorsa, è possibile creare nuove raccolte di app virtuali per le risorse di Horizon, Horizon Cloud Service, Citrix o ThinApp selezionando la scheda Catalogo > App virtuali e facendo clic su Inizia. Se esegue l'aggiornamento da una versione precedente e si dispone di almeno un connettore meno recente, esterno o integrato, non è possibile creare nuove raccolte di app virtuali. È possibile migrare le configurazioni esistenti in raccolte di app virtuali aggiornando tutti i connettori alla versione o successiva, quindi utilizzando la procedura guidata di migrazione disponibile nella pagina Catalogo > App virtuali. Fino a quando non si esegue la migrazione, è possibile continuare a gestire le configurazioni delle risorse esistenti dal menu Gestisci applicazioni desktop della scheda Catalogo > Catalogo applicazioni. VMware, Inc. 33

34 Dopo la migrazione delle configurazioni esistenti viene abilitata la nuova pagina delle raccolte di app virtuali, che consente di visualizzare e modificare le configurazioni migrate e di crearne di nuove. Il menu Gestisci applicazioni desktop non è più disponibile. Nota La presente guida fa riferimento alla nuova interfaccia delle raccolte di app virtuali per tutte le integrazioni. Se si continua a utilizzare l'interfaccia utente precedente dal menu Gestisci applicazioni Desktop della pagina Catalogo > Catalogo applicazioni, fare riferimento alla versione 3.0 della documentazione, Configurazione delle risorse in VMware Identity Manager 3.0 (PDF). Utilizzo della procedura guidata di migrazione per eseguire la migrazione alle raccolte di app virtuali Utilizzare la procedura guidata di migrazione per migrare le configurazioni delle risorse esistenti in raccolte di app virtuali, disponibili nella versione 3.1 e successive. È necessario effettuare la migrazione di tutte le configurazioni delle risorse esistenti nello stesso momento. Ad esempio, se sono configurate applicazioni ThinApp e Horizon Cloud, selezionarle entrambe nella procedura guidata di migrazione. La procedura guidata di migrazione è pensata per essere utilizzata una sola volta per eseguire la migrazione di tutte le risorse nello stesso momento. Dopo essere stata eseguita una volta, non sarà più disponibile. Nota In un ambiente di hosting, il processo di migrazione potrebbe richiedere un po' di tempo. Prerequisiti Aggiornare tutte le istanze del servizio di VMware Identity Manager alla versione 3.1 o successiva e tutte le istanze del connettore alla versione o successiva. Nella versione 3.2, il ruolo Amministratore super è necessario per accedere inizialmente alla pagina di configurazione delle app virtuali e per eseguire la migrazione. Vedere Informazioni sulle raccolte di app virtuali per ulteriori informazioni. Procedura 1 Selezionare la scheda Catalogo > App virtuali. 2 Fare clic su Inizia. VMware, Inc. 34

35 3 Nella procedura guidata di migrazione, per ogni tipo di risorsa, selezionare il worker del connettore che è stato utilizzato per la configurazione nell'installazione precedente. L'elenco a discesa per ogni tipo di risorsa elenca solo i connettori che avevano quella risorsa configurata. Se la risorsa è stata configurata su più connettori per l'alta disponibilità e nell'elenco compaiono più connettori, selezionare il connettore che aveva una pianificazione di sincronizzazione impostata. Questa rappresenta anche la selezione predefinita per ogni elenco a discesa. Importante Assicurarsi di effettuare una selezione per tutte le configurazioni esistenti. La procedura guidata di migrazione è pensata per essere utilizzata una sola volta per eseguire la migrazione di tutte le risorse nello stesso momento. Dopo essere stata eseguita una volta, non sarà più disponibile. 4 Fare clic su Migra configurazioni. In un ambiente di hosting, il processo di migrazione potrebbe richiedere un po' di tempo. Le configurazioni delle risorse esistenti vengono migrate. Viene creata una raccolta di app virtuali per ogni tipo di configurazione. Per visualizzare e modificare le raccolte, fare clic su Catalogo > App virtuali e fare clic su ciascun nome di raccolta. A questo punto è possibile gestire le raccolte dalla pagina App virtuali. Il menu Gestisci applicazioni desktop nella pagina Catalogo applicazioni non è più disponibile. Per informazioni sulla risoluzione dei problemi relativi alle raccolte di app virtuali, visualizzare sia il file di registro del connettore, connector.log, che il file registro del servizio, horizon.log. Su appliance virtuali Linux, i file di registro si trovano nella directory /opt/vmware/horizon/workspace/logs. Su server Windows, i file di registro si trovano nella directory install_dir \IDMConnector_or_VMwareIdentityManager\opt\vmware\horizon\workspace\logs. Operazioni successive A ogni nuova raccolta viene aggiunto un solo connettore, quello selezionato nella procedura guidata di migrazione. Se è stato configurato un cluster di connettori per l'alta disponibilità, modificare le raccolte e aggiungere gli altri connettori. VMware, Inc. 35

36 Viene creata una singola raccolta di app virtuali per ogni configurazione migrata. Per le integrazioni di grandi dimensioni, con molti server e app, prendere in considerazione la suddivisione della raccolta in più raccolte per semplificare la gestione e rendere più veloce la sincronizzazione. La funzionalità di raccolta app virtuali consente di creare più raccolte per ogni tipo di integrazione, eccetto per le integrazioni di ThinApp. VMware, Inc. 36

37 Consentire l'accesso a pool di desktop e applicazioni View, Horizon 6 oppure Horizon 7 4 L'integrazione di Horizon 7, Horizon 6 o View con il servizio VMware Identity Manager consente di fornire agli utenti la possibilità di accedere ad applicazioni e desktop Horizon autorizzati dal portale o dall'app di Workspace ONE. È possibile integrare pod di Horizon indipendenti, costituiti da istanze del server di connessione di Horizon, e federazioni di pod, che contengono più pod e possono trovarsi su più siti e data center. La distribuzione e la gestione dei pool di desktop e applicazioni avvengono nell'interfaccia di Horizon Administrator. È anche possibile creare permessi per utenti e gruppi di Active Directory in Horizon, non in VMware Identity Manager. È necessario sincronizzare tali utenti e gruppi nel servizio VMware Identity Manager da Active Directory prima di procedere all'integrazione con Horizon. Per integrare pod Horizon e federazioni di pod con VMware Identity Manager, creare una o più raccolte di app virtuali nella console di amministrazione di VMware Identity Manager. Le raccolte contengono le informazioni di configurazione per i pod e le federazioni di pod, nonché le impostazioni di sincronizzazione. Sincronizzare quindi le risorse e i permessi di Horizon in VMware Identity Manager. Nella console di amministrazione di VMware Identity Manager, è possibile visualizzare le applicazioni e i desktop di Horizon. Sarà inoltre possibile visualizzare permessi di utenti e gruppi. Gli utenti finali possono avviare applicazioni e desktop autorizzati dal portale o dall'app di Workspace ONE. Questi desktop e queste app sono accessibili tramite HTML in un browser o mediante un protocollo di visualizzazione supportato in VMware Horizon Client. Versioni supportate VMware Identity Manager supporta le seguenti versioni e funzionalità. L'integrazione di pod Horizon indipendenti è supportata per View 5.3 e versioni successive. L'integrazione di federazioni di pod, create utilizzando la funzionalità Cloud Pod Architecture, è supportata per Horizon 6.2 e versioni successive. HTML Access è supportato per Horizon e versioni successive. L'SSO certificati è supportato per Horizon 7.x. Per le più recenti informazioni di supporto, vedere la tabella di interoperabilità dei prodotti VMware. VMware, Inc. 37

38 Questo capitolo include i seguenti argomenti: Informazioni sull'integrazione di pod Horizon indipendenti Informazioni sull'integrazione di distribuzioni Cloud Pod Architecture (CPA) di Horizon Cloud Configurazione di pod Horizon e federazioni di pod in VMware Identity Manager Attivazione di URL di accesso client multipli per gli intervalli di rete personalizzati Avvio delle risorse di Horizon tramite gateway di convalida Visualizzazione delle informazioni di connessione per i pool di applicazioni e desktop di Horizon Visualizzazione dei permessi di utenti e gruppi per i pool di desktop e applicazioni di Horizon Impostazione di criteri di accesso per applicazioni e desktop specifici Permettere agli utenti di reimpostare i propri desktop di Horizon in VMware Identity Manager Visualizzazione delle opzioni di avvio per applicazioni e desktop di Horizon Avvio di un desktop o di un'applicazione di Horizon Informazioni sull'integrazione di pod Horizon indipendenti Per integrare pod Horizon in VMware Identity Manager, creare una o più raccolte di app virtuali nella console di amministrazione di VMware Identity Manager. Le raccolte contengono le informazioni di configurazione per i server di connessione Horizon, nonché le impostazioni di sincronizzazione. Prima di eseguire qualsiasi attività di integrazione nella console di amministrazione di VMware Identity Manager, configurare Horizon. È possibile creare e configurare i pool di desktop e applicazioni in Horizon Administrator, non in VMware Identity Manager. In Horizon Administrator vanno impostati anche i permessi per gli utenti e i gruppi di Active Directory. L'integrazione di pod Horizon con VMware Identity Manager comporta le seguenti attività di alto livello. Distribuire e configurare server di Horizon. Distribuire i pool di desktop e applicazioni di Horizon, con i permessi impostati per gli utenti e i gruppi di Active Directory. Sincronizzare gli utenti e i gruppi di Active Directory autorizzati per i pool di applicazioni e desktop nelle istanze del server di connessione di Horizon nel servizio VMware Identity Manager utilizzando la sincronizzazione della directory. Successivamente, quando si configurano pod Horizon nella console di amministrazione di VMware Identity Manager, è possibile selezionare anche l'opzione Esegui sincronizzazione delle directory. Selezionare questa opzione se si desidera che la sincronizzazione della directory venga eseguita come parte della sincronizzazione delle risorse quando tutti gli utenti e i gruppi autorizzati per i pool di Horizon nelle istanze del server di connessione di Horizon in fase di sincronizzazione mancano nella directory di VMware Identity Manager. VMware, Inc. 38

39 Aggiungere VMware Identity Manager allo stesso dominio di Active Directory di Horizon se si intende sincronizzare tutte le istanze della versione 5.x del server di connessione di Horizon o utilizzare l'opzione Esegui sincronizzazione delle directory. Entrambe queste configurazioni utilizzano una modalità di sincronizzazione alternativa, che richiede l'aggiunta al dominio. Creare una o più raccolte di app virtuali per i pod Horizon in VMware Identity Manager. Configurare l'autenticatore SAML nel server di connessione di Horizon. Nella pagina di configurazione di Authenticator, è necessario utilizzare sempre il nome di dominio completo di VMware Identity Manager. Requisiti per l'integrazione di pod Horizon Durante l'impostazione di pod Horizon, verificare che siano soddisfatti i requisiti per l'integrazione di VMware Identity Manager. Distribuire i server di connessione di Horizon sulla porta predefinita 443 o su una porta personalizzata. Verificare di avere una voce DNS e un indirizzo IP risolvibili durante la ricerca inversa di ogni Horizon Connection Server nella configurazione. VMware Identity Manager richiede la ricerca inversa di istanze di Horizon Connection Server, Horizon Security Server e bilanciamento del carico. Se la ricerca inversa non è configurata correttamente, l'integrazione di VMware Identity Manager con Horizon non riuscirà. Distribuire e configurare i pool e i desktop di Horizon con i permessi impostati per gli utenti e i gruppi di Active Directory. Assicurarsi che gli utenti abbiano i permessi corretti. Durante la configurazione dei pool di desktop, assicurarsi che l'opzione Scollega automaticamente in seguito alla disconnessione sia impostata su 1 o 2 minuti e non su immediatamente. Assicurarsi di creare pool nella cartella principale del server Horizon. Se si creano pool in una cartella che non sia la cartella radice, VMware Identity Manager non potrà interrogare tali pool e permessi Horizon. Si consiglia di estendere il periodo di scadenza dei metadati SAML a 90 giorni sui server di connessione di Horizon. Vedere Modifica del periodo di scadenza per i metadati del provider di servizi sul server di connessione di View per maggiori informazioni. Informazioni sull'integrazione di distribuzioni Cloud Pod Architecture (CPA) di Horizon Cloud Oltre a integrare pod di visualizzazione con VMware Identity Manager, è possibile integrare distribuzioni Cloud Pod Architecture (CPA) di Horizon. VMware, Inc. 39

40 Figura 4-1. Integrazione di federazioni di pod di View con VMware Identity Manager Sito A Sito B Pod indipendente Federazione CPA Pod 1 Pod 2 Pod 3 VCS 1 VCS 3 Replica LDAP globale VCS 5 VCS 2 VCS 4 VCS 6 Replica LDAP Replica LDAP Replica LDAP VMware Identity Manager on-premise connettore Servizio La funzionalità Cloud Pod Architecture di Horizon Cloud collega più pod Horizon in modo da formare un unico grande ambiente di gestione e controllo di desktop e applicazioni, denominato federazione di pod. Una federazione di pod può comprendere più siti e più data center. È possibile integrare una o più federazioni di pod con il servizio VMware Identity Manager. Si noti che le federazioni di pod sono create e gestite in Horizon, e che i permessi di utenti e gruppi rispetto ai desktop e ai pool di applicazioni della federazione di pod vengono impostati in Horizon. Le risorse e i permessi vengono sincronizzati a VMware Identity Manager. Le federazioni di pod hanno permessi globali, che consentono di autorizzare gli utenti ad accedere a desktop e applicazioni a cui è possibile accedere da qualsiasi pod della federazione di pod. Un permesso globale può essere formato da risorse di più pod della federazione. Ad esempio, un permesso desktop globale potrebbe contenere pool di tre diversi pod in tre diversi data center. Sui singoli pod della federazione di pod possono anche essere configurati permessi locali. È possibile sincronizzare permessi globali e locali convmware Identity Manager. L'integrazione di una federazione di pod con il servizio VMware Identity Manager comporta le seguenti attività di alto livello nella console di gestione di VMware Identity Manager: Aggiunta di tutti i pod che costituiscono la federazione di pod, specificando i dettagli del server di connessione di Horizon per ciascuno di essi. Nonostante VMware Identity Manager possa sincronizzare i permessi globali da qualsiasi pod della federazione di pod, deve connettersi a ciascun pod per sincronizzare i metadati richiesti per l'autenticazione SAML. Deve anche connettersi ai pod per sincronizzare i permessi locali, se opportuno. Aggiungere i dettagli della federazione di pod e specificare l'url di avvio globale. L'URL di avvio globale, che è in genere l'url del bilanciamento del carico, viene utilizzate per avviare desktop e applicazioni con permessi globali. VMware, Inc. 40

41 È possibile personalizzare l'url di avvio globale per specifici intervalli di rete, ad esempio per l'accesso interno ed esterno. Sincronizzare risorse e permessi dalla federazione di pod al servizio VMware Identity Manager. Nota Solo permessi globali con criterio di ambito Tutti i siti in una federazione di pod vengono sincronizzati. Il criterio di ambito Tutti i siti delimita l'ambito della ricerca di applicazioni o desktop a tutti i pod compresi nella federazione di pod. Per personalizzare l'url di avvio globale è necessario impostare gli URL di accesso al client per specifici intervalli di rete. Tali URL sono utilizzati per avviare risorse con permessi globali dalla federazione di pod. Per impostazione predefinita, l'url di avvio globale specificato quando si aggiunge la federazione viene utilizzato come URL di avvio globale per tutti gli intervalli di rete. Specificare gli URL di accesso al client per ogni pod nella federazione che disponga di permessi locali configurati. Tali URL sono usati per avviare dal pod desktop e applicazioni con permessi locali. Un URL di accesso al client può essere un URL del server di connessione di Horizon, un URL di Security Server o un URL di bilanciamento del carico. Gli URL di accesso al client vengono impostati per specifici intervalli di rete. Per impostazione predefinita, l'url del server di connessione di Horizon specificato quando si aggiunge il pod viene utilizzato come URL di accesso al client per tutti gli intervalli di rete. Quando si integra una federazione di pod al servizio VMware Identity Manager, quest'ultimo effettua le seguenti operazioni: Sincronizza tutti i permessi globali con criterio di ambito Tutti i siti dalla federazione di pod. Sincronizza i permessi locali, se selezionati, dai pod che fanno parte della federazione di pod. Sincronizza i metadati da tutti i server di connessione di Horizon nella federazione di pod. Consente agli utenti finali di accedere alle applicazioni e ai desktop di Horizon dal portale Workspace ONE. Gli utenti finali possono accedere alle applicazioni e ai desktop di Horizon dal portale Workspace ONE. Tutte le risorse per le quali dispongono di permessi, globali o locali, vengono visualizzate. Applicazioni e desktop vengono avviati in Horizon Client. Quando un utente avvia un'applicazione o un desktop con permessi locali, l'avvio viene eseguito dal server di connessione di Horizon a cui l'utente si connette. Una risorsa con permessi globali viene avviata dal server di connessione di Horizon in cui si trova. Esempio di distribuzione di Cloud Pod Architecture Il seguente diagramma mostra un esempio di distribuzione Cloud Pod Architecture e in che modo sia integrata al servizio VMware Identity Manager. VMware, Inc. 41

42 Figura 4-2. Esempio di distribuzione di Cloud Pod Architecture Internet Interno URL EG LB globale Federazione 1 (F1) Pod 1 (P1) URL E1 LB Server di sicurezza Server di sicurezza Pod 2 (P2) Server di connessione Server di connessione URL I1 LB Sinc 1 Locale connettore URL E2 LB Server di sicurezza Server di sicurezza Server di connessione Server di connessione URL I2 LB URL IG LB globale Sinc 2 Locale Sinc 3 Locale API sinc Servizio Pod 3 (P3) Server di connessione Server di connessione URL I3 LB Sinc 4 Locale VMware Identity Manager on-premise Questo diagramma illustra un esempio di distribuzione di federazione di pod. Una federazione di pod, denominata Federazione 1, viene creata in Horizon 6. Ha tre pod, Pod 1, Pod 2 e Pod 3. Pod 1 e Pod 2 sono configurati con istanze di Security Server per ogni server di connessione di Horizon e un bilanciamento del carico esterno per l'accesso esterno, e con un bilanciamento del carico interno per l'accesso interno. Pod 3 è configurato per il solo accesso interno con un bilanciamento del carico interno. La federazione di pod nel suo complesso ha un bilanciamento del carico globale esterno e un bilanciamento del carico globale interno. Pool di desktop e applicazioni sono distribuiti nei pod. I permessi globali sono configurati per Federazione 1 e sono configurati anche permessi locali per i singoli pod. Federazione 1 è integrata con il servizio VMware Identity Manager Il servizio VMware Identity Manager sincronizza i permessi globali e quelli locali da Federazione 1. Poiché i permessi globali sono replicati in ogni pod, sincronizza i permessi globali da Pod 1. Sincronizza inoltre i permessi locali da Pod 1, Pod 2 e Pod 3. VMware, Inc. 42

43 Gli utenti finali possono visualizzare nel portale Workspace ONE di VMware Identity Manager tutte le applicazioni e i desktop per i quali sono autorizzati tramite permessi globali o locali. Quando un utente avvia un desktop o un'applicazione con permessi globali, la richiesta di avvio passa al bilanciamento del carico globale interno o esterno, EG URL o IG URL, in base all'intervallo di rete dell'utente. Se la risorsa proviene da un permesso locale, la richiesta di avvio passa al bilanciamento del carico interno o esterno del pod su cui è distribuita la risorsa, in base all'intervallo di rete dell'utente. Ad esempio, per una risorsa su Pod 2, la richiesta passa a URL I2 o URL E2. Requisiti per l'integrazione di federazioni di pod Horizon L'integrazione di federazioni di pod Horizon con VMware Identity Manager richiede che vengano soddisfatti i seguenti requisiti. VMware Identity Manager supporta la funzionalità Cloud Pod Architecture in Horizon 6.2 e versioni successive, sia per applicazioni sia per desktop. È possibile integrare un massimo di 10 federazioni di pod con il servizio VMware Identity Manager. Ogni federazione può contenere fino a 7 pod. Distribuire istanze del server di connessione di Horizon sulla porta predefinita 443 o su una porta personalizzata. Verificare di avere una voce DNS e un indirizzo IP risolvibili durante la ricerca inversa di ogni istanza del server di connessione di Horizon nell'ambiente. VMware Identity Manager richiede la ricerca inversa per le istanze del server di connessione di Horizon, Security Server e bilanciamento del carico. Se la ricerca inversa non è configurata correttamente, l'integrazione di VMware Identity Manager con Horizon non riuscirà. Il connettore VMware Identity Manager, che è un componente del servizio, deve poter raggiungere tutte le istanze del server di connessione di Horizon nella federazione di pod. L'autenticazione SAML deve essere configurata in Horizon, con il servizio di VMware Identity Manager specificato come fornitore di identità. È necessario utilizzare il nome di dominio completo del servizio come parte dell'url. È consigliabile configurare l'autenticazione SAML in tutte le istanze del server di connessione di Horizon nella federazione di pod. Vedere Configurazione dell'autenticazione SAML per ulteriori informazioni. È consigliabile estendere a 90 giorni il periodo di scadenza dei metadati SAML nelle istanze del server di connessione di Horizon. Vedere Modifica del periodo di scadenza per i metadati del provider di servizi sul server di connessione di View per maggiori informazioni. I certificati del server di connessione di Horizon verranno sincronizzati con VMware Identity Manager. Distribuire pool di applicazioni e desktop nei pod Horizon. Durante la configurazione dei pool di desktop, assicurarsi che l'opzione Scollega automaticamente in seguito alla disconnessione sia impostata su 1 o 2 minuti e non su immediatamente. VMware, Inc. 43

44 Assicurarsi di creare pool di Horizon nella cartella principale. Se si creano pool in una cartella che non sia la cartella radice, VMware Identity Manager non potrà interrogare tali pod e permessi Horizon. Se si aggiungono o rimuovono pool di applicazioni o desktop dopo l'integrazione con VMware Identity Manager, le modifiche risulteranno visibili nel servizio VMware Identity Manager solo dopo aver effettuato nuovamente la sincronizzazione. È necessario creare la federazione di pod inizializzando la funzionalità Cloud Pod Architecture da uno dei pod e inserendo tutti gli altri pod alla federazione prima di effettuare l'integrazione con il servizio VMware Identity Manager. I permessi globali sono replicati ai pod quando questi vengono inseriti nella federazione. Se si inserisce un pod nella federazione o lo si rimuove dopo l'integrazione con il servizio VMware Identity Manager, è necessario modificare i dettagli relativi alla federazione di pod nella console di gestione VMware Identity Manager per aggiungere o rimuovere il pod, salvare le modifiche e ripetere la sincronizzazione. Nell'ambiente Horizon, creare permessi globali nella federazione di pod per concedere i permessi agli utenti o ai gruppi di Active Directory per utilizzare desktop e applicazioni. I permessi globali che si desidera sincronizzare a VMware Identity Manager devono presentare il criterio di ambito Tutti i siti impostato. I permessi con altri criteri di ambito non vengono sincronizzati. Per consentire agli utenti finali di avviare desktop o applicazioni in un browser Web, selezionare l'opzione HTML Access per il permesso globale in Horizon. (Facoltativo) Creare permessi locali sui pod, se richiesto. VMware, Inc. 44

45 Per ulteriori informazioni sulla configurazione di Horizon, consultare la documentazione di Horizon 6 oppure Horizon 7. Configurazione di pod Horizon e federazioni di pod in VMware Identity Manager Per configurare pod Horizon e federazioni di pod in VMware Identity Manager, configurare l'ambiente di VMware Identity Manager, creare una o più raccolte di app virtuali per l'integrazione, specificare gli URL di accesso client per intervalli di rete specifici e configurare l'autenticazione SAML. Configurazione dell'ambiente di VMware Identity Manager Dopo aver configurato l'ambiente di Horizon, è necessario impostare l'ambiente VMware Identity Manager prima di integrare pod Horizon e federazioni di pod con il servizio VMware Identity Manager. Prerequisiti Se si intende sincronizzare tutte le istanze della versione 5,x del server di connessione di Horizon o utilizzare l'opzione Esegui sincronizzazione delle directory, è necessario unire VMware Identity Manager allo stesso dominio di Active Directory di Horizon. Verificare di disporre di un nome utente e una password di Active Directory, con i diritti per entrare nel dominio. Per ulteriori informazioni sui diritti necessari per accedere a un dominio, vedere "Integrazione con Active Directory" in Installazione e configurazione di VMware Identity Manager. Nota In una installazione di VMware Identity Manager in Windows, il server Windows è già unito al dominio. Procedura 1 Verificare che distinguishedname sia impostato come un attributo obbligatorio per la directory di VMware Identity Manager e mappato all'attributo distinguishedname di Active Directory. Gli attributi devono essere contrassegnati come obbligatori prima che la directory venga creata. Dopo la creazione della directory, gli attributi non possono essere infatti modificati da facoltativi a obbligatori. a Nella console di amministrazione, passare alla pagina Gestione identità e accessi > Configurazione > Attributi utente. b c d In Attributi predefiniti, selezionare la casella di controllo Obbligatorio per distinguishedname. Fare clic su Salva. Durante la creazione della directory, mappare l'attributo distinguishedname all'attributo di Active Directory distinguishedname. VMware, Inc. 45

46 2 Sincronizzare gli utenti e i gruppi che dispongono di autorizzazioni globali o locali in Horizon da Active Directory al servizio VMware Identity Manager mediante la sincronizzazione della directory. a b c d Per visualizzare gli utenti e i gruppi correnti, fare clic sulla scheda Utenti e gruppi. Selezionare la scheda Gestione identità e accessi > Directory. Selezionare la directory appropriata. Se necessario, modificare le impostazioni della directory e fare clic su Sincronizza ora. Nota Gli utenti devono disporre del set di attributi userprincipalname. Se l'attributo userprincipalname non è impostato per un utente, è possibile che l'utente non sia in grado di eseguire desktop e applicazioni. 3 Se possibile, stabilire una connessione a più domini o a domini a più foreste sicuri in Active Directory. Per informazioni, vedere Installazione e configurazione di VMware Identity Manager. 4 (solo appliance virtuali Linux di VMware Identity Manager) Aggiungere la directory VMware Identity Manager allo stesso dominio di Active Directory di Horizon se si sta sincronizzando un'istanza della versione 5 del server di connessione di Horizon.x istanze o se si intende utilizzare l'opzione Esegui sincronizzazione delle directory. Entrambe queste configurazioni utilizzano una modalità di sincronizzazione alternativa, che richiede l'aggiunta al dominio. a b c Fare clic sulla scheda Gestione identità e accessi. Fare clic su Configura e selezionare la scheda Connettori. Fare clic su Entra in dominio accanto alla directory appropriata. VMware, Inc. 46

47 d Immettere le informazioni per il dominio di Active Directory e fare clic su Entra in dominio. Non utilizzare caratteri non ASCII quando si specificano le informazioni sul dominio. Opzione Dominio Descrizione Selezionare il dominio a cui aggiungersi oppure selezionare Dominio personalizzato e digitare il nome del dominio. Assicurarsi di digitare il nome di dominio completo di Active Directory, ad esempio server.esempio.com. Nota Il nome di dominio completo di Active Directory deve essere nello stesso dominio delle istanze del server di connessione a View. In caso contrario, la propria distribuzione riporterà un errore. Utente di dominio Password di dominio Unità organizzativa (UO) del dominio da aggiungere Digitare il nome utente di un account di Active Directory che disponga delle autorizzazioni necessarie per aggiungere sistemi a tale dominio di Active Directory. Digitare la password per l'utente. Tale password non viene archiviata da VMware Identity Manager. (Facoltativo) Unità organizzativa (UO) da aggiungere. Questa opzione consente di aggiungere il computer all'unità organizzativa specificata, anziché all'unità organizzativa dei computer predefinita. Ad esempio, ou=testou,dc=test,dc=example,dc=com. e Verificare che VMware Identity Manager e i server di Horizon siano nello stesso dominio. Nota In una installazione di VMware Identity Manager in Windows, questo passaggio non è necessario perché il server Windows è già unito al dominio. Configurarazione di pod Horizon e federazioni di pod in VMware Identity Manager Configurare pod Horizon e federazioni di pod nella console di amministrazione di VMware Identity Manager per sincronizzare risorse e permessi con il servizio VMware Identity Manager. Per configurare i POD e federazioni di pod, creare una o più raccolte di app virtuali nella pagina Catalogo > App virtuali e immettere la informazioni di configurazione, quali server di connessione di Horizon da cui sincronizzare risorse e permessi, dettagli sulla federazione di pod, connettore di VMware Identity Manager da utilizzare per la sincronizzazione e impostazioni dell'amministratore quali il client di avvio predefinito. È possibile aggiungere tutti i pod Horizon e le federazioni di pod in una raccolta oppure creare più raccolte, in base alle proprie esigenze. Ad esempio, si può scegliere di creare raccolte separate per ogni federazione di pod o per ciascun pod per facilitare la gestione e distribuire il carico di sincronizzazione tra più connettori. Altrimenti è possibile scegliere di includere tutti i pod e le federazioni di pod in una raccolta a scopo di test e avere un'altra raccolta identica per il proprio ambiente di produzione. Dopo aver aggiunto i pod, configurare gli URL di accesso client per intervalli di rete specifici. VMware, Inc. 47

48 Prerequisiti Configurazione di Horizon in base a Requisiti per l'integrazione di pod Horizon e Requisiti per l'integrazione di federazioni di pod Horizon. Configurazione di VMware Identity Manager in base a Configurazione dell'ambiente di VMware Identity Manager. Per ogni pod Horizon, accertarsi di disporre dele credenziali di un utente con ruolo di amministratore. In VMware Identity Manager 3.2, è necessario utilizzare un ruolo amministratore che possa eseguire l'azione Gestisci applicazioni Desktop nel servizio del catalogo. Procedura 1 Accedere alla console di amministrazione di VMware Identity Manager. 2 Selezionare la scheda Catalogo > App virtuali, quindi fare clic su Configurazione app virtuali. 3 Fare clic su Aggiungi app virtuali e scegliere Horizon View in locale. 4 Immettere un nome univoco per la raccolta. 5 Dal menu a discesa Sincronizza connettori, selezionare il connettore che si desidera utilizzare per sincronizzare le risorse in questa raccolta. Se sono stati configurati più connettori per l'alta disponibilità, fare clic su Aggiungi connettore e selezionare gli altri connettori. L'ordine in cui sono elencati i connettori determina l'ordine di failover. 6 Nella sezione Pod Horizon, fornire le informazioni di configurazione per i pod Horizon che si stanno aggiungendo a questa raccolta. Server di connessione Nome utente Password Autenticazione con smart card Funzionalità True SSO attivata Sincronizza permessi locali Immettere il nome host completo dell'istanza di Server di connessione di Horizon, come ad esempio viewconnectionserver.esempio.com. Il nome di dominio deve corrisponde esattamente al nome del dominio a cui è stata aggiunta l'istanza di Server di connessione di Horizon. Immettere il nome utente dell'amministratore per il pod. L'utente deve disporre del ruolo di amministratore in Horizon. Immettere la password dell'amministratore per il pod. Se gli utenti utilizzano l'autenticazione con smart card per accedere al pod al posto delle password, selezionare la casella di controllo. Selezionare questa opzione se la funzionalità True SSO è attivata in Horizon. Questa opzione si applica solo alle versioni di Horizon che supportano la funzione True SSO. Quando la funzione True SSO è attivata in Horizon, gli utenti non devono utilizzare una password per accedere al proprio desktop di Windows. Tuttavia, se gli utenti sono collegati a VMware Identity Manager mediante un metodo di autenticazione senza password come SecurID, quando avviano i loro desktop di Windows gli verrà richiesta una password. È possibile selezionare questa opzione per impedire che venga visualizzata una finestra di dialogo per la password in questo scenario. Se per il pod sono configurati i permessi locali, selezionare questa opzione. Ad esempio: VMware, Inc. 48

49 7 Per aggiungere più pod alla raccolta, fare clic su Aggiungi Pod e immettere le informazioni di configurazione per ogni pod. 8 Per aggiungere una federazione di pod, eseguire i passaggi seguenti. a b Selezionare la casella di controllo Attiva nella sezione Configurazione architettura pod di Horizon Cloud. Immettere le informazioni di configurazione della federazione di pod. Opzione Nome federazione Aggiungi pod Horizon Pod selezionati URL di avvio Descrizione Nome della federazione di pod. Selezionare tutti i pod che appartengono alla federazione di pod. L'elenco visualizza tutti i pod aggiunti alla raccolta. Selezionare ciascun pod e fare clic su Aggiungi all'elenco. È possibile riordinare o rimuovere i pod. URL di avvio globale da utilizzare per avviare le applicazioni o i desktop con permessi globali. Ad esempio federationa.example.com. In genere, l'url di avvio corrisponde all'url del bilanciamento del carico globale della federazione di pod. L'URL di avvio per intervalli di rete specifici può essere personalizzato in una fase successiva del processo di configurazione. c Per aggiungere un'altra federazione di pod, fare clic su Aggiungi federazione e immettere le informazioni di configurazione. Nota Se la raccolta include solo singoli pod Horizon che non appartengono a una federazione di pod, non abilitare questa opzione. Ad esempio: VMware, Inc. 49

50 9 Selezionare la casella di controllo Non sincronizzare applicazioni duplicate per impedire che le applicazioni duplicate vengano sincronizzate da più server. Quando VMware Identity Manager viene distribuito in più data center, le stesse risorse vengono configurate in tutti i data center. La selezione di questa opzione impedisce la duplicazione dei pool di desktop o applicazioni nel catalogo di VMware Identity Manager. 10 Selezionare la casella di controllo Configurazione di Horizon Connection Server 5.x se si stanno configurando istanze di View Connection Server 5.x. Se si seleziona questa opzione, viene abilitata la modalità alternativa per la sincronizzazione delle risorse richiesta da View 5.x. Nota Se si seleziona l'opzione Esegui sincronizzazione delle directory, viene selezionata automaticamente anche l'opzione Configurazione di Horizon Connection Server 5.x poiché entrambe le opzioni dipendono dalla modalità alternativa di sincronizzazione delle risorse. 11 Selezionare la casella di controllo Esegui sincronizzazione delle directory se si desidera che la sincronizzazione della directory venga eseguita come parte della sincronizzazione delle risorse quando tutti gli utenti e i gruppi che dispongono del permesso di utilizzare i pool di Horizon nelle istanze di Horizon Connection Server mancano nella directory di VMware Identity Manager. L'opzione Esegui sincronizzazione delle directory non si applica alle federazioni di pod. Se nella directory di VMware Identity Manager mancano utenti e gruppi con permessi globali, la sincronizzazione della directory non viene attivata. Gli utenti e i gruppi sincronizzati mediante questo processo possono essere gestiti come qualsiasi altro utente aggiunto in seguito alla sincronizzazione della directory di VMware Identity Manager. Importante Quando si utilizza l'opzione Esegui sincronizzazione delle directory, la sincronizzazione richiede più tempo. Nota Quando viene selezionata questa opzione, viene selezionata automaticamente anche l'opzione Configurazione di Horizon Connection Server 5.x poiché entrambe le opzioni dipendono dalla modalità alternativa di sincronizzazione delle risorse. VMware, Inc. 50

51 12 Nell'elenco a discesa Client di avvio predefinito, selezionare il client predefinito in cui avviare le applicazioni o i desktop di Horizon. Opzione NESSUNO BROWSER NATIVO Descrizione A livello di amministratore non è impostata alcuna preferenza predefinita. Se questa opzione è impostata su Nessuno e non è impostata alcuna preferenza dell'utente finale, l'impostazione Protocollo di visualizzazione predefinito di Horizon viene utilizzata per determinare la modalità di avvio del desktop o dell'applicazione. I desktop e le applicazioni di Horizon vengono avviati in un browser Web per impostazione predefinita. Se impostate, le preferenze dell'utente finale hanno la precedenza su questa impostazione. I desktop e le applicazioni di Horizon vengono avviati in Horizon Client per impostazione predefinita. Se impostate, le preferenze dell'utente finale hanno la precedenza su questa impostazione. Questa impostazione si applica a tutti gli utenti per tutte le risorse in questa raccolta. Alle impostazioni di avvio predefinite del client viene applicato l'ordine di precedenza seguente, dalla più alta alla più bassa: a b c Impostazione della preferenza dell'utente finale nel portale Workspace ONE. Questa opzione non è disponibile nell'app Workspace ONE. Impostazione Client di avvio predefinito dell'amministratore per la raccolta, impostata nella console di VMware Identity Manager. Impostazione di Horizon Protocollo di visualizzazione remoto > Protocollo di visualizzazione predefinito per il pool di desktop o applicazioni in Horizon Administrator. Se ad esempio il protocollo di visualizzazione è impostato su PCoIP, l'applicazione o il desktop viene avviato in Horizon Client. 13 Dal menu a discesa Frequenza di sincronizzazione, selezionare con quale frequenza sincronizzare le risorse in questa raccolta. È possibile impostare una pianificazione di sincronizzazione regolare o scegliere di sincronizzare manualmente. Se si seleziona Manuale, è necessario fare clic su Sincronizza nella pagina Configurazione app virtuali dopo aver impostato la raccolta e ogni volta che si verifica un cambiamento nei permessi o nelle risorse di View. 14 Nell'elenco a discesa Criterio di attivazione selezionare il modo in cui le risorse di Horizon vengono rese disponibili agli utenti in Workspace ONE. Con entrambe le opzioni Attivata dall'utente e Automatico, le risorse vengono aggiunte alla pagina Catalogo. Gli utenti possono utilizzare le risorse dalla pagina Catalogo o spostarle nella pagina Segnalibri. Tuttavia, per configurare un flusso di approvazione per le app, è necessario selezionare l'opzione Attivata dall'utente per quell'app. Il criterio di attivazione selezionato in questa pagina si applica a tutti i permessi utente per tutte le risorse nella raccolta. È possibile modificare il criterio di attivazione per utenti singoli o gruppi per risorsa dalla pagina Permessi dell'applicazione o del desktop. VMware, Inc. 51

52 Se si desidera impostare un flusso di approvazione, è consigliabile impostare il criterio di attivazione per la raccolta su Attivata dall'utente. 15 Fare clic su Salva. La raccolta viene creata e visualizzata nella pagina Configurazione app virtuali. Le risorse nella raccolta non vengono ancora sincronizzate. 16 Per sincronizzare le risorse della raccolta in VMware Identity Manager, fare clic su Sincronizza nella pagina Configurazione app virtuali. Ogni volta che vengono modificate le impostazioni in Horizon, ad esempio quando si aggiunge un permesso o un utente, è necessaria una sincronizzazione per propagare le modifiche in VMware Identity Manager. 17 Configurare gli URL di accesso al client per i pod e le federazioni di pod. Gli URL vengono personalizzati per intervalli di rete specifici. Ad esempio, generalmente si impostano URL di avvio differenti per gli accessi interni ed esterni. a Rivedere gli intervalli di rete e creare nuovi, se necessario. Fare clic sulla scheda Gestione identità e accessi > Criteri. Fare clic su Intervalli di rete. Rivedere gli intervalli di rete e fare clic su Aggiungi intervallo di rete per aggiungere nuovi intervalli, se necessario. b c Fare clic sulla scheda Catalogo > App virtuali, quindi fare clic su Impostazioni app virtuali. Fare clic su Impostazioni di rete. VMware, Inc. 52

53 d Selezionare l'intervallo di rete da configurare. La sezione Visualizza federazione CPA mostra l'url di avvio globale delle federazioni di pod aggiunte alla raccolta. La sezione Pod di View elenca tutti i pod di View aggiunti alla raccolta in cui è selezionata l'opzione Sincronizza permessi locali. e Nella sezione Visualizza federazione CPA, per l'url di avvio globale, specificare il nome di dominio completo del server a cui indirizzare le richieste di avvio per permessi globali provenienti da questo intervallo di rete. Questo in genere corrisponde all'url del bilanciamento del carico globale della distribuzione della federazione di pod di View. Ad esempio: lb.esempio.com L'URL di avvio globale è utilizzato per avviare le risorse con permessi globali. f Nella sezione Pod di View, per ogni pod, specificare il nome di dominio completo del server a cui indirizzare le richieste di avvio per permessi locali provenienti da questo intervallo di rete. È possibile specificare un'istanza del server di connessione di Horizon, un bilanciamento del carico o un server di sicurezza. Ad esempio, se si sta modificando un intervallo che fornisce accesso interno, si può specificare il bilanciamento del carico interno per il pod. Ad esempio: lb.esempio.com L'URL di accesso client è utilizzato per avviare risorse con permessi locali dal pod. Nota Per informazioni sulle opzioni di Esegui wrapping dell'artefatto in JWT e Destinatari in JWT, vedere Avvio delle risorse di Horizon tramite gateway di convalida. g Fare clic su Fine. Vedere anche Attivazione di URL di accesso client multipli per gli intervalli di rete personalizzati. VMware, Inc. 53

54 Configurazione dell'autenticazione SAML Per fornire agli utenti la possibilità di eseguire un'applicazione o un desktop Horizon dal servizio VMware Identity Manager e utilizzare Single Sign-On da VMware Identity Manager per l'applicazione o il desktop, configurare l'autenticazione SAML in Horizon. L'autenticazione SAML deve essere configurata in almeno un'istanza del Server di connessione Horizon in un pod. È consigliata la configurazione dell'autenticazione SAML su tutte le istanze in un pod. Se l'autenticazione SAML è disabilitata su alcune delle istanze del Server di connessione Horizon in un pod, VMware Identity Manager utilizza le altre istanze e la sincronizzazione continua a funzionare. Tuttavia, è necessario assicurarsi che qualsiasi istanza con autenticazione SAML disabilitata non sia utilizzata per l'avvio. Non utilizzare l'istanza nell'url di accesso client o, se l'url di accesso client punta a un bilanciamento del carico, come uno dei nodi nel bilanciamento del carico. In questo caso gli utenti non potranno eseguire le applicazioni o i desktop Horizon. Se l'autenticazione SAML è disabilitata su tutte le istanze Server di connessione Horizon nel pod, la sincronizzazione non riesce. Nota Non è necessario configurare l'autenticazione SAML se l'organizzazione utilizza l'autenticazione con smart card per visualizzare le risorse utilizzando un fornitore di identità di terze parti. Procedura 1 Accedere ad Horizon Administrator in qualità di utente con ruolo di Amministratore assegnato. 2 Configurare l'autenticazione SAML per le istanze del Server di connessione Horizon. È necessario utilizzare il nome di dominio completo del servizio di VMware Identity Manager nella pagina di configurazione di Authenticator. Importante L'ora dei server Horizon e VMware Identity Manager deve essere sincronizzata. Se l'ora dei server non è sincronizzata, al tentativo di eseguire un desktop o un'applicazione Horizon viene visualizzato un messaggio di SAML non valido. Attivazione di URL di accesso client multipli per gli intervalli di rete personalizzati Se si utilizzano URL di accesso client multipli per intervalli di rete diversi, è necessario modificare l'intervallo di rete predefinito affinché l'utente finale possa connettersi all'url di accesso client e al numero di porta corretti. Se queste impostazioni non vengono aggiornate, Horizon Client non verrà eseguito. Procedura 1 Accedere alla console di amministrazione di VMware Identity Manager. VMware, Inc. 54

55 2 Rivedere gli intervalli di rete e creare nuovi, se necessario. a b c Fare clic sulla scheda Gestione identità e accessi > Criteri. Fare clic su Intervalli di rete. Rivedere gli intervalli di rete e fare clic su Aggiungi intervallo di rete per aggiungere nuovi intervalli, se necessario. 3 Fare clic sulla scheda Catalogo > App virtuali, quindi fare clic su Impostazioni app virtuali. 4 Selezionare Impostazioni di rete. 5 Selezionare l'intervallo di rete da configurare. La sezione Visualizza federazione CPA viene visualizzata solo se sono state integrate federazioni di pod. In questa sezione vengono elencati gli URL di avvio globale specificati per le federazioni di pod. La sezione Pod di View elenca tutti i pod di View in cui è selezionata l'opzione Sincronizza permessi locali. 6 Nella sezione Visualizza federazione CPA, per l'url di avvio globale, specificare il nome di dominio completo del server a cui indirizzare le richieste di avvio per permessi globali provenienti da questo intervallo di rete. Questo in genere corrisponde all'url del bilanciamento del carico globale della distribuzione della federazione di pod di View. Ad esempio: lb.esempio.com L'URL di avvio globale è utilizzato per avviare le risorse con permessi globali. 7 Nella sezione Pod di View, per ogni pod, specificare il nome di dominio completo del server a cui indirizzare le richieste di avvio per permessi locali provenienti da questo intervallo di rete. È possibile specificare un'istanza del server di connessione di Horizon, un bilanciamento del carico o un server di sicurezza. Ad esempio, se si sta modificando un intervallo che fornisce accesso interno, si può specificare il bilanciamento del carico interno per il pod. Ad esempio: lb.esempio.com L'URL di accesso client è utilizzato per avviare risorse con permessi locali dal pod. Nota Per informazioni sulle opzioni di Esegui wrapping dell'artefatto in JWT e Destinatari in JWT, vedere Avvio delle risorse di Horizon tramite gateway di convalida. 8 Verificare che ogni intervallo di rete dell'ambiente contenga un URL di accesso client. Importante Se il dato non è specificato per un intervallo di rete, gli utenti finali che avviano risorse tramite quell'intervallo di rete potrebbero riscontrare problemi. VMware, Inc. 55

56 Avvio delle risorse di Horizon tramite gateway di convalida Quando il servizio VMware Identity Manager è integrato con un gateway di convalida, come ad esempio F5, l'artefatto di wrapping nell'impostazione di JWT deve essere attivato nel servizio VMware Identity Manager per autenticare le risorse di Horizon assegnate agli utenti. Quando l'artefatto di wrapping in JWT è attivato per l'autenticazione di una richiesta di avvio delle risorse di Horizon, il servizio VMware Identity Manager genera un token JWT con firma digitale che include l'artefatto SAML per consentire la verifica. Questo token JWT viene inviato al gateway durante la convalida nel DMZ. Il gateway convalida il token JWT da VMware Identity Manager ed estrae il valore dell'artefatto SAML dal token. Il gateway inoltra la richiesta con il valore reale dell'artefatto SAML al server di Horizon Connector. Il server del connettore verifica la richiesta e l'utente accede alla risorsa di Horizon. Se l'artefatto di wrapping in JWT non è attivato, il gateway di convalida non trasferisce l'artefatto al server di connessione di Horizon per la convalida e l'autenticazione ha esito negativo. Prerequisiti Il gateway di convalida è configurato con i seguenti dettagli di VMware Identity Manger. Certificato SSL ID e segreto del client OAuth2 URL dell'endpoint di convalida di VMware Identity Manager Procedura 1 Accedere alla console di VMware Identity Manager. 2 Selezionare la scheda Catalogo > App virtuali, quindi fare clic su Impostazioni app virtuali. 3 Fare clic su Impostazioni di rete e selezionare l'intervallo di rete di indirizzi IP che può utilizzare la risorsa di Horizon. La sezione Pod di View elenca tutti i pod di View aggiunti alla raccolta in cui è selezionata l'opzione Sincronizza permessi locali. Vedere Configurarazione di pod Horizon e federazioni di pod in VMware Identity Manager per la procedura di configurazione degli URL di accesso al client pod e federazioni di pod. 4 Nella sezione Pod di View, selezionare la casella di controllo Esegui wrapping dell'artefatto in JWT nell'ambiente Horizon configurato. 5 Se più di un gateway di convalida è in grado di elaborare richieste, creare identificatori univoci e aggiungere i nomi nella casella di testo Destinatari in JWT. Questo nome dei destinatari è configurato nella configurazione del gateway di convalida e viene utilizzato per verificare che il gateway coincida con i destinatari desiderati. Se i destinatari in JWT non corrispondono al nome del gruppo di destinatari configurato qui, la richiesta viene rifiutata. VMware, Inc. 56

57 6 Fare clic su Fine. Operazioni successive I nomi univoci dei destinatari aggiunti devono inoltre essere aggiunti nella configurazione del gateway di convalida. Visualizzazione delle informazioni di connessione per i pool di applicazioni e desktop di Horizon È possibile visualizzare le informazioni relative alla connessione tra VMware Identity Manager e un pool di applicazioni o desktop di Horizon. Procedura 1 Accedere alla console di amministrazione di VMware Identity Manager. 2 Fare clic sulla scheda Catalogo > App virtuali. 3 Per visualizzare i pool di desktop, fare clic su Qualsiasi tipo di applicazione > Desktop Horizon View. Per visualizzare i pool di applicazioni, fare clic su Qualsiasi tipo di applicazione > Applicazioni Horizon View. 4 Fare clic sul pool di applicazioni o desktop. 5 Fare clic su Dettagli a sinistra. 6 Visualizzare le informazioni di connessione, che consistono negli attributi recuperati dall'istanza del server di connessione di Horizon. Per dettagli su questi attributi, vedere la documentazione di Horizon. VMware, Inc. 57

58 Visualizzazione dei permessi di utenti e gruppi per i pool di desktop e applicazioni di Horizon È possibile visualizzare per quali pool di desktop e applicazioni di Horizon sono autorizzati gli utenti e i gruppi. Prerequisiti Per visualizzare gli aggiornamenti più recenti, sincronizzare manualmente le risorse e i permessi dalle istanze del Server di connessione Horizon in VMware Identity Manager facendo clic su Sincronizza nella pagina Configurazione app virtuali. Procedura 1 Accedere alla console di amministrazione di VMware Identity Manager. 2 Visualizzare i permessi di utenti e gruppi nei pool di desktop e applicazioni di Horizon. Opzione Visualizzare utenti e gruppi autorizzati per un pool di desktop o applicazioni specifico di Horizon. Visualizzare i permessi dei pool di desktop e applicazioni di Horizon per un utente o un gruppo specifico. Azione a Fare clic sulla scheda Catalogo > App virtuali. b Fare clic su Qualsiasi tipo di applicazione > Desktop Horizon View o Applicazioni Horizon View. c Fare clic sull'icona relativa al pool di View per cui si desidera visualizzare i permessi. Per impostazione predefinita, la scheda Permessi è selezionata. I permessi dei gruppi e quelli degli utenti sono riportati in tabelle separate. a Fare clic sulla scheda Utenti e gruppi. b Selezionare la scheda Utenti o la scheda Gruppi. c Fare clic sul nome di un singolo utente o gruppo. d Fare clic sulla scheda App. Verranno visualizzati i pool di desktop e applicazioni di Horizon per cui l'utente o il gruppo è autorizzato. Impostazione di criteri di accesso per applicazioni e desktop specifici Il set di criteri di accesso predefinito si applica a tutte le applicazioni e i desktop nel catalogo. È inoltre possibile impostare criteri di accesso per singole applicazioni o pool di desktop, che sostituiscono il criterio di accesso predefinito. È possibile applicare un criterio di accesso a una o più applicazioni e desktop dalla pagina Criteri o seleziona il criterio di accesso per un'applicazione specifica dalla pagina di configurazione dell'applicazione. Per ulteriori informazioni sui criteri di accesso, vedere la guida all'amministrazione di VMware Identity Manager. VMware, Inc. 58

59 Procedura 1 Per applicare un criterio di accesso alle applicazioni e ai desktop dalla pagina Criteri, procedere come segue. a b c d e Passare alla pagina Gestione identità e accessi > Gestisci > Criteri. Fare clic su un criterio per modificarlo oppure fare clic su Aggiungi criterio per creare un nuovo criterio. Nella pagina del criterio, modificare o definire il criterio. Nella sezione Applicabile a, selezionare le applicazioni a cui si desidera applicare il criterio. Fare clic su Salva. 2 Per selezionare un criterio di accesso per un'applicazione specifica dalla pagina di configurazione dell'applicazione, selezionare questi passaggi. a b c d Fare clic sulla scheda Catalogo > App virtuali. Fare clic sull'applicazione. Nel riquadro a sinistra fare clic su Criteri di accesso. Selezionare il criterio di accesso per l'applicazione e fare clic su Salva. Permettere agli utenti di reimpostare i propri desktop di Horizon in VMware Identity Manager A seconda di come si configura Horizon e VMware Identity Manager, gli utenti possono reimpostare un desktop di Horizon che non risponde da Workspace ONE. Quando si configura Horizon per permettere agli utenti di reimpostare i propri desktop, la configurazione si applica sia a Horizon che a VMware Identity Manager. L'opzione di reimpostazione desktop da Workspace ONE è disponibile in VMware Identity Manager 3.2 e connettore e versioni successive. Verificare che tutti i connettori siano versione o versione successiva, altrimenti il comando di reimpostazione non verrà visualizzato. L'opzione è supportata per: Horizon 7.x o pod successivi Desktop Horizon dedicati e mobili Prerequisiti Configurare Horizon per permettere agli utenti di reimpostare i propri desktop. Consultare la documentazione di View, Horizon 6 o Horizon 7, nello specifico la guida di amministrazione di View. Verificare che sia in uso VMware Identity Manager 3.2 o versione successiva e il connettore o versione successiva. Tutti i connettori devono essere versione o versione successiva. VMware, Inc. 59

60 Per assicurarsi che desktop di Horizon specifici siano reimpostabili dagli utenti, gli URL di accesso client dei rispettivi pod devono avere certificati attendibili. Se gli URL hanno certificati firmati da root o autofirmati, configurare VMware Identity Manager per considerare questi certificati attendibili. Vedere Installazione e configurazione di VMware Identity Manager per informazioni sull'applicazione di un certificato root. Procedura u (Facoltativo) Verificare che VMware Identity Manager elenchi un dato desktop come reimpostabile dagli utenti. a b c d e Nella console di amministrazione, selezionare la scheda Catalogo > App Web. Dal menu a discesa Qualsiasi tipo di applicazione, selezionare Desktop Horizon View. Fare clic sul nome del desktop. Fare clic su Dettagli. Confermare che l'impostazione Reimpostazione consentita sia impostata su true. Se l'impostazione è false, Horizon non è configurato per permettere agli utenti di reimpostare il desktop. Operazioni successive Se un desktop Horizon non risponde più ai comandi, l'amministratore o gli utenti possono reimpostare il desktop scegliendo il comando Reimposta a esso relativo. Visualizzazione delle opzioni di avvio per applicazioni e desktop di Horizon Le applicazioni e i desktop di Horizon possono essere avviati da Workspace ONE in Horizon Client o in un browser Web, in base alla modalità di configurazione del desktop o dell'applicazione in Horizon. Se un'applicazione o un desktop di Horizon è configurato solo per Horizon Client, gli utenti devono installare il Horizon Client nei loro sistemi. La funzionalità HTML Access di Horizon offre agli amministratori di Horizon la possibilità di configurare un desktop o un'applicazione per i browser. Questa configurazione viene eseguita in Horizon e non è necessaria alcuna configurazione in VMware Identity Manager. In Horizon 7, l'impostazione Consenti HTML Access per desktop e applicazioni in questa farm determina se gli utenti di VMware Identity Manager possono avviare desktop o applicazioni da tale farm in un browser. VMware Identity Manager supporta HTML Access per Horizon e versioni successive. VMware, Inc. 60

61 VMware Identity Manager supporta anche tutti i protocolli di visualizzazione supportati da Horizon per Horizon Client. Per Horizon 7, VMware Identity Manager supporta il protocollo Blast oltre a PCoIP e RDP per Horizon Client 4.0. Quando gli utenti di VMware Identity Manager avviano un desktop o un'applicazione in Horizon Client, viene utilizzato il protocollo impostato per la farm in Horizon. Nota In Horizon, oltre a impostare il protocollo di visualizzazione predefinito, gli amministratori possono specificare se consentire agli utenti di scegliere un protocollo di visualizzazione. Se si desidera supportare le versioni di Horizon Client che non supportano il protocollo predefinito, è consigliabile consentire agli utenti di scegliere il protocollo di visualizzazione. In caso contrario, l'applicazione o il desktop non potrà essere avviato. Per informazioni sulla configurazione delle opzioni di avvio e dei protocolli di visualizzazione, vedere la documentazione di Horizon 7, Horizon 6 o View. Nella console di amministrazione di VMware Identity Manager, è possibile verificare le opzioni di avvio supportate da un desktop o un'applicazione di Horizon. Procedura 1 Accedere alla console di amministrazione di VMware Identity Manager. 2 Fare clic sulla scheda Catalogo > App virtuali. 3 Per visualizzare i pool di desktop, fare clic su Qualsiasi tipo di applicazione > Desktop Horizon View. Per visualizzare le applicazioni, fare clic su Qualsiasi tipo di applicazione > Applicazioni Horizon View. 4 Fare clic sull'applicazione o sul desktop. 5 Fare clic su Dettagli a sinistra. Il campo Tipi di client supportati include le opzioni di avvio. VMware, Inc. 61

62 Il valore del campo può essere NATIVO o BROWSER oppure entrambi. Se è presente solo il valore NATIVO, l'applicazione o il desktop può essere avviato solo in Horizon Client. Gli utenti devono installare Horizon Client nei loro sistemi prima di avviare l'applicazione da Workspace ONE. Se è presente il valore BROWSER, gli utenti possono avviare l'applicazione o il desktop in un browser. Se sono specificati entrambi i valori, gli utenti possono selezionare la modalità di avvio dell'applicazione. Nota Per le integrazioni di Horizon 7, l'opzione Consenti HTML Access per desktop e applicazioni in questa farm deve essere abilitata in Horizon 7 affinché l'opzione BROWSER venga visualizzata nell'elenco Tipi di client supportati. Avvio di un desktop o di un'applicazione di Horizon Gli utenti possono avviare applicazioni e desktop di Horizon per cui sono autorizzati dal portale o dall'app di Workspace ONE. In base alla loro configurazione in Horizon, è possibile avviare un'applicazione o un desktop in Horizon Client o in un browser. Per le applicazioni e i desktop che possono essere avviati solo in Horizon Client, è necessario installare Horizon Client nei sistemi corrispondenti. Per le applicazioni e i desktop che possono essere avviati in Horizon Client oppure in un browser, gli utenti possono selezionare il metodo di avvio. Gli utenti possono inoltre impostare la loro preferenza di avvio predefinita nella pagina Preferenze nel portale Workspace ONE. Questa preferenza dell'utente ha la precedenza su qualsiasi preferenza di avvio predefinita impostata a livello di amministratore. Nota Gli utenti non possono impostare una preferenza di avvio predefinita nell'app Workspace ONE. Prerequisiti In base a come è configurata l'applicazione o il desktop in Horizon, è possibile che gli utenti debbano installare Horizon Client. Per conoscere le versioni di Horizon Client supportate, vedere la tabella di interoperabilità dei prodotti VMware all'indirizzo Procedura 1 Accedere al portale Workspace ONE. 2 Fare clic su Apri sul desktop o nell'applicazione che si desidera utilizzare, selezionare il metodo di avvio e fare clic su Apri. Nota In base a come è configurato il desktop o l'applicazione e alle proprie preferenze, potrebbe essere necessario installare Horizon Client nel sistema. VMware, Inc. 62

63 Se si sceglie l'opzione Sfoglia, l'applicazione o il desktop viene avviato in un browser. Se si utilizza Horizon o versione successiva, la finestra del browser visualizza anche una barra HTML Access. Nota Se i metadati SAML nelle istanze di Horizon Connection Server sono scaduti, l'applicazione o il desktop non verrà avviato. Per risolvere il problema, è necessario sincronizzare nuovamente le risorse di Horizon in VMware Identity Manager. Nella pagina di configurazione App virtuale, fare clic su Sincronizza per la raccolta appropriata. VMware, Inc. 63

64 Fornire accesso a desktop e applicazioni di VMware Horizon Cloud Service 5 VMware Horizon Cloud Service con un'infrastruttura ospitata o locale può essere integrato con il servizio VMware Identity Manager. Integrando Horizon Cloud con il servizio VMware Identity Manager permette di offrire agli utenti la possibilità di accedere alle applicazioni e ai desktop di Horizon Cloud per cui sono autorizzati dal portale o dall'app Workspace ONE. In questo modo, gli utenti possono accedere a tutte le applicazioni dei loro dispositivi da un'unica posizione. I pool di desktop e applicazioni, denominati anche assegnazioni, vengono configurati nel tenant di Horizon Cloud. Anche i permessi di utenti e gruppi vengono impostati nel tenant di Horizon Cloud e non nel servizio VMware Identity Manager. È necessario sincronizzare tali utenti e gruppi nel servizio VMware Identity Manager da Active Directory prima di procedere all'integrazione con il tenant di Horizon Cloud. Per integrare Horizon Cloud in VMware Identity Manager, creare una o più raccolte di app virtuali nella console di amministrazione di VMware Identity Manager. Le raccolte contengono le informazioni di configurazione per i tenant di Horizon Cloud, nonché le impostazioni di sincronizzazione. È possibile impostare una pianificazione di sincronizzazione per ogni raccolta al fine di sincronizzare regolarmente risorse e permessi dei tenant di Horizon Cloud con il servizio VMware Identity Manager. Dopo aver effettuato l'integrazione del tenant di Horizon Cloud con VMware Identity Manager, i desktop e le applicazioni di Horizon Cloud saranno visibili nella console di amministrazione di VMware Identity Manager. Sarà inoltre possibile visualizzare permessi di utenti e gruppi. Gli utenti finali possono avviare app e desktop autorizzati dal portale o dall'app Workspace ONE. È possibile accedere a questi desktop e applicazioni utilizzando un browser o da VMware Horizon Client. Sono supportate le versioni 3.4 e successive di Horizon Client. Questo capitolo include i seguenti argomenti: Integrazione di desktop e applicazioni di Horizon Cloud Visualizzazione dei dettagli sui pool di desktop e applicazioni di Horizon Cloud Visualizzazione dei permessi di utenti e gruppi per i desktop e le applicazioni di Horizon Cloud Impostazione di criteri di accesso per applicazioni e desktop specifici Permettere agli utenti di reimpostare desktop Horizon Cloud VMware, Inc. 64

65 Utilizzo di un desktop o un'applicazione di Horizon Cloud Integrazione di desktop e applicazioni di Horizon Cloud Per integrare con il servizio VMware Identity Manager desktop e applicazioni di Horizon Cloud, creare uno o più raccolte di app virtuali nella console di amministrazione di VMware Identity Manager, configurare i dettagli del tenant di Horizon Cloud nella raccolta e sincronizzare le risorse e permessi dal tenant di Horizon Cloud. È inoltre necessario configurare l'autenticazione SAML per abilitare la relazione di attendibilità tra il tenant di Horizon Cloud e il servizio VMware Identity Manager. Integrazione di più istanze di Horizon Cloud È possibile integrare più tenant di Horizon Cloud con una singola istanza di VMware Identity Manager in modo che sia possibile sincronizzare in un'unica posizione risorse e permessi di Horizon Cloud da tutti i tenant, gestire centralmente l'autenticazione e i criteri di accesso, nonché fare in modo che gli utenti finali con permessi in diversi tenant possano essere serviti da un singolo portale o app. VMware Identity Manager supporta l'integrazione con i seguenti tipi di ambienti Horizon Cloud: Infrastruttura ospitata di Horizon Cloud (Soft-Layer e Azure) Infrastruttura locale di Horizon Cloud Durante l'integrazione di più tenant di Horizon Cloud, tenere presenti le considerazioni seguenti. Un singolo connettore, ovvero il componente di VMware Identity Manager che sincronizza le risorse e i permessi di Horizon Cloud nel servizio VMware Identity Manager può sincronizzare le risorse e i permessi di più tenant di Horizon Cloud. Ogni tenant di Horizon Cloud può fornire permessi per gli utenti in differenti istanze e domini di Active Directory. Assicurarsi di aggiungere tutte le directory e i domini pertinenti a VMware Identity Manager in modo che tutti gli utenti con permessi in uno qualsiasi dei tenant di Horizon Cloud vengano sincronizzati con VMware Identity Manager. Se le appliance del tenant dispongono di certificati autofirmati, è necessario caricare il certificato autofirmato come certificato root attendibile in VMware Identity Manager. Quando si integrano più tenant di Horizon Cloud, è necessario assicurarsi che tutti i certificati abbiano lo stesso certificato root, dato che è possibile caricare un solo certificato root in VMware Identity Manager. VMware Identity Manager non può accedere e sincronizzare i permessi da un tenant in cui è abilitata l'autenticazione a due fattori. In VMware Identity Manager, è possibile aggiungere tutti i tenant di Horizon Cloud in una configurazione, denominata Raccolta app virtuali, oppure creare più configurazioni. Quando tutti i tenant di Horizon Cloud vengono aggiunti a una configurazione, se VMware Identity Manager non può accedere a uno dei tenant, crea un avviso e continua a sincronizzare risorse e permessi degli altri tenant. Assicurarsi di configurare l'autenticazione SAML in ogni tenant di Horizon Cloud che si integra con VMware Identity Manager. VMware, Inc. 65

66 Prerequisiti per l'integrazione Prima di integrare Horizon Cloud con VMware Identity Manager, assicurarsi che siano soddisfatti i prerequisiti. Verificare di disporre della seguente configurazione: Una distribuzione locale di VMware Identity Manager L'integrazione di tenant di Horizon Cloud multipli con una singola istanza di VMware Identity Manager è supportata in VMware Identity Manager 3.x e versioni successive. Se si utilizza un connettore esterno aggiuntivo, verificare che la versione sia o successiva. L'integrazione con tenant di Horizon Cloud multipli è supportata nel connettore e versioni successive. Uno o più tenant di Horizon Cloud accessibili tramite il servizio di VMware Identity Manager. Per configurarlo, consultare il rappresentante di Horizon Cloud. Importante Per il corretto funzionamento della distribuzione di VMware Identity Manager e dei tenant di Horizon Cloud, è necessaria la connettività VPN. Verificare che ogni tenant di Horizon Cloud soddisfi i requisiti seguenti. Il nome del tenant deve essere un nome di dominio completo (FQDN), non un semplice nome host. Ad esempio, dovrà essere server-ta1.example.com anziché server-ta1. Le appliance del tenant dovrebbero avere certificati firmati validi emessi da un CA. Il certificato deve corrispondere al nome di dominio completo FQDN dell'appliance del tenant. Se le appliance del tenant dispongono di certificati autofirmati, è necessario caricare il certificato autofirmato come certificato root attendibile in VMware Identity Manager. Quando si integrano più tenant di Horizon Cloud, è necessario assicurarsi che tutti i certificati abbiano lo stesso certificato root, dato che è possibile caricare un solo certificato root in VMware Identity Manager. Verificare che l'ora dei tenant di Horizon Cloud e l'ora del servizio di VMware Identity Manager siano sincronizzate. In caso contrario, è possibile che si verifichi un errore di SAML non valido quando gli utenti avviano desktop e applicazioni di Horizon Cloud. Creare e configurare pool di desktop e applicazioni, denominati anche assegnazioni, nella console di amministrazione del tenant di Horizon Cloud. Nel tenant di Horizon Cloud, è possibile creare i seguenti tipi di pool: Pool di desktop dinamici, detti anche assegnazione di desktop mobili Pool di desktop statici, detti anche assegnazione di desktop dedicati Pool basati su sessione con desktop, detti anche assegnazione di desktop di sessione Pool basati su sessione con applicazioni, detti anche assegnazione di applicazione remota Per ulteriori informazioni sui tipi di pool, consultare la documentazione di Horizon Cloud. VMware, Inc. 66

67 Impostare i permessi di utenti e gruppi per i desktop e le applicazioni di Horizon Cloud nella console di amministrazione del tenant di Horizon Cloud. Nota Solo i permessi per gli utenti appartenenti a un gruppo registrato vengono sincronizzati. Gli utenti che non appartengono ad alcun gruppo non vedranno i propri permessi in VMware Identity Manager. Nella console di VMware Identity Manager, verificare che utenti e gruppi con permessi Horizon Cloud vengano sincronizzati da Active Directory a VMware Identity Manager utilizzando la sincronizzazione delle directory. Seguire queste indicazioni: Se si stanno integrando tenant di Horizon Cloud multipli, assicurarsi di aggiungere tutte le directory rilevanti e i domini a VMware Identity Manager in modo che gli utenti con permessi in uno qualsiasi dei tenant di Horizon Cloud vengano sincronizzati con VMware Identity Manager. È necessario impostare samaccountname come attributo di ricerca directory per la directory in VMware Identity Manager. Verificare che distinguishedname sia impostato come un attributo obbligatorio per la directory di VMware Identity Manager e mappato all'attributo distinguishedname di Active Directory. Gli attributi devono essere contrassegnati come obbligatori prima che la directory venga creata. Dopo la creazione della directory, gli attributi non possono essere infatti modificati da facoltativi a obbligatori. 1 Nella console di VMware Identity Manager, passare alla pagina Gestione identità e accessi > Configurazione > Attributi utente. 2 In Attributi predefiniti, selezionare la casella di controllo Obbligatorio per distinguishedname. 3 Fare clic su Salva. 4 Durante la creazione della directory, mappare l'attributo distinguishedname all'attributo di Active Directory distinguishedname. Configurazione di tenant Horizon Cloud in VMware Identity Manager Per integrare i tenant Horizon Cloud con il servizio VMware Identity Manager, creare una raccolta di app virtuali nella console di amministrazione di VMware Identity Manager, che contiene informazioni sul tenant Horizon Cloud, nonché le impostazioni di sincronizzazione e i permessi e le risorse di sincronizzazione dal tenant Horizon Cloud al servizio VMware Identity Manager. Se si dispone di più tenant Horizon Cloud, è possibile creare raccolte di app virtuali separate per ciascun tenant o configurare tutti i tenant in un'unica raccolta, in base alle proprie esigenze. Ogni raccolta viene sincronizzata separatamente. VMware, Inc. 67

68 Prerequisiti Assicurarsi che siano soddisfatti i prerequisiti descritti in Prerequisiti per l'integrazione Vedere anche Integrazione di più istanze di Horizon Cloud. In VMware Identity Manager 3.2, è necessario utilizzare un ruolo amministratore che possa eseguire l'azione Gestisci applicazioni Desktop nel servizio del catalogo. Procedura 1 Accedere alla console di amministrazione di VMware Identity Manager. 2 Selezionare la scheda Catalogo > App virtuali, quindi fare clic su Configurazione app virtuali. 3 Fare clic su Aggiungi app virtuali e scegliere Horizon Cloud. 4 Immettere un nome univoco per la raccolta. 5 Dal menu a discesa Sincronizza connettori, selezionare il connettore che si desidera utilizzare per sincronizzare le risorse in questa raccolta. Se sono stati configurati più connettori per l'alta disponibilità, fare clic su Aggiungi connettore e selezionare i connettori. L'ordine in cui sono elencati i connettori determina l'ordine di failover. 6 Nella sezione Tenant, immettere le informazioni sul tenant Horizon Cloud. Importante Non utilizzare caratteri non ASCII quando si specificano le informazioni sul dominio. Opzione Host tenant Descrizione Nome completo (FQDN) dell'host del tenant. Ad esempio tenant1.example.com Porta tenant Numero di porta dell'host del tenant. Ad esempio 443 Utente amministratore Password amministratore Dominio amministratore Domini da sincronizzare Nome utente dell'account amministratore del tenant. Ad esempio tenantadmin Password dell'account amministratore del tenant. Nome NETBIOS dei dominio di Active Directory nel quale risiede l'amministratore del tenant. Nomi di dominio NETBIOS di Active Directory per la sincronizzazione di risorse e permessi di Horizon Cloud. Nota Per il valore di campo viene fatta distinzione tra lettere maiuscole e minuscole. Assicurarsi di utilizzare le lettere maiuscole e minuscole corrette quando si immettono i nomi. URL del servizio consumer dichiarazione URL in cui pubblicare la dichiarazione SAML. Questo URL corrisponde in genere al nome host o all'indirizzo IP mobile del tenant di Horizon Cloud o all'url di Unified Access Gateway. Ad esempio VMware, Inc. 68

69 Opzione Funzionalità True SSO abilitata in Horizon Cloud Mappatura ID personalizzata Descrizione Selezionare questa opzione se la funzionalità True SSO è attivata per il tenant Horizon Cloud. Quando la funzione True SSO è attivata nel tenant Horizon Cloud, gli utenti non devono utilizzare una password per accedere al proprio desktop di Windows. Tuttavia, se gli utenti sono collegati a VMware Identity Manager mediante un metodo di autenticazione senza password come SecurID, quando avviano i loro desktop di Windows gli verrà richiesta una password. È possibile selezionare questa opzione per impedire che venga visualizzata una finestra di dialogo per la password in questo scenario. È possibile personalizzare l'id utente utilizzato nella risposta SAML quando gli utenti avviano i desktop e le applicazioni di Horizon Cloud. Per impostazione predefinita, viene utilizzato il nome dell'entità utente. Si può scegliere di utilizzare altri formati dell'id nome, come nomeaccountsaml, oppure l'indirizzo e personalizzare il valore. Formato ID nome: selezionare il formato dell'id nome, come Indirizzo o Nome entità utente. Il valore predefinito è Non specificato (nome utente). Valore ID nome: fare clic su Selezionare da suggerimenti e scegliere un valore in un elenco di valori predefiniti oppure fare clic su Valore personalizzato e immettere il valore. Questo valore può essere qualsiasi espressione Expression Language (EL) valida, come ${user.username}@${user.domain}. Il valore predefinito è ${user.userprincipalname}. Nota Assicurarsi che gli attributi utilizzati nell'espressione siano attributi mappati nella directory di VMware. È possibile visualizzare gli attributi mappati nella scheda Impostazioni di sincronizzazione della directory. Nell'esempio precedente, username, userprincipalname e domain sono gli attributi di directory mappati. La possibilità di selezionare il formato dell'id nome è utile negli scenari seguenti: Quando si sincronizzano gli utenti di più sottodomini, è possibile che il nome dell'entità utente non funzioni. È possibile utilizzare un formato dell'id nome diverso, come nomeaccountsaml, oppure l'indirizzo per identificare gli utenti in modo univoco. Importante Assicurarsi che l'impostazione del formato dell'id nome sia la stessa in Horizon Cloud e in VMware Identity Manager. Ad esempio: VMware, Inc. 69

70 7 Per aggiungere un altro tenant Horizon Cloud alla raccolta, fare clic su Aggiungi tenant e immettere le informazioni di configurazione per il tenant. 8 Nell'elenco a discesa Client di avvio predefinito, selezionare il client predefinito in cui avviare le applicazioni o i desktop di Horizon Cloud. Opzione NESSUNO BROWSER NATIVO Descrizione A livello di amministratore non è impostata alcuna preferenza predefinita. Se questa opzione è impostata su Nessuno e non è impostata alcuna preferenza dell'utente finale, l'impostazione Protocollo predefinito di Horizon Cloud viene utilizzata per determinare la modalità di avvio del desktop o dell'applicazione. I desktop e le applicazioni di Horizon Cloud vengono avviati in un browser Web per impostazione predefinita. Se impostate, le preferenze dell'utente finale hanno la precedenza su questa impostazione. I desktop e le applicazioni di Horizon Cloud vengono avviati in Horizon Client per impostazione predefinita. Se impostate, le preferenze dell'utente finale hanno la precedenza su questa impostazione. Questa impostazione si applica a tutti gli utenti per tutte le risorse di Horizon Cloud in questa raccolta. Alle impostazioni di avvio predefinite del client viene applicato l'ordine di precedenza seguente, dalla più alta alla più bassa: a b c Impostazione della preferenza dell'utente finale nel portale Workspace ONE. Questa opzione non è disponibile nell'app Workspace ONE. Impostazione Client di avvio predefinito dell'amministratore per la raccolta, impostata nella console di VMware Identity Manager. Impostazioni del protocollo predefinito di Horizon Cloud VMware, Inc. 70

71 9 Dal menu a discesa Frequenza di sincronizzazione, selezionare con quale frequenza sincronizzare le risorse in questa raccolta. È possibile impostare una pianificazione di sincronizzazione regolare o scegliere di sincronizzare manualmente. Se si seleziona Manuale, è necessario fare clic su Sincronizza nella pagina Configurazione app virtuali dopo aver impostato la raccolta e ogni volta che si verifica un cambiamento nei permessi o nelle risorse di Horizon Cloud. 10 Nell'elenco a discesa Criterio di attivazione selezionare il modo in cui le risorse di Horizon Cloud vengono rese disponibili agli utenti in Workspace ONE. Con entrambe le opzioni Attivata dall'utente e Automatico, le risorse vengono aggiunte alla pagina Catalogo. Gli utenti possono utilizzare le risorse dalla pagina Catalogo o spostarle nella pagina Segnalibri. Tuttavia, per configurare un flusso di approvazione per le app, è necessario selezionare l'opzione Attivata dall'utente per quell'app. Il criterio di attivazione selezionato in questa pagina si applica a tutti i permessi utente per tutte le risorse nella raccolta. È possibile modificare il criterio di attivazione per utenti singoli o gruppi per risorsa dalla pagina Permessi dell'applicazione o del desktop. Se si desidera impostare un flusso di approvazione, è consigliabile impostare il criterio di attivazione per la raccolta su Attivata dall'utente. 11 Fare clic su Salva. La raccolta viene creata e visualizzata nella pagina App virtuali. 12 Per sincronizzare le risorse e i permessi nella raccolta, fare clic su Sincronizza nella pagina Configurazione app virtuali. Ogni volta che si verifica un cambiamento nelle risorse o nei permessi in Horizon Cloud, affinché le modifiche si propaghino in VMware Identity Manager è necessaria una sincronizzazione. Operazioni successive Configurare l'autenticazione SAML nel tenant di Horizon Cloud per abilitare la relazione di attendibilità tra il servizio VMware Identity Manager e il tenant di Horizon Cloud. Configurazione dell'autenticazione SAML nel tenant di Horizon Cloud Dopo aver creato una raccolta di app virtuali per il tenant di Horizon Cloud nella console di amministrazione di VMware Identity Manager, configurare l'autenticazione SAML nel tenant di Horizon Cloud. Se si stanno integrando più tenant di Horizon Cloud, assicurarsi di configurare l'autenticazione SAML in tutti i tenant. Nota Data e ora dell'appliance del tenant di Horizon Cloud e di VMware Identity Manager devono essere sincronizzate. Se l'orario non è sincronizzato, al tentativo di avviare desktop e applicazioni di Horizon Cloud viene visualizzato un messaggio di SAML non valido. VMware, Inc. 71

72 Procedura 1 Nella console di amministrazione di VMware Identity Manager, selezionare la scheda Catalogo > App Web, quindi fare clic su Impostazioni. 2 Nel riquadro a sinistra, in App di SaaS, fare clic su Metadati SAML. 3 Nella scheda Scarica metadati SAML, fare clic su Copia URL accanto al collegamento Metadati del provider di identità (IdP). L'URL, in un formato simile a idp.xml, viene copiato negli appunti. 4 Accedere al tenant di Horizon Cloud. 5 Passare a Impostazioni > Gestione identità. 6 Fare clic su Nuovo. 7 Configurare le impostazioni richieste. Opzione URL di Identity Manager Timeout token SSO Centro dati Indirizzo tenant Descrizione L'URL dei metadati del provider di identità di VMware Identity Manager copiato. L'URL in genere corrisponde al seguente formato: (Facoltativo) Periodo di tempo, in minuti, trascorso il quale si verifica il timeout del token SSO. Nome del centro dati di Horizon Cloud. Selezionare il nome dall'elenco a discesa. Indirizzo del tenant di Horizon Cloud. Specificare l'indirizzo IP mobile o il nome host dell'appliance del tenant di Horizon Cloud, oppure l'indirizzo IP o il nome host Unified Access Gateway. Ad esempio mytenant.example.com. VMware, Inc. 72

73 In Horizon Cloud in Azure vengono visualizzate le seguenti impostazioni. Opzione URL di VMware Identity Manager Timeout token SSO Posizione Nodo Centro dati Indirizzo tenant Descrizione L'URL dei metadati del provider di identità di VMware Identity Manager copiato. L'URL in genere corrisponde al seguente formato: (Facoltativo) Periodo di tempo, in minuti, trascorso il quale si verifica il timeout del token SSO. Selezionare una posizione per filtrare l'elenco a discesa Nodo con i nodi associati a quella posizione. Selezionare il nodo da integrare con VMware Identity Manager. Nome del centro dati di Horizon Cloud. Selezionare il nome dall'elenco a discesa. Indirizzo del tenant di Horizon Cloud. Specificare l'indirizzo IP mobile o il nome host dell'appliance del tenant di Horizon Cloud, oppure l'indirizzo IP o il nome host Unified Access Gateway. Ad esempio mytenant.example.com. 8 Fare clic su Salva. Se l'integrazione ha esito positivo, lo stato è verde. 9 Per bloccare l'accesso degli utenti, eccetto tramite VMware Identity Manager, fare clic su Configura e modificare le impostazioni. Opzione Forza gli utenti remoti verso Identity Manager Forza gli utenti interni verso Identity Manager Descrizione Selezionare Sì per bloccare l'accesso degli utenti remoti, eccetto tramite IDM. Opzione visualizzata solo se lo stato di Identity Manager è verde. Selezionare Sì per bloccare l'accesso degli utenti interni, eccetto tramite IDM. Opzione visualizzata solo se lo stato di Identity Manager è verde. L'integrazione è completa. Dopo la sincronizzazione delle risorse di Horizon Cloud in VMware Identity Manager, è possibile visualizzare i pool di applicazioni e desktop di Horizon Cloud nella console di amministrazione di VMware Identity Manager e gli utenti finali possono avviare le risorse per cui sono autorizzati dall'app o dal portale Workspace ONE. Visualizzazione dei dettagli sui pool di desktop e applicazioni di Horizon Cloud Nella console di amministrazione di VMware Identity Manager, è possibile visualizzare informazioni sui pool di desktop e applicazioni di Horizon Cloud sincronizzati. Procedura 1 Accedere alla console di amministrazione. 2 Selezionare la scheda Catalogo > App virtuali. VMware, Inc. 73

74 3 Fare clic su Qualsiasi tipo di applicazione e selezionare Desktop Horizon Cloud o Applicazioni Horizon Cloud. 4 Selezionare un pool di desktop o di applicazioni. 5 Fare clic su Dettagli. Verranno visualizzati gli attributi recuperati dal tenant di Horizon Cloud. Per informazioni su questi attributi, consultare la documentazione di Horizon Cloud. Visualizzazione dei permessi di utenti e gruppi per i desktop e le applicazioni di Horizon Cloud Nella console di amministrazione di VMware Identity Manager, è possibile visualizzare i permessi di Horizon Cloud per utenti e gruppi specifici. I permessi di utenti e gruppi per le risorse di Horizon Cloud vengono impostati nell'interfaccia amministrativa del tenant di Horizon Cloud e non possono essere modificati dalla console di amministrazione di VMware Identity Manager. Prerequisiti Per visualizzare gli aggiornamenti più recenti, sincronizzare manualmente le risorse e i permessi dal tenant di Horizon Cloud in VMware Identity Manager facendo clic su Sincronizza per la raccolta di Horizon Cloud nella pagina Configurazione app virtuali. Procedura 1 Accedere alla console di amministrazione di VMware Identity Manager. 2 Visualizzare i permessi di utenti e gruppi per i desktop e le applicazioni di Horizon Cloud. Opzione Visualizzare utenti e gruppi autorizzati per un pool di desktop o applicazioni specifico di Horizon Cloud. Visualizzare i permessi dei pool di desktop e applicazioni di Horizon Cloud per un utente o un gruppo specifico. Azione a Fare clic sulla scheda Catalogo > App virtuali. b Fare clic su Qualsiasi tipo di applicazione > Desktop Horizon Cloud o Applicazioni Horizon Cloud. c Selezionare il pool per cui si desidera visualizzare i permessi. Per impostazione predefinita, la scheda Permessi è selezionata. I permessi dei gruppi e quelli degli utenti sono riportati in tabelle separate. a Fare clic sulla scheda Utenti e gruppi. b Selezionare la scheda Utenti o la scheda Gruppi. c Fare clic sul nome di un singolo utente o gruppo. d Fare clic sulla scheda App. Verranno visualizzati i pool di desktop e applicazioni di Horizon Cloud per cui l'utente o il gruppo è autorizzato. VMware, Inc. 74

75 Impostazione di criteri di accesso per applicazioni e desktop specifici Il set di criteri di accesso predefinito si applica a tutte le applicazioni e i desktop nel catalogo. È inoltre possibile impostare criteri di accesso per singole applicazioni o pool di desktop, che sostituiscono il criterio di accesso predefinito. È possibile applicare un criterio di accesso a una o più applicazioni e desktop dalla pagina Criteri o seleziona il criterio di accesso per un'applicazione specifica dalla pagina di configurazione dell'applicazione. Per ulteriori informazioni sui criteri di accesso, vedere la guida all'amministrazione di VMware Identity Manager. Procedura 1 Per applicare un criterio di accesso alle applicazioni e ai desktop dalla pagina Criteri, procedere come segue. a b c d e Passare alla pagina Gestione identità e accessi > Gestisci > Criteri. Fare clic su un criterio per modificarlo oppure fare clic su Aggiungi criterio per creare un nuovo criterio. Nella pagina del criterio, modificare o definire il criterio. Nella sezione Applicabile a, selezionare le applicazioni a cui si desidera applicare il criterio. Fare clic su Salva. 2 Per selezionare un criterio di accesso per un'applicazione specifica dalla pagina di configurazione dell'applicazione, selezionare questi passaggi. a b c d Fare clic sulla scheda Catalogo > App virtuali. Fare clic sull'applicazione. Nel riquadro a sinistra fare clic su Criteri di accesso. Selezionare il criterio di accesso per l'applicazione e fare clic su Salva. Permettere agli utenti di reimpostare desktop Horizon Cloud A seconda di come l'impostazione è configurato in Horizon Cloud, gli utenti possono reimpostare desktop di Horizon Cloud dedicati da Workspace ONE. Gli utenti possono ad esempio reimpostare i propri desktop se questi non rispondono più ai comandi. L'opzione per consentire agli utenti di reimpostare i propri desktop è configurata in Horizon Cloud, non in VMware Identity Manager. L'impostazione è supportata in VMware Identity Manager 3.2 e nel connettore e versioni successive. Verificare che tutti i connettori siano della versione o versione successiva. VMware, Inc. 75

76 Solo i desktop di Horizon Cloud dedicati possono essere reimpostati da Workspace ONE. Se Horizon Cloud consente agli utenti di reimpostare i desktop, il comando di reimpostazione è disponibile in Workspace ONE per il desktop. Il comando viene visualizzato solo per i desktop per cui è consentita la reimpostazione. Utilizzo di un desktop o un'applicazione di Horizon Cloud Gli utenti finali possono avviare applicazioni e desktop di Horizon Cloud per cui sono autorizzati dal portale o dall'app di Workspace ONE. In base alla modalità di configurazione di un'applicazione o un desktop nel tenant di Horizon Cloud, è possibile avviare tale applicazione o desktop in Horizon Client oppure in un browser. Per le applicazioni o i desktop che sono configurati solo per Horizon Client, gli utenti devono installare Horizon Client nei propri sistemi. Per le applicazioni e i desktop che sono configurati sia per Horizon Client che per i browser, gli utenti possono selezionare il metodo di avvio. Gli utenti possono inoltre impostare la loro preferenza di avvio predefinita nella pagina Preferenze nel portale Workspace ONE. Questa preferenza dell'utente ha la precedenza su qualsiasi preferenza di avvio predefinita impostata a livello di amministratore. Nota Gli utenti non possono impostare una preferenza di avvio predefinita nell'app Workspace ONE. Prerequisiti In base a come è configurata l'applicazione o il desktop nel tenant di Horizon Cloud, è possibile che gli utenti debbano installare Horizon Client. Per conoscere le versioni di Horizon Client supportate, vedere la tabella di interoperabilità dei prodotti VMware all'indirizzo Procedura 1 Accedere al portale Workspace ONE. VMware, Inc. 76

77 2 Fare clic su Apri sul desktop o nell'applicazione che si desidera utilizzare, selezionare il metodo di avvio e fare clic su Apri. Nota In base a come è configurato il desktop o l'applicazione e alle proprie preferenze, potrebbe essere necessario installare Horizon Client nel sistema. VMware, Inc. 77

78 Consentire l'accesso a pacchetti 6 VMware ThinApp Con VMware Identity Manager è possibile distribuire e gestire in modo centralizzato pacchetti ThinApp, ovvero applicazioni Windows virtualizzate utilizzate su sistemi Windows. Gli utenti con permessi che dispongono dell'applicazione VMware Identity Manager Desktop installata sui propri sistemi Windows possono avviare e utilizzare i pacchetti ThinApp per i quali hanno i permessi su tali sistemi Windows. Nei processi di acquisizione e build di ThinApp, viene creata un'applicazione virtuale da un'applicazione Windows. Tale applicazione Windows virtualizzata può essere eseguita su un sistema Windows senza che il sistema abbia l'applicazione originale installata. Il pacchetto ThinApp è costituito da una serie di file di applicazioni virtuali generati eseguendo i processi di acquisizione e build di ThinApp su un'applicazione Windows. Il pacchetto include il file del contenitore dati primario e i file dei punti di accesso per accedere all'applicazione Windows. Non tutti i pacchetti ThinApp sono compatibili con VMware Identity Manager. Quando si acquisisce un'applicazione Windows, le impostazioni predefinite del processo di acquisizione e generazione di ThinApp determinano la creazione di un pacchetto che VMware Identity Manager non può distribuire e gestire. Viene creato un pacchetto ThinApp che VMware Identity Manager può distribuire e gestire impostando i parametri appropriati durante i processi di acquisizione e build.consultare la documentazione di VMware ThinApp per informazioni dettagliate sulle funzioni di ThinApp e sui parametri appropriati da utilizzare per creare un pacchetto compatibile con VMware Identity Manager. Dopo aver integrato VMware Identity Manager con il repository ThinApp, è possibile individuare nel proprio catalogo i pacchetti ThinApp nel repository che VMware Identity Manager può distribuire e gestire. Quando i pacchetti ThinApp sono presenti nel catalogo di VMware Identity Manager, è possibile fornire permessi a utenti e gruppi per tali pacchetti ThinApp e, facoltativamente, configurare informazioni di monitoraggio delle licenze per ogni pacchetto. Nota L'integrazione di ThinApp attualmente è supportata con il solo connettore basato su Linux. Non è supportata con il connettore basato su Windows. Questo capitolo include i seguenti argomenti: Integrazione di pacchetti VMware ThinApp Autorizzazione di utenti e gruppi per i pacchetti ThinApp Distribuzione e gestione di pacchetti ThinApp con VMware Identity Manager Aggiornamento di pacchetti ThinApp gestiti dopo la distribuzione in VMware Identity Manager VMware, Inc. 78

79 Eliminazione di pacchetti ThinApp da VMware Identity Manager Impostazione dei pacchetti ThinApp come compatibili con VMware Identity Manager Modifica della cartella di condivisione dei pacchetti ThinApp Impostazione di criteri di accesso per applicazioni e desktop specifici Integrazione di pacchetti VMware ThinApp Per utilizzare VMware Identity Manager per distribuire e gestire applicazioni compresse con VMware ThinApp, è necessario disporre di un repository ThinApp che contenga i pacchetti ThinApp, fare riferimento a tale repository e sincronizzare i pacchetti. Una volta terminato il processo di sincronizzazione, i pacchetti ThinApp saranno disponibili nel proprio catalogo di VMware Identity Manager e sarà possibile autorizzarli per gli utenti e i gruppi di VMware Identity Manager. ThinApp consente la virtualizzazione delle applicazioni mediante il disaccoppiamento dell'applicazione dal sistema operativo sottostante e le relative librerie e framework e l'integrazione di un'applicazione di un singolo file eseguibile detto pacchetto applicativo. Perché questi pacchetti siano gestiti da VMware Identity Manager, è necessario che siano abilitati con le opzioni appropriate. Ad esempio, nella procedura guidata di ThinApp Setup Capture, si seleziona la casella di spunta Gestisci con area di lavoro. Per maggiori informazioni sulle funzioni ThinApp e su come abilitare le proprie applicazioni per la gestione con VMware Identity Manager, fare riferimento alla documentazione di VMware ThinApp. Di solito, queste operazioni vengono effettuate per connettere VMware Identity Manager al repository e sincronizzare i pacchetti come parte della configurazione, sia globale che del proprio ambiente VMware Identity Manager. Il repository ThinApp deve essere una condivisione di rete accessibile a VMware Identity Manager mediante un percorso UNC (Uniform Naming Convention). VMware Identity Manager sincronizza regolarmente questa condivisione di rete per ottenere i metadati dei pacchetti ThinApp necessari a VMware Identity Manager per distribuire e gestire i pacchetti. Vedere Requisiti di VMware Identity Manager per i pacchetti ThinApp e il repository della condivisione di rete. La condivisione di rete può essere una condivisione CIFS (Common Internet File System) o una condivisione DFS (Distributed File System). La condivisione DFS può essere una singola condivisione file Server Message Block (SMB) o più condivisioni file SMB organizzate come un file system distribuito. Sono supportate condivisioni CIFS e DFS in esecuzione su sistemi di archiviazione NetApp. Sono supportate anche le condivisioni DFS su sistemi di archiviazione Isilon. Requisiti di VMware Identity Manager per i pacchetti ThinApp e il repository della condivisione di rete Quando si acquisiscono e archiviano applicazioni ThinApp per distribuirle da VMware Identity Manager, è necessario soddisfare requisiti specifici. VMware, Inc. 79

80 Requisiti dei pacchetti ThinApp Per creare o ricreare pacchetti ThinApp che possano essere gestiti da VMware Identity Manager, è necessario utilizzare una versione di ThinApp supportata da VMware Identity Manager. VMware Identity Manager supporta ThinApp e versioni successive. Per informazioni aggiornate sulle versioni supportate, vedere le tabelle di interoperabilità dei prodotti VMware all'indirizzo resources/compatibility/sim/interop_matrix.php. È necessario avere pacchetti ThinApp che possano essere gestiti da VMware Identity Manager. Nel processo di acquisizione e creazione di ThinApp, è possibile creare sia pacchetti che possono essere gestiti da VMware Identity Manager sia pacchetti che non possono essere gestiti. Ad esempio, quando si utilizza la procedura guidata ThinApp Setup Capture per acquisire un'applicazione, è possibile creare un pacchetto che può essere gestito da VMware Identity Manager selezionando la casella di controllo Gestisci con Workspace. Consultare la documentazione di VMware ThinApp per informazioni dettagliate sulle funzioni di ThinApp e sui parametri appropriati da utilizzare per creare un pacchetto compatibile con VMware Identity Manager. Per i pacchetti ThinApp esistenti, è possibile utilizzare il comando relink - h per attivare i pacchetti per VMware Identity Manager. Per informazioni su come convertire i pacchetti ThinApp esistenti in pacchetti che possano essere gestiti da VMware Identity Manager, vedere la Guida all'amministrazione di VMware Identity Manager. È necessario memorizzare i pacchetti ThinApp in una condivisione di rete che soddisfi la combinazione di requisiti data da tipo di condivisione di rete, accesso al repository e modalità di distribuzione dei pacchetti ThinApp desiderata in base alle esigenze dell'organizzazione. Requisiti del repository della condivisione di rete I pacchetti ThinApp devono risiedere in una condivisione di rete, nota anche come repository dei pacchetti ThinApp. La condivisione di rete deve essere accessibile utilizzando un percorso UNC (Uniform Naming Convention) da ogni sistema che esegue l'applicazione VMware Identity Manager Desktop, utilizzata per accedere ai pacchetti ThinApp. Ad esempio, una condivisione di rete denominata appshare su un host con nome server è accessibile utilizzando il percorso UNC \\server\appshare. Il nome di dominio completo della cartella della condivisione di rete deve essere risolvibile da VMware Identity Manager. La condivisione di rete può essere una condivisione CIFS (Common Internet File System) o una condivisione DFS (Distributed File System). La condivisione DFS può essere una singola condivisione file Server Message Block (SMB) o più condivisioni file SMB organizzate come un file system distribuito. Sono supportate condivisioni CIFS e DFS in esecuzione su sistemi di archiviazione NetApp. Sono supportate anche le condivisioni DFS su sistemi di archiviazione Isilon. La condivisione di rete deve rispettare i criteri appropriati per il tipo di accesso configurato in VMware Identity Manager da utilizzare per accedere al repository di pacchetti ThinApp: accesso basato su dominio o accesso basato su account. Il tipo di accesso determina le combinazioni consentite per i seguenti aspetti: Se si utilizza una condivisione di rete CIFS o una condivisione di rete DFS per il repository di pacchetti ThinApp. VMware, Inc. 80

81 Se occorre unire VMware Identity Manager e l'host della condivisione di rete allo stesso dominio di Active Directory. Se il sistema Windows dell'utente deve essere unito al dominio Active Directory per utilizzare i pacchetti ThinApp. La modalità d'installazione dei pacchetti ThinApp impostata nell'applicazione VMware Identity Manager Desktop installata, utilizzata per ottenere ed eseguire le applicazioni virtualizzate nel sistema Windows in cui l'applicazione è installata. La modalità d'installazione pacchetti utilizzata nel sistema Windows dell'utente viene impostata durante l'installazione dell'applicazione VMware Identity Manager Desktop nel sistema Windows in oggetto. La modalità d'installazione pacchetti determina la modalità di distribuzione di ThinApp utilizzata da quel sistema Windows, modalità download o modalità trasmissione in streaming. VMware, Inc. 81

82 Tipo di accesso Tipo di condivisione di rete Requisiti in VMware Identity Manager Requisiti nel sistema Windows dell'utente Accesso basato sul dominio Quando si utilizza l'accesso basato sul dominio, è possibile utilizzare una condivisione CIFS per il repository di pacchetti ThinApp. Non è possibile utilizzare una condivisione DFS per l'accesso basato su dominio. Se si dispone di una condivisione DFS, è necessario utilizzare l'accesso basato su account. È necessario unire VMware Identity Manager al dominio di Active Directory affinché possa unirsi alla condivisione di rete di Windows e accedere ai pacchetti. Per ulteriori informazioni su come configurare VMware Identity Manager per unirsi al dominio, vedere la documentazione sulla configurazione di Kerberos in Installazione e configurazione di VMware Identity Manager. Nota L'autenticazione Windows non è richiesta. La condivisione di rete deve supportare l'autenticazione e i permessi sui file basati sugli account computer. VMware Identity Manager accede alla condivisione di rete con l'account computer di VMware Identity Manager nel dominio. I permessi di cartelle e file della condivisione di rete devono essere configurati in modo tale che la loro combinazione consenta l'accesso in lettura per l'account computer di VMware Identity Manager nel dominio. Affinché l'utente possa utilizzare i pacchetti ThinApp per cui è autorizzato, è necessario che il suo sistema Windows venga unito al dominio Active Directory. Tutti i sistemi seguenti devono essere uniti allo stesso dominio: Il sistema Windows dell'utente VMware Identity Manager L'host dell'unità della condivisione di rete con i pacchetti ThinApp Quando si utilizza l'accesso basato su dominio, sono consentite le seguenti modalità d'installazione per i pacchetti ThinApp. COPY_TO_LOCAL. Con questa modalità d'installazione, i pacchetti vengono scaricati nel sistema Windows del client. La modalità d'installazione corrisponde all'uso della modalità di download di ThinApp per l'applicazione virtualizzata. L'account utilizzato per accedere al sistema Windows del client è l'account utente utilizzato per copiare i pacchetti dalla condivisione di rete al sistema Windows del cliente, e tale account deve avere i permessi per leggere i pacchetti e copiare i file da quella condivisione di rete. Quando il pacchetto è stato scaricato nel sistema Windows del client e l'utente ha avviato il pacchetto, l'applicazione virtualizzata viene eseguita localmente nel sistema Windows del client. RUN_FROM_SHARE. Con questa modalità d'installazione, i pacchetti non vengono scaricati nel sistema Windows del client. L'utente avvia i pacchetti utilizzando collegamenti sul desktop locale e le applicazioni virtualizzate vengono eseguite dalla condivisione di rete utilizzando la modalità di trasmissione in streaming di ThinApp. L'account utilizzato per accedere al sistema Windows del client è l'account utente VMware, Inc. 82

83 Tipo di accesso Tipo di condivisione di rete Requisiti in VMware Identity Manager Requisiti nel sistema Windows dell'utente utilizzato per eseguire i pacchetti dalla condivisione di rete, e tale account deve avere i permessi per leggere ed eseguire file da quella condivisione di rete. Nota RUN_FROM_SHARE è la scelta più adatta per i sistemi Windows che avranno sempre connettività alla condivisione di rete dei pacchetti ThinApp. I sistemi Windows più adatti alla descrizione sono i desktop di View, perché sono sempre connessi al proprio dominio. I desktop di View dinamici, o stateless, utilizzano in modo ottimale RUN_FROM_SHARE per evitare l'uso delle risorse coinvolte nel download dei pacchetti nel sistema Windows. La modalità d'installazione COPY_TO_LOCAL viene impostata come modalità predefinita quando si installa l'applicazione VMware Identity Manager Desktop su un sistema Windows utilizzando la versione grafica del programma di installazione del client. Per impostare una modalità d'installazione differente come modalità predefinita per i pacchetti, è necessario eseguire l'installazione del client dalla riga di comando. Vedere Opzioni del programma d'installazione da riga di comando per VMware Identity Manager Desktop. Importante La modalità HTTP_DOWNLOAD richiede che l'url del provider di identità sia raggiungibile dal computer Windows dell'utente. Le modalità RUN_FROM_SHARE e COPY_TO_LOCAL richiedono che la condivisione ThinApp sia raggiungibile dal computer Windows dell'utente. Accesso basato su account Quando si utilizza l'accesso basato sull'account, è possibile utilizzare una condivisione CIFS o una condivisione DFS per il repository di pacchetti ThinApp. È necessario configurare VMware Identity Manager per utilizzare un account utente di condivisione e una password per accedere alla condivisione di rete e ai pacchetti. L'accoppiata valida di account utente di condivisione e password deve consentire l'accesso in lettura al percorso UNC della cartella della condivisione di rete. Affinché l'utente possa utilizzare i pacchetti ThinApp per cui è autorizzato, il suo sistema Windows non deve essere unito al dominio Active Directory. L'autenticazione Windows non è richiesta. Il sistema Windows dell'utente, VMware Identity Manager e l'host della condivisione di rete con i pacchetti ThinApp non devono essere uniti allo stesso dominio Active Directory. Quando si utilizza l'accesso basato su account, sono consentite le seguenti modalità d'installazione per i pacchetti ThinApp. Se il sistema Windows dell'utente non è unito al dominio, il client deve utilizzare la modalità d'installazione HTTP_DOWNLOAD per ottenere VMware, Inc. 83

84 Tipo di accesso Tipo di condivisione di rete Requisiti in VMware Identity Manager Requisiti nel sistema Windows dell'utente Non è necessario unire VMware Identity Manager al dominio Active Directory per poter accedere alla condivisione di rete. Nota Nella console di amministrazione, è necessario completare la pagina Entra in dominio prima di poter utilizzare la pagina Pacchetti ThinApp. Nota L'accesso basato su account è necessario se si utilizza la condivisione di NetApp. l'applicazione virtualizzata. La modalità d'installazione corrisponde all'uso della modalità di download di ThinApp per l'applicazione virtualizzata. VMware Identity Manager utilizza l'account utente di condivisione per recuperare i pacchetti dal repository. Se l'utente unisce il sistema Windows al dominio, il client può utilizzare la modalità d'installazione COPY_TO_LOCAL o la modalità d'installazione RUN_FROM_SHARE per eseguire i pacchetti ThinApp autorizzati agli utenti. L'account utilizzato per accedere al sistema Windows del client è l'account utente utilizzato per ottenere i pacchetti dalla condivisione di rete, e tale account deve avere i permessi appropriati sulla condivisione di rete. Se il sistema Windows dell'utente può essere unito al dominio in alcuni momenti e non unito in altri, è possibile installare il client con la modalità COPY_TO_LOCAL e con l'opzione AUTO_TRY_HTTP attivata, purché VMware Identity Manager sia configurato per l'accesso basato su account. Con questa configurazione, il client in prima battuta tenta di utilizzare la modalità COPY_TO_LOCAL per scaricare i pacchetti. Se in quel momento il sistema Windows dell'utente non è unito al dominio, il tentativo di copia dei pacchetti termina con esito negativo. Ma se è selezionata l'opzione AUTO_TRY_HTTP, il client tenta immediatamente di utilizzare HTTP per scaricare i pacchetti. Questa combinazione di COPY_TO_LOCAL e AUTO_TRY_HTTP è l'impostazione predefinita quando si installa l'applicazione VMware Identity Manager Desktop su un sistema Windows utilizzando la versione grafica del programma di installazione del client. VMware, Inc. 84

85 Tipo di accesso Tipo di condivisione di rete Requisiti in VMware Identity Manager Requisiti nel sistema Windows dell'utente Affinché il tentativo di scaricare i pacchetti utilizzando la modalità HTTP_DOWNLOAD abbia successo, è necessario che VMware Identity Manager sia configurato per l'accesso basato su account. Importante La modalità HTTP_DOWNLOAD richiede che l'url del provider di identità sia raggiungibile dal computer Windows dell'utente. Le modalità RUN_FROM_SHARE e COPY_TO_LOCAL richiedono che la condivisione ThinApp sia raggiungibile dal computer Windows dell'utente. Inoltre, il repository di pacchetti ThinApp deve soddisfare i seguenti criteri in base alla situazione descritta. Quando le impostazioni coinvolgono sistemi che si uniscono al dominio Active Directory, assicurarsi che vi sia uno spazio nomi indipendente che impedisce ai computer membri del dominio di accedere alla condivisione di rete che contiene i pacchetti ThinApp. Uno spazio nomi indipendente si verifica quando il nome di un dominio di Active Directory è diverso dallo spazio nomi DNS utilizzato dalle macchine presenti in quel dominio. I permessi di condivisione e file della condivisione di rete devono essere configurati per fornire accesso in lettura e l'autorizzazione a eseguire applicazioni per gli utenti che desiderano eseguire le applicazioni ThinApp utilizzando l'opzione COPY_TO_LOCAL o RUN_FROM_SHARE. Ad esempio, per gli account Active Directory degli utenti che desiderano eseguire le applicazioni ThinApp in modalità trasmissione in streaming, l'impostazione del permesso della Cartella condivisa su Lettura e il permesso NTFS Lettura ed esecuzione fornisce loro l'accesso in lettura e la possibilità di eseguire le applicazioni. L'impostazione del permesso NTFS Lettura ed esecuzione è necessaria per poter eseguire un'applicazione ThinApp utilizzando la modalità di trasmissione in streaming di ThinApp, che corrisponde alla modalità d'installazione RUN_FROM_SHARE dell'applicazione VMware Identity Manager Desktop. Se l'organizzazione richiede che il permesso NTFS sia impostato su Lettura, gli utenti possono utilizzare la modalità download di ThinApp per l'applicazione virtualizzata. La modalità download di ThinApp corrisponde all'installazione del client Windows con la modalità d'installazione COPY_TO_LOCAL o con la modalità d'installazione HTTP_DOWNLOAD. Con una di queste modalità d'installazione, le applicazioni vengono scaricate nei sistemi Windows e avviate localmente. Entrambe le condivisioni di rete CIFS e DFS devono avere i pacchetti ThinApp organizzati in sottodirectory singole all'interno di una directory sotto lo spazio nomi, non sottodirectory nello spazio nomi stesso, come ad esempio \\server\appshare\thinapp1, \\server\appshare\thinapp2 e così via. Vedere Creazione di una condivisione di rete per i pacchetti ThinApp gestiti da VMware Identity Manager. VMware, Inc. 85

86 Creazione di una condivisione di rete per i pacchetti ThinApp gestiti da VMware Identity Manager Se si desidera attivare le funzionalità di gestione di VMware ThinApp di VMware Identity Manager e consentire agli utenti di accedere ai pacchetti ThinApp dal catalogo, è necessario creare una condivisione di rete e memorizzare i pacchetti ThinApp nella cartella della condivisione di rete. VMware Identity Manager ottiene i metadati sui pacchetti ThinApp di cui necessita dalla condivisione di file di rete. Prerequisiti Verificare che i pacchetti ThinApp soddisfino i requisiti di VMware Identity Manager. Assicurarsi di disporre dell'accesso e dei permessi necessari per creare una condivisione di file di rete nell'ambiente IT che soddisfi i requisiti di VMware Identity Manager per i pacchetti ThinApp. Procedura 1 Creare una condivisione di rete che soddisfa i requisiti di VMware Identity Manager per i pacchetti ThinApp. 2 Nella condivisione di rete, creare una sottocartella per ogni pacchetto ThinApp. Di solito, il nome che viene assegnato alla sottocartella corrisponde al nome dell'applicazione ThinApp, o almeno indica l'applicazione presente nella cartella. Ad esempio, se la condivisione di rete si chiama appshare su un host denominato server e l'applicazione è denominata abceditor, allora la sottocartella per il pacchetto ThinApp sarà \\server\appshare\abceditor. Nota Non utilizzare caratteri non ASCII quando si creano i nomi delle sottocartelle della condivisione di rete per i pacchetti ThinApp da distribuire mediante VMware Identity Manager. I caratteri non ASCII non sono supportati. 3 Copiare i file relativi a ciascun pacchetto ThinApp, come i file EXE e DAT corrispondenti, nella sottocartella a cui è stato assegnato il nome relativo all'applicazione virtualizzata del pacchetto. Dopo aver copiato i file si avrà una serie di sottocartelle e di file simili ai seguenti: \\server\appshare\abceditor\abceditor.exe \\server\appshare\abceditor\abceditor.dat Operazioni successive Configurare l'accesso di VMware Identity Manager ai pacchetti ThinApp. Configurazione dell'accesso di VMware Identity Manager ai pacchetti ThinApp Per configurare VMware Identity Manager affinché gli utenti possano accedere ai pacchetti ThinApp, creare una raccolta di app virtuali con tutte le informazioni di configurazione, quali il percorso di VMware, Inc. 86

87 archiviazione dei pacchetti, il connettore da utilizzare per la sincronizzazione e la pianificazione della sincronizzazione. È possibile creare una singola raccolta di app virtuali per tutte le integrazioni di ThinApp. Prerequisiti Creare una condivisione di rete con la configurazione appropriata e archiviare i pacchetti ThinApp nella posizione corretta all'interno della condivisione di rete. Vedere Creazione di una condivisione di rete per i pacchetti ThinApp gestiti da VMware Identity Manager. Assicurarsi di avere il percorso UNC alla cartella della condivisione di rete dove sono archiviati i pacchetti ThinApp. Se il connettore non è già unito al dominio, assicurarsi di avere un nome di dominio Active Directory e il nome utente e la password di un account nella stessa Active Directory con i diritti necessari per effettuare l'unione al dominio. Anche se si utilizza l'accesso basato su account, la console di amministrazione richiede il completamento della pagina Entra in dominio prima di poter utilizzare la pagina Pacchetti ThinApp. Per attivare l'accesso basato su dominio, è necessario anche unire VMware Identity Manager allo stesso dominio Active Directory a cui è unito il repository di pacchetti ThinApp. Assicurarsi di avere il nome del dominio Active Directory utilizzato dalla condivisione di rete e il nome utente e la password di un account nella stessa Active Directory dotato dei diritti necessari per effettuare l'unione al dominio. L'account Active Directory è utilizzato per unire VMware Identity Manager al dominio. Quando si attiva l'accesso basato su account, assicurarsi di avere un nome utente e una password con l'autorizzazione di lettura sulla condivisione di rete. Vedere Requisiti di VMware Identity Manager per i pacchetti ThinApp e il repository della condivisione di rete. Nota A meno che non si desideri limitare l'uso dei pacchetti ThinApp ai sistemi Windows uniti al dominio per tutte le situazioni di runtime, è consigliabile attivare l'accesso basato su account in aggiunta all'accesso basato su dominio. Questa combinazione offre la massima flessibilità per supportare situazioni di runtime in cui gli utenti devono poter utilizzare i pacchetti ThinApp per cui sono autorizzati senza dover unire i propri sistemi Windows al dominio. In VMware Identity Manager 3.2, è necessario utilizzare un ruolo amministratore che possa eseguire l'azione Gestisci ThinApp nel servizio del catalogo. Procedura 1 (Solo appliance virtuale VMware Identity Manager Linux) Se il connettore non è già unito al dominio, unirlo al dominio Active Directory. a b c Accedere alla console di amministrazione. Selezionare la scheda Gestione identità e accessi. Fare clic su Configura. VMware, Inc. 87

88 d e Nella pagina Connettori, fare clic su Entra in dominio nella riga del connettore appropriata. Nella pagina Entra in dominio, immettere le informazioni del dominio Active Directory e fare clic su Entra in dominio. Importante Non utilizzare caratteri non ASCII quando si immettono nome di dominio Active Directory (AD), nome utente di AD e password di AD. Nei campi d'immissione in console di amministrazione non sono supportati i caratteri non ASCII. Opzione Dominio AD Nome utente AD Password AD Descrizione Specificare il nome di dominio completo di Active Directory. Un esempio è HS.TRDOT.COM. Immettere il nome utente di un account dell'istanza di Active Directory che dispone delle autorizzazioni necessarie per aggiungere sistemi a tale dominio Active Directory. Immettere la password associata al nome utente AD. Tale password non viene archiviata da VMware Identity Manager. La pagina Entra in dominio viene aggiornata e visualizza un messaggio per comunicare l'aggiunta dell'utente al dominio. 2 Selezionare la scheda Catalogo > App virtuali, quindi fare clic su Configurazione app virtuali. 3 Fare clic su Aggiungi app virtuali e selezionare Applicazione ThinApp. 4 Immettere un nome univoco per la raccolta. 5 Dal menu a discesa Sincronizza connettori, selezionare il connettore che si desidera utilizzare per sincronizzare le risorse in questa raccolta. Se sono stati configurati più connettori per l'alta disponibilità, fare clic su Aggiungi connettore e selezionare tutti i connettori visualizzati nell'elenco. L'ordine in cui sono elencati i connettori determina l'ordine di failover. Importante Assicurarsi di aggiungere tutti i connettori. Quando si avvia un'applicazione utilizzando la modalità HTTP_DOWNLOAD, la richiesta può essere inviata a uno qualsiasi dei connettori. 6 Nella casella di testo Percorso, immettere il percorso della cartella condivisa in cui si trovano le cartelle dei pacchetti ThinApp, utilizzando il formato di percorsi UNC \\server\share\subfolder. Ad esempio \\DirectoryHost\ThinAppFileShare. Per DirectoryHost, fornire il nome host e non l'indirizzo IP. Per le condivisioni di rete sia CIFS che DFS, il percorso deve essere una directory sotto lo spazio nomi e non lo spazio nomi stesso. 7 Per abilitare l'accesso basato su account per i pacchetti ThinApp archiviati, selezionare la casella di controllo e immettere i valori nelle caselle di testo Condividi utente e Condividi password. L'accesso basato su account è necessario nei seguenti casi: Per sistemi di archiviazione NetApp e condivisioni di rete DFS di altri brand VMware, Inc. 88

89 Se si utilizza la modalità di distribuzione download HTTP Se si desidera che gli utenti siano in grado di utilizzare i rispettivi pacchetti ThinApp autorizzati in sistemi Windows non uniti al dominio Opzione Condividi utente Condividi password Descrizione Immettere il nome utente di un account dotato di accesso in lettura alla condivisione di rete. Immettere la password associata all'account utente Condividi utente. 8 Dal menu a discesa Frequenza di sincronizzazione, selezionare con quale frequenza sincronizzare le risorse in questa raccolta. È possibile impostare una pianificazione di sincronizzazione regolare o scegliere di sincronizzare manualmente. Se si seleziona Manuale, è necessario fare clic su Sincronizza nella pagina Configurazione app virtuali dopo aver impostato la raccolta e ogni volta che si verifica un cambiamento nei pacchetti ThinApp. 9 Nell'elenco a discesa Tipo di attivazione selezionare il modo in cui le applicazioni compresse ThinApp vengono rese disponibili agli utenti in Workspace ONE. Con entrambe le opzioni Attivata dall'utente e Automatico, le risorse vengono aggiunte alla pagina Catalogo. Gli utenti possono utilizzare le risorse dalla pagina Catalogo o spostarle nella pagina Segnalibri. Tuttavia, per configurare un flusso di approvazione per le app, è necessario selezionare l'opzione Attivata dall'utente per quell'app. Il criterio di attivazione selezionato in questa pagina si applica a tutti i permessi utente per tutte le risorse nella raccolta. È possibile modificare il criterio di attivazione per utenti singoli o gruppi per risorsa dalla pagina Permessi dell'applicazione o del desktop. Se si desidera impostare un flusso di approvazione, è consigliabile impostare il criterio di attivazione per la raccolta su Attivata dall'utente. 10 Fare clic su Salva. La raccolta viene creata e visualizzata nella pagina App virtuali. Le applicazioni non vengono ancora sincronizzate. 11 Per sincronizzare le applicazioni nella raccolta, fare clic su Sincronizza accanto alla raccolta nella pagina Configurazione app virtuali. Ogni volta che si verifica un cambiamento nei permessi o nelle applicazioni ThinApp, affinché le modifiche si propaghino in VMware Identity Manager è necessaria una sincronizzazione. VMware Identity Manager ora è configurato in modo da poter autorizzare gruppi e utenti ai pacchetti ThinApp, e gli utenti possono eseguire i pacchetti ThinApp per cui sono autorizzati utilizzando l'applicazione VMware Identity Manager Desktop installata nei loro sistemi Windows. Operazioni successive Autorizzare i gruppi e gli utenti ai pacchetti ThinApp. Per informazioni, vedere Amministrazione di VMware Identity Manager. VMware, Inc. 89

90 Autorizzazione di utenti e gruppi per i pacchetti ThinApp È possibile autorizzare utenti e gruppi per applicazioni di Windows acquisite come pacchetti ThinApp. Ai pacchetti ThinApp è possibile autorizzare solo utenti di VMware Identity Manager, utenti che sono stati importati dal server di directory. Quando si autorizza un utente a un pacchetto ThinApp, l'utente vede l'applicazione e può avviarla dall'applicazione VMware Identity Manager Desktop sul proprio sistema. Se si rimuove il permesso, l'utente non potrà vedere né avviare l'applicazione. Spesso il modo più efficace per autorizzare gli utenti ai pacchetti ThinApp consiste nell'aggiungere il permesso al pacchetto ThinApp a un gruppo di utenti. In determinate situazioni è più appropriato autorizzare singoli utenti a un pacchetto ThinApp. Prerequisiti Impostare una raccolta di app virtuali per i pacchetti ThinApp dalla pagina Catalogo > App virtuali > Configurazione app virtuali. Dopo aver creato la raccolta, sincronizzare i pacchetti ThinApp con VMware Identity Manager. Quando i pacchetti ThinApp vengono sincronizzati con il catalogo, è possibile fornire a utenti e gruppi i permessi necessari per accedervi. Procedura 1 Accedere all'console di amministrazione. VMware, Inc. 90

91 2 Autorizzare gli utenti a un pacchetto ThinApp. Opzione Descrizione Accedere a un pacchetto ThinApp e autorizzare utenti e gruppi al suo utilizzo. Accedere a un utente o gruppo e aggiungere i permessi per il pacchetto ThinApp all'utente o al gruppo. a b c d e f g a b c d e f g h i Fare clic sulla scheda Catalogo > App virtuali. Fare clic su Qualsiasi tipo di applicazione > Pacchetti ThinApp. Fare clic sul pacchetto ThinApp per autorizzare utenti e gruppi al suo utilizzo. Per impostazione predefinita, la scheda Permessi è selezionata. I permessi dei gruppi sono elencati in una tabella e i permessi degli utenti in un'altra tabella. Fare clic su Aggiungi permesso di gruppo o Aggiungi permesso utente. Specificare i nomi dei gruppi e degli utenti. Per cercare utenti o gruppi è sufficiente iniziare a digitare qualche lettera e lasciare che la funzione di completamento automatico mostri le opzioni corrispondenti. È possibile scegliere Sfoglia per visualizzare l'elenco completo. Selezionare il metodo di attivazione per il pacchetto ThinApp dal menu a discesa. Con entrambe le opzioni Attivata dall'utente e Automatico, le risorse vengono aggiunte alla pagina Catalogo. Gli utenti possono utilizzare le risorse dalla pagina Catalogo o spostarle nella pagina Segnalibri. Tuttavia, per configurare un flusso di approvazione per le app, è necessario selezionare l'opzione Attivata dall'utente per quell'app. Fare clic su Salva. Fare clic sulla scheda Utenti e gruppi. Selezionare la scheda Utenti o la scheda Gruppi. Fare clic sul nome di un singolo utente o gruppo. Fare clic sulla scheda App. Fare clic su Aggiungi permesso. Nell'elenco a discesa Tipo di applicazione, selezionare Pacchetti ThinApp. Fare clic sulle caselle di controllo accanto ai pacchetti ThinApp per cui si desidera autorizzare l'utente o il gruppo. Nella colonna DISTRIBUZIONE, selezionare il metodo di attivazione per il pacchetto ThinApp. Con entrambe le opzioni Attivata dall'utente e Automatico, le risorse vengono aggiunte alla pagina Catalogo. Gli utenti possono utilizzare le risorse dalla pagina Catalogo o spostarle nella pagina Segnalibri. Tuttavia, per configurare un flusso di approvazione per le app, è necessario selezionare l'opzione Attivata dall'utente per quell'app. Fare clic su Salva. Gli utenti o i gruppi selezionati ora sono autorizzati a utilizzare il pacchetto ThinApp. Operazioni successive Verificare che nei sistemi Windows degli utenti sia installata l'applicazione VMware Identity Manager Desktop. VMware, Inc. 91

92 Distribuzione e gestione di pacchetti ThinApp con VMware Identity Manager Prima che gli utenti di VMware Identity Manager possano eseguire i loro pacchetti ThinApp registrati mediante VMware Identity Manager, questi dovranno avere l'applicazione VMware Identity Manager Desktop installata e in esecuzione sui relativi sistemi Windows. I pacchetti ThinApp sono applicazioni di Windows virtualizzate. I pacchetti ThinApp sono distribuiti sui sistemi Windows e un utente collegato al sistema può avviare ed eseguire solo quei pacchetti ThinApp registrati sul sistema. VMware Identity Manager può distribuire e gestire i pacchetti ThinApp che sono compatibile con VMware Identity Manager. Per avviare ed eseguire correttamente una di queste applicazioni virtualizzate nella sessione Windows dell'utente, sono necessari i seguenti elementi: Il pacchetto ThinApp dell'applicazione virtualizzata deve essere registrato per l'uso di quell'utente da VMware Identity Manager. Una DLL specifica deve essere disponibile su tale sistema Windows. Il processo hws-desktop-client.exe deve essere in esecuzione. Quando viene creato un pacchetto ThinApp compatibile, questo viene configurato per caricare una determinata DLL quando l'utente collegato avvia l'applicazione virtualizzata nella relativa sessione di Windows. In quel momento, l'applicazione virtualizzata prova a caricare la DLL. Una volta caricata, la DLL prova a verificare insieme all'applicazione VMware Identity Manager Desktop installata in locale se il pacchetto ThinApp è registrato sul desktop Windows per quell'utente. L'applicazione VMware Identity Manager Desktop installata in locale determina se l'applicazione è registrata per quell'utente senza comunicare con VMware Identity Manager. Se l'applicazione è registrata sul desktop Windows per l'utente, VMware Identity Manager Desktop prova a verificare quando è stata eseguita l'ultima sincronizzazione con VMware Identity Manager. Se l'applicazione VMware Identity Manager Desktop conferma che la sincronizzazione rientra nel periodo di tolleranza offline per il client installato, il client consentirà l'esecuzione dell'applicazione. Poiché tale DLL è disponibile sul sistema Windows solo se è installata l'applicazione VMware Identity Manager Desktop e poiché il processo hws-desktop-client.exe è in esecuzione solo se l'applicazione VMware Identity Manager Desktop è in esecuzione su tale sistema, l'applicazione VMware Identity Manager Desktop dovrà essere installata sul sistema Windows per eseguire i pacchetti ThinApp che sono distribuiti e gestiti da VMware Identity Manager. VMware, Inc. 92

93 Distribuzione dell'applicazione VMware Identity Manager Desktop per l'uso dei pacchetti ThinApp L'applicazione VMware Identity Manager Desktop può essere installata facendo doppio clic sul file EXE del programma di installazione, avviando il file eseguibile utilizzando le opzioni della riga di comando oppure eseguendo uno script che utilizza le opzioni della riga di comando. Per installare l'applicazione, sono richiesti i privilegi da amministratore. Per informazioni sull'installazione dell'applicazione VMware Identity Manager Desktop facendo doppio clic sul file EXE del programma di installazione, vedere la Guida per l'utente di VMware Identity Manager. La configurazione dell'applicazione installata determina il modo in cui un pacchetto ThinApp che è distribuito da VMware Identity Manager viene distribuito sul sistema Windows. Per impostazione predefinita, quando l'applicazione VMware Identity Manager Desktop è installata facendo doppio sul file EXE del programma di installazione, il client viene configurato per distribuire i pacchetti ThinApp utilizzando la modalità di distribuzione COPY_TO_LOCAL con l'opzione AUTO_TRY_HTTP abilitata. Tali opzioni del programma di installazione predefinito risultano in ciò che è detto modalità di distribuzione di download. Con le impostazioni predefinite COPY_TO_LOCAL e AUTO_TRY_HTTP, l'applicazione client prova prima a scaricare i pacchetti ThinApp copiandoli sull'endpoint del sistema Windows e, se il primo tentativo non riesce, prova a scaricarli mediante HTTP. Se VMware Identity Manager è configurato per l'accesso basato su account al repository ThinApp, l'applicazione client potrà scaricare i pacchetti ThinApp mediante HTTP. Una volta scaricati i pacchetti ThinApp sul sistema locale Windows, l'utente potrà eseguire le applicazioni virtualizzate sul sistema locale. Per evitare che le applicazioni virtualizzate vengano scaricate sul sistema Windows locale e utilizzino spazio sul sistema, è possibile far sì che gli utenti eseguano i pacchetti ThinApp dalla condivisione di rete utilizzando una modalità di distribuzione in streaming. Affinché gli utenti eseguano i pacchetti ThinApp utilizzando la modalità in streaming, è necessario installare l'applicazione VMware Identity Manager Desktop sui sistemi Windows utilizzando un processo di installazione della riga di comando. Il programma di installazione è dotato di opzioni della riga di comando che possono essere utilizzate per impostare la modalità di distribuzione in runtime per i pacchetti ThinApp. Per impostare la modalità di distribuzione in runtime per lo streaming dei pacchetti ThinApp, utilizzare l'opzione del programma di installazione RUN_FROM_SHARE. Un metodo per l'installazione dell'applicazione VMware Identity Manager Desktop su più sistemi Windows consiste nell'utilizzare uno script per installare l'applicazione in maniera non presidiata sui sistemi Windows. È possibile installare il client in maniera non presidiata su più sistemi Windows nello stesso momento. Nota Un'installazione non presidiata non visualizza messaggi né finestre durante il processo di installazione. Impostare un valore nello script per indicare se i client installati mediante quello script distribuiscono i pacchetti ThinApp utilizzando la modalità in streaming ThinApp, l'opzione RUN_FROM_SHARE o una delle modalità di download ThinApp, come l'opzione COPY_TO_LOCAL o HTTP_DOWNLOAD. VMware, Inc. 93

94 Determinazione della modalità di distribuzione appropriata per i pacchetti ThinApp su endpoint Windows La configurazione dell'applicazione VMware Identity Manager Desktop sull'endpoint Windows determina se un pacchetto ThinApp distribuito mediante VMware Identity Manager viene distribuito in modalità di streaming ThinApp, RUN_FROM_SHARE, o con una delle modalità di download, COPY_TO_LOCAL o HTTP_DOWNLOAD. Quando si crea lo script per installare l'applicazione VMware Identity Manager Desktop su endpoint Windows in maniera non presidiata, come ad esempio su desktop e laptop, vengono impostate le opzioni che definiscono la modalità di distribuzione dei pacchetti ThinApp. Scegliere la modalità di distribuzione che meglio si adatta al proprio ambiente di rete per gli endpoint selezionati, considerando dettagli quali la latenza di rete. Con la modalità in streaming, quando l'applicazione VMware Identity Manager Desktop viene sincronizzata con VMware Identity Manager, il client scarica i collegamenti dell'applicazione per le applicazioni virtualizzate dei pacchetti ThinApp sul desktop Windows e quando l'utente avvia i pacchetti ThinApp, le applicazioni virtualizzate vengono eseguite dalla condivisione file su cui si trovano i pacchetti. Pertanto, la modalità in streaming è più adatta per sistemi che saranno sempre connessi alla condivisione di rete, come ad esempio i desktop View. Con la modalità di download, al primo uso o aggiornamento di un pacchetto ThinApp, l'utente deve attendere prima che il pacchetto ThinApp sia scaricato sul sistema Windows e che vengano creati i collegamenti. Dopo il download iniziale, l'utente avvia ed esegue l'applicazione Windows virtualizzata sul sistema locale. Importante Per i desktop View non permanenti, noti anche come desktop View mobili o senza stato, è previsto che il client venga impostato per utilizzare la modalità in streaming ThinApp utilizzando l'opzione del programma di installazione della riga di comando /v INSTALL_MODE=RUN_FROM_SHARE durante l'installazione del client. L'opzione RUN_FROM_SHARE fornisce l'esperienza di runtime ottimale per utilizzare i pacchetti ThinApp sui desktop View mobili. Vedere Opzioni del programma d'installazione da riga di comando per VMware Identity Manager Desktop. Importante La modalità HTTP_DOWNLOAD richiede che l'url del provider di identità sia raggiungibile dal computer Windows dell'utente. Le modalità RUN_FROM_SHARE e COPY_TO_LOCAL richiedono che la condivisione ThinApp sia raggiungibile dal computer Windows dell'utente. VMware, Inc. 94

95 Tabella 6-1. Modalità di distribuzione ThinApp per le applicazioni virtualizzate acquisite come pacchetti ThinApp Modalità modalità di streaming ThinApp modalità di download ThinApp Descrizione In modalità in streaming ThinApp, le applicazioni virtualizzate sono sottoposte a streaming ogni volta che vengono avviate. Questo metodo evita di utilizzare spazio su disco sul desktop durante la copia delle applicazioni virtualizzate. Affinché le applicazioni possano essere eseguite, il desktop deve essere connesso alla condivisione di rete dei pacchetti ThinApp. I seguenti ambienti possono fornire la coerenza e la stabilità richieste: Desktop View, siano essi senza stato o permanenti, con connettività eccellente alla condivisione di file su cui si trovano i pacchetti ThinApp. Gli utenti con i desktop Windows che non sono desktop View, che sono condivisi da più utenti. Questa situazione evita l'accumulo su disco di applicazioni specifiche scaricate dall'utente e fornisce un accesso rapido alle applicazioni senza provocare un ritardo per i download di un utente. L'account utilizzato dall'utente per accedere al sistema Windows è utilizzato per ottenere i pacchetti ThinApp dalla condivisione di rete. Tale account deve disporre delle autorizzazioni appropriate sulla condivisione di rete per leggere ed eseguire i file sulla condivisione. In modalità di download ThinApp, le applicazioni vengono scaricate sull'endpoint Windows. L'utente esegue l'applicazione virtualizzata in locale sull'endpoint. La modalità di download ThinApp potrebbe essere più adatta per i seguenti casi: Desktop View permanenti Desktop collegati a una LAN che sono periodicamente offline Una LAN con scarsa latenza di rete VMware Identity Manager fornisce due diverse opzioni per la modalità di download ThinApp: COPY_TO_LOCAL e HTTP_DOWNLOAD. Se il client è configurato per COPY_TO_LOCAL, l'endpoint Windows deve far parte dello stesso dominio della condivisione di file a meno che non sia abilitata l'opzione AUTO_TRY_HTTP e VMware Identity Manager sia configurato per l'accesso basato su account sulla condivisione di rete dei pacchetti ThinApp. Se è abilitata l'opzione AUTO_TRY_HTTP e VMware Identity Manager è configurato per l'accesso basato su account, se l'endpoint Windows non fa parte dello stesso dominio e il primo tentativo di download del pacchetto ThinApp non riesce, l'applicazione VMware Identity Manager Desktop proverà a scaricare automaticamente i pacchetti ThinApp utilizzando il protocollo HTTP come per la modalità HTTP_DOWNLOAD. Con HTTP_DOWNLOAD, l'endpoint Windows non deve far parte dello stesso dominio della condivisione di file. Tuttavia, i tempi di copia e sincronizzazione di quando si utilizza HTTP_DOWNLOAD sono significativamente più lunghi di quando si usa COPY_TO_LOCAL. Importante Se VMware Identity Manager non è abilitato per l'accesso basato su account, il download mediante il protocollo HTTP non funziona, anche se l'opzione AUTO_TRY_HTTP è abilitata o se il client è configurato con l'opzione HTTP_DOWNLOAD. Quando si utilizza COPY_TO_LOCAL, l'account utilizzato dall'utente per accedere al sistema Windows è utilizzato per ottenere i pacchetti ThinApp dalla condivisione di rete. Tale account deve disporre delle autorizzazioni appropriate sulla condivisione di rete per leggere e copiare i file dalla condivisione. Se si utilizza HTTP_DOWNLOAD, l'account utente della condivisione che si specifica in console di amministrazione quando si configura l'accesso da VMware Identity Manager alla condivisione di rete dei pacchetti ThinApp è l'account utilizzato per scaricare i pacchetti ThinApp. Tale account utente della condivisione deve disporre dell'autorizzazione di lettura sulla condivisione di rete dei pacchetti ThinApp per copiare i file dalla condivisione. VMware, Inc. 95

96 La condivisione di rete dei pacchetti ThinApp deve rispondere ai requisiti appropriati per la modalità di distribuzione impostata per gli endpoint Windows. Vedere Installazione e configurazione di VMware Identity Manager. Periodo di grazia offline e pacchetti ThinApp Il periodo di grazia offline è il periodo di tempo per cui è possibile avviare ed eseguire un'applicazione virtualizzata su un sistema Windows senza alcuna sincronizzazione con VMware Identity Manager. I pacchetti ThinApp sono applicazioni Windows virtualizzate che possono essere distribuite da VMware Identity Manager su sistemi Windows. Quando VMware Identity Manager distribuisce un pacchetto ThinApp sul sistema Windows per la prima volta per l'utente collegato al sistema, le applicazioni virtualizzate del pacchetto vengono registrate sul sistema Windows per l'uso dell'utente. Al desktop di Windows vengono aggiunti i collegamenti appropriati e l'utente potrà avviare le applicazioni virtualizzate utilizzando tali collegamenti come per le applicazioni Windows standard installate sul sistema. Quando un utente avvia una delle applicazioni virtualizzate distribuite sul sistema Windows da VMware Identity Manager, il pacchetto ThinApp richiede l'autorizzazione per l'esecuzione dall'agent ThinApp in esecuzione sul sistema. L'agent ThinApp verifica le condizioni riportate di seguito. Verifica se l'applicazione è registrata sul desktop di Windows per l'utente collegato. Verifica se il sistema Windows è stato sincronizzato con VMware Identity Manager nel periodo di grazia offline consentito. Se entrambe queste condizioni sono vere, l'agent ThinApp consente l'esecuzione dell'applicazione virtualizzata. La frequenza con cui l'applicazione VMware Identity Manager Desktop viene sincronizzata con VMware Identity Manager è impostata dall'opzione del programma di installazione POLLINGINTERVAL. Per impostazione predefinita, la frequenza è ogni 5 minuti. Per impostazione predefinita, il periodo di grazia offline è impostato su 30 giorni. Se un sistema Windows ha una connettività di rete per collegarsi a VMware Identity Manager in qualsiasi momento in un intervallo di 30 giorni, l'applicazione può essere sincronizzata con VMware Identity Manager e le applicazioni virtualizzate possono essere eseguite. Tuttavia, se il sistema Windows non ha connettività di rete per collegarsi a VMware Identity Manager, l'applicazione non potrà essere sincronizzata con VMware Identity Manager. Le applicazioni virtualizzate registrate sul sistema Windows potranno essere eseguite sul sistema disconnesso fino all'ora impostata dal periodo di grazia offline. Aggiornamento di pacchetti ThinApp gestiti dopo la distribuzione in VMware Identity Manager Dopo aver aggiunto un pacchetto ThinApp al catalogo della propria organizzazione e aver concesso agli utenti di VMware Identity Manager l'accesso a tale pacchetto, è possibile che si desideri aggiornare il pacchetto e fare in modo che gli utenti usino una versione nuova o rigenerata del pacchetto ThinApp senza dover annullare l'accesso degli utenti al pacchetto corrente e concedere loro l'accesso al nuovo pacchetto. VMware, Inc. 96

97 È possibile che si debba rendere disponibile un pacchetto ThinApp aggiornato perché viene rilasciata una nuova versione dell'applicazione Windows per tale pacchetto o perché il creatore del pacchetto ha modificato i valori dei parametri utilizzati dal pacchetto. ThinApp e le versioni successive includono un meccanismo di aggiornamento per i pacchetti ThinApp utilizzati in VMware Identity Manager. Tale meccanismo è diverso da quelli utilizzati per i pacchetti ThinApp esterni a un ambiente VMware Identity Manager. Il pacchetto ThinApp deve essere aggiornato con questo meccanismo affinché sia possibile distribuirlo in VMware Identity Manager e fare in modo che gli utenti possano visualizzare automaticamente la nuova versione. Per i pacchetti ThinApp gestiti in VMware Identity Manager, due parametri Package.ini vengono utilizzati da VMware Identity Manager per stabilire se un pacchetto è una versione aggiornata di un altro pacchetto. AppID Identificatore univoco del pacchetto ThinApp in VMware Identity Manager. A tutti i punti di ingresso (eseguibili) per l'applicazione del pacchetto viene assegnato lo stesso AppID. Dopo la sincronizzazione di un pacchetto ThinApp con il catalogo di VMware Identity Manager della propria organizzazione, l'appid del pacchetto viene visualizzato nella colonna GUID della pagina delle risorse del pacchetto ThinApp. Questo valore include caratteri alfanumerici in un modello di set di caratteri, separati uno dall'altro da trattini, come nell'esempio seguente: XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX VMware Identity Manager considera ogni pacchetto ThinApp con lo stesso AppID come una versione della stessa applicazione. VersionID Numero di versione del pacchetto ThinApp. VMware Identity Manager utilizza VersionID per tenere traccia delle diverse versioni del pacchetto ThinApp gestito. È possibile aumentare il valore di VersionID di un'unità (1) per contrassegnare il pacchetto ThinApp come aggiornamento di un altro pacchetto mantenendo lo stesso AppID. Il pacchetto aggiornato deve essere posizionato in una nuova cartella nella cartella di condivisione di rete configurata per i pacchetti ThinApp gestiti. Vedere Installazione e configurazione di VMware Identity Manager. Quando VMware Identity Manager esegue la sincronizzazione pianificata con la cartella della condivisione di rete e incontra un'applicazione con lo stesso AppID di un'altra applicazione, confronta i VMware, Inc. 97

98 valori di VersionID. Il pacchetto ThinApp con il VersionID più alto viene utilizzato come aggiornamento più recente. VMware Identity Manager incorpora automaticamente i permessi utente precedenti nel pacchetto ThinApp con il VersionID più alto e i collegamenti ai sistemi degli utenti vengono sincronizzati per puntare al pacchetto aggiornato. Importante Il parametro standard InventoryName di ThinApp è importante per aggiornare correttamente i pacchetti ThinApp gestiti. Entrambi i pacchetti ThinApp, quello precedente e quello aggiornato, devono avere lo stesso valore per il parametro InventoryName. Se la persona che crea il pacchetto ThinApp modifica il valore di InventoryName in un pacchetto e quindi crea un pacchetto aggiornato, è necessario assicurarsi che i valori di InventoryName corrispondano per fare in modo che gli aggiornamenti funzionino correttamente in VMware Identity Manager. Per dettagli sui vari parametri utilizzati nel file Package.ini di un pacchetto ThinApp, vedere la guida di riferimento ai parametri Package.ini di ThinApp Aggiornamento di un pacchetto ThinApp gestito L'aggiornamento di un pacchetto ThinApp già gestito da VMware Identity Manager e nel catalogo della propria organizzazione implica l'esecuzione di più passaggi. È possibile che il pacchetto ThinApp aggiornato venga fornito da un altro gruppo della propria organizzazione. Per fare in modo che VMware Identity Manager possa utilizzare automaticamente il pacchetto aggiornato al posto di quello esistente per gli utenti autorizzati, è necessario assicurarsi che il pacchetto aggiornato sia stato creato utilizzando lo stesso AppID del pacchetto corrente, che abbia un valore di VersionID maggiore del valore VersionID del pacchetto esistente e che sia abilitato per la gestione da VMware Identity Manager. Prerequisiti Verificare di poter accedere alla posizione in cui si trovano i pacchetti ThinApp gestiti e di poter creare sottocartelle in tale posizione. Operazioni successive Dopo la successiva sincronizzazione del pacchetto ThinApp, nel catalogo di VMware Identity Manager verrà visualizzata la nuova versione del pacchetto ThinApp aggiornato. Se si desidera che la nuova versione venga riportata nella pagina delle risorse del pacchetto ThinApp, è possibile eseguire una sincronizzazione manuale utilizzando la pagina App in pacchetto - pagina ThinApp delle console di amministrazione. Ottenimento dei valori AppID e VersionID di un pacchetto ThinApp gestito Per essere certi che VMware Identity Manager utilizzi automaticamente il pacchetto ThinApp aggiornato al posto di quello corrente, è necessario creare il pacchetto ThinApp utilizzando il AppID del pacchetto ThinApp correntemente gestito e un valore di VersionID maggiore di quello della versione corrente. Quando viene utilizzato il processo Configura acquisizione per creare un pacchetto ThinApp aggiornato, il valore di AppID viene richiamato automaticamente dal programma Configura acquisizione dagli eseguibili del pacchetto ThinApp esistenti e il valore di VersionID viene incrementato. Tuttavia, la persona che crea il pacchetto ThinApp aggiornato potrebbe utilizzare un metodo differente per la creazione del VMware, Inc. 98

99 pacchetto aggiornato. Se per creare il pacchetto ThinApp aggiornato non viene utilizzato il processo Configura acquisizione, la persona che crea il pacchetto deve ottenere i valori AppID e VersionID per il pacchetto ThinApp correntemente gestito da VMware Identity Manager. I valori AppID e VersionID sono visualizzati sulle pagine delle risorse del pacchetto ThinApp in console di amministrazione. Procedura 1 Fare clic sulla scheda Catalogo > App virtuali. 2 Fare clic su Qualsiasi tipo di applicazione > Pacchetti ThinApp. 3 Fare clic sul pacchetto ThinApp per aprirne la pagina delle risorse. 4 Fare clic su Dettagli. 5 Prendere nota del valore riportato nel campo Versione sulla pagina Dettagli. 6 Fare clic su Pacchetto ThinApp per visualizzare la pagina Pacchetto ThinApp. 7 Prendere nota del valore AppID riportato nella colonna GUID. Il valore riportato nella colonna è il valore utilizzato da VMware Identity Manager per identificare questo pacchetto ThinApp. Operazioni successive La persona che crea il pacchetto ThinApp aggiornato deve completare le operazioni riportate in Creazione del pacchetto ThinApp aggiornato. Creazione del pacchetto ThinApp aggiornato Per la creazione del pacchetto aggiornato vengono utilizzati i valori AppID e VersionID dei pacchetti ThinApp correntemente gestiti. Il pacchetto aggiornato utilizza lo stesso valore AppID e un valore VersionID più alto. Talvolta il pacchetto ThinApp aggiornato viene fornito da un altro ufficio dell'organizzazione. La persona che crea il pacchetto ThinApp aggiornato può utilizzare uno dei metodi descritti. Prerequisiti Assicurarsi di avere i valori di AppID e VersionID del pacchetto ThinApp corrente eseguendo i passaggi in Ottenimento dei valori AppID e VersionID di un pacchetto ThinApp gestito. Verificare di avere una versione del programma ThinApp compatibile con la versione di VMware Identity Manager. Per informazioni su versioni di ThinApp specifiche, vedere le tabelle di interoperabilità dei prodotti VMware all'indirizzo VMware, Inc. 99

100 Procedura u Utilizzando una versione del programma ThinApp supportata da VMware Identity Manager, creare il pacchetto ThinApp aggiornato utilizzando uno dei metodi disponibili. Opzione Rieseguire l'acquisizione utilizzando Setup Capture. Aggiornare manualmente il file Package.ini, quindi ricostruire il pacchetto. Utilizzare il comando relink -h con le opzioni AppID e VersionID. Descrizione Utilizzare questo metodo quando la cartella del progetto per il pacchetto ThinApp esistente gestito da VMware Identity Manager non è disponibile. Per creare un pacchetto aggiornato con Setup Capture, sono necessari solo i seguenti elementi: Gli eseguibili dell'applicazione dal pacchetto ThinApp esistente Il programma d'installazione dell'applicazione Setup Capture e il programma ThinApp in una versione supportata da VMware Identity Manager. Durante il processo di acquisizione, scegliere di gestire il pacchetto con VMware Identity Manager e specificare che il pacchetto è un aggiornamento di un pacchetto ThinApp di base esistente. Sfogliare la cartella che contiene gli eseguibili del pacchetto ThinApp correntemente gestito. Accedere alla cartella e non specificare gli eseguibili. Con questo metodo non è necessario ottenere i valori AppID o VersionID prima di aver creato il pacchetto aggiornato. Dopo aver specificato che il pacchetto è un aggiornamento e dopo aver specificato la versione precedente in Setup Capture, il processo di acquisizione legge l'appid del pacchetto precedente e lo riutilizza per il pacchetto aggiornato. Il processo fornisce anche un VersionID incrementato per il pacchetto aggiornato, e assegna lo stesso InventoryName. Utilizzare questo metodo quando non si dispone del programma d'installazione per il processo di riacquisizione oppure quando occorre aggiornare il pacchetto con una versione di ThinApp più recente e si desidera aggiornare più di quanto il comando relink possa gestire. Poiché la rigenerazione di un pacchetto integra le modifiche al file system e al registro che provengono da una nuova versione di ThinApp, una rigenerazione rileverebbe tali modifiche proprio come quando una nuova versione di ThinApp fornisce un nuovo parametro Package.ini da impostare. Per contrassegnare il nuovo pacchetto come un aggiornamento, modificare i seguenti parametri di VMware Identity Manager nella sezione [Build Options] del file Package.ini: Impostare il parametro AppID per farlo corrisponde al valore di AppID dell'applicazione ThinApp correntemente gestita. Non è possibile riutilizzare un valore di genid per AppID, poiché in quel caso verrebbe generato un nuovo valore di AppID per il pacchetto aggiornato e VMware Identity Manager non riconoscerebbe il nuovo pacchetto come aggiornamento di quello esistente. Incrementare il valore del parametro VersionID a un intero più alto rispetto al pacchetto ThinApp correntemente gestito. Se non c'è alcun parametro VersionID impostato per il pacchetto correntemente gestito, per impostazione predefinita il suo valore è 1, e sarebbe necessario aggiungere una riga per il parametro VersionID in Package.ini e impostarlo sul valore 2 (VersionID = 2). Assicurarsi che il valore del parametro InventoryName corrisponda al valore di InventoryName del pacchetto correntemente gestito. I valori di InventoryName per il pacchetto corrente e il pacchetto aggiornato devono coincidere. Utilizzare questo metodo in uno dei seguenti casi: Non è presente la cartella di progetto per l'applicazione. VMware, Inc. 100

101 Opzione Descrizione Il pacchetto è stato già acquisito, costruito e testato all'esterno di un ambiente VMware Identity Manager e gli unici passaggi rimanenti sono attivare il pacchetto aggiornato per VMware Identity Manager e collocarlo nella condivisione di rete utilizzata da VMware Identity Manager. Si sta aggiornando il pacchetto solo per aggiornare il runtime di ThinApp per il pacchetto al fine di incorporare le correzioni agli errori disponibili nella nuova versione di ThinApp. Se ad esempio è stata cambiata la directory di progetto, incluso il file Package.ini, per un'applicazione virtuale, ricostruito il pacchetto e testato il pacchetto, l'ambiente di test potrebbe non essere stato VMware Identity Manager. Il passaggio finale di aggiornamento dell'applicazione è l'aggiornamento per VMware Identity Manager. A quel punto, il percorso più semplice consiste nell'utilizzare il comando relink - h invece di riacquisire o ricostruire. Nota Il runtime ThinApp viene aggiornato quando si esegue il comando relink - h su un pacchetto ThinApp. È possibile eseguire il comando relink dalla directory Programmi di ThinApp per visualizzare la guida della sintassi del comando. Quando il pacchetto ThinApp esistente è già attivato per l'uso da parte di VMware Identity Manager, è possibile eseguire il comando seguente per riutilizzare l'appid esistente del pacchetto e incrementare VersionID: relink -h -VersionID + cartella-eseguibile/*.* Dove executable-folder è una cartella contenente gli eseguibili del pacchetto ThinApp da aggiornare. Importante Quando si utilizza il comando relink, non sarà possibile fare riferimento alla cartella degli eseguibili del pacchetto sulla condivisione di rete utilizzata per i pacchetti ThinApp nell'ambiente di VMware Identity Manager. Quando aggiorna il runtime ThinApp, il comando converte i vecchi eseguibili in file BAK e scrive tali file, insieme ai nuovi file, nella cartella. Poiché la condivisione di rete di solito non consente la scrittura, è necessario che il nuovo collegamento punti a una copia della cartella di eseguibili. Altri casi di utilizzo del comando relink, inclusa l'attivazione di un pacchetto ThinApp per l'uso in un ambiente VMware Identity Manager, sono illustrati nell'articolo della knowledge base di VMware all'indirizzo È disponibile un set di file (file EXE e facoltativamente file DAT) per il pacchetto ThinApp aggiornato. Operazioni successive Copiare i file in una nuova sottocartella nella condivisione di rete, completando i passaggi in Copiare un pacchetto ThinApp aggiornato nella condivisione di rete. Copiare un pacchetto ThinApp aggiornato nella condivisione di rete Dopo aver creato un pacchetto ThinApp aggiornato, copiare i file corrispondenti in una nuova sottocartella allo stesso livello della sottocartella esistente nella condivisione di rete. VMware, Inc. 101

102 Prerequisiti Assicurarsi di disporre dei file necessari per il pacchetto ThinApp aggiornato in seguito al completamento dei passaggi descritti in Creazione del pacchetto ThinApp aggiornato e all'incremento del valore di VersionID. Assicurarsi di avere accesso alla condivisione di rete e di poter creare sottocartelle e copiare fine in esse. Procedura 1 Nella cartella della condivisione di rete, creare una nuova sottocartella per il pacchetto ThinApp aggiornato. Mantenere la sottocartella esistente del pacchetto ThinApp che si sta aggiornando e non alterarne il contenuto. A seguito della successiva sincronizzazione pianificata, VMware Identity Manager ignora il pacchetto precedente, quando riconosce che il nuovo pacchetto ha lo stesso valore di AppID e un valore di VersionID più elevato. Di solito, il nome che viene assegnato alla sottocartella corrisponde al nome dell'applicazione ThinApp, o almeno indica l'applicazione presente nella cartella. Ad esempio, se la condivisione di rete si chiama appshare su un host denominato server e l'applicazione è denominata abceditor, allora la sottocartella per il pacchetto ThinApp sarà \\server\appshare\abceditor. Nota Non utilizzare caratteri non ASCII quando si creano i nomi delle sottocartelle della condivisione di rete per i pacchetti ThinApp da distribuire mediante VMware Identity Manager. I caratteri non ASCII non sono supportati. 2 Copiare i file EXE e DAT del pacchetto ThinApp aggiornato nella nuova sottocartella. 3 (Facoltativo) Se non si desidera attendere la successiva sincronizzazione, è possibile sincronizzare manualmente VMware Identity Manager con la condivisione di rete dalla pagina App in pacchetto - ThinApp delle console di amministrazione. Quando VMware Identity Manager esegue la sincronizzazione pianificata con la cartella della condivisione di rete e incontra un'applicazione con lo stesso AppID di un'altra applicazione, confronta i valori di VersionID. Il pacchetto ThinApp con il VersionID più alto viene utilizzato come aggiornamento più recente. VMware Identity Manager incorpora automaticamente i permessi utente precedenti nel pacchetto ThinApp con il VersionID più alto e i collegamenti ai sistemi degli utenti vengono sincronizzati per puntare al pacchetto aggiornato. Eliminazione di pacchetti ThinApp da VMware Identity Manager È possibile rimuovere in modo permanente un pacchetto ThinApp da VMware Identity Manager. Quando si elimina un pacchetto ThinApp da VMware Identity Manager, lo si rimuove in modo permanente. Non sarà più possibile autorizzare gli utenti al pacchetto ThinApp a meno che non lo si aggiunga nuovamente a VMware Identity Manager. VMware, Inc. 102

103 Procedura 1 Eliminare la sottocartella del pacchetto ThinApp dalla condivisione file di rete, ovvero dal repository di pacchetti ThinApp connesso a VMware Identity Manager. 2 Eliminare l'applicazione da VMware Identity Manager. a b c d e f Accedere all'console di amministrazione. Fare clic sulla scheda Catalogo > App virtuali. Fare clic su Qualsiasi tipo di applicazione > Pacchetti ThinApp. Cercare il pacchetto ThinApp da eliminare. Fare clic sul nome del pacchetto ThinApp per visualizzare la relativa pagina di risorse. Fare clic su Elimina, leggere il messaggio di conferma e scegliere Sì per procedere con l'eliminazione. Il pacchetto ThinApp non esiste più nel catalogo di VMware Identity Manager. Impostazione dei pacchetti ThinApp come compatibili con VMware Identity Manager È possibile convertire un pacchetto ThinApp da uno che non è compatibile con VMware Identity Manager in uno che VMware Identity Manager può distribuire e gestire. È possibile utilizzare uno dei seguenti metodi: utilizzare il comando ThinApp relink, rigenerare il pacchetto dai file di progetto ThinApp dopo aver modificato il file Package.ini per aggiungere i parametri necessari di VMware Identity Manager oppure acquisire nuovamente l'applicazione Windows con le impostazioni appropriate di VMware Identity Manager selezionate nel programma ThinApp Setup Capture. Nota Un pacchetto ThinApp che è compatibile con VMware Identity Manager può essere utilizzato per una distribuzione di VMware Identity Manager. Solo gli utenti di VMware Identity Manager che hanno installato l'applicazione di VMware Identity Manager Desktop possono avviare ed eseguire questi pacchetti abilitati. Durante il runtime, il pacchetto ThinApp carica una DLL denominata specificamente e utilizza tale DLL per verificare il permesso dell'utente con VMware Identity Manager. Poiché la DLL è installata con l'applicazione VMware Identity Manager Desktop, questi pacchetti ThinApp possono essere eseguiti solo su sistemi Windows su cui è installata l'applicazione VMware Identity Manager Desktop. Prerequisiti Verificare di disporre dell'accesso agli elementi necessari per il metodo scelto. Se si utilizza il comando relink, verificare di disporre dei file eseguibili per il pacchetto ThinApp che viene convertito e l'applicazione relink.exe di ThinApp Se si aggiorna il file Package.ini del progetto ThinApp e si rigenera il pacchetto, verificare di disporre dei file di progetto necessari dal programma ThinApp per la rigenerazione. VMware, Inc. 103

104 Se si acquisisce di nuovo l'applicazione Windows, verificare di disporre del programma Setup Capture ThinApp e del programma di installazione dell'applicazione richiesti dal programma per acquisire di nuovo l'applicazione. Fare riferimento alla Guida per l'utente di ThinApp per maggiori dettagli. Verificare di poter accedere alla condivisione di rete ThinApp utilizzata da VMware Identity Manager e di poter creare sottocartelle e copiare i file. VMware, Inc. 104

105 Procedura u Utilizzando una versione del programma ThinApp supportata da VMware Identity Manager, creare un pacchetto ThinApp compatibile utilizzando uno dei metodi disponibili. Opzione Utilizzare il comando relink -h. Descrizione L'uso del comando relink -h è il metodo più semplice. Utilizzare il programma relink.exe da ThinApp o versione successiva. Utilizzare questo metodo in uno dei seguenti casi: Non è possibile utilizzare il metodo di rigenerazione in quanto non è presente la cartella di progetto. L'uso di Setup Capture per acquisire di nuovo l'applicazione richiede troppo tempo. Non si dispone del programma di installazione dell'applicazione richiesto per la riacquisizione con Setup Capture. Nota Il runtime ThinApp viene aggiornato quando si esegue il comando relink - h su un pacchetto ThinApp. È possibile eseguire il comando relink dalla directory Programmi di ThinApp per visualizzare la guida della sintassi del comando. Per creare un pacchetto compatibile, utilizzare la sintassi di base del comando: relink -hcartella-eseguibile/*.* dove cartella-eseguibile è una cartella contenente gli eseguibili del pacchetto ThinApp che si desidera aggiornare. Importante Quando si utilizza il comando relink, non sarà possibile fare riferimento alla cartella degli eseguibili del pacchetto sulla condivisione di rete utilizzata per i pacchetti ThinApp nell'ambiente di VMware Identity Manager. Quando aggiorna il runtime ThinApp, il comando converte i vecchi eseguibili in file BAK e scrive tali file, insieme ai nuovi file, nella cartella. Poiché la condivisione di rete di solito non consente la scrittura, è necessario che il nuovo collegamento punti a una copia della cartella di eseguibili. Altri casi di utilizzo per il comando relink sono descritti nell'articolo della knowledge base VMware all'indirizzo Aggiornare manualmente il file Package.ini con i parametri necessari, quindi rigenerare il pacchetto. Utilizzare questo metodo quando non è disponibile il programma di installazione dell'applicazione per il processo di riacquisizione, se si desidera evitare la configurazione up-front richiesta dalla riacquisizione dell'applicazione o se si desidera integrare le funzionalità da una versione più recente di ThinApp più di quanto farebbe il comando relink. Poiché la rigenerazione di un pacchetto integra le modifiche al file system e al registro che provengono da una nuova versione di ThinApp, una rigenerazione rileverebbe tali modifiche proprio come quando una nuova versione di ThinApp fornisce un nuovo parametro Package.ini da impostare. Nella sezione [Build Options] del file Package.ini, aggiungere i seguenti parametri: ;--- VMware Identity Manager Parameters --- AppID=genid NotificationDLLs=hzntapluginlugin.dll VMware, Inc. 105

106 Opzione Descrizione hzntaplugin.dll è la DLL che il runtime ThinApp richiama per verificare i permessi dell'utente di VMware Identity Manager per l'uso dell'applicazione virtualizzata. Facoltativamente, è possibile includere il parametro HorizonOrgURL e impostarlo sul proprio nome di dominio completo di VMware Identity Manager. Vedere Installazione e configurazione di VMware Identity Manager. Acquisire di nuovo l'applicazione utilizzando Setup Capture, quindi selezionare le impostazioni necessarie di VMware Identity Manager. Utilizzare questo metodo se si desidera acquisire di nuovo l'applicazione piuttosto che utilizzare uno degli altri metodi. Per creare un pacchetto compatibile utilizzando ThinApp Setup Capture, selezionare le impostazioni appropriate nella procedura guidata per gestire il pacchetto con VMware Identity Manager durante il processo di acquisizione. Vedere la guida per l'utente di ThinApp per i dettagli del processo di acquisizione. È disponibile una serie di file (file EXE e facoltativamente file DAT) per un pacchetto ThinApp che può essere distribuito e gestito da VMware Identity Manager. Operazioni successive Per le operazioni da eseguire per aggiungere i pacchetti ThinApp alla condivisione di rete, vedere Creazione di una condivisione di rete per i pacchetti ThinApp gestiti da VMware Identity Manager. Modifica della cartella di condivisione dei pacchetti ThinApp Dopo aver configurato l'accesso di VMware Identity Manager ai pacchetti ThinApp, l'ambiente IT potrebbe cambiare in modo tale da avere i pacchetti ThinApp in una nuova posizione. Se si verifica questa eventualità, aggiornare il percorso alla nuova posizione dalla console di amministrazione. Prerequisiti Verificare che la nuova posizione di condivisione di rete soddisfi i requisiti di condivisione di rete descritti in Requisiti di VMware Identity Manager per i pacchetti ThinApp e il repository della condivisione di rete. Procedura 1 Accedere all'console di amministrazione. 2 Selezionare la scheda Catalogo > App virtuali, quindi fare clic su Configurazione app virtuali. 3 Fare clic sul nome della raccolta di ThinApp. 4 Cambiare il valore nella casella di testo Percorso inserendo quello della nuova cartella condivisa in cui si trovano i pacchetti ThinApp, utilizzando il formato di percorsi UNC. 5 (Facoltativo) Se la condivisione di rete precedente era una condivisione CIFS e quella nuova è una condivisione DFS, selezionare la casella di controllo Abilita accesso basato su account e immettere il nome e la password di un utente dotato di accesso in lettura alla condivisione di rete. 6 Fare clic su Salva. VMware, Inc. 106

107 Impostazione di criteri di accesso per applicazioni e desktop specifici Il set di criteri di accesso predefinito si applica a tutte le applicazioni e i desktop nel catalogo. È inoltre possibile impostare criteri di accesso per singole applicazioni o pool di desktop, che sostituiscono il criterio di accesso predefinito. È possibile applicare un criterio di accesso a una o più applicazioni e desktop dalla pagina Criteri o seleziona il criterio di accesso per un'applicazione specifica dalla pagina di configurazione dell'applicazione. Per ulteriori informazioni sui criteri di accesso, vedere la guida all'amministrazione di VMware Identity Manager. Procedura 1 Per applicare un criterio di accesso alle applicazioni e ai desktop dalla pagina Criteri, procedere come segue. a b c d e Passare alla pagina Gestione identità e accessi > Gestisci > Criteri. Fare clic su un criterio per modificarlo oppure fare clic su Aggiungi criterio per creare un nuovo criterio. Nella pagina del criterio, modificare o definire il criterio. Nella sezione Applicabile a, selezionare le applicazioni a cui si desidera applicare il criterio. Fare clic su Salva. 2 Per selezionare un criterio di accesso per un'applicazione specifica dalla pagina di configurazione dell'applicazione, selezionare questi passaggi. a b c d Fare clic sulla scheda Catalogo > App virtuali. Fare clic sull'applicazione. Nel riquadro a sinistra fare clic su Criteri di accesso. Selezionare il criterio di accesso per l'applicazione e fare clic su Salva. VMware, Inc. 107

108 Configurazione di VMware 7 Identity Manager Desktop Per poter eseguire i pacchetti ThinApp per loro registrati utilizzando VMware Identity Manager, è necessario che sui sistemi Windows degli utenti di VMware Identity Manager sia installata e in esecuzione l'applicazione VMware Identity Manager Desktop. L'applicazione VMware Identity Manager Desktop può essere installata facendo doppio clic sul file eseguibile del relativo programma d'installazione e completando l'installazione guidata, avviando il file eseguibile con le opzioni da riga di comando o eseguendo uno script che utilizza le opzioni da riga di comando. Per installare l'applicazione, sono richiesti i privilegi da amministratore. La configurazione dell'applicazione VMware Identity Manager Desktop sull'endpoint Windows determina se un pacchetto ThinApp distribuito mediante VMware Identity Manager viene distribuito in modalità di streaming ThinApp, RUN_FROM_SHARE, o con una delle modalità di download, COPY_TO_LOCAL o HTTP_DOWNLOAD. Quando si crea lo script per installare VMware Identity Manager Desktop in modalità silenziosa negli endpoint Windows, ad esempio in computer desktop e portatili, è possibile specificare le opzioni che impostano la modalità di distribuzione dei pacchetti ThinApp. Scegliere la modalità di distribuzione che meglio si adatta al proprio ambiente di rete per gli endpoint selezionati, considerando dettagli quali la latenza di rete. Importante La modalità HTTP_DOWNLOAD richiede che l'url del provider di identità sia raggiungibile dal computer Windows dell'utente. Le modalità RUN_FROM_SHARE e COPY_TO_LOCAL richiedono che la condivisione ThinApp sia raggiungibile dal computer Windows dell'utente. Nota Se durante l'installazione dell'applicazione VMware Identity Manager Desktop sono aperte finestre del browser, all'avvio dei pacchetti ThinApp dal portale utente possono verificarsi dei problemi. Chiudere tutte le finestre del browser prima dell'installazione dell'applicazione oppure, immediatamente dopo aver installato l'applicazione, riavviare il browser. Vedere Non è possibile avviare i pacchetti ThinApp dal portale utente. Questo capitolo include i seguenti argomenti: Opzioni del programma d'installazione da riga di comando per VMware Identity Manager Desktop Installazione dell'applicazione VMware Identity Manager Desktop con impostazioni uguali in più sistemi Windows Aggiunta dei file del programma di installazione di VMware Identity Manager Desktop alle appliance virtuali di VMware Identity Manager VMware, Inc. 108

109 Utilizzo dell'applicazione da riga di comando hws-desktop-ctrl.exe Opzioni del programma d'installazione da riga di comando per VMware Identity Manager Desktop È possibile impostare svariate opzioni per l'applicazione VMware Identity Manager Desktop quando si esegue il relativo programma d'installazione dalla riga di comando o con uno script di distribuzione. Opzioni da riga di comando disponibili per il programma d'installazione di the VMware Identity Manager Desktop Dopo aver scaricato il file.exe del programma d'installazione dell'applicazione client su un sistema Windows, è possibile visualizzare l'elenco delle opzioni d'installazione eseguendo il comando seguente: VMware-Identity-Manager-Desktop-n.n.n-nnnnnnn /? dove n.n.n-nnnnnnn rappresenta la versione e il numero di build del file. Appare una finestra di dialogo con l'elenco delle opzioni d'installazione disponibili per l'installazione dell'applicazione client dalla riga di comando o con uno script di distribuzione. Tabella 7-1. Opzioni programma d'installazione da riga di comando Opzione programma d'installazione Valore Descrizione /? Visualizza le opzioni programma d'installazione da riga di comando. /a Esegue un'installazione amministrativa. Per ulteriori informazioni, vedere la documentazione del programma d'installazione di Windows. /a percorso completo dell'installazione amministrativa esistente Applica una patch a un'installazione amministrativa esistente. /s Nasconde la finestra di dialogo dell'inizializzazione durante l'installazione. Per installare in modalità silenziosa, utilizzare /s /v/qn. In modalità silenziosa, durante l'installazione non viene visualizzato alcun messaggio, finestra di dialogo o richiesta d'immissione. Generalmente, questa opzione è utilizzata quando si crea uno script di distribuzione per eseguire il programma d'installazione. /v coppie key-value Set di parametri da passare al programma d'installazione, specificati in coppie key-value. Utilizzare il formato key=value. Questi argomenti configurano le opzioni di runtime per i pacchetti ThinApp e in generale per VMware Identity Manager Desktop. /c Cancella le informazioni di registrazione dell'installazione. VMware, Inc. 109

110 Opzione programma d'installazione Valore Descrizione /l [percorso completo del file di registro] Esegue la registrazione dettagliata e salva in un file di registro specificato. Se non si specifica un file di registro, viene utilizzato un file di registro predefinito in %TEMP%. /x Decomprime il programma d'installazione nella cartella %TEMP%. Coppie chiave-valore per l'opzione /v È possibile utilizzare le seguenti coppie chiave-valore per l'opzione /v del programma d'installazione. VMware, Inc. 110

111 Tabella 7-2. Chiavi per l'opzione da riga di comando /v del programma d'installazione Chiave Valore Descrizione WORKSPACE_SER VER INSTALL_MODE Nome host o URL del servizio di VMware Identity Manager Uno dei seguenti: COPY_TO_LOCAL HTTP_DOWNLOAD RUN_FROM_SHARE fornisce il nome host o l'url del servizio di VMware Identity Manager, per permettere all'applicazione VMware Identity Manager Desktop di comunicare con il servizio. Il protocollo richiesto è HTTPS. Racchiudere il valore tra virgolette. Utilizzare il seguente formato: WORKSPACE_SERVER=" oppure WORKSPACE_SERVER="VMwareIdentityManagerHostName" Ad esempio: WORKSPACE_SERVER=" WORKSPACE_SERVER="myserver" Imposta la modalità di distribuzione per definire come l'applicazione VMware Identity Manager Desktop dovrà ottenere i pacchetti ThinApp in runtime. I pacchetti ThinApp sono applicazioni di Windows virtualizzate. I pacchetti ThinApp risiedono in una condivisione di rete integrata con VMware Identity Manager. COPY_TO_LOCAL: i pacchetti autorizzati per l'utente vengono scaricati nel sistema Windows del client tramite copia di file. Quando l'utente avvia un pacchetto ThinApp, l'applicazione virtualizzata viene eseguita localmente su quel sistema. Prima che l'utente scarichi e utilizzi un pacchetto ThinApp autorizzato e continui la sincronizzazione dei pacchetti nel sistema Windows client, quest'ultimo deve essere già unito allo stesso dominio Active Directory a cui è appartiene la condivisione di rete dei pacchetti ThinApp. L'account dell'utente utilizzato per accedere al sistema Windows è l'account utilizzato per ottenere i pacchetti ThinApp dalla condivisione di rete. Tale account deve disporre delle autorizzazioni appropriate sulla condivisione di rete per leggere e copiare i file dalla condivisione. Importante La modalità COPY_TO_LOCAL richiede che la condivisione di ThinApp sia raggiungibile dal sistema Windows dell'utente. HTTP_DOWNLOAD: i pacchetti autorizzati per l'utente vengono scaricati nel sistema Windows del client utilizzando il protocollo HTTP. Quando l'utente avvia un pacchetto ThinApp, l'applicazione virtualizzata viene eseguita localmente su quel sistema. L'applicazione VMware Identity Manager Desktop utilizza l'account del sistema VMware Identity Manager dell'utente per autenticarsi in VMware Identity Manager e ottenere l'elenco dei pacchetti autorizzati per l'utente da scaricare. L'account utente della condivisione fornito nella console di amministrazione per l'attivazione dell'accesso basato su account alla condivisione di rete dei pacchetti ThinApp corrisponde all'account utilizzato da VMware Identity Manager per accedere ai pacchetti ThinApp dal repository. Questo account utente della condivisione per VMware Identity Manager richiede l'autorizzazione in lettura sulla condivisione di rete. L'account che l'utente ha utilizzato per accedere al sistema Windows del client e l'account del sistema VMware Identity Manager dell'utente non richiedono alcuna autorizzazione sulla condivisione di rete. Il sistema Windows del client non deve essere unito allo stesso dominio a cui appartiene la condivisione di rete dei pacchetti ThinApp. Questo metodo di download in genere è più lento rispetto ad altre modalità. Il vantaggio di questa modalità è che il sistema Windows del client non deve essere unito al dominio Active Directory per ottenere ed eseguire l'applicazione virtualizzata. Importante Affinché l'opzione HTTP_DOWNLOAD funzioni, l'integrazione dei pacchetti ThinApp in VMware Identity Manager deve essere configurata per l'accesso basato su account. Vedere Installazione e configurazione di VMware Identity Manager. VMware, Inc. 111 Importante Per VMware Identity Manager 2.6 e versioni successive in Windows 2008 R2 o Windows 7, l'opzione HTTP_DOWNLOAD non funziona a

112 Chiave Valore Descrizione POLLING_INTERVA L Frequenza in secondi Imposta la frequenza, in secondi, della sincronizzazione tra l'applicazione VMware Identity Manager Desktop installata e VMware Identity Manager per verificare la presenza di nuovi pacchetti ThinApp o permessi. Se non specificato, viene applicato il valore predefinito di 300 secondi (5 minuti). Ad esempio: POLLING_INTERVAL=600 ENABLE_AUTOUPD ATE 0 o 1 Attiva o disattiva il controllo di aggiornamento automatico e l'attività di download. Se attivata, l'applicazione VMware Identity Manager Desktop installata controlla automaticamente se è disponibile un'applicazione più recente per il download. Se è disponibile una versione più recente, l'applicazione VMware Identity Manager Desktop viene scaricata e aggiornata automaticamente alla versione più recente. Questa opzione è attivata per impostazione predefinita. Impostare il valore di questa variabile su 0 per disattivare l'aggiornamento automatico. Se non specificato, viene applicato il valore predefinito 1. L'installazione di aggiornamenti automatici richiede privilegi di amministratore. SHARED_CACHE 0 o 1 Determina se la cache del pacchetto ThinApp si trova in una cartella comune nel sistema Windows in cui si sta installando l'applicazione client. Impostare il valore di questa variabile su 1 per specificare che tutti gli account utente nel sistema Windows condividono una posizione di cache comune. Per impostazione predefinita, la cartella comune è %ProgramData%\VMware\Identity Manager Desktop\thinapp. Se non specificato, viene applicato il valore predefinito 0 e ogni account utente di Windows ottiene la propria cache; la posizione predefinita è %LOCALAPPDATA% \VMware\Identity Manager Desktop\thinapp. Nota Se si specifica una cache condivisa, l'applicazione VMware Identity Manager Desktop non elimina automaticamente i pacchetti ThinApp da questa cache condivisa. Dato che SHARED_CACHE=1 indica che tutti gli account utente nel sistema Windows condividono la stessa posizione, i pacchetti devono rimanere nella posizione condivisa in modo che gli utenti autorizzati possano utilizzarli, anche quando si rimuovono i permessi a un utente. Quando si annullano i permessi di un utente dal pacchetto ThinApp, l'applicazione VMware Identity Manager Desktop annulla la registrazione del pacchetto per l'utente. Gli altri utenti autorizzati di quel sistema Windows possono continuare a utilizzare il pacchetto ThinApp. È possibile eliminare manualmente la cache comune per liberare spazio se nessun account utente sul sistema Windows è autorizzato a utilizzare pacchetti ThinApp. Ogni pacchetto ThinApp ha la propria cartella all'interno della posizione della cache. CACHE_DIR Percorso della cartella Impostare la posizione in cui i pacchetti ThinApp saranno memorizzati in cache localmente se sono utilizzate le modalità d'installazione HTTP_DOWNLOAD o COPY_TO_LOCAL. Questo valore è impostato per sistema, non per utente, pertanto è necessario utilizzare variabili d'ambiente quali %LOCALAPPDATA%, per selezionare posizioni specifiche degli utenti. Accertarsi di utilizzare il carattere di escape % nella riga di comando per impedire l'espansione immediata. Ad esempio: CACHE_DIR=^%LOCALAPPDATA^%\cache VMware, Inc. 112

113 Chiave Valore Descrizione AUTO_TRY_HTTP 0 o 1 Quando l'applicazione VMware Identity Manager Desktop viene installata con l'opzione COPY_TO_LOCAL e per VMware Identity Manager è configurato l'accesso basato su account, l'opzione AUTO_TRY_HTTP determina se il client deve provare a scaricare automaticamente i pacchetti ThinApp autorizzati per l'utente utilizzando il protocollo HTTP, in modo simile all'opzione HTTP_DOWNLOAD, se il primo tentativo di download non riesce. Questa opzione è attivata per impostazione predefinita. Impostare il valore di questa opzione su 0 per disattivare automaticamente i tentativi di download del protocollo HTTP. Importante Affinché l'opzione AUTO_TRY_HTTP funzioni, l'integrazione dei pacchetti ThinApp in VMware Identity Manager deve essere configurata per l'accesso basato su account. Vedere Requisiti di VMware Identity Manager per i pacchetti ThinApp e il repository della condivisione di rete. INSTALL_MODULES thinapp Elenco di valori delimitati da virgole che specifica quali moduli installare. Attualmente è disponibile solo il modulo thinapp. MIGRATE_ACTION Uno dei seguenti: MOVE COPY NONE Se è installata la vecchia applicazione Workspace per Windows, il programma d'installazione eseguirà la migrazione dei dati e delle impostazioni dall'applicazione precedente a quella nuova. Il valore predefinito è MOVE. In base al valore specificato, le seguenti impostazioni vengono spostate, copiate o ignorate. Pacchetti ThinApp in cache I pacchetti ThinApp scaricati vengono copiati dalla cache di Workspace per Windows, %LOCALAPPDATA%\VMware\Horizon ThinApp\PackageCache, alla nuova posizione della cache, %LOCALAPPDATA%\VMware\Identity Manager Desktop\thinapp. I nomi delle cartelle all'interno della cartella della cache saranno modificati. Importante Le proprietà impostate per VMware Identity Manager durante l'installazione hanno la priorità rispetto a qualsiasi valore migrato per queste proprietà. Se ad esempio INSTALL_MODE in Workspace per Windows è stato impostato su COPY_TO_LOCAL e durante l'installazione di Identity Manager Desktop si specifica /v INSTALL_MODE=HTTP_DOWNLOAD, INSTALL_MODE viene impostata su HTTP_DOWNLOAD. Esempio: Utilizzo delle opzioni del programma d'installazione di VMware Identity Manager Desktop da riga di comando Se l'istanza di VMware Identity Manager ha l'url e VMware Identity Manager è configurato per l'accesso basato su account nella condivisione di rete dei pacchetti ThinApp, e si desidera installare l'applicazione VMware Identity Manager Desktop in modalità silenziosa su più desktop di quella istanza di VMware Identity Manager con queste opzioni: Opzione d'installazione di ThinApp impostata su HTTP_DOWNLOAD, poiché si prevede che questi sistemi Windows molto probabilmente non saranno unità al dominio. VMware Identity Manager è correttamente configurato per l'accesso basato su account sulla condivisione di rete dei pacchetti ThinApp. Il client controlla la presenza di nuovi pacchetti e permessi con VMware Identity Manager ogni 60 secondi. VMware, Inc. 113

114 È possibile creare uno script che richiami il comando seguente: VMware-Identity-Manager-Desktop-n.n.n-nnnnnnn.exe /s /v/qn WORKSPACE_SERVER=" INSTALL_MODE=HTTP_DOWNLOAD POLLING_INTERVAL=60 dove n.n.n-nnnnnnn viene sostituito dalla parte di nome file corrispondente al nome del programma d'installazione di VMware Identity Manager Desktop scaricato. Installazione dell'applicazione VMware Identity Manager Desktop con impostazioni uguali in più sistemi Windows Per distribuire l'applicazione VMware Identity Manager Desktop in più sistemi Windows applicando le stesse impostazioni di configurazione in tutti i sistemi, è possibile implementare uno script che installa l'applicazione VMware Identity Manager Desktop utilizzando le opzioni di installazione da riga di comando. Importante Quando si distribuisce VMware Identity Manager Desktop in modalità silenziosa, i messaggi di errore non vengono visualizzati a schermo. Per verificare l'eventuale comparsa di errori durante un'installazione silenziosa, monitorare la cartella %TEMP% e controllare se vengono creati nuovi file vminst.xxxxxx.log. In questi file vengono registrati i messaggi di errore di un'installazione silenziosa non riuscita. In genere, questo scenario di distribuzione è utilizzato per sistemi Windows che sono desktop di View. Per una descrizione delle impostazioni da utilizzare per desktop di View non permanenti (definiti anche dinamici o stateless), vedere #unique_77. Prerequisiti Verificare che i sistemi Windows eseguano i sistemi operativi Windows supportati dalla versione dell'applicazione VMware Identity Manager Desktop che si sta installando. Consultare la Guida per gli utenti di VMware Identity Manager o le note sulla versione. Verificare che sui sistemi Windows siano installati browser supportati. Se si desidera eseguire un comando per conoscere le opzioni disponibili prima di creare lo script di distribuzione, è necessario disporre di un sistema Windows su cui eseguire il comando. Il comando per elencare le opzioni è disponibile solo su un sistema Windows. Vedere Opzioni del programma d'installazione da riga di comando per VMware Identity Manager Desktop. Procedura 1 Ottenere il file eseguibile del programma d'installazione di VMware Identity Manager Desktop e collocarlo nel sistema da cui si desidera eseguire il programma d'installazione in modalità silenziosa. Un metodo per ottenere il file eseguibile è scaricarlo utilizzando la pagina di download del sistema VMware Identity Manager. Se il sistema VMware Identity Manager è stato configurato per fornire il programma d'installazione dell'applicazione Windows dalla pagina di download, è possibile scaricare il file eseguibile aprendo l'url della pagina di download in un browser. VMware, Inc. 114

115 2 Utilizzando le opzioni da riga di comando del programma d'installazione, creare uno script di distribuzione che soddisfi le esigenze della propria organizzazione. Esempi di script utilizzabili sono script dei criteri di gruppo di Active Directory, script di accesso, script VB, file batch, SCCM e così via. Ad esempio, se l'url dell'istanza di VMware Identity Manager è si desidera installare in modalità silenziosa il client Windows in sistemi Windows che si prevede saranno utilizzati fuori dal dominio, con la modalità di distribuzione ThinApp impostata su modalità download e si desidera sincronizzare l'applicazione VMware Identity Manager Desktop con il server ogni 60 secondi, è possibile creare uno script che richiami il comando seguente: VMware-Identity-Manager-Desktop-n.n.n-nnnnnnn.exe /s /v /qn WORKSPACE_SERVER=" INSTALL_MODE=HTTP_DOWNLOAD POLLING_INTERVAL=60 dove n.n.n-nnnnnnn viene sostituito dalla parte di nome file corrispondente a quello del file scaricato. 3 Eseguire lo script di distribuzione sui sistemi Windows. Se l'installazione silenziosa ha esito positivo, l'applicazione VMware Identity Manager Desktop viene distribuita nei sistemi Windows. Gli utenti che accedono a questi sistemi Windows possono accedere alle risorse per cui sono autorizzati. Nota Un pacchetto ThinApp autorizzato a un utente viene trasmesso o scaricato e memorizzato in cache nel sistema Windows dell'utente allo scadere dell'intervallo di polling. In questo modo gli utenti potranno vedere il pacchetto ThinApp elencato quando accedono al portale utente di VMware Identity Manager. Il pacchetto ThinApp non viene avviato finché il client non sincronizza l'applicazione al successivo intervallo di polling. Operazioni successive Verificare che VMware Identity Manager Desktop sia installato correttamente sui sistemi Windows provando a eseguire alcune delle tipiche attività degli utenti. Aggiunta dei file del programma di installazione di VMware Identity Manager Desktop alle appliance virtuali di VMware Identity Manager Quando vengono rilasciate nuove versioni di VMware Identity Manager Desktop, è necessario copiare e installare il file zip dalla pagina Download VMware su ogni appliance virtuale di VMware Identity Manager presente nella propria distribuzione. Eseguire il comando check-client-updates.pl per distribuire i file del programma di installazione e riavviare il servizio Tomcat su ogni appliance virtuale. VMware, Inc. 115

116 Prerequisiti Per installare e aggiornare automaticamente l'applicazione VMware Identity Manager Desktop gli utenti devono disporre dei privilegi da amministratore. Se gli utenti non dispongono dei privilegi da amministratore, sarà possibile utilizzare gli strumenti di distribuzione software per distribuire e aggiornare l'applicazione per gli utenti. Pianificare l'aggiunta di tali file del programma di installazione alle appliance virtuali di VMware Identity Manager durante un periodo di manutenzione in quanto l'appliance virtuale viene riavviata e questo potrebbe interrompere l'accesso dell'utente. Procedura 1 Scaricare il file zip di VMware Identity Manager Desktop dalla pagina My VMware Downloads su un computer che possa accedere all'appliance virtuale di VMware Identity Manager. 2 Copiare il file zip in un percorso temporaneo sull'appliance virtuale. Ad esempio: scp filen.n.n-nnnnnnn.zip root@identitymanager-va.com:/tmp/ 3 Accedere all'appliance virtuale come utente root. 4 Decomprimere lo zip e installare il nuovo file nella directory Download. /usr/local/horizon/scripts/check-client-updates.pl --install --clientfile /tmp/file.n.n.nnnnnn.zip Questo script decomprime automaticamente i file e copia il file del programma di installazione di VMware Identity Manager Desktop per i computer Windows nella directory /opt/vmware/horizon/ workspace/webapps/root/client. Lo script aggiorna automaticamente nella directory /opt/ vmware/horizon/workspace/webapps/root/client/cds e aggiorna il valore del parametro dell'url per il collegamento dei download. 5 Riavviare il servizio Tomcat sull'appliance virtuale. 6 Ripetere questi passi per ogni appliance virtuale di VMware Identity Manager presente nel proprio ambiente. Gli utenti possono scaricare l'applicazione Identity Manager Desktop dai relativi account di VMware Identity Manager o con il collegamento di download, Le applicazioni Identity Manager Desktop degli utenti vengono aggiornate automaticamente quando si scarica la nuova versione. Utilizzo dell'applicazione da riga di comando hwsdesktop-ctrl.exe L'applicazione VMware Identity Manager Desktop include un'applicazione da riga di comando, hwsdesktop-ctrl.exe, che può essere utilizzata per eseguire operazioni relative all'utilizzo dei pacchetti ThinApp nel sistema Windows dell'utente. VMware, Inc. 116

117 Il processo di installazione per l'applicazione VMware Identity Manager Desktop installa hws-desktopctrl.exe nella cartella HorizonThinApp che si trova nella posizione della directory di Windows in cui è installata l'applicazione VMware Identity Manager Desktop. Per utilizzare l'applicazione hws-desktop-ctrl.exe per eseguire uno dei suoi comandi supportati, usare il formato seguente. hws-desktop-ctrl.exe commandoptions Comando hws-desktop-ctrl.exe recheck hws-desktop-ctrl.exe setinstallmode=install_mode hws-desktop-ctrl.exe authorizeguid=thinapp_guidpath=package_path Descrizione Questo comando esegue immediatamente una verifica dei permessi dei pacchetti ThinApp associati all'account utente che ha eseguito l'accesso all'applicazione VMware Identity Manager Desktop. Qualsiasi nuovo pacchetto ThinApp autorizzato o aggiornato di recente viene sincronizzato. Questo comando modifica la modalità di distribuzione di ThinApp utilizzata per i pacchetti ThinApp nel sistema Windows. Poiché questo comando modifica le chiavi del registro associate alla modalità di distribuzione di ThinApp, solo gli amministratori che dispongono delle autorizzazioni appropriate per il registro possono modificare la modalità di installazione mediante questo comando. I valori disponibili per install_mode sono: CopyToLocal RunFromShare HttpDownload Questo comando verifica se un pacchetto ThinApp può essere avviato, ma non avvia effettivamente il pacchetto ThinApp. Specificare il GUID del pacchetto ThinApp e il percorso del file eseguibile del pacchetto. Se la modalità di download di ThinApp viene utilizzata per i pacchetti nel sistema client Windows, il percorso è relativo alla cartella root della cache locale, ovvero lo stesso del percorso relativo al root del repository. Un esempio è hws-desktop-ctrl.exe authorize guid= 436E1D7D-552C-4F DB1B05D30394 path="filezilla Client 3.3.2/FileZilla.exe" Il GUID del pacchetto ThinApp, il percorso dell'applicazione e il nome del file eseguibile sono disponibili nella pagina delle risorse corrispondente della console di amministrazione. hws-desktop-ctrl.exe quit hws-desktop-ctrl.exe launchapp=package_pathurl=launch_url Questo comando indica all'applicazione VMware Identity Manager Desktop di eseguire un'uscita pulita. Questo comando viene utilizzato per avviare manualmente un pacchetto ThinApp, in cui package_path è il percorso del file eseguibile del pacchetto e launch_url è l'url del protocollo di VMware Identity Manager per tale pacchetto nel formato horizon://package_path. Un esempio è hws-desktop-ctrl.exe launch app="filezilla Client 3.3.2/ FileZilla.exe" url="horizon://filezilla Client 3.3.2/ FileZilla.exe" Questo comando non viene in genere utilizzato dagli utenti finali, che possono avviare i loro pacchetti ThinApp autorizzati dal portale Workspace ONE. Il comando viene di solito usato per il debug. VMware, Inc. 117

118 Consentire l'accesso a risorse 8 pubblicate Citrix È possibile integrare la distribuzione Citrix con VMware Identity Manager per fornire agli utenti di Workspace ONE l'accesso alle risorse pubblicate da Citrix. Questo capitolo include i seguenti argomenti: Panoramica dell'integrazione delle risorse pubblicate da Citrix Componenti di richiesti per l'integrazione di Citrix Progettazione integrazione di alto livello Prerequisiti per l'integrazione di Citrix Configurazione di server farm Citrix in VMware Identity Manager Configurazione di avvio di risorse Citrix in VMware Identity Manager Configurazione delle impostazioni di VMware Identity Manager per l'integrazione di Citrix Impatto dell'aggiornamento sull'integrazione di risorse pubblicate da Citrix Panoramica dell'integrazione delle risorse pubblicate da Citrix È possibile consentire agli utenti di Workspace ONE di accedere alle risorse pubblicate da Citrix integrando la distribuzione di Citrix con VMware Identity Manager. Le risorse pubblicate Citrix includono applicazioni e desktop nelle server farm Citrix XenApp e Citrix XenDesktop. I desktop vengono anche denominati gruppi di consegna pubblicati Citrix. Gestire i desktop e le applicazioni pubblicate da Citrix nell'interfaccia amministrativa di Citrix. Anche i permessi di utenti e gruppi vengono impostati nell'interfaccia di Citrix, non nel servizio VMware Identity Manager. È necessario sincronizzare tali utenti e gruppi al servizio VMware Identity Manager da Active Directory prima di procedere all'integrazione con le server farm Citrix. Per integrare server farm Citrix con VMware Identity Manager, creare una o più raccolte app virtuali nella console di amministrazione di VMware Identity Manager. Le raccolte contengono le informazioni di configurazione per le server farm, nonché le impostazioni di sincronizzazione. È possibile impostare una pianificazione di sincronizzazione per ogni raccolta al fine di sincronizzare regolarmente risorse e permessi dalle server farm Citrix con il servizio VMware Identity Manager. VMware, Inc. 118

119 Dopo aver integrato la server farm Citrix, è possibile visualizzare i permessi e le risorse sincronizzate nella console di amministrazione di VMware Identity Manager. È anche possibile modificare le impostazioni di sessioni ICA, come ad esempio le impostazioni che controllano la risoluzione o la compressione. È possibile configurare le impostazioni globalmente, per tutte le risorse Citrix nel catalogo di VMware Identity Manager, oppure per risorse Citrix individuali. Gli utenti finali possono avviare applicazioni e desktop pubblicati da Citrix dal portale o dall'app Workspace ONE. Possono installare Citrix Receiver sui loro sistemi e dispositivi per accedere alle risorse per cui sono autorizzati. Nota VMware Identity Manager supporta distribuzioni di Citrix che includono Citrix NetScaler. Versioni supportate VMware Identity Manager supporta Citrix XenApp 5.0, 6.0, 6.5 e 7.x nonché XenDesktop 7.x. VMware Identity Manager supporta Citrix StoreFront API 2.6 e versioni successive. I sistemi operativi supportati per Integration Broker, ovvero il componente di VMware Identity Manager che comunica con la server farm Citrix, sono Windows Server 2008 R2, Windows Server 2012, Windows Server 2012 R2 e Windows Server Nota L'installazione di Integration Broker su Windows Server 2016 è supportata in VMware Identity Manager e versioni successive. Requisiti della versione di Integration Broker: Versione di VMware Identity Manager o Connector Versione di Integration Broker supportata VMware Identity Manager VMware Identity Manager Connector (connettore pubblicato con VMware Identity Manager 3.2) 3.2 VMware Identity Manager VMware Identity Manager Connector (connettore pubblicato con VMware Identity Manager 3.1) 3.1 VMware Identity Manager VMware Identity Manager Connector (connettore pubblicato con VMware Identity Manager 3.0) VMware Identity Manager o versioni precedenti VMware Identity Manager Connector o versioni precedenti o versioni precedenti o versioni precedenti Nota Per utilizzare le API di Citrix StoreFront, è necessario Integration Broker o versione successiva. Per utilizzare XenApp o XenDesktop 7.x, è necessario Integration Broker 2.6 o versione successiva. Per utilizzare la funzionalità NetScaler, è necessario Integration Broker 2.4 o versione successiva. Nota È consigliabile utilizzare la versione più recente di VMware Identity Manager e relativi componenti. VMware, Inc. 119

120 Componenti di richiesti per l'integrazione di Citrix Per integrare una distribuzione Citrix con il servizio VMware Identity Manager, sono necessari i componenti riportati di seguito. Un'istanza di VMware Identity Manager installata on-premise. Un'istanza di Integration Broker installata su un server Windows supportato in locale. Integration Broker, un componente di VMware Identity Manager, è il componente che comunica con i farm del server Citrix. È possibile scaricare Integration Broker dal sito Una distribuzione Citrix on-premise. Durante la distribuzione dei componenti, assicurarsi di rispondere ai requisiti riportati di seguito: Il servizio VMware Identity Manager deve poter comunicare con Integration Broker. Se si distribuiscono più istanze dell'appliance del servizio, assicurarsi che tutte possano comunicare con Integration Broker. Integration Broker deve poter comunicare con la server farm Citrix. Nota È consigliabile utilizzare la versione più recente di VMware Identity Manager e relativi componenti. Progettazione integrazione di alto livello VMware Identity Manager utilizza Integration Broker e altri componenti per sincronizzare le risorse pubblicate da Citrix con VMware Identity Manager e per avviare le risorse dal portale o dall'app Workspace ONE. Sincronizzazione di risorse e permessi pubblicati da Citrix VMware Identity Manager sincronizza applicazioni e desktop pubblicati da Citrix, nonché permessi utente, dalla server farm Citrix al servizio VMware Identity Manager. È possibile impostare una pianificazione di sincronizzazione per sincronizzare permessi e risorse a intervalli regolari. La farm Citrix è l'origine di tutte le operazioni supportate in VMware Identity Manager. È possibile gestire le risorse e autorizzare gli utenti all'utilizzo di tali risorse in Citrix. Quando le risorse o i permessi vengono aggiunti, modificati o eliminati nella farm Citrix, le informazioni in VMware Identity Manager vengono aggiornate dopo una sincronizzazione. VMware, Inc. 120

121 Diagramma dell'architettura di sincronizzazione Workspace ONE Citrix Receiver Receiver Client HTML5 Receiver Receiver For Web (Browser) Configurazione di VMware Identity Manager Componenti di Citrix 4 3 Servizio VMware Identity Manager connettore 1 Integration Broker PowerShell 2 StoreFront Controller Server XML Host sessione Host sessione Host sessione Active Directory Configurazione Citrix Gli utenti e i gruppi vengono sincronizzati dalla directory aziendale al servizio VMware Identity Manager mediante di VMware Identity Manager Connector. I permessi e le risorse pubblicati da Citrix vengono sincronizzati dalla server farm Citrix a VMware Identity Manager mediante il connettore, Integration Broker e PowerShell SDK. Avvio di applicazioni e desktop pubblicati da Citrix VMware Identity Manager utilizza il componente Integration Broker e Citrix Web Interface SDK o REST API Citrix StoreFront per avviare le applicazioni pubblicate da Citrix dal portale o dall'app Workspace ONE. È possibile configurare l'accesso interno ed esterno alle risorse pubblicate da Citrix. Gli utenti finali devono installare Citrix Receiver sul proprio sistema o dispositivo per avviare i desktop e le applicazioni. VMware, Inc. 121

122 Diagramma dell'architettura di avvio (accesso interno) Workspace ONE 5 Citrix Receiver 1 4 File ICA Servizio VMware Identity Manager 2 3 connettore Integration Broker Componenti di Citrix Web Interface SDK/ StoreFront API REST API Autenticazione e richiesta di file ICA StoreFront Controller Host sessione 6 Server XML Server STA Host sessione Host sessione Configurazione Citrix 1 Un utente avvia un'applicazione o un desktop pubblicato da Citrix dal portale o dall'app Workspace ONE. 2 La richiesta passa al servizio VMware Identity Manager, al connettore e a Integration Broker. 3 Integration Broker comunica con la server farm Citrix tramite Web Interface SDK o REST API StoreFront per eseguire l'autenticazione e richiedere il file ICA. 4 Il file ICA viene recuperato e inviato all'app o al portale Workspace ONE. 5 Il file ICA viene inviato a Citrix Receiver. 6 Citrix Receiver avvia l'applicazione o il desktop. VMware, Inc. 122

123 Diagramma dell'architettura di avvio (accesso esterno) Workspace ONE 5 Citrix Receiver 1 4 File ICA Servizio VMware Identity Manager 2 3 connettore Integration Broker Componenti di Citrix Web Interface SDK/ StoreFront API 6 REST API Autenticazione e richiesta di file ICA StoreFront Controller Server XML Server STA Host sessione Host sessione Host sessione 7 NetScaler 8 Configurazione Citrix 1 Un utente avvia un'applicazione o un desktop pubblicato da Citrix dal portale o dall'app Workspace ONE. 2 La richiesta passa al servizio VMware Identity Manager, al connettore e a Integration Broker. 3 Integration Broker comunica con la server farm Citrix tramite Web Interface SDK o REST API StoreFront per eseguire l'autenticazione e richiedere il file ICA. 4 Il file ICA viene recuperato e inviato all'app o al portale Workspace ONE. 5 Il file ICA viene inviato a Citrix Receiver. 6 Citrix Receiver comunica con NetScaler. 7 NetScaler comunica con il server STA Citrix con il ticket STA e recupera le informazioni del server della sessione Citrix. 8 NetScaler comunica con il server host della sessione Citrix e crea una sessione per l'avvio dell'applicazione. Nota Nella versione 7.x, il server host della sessione Citrix è il server Citrix VDA. Nella versione 6.5, è il server Citrix Worker. VMware, Inc. 123

124 Utilizzo di REST API StoreFront o di Web Interface SDK per l'avvio Integration Broker può utilizzare Citrix Web Interface SDK e REST API Citrix StoreFront per comunicare con la distribuzione Citrix e avviare applicazioni e desktop. Quando si utilizza REST API StoreFront, Integration Broker opera come un client REST. Web Interface SDK e REST API StoreFront vengono utilizzati per eseguire l'autenticazione e generare il file ICA dalla distribuzione Citrix. È possibile specificare l'opzione da utilizzare selezionando o deselezionando la casella di controllo Usa StoreFront nella pagina di configurazione di Citrix nella console di amministrazione di VMware Identity Manager. Un'istanza di Integration Broker può utilizzare sia Web Interface SDK sia REST API StoreFront. Se si desidera comunicare con una farm Citrix mediante Web Interface SDK e con un'altra farm Citrix mediante REST API StoreFront, selezionare o deselezionare la casella di controllo Usa StoreFront nel modo appropriato. Per utilizzare l'opzione REST API StoreFront, disponibile in VMware Identity Manager e versioni successive, assicurarsi che siano soddisfatti i requisiti seguenti. Utilizzare l'api StoreFront 2.6 o versione successiva. Installare Integration Broker o versione successiva. Assicurarsi che StoreFront sia supportato dalla versione di XenApp o XenDesktop in uso. Assicurarsi che Integration Broker possa comunicare con il server di StoreFront. Quando si abilita REST API StoreFront, Integration Broker comunica con il server di StoreFront per generare il file ICA. Nel server di StoreFront, quando si configura l'autenticazione per un archivio, i domini attendibili possono essere configurati per il metodo di autenticazione "Nome utente e password". Se si configurano domini attendibili, assicurarsi di aggiungere i nomi dei domini nel formato nome dominio completo all'elenco di "Domini attendibili". Se si utilizzano nomi NetBIOS per StoreFront, aggiungere il nome dominio completo oltre il nome NetBIOS. VMware Identity Manager richiede il nome dominio completo. Se solo il nome NetBIOS viene aggiunto, l'avvio dell'applicazione e del desktop Citrix da Workspace ONE avrà esito negativo. VMware, Inc. 124

125 Nota Per utilizzare REST API StoreFront, non è necessario scaricare o copiare file aggiuntivi nell'installazione. Prerequisiti per l'integrazione di Citrix Prima di configurare i dettagli della server farm Citrix nella console di amministrazione di VMware Identity Manager, è necessario completare alcune attività preliminari obbligatorie. È necessario distribuire e configurare Integration Broker, un componente di VMware Identity Manager, su un Windows Server supportato e configurare la comunicazione remota di Citrix PowerShell per abilitare la comunicazione tra Integration Broker e la server farm Citrix. Le attività di alto livello includono quanto segue: Preparare Windows Server per l'installazione di Integration Broker. Aggiungere ruoli e funzionalità. Installare Microsoft J# 2.0 Redistributable Package. Microsoft J# 2.0 non è necessario se si intende utilizzare REST API StoreFront anziché Citrix Web Interface SDK per connettersi alla server farm Citrix. Installare Integration Broker. Scaricare e installare Integration Broker. Configurare le impostazioni di Gestione IIS per Integration Broker. Configurare il binding HTTPS per Integration Broker. VMware, Inc. 125

126 Impostare la comunicazione remota di Citrix PowerShell per attivare le chiamate remote tra il server di Integration Broker e la server farm Citrix. Installare Citrix PowerShell SDK sul server di Integration Broker. Abilitare la comunicazione remota di PowerShell sui server Citrix (solo per Citrix 5.0 e 6.0). Scaricare e copiare i file dll di Citrix Web Interface SDK. Citrix Web Interface SDK non è necessario se si intende utilizzare REST API di StoreFront per la connessione alla server farm Citrix. Guardare il video seguente per una panoramica del processo. Installazione di Integration Broker per desktop e applicazioni pubblicate da Citrix ( bctid=ref:video_integration_broker_citrix) Informazioni sulla distribuzione di Integration Broker Integration Broker è un componente di VMware Identity Manager utilizzato per comunicare con la server farm Citrix. Installare Integration Broker in locale su un server Windows supportato. Attenersi alle linee guida quando si distribuisce Integration Broker. È possibile installare Integration Broker su Windows Server 2016, Windows Server 2012 R2, Windows Server 2012 e Windows Server 2008 R2. Nota L'installazione di Integration Broker su Windows Server 2016 è supportata in VMware Identity Manager e versioni successive. Tabella 8-1. Requisiti del server di Integration Broker Requisito Note Windows Server 2016, Windows Server 2012 R2, Windows Server 2012 o Windows Server 2008 R2 con processore dual core 4 GB RAM 30 GB Include lo spazio di archiviazione richiesto per il sistema operativo Windows. Requisiti della versione di Integration Broker: Versione di VMware Identity Manager o Connector Versione di Integration Broker supportata VMware Identity Manager VMware Identity Manager Connector (connettore pubblicato con VMware Identity Manager 3.2) 3.2 VMware Identity Manager VMware Identity Manager Connector (connettore pubblicato con VMware Identity Manager 3.1) 3.1 VMware, Inc. 126

127 Versione di VMware Identity Manager o Connector Versione di Integration Broker supportata VMware Identity Manager VMware Identity Manager Connector (connettore pubblicato con VMware Identity Manager 3.0) VMware Identity Manager o versioni precedenti VMware Identity Manager Connector o versioni precedenti o versioni precedenti o versioni precedenti Nota Per utilizzare REST API di Citrix StoreFront, è necessario Integration Broker o versione successiva. Per utilizzare XenApp o XenDesktop 7.x, è necessario Integration Broker 2.6 o versione successiva. Per utilizzare la funzionalità NetScaler, è necessario Integration Broker 2.4 o versione successiva. Nota È consigliabile utilizzare la versione più recente di VMware Identity Manager e relativi componenti. VMware Identity Manager Connector deve poter comunicare con Integration Broker. Se sono presenti più istanze del connettore, verificare che tutte possano comunicare con Integration Broker. Nota È necessario connettersi tramite SSL a qualsiasi istanza di Integration Broker utilizzata per l'avvio. Una singola istanza di Integration Broker può supportare più ambienti Citrix 5.x, 6.x e 7.x. Se si utilizza VMware Enterprise Systems Connector su Windows, seguire queste indicazioni. Scaricare Integration Broker dalla pagina del prodotto VMware Identity Manager in My VMware. È consigliabile installare Integration Broker e VMware Enterprise Systems Connector in server diversi. Se si installa Integration Broker nello stesso server del connettore, assicurarsi che le porte dei binding HTTP e HTTPS non siano in conflitto con le porte utilizzate dal componente VMware Identity Manager Connector. Il componente VMware Identity Manager Connector utilizza sempre la porta 80. Utilizza anche la porta 443, a meno che durante l'installazione non venga configurata un'altra porta. Durante l'installazione del connettore, viene generato un certificato autofirmato. Se si installa Integration Broker nello stesso server del connettore, è possibile utilizzare questo certificato. Installare il certificato in Microsoft Store e utilizzarlo per il binding HTTPS. Prima di iniziare, pianificare la strategia di distribuzione. Vedere Modelli di distribuzione di Integration Broker per le raccomandazioni relative agli scenari più comuni. Modelli di distribuzione di Integration Broker Distribuire una o più istanze di Integration Broker, in base alle esigenze dell'azienda. I seguenti modelli di distribuzione sono basati su scenari comuni. VMware, Inc. 127

128 Ambienti di prototipazione Negli ambienti di prototipazione, dove si configurano solo poche applicazioni pubblicate da Citrix in VMware Identity Manager per acquisire familiarità con il processo di integrazione e con l'esperienza dell'utente finale, è consigliabile configurare una singola istanza di Integration Broker. Selezionare la stessa istanza di Integration Broker come Integration Broker per la sincronizzazione e SSO Integration Broker nella raccolta di app virtuali. Sincronizza VMware Identity Manager Service Connettore VMware Identity Manager Avvia Integration Broker Ambienti di test In piccoli ambienti di test, in cui si desidera testare il flusso intero inclusi sincronizzazione e avvio, è consigliabile distribuire due istanze di Integration Broker, una per la sincronizzazione di risorse e permessi e l'altra per l'avvio di risorse. In questo scenario, in genere si integrano solo alcune applicazioni e non si prevede un gran numero di utenti che avviano contemporaneamente le applicazioni. Selezionare una delle istanze come Integration Broker per la sincronizzazione e l'altra come SSO Integration Broker nella raccolta di app virtuali. Sincronizza Integration Broker VMware Identity Manager Service Connettore VMware Identity Manager Avvia Integration Broker Ambienti di produzione Negli ambienti di produzione, è consigliabile configurare un cluster di istanze di Integration Broker dietro un bilanciamento del carico a scopi di alta disponibilità e bilanciamento del carico. Se una delle istanze di Integration Broker non è disponibile, la sincronizzazione e l'avvio restano disponibili perché le richieste vengono reindirizzate a un'altra istanza del cluster. Immettere le informazioni sul bilanciamento del carico nei campi Sincronizza Integration Broker e SSO Integration Broker nella raccolta di app virtuali. VMware, Inc. 128

129 Sincronizza Integration Broker VMware Identity Manager Service Connettore VMware Identity Manager Avvia Bilanciamento del carico Integration Broker Ambienti di produzione su larga scala Negli ambienti di produzione di grandi dimensioni che integrano un gran numero di applicazioni e sono soggetti a un traffico elevato, è consigliabile configurare cluster di Integration Broker separati per sincronizzare e avviare. Configurare ciascun cluster dietro un bilanciamento del carico. Questa implementazione offre la flessibilità di aumentare il numero di istanze in base a esigenze specifiche. Se ad esempio si verificano ritardi a causa di un numero elevato di avvii simultanei, è possibile aggiungere più istanze di Integration Broker al cluster utilizzato per l'avvio. Immettere i bilanciamenti del carico appropriati nei campi Sincronizza Integration Broker e SSO Integration Broker nella raccolta di app virtuali. Nota Per un'istanza di Integration Broker che viene utilizzata solo per l'avvio e non per la sincronizzazione, non è necessario configurare la comunicazione remota di Citrix PowerShell. Inoltre, se si utilizzano le REST API di StoreFront per connettersi alla server farm Citrix, non è necessario scaricare Citrix Web Interface SDK. VMware, Inc. 129

130 Integration Broker Sincronizza Bilanciamento del carico VMware Identity Manager Service Connettore VMware Identity Manager Integration Broker Avvia Bilanciamento del carico Integration Broker Preparazione di Windows Server per l'installazione di Integration Broker Prima di installare Integration Broker, è necessario configurare il server Windows. I seguenti sistemi operativi sono supportati per il server Integration Broker. Windows Server 2008 R2 Windows Server 2012 Windows Server 2012 R2 Windows Server 2016 Nota Windows Server 2016 è supportato in VMware Identity Manager e versioni successive. Nota Vedere le tabelle di interoperabilità dei prodotti VMware all'indirizzo resources/compatibility/sim/interop_matrix.php per informazioni aggiornate sulle versioni supportate. VMware, Inc. 130

131 Aggiunta di ruoli e funzionalità di Windows Server (Windows Server 2012 R2, 2012 o 2008 R2) Aggiungere i ruoli, le funzionalità e i servizi dei ruoli necessari nel server Integration Broker. Nota Le fasi illustrate in questa procedura fanno riferimento all'interfaccia utente di Windows Server 2012 R2 o Windows Server Dove applicabile, sono riportate le eventuali differenze per Windows Server 2008 R2. Per aggiungere ruoli e servizi in Windows Server 2016, vedere Aggiunta di ruoli e funzionalità di Windows Server (Windows Server 2016). Prerequisiti Verificare che siano installati gli ultimi aggiornamenti di Windows Server 2008 R2, Windows Server 2012 o Windows Server 2012 R2. Per verificare la disponibilità di aggiornamenti, selezionare Pannello di controllo > Windows Update. Creare un pool di applicazioni, se necessario. È possibile utilizzare il pool di applicazioni predefinito o creare un pool di applicazioni dedicato a Integration Broker. Procedura 1 Selezionare Start > Server Manager. 2 In Server Manager, selezionare Gestisci > Aggiungi ruoli e funzionalità. 3 Nella procedura guidata Aggiungi ruoli e funzionalità, fare clic su Avanti fino a quando non viene visualizzata la pagina Ruoli server. 4 Selezionare i seguenti ruoli, quindi fare clic su Avanti. Ruoli Server applicazioni Servizi file e archiviazione Server Web (IIS) Nota Quando si seleziona il Server Web (IIS), viene visualizzata una finestra di dialogo che chiede di confermare le funzionalità necessarie per il Server Web (IIS). Verificare che sia incluso Strumenti di gestione, quindi fare clic su Aggiungi funzionalità. VMware, Inc. 131

132 5 Nella pagina Funzionalità, selezionare le funzionalità seguenti. Funzionalità Funzionalità.NET Framework 3.5.NET Framework 3.5 (include.net 2.0 e 3.0) Attivazione HTTP Quando si seleziona Attivazione HTTP, viene visualizzata una finestra di dialogo che chiede di confermare le funzionalità necessarie per l'attivazione HTTP. Fare clic su Aggiungi funzionalità. Nota In Windows Server 2008 R2, selezionare queste opzioni: Funzionalità.NET Framework 3.5.NET Framework 3.5 Attivazione di WCF Attivazione HTTP HWC (Hostable Web Core) di IIS Servizio Attivazione processo Windows Estensione IIS di Gestione remota Windows Ad esempio: Figura 8-1. Windows Server 2012 R2 6 Fare clic su Avanti, quindi fare ancora clic su Avanti per visualizzare la pagina Servizi ruolo server applicazioni. VMware, Inc. 132

133 7 Nella pagina Servizi ruolo server applicazioni, selezionare i seguenti servizi ruolo. Servizi ruolo server applicazioni Servizi ruolo server applicazioni.net Framework 4.5 (non cambiare se preselezionato) Supporto Server Web (IIS) Nota Quando si seleziona il Server Web (IIS), viene visualizzata una finestra di dialogo che chiede di confermare le funzionalità necessarie per il Server Web (IIS). Fare clic su Aggiungi funzionalità. Supporto per il servizio Attivazione processo Windows Attivazione HTTP Per esempio: 8 Fare clic su Avanti, quindi fare ancora clic su Avanti per visualizzare la pagina Servizi ruolo Ruolo Server Web (IIS). VMware, Inc. 133

134 9 Nella pagina Servizi ruolo Ruolo Server Web (IIS), selezionare i seguenti servizi ruolo. Servizi ruolo Ruolo Server Web (IIS) Server Web Accettare le impostazioni predefinite Abilitare l'opzione seguente: Strumenti di gestione Console di gestione IIS Compatibilità di gestione IIS 6 Per esempio: 10 Fare clic su Avanti. 11 Fare clic su Installa. 12 Al termine dell'installazione, fare clic su Chiudi per chiudere la procedura guidata Aggiungi ruoli e funzionalità. Operazioni successive Installare Microsoft Visual J# 2.0 Redistributable Package, se necessario. Aggiunta di ruoli e funzionalità di Windows Server (Windows Server 2016) Aggiungere le funzionalità e i ruoli di Windows Server necessari nel server Integration Broker. Nota I passaggi di questa procedura si riferiscono all'interfaccia utente di Windows Server Per Windows Server 2012 R2, Windows Server 2012 e Windows Server 2008 R2, vedere Aggiunta di ruoli e funzionalità di Windows Server (Windows Server 2012 R2, 2012 o 2008 R2). Prerequisiti Si sta utilizzando VMware Identity Manager o versioni successive. L'installazione di Integration Broker su Windows Server 2016 è supportata in VMware Identity Manager e versioni successive. VMware, Inc. 134

135 Verificare che sia installato Windows Server 2016 con gli aggiornamenti più recenti. Creare un pool di applicazioni, se necessario. È possibile utilizzare il pool di applicazioni predefinito o creare un pool di applicazioni dedicato a Integration Broker. Procedura 1 Selezionare Start > Server Manager. 2 In Server Manager, selezionare Gestisci > Aggiungi ruoli e funzionalità. 3 Nella procedura guidata Aggiungi ruoli e funzionalità, fare clic su Avanti fino a quando non viene visualizzata la pagina Ruoli server. 4 Nella pagina Ruoli server, selezionare i seguenti ruoli. Servizi file e archiviazione Servizi di archiviazione Server Web (IIS) Server Web VMware, Inc. 135

136 Strumenti di gestione 5 Fare clic su Avanti. VMware, Inc. 136

137 6 Nella pagina Funzionalità, selezionare le funzionalità seguenti. Funzionalità.NET Framework 3.5.NET Framework 3.5 (include.net 2.0 e 3.0) Attivazione HTTP Quando si seleziona Attivazione HTTP, viene visualizzata una finestra di dialogo che chiede di confermare le funzionalità necessarie per l'attivazione HTTP. Fare clic su Aggiungi funzionalità. Funzionalità di.net Framework 4.6.NET Framework 4.6 ASP.NET 4.6 Servizi WCF Gestione Criteri di gruppo HWC (Hostable Web Core) di IIS Estensione IIS OData gestione Media Foundation Accodamento messaggi Servizi Accodamento messaggi VMware, Inc. 137

138 Strumenti di amministrazione remota del server Supporto per la condivisione di file SMB 1.0/CIFS Client Telnet Funzionalità di Windows Defender VMware, Inc. 138

139 Windows PowerShell Servizio Attivazione processo Windows Estensione IIS di Gestione remota Windows Supporto di Wow64 VMware, Inc. 139

140 7 Fare clic su Avanti e nella pagina di conferma, fare clic su Installa. 8 Al termine dell'installazione, fare clic su Chiudi per chiudere la procedura guidata Aggiungi ruoli e funzionalità. Operazioni successive Installare Microsoft Visual J# 2.0 Redistributable Package, se necessario. Installare Microsoft Visual J# bit Redistributable Package Scaricare e installare Microsoft Visual J# bit Redistributable Package - Second Edition. Questo passaggio non è necessario se si intende utilizzare la REST API Citrix StoreFront anziché Citrix Web Interface SDK per connettersi alla server farm Citrix. Procedura 1 Scaricare Microsoft Visual j# bit Redistributable Package - Second Edition dal sito Web di Microsoft. 2 Fare doppio clic sul file vjredist.exe e seguire la procedura guidata per installare il pacchetto. Distribuire Integration Broker Per distribuire Integration Broker, scaricare e installare Integration Broker su un server Windows supportato, configurare le impostazioni di Gestione IIS e impostare i binding HTTP e HTTPS. Installazione di Integration Broker Installare Integration Broker sul server Windows che è stato configurato. VMware, Inc. 140

141 Prerequisiti Preparare il server Windows. Vedere Preparare il Server Windows per l'installazione di Integration Broker. Scaricare Integration Broker dalla pagina del prodotto VMware Identity Manager in My VMware. Procedura 1 Accedere come amministratore di Windows. 2 Fare clic sul file setup.exe per eseguire il programma di installazione di Integration Broker. 3 Accettare l'accordo di licenza con l'utente finale. 4 Immettere la posizione Web in cui installare Integration Broker. 5 (Facoltativo) Se per Integration Broker è stato creato un pool di applicazioni separato, selezionare il pool di applicazioni. Attenzione Non cambiare il nome della directory virtuale. 6 Fare clic su Avanti per completare l'installazione di Integration Broker. Operazioni successive Configurare le impostazioni di Gestione IIS. Configurazione delle impostazioni di IIS Manager Configurare le impostazioni di IIS Manager obbligatorie per Integration Broker. Nota I passaggi di questa procedura fanno riferimento all'interfaccia utente di Windows Server 2012 o Windows Server 2012 R2. Prerequisiti Le credenziali per l'utente di Identity. L'utente di Identity deve soddisfare i seguenti requisiti: Utente del dominio Privilegi per abilitare la comunicazione remota di PowerShell nel server Integration Broker: a b Avviare PowerShell con privilegi di amministratore Avviare Enable-PSRemoting Uno dei seguenti ruoli nel server Citrix: Almeno Amministratore sola lettura (versione 7.x) o Amministratore sola visualizzazione (versione 6. x) Un ruolo di amministratore personalizzato che disponga delle autorizzazioni per eseguire i seguenti cmdlet di PowerShell. Questi cmdlet vengono utilizzati per recuperare applicazioni, server, farm e informazioni sulle icone dalla server farm Citrix. Su XenApp 6.5: VMware, Inc. 141

142 Get-XAApplication Get-XAServer Get-XAAccount Get-XAApplicationIcon Get-XAFarm Su XenApp o XenDesktop 7.x: Get-BrokerApplication Get-BrokerIcon Get-BrokerDesktopGroup Get-BrokerAccessPolicyRule Get-BrokerAppEntitlementPolicyRule Get-BrokerIcon Get-BrokerEntitlementPolicyRule Procedura 1 Fare clic su Start > Server Manager. 2 In Server Manager, selezionare Strumenti > Internet Information Services (IIS) Manager. 3 In IIS Manager, configurare il pool di applicazioni che è stato selezionato durante l'installazione di Integration Broker. Suggerimento Per verificare il pool di applicazioni corretto, fare clic su Pool di applicazioni nel riquadro a sinistra, fare clic con il pulsante destro del mouse sul pool di applicazioni e scegliere Visualizza applicazioni, quindi verificare che Integration Broker sia visualizzato nell'elenco. a b c Nel riquadro a sinistra, fare clic su Pool di applicazioni. Selezionare il pool di applicazioni utilizzato per Integration Broker. Nel riquadro a destra, fare clic su Impostazioni avanzate. VMware, Inc. 142

143 d Nella finestra di dialogo Impostazioni avanzate, configurare le seguenti impostazioni. Opzione Versione CLR.NET Descrizione Verificare che il valore sia v2.0. Nota In Windows 2012 e Windows 2012 R2, il pool di applicazioni potrebbe essere stato configurato per una versione di.net diversa per impostazione predefinita. Assicurarsi di configurarlo su v2.0. Attivare le applicazioni a 32 bit Impostare il valore su True. Identità 1 Fare clic su Identity. 2 Fare clic sull'icona... 3 Nella finestra di dialogo Pool di applicazioni di Identity che viene visualizzata, fare clic su Account personalizzato, quindi fare clic su Imposta. 4 Immettere il nome utente e la password per l'utente di Identity. Vedere i requisiti per l'utente di Identity nella sezione Prerequisiti. 5 Fare clic su OK e poi ancora su OK. e Fare clic su OK per chiudere la finestra di dialogo Impostazioni avanzate. VMware, Inc. 143

144 Impostare il binding del sito HTTPS per Integration Broker È necessario impostare il binding del sito HTTPS per Integration Broker. Per impostare il binding, è necessario un certificato SSL per il server Integration Broker. È possibile ottenere un certificato da un'autorità di certificazione o creare un certificato autofirmato. Nota Se si utilizza VMware Enterprise Systems Connector in Windows e si installa Integration Broker nello stesso server del connettore, assicurarsi che le porte dei binding HTTP e HTTPS non siano in conflitto con le porte utilizzate dal componente VMware Identity Manager Connector. Il componente VMware Identity Manager Connector utilizza sempre la porta 80. Utilizza anche la porta 443, a meno che durante l'installazione non venga configurata un'altra porta. Per ulteriori informazioni sulle porte utilizzate, vedere Installazione e configurazione di VMware Enterprise Systems Connector. È consigliabile installare Integration Broker e VMware Enterprise Systems Connector in server diversi. Prerequisiti Ottenere un certificato SSL per il server Integration Broker. È possibile ottenere un certificato da un'autorità di certificazione o creare un certificato autofirmato. Installare il certificato nel Microsoft Store nel server Integration Broker. Vedere l'esempio: Creare un certificato autofirmato utilizzando Gestione IIS e l'esempio: Creare un certificato autofirmato utilizzando OpenSSL. Nota Se si utilizza VMware Enterprise Systems Connector in Windows e Integration Broker è installato nello stesso server del connettore, è possibile utilizzare il certificato autofirmato generato durante l'installazione del connettore. Installare il certificato in Microsoft Store e utilizzarlo per il binding HTTPS. Se si utilizza un'autorità di certificazione interna per creare il certificato, per far sì che VMware Identity Manager consideri attendibile il certificato è necessario caricare il certificato root dell'autorità di certificazione interna in /cfg/ssl nella scheda Termina SSL su un programma di bilanciamento del carico, in cui vidmhostname è l'istanza di VMware Identity Manager in cui è configurata l'integrazione Citrix. In un ambiente SaaS, passare ad connectorhostname: 8443/cfg/ssl. Procedura 1 In Gestione IIS, nel riquadro a sinistra, fare clic sul sito Web in cui è installato Integration Broker. Suggerimento Per verificare il sito Web corretto, è possibile espandere il sito nel riquadro a sinistra e verificare che Integration Broker sia elencato sotto di esso. 2 Nel riquadro a destra, sotto Modifica sito, fare clic su Binding. 3 Aggiungere il binding HTTPS mediante il certificato che è stato creato. a b Fare clic su Aggiungi. Nel campo Tipo, selezionare https. VMware, Inc. 144

145 c d Se si utilizza IIS 8.0 o versioni successive, verificare che il campo Nome host sia vuoto. Non deve contenere alcun valore. Nel campo Certificato SSL, selezionare il certificato SSL che è stato creato. Per esempio: e Fare clic su OK. 4 Riavviare IIS. a b Aprire la finestra del prompt dei comandi come amministratore. Digitare iisreset. Operazioni successive Verificare i binding. Verificare che il binding HTTP produca l'output previsto digitando /IB/API/ RestServiceImpl.svc/ibhealthcheck nella barra degli indirizzi di un browser. Output previsto: All ok Verificare che il binding HTTPS produca l'output previsto digitando /IB/API/ RestServiceImpl.svc/ibhealthcheck nella barra degli indirizzi di un browser. Output previsto: All ok Nota In Internet Explorer, l'output All ok non viene visualizzato direttamente. Al contrario, viene scaricato il file di output. Aprire il file per visualizzare l'output. Esempio: Creare un certificato autofirmato utilizzando Gestione IIS È possibile creare un certificato autofirmato per il server Integration Broker utilizzando Gestione IIS. Procedura 1 Avviare Gestione IIS. VMware, Inc. 145

146 2 Passare a Certificati del server. 3 Nel riquadro a destra, sotto Azione, selezionare Creare certificato autofirmato. 4 Seguire la procedura guidata per generare il certificato autofirmato. Il certificato viene installato automaticamente nel Microsoft store nel server Integration Broker. Operazioni successive Utilizzare il certificato per il binding HTTPS per il sito Web di Integration Broker. Esempio: creare un certificato autofirmato utilizzando OpenSSL Queste istruzioni forniscono un esempio di come impostare un certificato autofirmato utilizzando OpenSSL per Integration Broker. Procedura 1 Creare un certificato autofirmato per il server Integration Broker. 2 Creare la cartella ibcerts da utilizzare come directory di lavoro. 3 Creare un file di configurazione utilizzando il comando vi openssl_ext.conf. a Copiare e incollare i comandi OpenSSL riportati di seguito nel file di configurazione. # openssl x509 extfile params extensions = extend [req] # openssl req params prompt = no distinguished_name = dn-param [dn-param] # DN fields C = US ST = CA O = VMware (Dummy Cert) OU = Horizon Workspace (Dummy Cert) CN = nomehost (il nome host della macchina virtuale su cui è installato Integration Broker) address = PROTECTED [extend] # openssl extensions subjectkeyidentifier = hash authoritykeyidentifier = keyid:always keyusage = digitalsignature,keyencipherment extendedkeyusage=serverauth,clientauth [policy] # certificate policy extension data Nota Immettere il valore di CN prima di salvare il file. b Eseguire questo comando per generare una chiave privata. openssl genrsa -des3 -out server.key 1024 VMware, Inc. 146

147 c d Immettere la passphrase per server.key, ad esempio vmware. Ridenominare il file server.key in server.key.orig. mv server.key server.key.orig e Rimuovere la password associata alla chiave. openssl rsa -in server.key.orig -out server.key 4 Creare una richiesta di firma certificato (CSR, certificate signing request) con la chiave generata. La server.csr sarà memorizzata nella directory di lavoro. openssl req -new -key server.key -out server.csr -config./openssl_ext.conf 5 Firmare la CSR. openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt - extfile openssl_ext.conf Verrà visualizzato l'output previsto. Signature ok subject=/c=us/st=ca/o=vmware (Dummy Cert)/OU=Horizon Workspace (Dummy Cert)/CN=w2-hwdog-xa.vmware.com/ Address= PROTECTED Getting Private key 6 Creare il formato P12. openssl pkcs12 -export -in server.crt -inkey server.key -out server.p12 a Premere Invio al prompt per una password per l'esportazione. Importante Non immettere una password. L'output previsto sarà il file server.p12. b c d e f Spostare il file server.p12 sulla macchina Windows su cui è installato Integration Broker. Dal prompt dei comandi, digitare mmc. Fare clic su File > Aggiungi o rimuovi snap-in. Nella finestra Snap-in, fare clic su Certificati e fare clic su Aggiungi. Selezionare il pulsante di opzione Account del computer. VMware, Inc. 147

148 7 Importare il certificato nell'archivio dei certificati root e personali. a b c d e Scegliere Tutti i file nella finestra di dialogo. Selezionare il file server.p12. Fare clic sulla casella di spunta Esportabile. Lasciare vuoto il campo della password. Accettare i valori predefiniti per i passi successivi. 8 Copiare il certificato nelle CA root sicure nella stessa console mmc. 9 Verificare che il contenuto del certificato includa tali elementi. Chiave privata CN nell'attributo dell'oggetto che corrisponde al nome host di Integration Broker Attributo di utilizzo della chiave esteso con l'autenticazione client e server abilitata Abilitazione della comunicazione remota di Citrix PowerShell È necessario abilitare le chiamate remote tra Integration Broker e la server farm di Citrix impostando la comunicazione remota di Citrix PowerShell. Per configurare la comunicazione remota di Citrix PowerShell, installare Citrix PowerShell SDK sul server di Integration Broker e verificare che la comunicazione remota di PowerShell sia abilitata sui server Citrix. Sul server di Integration Broker, è necessario installare la versione di Citrix PowerShell SDK appropriata. Se ci si connette a più versioni di server farm di Citrix, installare tutte le versioni di Citrix PowerShell SDK necessarie sul server di Integration Broker, poiché gli SDK non sono compatibili con le versioni precedenti. La comunicazione remota di PowerShell deve essere abilitata sui server Citrix in modo che il server di Integration Broker possa connettersi a tali server e recuperare informazioni necessarie come informazioni sulle risorse, permessi e icone. È necessario abilitare la comunicazione remota di PowerShell solo sui controller di recapito o sui broker XML che si configurano in VMware Identity Manager, e non su tutti i server della server farm. In XenApp o XenDesktop 7.x, questi sono i controller di recapito che agiscono anche come broker XML. Nelle server farm Citrix 6.0, 6.5 o 5.0, questi sono i server del broker XML. Per la server farm Citrix versione 6.0 e 5.0, la comunicazione remota di Citrix PowerShell richiede un canale HTTPS sicuro per effettuare chiamate remote. Assicurarsi che i broker XML o i controller di recapito di Citrix dispongano di certificati SSL validi. Installare Citrix PowerShell SDK nel server Integration Broker È necessario installare Citrix PowerShell SDK sul server Integration Broker per consentire le connessioni tra il server Integration Broker e la server farm Citrix. VMware, Inc. 148

149 Scaricare e installare la versione di Citrix PowerShell SDK corrispondente alla server farm Citrix che si desidera integrare con VMware Identity Manager. Se ci si connette a più versioni di server farm di Citrix, installare tutte le versioni di Citrix PowerShell SDK necessarie sul server di Integration Broker, poiché gli SDK non sono compatibili con le versioni precedenti. Procedura 1 Accedere al server Integration Broker. 2 Se ci sta connettendo a XenApp o XenDesktop 7.x, eseguire i passaggi seguenti. a b Scaricare e installare Citrix Studio nel server Integration Broker. Verificare l'installazione. 1 Aprire Windows PowerShell come amministratore. 2 Immettere il comando: Add-PSSnapin Citrix* 3 Immettere i comandi seguenti: Get-BrokerDesktopGroup -AdminAddress CitrixDeliveryController Get-ConfigSite -AdminAddress CitrixDeliveryController Nota Se si ottiene un errore di autenticazione, impostare i criteri di esecuzione con il comando set-executionpolicy remotesigned, quindi riprovare i comandi. 3 Se ci si connette a Citrix server farm 6.5, procedere come segue. a b Scaricare e installare Citrix PowerShell SDK 6.5 nel server Integration Broker. Verificare l'installazione. 1 Aprire Program Files > Citrix PowerShell Module. 2 Immettere il comando: Get-XAApplication -ComputerName CitrixServer Verificare che l'elenco includa tutte le applicazioni con hosting di Citrix. Nota Se il comando non riesce, verificare che il servizio XenApp Command Remoting sia in esecuzione sul server Citrix. 4 Se ci si connette a Citrix server farm 5.0 o 6.0, scaricare e installare Citrix PowerShell SDK 5.0 o 6.0 sul server Integration Broker, a seconda della versione di server farm Citrix. Abilitazione della comunicazione remota di Citrix PowerShell sulla server farm Citrix Abilitare la comunicazione remota di Citrix PowerShell sulla server farm Citrix, se necessario. In Citrix XenApp o XenDesktop 7.x, verificare che sia abilitata la comunicazione remota di PowerShell nei controller di recapito a cui VMware Identity Manager si connetterà. VMware, Inc. 149

150 In Citrix 6.5, verificare che il servizio Citrix XenApp Commands Remoting sia in esecuzione nei broker XML a cui VMware Identity Manager si connetterà. In Citrix 5.0 o 6.0, abilitare la comunicazione remota di PowerShell. Vedere Configurazione della comunicazione remota di Citrix PowerShell in Citrix Server Farm 5.0 o 6.0. Configurazione della comunicazione remota di Citrix PowerShell in Citrix Server Farm 5.0 o 6.0 È necessario abilitare la comunicazione remota di Citrix PowerShell nei server Citrix XML Broker che si desidera integrare con VMware Identity Manager. Il remoting di Citrix PowerShell consente le connessioni tra Integration Broker e il farm del server Citrix. Nota È necessario abilitare la comunicazione remota di Citrix PowerShell solo sui broker XML che si configureranno in VMware Identity Manager, e non su tutti i server nella server farm. Prerequisiti Se Winrm non è installato, scaricarlo e installarlo dal sito Web Microsoft. Verificare che i broker Citrix XML dispongano di certificati SSL validi. Fare inoltre clic su Proprietà e verificare che per i certificati sia abilitata l'opzione Autenticazione server. Procedura 1 Aprire PowerShell in modalità amministratore. 2 Abilitare il remoting di Citrix PowerShell. a b Digitare il comando Get-Service winrm per verificare che Winrm sia installato nel server. Immettere il comando Enable-PSRemoting. Questo comando abilita la comunicazione remota di PowerShell nel server. c d Installare Citrix PowerShell SDK 5.0 o 6.0 in base alla versione del server Citrix. Abilitare il listener HTTPS di winrm dal prompt dei comandi. 1 Creare un certificato nel server. 2 Registrare l'identificazione personale del certificato. 3 Verificare che l'identificazione personale del certificato sia configurata. winrm quickconfig -transport:https VMware, Inc. 150

151 e Verificare che il listener sia stato creato. winrm e winrm/config/listener Il server è pronto per l'utilizzo. f Dopo la creazione del listener, passare al server Integration Broker per verificare che la comunicazione remota di PowerShell sia installata correttamente. winrm identify -r: -u:username Output: IdentifyResponse ProtocolVersion= ProductVendor=Microsoft Corporation ProductVersion=OS: SP: 2.0 Stack: 2.0 Verificare la connessione per server farm Citrix Dopo aver distribuito Integration Broker e configurato il la comunicazione remota di PowerShell, verificare la connessione al server farm Citrix. Procedura 1 In un browser, immettere l'url appropriato per la propria versione di farm Citrix. Server farm Citrix XenApp o XenDesktop 7.x computername=xenappserverhostname&xenappversion=version7x Citrix server farm computername=xenappserverhostname&xenappversion=version65orlater Server farm Citrix 5.0 o computername=xenappserverhostname&xenappversion=legacy 2 Rivedere l'output. Se Integration Broker è configurato correttamente, la pagina visualizza informazioni sulla server farm Citrix, come le seguenti: "[{\"FarmName\":\"test data\",\"serverversion\":\" \",\"AdministratorType\":\"Full \",\"SessionCount\":\"2\",\"MachineName\":\"test data\"}] Se la pagina Web non visualizza le informazioni sul server farm, esaminare i registri sul server Integration Broker : %programdata%/vmware/horizonintegrationbroker. VMware, Inc. 151

152 Scaricare Citrix Web Interface SDK 5.4 Citrix Web Interface SDK è utilizzato per eseguire l'autenticazione e generare il file ICA da Citrix Delivery Controller o dai broker XML per avviare desktop e applicazioni pubblicate da Citrix. Nota Se si intende utilizzare la REST API Citrix StoreFront per comunicare con la farm Citrix per generare il file ICA, non è necessario installare Citrix Web Interface SDK. Procedura 1 Scaricare Citrix Web Interface SDK 5.4 (file zip WISDK) dal sito Web Citrix. 2 Decomprimere il file wisdk.zip. 3 Copiare il contenuto della directory WI5_4_0_SDK/zipfiles/sdkdemo/wisdk nella directory di Integration Broker predefinita c:\inetpub\wwwroot\ib\bin. 4 Riavviare IIS. a b Aprire la finestra del prompt dei comandi come amministratore. Digitare iisreset. Configurazione di server farm Citrix in VMware Identity Manager Per configurare server farm di Citrix XenApp e XenDesktop in VMware Identity Manager, creare una o più raccolte di app virtuali nella pagina Configurazione app virtuali, le quali contengono informazioni di configurazione quali ad esempio i server Citrix da cui si desidera sincronizzare risorse e permessi, l'integration Broker da utilizzare per sincronizzazione e SSO, il connettore di VMware Identity Manager da utilizzare per la sincronizzazione e le impostazioni dell'amministratore quali il client di avvio predefinito. È possibile aggiungere tutte le server farm Citrix a una raccolta o creare più raccolte, in base alle proprie esigenze. Ad esempio, si può scegliere di creare una raccolta separata per ogni farm per facilitare la gestione e distribuire il carico di sincronizzazione tra connettori differenti. Altrimenti è possibile scegliere di includere tutte le server farm in una raccolta per implementare un ambiente di test e avere un'altra raccolta identica per il proprio ambiente di produzione. Prima di configurare le risorse pubblicate da Citrix in VMware Identity Manager, assicurarsi che vengano soddisfatti tutti i prerequisiti. Seguire anche queste linee guida per le impostazioni della server farm Citrix. Sincronizzazione dei gruppi di consegna L'impostazione Tipo di consegna di un gruppo di consegna in Citrix determina il modo in cui VMware Identity Manager sincronizza il gruppo. VMware Identity Manager sincronizza un gruppo di consegna solo se l'opzione Tipo di consegna è impostato su DesktopsAndApps o DesktopsOnly. Se Tipo di consegna del gruppo di consegna è impostato su AppsOnly, le relative applicazioni verranno sincronizzate ma il gruppo di consegna stesso non verrà sincronizzato e non sarà presente nel catalogo di VMware Identity Manager. VMware, Inc. 152

153 Configurare di conseguenza i gruppi di consegna. In 7.9 XenApp e XenDesktop, se si utilizza l'opzione Gruppo visibilità limitata per limitare gli utenti, accertarsi che il Gruppo visibilità limitata contenga utenti o gruppi. Se non contiene alcun utente o gruppo, la sincronizzazione a VMware Identity Manager non funzionerà. Assicurarsi che tutte le applicazioni e tutti i desktop pubblicati in un sito contengano utenti validi. Se si elimina un utente o gruppo, assicurarsi di rimuovere l'utente o gruppo anche dalle risorse pubblicate da Citrix. Assicurarsi che gli utenti e i gruppi siano stati assegnati al Gruppo di consegna corretto. Se si selezionano impostazioni per limitare gli utenti, assicurarsi che includano utenti e gruppi. XenApp e XenDesktop 7.x consentono di impostare permessi per tutti gli utenti autenticati a livello di gruppo di consegna grazie all'impostazione che permette a tutti gli utenti autenticati di utilizzare il gruppo di consegna corrente. VMware Identity Manager non supporta questa impostazione. Per assicurarsi che gli utenti abbiano i permessi corretti in VMware Identity Manager, impostare i permessi espliciti per gli utenti e i gruppi. Prerequisiti Configurare VMware Identity Manager. Per informazioni, vedere Installazione e configurazione di VMware Identity Manager e Amministrazione di VMware Identity Manager. Assicurarsi che gli utenti e gruppi con permessi Citrix siano stati sincronizzati dalla directory aziendale a VMware Identity Manager utilizzando la sincronizzazione delle directory. Gli utenti devono disporre dell'attributo distinguishedname. Se l'attributo non è impostato per un utente, questo potrebbe non essere in grado di eseguire desktop e applicazioni. Distribuire Integration Broker e assicurarsi che siano soddisfatti tutti i prerequisiti descritti in Prerequisiti per l'integrazione di Citrix. Se si utilizza un programma di bilanciamento del carico davanti a Integration Broker, prendere nota del nome host o dell'indirizzo IP del programma di bilanciamento del carico per utilizzarli durante questa attività. Se si desidera utilizzare l'opzione Usa StoreFront, disponibile in VMware Identity Manager e versioni successive, assicurarsi che siano soddisfatti i requisiti seguenti. Installare Integration Broker o versione successiva. Assicurarsi che StoreFront sia supportato dalla versione di XenApp o XenDesktop in uso. Assicurarsi che Integration Broker possa comunicare con il server di StoreFront. Quando si abilita REST API StoreFront, Integration Broker comunica con il server di StoreFront per generare il file ICA. Nel server di StoreFront, se si configurano domini attendibili per il metodo di autenticazione "nome utente e password", assicurarsi di aggiungere i nomi dei domini in forma di nome dominio completo all'elenco dei "domini attendibili". VMware Identity Manager richiede il nome dominio completo. Per ulteriori informazioni, vedere Avvio di applicazioni e desktop pubblicati da Citrix. VMware, Inc. 153

154 Consultare la documentazione di Citrix relativa alla versione di Citrix XenApp o XenDesktop in uso. In VMware Identity Manager 3.2, è necessario utilizzare un ruolo amministratore che possa eseguire l'azione Gestisci applicazioni Desktop nel servizio del catalogo. Procedura 1 Accedere alla console di amministrazione di VMware Identity Manager. 2 Selezionare la scheda Catalogo > App virtuali, quindi fare clic su Configurazione app virtuali. 3 Fare clic su Aggiungi app virtuali e selezionare Applicazione pubblicata Citrix. 4 Immettere un nome univoco per la raccolta. 5 Dal menu a discesa Connettori di sincronizzazione, selezionare il connettore che si desidera utilizzare per sincronizzare le risorse in questa raccolta. Se sono stati configurati più connettori per l'alta disponibilità, fare clic su Aggiungi connettore e selezionare i connettori. L'ordine in cui sono elencati i connettori determina l'ordine di failover. 6 Nella sezione Sincronizza Integration Broker, fornire le informazioni relative all'istanza di Integration Broker che si desidera utilizzare per sincronizzare le risorse. a Immettere il nome di dominio completo e il numero di porta dell'integration Broker per la sincronizzazione. Se è stato configurato un programma di bilanciamento del carico prima di più istanze di Integration Broker utilizzate per la sincronizzazione, immettere il nome host o l'indirizzo IP e il numero di porta del programma di bilanciamento del carico. b Per la connessione a Integration Broker tramite SSL, selezionare la casella di controllo Usa SSL e copiare e incollare il certificato SSL del server di Integration Broker. Nota Se si utilizza un certificato autofirmato, caricare anche il certificato nella pagina Impostazioni appliance > Gestisci configurazione > Installa certificati SSL > CA attendibili. Per i connettori esterni, la pagina è all'indirizzo Se è stato selezionato più di un connettore di sincronizzazione, aggiungere il certificato alla pagina Installa certificati SSL > CA attendibili di tutti i connettori. 7 Nella sezione SSO Integration Broker, fornire le informazioni relative all'istanza di Integration Broker che si desidera utilizzare per avviare le risorse. È necessario connettersi all'sso Integration Broker tramite SSL. a Immettere il nome di dominio completo e il numero di porta dell'sso Integration Broker. Se è stato configurato un programma di bilanciamento del carico prima di più istanze di Integration Broker utilizzate per fornire SSO, immettere il nome host dominio completo e il numero di porta del programma di bilanciamento del carico. Nota Non utilizzare l'indirizzo IP. VMware, Inc. 154

155 b Nel campo Certificato SSL, copiare e incollare il certificato SSL del server di Integration Broker. Nota Se si utilizza un certificato autofirmato, caricare anche il certificato nella pagina Impostazioni appliance > Gestisci configurazione > Installa certificati SSL > CA attendibili. Per i connettori esterni, la pagina è all'indirizzo Se è stato selezionato più di un connettore di avvio, aggiungere il certificato alla pagina Installa certificati SSL > CA attendibili di tutti i connettori. 8 Nella sezione Server farm, immettere i dettagli della server farm Citrix. Per aggiungere più farm, fare clic su +Aggiungi server farm. Opzione Versione Usa StoreFront Descrizione Selezionare la versione del server farm Citrix: 5.0, 6.0, 6.5 o 7.x. Selezionare questa opzione se si desidera che le risorse di XenApp vengano avviate mediante le REST API di Citrix StoreFront. Se questa opzione è selezionata, Integration Broker utilizza le REST API di Citrix StoreFront per comunicare con il server StoreFront e recuperare il file ICA. Se questa opzione non è selezionata, Integration Broker utilizza Citrix Web Interface SDK per comunicare con i componenti di Citrix e recuperare il file ICA. Nota Se si seleziona o si deseleziona questa opzione dopo la configurazione e la sincronizzazione iniziali, salvare le impostazioni ed eseguire di nuovo la sincronizzare per rendere effettive le modifiche. URL StoreFront Immettere l'url del server StoreFront nel seguente formato: transporttype:// storefrontserverfqdn/citrix/storenameweb Ad esempio: Nota Questo è l'url del sito Web di Store Web Receiver. Importante Immettere questo URL anche nel campo Host URL accesso client quando si configurano intervalli della rete interna per XenApp. Nome server Server (ordine di failover) Nome del server assegnato nell'ambiente. Organizza i broker (server) Citrix XML nell'ordine di failover. VMware Identity Manager rispetta questo ordine durante SSO e in condizioni di failover. Nota Nei broker XML deve essere abilitata la comunicazione remota di PowerShell. Tipo di trasporto Tipo di trasporto utilizzato nella configurazione del server Citrix, ovvero HTTP, HTTPS o SSL RELAY. Nota Il tipo di trasporto e la porta devono corrispondere alla configurazione del server Citrix. Porta Impostazione della porta utilizzata nella configurazione del server Citrix. Nota Il tipo di trasporto e la porta devono corrispondere alla configurazione del server Citrix. VMware, Inc. 155

156 Opzione Server STA Descrizione Se si utilizza NetScaler, è necessario specificare un server STA per la farm. a Specificare il server STA per la farm Citrix. Immettere l'url del server STA nel formato seguente: tipotrasporto://server:porta Ad esempio b L'URL deve essere composto solo da caratteri alfanumerici, punti (.) e trattini (-). Fare clic su Aggiungi all'elenco. Il server compare nell'elenco Server Xenapp STA. c Immettere altri server STA, se necessario. Ad esempio è possibile specificare un secondo server STA a scopo di failover. Se si utilizza NetScaler, specificare il server STA per la farm Citrix. Server STA XenApp (ordine di failover) Specificare l'ordine di failover per i server STA aggiunti. 9 Per aggiungere un'altra farm, fare clic su Aggiungi farm e immettere le informazioni di configurazione per la farm. 10 Selezionare Sincronizza le categorie dai server farm se si desidera sincronizzare le categorie dalle farm Citrix con VMware Identity Manager. 11 Selezionare Non sincronizzare applicazioni duplicate per impedire che le applicazioni duplicate vengano sincronizzate da più server. Quando VMware Identity Manager viene distribuito in più data center, le stesse risorse vengono configurate in tutti i data center. Se è selezionata, questa opzione impedisce la duplicazione dei desktop o delle applicazioni nel catalogo di VMware Identity Manager. 12 Dal menu a discesa Frequenza di sincronizzazione, selezionare con quale frequenza sincronizzare le risorse in questa raccolta. È possibile impostare una pianificazione di sincronizzazione regolare o scegliere di sincronizzare manualmente. Se si seleziona Manuale, è necessario fare clic su Sincronizza nella pagina Configurazione app virtuali dopo aver impostato la raccolta e ogni volta che si verifica un cambiamento nei permessi o nelle risorse pubblicate di Citrix. 13 Nell'elenco a discesa Tipo di attivazione selezionare il modo in cui le risorse pubblicate da Citrix vengono rese disponibili agli utenti in Workspace ONE. Con entrambe le opzioni Attivata dall'utente e Automatico, le risorse vengono aggiunte alla pagina Catalogo. Gli utenti possono utilizzare le risorse dalla pagina Catalogo o spostarle nella pagina Segnalibri. Tuttavia, per configurare un flusso di approvazione per le app, è necessario selezionare l'opzione Attivata dall'utente per quell'app. Il criterio di attivazione selezionato in questa pagina si applica a tutti i permessi utente per tutte le risorse nella raccolta. È possibile modificare il criterio di attivazione per utenti singoli o gruppi per risorsa dalla pagina Permessi dell'applicazione o del desktop. VMware, Inc. 156

157 Se si desidera impostare un flusso di approvazione, è consigliabile impostare il criterio di attivazione per la raccolta su Attivata dall'utente. 14 Fare clic su Salva. La raccolta viene creata e visualizzata nella pagina App virtuali. Le risorse nella raccolta non vengono ancora sincronizzate. 15 Per sincronizzare le risorse della raccolta in VMware Identity Manager, fare clic su Sincronizza nella pagina Configurazione app virtuali. Ogni volta che si verifica un cambiamento nelle risorse o nei permessi in Citrix, affinché le modifiche si propaghino in VMware Identity Manager è necessaria una sincronizzazione. Nota La funzionalità relativa al gruppo di utenti anonimi nel prodotto Citrix non è supportata con VMware Identity Manager. Le risorse pubblicate da Citrix e i permessi corrispondenti vengono sincronizzati con VMware Identity Manager. Operazioni successive Configurare gli intervalli di rete per l'avvio delle risorse. Configurazione di avvio di risorse Citrix in VMware Identity Manager Dopo aver configurato la pagina applicazioni pubblicate da Citrix, configurare di intervalli IP di rete per l'avvio delle risorse. È possibile specificare se il traffico dell'applicazione o del desktop utente (traffico ICA) da specifici intervalli di rete venga instradato attraverso NetScaler o tramite una connessione diretta al server XenApp. In questo modo è possibile soddisfare le esigenze di utenti con accesso sia esterno sia interno alle risorse Citrix della distribuzione. Quando un utente avvia un'applicazione o un desktop dal portale di Workspace ONE, se l'indirizzo IP dell'utente è compreso nell'intervallo configurato per Netscaler, il traffico ICA viene instradato al server XenApp tramite Netscaler. Se l'indirizzo IP ricade nell'intervallo di connessione diretta, il traffico ICA viene instradato direttamente al server XenApp. Configurazione dell'avvio di risorse per una rete interna È possibile configurare gli intervalli di rete per i quali il traffico di avvio di applicazioni o desktop (traffico ICA) dell'utente deve essere instradato direttamente al server XenApp. In genere questo metodo utilizzato per fornire l'accesso interno alle risorse pubblicate da Citrix. Quando un utente avvia un'applicazione o un desktop dal portale di Workspace ONE, se l'indirizzo IP dell'utente è compreso nell'intervallo di connessione diretta, il traffico ICA viene instradato al server XenApp. Nota Per configurare l'avvio di risorse per reti esterne, vedere Configurazione dell'avvio di risorse per reti esterne con NetScaler. VMware, Inc. 157

158 Procedura 1 Accedere alla console di amministrazione di VMware Identity Manager. 2 Rivedere gli intervalli di rete e creare nuovi, se necessario. a b c Fare clic sulla scheda Gestione identità e accessi > Criteri. Fare clic su Intervalli di rete. Rivedere gli intervalli di rete e fare clic su Aggiungi intervallo di rete per aggiungere nuovi intervalli, se necessario. 3 Fare clic sulla scheda Catalogo > App virtuali, quindi fare clic su Impostazioni app virtuali. 4 Selezionare Impostazioni di rete. 5 Selezionare l'intervallo di rete da configurare per l'avvio di risorse Citrix interne. 6 Nella sezione XenApp della pagina, immettere le seguenti informazioni. a Immettere il nome host del server XenApp nel campo Host URL accesso client. Ad esempio xenapphost.example.com Se è presente un bilanciamento del carico davanti a server XenApp, immettere l'url di accesso client nel formato seguente: loadbalancerurl/citrix/storeweb Nota Se è selezionata la casella di controllo Usa StoreFront per la server farm durante la creazione della raccolta app virtuali di Citrix, immettere lo stesso URL specificato nel campo URL StoreFront. b Immettere la porta nel campo Porta URL. Ad esempio 443 Se è stato inserito l'url di un bilanciamento del carico nel campo URL accesso Client, utilizzare la porta 443. c Deselezionare la casella di controllo NetScaler per le connessioni dirette. VMware, Inc. 158

159 7 Fare clic su Fine. Configurazione di avvio di risorse per reti esterne con NetScaler VMware Identity Manager supporta le distribuzioni Citrix che includono NetScaler. In genere si utilizza un'appliance NetScaler per fornire accesso esterno ad applicazioni o desktop XenApp o XenDesktop. Se la propria distribuzione Citrix include un'appliance NetScaler, è possibile configurare VMware Identity Manager con le impostazioni appropriate in modo che all'avvio di risorse Citrix da parte degli utenti il traffico venga instradato al server XenApp attraverso NetScaler. In VMware Identity Manager, è necessario specificare il server STA (Secure Ticket Authority) per ogni farm XenApp. Il server STA è utilizzato per generare e convalidare i ticket STA durante il processo di avvio delle applicazioni. È possibile anche impostare criteri su intervalli di indirizzi IP di rete dei client che specificano se il traffico di avvio deve essere instradato al server XenApp attraverso NetScaler o se direttamente al server XenApp. In questo modo è possibile soddisfare sia le esigenze di accesso esterne che quelle interne. Nota VMware Identity Manager supporta anche Citrix Secure Gateway. I passaggi di configurazione in questa sezione sono applicabili a NetScaler e Citrix Secure Gateway. Nota Per utilizzare la funzionalità NetScaler è necessario utilizzare Integration Broker 2.4 o versione successiva. È possibile scaricare Integration Broker da My VMware. L'aggiornamento non è supportato. Disinstallare la versione precedente, quindi installare la nuova versione. Come ottenere l'url del server STA per il gateway di NetScaler Prima di configurare le impostazioni di NetScaler in VMware Identity Manager, è necessario ottenere l'url del server STA (Secure Ticket Authority) associato al gateway di NetScaler. Questa procedura illustra i passaggi per NetScaler 11. VMware, Inc. 159

160 Procedura 1 Nell'interfaccia di gestione di NetScaler, passare a Configurazione > Gateway NetScaler > Server virtuali. 2 Fare doppio clic sul server virtuale. 3 Nella sezione Applicazioni pubblicate della finestra che verrà visualizzata, fare clic su Server STA. 4 Prendere nota dell'url del server STA (Secure Ticket Authority). VMware, Inc. 160

161 Configurazione delle impostazioni di NetScaler in VMware Identity Manager Per configurare VMware Identity Manager per NetScaler, è necessario specificare un server STA (Secure Ticket Authority) per ogni farm XenApp appartenente alla distribuzione Citrix. Il server STA è utilizzato per generare e convalidare i ticket STA durante il processo di avvio dell'applicazione o del desktop. Quando un utente avvia un'applicazione o un desktop, VMware Identity Manager ottiene un ticket dal server STA. Il ticket viene presentato a NetScaler, insieme ad altre informazioni, e NetScaler lo convalida con il server STA prima di stabilire una connessione sicura alla farm XenApp. Nota Le informazioni del presente argomento si applicano anche a Citrix Secure Gateway. Prerequisiti Ottenere le informazioni del server STA per ogni farm XenApp. Procedura 1 Nella console di amministrazione di VMware Identity Manager, selezionare la scheda Catalogo > App virtuali, quindi fare clic su Configurazione app virtuali. 2 Fare clic sulla raccolta contenente la farm XenApp per cui si desidera specificare un server STA. 3 Scorrere fino alla sezione Server farm e specificare uno o più server STA per la server farm. a Nel campo Server STA, specificare l'url del server STA nel formato seguente. tipotrasporto://server:porta Ad esempio L'URL deve essere composto solo da caratteri alfanumerici, punti (.) e trattini (-). b Fare clic su Aggiungi all'elenco. Il server compare nell'elenco Server Xenapp STA. VMware, Inc. 161

162 c d Immettere altri server STA, se necessario. Ad esempio è possibile specificare un secondo server STA a scopo di failover. Se sono stati aggiunti più server STA, selezionare l'ordine di failover nel campo Server Xenapp STA. 4 Fare clic su Salva. 5 Se nella distribuzione sono presenti più farm XenApp, specificare un server STA per ogni farm. Operazioni successive Configurare criteri per specifici intervalli di indirizzi IP di rete nei quali si stabilisce che il traffico di avvio deve essere instradato al server XenApp attraverso NetScaler. Configurare l'intervallo di rete per NetScaler È possibile configurare gli intervalli di rete per il traffico di avvio di applicazioni o desktop (traffico ICA) che deve essere instradato tramite Netscaler al server XenApp. In genere questo metodo utilizzato per fornire l'accesso interno alle risorse pubblicate da Citrix. Quando un utente avvia un'applicazione o un desktop dal portale di Workspace ONE, se l'indirizzo IP dell'utente è compreso nell'intervallo configurato per NetScaler, il traffico ICA viene instradato al server XenApp tramite NetScaler. Nota Per configurare l'avvio di risorse per le reti interne, vedere Configurazione dell'avvio di risorse per una rete interna. Nota Le informazioni del presente argomento si applicano anche a Citrix Secure Gateway. Se si utilizza Citrix Secure Gateway anziché NetScaler, immettere il nome host e la porta di Secure Gateway e selezionare la casella di controllo NetScaler. Prerequisiti È stato configurato VMware Identity Manager per NetScaler nella raccolta app virtuali Citrix. Procedura 1 Accedere alla console di amministrazione di VMware Identity Manager. 2 Rivedere gli intervalli di rete e creare nuovi, se necessario. a b c Fare clic sulla scheda Gestione identità e accessi > Criteri. Fare clic su Intervalli di rete. Rivedere gli intervalli di rete e fare clic su Aggiungi intervallo di rete per aggiungere nuovi intervalli, se necessario. 3 Fare clic sulla scheda Catalogo > App virtuali, quindi fare clic su Impostazioni app virtuali. 4 Selezionare Impostazioni di rete. 5 Selezionare l'intervallo di rete da configurare per l'avvio delle risorse Citrix. VMware, Inc. 162

163 6 Nella sezione XenApp della pagina, immettere le seguenti informazioni. a Immettere il nome host di NetScaler nel campo Host URL accesso client. Ad esempio netscalerhost.example.com b Immettere la porta nel campo Porta URL. Ad esempio 443 c Selezionare la casella di controllo NetScaler. 7 Fare clic su Salva. Configurazione delle impostazioni di VMware Identity Manager per l'integrazione di Citrix È possibile configurare diverse impostazioni in VMware Identity Manager per l'integrazione di Citrix. Gestione delle categorie per le risorse pubblicate Citrix È possibile utilizzare la console di amministrazione di VMware Identity Manager e la distribuzione Citrix per gestire le categorie delle risorse pubblicate da Citrix. Nella distribuzione Citrix è possibile assegnare un nome di categoria a un'applicazione o un desktop pubblicato Citrix modificando la casella di testo della cartella dell'applicazione client nelle proprietà della risorsa. Quando si integra la distribuzione Citrix con VMware Identity Manager, i nomi di categoria esistenti per le applicazioni e i desktop pubblicati Citrix vengono trasferiti in VMware Identity Manager. Dopo l'integrazione, è possibile continuare a creare categorie nella distribuzione Citrix. Se si attiva Sincronizza le categorie dai server farm per la raccolta, le nuove categorie vengono trasferite in VMware Identity Manager alla successiva sincronizzazione. Vedere Configurazione di server farm Citrix in VMware Identity Manager. È possibile creare categorie anche direttamente in VMware Identity Manager. Vedere Guida all'amministrazione di VMware Identity Manager per informazioni sull'uso delle categorie di risorse. Nella console di amministrazione, è possibile creare e visualizzare categorie di tutte le risorse pubblicate da Citrix facendo clic sulla scheda Catalogo > App virtuali, quindi su Qualsiasi tipo di applicazione e selezionando Applicazioni pubblicate Citrix per le applicazioni o Gruppi di consegna pubblicati Citrix per i desktop. È possibile visualizzare e modificare le categorie di una specifica risorsa pubblicata da Citrix facendo clic sul nome della risorsa e scegliendo Dettagli. Quando si crea una categoria in VMware Identity Manager, la categoria non appare nella distribuzione Citrix. Quando si crea una categoria nella distribuzione Citrix, la categoria appare in VMware Identity Manager alla successiva sincronizzazione. Quando si aggiorna il nome di una categoria nella distribuzione Citrix, il nome di categoria aggiornato viene visualizzato in VMware Identity Manager ma rimane il nome di categoria originale. Se si desidera rimuovere il nome di categoria originale da VMware Identity Manager, è necessario rimuoverlo manualmente. VMware, Inc. 163

164 Configurazione delle impostazioni di consegna (proprietà ICA) per le risorse pubblicate da Citrix È possibile modificare le impostazioni di consegna dei desktop e delle applicazioni pubblicate da Citrix nella console amministrativa di VMware Identity Manager. I desktop sono considerati gruppi di consegna. È possibile modificare le impostazioni di consegna globalmente per tutti i desktop e le applicazioni basati su Citrix disponibili dalla propria distribuzione di VMware Identity Manager o singolarmente per specifiche risorse pubblicate da Citrix. Configurare le impostazioni di consegna modificando le proprietà ICA (Independent Computing Architecture). ICA è un protocollo di proprietà di Citrix. È disponibile una vasta gamma di proprietà ICA che controllano aree quali la sicurezza, la visualizzazione e la compressione. Per maggiori informazioni sulla configurazione delle proprietà ICA, fare riferimento alla documentazione di Citrix. VMware Identity Manager include le impostazioni globali predefinite che definiscono il modo in cui la distribuzione di Citrix configurata consegna le risorse pubblicate da Citrix agli utenti. È possibile modificare le impostazioni predefinite di VMware Identity Manager e aggiungere nuove impostazioni. È possibile anche specificare impostazioni di consegna per singole risorse. Le impostazioni per le singole risorse hanno la precedenza sulle impostazioni globali. Quando si forniscono le proprietà ICA per la consegna di una risorsa specifica, riportate tutte le proprietà necessarie alla distribuzione Citrix per consegnare la risorsa nella maniera prevista. Quando in VMware Identity Manager per una singola risorsa sono disponibili impostazioni di consegna, VMware Identity Manager applicherà solo quelle impostazioni e ignorerà tutte le impostazioni di consegna risorse globali. Modifica globale delle impostazioni di consegna per tutte le risorse pubblicate da Citrix È possibile modificare le impostazioni di consegna globali per le applicazioni e i desktop pubblicati da Citrix nella distribuzione VMware Identity Manager. I campi delle proprietà ICA relativi a queste impostazioni globali vengono popolati con i valori predefiniti finché non vengono modificati. Importante Le proprietà ICA specificate nella scheda Applicazioni pubblicate Citrix > Configurazione ICA e Gruppi di consegna pubblicati Citrix > Configurazione ICA in Impostazioni app virtuali si applicano al traffico di avvio che passa attraverso una connessione diretta. Per il traffico di lancio instradato attraverso Netscaler, vedere Modifica delle proprietà ICA per NetScaler. Procedura 1 Accedere all'console di amministrazione. 2 Selezionare la scheda Catalogo > App virtuali, quindi fare clic su Impostazioni app virtuali. 3 Selezionare Applicazioni pubblicate Citrix per modificare le impostazioni ICA per le applicazioni o Gruppi di consegna pubblicati Citrix per modificare le impostazioni ICA per i desktop. Ad esempio: VMware, Inc. 164

165 4 Nella scheda Configurazione ICA, modificare le proprietà ICA secondo le linee guida di Citrix. I campi Proprietà client ICA e Proprietà avvio ICA devono essere utilizzati insieme. I campi devono entrambi contenere valori o essere entrambi vuoti. 5 Fare clic su Salva. Se risorse singole non presentano impostazioni di consegna proprie, la distribuzione Citrix applica le proprietà ICA globali quando consegna risorse pubblicate da Citrix tramite VMware Identity Manager agli utenti. Modifica delle impostazioni di consegna per una singola risorsa pubblicata da Citrix È possibile modificare le impostazioni di consegna (proprietà ICA) per singole risorse applicazione e desktop pubblicate da Citrix nella distribuzione VMware Identity Manager. Le caselle di testo delle proprietà ICA per singole applicazioni sono vuote per impostazione predefinita. Quando si modificano le proprietà ICA di una singola risorsa pubblicata da Citrix, queste hanno la priorità rispetto alle impostazioni globali. Per informazioni sulle impostazioni globali, vedere Modifica globale delle impostazioni di consegna per tutte le risorse pubblicate da Citrix. Importante Le proprietà ICA impostate su applicazioni o desktop singoli non si applicano al traffico ICA instradato attraverso NetScaler. Solo le impostazioni globali nelle schede Applicazioni pubblicate Citrix > Configurazione ICA NetScaler e Gruppi di consegna pubblicati Citrix > Configurazione ICA NetScaler in Impostazioni app virtuali si applicano al traffico ICA instradato attraverso NetScaler. Per ulteriori informazioni, vedere Modifica delle proprietà ICA per NetScaler. Procedura 1 Accedere alla console di amministrazione. 2 Selezionare la scheda Catalogo > App virtuali. VMware, Inc. 165

166 3 Fare clic su Qualsiasi tipo di applicazione > Applicazioni pubblicate Citrix per modificare le impostazioni relative alle applicazioni o su Qualsiasi tipo di applicazione > Gruppi di consegna pubblicati Citrix per modificare quelle relative ai desktop. 4 Fare clic sul nome della risorsa pubblicata da Citrix da modificare. 5 Fare clic su Configurazione. 6 Visualizzare le informazioni sulla risorsa così come riportate dalla distribuzione Citrix. Nella pagina sono mostrati diversi dettagli sulla risorsa, come il nome della risorsa, l'id della risorsa, il nome del server e così via. Essa inoltre contiene informazioni sugli stati di attivazione delle risorse. Se la casella di controllo Attivato non è selezionata, la risorsa è disattivata nella distribuzione Citrix ed è nascosta agli utenti. 7 Nelle caselle di testo delle proprietà ICA, aggiungere proprietà o modificare quelle esistenti in base alle linee guida dettate da Citrix. Nota Entrambe le caselle di testo di Proprietà client ICA e Proprietà avvio ICA devono contenere valori o essere entrambe vuote. 8 Fare clic su Salva. Modifica delle proprietà ICA per NetScaler Modificando le proprietà ICA è possibile configurare le impostazioni di consegna per le risorse pubblicate da Citrix. Per il traffico ICA instradato attraverso NetScaler, modificare le proprietà ICA nella scheda Applicazioni pubblicate Citrix > Configurazione ICA NetScaler o nella scheda Gruppi di consegna pubblicati Citrix > Configurazione ICA NetScaler in Impostazioni app Web. Le impostazioni di consegna delle applicazioni impostate su risorse Citrix singole non si applicano al traffico ICA instradato attraverso NetScaler. Nota Per modificare le proprietà ICA per il traffico ICA che passa attraverso una connessione diretta, e non attraverso NetScaler, vedere Modifica globale delle impostazioni di consegna per tutte le risorse pubblicate da Citrix. Procedura 1 Accedere alla console di amministrazione. 2 Selezionare la scheda Catalogo > App virtuali, quindi fare clic su Impostazioni app virtuali. VMware, Inc. 166

167 3 Scegliere Applicazioni pubblicate Citrix per le applicazioni o Gruppi di consegna pubblicati Citrix per i desktop, quindi selezionare la scheda Proprietà ICA NetScaler. I campi delle proprietà sono popolati con le impostazioni predefinite. 4 Modificare le proprietà del client ICA o le proprietà di avvio. È possibile cambiare i valori delle proprietà o aggiungerne di nuovi. Consultare la documentazione di Citrix per informazioni sulle proprietà ICA. Nota I campi Proprietà client ICA e Proprietà avvio ICA devono essere utilizzati insieme. I campi devono entrambi contenere valori o essere entrambi vuoti. 5 Fare clic su Salva. Impostazione di criteri di accesso per applicazioni e desktop specifici Il set di criteri di accesso predefinito si applica a tutte le applicazioni e i desktop nel catalogo. È inoltre possibile impostare criteri di accesso per singole applicazioni o pool di desktop, che sostituiscono il criterio di accesso predefinito. È possibile applicare un criterio di accesso a una o più applicazioni e desktop dalla pagina Criteri o seleziona il criterio di accesso per un'applicazione specifica dalla pagina di configurazione dell'applicazione. Per ulteriori informazioni sui criteri di accesso, vedere la guida all'amministrazione di VMware Identity Manager. VMware, Inc. 167

168 Procedura 1 Per applicare un criterio di accesso alle applicazioni e ai desktop dalla pagina Criteri, procedere come segue. a b c d e Passare alla pagina Gestione identità e accessi > Gestisci > Criteri. Fare clic su un criterio per modificarlo oppure fare clic su Aggiungi criterio per creare un nuovo criterio. Nella pagina del criterio, modificare o definire il criterio. Nella sezione Applicabile a, selezionare le applicazioni a cui si desidera applicare il criterio. Fare clic su Salva. 2 Per selezionare un criterio di accesso per un'applicazione specifica dalla pagina di configurazione dell'applicazione, selezionare questi passaggi. a b c d Fare clic sulla scheda Catalogo > App virtuali. Fare clic sull'applicazione. Nel riquadro a sinistra fare clic su Criteri di accesso. Selezionare il criterio di accesso per l'applicazione e fare clic su Salva. Visualizzazione di permessi di utenti e gruppi per le risorse pubblicate da Citrix È possibile visualizzare i desktop e le applicazioni pubblicati da Citrix per cui gli utenti e i gruppi di VMware Identity Manager dispongono di permessi. I desktop sono noti anche come gruppi di consegna nella console di amministrazione di VMware Identity Manager. Importante Non è possibile utilizzare VMware Identity Manager per apportare modifiche alla distribuzione Citrix. Se l'amministratore di Citrix apporta una qualsiasi modifica, come ad esempio la concessione di permessi ai nuovi utenti per una risorsa pubblicata da Citrix o l'aggiunta di un nuovo farm del server, sarà necessario forzare una sincronizzazione per propagare le modifiche a VMware Identity Manager. Prerequisiti Per visualizzare gli aggiornamenti più recenti, sincronizzare manualmente le risorse e i permessi dalle server farm di Citrix in VMware Identity Manager facendo clic su Sincronizza nella pagina Configurazione app virtuali. Procedura 1 Accedere alla console di amministrazione di VMware Identity Manager. VMware, Inc. 168

169 2 Visualizzare i permessi di utenti e gruppi per le risorse pubblicate da Citrix. Le risorse pubblicate da Citrix includono le applicazioni e i desktop, noti anche come gruppi di consegna. Opzione Azione Visualizzare l'elenco di utenti e gruppi autorizzati per una determinata risorsa pubblicata da Citrix. Visualizzare l'elenco di permessi per le risorse pubblicate da Citrix per un utente o un gruppo specifico. a b c a b c d Fare clic sulla scheda Catalogo > App virtuali. Fare clic su Qualsiasi tipo di applicazione e selezionare Applicazioni pubblicate da Citrix per visualizzare le applicazioni o su Gruppi di consegna pubblicati da Citrix per visualizzare i desktop. Fare clic sul nome della risorsa pubblicata da Citrix per cui si desidera visualizzare i permessi. Per impostazione predefinita, la scheda Permessi è selezionata. I permessi dei gruppi e quelli degli utenti sono riportati in tabelle separate. Fare clic sulla scheda Utenti e gruppi. Selezionare la scheda Utenti o la scheda Gruppi. Fare clic sul nome di un singolo utente o gruppo. Fare clic sulla scheda App. Le risorse pubblicate da Citrix autorizzate sono elencate nelle tabelle Applicazioni pubblicate Citrix e Gruppi di consegna pubblicati Citrix. Avvio delle risorse pubblicate da Citrix in browser diversi Quando gli utenti avviano un'applicazione o un desktop pubblicato da Citrix dal portale Workspace ONE, un file ICA viene scaricato e passato a Citrix Receiver. Citrix Receiver è un'applicazione SO nativa che consente di avviare le applicazioni e i desktop pubblicati da Citrix. L'esperienza di avvio varia in base alle piattaforme e ai browser in uso. processo di avvio L'avvio dell'applicazione o del desktop viene eseguito in modo diverso in base alla piattaforma e al browser in uso. In alcuni casi, l'avvio dell'applicazione o del desktop avviene direttamente. In altri casi, l'utente deve innanzitutto associare il tipo di file.ica a Citrix Receiver in modo che l'avvio dell'applicazione o del desktop possa essere eseguito direttamente. In alcuni casi, l'utente deve fare clic sul file ICA scaricato per avviare l'applicazione o il desktop. Per informazioni dettagliate, vedere la tabella. VMware, Inc. 169

170 Modalità di avvio dell'applicazione o del Piattaforma Browser desktop Azione necessaria Windows Firefox Avvia l'applicazione o il desktop direttamente Nessuna Chrome Avvia l'applicazione o il desktop direttamente. Nota Con Citrix 4.5 Receiver e XenDesktop, si verificano problemi noti relativi all'avvio del gruppo di consegna. Nessuna Internet Explorer Edge Scarica il file ICA con estensione.ica. Dopo l'associazione del tipo di file a Citrix Receiver, avvia l'applicazione o il desktop automaticamente. Avvia l'applicazione o il desktop direttamente. Nota Con Citrix 4.5 Receiver e XenDesktop, si verificano problemi noti relativi all'avvio del gruppo di consegna. Nel browser, associare il tipo di file.ica a Citrix Receiver. Nessuna Mac Safari, Firefox Avvia l'applicazione o il desktop direttamente Nessuna Chrome Avvia l'applicazione o il desktop direttamente Nessuna Windows Surface Chrome Scarica il file ICA con estensione.ica Dopo l'associazione del tipo di file a Citrix Receiver, avvia l'applicazione o il desktop automaticamente. Nel browser, associare il tipo di file.ica a Citrix Receiver. Android Chrome Scarica il file ICA Fare clic sul file ICA per avviare il desktop o l'applicazione. ios Safari Scarica il file ICA Fare clic sul file ICA per avviare il desktop o l'applicazione. Chrome Non è in grado di scaricare il file ICA Questo scenario non è supportato. Consentire il plug-in Citrix Receiver in Firefox In Firefox, quando gli utenti avviano un'applicazione pubblicata da Citrix, viene richiesto di consentire il plug-in Citrix Receiver. Consenti a di eseguire Citrix Receiver? Gli utenti devono fare clic su Consenti ora o Consenti e ricorda per avviare l'applicazione. VMware, Inc. 170