docs.vmware.com · Contenido Configurar recursos en VMware Identity Manager (versión local) 7 1...

Configurar recursos en VMwareIdentity Manager 3.2 (versión local)

AGOSTO DE 2018VMware Identity Manager 3.2

Puede encontrar la documentación técnica más actualizada en el sitio web de VMware:

https://docs.vmware.com/es/

Si tiene comentarios relacionados con esta documentación, envíelos a:

[email protected]

VMware, Inc.3401 Hillview Ave.Palo Alto, CA 94304www.vmware.com

VMware Spain, S.L.Calle Rafael Boti 262.ª plantaMadrid 28023Tel.: +34 914125000www.vmware.com/es

Copyright © 2013-2018 VMware, Inc. Todos los derechos reservados. Información sobre el copyright y la marcacomercial.

Configurar recursos en VMware Identity Manager 3.2 (versión local)

VMware, Inc. 2

https://docs.vmware.com/es/

mailto:[email protected]

http://pubs.vmware.com/copyright-trademark.html

http://pubs.vmware.com/copyright-trademark.html

Contenido

Configurar recursos en VMware Identity Manager (versión local) 7

1 Introducción a los recursos de configuración de VMware Identity Manager 8

2 Proporcionar acceso a las aplicaciones web 10Agregar una aplicación web al catálogo 12

Asignar usuarios y grupos a una aplicación web 15

Edición de una aplicación web 17

Copiar una aplicación web 17

Exportar una aplicación web 18

Eliminar una aplicación web del catálogo 18

Crear y seleccionar categorías para las aplicaciones 19

Agregar varios tenants de aplicaciones web 19

Agregar aplicaciones de OpenID Connect al catálogo 21

Agregar una aplicación de OpenID Connect 22

Utilizar adaptadores de aprovisionamiento 24

Administrar la configuración de las aplicaciones web 25

Información adicional 26

3 Usar colecciones de aplicaciones virtuales para las integraciones de escritorio 27Acerca de las colecciones de aplicaciones virtuales 27

Creación de colecciones de aplicaciones virtuales 30

Edición de colecciones de aplicaciones virtuales 32

Eliminación de colecciones de aplicaciones virtuales 32

Supervisión de las colecciones de aplicaciones virtuales 33

Migrar configuraciones existentes a la colección de aplicaciones virtuales 33

Usar el Asistente de migración para migrar las colecciones de aplicaciones virtuales 35

4 Proporcionar acceso a grupos de aplicaciones y escritorios de View, Horizon 6 uHorizon 7 38Cómo integrar pods de Horizon independientes 39

Requisitos para integrar pods de Horizon 40

Integrar implementaciones de Horizon Cloud Pod Architecture (CPA) 41

Requisitos para integrar federaciones de módulos de Horizon 44

Configuración de federaciones de módulos y pods de Horizon en VMware Identity Manager 46

Configurar el entorno de VMware Identity Manager 46

Configurar federaciones de módulos y pods de Horizon en VMware Identity Manager 48

Configurar la autenticación SAML 55

VMware, Inc. 3

Habilitación de varias URL de acceso de cliente para rangos de redes personalizados 55

Iniciar los recursos de Horizon a través de puertas de enlace de validación 57

Ver la información de conexión de grupos de aplicaciones y escritorios de Horizon 58

Ver autorizaciones de usuarios y grupos para grupos de aplicaciones y escritorios de Horizon 59

Configurar directivas de acceso para aplicaciones y escritorios específicos 59

Permitir a los usuarios restablecer sus escritorios de Horizon en VMware Identity Manager 60

Ver las opciones de inicio de las aplicaciones y los escritorios de Horizon 61

Inicio de una aplicación o un escritorio de Horizon 63

5 Proporcionar acceso a aplicaciones y escritorios de VMware Horizon Cloud Service65

Integrar aplicaciones y escritorios de Horizon Cloud 66

Integrar varias instancias de Horizon Cloud 66

Requisitos previos para la integración 67

Configurar un arrendatario de Horizon Cloud en VMware Identity Manager 69

Configurar la autenticación de SAML en el arrendatario de Horizon Cloud 72

Ver los detalles de los grupos de aplicaciones y escritorios de Horizon Cloud 75

Ver las autorizaciones de grupos y usuarios para aplicaciones y escritorios de Horizon Cloud 75


Permitir que los usuarios restablezcan los escritorios de Horizon Cloud 77

Uso de una aplicación o un escritorio de Horizon Cloud 77

6 Proporcionar acceso a paquetes de VMware ThinApp 79Integración de paquetes de VMware ThinApp 80

Requisitos de VMware Identity Manager para paquetes de ThinApp y el repositorio de redcompartida 81

Crear una unidad de red compartida para los paquetes de ThinApp 86

Configurar el acceso de VMware Identity Manager a paquetes de ThinApp 87

Autorización de usuarios y grupos para paquetes de ThinApp 90

Distribución y administración de los paquetes de ThinApp 93

Período de gracia sin conexión y paquetes de ThinApp 97

Actualizar paquetes de ThinApp administrados después de la implementación en VMware IdentityManager 97

Actualizar un paquete de ThinApp administrado 99

Eliminar paquetes de ThinApp de VMware Identity Manager 103

Convertir los paquetes existentes de ThinApp para que sean compatibles con VMware Identity Manager104

Cambiar la carpeta compartida de los paquetes de ThinApp 107


7 Configurar VMware Identity Manager Desktop 109Opciones del instalador de línea de comandos para el escritorio VMware Identity Manager 110

Instalación de la aplicación para Windows con la misma configuración en varios sistemas 115


VMware, Inc. 4

Agregar archivos del instalador de VMware Identity Manager Desktop a los dispositivos virtuales deVMware Identity Manager 117

Utilizar la aplicación de línea de comandos hws-desktop-ctrl.exe 118

8 Proporcionar acceso a recursos publicados de Citrix 120Descripción general de la integración de los recursos publicados de Citrix 120

Componentes requeridos para la integración de Citrix 122

Diseño de integración de alto nivel 122

Sincronizar los recursos publicados de Citrix y las autorizaciones 122

Inicio de aplicaciones y escritorios publicados de Citrix 123

Requisitos previos para la integración de Citrix 127

Acerca de la implementación de Integration Broker 128

Preparar el servidor de Windows para la instalación de Integration Broker 132

Implementar Integration Broker 142

Habilitar la ejecución de comandos remotos de Citrix PowerShell 151

Comprobar la conexión con la granja de servidores de Citrix 154

Descargar Citrix Web Interface SDK (versión 5.4) 155

Configurar las granjas de servidores de Citrix en VMware Identity Manager 155

Configurar el inicio de los recursos de Citrix en VMware Identity Manager 160

Configurar el inicio de recursos para la red interna 161

Configurar el inicio de recursos para redes externas con NetScaler 162

Configurar VMware Identity Manager para la integración con Citrix 166

Administración de categorías de recursos publicados de Citrix 166

Configurar los ajustes de entrega (propiedades de ICA) de los recursos publicados de Citrix 167


Ver las autorizaciones de usuarios y grupos para los recursos publicados de Citrix 171

Iniciar recursos publicados por Citrix en diferentes navegadores 172

Consecuencias de la actualización en la integración de los recursos publicados de Citrix 174

9 Proporcionar acceso a aplicaciones administradas de terceros en Workspace ONE 175Agregar un origen de la aplicación al catálogo de Workspace ONE 176

Autorizar a los usuarios en el origen de la aplicación 177

Agregar aplicaciones administradas por el origen de la aplicación 178

10 Resolver problemas de configuración de recursos de VMware Identity Manager 180Solución de problemas de la integración con ThinApp 180

Error al iniciar paquetes de ThinApp desde el portal del usuario 180

Solución de problemas de la integración de Horizon 183

No se pueden sincronizar los recursos de Horizon 183

Los usuarios no pueden iniciar escritorios ni aplicaciones de Horizon 184

Solución de problemas de la integración de recursos publicados de Citrix 184

Los usuarios que acceden a recursos publicados de Citrix reciben un error de cifrado 185


VMware, Inc. 5

Los recursos publicados de Citrix no están disponibles en VMware Identity Manager 185

Cuando el usuario inicia un recurso publicado de Citrix, el navegador muestra el mensaje 500 Errorinterno del servidor 189

Un problema de memoria impide configurar correctamente Integration Broker 190

Error de recurso no disponible al iniciar los escritorios de XenApp 7.x 191

No se pueden iniciar los escritorios desde la granja de Citrix XenDesktop en Windows 7 191

El inicio de recursos publicados de Citrix falla si se establece de forma incorrecta el puerto XML191

Se produce un error en la sincronización de recursos de Citrix si Grupo de visibilidad limitada nocontiene ningún usuario o grupo 192

Problemas de sincronización si las aplicaciones o los escritorios publicados en un sitio no contienenusuarios válidos 192

Las autorizaciones de Citrix no aparecen en VMware Identity Manager 193

Excepción durante la sincronización si no se configura la identidad del grupo de aplicaciones 194

El archivo ICA no se crea al iniciar recursos de Citrix 195

Reiniciar Integration Broker 195


VMware, Inc. 6

Configurar recursos en VMware IdentityManager (versión local)

Configurar recursos en VMware Identity Manager proporciona información sobre cómo agregar recursosal catálogo de VMware Identity Manager y ponerlos a disposición de los sistemas de los usuarios, porejemplo desde sus dispositivos móviles y de escritorio. Los recursos compatibles incluyen aplicacionesweb, escritorios y aplicaciones de VMware Horizon®, escritorios y aplicaciones de VMware Horizon®

Cloud Service™, recursos publicados de Citrix y paquetes de VMware ThinApp®.

Público objetivoEsta información está destinada a todas las personas que configuren y administren recursos paraVMware Identity Manager. La información está escrita para administradores de sistemas Windows oLinux con experiencia y que estén familiarizados con la tecnología de máquinas virtuales.

Nota sobre la función de colección de aplicacionesvirtualesCuando se actualice a VMware Identity Manager 3.1, puede migrar las configuraciones de recursosexistentes a la nueva función Colección de aplicaciones virtuales. Hasta que se realice la migración,puede seguir utilizando el menú Administrar aplicaciones de escritorio en la página Catálogo >Catálogo de aplicaciones para administrar las configuraciones.

Esta guía se refiere a la nueva interfaz de usuario de la colección de aplicaciones virtuales para todas lasintegraciones. Si continúa utilizando la antigua interfaz de usuario desde el menú Administraraplicaciones de escritorio, consulte la versión 3.0 de la documentación, Configurar recursos enVMware Identity Manager 3.0 (PDF).

VMware, Inc. 7

https://docs.vmware.com/es/VMware-Identity-Manager/3.0/vidm-resource-onprem-30.pdf

https://docs.vmware.com/es/VMware-Identity-Manager/3.0/vidm-resource-onprem-30.pdf

Introducción a los recursos deconfiguración de VMwareIdentity Manager 1Después de instalar y configurar VMware Identity Manager, debe configurar los recursos compatibles dela consola de administración de VMware Identity Manager para ofrecer a los usuarios acceso a dichosrecursos. Excepto las aplicaciones Web, cada tipo de recurso requiere que integre VMware IdentityManager con otro producto o componente.

Puede integrar los siguientes tipos de recursos con VMware Identity Manager:

n aplicaciones web

n Aplicaciones y escritorios de VMware Horizon® Cloud Service™

n Grupos de aplicaciones y escritorios de VMware Horizon® 7, Horizon 6 y View

n Recursos publicados de Citrix

n Aplicaciones empaquetadas de VMware ThinApp®

Puede integrar estos recursos desde la pestaña Catálogo en la consola de administración.

Para integrar las aplicaciones web, utilice la pestaña Catálogo > Aplicaciones web.

Para integrar y administrar grupos de aplicaciones y escritorios de Horizon, aplicaciones y escritorios deHorizon Cloud, recursos publicados de Citrix o aplicaciones empaquetadas de ThinApp, utilice la pestañaCatálogo > Aplicaciones virtuales.

VMware, Inc. 8

Puede administrar la configuración para los recursos integrados desde las siguientes páginas.

n La configuración global está disponible en la pestaña Catálogo > Configuración.

n La configuración de las aplicaciones web está disponible desde el botón Configuración en lapestaña Catálogo > Aplicaciones Web.

n La configuración de recursos publicados de Citrix, Horizon, Horizon Cloud y ThinApp está disponibledesde el botón Configuración en la pestaña Catálogo > Aplicaciones virtuales.

También puede administrar la configuración de aplicaciones individuales haciendo clic en la aplicación enla página Catálogo > Aplicaciones web o Catálogo > Aplicaciones virtuales, y modificar suconfiguración.


VMware, Inc. 9

Proporcionar acceso a lasaplicaciones web 2Puede agregar aplicaciones web al catálogo de VMware Identity Manager y asignarlas a usuarios ygrupos para proporcionar a los usuarios acceso a estas aplicaciones desde la aplicación o el portal deWorkspace ONE. Habilite el inicio de sesión único (SSO) para las aplicaciones a través de un protocolode federación como SAML 2.0 para configurar las aplicaciones.

Las directivas de acceso pueden aplicarse a las aplicaciones para controlar el acceso de los usuarios enfunción de criterios como tipo de dispositivo o rango de redes del usuario. Puede crear directivas deacceso para una aplicación única, un conjunto de aplicaciones o todas las aplicaciones del catálogo. Alagregar una aplicación al catálogo, seleccione la directiva de acceso para usar.

También puede configurar un flujo de aprobación para que los usuarios deban solicitar acceso a unaaplicación, y la solicitud deberá aprobarse antes de poder utilizar la aplicación.

Los siguientes tipos de aplicaciones web se pueden agregar al catálogo:

n Aplicaciones SAML 2.0

n Aplicaciones SAML 1.1

SAML 1.1 es un perfil de autenticación de SAML anterior. Para garantizar una mayor seguridad,implemente SAML 2.0.

n Aplicaciones de WS-Federation 1.2

n Aplicaciones de OpenID Connect

n Aplicaciones que no usan un protocolo de federación

n Aplicaciones asociadas con los proveedores de identidad de terceros, como Okta, Ping y ADFS.

Para agregar estas aplicaciones, primero debe configurar el proveedor de identidad de terceroscomo un origen de la aplicación en VMware Identity Manager. Consulte

Capítulo 9 Proporcionar acceso a aplicaciones administradas de terceros en Workspace ONE paraobtener información.

Antes de configurar las aplicaciones web en el catálogo, tenga en cuenta las siguientes consideraciones.

n Si configura la aplicación web para usar un protocolo de federación, utilice SAML 2.0, SAML 1.1,WS-Federation 1.2 u OpenID Connect. No es un requisito configurar la aplicación web para usar unprotocolo de federación.

VMware, Inc. 10

n Los usuarios a los que les quiere dar autorización para usar la aplicación web deben ser usuariosregistrados de dicha aplicación, o bien considere configurar el adaptador de aprovisionamiento de laaplicación, si está disponible, para aprovisionar los usuarios de VMware Identity Manager en laaplicación.

n Si la aplicación web es una aplicación multiarrendatario, el servicio dirige a la instancia de laaplicación.

Requisitos de las funciones para la administración deaplicaciones webVMware Identity Manager 3.2 presenta el control de acceso basado en funciones. Las siguientesfunciones pueden administrar aplicaciones web:

n Superadministrador

n Función de administrador personalizada que tenga la siguiente configuración:

Servicio: Catálogo

Acciones: Administrar aplicaciones web, administrar orígenes de aplicaciones, administraraplicaciones de terceros, según sea necesario

Recursos: Todos los recursos o recursos específicos según sea necesario

Para asignar aplicaciones a usuarios y grupos, la función debe incluir la acción Administrarautorizaciones.

Para obtener más información acerca de las funciones, consulte "Administrar funciones de administrador"en Administración de VMware Identity Manager.

Este capítulo incluye los siguientes temas:

n Agregar una aplicación web al catálogo

n Asignar usuarios y grupos a una aplicación web

n Edición de una aplicación web

n Copiar una aplicación web

n Exportar una aplicación web

n Eliminar una aplicación web del catálogo

n Crear y seleccionar categorías para las aplicaciones

n Agregar varios tenants de aplicaciones web

n Agregar aplicaciones de OpenID Connect al catálogo

n Utilizar adaptadores de aprovisionamiento

n Administrar la configuración de las aplicaciones web

n Información adicional


VMware, Inc. 11

Agregar una aplicación web al catálogoPuede agregar aplicaciones web al catálogo seleccionándolas desde el catálogo de aplicaciones de nubeo creando nuevas.

El catálogo de aplicaciones de nube contiene las aplicaciones web empresariales más utilizadas. Estasaplicaciones están configuradas parcialmente, y se debe proporcionar información adicional paracompletar el registro de la aplicación. Es posible que también haya que colaborar con los representantesde la cuenta de la aplicación web para configurar otros valores necesarios.

Muchas de las aplicaciones en el catálogo de aplicaciones de nube utilizan SAML 2.0 o 1.1 paraintercambiar datos de autenticación y autorización con el fin de habilitar el inicio de sesión único deWorkspace ONE en la aplicación web.

Cuando crea una nueva aplicación, debe introducir toda la información de configuración de esta. Laconfiguración varía según el tipo de aplicación que está agregando. Para las aplicaciones sin ningúnprotocolo de federación, solo se requiere una dirección URL de destino.

Las aplicaciones desde cualquier proveedor de identidad externo que haya configurado como orígenesde la aplicación en VMware Identity Manager se añaden como aplicaciones nuevas.

Al agregar una aplicación, también se selecciona una directiva de acceso para controlar el acceso deusuario a la aplicación. Hay disponible una directiva de acceso predeterminada y también puede crearnuevas desde la página Administración de acceso e identidad > Administrar > Directivas. Paraobtener información sobre las directivas de acceso, consulte Administración de VMware IdentityManager.

Requisitos previos

n Obtenga la información de configuración para la aplicación.

n Cree una directiva de acceso si no desea utilizar la directiva de acceso predeterminada. Puede creardirectivas de acceso desde la página Administración de acceso e identidad > Administrar >Directivas.

n Cree categorías para agrupar las aplicaciones en categorías. Hay disponible una categoríaRecomendada predefinida. Puede crear categorías desde la página Catálogo > Aplicaciones webhaciendo clic en Categorías y escribiendo el nombre de la categoría en el cuadro de texto.

n Cree grupos de usuarios, si es necesario. Puede crear grupos desde la pestaña Grupos y usuarios> Grupos.

Procedimiento

1 En la consola de administración, seleccione la pestaña Catálogo > Aplicaciones web.

2 Haga clic en Nuevo.

Aparece el Asistente de nueva aplicación de SaaS.


VMware, Inc. 12

3 Seleccione una aplicación en el catálogo de aplicaciones de nube o cree una nueva.

n Para seleccionar una aplicación desde el catálogo de aplicaciones de nube, escriba su nombreen el cuadro de búsqueda o haga clic en "o examinar desde catálogo" y selecciónela en la listade aplicaciones.

Los campos en las páginas Definición y Configuración se rellenan parcialmente.

n Para crear una nueva aplicación, introduzca su nombre en el campo Nombre.

4 En la página Definición, introduzca la información necesaria.

Opción Descripción

Nombre Escriba un nombre único para la aplicación.

Descripción (Opcional) Agregue una descripción de la aplicación.

Icono (Opcional) Cargue un icono para la aplicación. Son compatibles los iconos enarchivos de hasta 4 MB en formato PNG, JPG e ICON.

El icono debe tener un mínimo de 180 x 180 píxeles. Si el icono es demasiadopequeño, no se mostrará. En ese caso, se muestra el icono de Workspace ONE.

Categoría (Opcional) Para agregar la aplicación a una categoría, selecciónela en el menúdesplegable. Ya debe haber categorías creadas.

Hay disponible una categoría Recomendada predefinida. Seleccione si desea quela aplicación aparezca en la página de Recomendada en Workspace ONE. Sidesea que la aplicación aparezca en página Marcadores de los usuarios,seleccione la categoría Recomendada y, en la página Catálogo > Configuración> Configuración del portal de usuario, seleccione la pestaña Mostraraplicaciones recomendadas en Marcadores.

5 Haga clic en Siguiente.

6 En la página Configuración, introduzca los detalles de configuración de la aplicación.

Para las aplicaciones que se agregan desde el catálogo de aplicaciones de nube, algunos camposse rellenan previamente con información específica de cada aplicación web. Algunos de loselementos rellenados automáticamente se pueden editar y otros, no. La información requerida varíade una aplicación a otra.

Para las aplicaciones que se están agregando como aplicaciones nuevas, los campos varían segúnel tipo de autenticación que seleccione.


VMware, Inc. 13

Para obtener información acerca de campos específicos, haga clic en el icono de información situadojunto al campo.


Single Sign-On Tipo de autenticaciónPara las aplicaciones que se agregan desde el catálogo de aplicaciones de nube,el tipo de autenticación está preseleccionado. Para las nuevas aplicaciones,seleccione el tipo de autenticación, si corresponde. Si la aplicación no utiliza unprotocolo de federación, seleccione Vínculo de la aplicación web.

Las siguientes opciones están disponibles:

n SAML 2.0

Si la aplicación web es compatible con SAML 2.0, un estándar basado en XMLpara el intercambio seguro de información de autorización y autenticación,seleccione esta opción para habilitar el inicio de sesión único desdeWorkspace ONE en la aplicación.

n SAML 1.1

Si la aplicación web admite SAML 1.1, seleccione esta opción para habilitar elinicio de sesión único desde Workspace ONE en la aplicación.

n WSFed 1.2

Si la aplicación web admite la autenticación con WS-Federation 1.2,seleccione esta opción para habilitar el inicio de sesión único desdeWorkspace ONE en la aplicación.

n OpenID Connect

Si la aplicación es compatible con OpenID Connect, un protocolo deautenticación basado en el protocolo OAuth 2.0, seleccione esta opción parahabilitar el inicio de sesión único desde Workspace ONE en la aplicación.

n Cualquier proveedor de identidad de terceros configurado como origen de laaplicación en VMware Identity Manager, por ejemplo, Okta.

Seleccione esta opción para agregar una aplicación desde un origen de laaplicación. Los orígenes de la aplicación aparecen en la lista solo si ya estánconfigurados en la página Configuración de las aplicaciones web. Cuandoseleccione un origen de la aplicación, solo necesitará introducir la direcciónURL de destino de la aplicación, dado que el resto de la configuración ya seha completado en el origen de la aplicación.

n Vínculo de la aplicación web

Seleccione esta opción si la aplicación no utiliza ningún protocolo defederación. Solo debe introducir la dirección URL de destino de la aplicación.

ConfiguraciónLos campos que aparecen varían según el tipo de autenticación seleccionado.Haga clic en el icono de información para obtener una descripción de cada campo.

Si seleccionó un origen de la aplicación o Vínculo de la aplicación web, solo tieneque introducir la dirección URL de destino de la aplicación.

Parámetros de la aplicación Para las aplicaciones agregadas desde el catálogo de aplicaciones de nube,pueden aparecer parámetros. Si aparece un parámetro y no tiene un valorpredeterminado, escriba un valor para permitir que la aplicación se inicie. Losvalores predeterminados proporcionados se pueden editar.


VMware, Inc. 14


Para las nuevas aplicaciones, agregue los parámetros obligatorios.

Nota Esta sección no aparece cuando se selecciona como tipo de autenticaciónOpenID Connect, un origen de la aplicación o Vínculo de la aplicación web.

Propiedades avanzadas Las propiedades avanzadas incluyen opciones para firmar y cifrar las respuestas yaserciones SAML. Las propiedades que puede configurar varían según el tipo deautenticación seleccionado. Haga clic en el icono de información para obtener unadescripción de cada campo.

Nota Esta sección no aparece cuando se selecciona como tipo de autenticaciónOpenID Connect, un origen de la aplicación o Vínculo de la aplicación web.

Abrir en VMware Browser Seleccione esta opción si desea que la aplicación Workspace ONE abra laaplicación en el VMware Browser, lo que proporciona una alternativa segura alnavegador web nativo.


8 En la página Directivas de acceso, seleccione la directiva de acceso para administrar el acceso deusuario a la aplicación.

default_access_policy_set está seleccionada de forma predeterminada.

9 En la página Resumen, revise las selecciones y haga clic en Guardar, o haga clic en Guardar yasignar para asignar la aplicación a los usuarios y grupos.

Si no asigna la aplicación a los usuarios y grupos en este momento, puede hacerlo más tarde. Paraello, seleccione la aplicación en la página Catálogo > Aplicaciones web y haga clic en Asignar.

10 Si hizo clic en Asignar y guardar, asigne la aplicación a los usuarios y grupos.

a Agregue usuarios y grupos. Para ello, escriba el nombre en el cuadro de búsqueda y seleccioneentre los resultados.

b Seleccione el tipo de implementación para cada usuario o grupo.

Independientemente de si selecciona Activada por el usuario o Automática, la aplicaciónaparece en la página Catálogo de Workspace ONE. Los usuarios pueden ejecutar la aplicacióndesde la página Catálogo o marcarla y ejecutarla desde la página Marcadores. Si va a configurarun flujo de aprobación para la aplicación, seleccione Activada por el usuario.

c Haga clic en Guardar.

La aplicación se agrega al catálogo y aparecerá en la lista de aplicaciones en la pestaña Catálogo >Aplicaciones web.

Asignar usuarios y grupos a una aplicación webDespués de agregar aplicaciones web al catálogo, puede asignarlas a los usuarios y grupos.


VMware, Inc. 15

Cuando autoriza a un usuario para usar una aplicación web, el usuario puede ver e iniciar la aplicacióndesde la aplicación o el portal de Workspace ONE. Si elimina la autorización del usuario, el usuario nopodrá ver ni iniciar la aplicación.

En muchos casos, la manera más eficaz de autorizar a los usuarios es asignar las aplicaciones web a ungrupo de usuarios.

Requisitos previos

Cree grupos si es necesario. Puede crear grupos desde la pestaña Grupos y usuarios > Grupos.

Procedimiento

1 Inicie sesión en la consola de administración.

2 Autorice usuarios para que usen una aplicación web.

Método Descripción

Acceder a una aplicación web yasignarla a usuarios o grupos

a Haga clic en la pestaña Catálogo > Aplicaciones web.

b Haga clic en la aplicación web.

c Haga clic en Asignar.d Seleccione usuarios y grupos. Para ello, escriba el nombre en el cuadro de

búsqueda y seleccione desde los resultados.

e Seleccione el tipo de implementación para cada usuario o grupo.

Independientemente de si selecciona Activada por el usuario o Automática,la aplicación se agrega a la página Catálogo en Workspace ONE. Los usuariospueden ejecutar la aplicación desde la página Catálogo o marcarla y ejecutarladesde la página Marcadores. Sin embargo, si desea configurar un flujo deaprobación para la aplicación, seleccione Activada por el usuario.

f Haga clic en Guardar.

Obtener acceso a un usuario o grupoy agregar autorizaciones deaplicación web a dicho usuario ogrupo.

a Haga clic en la pestaña Usuarios y grupos.

b Haga clic en la pestaña usuarios o en la pestaña Grupos.

c Haga clic en el nombre de un usuario o grupo.

d Haga clic en la pestaña Aplicaciones y, a continuación, en Agregarautorización.

e En la lista desplegable Tipo de aplicación, seleccione Aplicaciones web.

f Selecciones las casillas situadas junto a las aplicaciones web que deseaautorizar para que las usen el usuario o el grupo.

g En la columna IMPLEMENTACIÓN, seleccione cómo activar cada aplicaciónweb.

Independientemente de si selecciona Activada por el usuario o Automática,la aplicación se agrega a la página Catálogo en Workspace ONE. Los usuariospueden ejecutar la aplicación desde la página Catálogo o marcarla y ejecutarladesde la página Marcadores. Sin embargo, si desea configurar un flujo deaprobación para la aplicación, seleccione Activada por el usuario.

h Haga clic en Guardar.

El usuario o grupo seleccionado dispone ahora de autorización para usar la aplicación web.


VMware, Inc. 16

Edición de una aplicación webPuede editar cualquier aplicación web que haya agregado a su catálogo de VMware Identity Manager.Puede cambiar la definición, la configuración, la directiva de acceso y las asignaciones de usuarios de laaplicación.

Procedimiento

1 Haga clic en la pestaña Catálogo > Aplicaciones web.

2 Haga clic en la aplicación que desea editar.

3 Haga clic en Editar.

4 Siga el asistente Editar aplicación de SaaS para modificar la aplicación según sea necesario.

El proceso es el mismo que crear una aplicación nueva. Consulte Agregar una aplicación web alcatálogo.

Copiar una aplicación webPuede realizar una copia de una aplicación web en su catálogo y modificarla para crear una nuevaaplicación. Es útil copiar una aplicación cuando desee añadir otra aplicación con una configuraciónsimilar o cuando se agreguen varios arrendatarios de una aplicación.

Procedimiento


2 Haga clic en la aplicación que desea copiar.

3 Haga clic en Copiar.

4 Siga el Asistente para copiar la aplicación de SaaS para configurar la nueva aplicación.

a Asegúrese de introducir un nombre nuevo para la aplicación copiada. De forma predeterminada,se cambia el nombre a applicationName_Copy.

b Modifique la configuración según sea necesario.

El proceso es el mismo que crear una aplicación nueva. Consulte Agregar una aplicación web alcatálogo.


5 En la página Resumen, revise las selecciones y haga clic en Guardar, o haga clic en Guardar yasignar para asignar la aplicación a los usuarios y grupos. Las asignaciones de grupos y usuariosdesde la aplicación original no se copian en la nueva aplicación.



VMware, Inc. 17


a Agregue usuarios y grupos. Para ello, escriba el nombre en el cuadro de búsqueda y seleccioneentre los resultados.




Exportar una aplicación webPuede exportar e importar una aplicación web de una instancia de VMware Identity Manager a otra. Porejemplo, se puede importar una aplicación desde el entorno de ensayo en el entorno de producción.

Para este proceso, es necesario exportar el paquete de la aplicación desde una instancia del servicio eimportarlo en otra. Es posible que no se necesite configurar nada más en la aplicación, especialmente sise han comprobado detalladamente los valores del entorno original.

Importante La capacidad para importar aplicaciones web no está disponible actualmente en la nuevainterfaz de usuario de la versión 3.2.

Procedimiento

1 Inicie la sesión en la consola de administración de la instancia de servicio desde la que se va aexportar la aplicación web.


3 Haga clic en la aplicación que desea exportar.

4 Haga clic en Exportar.

El paquete de aplicaciones se descarga en el sistema como un archivo zip.

Pasos siguientes

Importe el paquete de aplicaciones en la instancia de servicio en la que desea utilizarlo. Esta función noestá disponible actualmente en la nueva interfaz de usuario en la versión 3.2.

Eliminar una aplicación web del catálogoPuede eliminar aplicaciones web del catálogo de VMware Identity Manager que ya no necesitaproporcionar a los usuarios. Cuando se elimina una aplicación, ya no está disponible para ningún usuarioen Workspace ONE.


VMware, Inc. 18

Procedimiento


2 Haga clic en la aplicación que desea eliminar.

3 Haga clic en Eliminar.

Crear y seleccionar categorías para las aplicacionesPuede agrupar las aplicaciones web en categorías para que sea más fácil encontrarlas. Por ejemplo,puede crear una categoría denominada Beneficios y asignarle las aplicaciones de nómina, seguro y401K.

Además de las categorías que cree, también dispone de una categoría Recomendada predefinida.Seleccione esta categoría para las aplicaciones que desea agregar a la página Recomendada enWorkspace ONE. También puede utilizar la categoría Recomendada para colocar ciertas aplicacionesdirectamente en las páginas Marcadores de los usuarios. Para ello, seleccione la categoríaRecomendada para las aplicaciones y, a continuación, seleccione Mostrar aplicacionesrecomendadas en Marcadores en la página Catálogo > Configuración > Configuración del portaldel usuario.

Puede seleccionar categorías para las aplicaciones de diversas maneras.

n Seleccione categorías mientras agrega una aplicación en el catálogo si ya se crearon las categorías.

n Edite una aplicación para seleccionar categorías.

n Aplique categorías a varias aplicaciones al mismo tiempo desde la pestaña Catálogo >Aplicaciones web.

Procedimiento


2 Haga clic en Categorías.

3 En el cuadro de texto que aparece, escriba un nombre para la nueva categoría y seleccione Agregarcategoría Nombre de categoría nueva.

4 Asigne las aplicaciones a la categoría.

a En la pestaña Catálogo > Aplicaciones web, seleccione las aplicaciones que desea agregar ala categoría.

b Haga clic en el menú desplegable Categorías y seleccione la categoría que haya creado.

Agregar varios tenants de aplicaciones webVMware Identity Manager admite la adición de varios tenants de un proveedor de servicios a unainstancia de VMware Identity Manager. Si tiene varios tenants de una aplicación como Office 365 quepueden utilizarse en distintas líneas de negocio de su organización, puede agregar todos los tenants a


VMware, Inc. 19

una única instancia de VMware Identity Manager. Esto permite administrar el SSO y el acceso a todoslos tenants desde un solo lugar.

Para agregar varios tenants, agregue varias copias de la aplicación al catálogo de VMware IdentityManager y, a continuación, modifique la configuración de cada una de ellas. Asigne cada copia de laaplicación a un tenant diferente del proveedor de servicios. Cada tenant puede tener uno o variosdominios. También debe autorizar a los usuarios a la copia correspondiente de la aplicación.

Cuando los usuarios inician sesión en Workspace ONE y hacen clic en la aplicación para la cual estánautorizados, se inicia la aplicación correcta. Cuando los usuarios inician sesión en el proveedor deservicios directamente, el proveedor de servicios los redirige a VMware Identity Manager para suautenticación, y VMware Identity Manager autentica a los usuarios y abre la aplicación correcta enfunción de las autorizaciones de los usuarios.

Procedimiento



3 Seleccione la aplicación en el catálogo de aplicaciones de nube. Para ello, escriba su nombre en elcuadro de búsqueda o haga clic en "Examinar desde el catálogo" y selecciónela.

Los campos en las páginas Definición y Configuración se rellenan parcialmente.

4 Siga las instrucciones del asistente para configurar la aplicación y haga clic en Guardar.

5 Cree una copia de la aplicación mediante uno de los siguientes:

n Cree una nueva aplicación haciendo clic en Nuevo en la página Catálogo > Aplicaciones weby agregue la aplicación desde el catálogo de aplicaciones de nube.

n Copie la aplicación haciendo clic en la aplicación en la página Catálogo > Aplicaciones web yen Copiar.

Edite campos, como el nombre y la descripción para que se pueda identificar fácilmente la nuevaaplicación.

6 Configure cada copia de la aplicación para el arrendatario adecuado.

n Asigne cada copia de la aplicación a un tenant diferente del proveedor de servicios.

n Asegúrese de que los usuarios sean únicos en todos los dominios y tenants del proveedor deservicios.

Nota Si los usuarios no son únicos, asegúrese de que las direcciones URL de publicación delproveedor de servicios, es decir, las direcciones URL del Servicio de consumidor de asercionesque proporciona en la consola de administración de VMware Identity Manager, sean únicas entodos los tenants.


VMware, Inc. 20

7 Configure las autorizaciones del usuario para cada copia de la aplicación. Autorice a los usuariospara el tenant adecuado.

a En la pestaña Catálogo > Aplicaciones web, haga clic en la copia de la aplicación que secorresponde con el arrendatario.

b Haga clic en Asignar.

c Seleccione usuarios y grupos. Para ello, escriba los nombres en el cuadro de búsqueda yseleccione entre los resultados.

d Seleccione el tipo de implementación para cada usuario o grupo.

Independientemente de si selecciona la opción Automática o Activada por el usuario, laaplicación se agrega a la página Catálogo de Workspace ONE. Los usuarios pueden ejecutar laaplicación desde la página Catálogo o moverla a la página Marcadores. Sin embargo, si deseaconfigurar un flujo de aprobación para la aplicación, debe seleccionar Activada por el usuariopara la aplicación.

e Haga clic en Guardar.

Agregar aplicaciones de OpenID Connect al catálogoPuede agregar aplicaciones que utilizan el protocolo de autenticación OpenID Connect a VMware IdentityManager y administrarlas como cualquier otra aplicación en el catálogo. Puede aplicar una directiva deacceso a cada aplicación para especificar cómo los usuarios se autentican en función de criterios, comoel tipo de intervalo y dispositivo de red. Después de agregar la aplicación, la asigna a los usuarios ygrupos.

Para agregar una aplicación de OpenID Connect, especifique la dirección URL de destino de laaplicación, su URL de redireccionamiento, el ID de cliente y el secreto del cliente.

Al agregar una aplicación de OpenID Connect al catálogo, se crea automáticamente un cliente de OAuth2.0 en VMware Identity Manager para la aplicación. El cliente se crea con la información de laconfiguración especificada al agregar la aplicación, que incluye la dirección URL de destino, la direcciónURL de redireccionamiento, el ID de cliente y el secreto del cliente. Todos los demás parámetros utilizanlos valores predeterminados. Estos incluyen:

n Tipo de concesión: authorization_code, refresh_token

n Ámbito: admin, openid, usuario

n Mostrar concesión de usuario: false

n Tiempo de vida (TTL) de token de acceso: 3 horas

n Actualizar tiempo de vida de token (TTL): habilitado y establecido en 90 días

n Tiempo de vida (TTL) inactivo de token de actualización: 4 días


VMware, Inc. 21

Puede ver al cliente de OAuth 2.0 para la aplicación desde la pestaña Clientes en la página Catálogo >Configuración > Acceso a aplicaciones remotas. Haga clic en el nombre del cliente para ver lainformación de configuración. No edite ningún campo en el cliente.

Importante No elimine al cliente de OAuth 2.0 asociado a la aplicación. De lo contrario, la aplicación yano estará disponible para los usuarios.

Cuando se elimine la aplicación del catálogo, también se eliminará el cliente de OAuth 2.0.

Flujo de autenticación cuando se accede a aplicaciones deWorkspace ONECuando un usuario hace clic en la aplicación en Workspace ONE, el flujo de autenticación es elsiguiente:

1 El usuario hace clic en la aplicación en Workspace ONE.

2 VMware Identity Manager redirige al usuario a la dirección URL de destino.

3 La aplicación redirige al usuario a VMware Identity Manager con una solicitud de autorización.

4 VMware Identity Manager autentica al usuario en función de la directiva de autenticación queespecificó para la aplicación.

5 VMware Identity Manager comprueba si el usuario tiene autorización para la aplicación.

6 VMware Identity Manager envía el código de autorización a la URL de redireccionamiento.

7 Utilizando el código de autorización, la aplicación solicita el token de acceso.

8 VMware Identity Manager envía el token de ID, el token de acceso y el token de actualización a laaplicación.

Flujo de autenticación cuando se accede a la aplicacióndirectamente desde el proveedor de serviciosCuando un usuario accede a la aplicación directamente desde el proveedor de servicios, el flujo deautenticación es el siguiente:

1 El usuario hace clic en la aplicación.

2 Se redirecciona al usuario a VMware Identity Manager para la autenticación.

3 VMware Identity Manager autentica al usuario en función de la directiva de autenticación queespecificó para la aplicación.

4 VMware Identity Manager comprueba si el usuario tiene autorización para la aplicación.

5 VMware Identity Manager envía un token de ID al proveedor de servicios.

Agregar una aplicación de OpenID ConnectAgrega aplicaciones de OpenID Connect al catálogo de VMware Identity Manager desde la pestañaCatálogo > Aplicaciones web.


VMware, Inc. 22

Requisitos previos

n Obtenga la dirección URL de destino, la URL de redireccionamiento, el ID de cliente y el secreto decliente para la aplicación.

n Cree una directiva de acceso si no desea utilizar la directiva de acceso predeterminada. Puede creardirectivas de acceso desde la página Administración de acceso e identidad > Administrar >Directivas.

n Cree categorías, si fuera necesario. Puede crear categorías desde la página Catálogo >Aplicaciones web haciendo clic en Categorías y escribiendo el nombre de la categoría en el cuadrode texto.

n Cree grupos de usuarios, si es necesario. Puede crear grupos desde la pestaña Grupos y usuarios> Grupos.

Procedimiento

1 En la consola de administración, seleccione la pestaña Catálogo > Aplicaciones web.


3 En la página Definición del Asistente de nueva aplicación de SaaS, introduzca la informaciónnecesaria.


Nombre Escriba un nombre único para la aplicación.


Icono (Opcional) Cargue un icono para la aplicación. Son compatibles los iconos enarchivos de hasta 4 MB en formato PNG, JPG e ICON.

El icono debe tener un mínimo de 180 x 180 píxeles. Si el icono es demasiadopequeño, no se mostrará. En ese caso, se muestra el icono de Workspace ONE.

Categoría (Opcional) Para agregar la aplicación a una categoría, selecciónela en el menúdesplegable. Ya debe haber categorías creadas.

También está disponible una categoría Recomendada predefinida. Seleccione sidesea que la aplicación aparezca en la página de Recomendada en WorkspaceONE. Si desea que la aplicación aparezca en página Marcadores de los usuarios,seleccione la categoría Recomendada y en la página Catálogo > Configuración >Configuración del portal de usuario, seleccione Mostrar aplicacionesrecomendadas en la pestaña Marcadores.


5 En la página Configuración, introduzca la información de configuración necesaria.


Tipo de autenticación Seleccione OpenID Connect.

URL de destino La URL de la aplicación a la que se enviará a los usuarios cuando hagan clic en laaplicación en Workspace ONE.


VMware, Inc. 23


URL de redireccionamiento La dirección URL a la que VMware Identity Manager le enviará el código deautorización.

ID del cliente El identificador de cliente que la aplicación incluirá en las solicitudes deautenticación que se realizan a VMware Identity Manager. El ID de cliente debe serexclusivo para cada arrendatario.

Secreto de cliente El secreto que va a utilizar la aplicación para identificarse en las solicitudes deautenticación que se realizan a VMware Identity Manager.

Abrir en VMware Browser Seleccione esta opción si desea que la aplicación Workspace ONE abra laaplicación en el VMware Browser, lo que proporciona una alternativa segura alnavegador web nativo.


7 En la página Directivas de acceso, seleccione la directiva de acceso para administrar el acceso deusuario a la aplicación.

default_access_policy_set está seleccionada de forma predeterminada. Para obtener informaciónsobre la creación y administración de las directivas de acceso, consulte Administración de VMwareIdentity Manager.

8 En la página Resumen, revise las selecciones y haga clic en Guardar, o haga clic en Guardar yasignar para asignar la aplicación a los usuarios y grupos.



a Agregar usuarios y grupos escribiendo el nombre en el cuadro de búsqueda y seleccionandoentre los resultados



10 Haga clic en Guardar.

La aplicación se añade al catálogo. Para editar la configuración de la aplicación en cualquier momento,seleccione la aplicación en la página Catálogo > Aplicaciones web y haga clic en Editar.

Utilizar adaptadores de aprovisionamientoEl aprovisionamiento permite la administración automática de los usuarios de la aplicación desde unaúnica ubicación. Los adaptadores de aprovisionamiento permiten que las aplicaciones web recupereninformación específica del servicio VMware Identity Manager cuando se requiera. Por ejemplo, cuandose habilita el aprovisionamiento automático de usuarios en Google Apps, la información requerida de la


VMware, Inc. 24

cuenta del usuario, como el nombre de usuario, el nombre y el apellido, se puede obtener del servicio deVMware Identity Manager.

Si el aprovisionamiento de una aplicación web está habilitado, al autorizar a un usuario a utilizar laaplicación del servicio VMware Identity Manager se aprovisiona a dicho usuario en la aplicación web.

Configure el adaptador de aprovisionamiento de una aplicación cuando agregue la aplicación al catálogodesde la pestaña Catálogo > Aplicaciones web.

Actualmente, el servicio de VMware Identity Manager incluye adaptadores de aprovisionamiento para lassiguientes aplicaciones:

n Google Apps

Consulte #unique_16.

n Office 365

n Socialcast

Importante Actualmente, el adaptador de aprovisionamiento de Office 365 es el único disponible en lanueva interfaz de usuario de la versión 3.2.

Administrar la configuración de las aplicaciones webLa configuración de las aplicaciones web está disponible desde el botón Configuración en la páginaCatálogo > Aplicaciones web.

En la página Configuración, puede habilitar un flujo de aprobación para las aplicaciones, configurarproveedores de identidad de terceros como orígenes de la aplicación y administrar metadatos SAML.


VMware, Inc. 25

Configuración Descripción

Aprobaciones Cuando se habilitan las aprobaciones, los usuarios necesitansolicitar acceso a las aplicaciones antes de poder utilizarlasdesde el catálogo de Workspace ONE.

Para obtener información sobre la configuración de lasaprobaciones, consulte Administración de VMware IdentityManager.

Metadatos SAML Puede descargar el certificado de firma SAML autofirmado deVMware Identity Manager y los metadatos SAML desde lapestaña Descargar metadatos SAML. Si desea obtener uncertificado de una entidad de certificación (CA) de terceros,puede generar una solicitud de firma de certificado (CSR) desdela pestaña Generar CSR, obtener el certificado y cargarlo en lamisma pestaña.

Para obtener más información sobre la administración demetadatos de SAML, consulte "Administrar el catálogo" enAdministración de VMware Identity Manager.

Orígenes de la aplicación Puede configurar ciertos proveedores de identidad de terceros,como OKTA o ADFS, como orígenes de la aplicación y, acontinuación, agregar las aplicaciones asociadas al catálogo.

Para obtener información sobre la configuración de los orígenesde la aplicación, consulte Capítulo 9 Proporcionar acceso aaplicaciones administradas de terceros en Workspace ONE.

Información adicionalHay disponible información adicional sobre la configuración del inicio de sesión único basado en SAMLen aplicaciones web específicas, como Office 365 y Google Apps. Se incluye la información sobreadaptadores de aprovisionamiento, si corresponde.

Consulte el sitio web de la documentación de las integraciones de VMware Identity Manager.


VMware, Inc. 26

https://www.vmware.com/support/pubs/vidm_webapp_sso.html

Usar colecciones deaplicaciones virtuales para lasintegraciones de escritorio 3Además de las aplicaciones web, puede integrar aplicaciones y escritorios de Horizon, aplicaciones yescritorios de Horizon Cloud, recursos publicados de Citrix y aplicaciones de ThinApp con el servicioVMware Identity Manager. A partir de la versión 3.1, estos recursos se administran con la nueva funciónde colecciones de aplicaciones virtuales.


n Acerca de las colecciones de aplicaciones virtuales

n Creación de colecciones de aplicaciones virtuales

n Edición de colecciones de aplicaciones virtuales

n Eliminación de colecciones de aplicaciones virtuales

n Supervisión de las colecciones de aplicaciones virtuales

n Migrar configuraciones existentes a la colección de aplicaciones virtuales

Acerca de las colecciones de aplicaciones virtualesPuede integrar aplicaciones y escritorios de Horizon, aplicaciones y escritorios de Horizon Cloud,recursos publicados de Citrix y paquetes de ThinApp con el servicio VMware Identity Manager. A partirde la versión 3.1, estos recursos se administran a través de las colecciones de aplicaciones virtuales.

Una colección de aplicaciones virtuales contiene la información de configuración para una integración,incluido el tipo de recurso, los servidores desde los que se sincronizan los recursos, el conector que seutiliza para la sincronización y la programación de sincronización.

Puede crear una colección de aplicaciones virtuales única o varias colecciones para cualquier tipo derecurso, excepto para los paquetes de ThinApp, para los cuales únicamente puede crearse una solacolección. Por ejemplo, para integrar una implementación de 50 granjas de Citrix XenApp, puedeconfigurar 10 colecciones de aplicaciones virtuales en VMware Identity Manager, con 5 granjas en cadacolección. Esto permite simplificar la administración de la configuración y permite una sincronización másrápida dado que cada colección se sincroniza por separado.

También puede utilizar diferentes conectores para cada colección para distribuir la carga de lasincronización.

VMware, Inc. 27

La página Colección de aplicaciones virtuales en la consola de administración, a la que puede accederseseleccionando Catálogo > Colección de aplicaciones virtuales, proporciona una ubicación centralpara administrar todas las integraciones de recursos. Puede crear y editar colecciones, supervisar elestado de sincronización de todas las colecciones, ver avisos y sincronizar de forma manual desde estapágina.

Ventajas de utilizar las colecciones de aplicaciones virtualesLas ventajas de usar la función de colección de aplicaciones virtuales son los siguientes:

n Una ubicación central desde la que se administren todas las integraciones de recursos

n Administrar todos los tipos de recursos

n Administrar los ajustes de sincronización y la configuración para cada colección

n Supervisar el estado de sincronización de todas las colecciones

n Capacidad para sincronizar conjuntos de datos más pequeños mediante la configuración de variascolecciones para la integración de recursos de gran tamaño. Por ejemplo, puede crear coleccionesindependientes para cada pod de Horizon o cada granja XenApp.

n Capacidad para configurar colecciones independientes para diferentes dominios. Varios dominios nonecesitan una relación de confianza si utiliza colecciones independientes para cada uno.

Requisitos para las colecciones de aplicaciones virtualesLa función de colección de aplicaciones virtuales tiene los siguientes requisitos:

n Todas las instancias del servicio VMware Identity Manager deben ser de la versión 3.1 o versionesposteriores.

n Todos los conectores que se usan para sincronizar recursos deben ser de la versión 2017.12.1.0 oversiones posteriores.


VMware, Inc. 28

n En VMware Identity Manager 3.2, se requiere de una función de superadministrador para empezar atrabajar con colecciones de aplicaciones virtuales.

n En una instalación nueva de VMware Identity Manager 3.2, se requiere la función desuperadministrador para acceder a la página de configuración de aplicaciones virtualesinicialmente. Cuando se selecciona la pestaña Catálogo > Aplicaciones virtuales por primeravez, aparece la página de presentación de la colección de aplicaciones virtuales, y deberá hacerclic en Comenzar para mostrar la página de configuración de las aplicaciones virtuales. Esteflujo de comienzo inicial requiere una función de superadministrador.

Posteriormente, puede utilizar cualquier función que pueda realizar las siguientes acciones en elservicio Catálogo:

• Administrar aplicaciones de escritorio: Para crear, editar o eliminar colecciones deaplicaciones virtuales publicadas de Citrix, Horizon y Horizon Cloud.

• Administrar ThinApps: Para crear, editar o eliminar colecciones de ThinApps

n Para las instalaciones que se actualizan a 3.2 desde versiones anteriores, se requiere la funciónde superadministrador para migrar las configuraciones de los recursos existentes a lascolecciones de aplicaciones virtuales.

Después de que se migren los recursos, puede utilizar cualquier función que pueda realizar lassiguientes acciones en el servicio Catálogo:

• Administrar aplicaciones de escritorio: Le permite crear, editar o eliminar colecciones deaplicaciones virtuales publicadas de Citrix, Horizon y Horizon Cloud.

• Administrar ThinApps: Le permite crear, editar o eliminar colecciones de ThinApps

Hasta que migre las configuraciones de recursos a las colecciones de aplicaciones virtuales,puede seguir utilizando las configuraciones existentes desde el menú Administrar aplicacionesde escritorio. La función de administrador de solo lectura es suficiente para editar y administrarestas configuraciones.

Si actualizó desde una versión anterior a 3.2 y no configuró ningún recurso, se aplica elescenario de instalación desde cero.

Migración desde versiones anterioresLa función Colección de aplicaciones virtuales se introdujo en VMware Identity Manager 3.1.

Con las colecciones de aplicaciones virtuales, las configuraciones de recursos se almacenan en elservicio VMware Identity Manager en lugar del conector. Se administran desde la página Catálogo >Colección de aplicaciones virtuales en lugar de las páginas Catálogo > Administrar aplicaciones deescritorio > Tipo de recurso.

En las nuevas instalaciones de 3.1 o versiones posteriores, se habilita automáticamente la páginaColección de aplicaciones virtuales. Para integrar los recursos de Horizon, Horizon Cloud, Citrix oThinApp, cree una o varias colecciones.


VMware, Inc. 29

Para actualizar desde versiones anteriores, está disponible una ruta de migración para el mantenimientode sus integraciones de recursos existentes. Para obtener más información, consulte Migrarconfiguraciones existentes a la colección de aplicaciones virtuales.

Creación de colecciones de aplicaciones virtualesPuede crear una o más colecciones de aplicaciones virtuales para cada tipo de integración, comorecursos publicados de Citrix o de Horizon Cloud.

Requisitos previos

n Todas las instancias del servicio VMware Identity Manager deben ser de la versión 3.1 o versionesposteriores.

n Todos los conectores que se utilizan para la sincronización de recursos deben tener la versión2017.12.1.0 o una versión posterior.

n En la versión 3.2, se requieren las siguientes funciones de administrador:

n Para comenzar con colecciones de aplicaciones virtuales, utilice la función desuperadministrador. Consulte Acerca de las colecciones de aplicaciones virtuales para obtenermás información.

n Para crear, editar o eliminar colecciones de aplicaciones virtuales publicados de Citrix, Horizon yHorizon Cloud, utilice cualquier función que pueda realizar la acción Administrar aplicaciones deescritorio en el servicio Catálogo.

n Para crear, editar o eliminar colecciones de ThinApps, utilice cualquier función que pueda realizarla acción Administrar ThinApps en el servicio Catálogo.

Procedimiento

1 En la consola de administración, seleccione la pestaña Catálogo > Aplicaciones virtuales y, acontinuación, haga clic en Configuración de aplicaciones virtuales.

Si esta es la primera vez que se accede a la página, aparece la página de Introducción a lascolecciones de aplicaciones virtuales. Haga clic en Comenzar para continuar. Si aparece el Asistentede migración, consulte Migrar configuraciones existentes a la colección de aplicaciones virtuales.

2 Haga clic en Agregar aplicaciones virtuales en la parte superior derecha de la página y seleccioneel tipo de integración, por ejemplo, Aplicación publicada de Citrix.


VMware, Inc. 30

3 Proporcione la información de configuración.

Los siguientes campos son comunes a todos los tipos de integraciones.


Nombre Escriba un nombre único para la colección.

Sincronizar conectores Seleccione el conector que desee utilizar para sincronizar los recursos en lacolección. Si configuró un clúster de conectores para alta disponibilidad, haga clicen Agregar conector y seleccione el resto de los conectores del clúster en elorden de conmutación por error.

Frecuencia de sincronización Seleccione la frecuencia con la que desea sincronizar los recursos en la colección.Si no desea programar una sincronización automática, seleccione Manualmente.

Directiva de activación Seleccione cómo se ponen los recursos a disposición de los usuarios deWorkspace ONE.

Con las opciones Activada por el usuario y Automática, los recursos se agregana la página Catálogo. Los usuarios pueden usar los recursos desde la páginaCatálogo o moverlos a la página Marcadores. Sin embargo, para configurar unflujo de aprobación para cualquiera de las aplicaciones, debe seleccionar Activadapor el usuario para esa aplicación.

La directiva de activación que seleccione aquí se aplica a todas las autorizacionesde usuario para todos los recursos en la colección. Es posible modificar la directivade activación para grupos o usuarios individuales por recurso, en la página deautorizaciones de la aplicación o el escritorio.

Se recomienda que se establezca la directiva de activación para la colección enActivada por el usuario si va a configurar un flujo de aprobación.

4 En los campos restantes, introduzca la información de configuración para la integración, que es

diferente para cada tipo de integración.

n Para una integración de Horizon local, consulte Configurar federaciones de módulos y pods deHorizon en VMware Identity Manager para obtener más información.

n Para una integración de Horizon Cloud Service, consulte Configurar un arrendatario de HorizonCloud en VMware Identity Manager para obtener más información.

n Para una integración de aplicaciones publicadas de Citrix, consulte Configurar las granjas deservidores de Citrix en VMware Identity Manager para obtener más información.

n Para una integración de ThinApp, consulte Configurar el acceso de VMware Identity Manager apaquetes de ThinApp para obtener más información.


Se crea la colección. Puede ver y editar la colección desde la página Aplicaciones virtuales.

Pasos siguientes

No se sincronizan aún los recursos en la colección nueva. Si configuró una programación desincronización para la colección, se sincronizarán los recursos en el próximo momento programado. Parasincronizar los recursos de forma manual, haga clic en el botón Sincronizar junto a la colección en lapágina Aplicaciones virtuales.


VMware, Inc. 31

Edición de colecciones de aplicaciones virtualesPuede editar todas las colecciones de aplicaciones virtuales, para todos los tipos de integraciones, desdela página Aplicaciones virtuales.

Requisitos previos




Procedimiento

1 Seleccione la pestaña Catálogo > Aplicaciones virtuales.

2 En la tabla de colecciones, haga clic en el nombre de la colección que desee editar.

3 Edite la página de la colección.

Puede cambiar las siguientes opciones:

n El nombre de la colección

n La frecuencia de sincronización

n El conector que se usa para sincronizar los recursos para la colección

n Opciones de configuración para la integración

Nota En una colección de aplicaciones virtuales de Horizon, no se puede modificar un pod deHorizon agregado anteriormente. Elimine el pod de la colección y vuelva a agregarlo.


Pasos siguientes

Después de editar una colección, se recomienda realizar una sincronización. Vaya a la página Catálogo> Aplicaciones virtuales y haga clic en Sincronizar para la colección.

Eliminación de colecciones de aplicaciones virtualesPuede eliminar colecciones de aplicaciones virtuales de la página de Aplicaciones virtuales.

Al eliminar una colección, se eliminan todas las aplicaciones y los escritorios sincronizados por lacolección. Al eliminar una colección de Horizon o Citrix, también se eliminan las directivascorrespondientes configuradas en rangos de redes. Al eliminar una colección de Horizon o de HorizonCloud, también se elimina el artefacto de federación.


VMware, Inc. 32

Requisitos previos




Procedimiento


2 En la tabla, busque la colección que desee eliminar y haga clic en Eliminar en la columna Acciones.

Supervisión de las colecciones de aplicaciones virtualesPuede supervisar el estado de sincronización de todos los recursos desde la página Aplicacionesvirtuales. También puede ver alertas.

Procedimiento


Se enumeran todas las colecciones, para todos los tipos de integraciones de recursos.

2 Vea el estado de sincronización en la columna Estado de sincronización para cada colección.

Aún no se ha sincronizado La colección se creó, pero aún no se ha sincronizado. Haga clic en Sincronizarpara sincronizar manualmente o esperar a la siguiente sincronización programada,si está configurada.

Fecha y hora de última

sincronización completada

La última vez que se completó correctamente la sincronización.

3 Para ver alertas, haga clic en Alertas.

Por ejemplo, aparece una alerta si no se pudo sincronizar un usuario.

Nota Se muestran todas las alertas, no solo las que pertenecen a colecciones de aplicacionesvirtuales. Vea la lista para encontrar las alertas relevantes para las colecciones.

Migrar configuraciones existentes a la colección deaplicaciones virtualesLa función Colección de aplicaciones virtuales se introdujo en VMware Identity Manager 3.1. Con lascolecciones de aplicaciones virtuales, las configuraciones de recursos se almacenan en el servicio deVMware Identity Manager en lugar del conector. Se administran desde la página Catálogo >Aplicaciones virtuales en lugar de las páginas Catálogo > Administrar aplicaciones de escritorio >Tipo de recurso.


VMware, Inc. 33

Para actualizar desde versiones anteriores, está disponible una ruta de migración para el mantenimientode cualquier recurso existente.

En función del escenario de instalación, puede empezar con colecciones de aplicaciones virtualesdirectamente o seguir una ruta de migración.

Importante En la versión 3.2, la función de superadministrador es necesaria para acceden por primeravez a la página de configuración de aplicaciones virtuales y migrar los recursos existentes. ConsulteAcerca de las colecciones de aplicaciones virtuales para obtener más información.

n En instalaciones nuevas de 3.1, donde el servicio VMware Identity Manager está en la versión 3.1 ytodos los conectores están en la versión 2017.12.1.0 o versiones posteriores, puede crear nuevascolecciones de aplicaciones virtuales para los recursos de Horizon, Horizon Cloud, Citrix o ThinApp.Seleccione la pestaña Catálogo > Aplicaciones virtuales, revise la información y haga clic enComenzar para ir a la nueva página donde se pueden crear las colecciones de aplicacionesvirtuales. Una colección de aplicaciones virtuales contiene la información de configuración para unaintegración, como los servidores desde los que se sincronizan los recursos, el conector para usar y laprogramación de sincronización.

n Si está actualizando desde versiones anteriores y actualiza el servicio a la versión 3.1 o versionesposteriores, y todos los conectores a 2017.12.1.0 o versiones posteriores:

n Si los recursos de Horizon, Horizon Cloud, Citrix o ThinApp se configuraron en la instalaciónanterior, está disponible una ruta de migración después de actualizar. Puede migrar lasconfiguraciones existentes a las colecciones de aplicaciones virtuales mediante el Asistente demigración, el cual está disponible al hacer clic en Comenzar en la página Catálogo >Aplicaciones virtuales.

Hasta que se realice la migración, puede seguir administrando los ajustes de los recursosexistentes en el menú Administrar aplicaciones de escritorio en la página Catálogo >Catálogo de aplicaciones.

Después de migrar las configuraciones existentes, se habilita la nueva página de las coleccionesde aplicaciones virtuales, lo que le permite ver y editar las configuraciones migradas y crear otrasnuevas. El menú Administrar aplicaciones de escritorio ya no está disponible.

n Si no se configuraron recursos en la instalación anterior, puede crear nuevas colecciones deaplicaciones virtuales para los recursos de Horizon, Horizon Cloud Service, Citrix o ThinApp.Para ello, seleccione la pestaña Catálogo > Aplicaciones virtuales y haga clic en Comenzar.

n Si está actualizando desde una versión anterior y tiene al menos un conector más antiguo, externo ointegrado, no se pueden crear nuevas colecciones de aplicaciones virtuales. Puede migrar lasconfiguraciones existentes a las colecciones de aplicaciones virtuales actualizando todos losconectores a 2017.12.1.0 o versiones posteriores, y usar después el Asistente de migración que seencuentra en la página Catálogo > Aplicaciones virtuales.

Hasta que se realice la migración, puede seguir administrando los ajustes de los recursos existentesen el menú Administrar aplicaciones de escritorio en la pestaña Catálogo > Catálogo deaplicaciones.


VMware, Inc. 34

Después de migrar las configuraciones existentes, se habilita la nueva página de las colecciones deaplicaciones virtuales, lo que le permite ver y editar las configuraciones migradas y crear otrasnuevas. El menú Administrar aplicaciones de escritorio ya no está disponible.

Nota Esta guía se refiere a la nueva interfaz de usuario de la colección de aplicaciones virtuales paratodas las integraciones. Si continúa utilizando la antigua interfaz de usuario desde el menú Administraraplicaciones de escritorio en la página Catálogo > Catálogo de aplicaciones, consulte la versión 3.0de la documentación, Configurar recursos en VMware Identity Manager 3.0 (PDF).

Usar el Asistente de migración para migrar las colecciones deaplicaciones virtualesUtilice al Asistente de migración para migrar las configuraciones de recursos existentes de versionesanteriores a colecciones de aplicaciones virtuales, que están disponibles en la versión 3.1 y versionesposteriores.

Todas las configuraciones de recursos existentes se deben migrar a la vez. Por ejemplo, si tieneaplicaciones de Horizon Cloud y ThinApp configuradas, selecciónelas a ambas en el Asistente demigración. El Asistente de migración está pensado para un único uso solamente para migrar todos losrecursos a la vez. Cuando se ejecute una vez, ya no estará disponible.

Nota En un entorno hospedado, el proceso de migración puede tardar algún tiempo.

Requisitos previos

n Actualice todas las instancias del servicio de VMware Identity Manager a la versión 3.1 o una versiónposterior, y todas las instancias del conector a la versión 2017.12.1.0 o una versión posterior.

n En la versión 3.2, la función de superadministrador es necesaria para el acceso inicial a la página deconfiguración de aplicaciones virtuales y para realizar la migración. Consulte Acerca de lascolecciones de aplicaciones virtuales para obtener más información.

Procedimiento


2 Haga clic en Comenzar.


VMware, Inc. 35

https://docs.vmware.com/es/VMware-AirWatch/9.2/vidm-resource-onprem-30.pdf

3 En el Asistente de migración, para cada tipo de recurso, seleccione el trabajo de conector que se usópara la configuración de la instalación anterior.

La lista desplegable para cada tipo de recurso muestra solo los conectores que tenían ese recursoconfigurado.

Si se configuró el recurso en varios conectores para alta disponibilidad, y varios conectores aparecenen la lista, seleccione el conector que tenía configurada una programación de sincronización. Esta estambién la selección predeterminada para cada lista desplegable.

Importante Asegúrese de realizar una selección para todas las configuraciones existentes. ElAsistente de migración está pensado para un único uso solamente para migrar todos los recursos ala vez. Cuando se ejecute una vez, ya no estará disponible.

4 Haga clic en Migrar configuraciones.

En un entorno hospedado, el proceso de migración puede tardar algún tiempo.

Se migran las configuraciones de recursos existentes. Se crea una colección de aplicaciones virtualespara cada tipo de configuración. Para ver y editar las colecciones, haga clic en Catálogo > Aplicacionesvirtuales y haga clic en cada nombre de colección.

Ahora puede administrar las colecciones desde la página Aplicaciones virtuales. El menú Administraraplicaciones de escritorio en la página Catálogo de aplicaciones ya no está disponible.

Para obtener información para solucionar problemas con las colecciones de aplicaciones virtuales, veatanto el archivo de registro del conector, connector.log, como el archivo de registro del servicio,horizon.log. Dispositivos virtuales de Linux, los archivos de registro están en el directorio /opt/vmware/horizon/workspace/logs. En los servidores de Windows, los archivos de registro están en eldirectorio install_dir\IDMConnector_or_VMwareIdentityManager\opt\vmware\horizon\workspace\logs.

Pasos siguientes

n Un solo conector, aquel que seleccionó en el Asistente de migración, se agrega a cada nuevacolección. Si había configurado un clúster de conectores para alta disponibilidad, edite lascolecciones y agregue el resto de los conectores.


VMware, Inc. 36

n Se crea una colección de aplicaciones virtuales única para cada configuración migrada. Para lasintegraciones de gran tamaño, con muchos servidores y aplicaciones, considere la posibilidad dedividir la colección en varias colecciones para facilitar la administración y acelerar la sincronización.La función de la colección de aplicaciones virtuales permite crear varias colecciones para cada tipode integración, excepto las integraciones de ThinApp.


VMware, Inc. 37

Proporcionar acceso a gruposde aplicaciones y escritorios deView, Horizon 6 u Horizon 7 4La integración de Horizon 7, Horizon 6 o View con el servicio VMware Identity Manager permite brindar alos usuarios la posibilidad de acceder a las aplicaciones y los escritorios de Horizon para los que tenganautorización desde la aplicación o el portal de Workspace ONE. Es posible integrar pods de Horizonindependientes, que consisten en instancias del servidor de conexión de Horizon, y federaciones demódulos, que contienen varios pods y pueden abarcar varias ubicaciones y centros de datos.

Los grupos de aplicaciones y escritorios se implementan y administran en la interfaz de HorizonAdministrator. También se crean autorizaciones para grupos y usuarios de Active Directory en Horizon,no en VMware Identity Manager. Estos grupos y usuarios se deben sincronizar con el servicio VMwareIdentity Manager desde Active Directory antes de realizar la integración con Horizon.

Para integrar federaciones de módulos y pods de Horizon con VMware Identity Manager, cree una ovarias colecciones de aplicaciones virtuales en la consola administrativa de VMware Identity Manager.Las colecciones contienen la información de configuración para los pods y las federaciones de módulos,así como la configuración de sincronización. A continuación, sincronice las autorizaciones y los recursosde Horizon con VMware Identity Manager.

En la consola administrativa de VMware Identity Manager, puede ver las aplicaciones y los escritorios deHorizon. También se pueden ver las autorizaciones de grupos y usuarios.

Los usuarios finales pueden iniciar las aplicaciones y los escritorios para los que tengan autorizacióndesde la aplicación o el portal de Workspace ONE. Pueden tener acceso a estas aplicaciones yescritorios a través de HTML en un navegador o a través de un protocolo de visualización compatible enHorizon Client.

Versiones compatiblesVMware Identity Manager es compatible con las siguientes versiones y características.

n La integración de pods de Horizon independientes es compatible con View 5.3 y versionesposteriores.

n La integración de federaciones de pods, creadas mediante la característica de Arquitectura CloudPod, es compatible con Horizon 6.2 y versiones posteriores.

n HTML Access es compatible con Horizon 6.1.1 y versiones posteriores.

VMware, Inc. 38

n El inicio de sesión único con certificado, SSO, es compatible con Horizon 7.x.

Para obtener la información de soporte técnico más reciente, consulte la matriz de interoperabilidad deproductos de VMware.


n Cómo integrar pods de Horizon independientes

n Integrar implementaciones de Horizon Cloud Pod Architecture (CPA)

n Configuración de federaciones de módulos y pods de Horizon en VMware Identity Manager

n Habilitación de varias URL de acceso de cliente para rangos de redes personalizados

n Iniciar los recursos de Horizon a través de puertas de enlace de validación

n Ver la información de conexión de grupos de aplicaciones y escritorios de Horizon

n Ver autorizaciones de usuarios y grupos para grupos de aplicaciones y escritorios de Horizon

n Configurar directivas de acceso para aplicaciones y escritorios específicos

n Permitir a los usuarios restablecer sus escritorios de Horizon en VMware Identity Manager

n Ver las opciones de inicio de las aplicaciones y los escritorios de Horizon

n Inicio de una aplicación o un escritorio de Horizon

Cómo integrar pods de Horizon independientesPara integrar pods de Horizon en VMware Identity Manager, debe crear una o varias colecciones deaplicaciones virtuales en la consola administrativa de VMware Identity Manager. Las coleccionescontienen la información de configuración para los servidores de conexión de Horizon, así como laconfiguración de sincronización.

Para poder realizar cualquier tarea de integración en la consola administrativa de VMware IdentityManager, configure Horizon. Debe crear y configurar grupos de aplicaciones y escritorios en HorizonAdministrator, no en VMware Identity Manager. En Horizon Administrator también se definenautorizaciones de usuarios y grupos de Active Directory.

Integrar pods de Horizon con VMware Identity Manager implica las siguientes tareas de alto nivel.

n Implementar y configurar los servidores de Horizon.

n Implementar grupos de aplicaciones y escritorios de Horizon, con autorizaciones establecidas parausuarios y grupos de Active Directory.

n Sincronizar usuarios y grupos de Active Directory con autorización para grupos de escritorios yaplicaciones en las instancias del servidor de conexión de Horizon con el servicio VMware IdentityManager mediante la sincronización de directorios.


VMware, Inc. 39

Posteriormente, cuando configure pods de Horizon en la consola administrativa de VMware IdentityManager, también podrá seleccionar la opción Realizar sincronización de directorio. Esta opciónespecifica que la sincronización del directorio se debe realizar como parte de la sincronización derecursos cuando los usuarios y los grupos que tienen autorización para utilizar los grupos de Horizonen las instancias del servidor de conexión de Horizon no se encuentran en el directorio de VMwareIdentity Manager.

n Una VMware Identity Manager al mismo dominio de Active Directory que Horizon si pretendesincronizar cualquier instancia del servidor de conexión de Horizon 5.x o use la opción Realizarsincronización de directorio. Ambas configuraciones utilizan una manera alternativa de sincronizaciónpara la que es necesario que se una el dominio.

n Cree una o varias colecciones de aplicaciones virtuales de los pods de Horizon en VMware IdentityManager.

n Configure el autenticador SAML en el servidor de conexión de Horizon. Siempre debe usar el FQDNde VMware Identity Manager en la página de configuración de autenticación.

Requisitos para integrar pods de HorizonAl configurar los pods de Horizon, asegúrese de cumplir con los requisitos para la integración de VMwareIdentity Manager.

n Implemente los servidores de conexión de Horizon en el puerto 443 predeterminado o en un puertopersonalizado.

n Verifique que dispone de una entrada de DNS y una dirección IP que se pueda resolver durante labúsqueda inversa de cada servidor de conexión de Horizon en su configuración. VMware IdentityManager requiere la búsqueda inversa para el equilibrador de carga, el servidor de seguridad deHorizon y los servidores de conexión de Horizon. Si la búsqueda inversa no está configuradacorrectamente, fallará la integración de VMware Identity Manager con Horizon.

n Implemente y configure escritorios y grupos de Horizon con autorizaciones para usuarios y grupos deActive Directory. Asegúrese de que los usuarios tengan las autorizaciones correctas.

n Al configurar grupos de escritorios, asegúrese de establecer en la configuración de acceso remoto laopción de cerrar la sesión automáticamente después de la desconexión en 1 o 2 minutos, enlugar de inmediatamente.

n Asegúrese de crear grupos en la carpeta raíz del Horizon Server. Si los grupos se crean en unacarpeta distinta a la carpeta raíz, VMware Identity Manager no podrá consultar esos grupos yautorizaciones de Horizon.

n Se recomienda extender el periodo de caducidad de los metadatos SAML a 90 días en los servidoresde conexión de Horizon. Para obtener más información, consulte cómo cambiar el período decaducidad de los metadatos del proveedor de servicios en el servidor de conexión de conexión deView.


VMware, Inc. 40

http://pubs.vmware.com/horizon-7-view/topic/com.vmware.horizon-view.administration.doc/GUID-3E170C23-097F-46D0-82BD-7CACFF04FC9A.html



Integrar implementaciones de Horizon Cloud PodArchitecture (CPA)Además de integrar pods de Horizon independientes con VMware Identity Manager, se pueden integrarimplementaciones de Horizon Cloud Pod Architecture (CPA).

Figura 4-1. Integrar federaciones de pods de View con VMware Identity Manager

Pod 1

VCS 1

VCS 2

ReplicaciónLDAP

Pod 2

VCS 3

VCS 4

ReplicaciónLDAP

Pod 3

VCS 5

VCS 6

ReplicaciónLDAP

Federación de CPA

Sitio A Sitio B

Pod independiente

ReplicaciónLDAP global

VMware Identity Manager en las instalaciones

Conector Servicio

La función Horizon Cloud Pod Architecture vincula varios pods de Horizon para formar un único entornogrande de administración y gestión de aplicaciones y escritorios llamado federación de módulos. Unafederación de pods puede abarcar varios sitios y centros de datos.

Se pueden integrar una o varias federaciones de pods en el servicio VMware Identity Manager. Tenga encuenta que las federaciones de módulos se crean y administran en Horizon, y que las autorizaciones deusuarios y grupos para los grupos de aplicaciones y escritorios de la federación de módulos seestablecen en Horizon. Se sincronizan los recursos y autorizaciones con VMware Identity Manager.

Las federaciones de pods tienen autorizaciones globales, que permiten autorizar usuarios a utilizarescritorios y aplicaciones a los que se puede acceder desde cualquier pod de la federación. Unaautorización global puede consistir en recursos de varios pods de la federación. Por ejemplo, unaautorización de escritorio global puede contener grupos de escritorios de tres pods distintos en trescentros de datos diferentes. Los pods individuales de la federación de pods también pueden tenerconfiguradas autorizaciones locales. Es posible sincronizar autorizaciones tanto locales como globalesen VMware Identity Manager.

La integración de una federación de módulos con el servicio VMware Identity Manager requiere realizarlas siguientes tareas de alto nivel en la consola administrativa de VMware Identity Manager:

n Agregar todos los pods que forman la federación y especificar los detalles del servidor de conexiónde Horizon de cada uno de ellos.


VMware, Inc. 41

Aunque VMware Identity Manager puede sincronizar las autorizaciones globales de cualquiera de lospods de la federación, necesita conectarse a cada uno de ellos para sincronizar los metadatosrequeridos para la autenticación SAML. También necesita conectarse a los pods para sincronizarautorizaciones locales, si corresponde.

n Agregar los detalles de la federación de pods y especificar la URL de inicio global. La URL de inicioglobal, que normalmente es la del equilibrador de carga global, se utiliza para iniciar escritorios yaplicaciones con autorizaciones globales.

La URL de inicio global se puede personalizar para rangos de redes específicos para, por ejemplo,acceso interno y externo.

n Sincronizar recursos y autorizaciones de la federación de pods con el servicio VMware IdentityManager.

Nota Solo se sincronizan las autorizaciones globales que tengan la directiva de ámbito para todaslas ubicaciones en una federación de pods. La directiva de ámbito para todas las ubicacionesestablece el ámbito de la búsqueda de una aplicación o escritorio en todos los pods de la federación.

n Personalizar la URL de inicio global estableciendo direcciones URL de acceso de cliente paradeterminados rangos de red. Estas URL se utilizan para iniciar recursos con autorización globaldesde la federación de pods. De forma predeterminada, la URL de inicio global especificada alagregar la federación es la que se utiliza como URL de inicio global para todos los rangos de red.

n Especificar las URL de acceso de cliente de cada pod de la federación que tenga configuradasautorizaciones globales. Estas URL se utilizan para iniciar escritorios y aplicaciones conautorizaciones globales desde el pod. Una URL de acceso de cliente puede ser una URL de unservidor de conexión de Horizon, de un servidor de seguridad o de un equilibrador de carga. LasURL de acceso de cliente se configuran para rangos de red específicos. De forma predeterminada, laURL de servidor de conexión de Horizon especificada al agregar el pod es la que se utiliza comoURL de acceso de cliente para todos los rangos de redes.

Al integrar una federación de pods con el servicio VMware Identity Manager, el servicio hace lo siguiente:

n Sincroniza todas las autorizaciones globales que tengan la directiva de ámbito para todas lasubicaciones desde una federación de pods.

n Sincroniza las autorizaciones locales, si se seleccionan, desde los pods que forman parte de lafederación.

n Sincroniza los metadatos de todos los servidores de conexión de Horizon de la federación demódulos.

n Permite a los usuarios finales acceder a sus escritorios y aplicaciones de Horizon desde el portal deWorkspace ONE.


VMware, Inc. 42

Los usuarios finales pueden acceder a sus escritorios y aplicaciones de Horizon desde el portal deWorkspace ONE. Se muestran todos los recursos para los que están autorizados, ya sea medianteautorizaciones globales o locales. Las aplicaciones y escritorios se inician en Horizon Client. Cuando unusuario inicia un escritorio o una aplicación con autorización local, se inicia desde el servidor de conexiónde Horizon al que se conecta el usuario. Los recursos con autorizaciones globales se inician desde elservidor de conexión de Horizon en el que se encuentra el recurso.

Implementación de Arquitectura Cloud Pod de ejemploEl diagrama siguiente muestra un ejemplo de implementación de Arquitectura Cloud Pod y de cómo seintegra con el servicio VMware Identity Manager.

Figura 4-2. Ejemplo de implementación de Arquitectura Cloud Pod

Pod 1 (P1)

Federación 1 (F1)

Servidorde seguridad


Servidorde conexión


URL E1LB

URL I1LB

URL EGLB

global

Pod 2 (P2)





URL E2LB

URL I2LB

Pod 3 (P3)



URL I3LB

URL IGLB

global

Internet Interna

Conector

Sincronización 1Local




SincronizarAPI Servicio

VMware Identity Manager en las instalaciones

Este diagrama representa la implementación de una federación de pods de ejemplo. Se crea unafederación de pods, llamada Federación 1, en Horizon 6. Tiene tres pods: Pod 1, Pod 2 y Pod 3. Lospods 1 y 2 se configuran con instancias de servidor de seguridad para cada servidor de conexión deHorizon, con un equilibrador de carga externo para el acceso externo y otro interno para el accesointerno. El pod 3 se configura solo para acceso interno con un equilibrador de carga interno. Lafederación de pods en conjunto dispone de un equilibrador de carga global externo y de otro interno.


VMware, Inc. 43

Los grupos de aplicaciones y escritorios se implementan en los pods. Se configuran autorizacionesglobales para la federación 1 y también autorizaciones locales para cada uno de los pods.

La federación 1 está integrada con el servicio VMware Identity Manager. El servicio VMware IdentityManager sincroniza las autorizaciones globales y locales de Federación 1. Como las autorizacionesglobales se replican en cada pod, se sincronizan las autorizaciones globales de Pod 1. También sesincronizan las autorizaciones locales de Pod 1, Pod 2 y Pod 3.

Los usuarios finales pueden ver todos los escritorios y aplicaciones para los que están autorizados, yasea mediante autorizaciones globales o locales, en el portal de Workspace ONE de VMware IdentityManager. Cuando un usuario inicia un escritorio o una aplicación, si forma parte de una autorizaciónglobal, la solicitud de inicio pasa al equilibrador de carga global interno o externo, URL EG o URL IG, deacuerdo con el rango de red del usuario. Si el recurso pertenece a una autorización local, la solicitud deinicio va al equilibrador de carga interno o externo del pod en el que se implementó el recurso, según elrango de red del usuario. Por ejemplo, para un recurso en Pod 2, la solicitud va a la URL I2 o a la URLE2.

Requisitos para integrar federaciones de módulos de HorizonPara integrar federaciones de módulos de Horizon con VMware Identity Manager se requiere losiguiente.

n VMware Identity Manager es compatible con la característica de arquitectura de pods en la nube enHorizon 6.2 y versiones posteriores, tanto para aplicaciones como para escritorios.

n Se puede integrar un máximo de 10 federaciones de pods en el servicio VMware Identity Manager.Cada federación puede contener hasta 7 pods.

n Implemente instancias del servidor de conexión de Horizon en el puerto predeterminado 443 o enuno personalizado.

n Verifique que dispone de una entrada de DNS y una dirección IP que se pueda resolver durante labúsqueda inversa de cada instancia del servidor de conexión de Horizon en su entorno. VMwareIdentity Manager requiere la búsqueda inversa para las instancias del equilibrador de carga, elservidor de seguridad y el servidor de conexión de Horizon. Si la búsqueda inversa no estáconfigurada correctamente, fallará la integración de VMware Identity Manager con Horizon.

n El conector de VMware Identity Manager, un componente del servicio, debe poder acceder a todaslas instancias del servidor de conexión de Horizon en la federación de módulos.

n La autenticación de SAML debe configurarse en Horizon, con el servicio de VMware IdentityManager especificado como proveedor de identidad. Se debe utilizar el nombre de dominioplenamente cualificado del servicio como parte de la URL. Se recomienda configurar la autenticaciónSAML en todas las instancias del servidor de conexión Horizon en la federación de pods. ConsulteConfigurar la autenticación SAML para obtener más información.

Se recomienda extender el periodo de caducidad de los metadatos SAML a 90 días en las instanciasdel servidor de conexión de Horizon. Para obtener más información, consulte cómo cambiar elperíodo de caducidad de los metadatos del proveedor de servicios en el servidor de conexión deView.


VMware, Inc. 44




n Los certificados del servidor de conexión de Horizon se sincronizarán con VMware Identity Manager.

n Implemente grupos de aplicaciones y escritorios en los pods de Horizon.

n Al configurar grupos de escritorios, asegúrese de establecer en la configuración de accesoremoto la opción de cerrar la sesión automáticamente después de la desconexión en 1 o 2minutos, en lugar de inmediatamente.

n Asegúrese de crear grupos de Horizon en la carpeta raíz. Si los grupos se crean en una carpetadistinta a la raíz, VMware Identity Manager no podrá consultar esos pods y autorizaciones deHorizon.

Si se agregan o eliminan grupos de aplicaciones o escritorios después de la integración con VMwareIdentity Manager, se deberá volver a sincronizar para que los cambios aparezcan en el servicioVMware Identity Manager.

n Se debe crear la federación de módulos. Para ello, inicialice la función Cloud Pod Architecture desdeuno de los pods y una el resto de los pods a la federación, antes de realizar la integración con elservicio VMware Identity Manager. Las autorizaciones globales se replican en los pods cuando estosse unen a la federación.

Si se une un pod a la federación o se elimina de ella después de la integración con el servicioVMware Identity Manager, se deben editar los detalles de la federación en la consola deadministración de VMware Identity Manager para agregar o eliminar el pod, guardar los cambios ysincronizar de nuevo.

n En el entorno de Horizon, cree las autorizaciones globales de la federación de módulos paraautorizar el acceso a las aplicaciones y los escritorios a los usuarios o grupos de Active Directory.

n Las autorizaciones globales que se desee sincronizar con VMware Identity manager deben tenerconfigurada la directiva de ámbito para todas las ubicaciones. Las autorizaciones con cualquierotra directiva de ámbito no se sincronizarán.


VMware, Inc. 45

n Para permitir que los usuarios finales inicien aplicaciones o escritorios en navegadores web,seleccione la opción de HTML Access para la autorización global en Horizon.

n (Opcional) Si es necesario, cree autorizaciones locales para los pods.

Para obtener más información sobre la configuración de Horizon, consulte la documentación de Horizon6 u Horizon 7.

Configuración de federaciones de módulos y pods deHorizon en VMware Identity ManagerPara configurar federaciones de módulos y pods de Horizon en VMware Identity Manager, puedeconfigurar el entorno de VMware Identity Manager, crean una o más colecciones de aplicacionesvirtuales para la integración, especificar las URL de acceso de cliente para determinados rangos deredes y configurar la autenticación SAML.

Configurar el entorno de VMware Identity ManagerDespués de configurar el entorno de Horizon, debe configurar su entorno de VMware Identity Managerantes de integrar federaciones de módulos y pods de Horizon con el servicio VMware Identity Manager.

Requisitos previos

n Si pretende sincronizar cualquier servidor de conexión de Horizon 5.x o usar la opción Realizarsincronización de directorio, debe unir VMware Identity Manager con el mismo dominio de Active


VMware, Inc. 46

Directory que Horizon. Compruebe que tenga un nombre de dominio, un nombre de usuario y unacontraseña de Active Directory con los derechos para unirse al dominio. Para obtener másinformación sobre los derechos necesarios para unirse a un dominio, consulte "Integrar con ActiveDirectory" en Instalación y configuración de VMware Identity Manager.

Nota En una instalación de VMware Identity Manager en Windows, el servidor de Windows ya estáunido al dominio.

Procedimiento

1 Asegúrese de que distinguishedName se establezca como un atributo obligatorio para el directoriode VMware Identity Manager y se asigne al atributo distinguishedName de Active Directory.

Los atributos deben marcarse como obligatorios antes de crear el directorio. Una vez creado eldirectorio, los atributos no se pueden cambiar de opcionales a obligatorios.

a En la consola de administración, desplácese hasta la página Administración de identidad yacceso > Configuración > Atributos de usuario.

b En Atributos predeterminados, seleccione la casilla Obligatorio para distinguishedName.


d Al crear el directorio, asigne el atributo distinguishedName al atributo distinguishedName deActive Directory.

2 Sincronice los usuarios y grupos con autorizaciones globales o locales en Horizon desde ActiveDirectory con el servicio VMware Identity Manager mediante la sincronización de directorio.

a Para ver los usuario y grupos actuales, haga clic en la pestaña usuarios y grupos.

b Seleccione la pestaña Administración de acceso e identidad > Directorios.

c Seleccione el directorio adecuado.

d Modifique la configuración del directorio si es necesario y haga clic en Sincronizar ahora.

Nota Los usuarios deben establecer el atributo userPrincipalName. Si no se establece el atributouserPrincipalName para un usuario, es posible que el usuario no pueda ejecutar aplicaciones yescritorios.

3 Si corresponde, establezca una conexión multidominio o de dominios de bosques múltiples deconfianza en Active Directory. Para obtener información, consulte Instalar y configurar VMwareIdentity Manager.

4 (Solo en el dispositivo virtual de Linux de VMware Identity Manager) Una el directorio de VMwareIdentity Manager al mismo dominio de Active Directory que Horizon si está sincronizando cualquierservidor de conexión de Horizon 5.x o si pretende utilizar la opción Realizar sincronización dedirectorio. Ambas configuraciones utilizan una manera alternativa de sincronización para la que esnecesario que se una el dominio.

a Haga clic en la pestaña Administración de acceso e identidad.

b Haga clic en Configuración y seleccione la pestaña Conectores.


VMware, Inc. 47

c Haga clic en Unirse al dominio junto al directorio correspondiente.

d Escriba la información del dominio de Active Directory y haga clic en Unirse al dominio. Utilicesolo caracteres no ASCII para introducir la información de dominio.


Dominio Seleccione el dominio que desee unir, o bien seleccione Dominiopersonalizado y escriba el nombre del dominio. Asegúrese de que introduce elnombre de dominio de Active Directory completo, comoservidor.ejemplo.com.

Nota El FQDN de Active Directory debe estar en el mismo dominio que lasinstancias del servidor de conexión de View. De lo contrario, la implementaciónfallará.

Usuario de dominio Escriba un nombre de usuario de Active Directory que tenga permisos paraunirse a sistemas en dicho dominio de Active Directory.

Contraseña de dominio Introduzca la contraseña del usuario. Esta contraseña no se almacena enVMware Identity Manager.

Unidad organizativa del dominio alque quiera unirse

(Opcional) La unidad organizativa (OU) que desea unir. Esta opción conecta elequipo a la unidad organizativa especificada en lugar de a la predeterminadadel equipo.

Por ejemplo, ou=testou,dc=test,dc=example,dc=com.

e Verifique que VMware Identity Manager y los servidores de Horizon estén unidos al mismodominio.

Nota En una instalación de VMware Identity Manager en Windows, este paso no es obligatorioporque el servidor de Windows ya está unido al dominio.

Configurar federaciones de módulos y pods de Horizon enVMware Identity ManagerConfigure federaciones de módulos y pods de Horizon en la consola administrativa de VMware IdentityManager para sincronizar los recursos y las autorizaciones con el servicio VMware Identity Manager.

Para configurar los pods y las federaciones de módulos, cree una o varias colecciones de aplicacionesvirtuales en la página Catálogo > Aplicaciones virtuales e introduzca la información de configuración,como los servidores de conexión de Horizon desde los que se sincronizan los recursos y lasautorizaciones, detalles de la federación de módulos, el conector de VMware Identity Manager que seutilizará para la sincronización y los parámetros del administrador, como el cliente de iniciopredeterminado.

Puede añadir todas las federaciones de módulos y los pods de Horizon en una colección, o puede crearvarias colecciones, según cuáles sean sus necesidades. Por ejemplo, puede decidir crear coleccionesindependientes para cada federación de módulos o cada pod para facilitar la administración y distribuir lacarga de la sincronización entre varios conectores. O puede incluir todos los pods y las federaciones demódulos en una colección para fines de prueba y tener otra colección idéntica para el entorno deproducción.


VMware, Inc. 48

Después de agregar los pods, configure las URL del acceso cliente para determinados rangos de redes.

Requisitos previos

n Configure Horizon de acuerdo con Requisitos para integrar pods de Horizon y Requisitos paraintegrar federaciones de módulos de Horizon.

n Configure VMware Identity Manager de acuerdo con Configurar el entorno de VMware IdentityManager.

n En cada pod de Horizon, asegúrese de tener las credenciales de un usuario que tenga la función deadministrador.

n En VMware Identity Manager 3.2, debe utilizar una función de administrador que pueda realizar laacción Administrar aplicaciones de escritorio en el servicio Catálogo.

Procedimiento

1 Inicie sesión en la consola de administración de VMware Identity Manager.

2 Seleccione la pestaña Catálogo > Aplicaciones virtuales y, a continuación, haga clic enConfiguración de aplicaciones virtuales.

3 Haga clic en Agregar aplicaciones virtuales y seleccione Horizon View versión local.

4 Escriba un nombre único para la colección.

5 En el menú desplegable Conectores de sincronización, seleccione el conector que desee utilizarpara sincronizar los recursos de esta colección.

Si configuró varios conectores para alta disponibilidad, haga clic en Agregar conector y seleccioneel resto de los conectores. El orden en el que se muestran los conectores determina el orden deconmutación por error.

6 En la sección Pods de Horizon, proporcione la información de configuración de los pods de Horizonque desee agregar a esta colección.

Servidor deconexión

Introduzca el nombre de host completo de la instancia de Servidor de conexión de Horizon, porejemplo, servidoredeconexión.ejemplo.com. El nombre de dominio debe coincidir exactamente con elnombre de dominio con el que se unió a la instancia de Servidor de conexión de Horizon.

Nombre de usuario Introduzca el nombre del usuario administrador para el pod. El usuario debe tener la función deadministrador en Horizon.

Contraseña Introduzca la contraseña de administrador para el pod.

Autenticación contarjeta inteligente

Si los usuarios utilizan autenticación con tarjeta inteligente en lugar de contraseñas para iniciar lasesión en el pod, active la casilla.

True SSO habilitado Seleccione esta opción si True SSO está habilitado en Horizon. Esta opción solo se aplica a lasversiones de Horizon compatibles con la función True SSO.

Si la función True SSO está configurada en Horizon, los usuarios no necesitarán una contraseña parainiciar la sesión en sus escritorios Windows. No obstante, si los usuarios se conectan a VMwareIdentity Manager mediante un método de autenticación sin contraseña, como SecurID, al iniciar susescritorios Windows se les solicitará una contraseña. Puede seleccionar esta opción para evitar quese muestre un cuadro de diálogo de contraseña a los usuarios en estos casos.


VMware, Inc. 49

Sincronizarautorizacioneslocales

Si se configuraron las autorizaciones locales para el pod, seleccione esta opción.

Por ejemplo:

7 Para agregar varios pods a la colección, haga clic en Agregar Pod e introduzca la información deconfiguración para cada pod.

8 Para agregar una federación de módulos, siga estos pasos.

a Active la casilla de verificación Habilitar en la sección Configuración de Horizon Cloud PodArchitecture.

b Introduzca la información de configuración de la federación de módulos.


Nombre de federación El nombre de la federación de módulos.

Agregar pods de Horizon Seleccione todos los pods que pertenezcan a la federación de módulos. La listamuestra todos los pods que agregó a la colección.

Seleccione cada pod y haga clic en Agregar a la lista.

Pods seleccionados Puede cambiar el orden de los pods o quitarlos.

URL de inicio La dirección URL de inicio global que se utilizará para iniciar aplicaciones oescritorios con autorizaciones globales. Por ejemplo,federationA.example.com.

La URL de inicio es normalmente la URL del equilibrador de carga global de lafederación de módulos. La URL de inicio se puede personalizar paradeterminados rangos de redes posteriormente durante el proceso deconfiguración.

c Para agregar otra federación de módulos, haga clic en Agregar federación e introduzca la

información de configuración.

Nota Si la colección solo incluye pods de Horizon individuales que no pertenecen a una federaciónde módulos, no habilite esta opción.

Por ejemplo:


VMware, Inc. 50

9 Seleccione la casilla No sincronizar aplicaciones duplicadas para impedir que se sincronicenaplicaciones duplicadas de varios servidores.

Al implementar VMware Identity Manager en varios centros de datos, se configuran los mismosrecursos en todos ellos. Al seleccionar esta opción, se evita la duplicación de los grupos deescritorios y aplicaciones en el catálogo de VMware Identity Manager.

10 Active la casilla Configurar el servidor de conexión de Horizon 5.x si va a configurar cualquierinstancia del servidor de conexión de View 5.x.

Al seleccionar esta opción se habilita una forma alternativa para sincronizar los recursos obligatoriospara View 5.x.

Nota Si selecciona la opción Realizar sincronización de directorio, la opción Configurar elservidor de conexión de Horizon 5.x también se selecciona automáticamente, ya que ambasopciones se basan en la forma alternativa para sincronizar recursos.

11 Active la casilla Realizar sincronización de directorio si desea que la sincronización del directoriose realice como parte de la sincronización de recursos cuando falte en el directorio de VMwareIdentity Manager alguno de los usuarios y los grupos que tienen autorización para utilizar los gruposde Horizon en las instancias del servidor de conexión de Horizon.

La opción Realizar sincronización de directorio no se aplica a las federaciones de módulos. Si losusuarios y los grupos con autorizaciones globales no se encuentran en el directorio de VMwareIdentity Manager, no se inicia la sincronización de directorio.

Los usuarios y los grupos sincronizados a través de este proceso pueden administrarse comocualquier usuario que se agregue a través de la sincronización del directorio de VMware IdentityManager.

Importante La sincronización tarda más si utiliza la opción Realizar sincronización de directorio.

Nota Cuando esta opción está seleccionada, la opción Configurar el servidor de conexión deHorizon 5.x también se selecciona automáticamente, ya que ambas opciones se basan en unaforma alternativa para sincronizar recursos.


VMware, Inc. 51

12 En la lista desplegable Cliente de inicio predeterminado, seleccione el cliente predeterminado enel que desee iniciar los escritorios o las aplicaciones de Horizon.


NINGUNO No se establece ninguna preferencia predeterminada en el nivel de administrador.Si esta opción se establece en Ninguno y no se configura ninguna preferencia deusuario final, se utiliza la opción Protocolo de visualización predeterminado deHorizon para determinar la forma en que se debe iniciar la aplicación o elescritorio.

NAVEGADOR Las aplicaciones y los escritorios de Horizon se inician en un navegador web deforma predeterminada. Si se establecen preferencias de usuario final, esaspreferencias anulan esta configuración.

NATIVO Las aplicaciones y los escritorios de Horizon se inician en Horizon Client de formapredeterminada. Si se establecen preferencias de usuario final, esas preferenciasanulan esta configuración.

Esta opción se aplica a todos los usuarios para todos los recursos de esta colección.

Se aplica el siguiente orden de prioridad, enumerado de mayor a menor, a la configuraciónpredeterminada de inicio de cliente:

a Configuración de preferencias de usuario final que se establece en el portal de Workspace ONE.Esta opción no se encuentra disponible en la aplicación Workspace ONE.

b Configuración de cliente de inicio predeterminado del administrador para la colección que seestablece en la consola de VMware Identity Manager.

c Configuración de protocolo de visualización remoto > Protocolo de visualizaciónpredeterminado de Horizon para el grupo de aplicaciones o escritorios que se establece enHorizon Administrator. Por ejemplo, cuando el protocolo de visualización se establece en PCoIP,la aplicación o el escritorio se inician en Horizon Client.

13 En el menú desplegable Frecuencia de sincronización, seleccione la frecuencia con la que deseasincronizar los recursos de esta colección.

Puede configurar una programación de sincronización periódica o elegir sincronizar manualmente. Siselecciona Manual, debe hacer clic en Sincronizar en la página Configuración de aplicacionesvirtuales después de configurar la colección y cada vez que se realice un cambio en los recursos olas autorizaciones de View.

14 En la lista desplegable Directiva de activación, seleccione la manera en la que los recursos deHorizon se deben poner a disposición de los usuarios en Workspace ONE.

Con las opciones Activada por el usuario y Automática, los recursos se agregan a la páginaCatálogo. Los usuarios pueden usar los recursos desde la página Catálogo o moverlos a la páginaMarcadores. Sin embargo, para configurar un flujo de aprobación para cualquiera de lasaplicaciones, debe seleccionar Activada por el usuario para esa aplicación.


VMware, Inc. 52

La directiva de activación que seleccione en esta página se aplica a todas las autorizaciones deusuario para todos los recursos de la colección. Es posible modificar la directiva de activación paragrupos o usuarios individuales por recurso, en la página de autorizaciones de la aplicación o elescritorio.

Se recomienda que se establezca la directiva de activación para la colección en Activada por elusuario si va a configurar un flujo de aprobación.


Se crea la colección, que aparece en la página Configuración de aplicaciones virtuales. No sesincronizan aún los recursos en la colección.

16 Para sincronizar los recursos en la colección a VMware Identity Manager, haga clic en Sincronizaren la página Configuración de aplicaciones virtuales.

Cada vez que modifique la configuración en Horizon, como al agregar una autorización o un usuario,será necesario realizar una sincronización para propagar los cambios a VMware Identity Manager.

17 Configure las URL de acceso de cliente para los pods y las federaciones.

Debe personalizar las URL para rangos de redes específicos. Por ejemplo, normalmente seestablecen distintas URL de inicio para acceso interno y externo.

a Revise los intervalos de red y cree otros nuevos si fuera necesario.

n Haga clic en la pestaña Administración de acceso e identidad > Directivas.

n Haga clic en Rangos de redes.

n Revise los rangos de redes y haga clic en Agregar rango de redes para añadir nuevosrangos si fuera necesario.

b Haga clic en la pestaña Catálogo > Aplicaciones virtuales y, a continuación, haga clic enConfiguración de aplicaciones virtuales.

c Haga clic en Configuración de red.


VMware, Inc. 53

d Seleccione el rango de redes para configurar.

La sección Federación de CPA de View indica la URL de inicio global de la federación demódulos agregada a la colección. En la sección Pod de View se enumeran todos los pods deView que agregó a la colección y que tengan seleccionada la opción Sincronizar autorizacioneslocales.

e En la sección Federación de CPA de View, como URL de inicio global especifique el nombre dedominio plenamente cualificado del servidor al que se dirigen las solicitudes de inicioprocedentes de este rango de redes. Normalmente es la URL del equilibrador de carga global dela implementación de la federación de pods de View.

Por ejemplo, lb.ejemplo.com

La URL de inicio global se utiliza para iniciar recursos con autorizaciones globales.

f En la sección Pod de View, para cada pod, especifique el nombre de dominio completo delservidor al que se dirigen las solicitudes de inicio para autorizaciones locales procedentes deeste rango de redes. Puede especificar una instancia del servidor de conexión de Horizon, unequilibrador de carga o un servidor de seguridad. Por ejemplo, si estuviera editando un rangopara proporcionar acceso interno, especificaría el equilibrador de carga interno del pod.


La URL de acceso de cliente se utiliza para iniciar recursos con autorización local del pod.

Nota Para obtener información sobre las opciones Ajustar el artefacto en JWT y Público enJWT, consulte Iniciar los recursos de Horizon a través de puertas de enlace de validación.

g Haga clic en Finalizar.

Consulte también Habilitación de varias URL de acceso de cliente para rangos de redespersonalizados.


VMware, Inc. 54

Configurar la autenticación SAMLPara proporcionar a los usuarios la capacidad de ejecutar un escritorio o una aplicación de Horizondesde el servicio de VMware Identity Manager y tener inicio de sesión único desde VMware IdentityManager en la aplicación o el escritorio, configure la autenticación SAML en Horizon.

Debe configurar la autenticación SAML en al menos una instancia del servidor de conexión de Horizonen un pod. Se recomienda configurar la autenticación SAML en todas las instancias de un pod.

Si la autenticación SAML está deshabilitada en algunas de las instancias del servidor de conexión deHorizon en un pod, VMware Identity Manager utiliza el resto de las instancias, y la sincronización siguefuncionando. Sin embargo, debe asegurarse de que todas las instancias con la autenticación de SAMLdeshabilitada no se utilicen para la ejecución. No utilice la instancia en la URL de acceso de cliente o, sila URL de acceso de cliente se dirige a un equilibrador de carga, como uno de los nodos en elequilibrador de carga. Si lo hace, los usuarios no podrán ejecutar las aplicaciones o escritorios deHorizon.

Si la autenticación SAML está deshabilitada en todas las instancias del servidor de conexión de Horizonen el pod, se produce un error en la sincronización.

Nota No necesita configurar la autenticación SAML si su organización utiliza la autenticación con tarjetainteligente para ver recursos con un proveedor de identidad externo.

Procedimiento

1 Inicie sesión en Horizon Administrator como usuario con la función de administrador asignada.

2 Configure la autenticación SAML para las instancias del servidor de conexión de Horizon. Debeutilizar su nombre de dominio completo del servicio de VMware Identity Manager en la página deconfiguración del autenticador.

Importante Los servidores de Horizon y VMware Identity Manager deben tener una sincronizacióntemporal. Si los servidores no se someten a una sincronización temporal, cuando intente iniciar unaaplicación o un escritorio de Horizon, aparecerá un mensaje de SAML no válido.

Habilitación de varias URL de acceso de cliente pararangos de redes personalizadosSi usa varias URL de acceso de cliente para diferentes rangos de redes, debe editar los rangos de redespara que el usuario final se conecte a la URL y el número de puerto de acceso de cliente correctos. Siesta configuración no se actualiza, Horizon Client no se inicia.

Procedimiento



VMware, Inc. 55

2 Revise los intervalos de red y cree otros nuevos si fuera necesario.

a Haga clic en la pestaña Administración de acceso e identidad > Directivas.

b Haga clic en Rangos de redes.

c Revise los rangos de redes y haga clic en Agregar rango de redes para añadir nuevos rangossi fuera necesario.

3 Haga clic en la pestaña Catálogo > Aplicaciones virtuales y, a continuación, haga clic enConfiguración de aplicaciones virtuales.

4 Seleccione Configuración de red.

5 Seleccione el rango de redes para configurar.

La sección Federación de CPA de View solo aparece si se integraron federaciones de módulos.Esta sección enumera las URL de inicio global que especificó para las federaciones de módulos. Lasección Pod de View muestra todos los pods de View que tienen la opción Sincronizarautorizaciones locales habilitada.

6 En la sección Federación de CPA de View, como URL de inicio global especifique el nombre dedominio plenamente cualificado del servidor al que se dirigen las solicitudes de inicio procedentes deeste rango de redes. Normalmente es la URL del equilibrador de carga global de la implementaciónde la federación de pods de View.


La URL de inicio global se utiliza para iniciar recursos con autorizaciones globales.

7 En la sección Pod de View, para cada pod, especifique el nombre de dominio completo del servidoral que se dirigen las solicitudes de inicio para autorizaciones locales procedentes de este rango deredes. Puede especificar una instancia del servidor de conexión de Horizon, un equilibrador de cargao un servidor de seguridad. Por ejemplo, si estuviera editando un rango para proporcionar accesointerno, especificaría el equilibrador de carga interno del pod.


La URL de acceso de cliente se utiliza para iniciar recursos con autorización local del pod.

Nota Para obtener información sobre las opciones Ajustar el artefacto en JWT y Público en JWT,consulte Iniciar los recursos de Horizon a través de puertas de enlace de validación.

8 Compruebe que cada rango de redes de su entorno contenga una URL de acceso de cliente.

Importante Si falta algún rango de redes, es posible que los usuarios finales que se inician a travésde dicho rango de redes experimenten problemas.


VMware, Inc. 56

Iniciar los recursos de Horizon a través de puertas deenlace de validaciónCuando el servicio de VMware Identity Manager se integra con una puerta de enlace de validación, comoF5, debe habilitarse el ajuste Encapsular artefacto en JWT en el servicio de VMware Identity Managerpara autenticar los recursos de Horizon asignados a los usuarios.

Cuando Encapsular artefacto en JWT está habilitado para autenticar una solicitud de inicio de recursosde Horizon, el servicio de VMware Identity Manager genera un token de JWT firmado digitalmente queincluye el artefacto SAML para permitir la verificación.

El token de JWT se envía a la puerta de enlace de validación en la DMZ. La puerta de enlace valida eltoken de JWT desde VMware Identity Manager y extrae el valor del artefacto SAML del token. La puertade enlace reenvía la solicitud con el valor real del artefacto SAML al servidor de conexión de Horizon. Elservidor de conexión comprueba la solicitud y el usuario inicia sesión en el recurso de Horizon.

Si Encapsular artefacto en JWT no está habilitado, la puerta de enlace de validación no transfiere elartefacto al servidor de Horizon Connector para su validación y se produce un error de autenticación.

Requisitos previos

La puerta de enlace de validación configurada con los siguientes detalles de VMware Identity Manger.

n Certificado SSL

n Secreto e ID de cliente de OAuth2

n Dirección URL de endpoint de validación de VMware Identity Manager

Procedimiento

1 Inicie sesión en la consola de VMware Identity Manager.


3 Haga clic en Configuración de la red y seleccione el rango de redes de direcciones IP que elrecurso de Horizon pueda utilizar.

En la sección Pod de View se enumeran todos los pods de View que agregó a la colección y quetienen seleccionada la opción Sincronizar autorizaciones locales. Si desea conocer los pasos paraconfigurar direcciones URL de acceso de cliente para pods y federaciones de pods, consulteConfigurar federaciones de módulos y pods de Horizon en VMware Identity Manager.

4 En la sección Pod de View, habilite la casilla de verificación Encapsular artefacto en JWT en elentorno de Horizon que está configurado.

5 Si más de una puerta de enlace de validación puede procesar solicitudes, cree identificadores únicosy agregue los nombres al cuadro de texto Audiencia en JWT.

El nombre de audiencia se configura en la configuración de la puerta de enlace de validación y seutiliza para comprobar que esta sea la audiencia de destino. Si la audiencia en JWT no coincide conel nombre de audiencia configurado aquí, se rechaza la solicitud.


VMware, Inc. 57

6 Haga clic en Finalizar.

Pasos siguientes

Los nombres de audiencia únicos que se agregan aquí también deben agregarse a la configuración de lapuerta de enlace de validación.

Ver la información de conexión de grupos de aplicacionesy escritorios de HorizonEs posible consultar la información sobre la conexión entre VMware Identity Manager y un grupo deaplicaciones o escritorios de Horizon.

Procedimiento


2 Haga clic en la pestaña Catálogo > Aplicaciones virtuales.

3 Para mostrar los grupos de escritorios, haga clic en Cualquier tipo de aplicación > Escritorios deHorizon View. Para mostrar los grupos de escritorios, haga clic en Cualquier tipo de aplicación >Aplicaciones de Horizon View.

4 Haga clic en el grupo de escritorios o aplicaciones.

5 Haga clic en Detalles en la parte izquierda.

6 Revise la información de la conexión, que consta de atributos recuperados de la instancia delservidor de conexión de Horizon.

Para ver los detalles de estos atributos, consulte la documentación de Horizon.


VMware, Inc. 58

Ver autorizaciones de usuarios y grupos para grupos deaplicaciones y escritorios de HorizonPuede ver para qué grupos de escritorios y aplicaciones de Horizon los usuarios y grupos tienenautorización.

Requisitos previos

n Para ver las actualizaciones más recientes, sincronice manualmente los recursos y lasautorizaciones desde las instancias del servidor de conexión de Horizon con VMware IdentityManager haciendo clic en Sincronizar en la página Configuración de aplicaciones virtuales.

Procedimiento


2 Vea autorizaciones de usuarios y grupos para grupos de aplicaciones y escritorios de Horizon.

Opción Acción

Mostrar usuarios y grupos conautorización para un determinadogrupo de aplicaciones o escritoriosde Horizon.

a Haga clic en la pestaña Catálogo > Aplicaciones virtuales.

b Haga clic en Cualquier tipo de aplicación > Escritorios de Horizon View oen Aplicaciones de Horizon View.

c Haga clic en el nombre del grupo de View del que desee consultar lasautorizaciones.

La pestaña Autorizaciones está seleccionada de forma predeterminada. Lasautorizaciones de grupo y las de usuarios se muestran en tablas separadas.

Mostrar autorizaciones de grupos deaplicaciones y escritorios de Horizonpara un determinado usuario o grupo.



c Haga clic en el nombre del grupo o del usuario individual.

d Haga clic en la pestaña Aplicaciones.

Se mostrarán los grupos de aplicaciones y escritorios de Horizon para los que estáautorizado el usuario o el grupo.

Configurar directivas de acceso para aplicaciones yescritorios específicosLos grupos de directivas de acceso predeterminados se aplican a todas las aplicaciones y escritorios enel catálogo. También puede establecer directivas de acceso para aplicaciones individuales o grupos deescritorios, que sobrescriben la directiva de acceso predeterminada.

Puede aplicar una directiva de acceso a una o varias aplicaciones y escritorios desde la páginaDirectivas o seleccionar la directiva de acceso para una aplicación específica desde la página deconfiguración de la aplicación.

Para obtener más información sobre las directivas de acceso, consulte la Guía de administración deVMware Identity Manager.


VMware, Inc. 59

Procedimiento

1 Para aplicar una directiva de acceso a aplicaciones y escritorios desde la página Directivas, sigaestos pasos.

a Diríjase a la página Administración de acceso e identidad > Administrar > Directivas.

b Haga clic en una directiva para editarla o haga clic en Agregar directiva para crear una nuevadirectiva.

c En la página de directivas, edite o defina la directiva.

d En la sección Se aplica a, seleccione las aplicaciones a las que desee aplicar la directiva.


2 Para seleccionar una directiva de acceso para una aplicación específica desde la página deconfiguración de la aplicación, seleccione estos pasos.


b Haga clic en la aplicación.

c En el panel izquierdo, haga clic en Directivas de acceso.

d Seleccione la directiva de acceso para la aplicación y haga clic en Guardar.

Permitir a los usuarios restablecer sus escritorios deHorizon en VMware Identity ManagerSegún cómo configure Horizon y VMware Identity Manager, los usuarios pueden restablecer un escritoriode Horizon que no responde desde Workspace ONE.

Al configurar Horizon para permitir a los usuarios restablecer sus escritorios, la configuración se aplicarátanto a Horizon como a VMware Identity Manager.

La opción para restablecer los escritorios desde Workspace ONE está disponible en VMware IdentityManager 3.2 y Connector 2018.1.1.0 y versiones posteriores. Asegúrese de que todos los conectoressean de la versión 2018.1.1.0 o versiones posteriores. De lo contrario, el comando Restablecer no semostrará. La opción es compatible con:

n Pods de Horizon 7.x o de una versión posterior

n Escritorios flotantes y dedicados de Horizon

Requisitos previos

n Configure Horizon para permitir que los usuarios restablezcan sus escritorios. Consulte ladocumentación de View, Horizon 6 u Horizon 7, específicamente la guía de Administración de View.

n Asegúrese de que esté usando VMware Identity Manager 3.2 o una versión posterior, y Connector2018.1.1.0 o una versión posterior. Todos los conectores deben tener la versión 2018.1.1.0 o unaversión posterior.


VMware, Inc. 60

n Para garantizar que los usuarios puedan restablecer determinados escritorios de Horizon, las URLde acceso de cliente de los pods respectivos deben disponer de certificados de confianza. Si las URLdisponen de certificados raíz o autofirmados, configure VMware Identity Manager para que confíe enesos certificados. Consulte Instalación y configuración de VMware Identity Manager para obtenerinformación sobre cómo aplicar un certificado raíz.

Procedimiento

u (opcional) Compruebe que VMware Identity Manager indique que los usuarios pueden restablecer undeterminado escritorio.

a En la consola de administración, seleccione la pestaña Catálogo > Aplicaciones virtuales.

b En el menú desplegable Cualquier tipo de aplicación, seleccione Escritorios de HorizonView.

c Haga clic en el nombre del escritorio.

d Haga clic en Detalles.

e Confirme que el valor de Restablecer permitido sea verdadero (true).

Si el valor es falso (false), Horizon no se configura para permitir a los usuarios restablecer elescritorio.

Pasos siguientes

Si un escritorio de Horizon deja de responder, usted o los usuarios pueden restablecerlo. Para ello,deben seleccionar el comando Restablecer.

Ver las opciones de inicio de las aplicaciones y losescritorios de HorizonLas aplicaciones y los escritorios de Horizon se pueden iniciar desde Workspace ONE en Horizon Cliento un navegador web, según la configuración de la aplicación o el escritorio en Horizon. Si la aplicación oel escritorio de Horizon solo se configuró para Horizon Client, los usuarios deben instalar Horizon Clienten sus sistemas.

La función HTML Access de Horizon brinda a los administradores de Horizon la opción de configurar unescritorio o una aplicación para los navegadores. Esta configuración se hace en Horizon y no esnecesario configurar nada en VMware Identity Manager. En Horizon 7, el valor de configuración parapermitir el acceso HTML a aplicaciones y escritorios de esta granja determina si los usuarios deVMware Identity Manager tienen la opción de iniciar escritorios o aplicaciones de esa granja en unnavegador.

VMware Identity Manager es compatible con el acceso HTML para Horizon 6.1.1 y versiones posteriores.


VMware, Inc. 61

VMware Identity Manager también es compatible con todos los protocolos de visualización compatiblescon Horizon para Horizon Client. Para Horizon 7, VMware Identity Manager es compatible con elprotocolo Blast, además de PCoIP y RDP para Horizon Client 4.0. Cuando los usuarios de VMwareIdentity Manager inician una aplicación o un escritorio en Horizon Client, utiliza el protocolo establecidopara la granja en Horizon.

Nota En Horizon, además de establecer el protocolo de visualización predeterminado, losadministradores pueden especificar si se permite a los usuarios elegir un protocolo de visualización. Sise desea admitir versiones de Horizon Client que no sean compatibles con el protocolo predeterminado,se recomienda permitir a los usuarios cambiar el protocolo de visualización. De lo contrario, no se podráiniciar la aplicación o el escritorio.

Para obtener información sobre la configuración de las opciones de inicio y los protocolos devisualización, consulte la documentación de Horizon 7, Horizon 6 o View.

En la consola administrativa de VMware Identity Manager, se pueden comprobar las opciones de iniciocompatibles con una aplicación o un escritorio de Horizon.

Procedimiento



3 Para mostrar los grupos de escritorios, haga clic en Cualquier tipo de aplicación > Escritorios deHorizon View. Para mostrar aplicaciones, haga clic en Cualquier tipo de aplicación >Aplicaciones de Horizon View.

4 Haga clic en la aplicación o el escritorio.

5 Haga clic en Detalles en la parte izquierda.

El campo Tipos de cliente compatibles muestra las opciones de inicio.


VMware, Inc. 62

El valor del campo puede ser NATIVE, BROWSER o ambos. Si solo aparece NATIVE, la aplicación oel escritorio solo se pueden iniciar en Horizon Client. Antes de iniciar la aplicación desde WorkspaceONE, los usuarios deben instalar Horizon Client. Si BROWSER aparece en la lista, los usuariospueden iniciar la aplicación o el escritorio en un navegador. Si están especificados los dos, losusuarios pueden elegir cómo quieren iniciar la aplicación.

Nota En integraciones de Horizon 7, la opción para permitir el acceso HTML a aplicaciones yescritorios de esta granja debe estar habilitada en Horizon 7 para que la opción BROWSERaparezca en la lista Tipos de cliente compatibles.

Inicio de una aplicación o un escritorio de HorizonLos usuarios pueden ejecutar las aplicaciones y los escritorios de Horizon para los que estén autorizadosdesde el portal o la aplicación de Workspace ONE.

Según la forma en que haya configurado una aplicación o un escritorio en Horizon, se podrá iniciar enHorizon Client o en un navegador. Para las aplicaciones o los escritorios que solo se puedan iniciar enHorizon Client, los usuarios deberán instalar Horizon Client en sus sistemas. Para las aplicaciones y losescritorios que se puedan iniciar en Horizon Client o en un navegador, los usuarios podrán seleccionar elmétodo de inicio.

Los usuarios también pueden establecer su preferencia de inicio predeterminada en la páginaPreferencias del portal de Workspace ONE. Esta preferencia de usuario anula cualquier preferencia deinicio predeterminada establecida en el nivel de administrador.

Nota Los usuarios no pueden establecer una preferencia de inicio predeterminada en la aplicaciónWorkspace ONE.

Requisitos previos

Según la forma en que se haya configurado la aplicación o el escritorio en Horizon, es posible que losusuarios necesiten instalar Horizon Client.

Para obtener información sobre las versiones de Horizon Client compatibles, consulte las matrices deinteroperabilidad de productos VMware en la dirección http://www.vmware.com/resources/compatibility/sim/interop_matrix.php.

Procedimiento

1 Inicie sesión en el portal de Workspace ONE.

2 Haga clic en Abrir en el escritorio o la aplicación que desee utilizar, seleccione el método de inicio yhaga clic en Abrir.

Nota Según cómo esté configurado el escritorio o la aplicación, y sus preferencias, es probable quedeba instalar Horizon Client en su sistema.


VMware, Inc. 63

Si opta por la opción del navegador, la aplicación o el escritorio se inician en un navegador. Si usaHorizon 6.1.1 o posterior, la ventana del navegador también se muestra en una bandeja de accesoHTML.

Nota Si los metadatos SAML caducaron en las instancias del servidor de conexión de Horizon, no seiniciarán ni la aplicación ni el escritorio. Para solucionar este problema, debe volver a sincronizar losrecursos de Horizon con VMware Identity Manager. En la página Configuración de aplicaciones virtuales,haga clic en Sincronizar desde la colección adecuada.


VMware, Inc. 64

Proporcionar acceso aaplicaciones y escritorios deVMware Horizon Cloud Service 5VMware Horizon Cloud Service con una infraestructura local u hospedada puede integrarse con elservicio de VMware Identity Manager.

La integración de Horizon Cloud con el servicio VMware Identity Manager permite brindar a los usuariosla posibilidad de acceder a las aplicaciones y los escritorios de Horizon Cloud para los que tenganautorización desde la aplicación o el portal de Workspace ONE. Esto ofrece a los usuarios un solo lugarpara tener acceso a todas sus aplicaciones entre los dispositivos.

Los grupos de aplicaciones y escritorios, denominados también asignaciones, se configuran en elarrendatario de Horizon Cloud. Además, las autorizaciones de grupos y usuarios se establecen en elarrendatario de Horizon Cloud, no en el servicio de VMware Identity Manager. Estos grupos y usuariosse deben sincronizar con el servicio de VMware Identity Manager desde Active Directory antes derealizar la integración con el arrendatario de Horizon Cloud.

Para integrar Horizon Cloud con VMware Identity Manager, cree una o varias colecciones deaplicaciones virtuales en la consola administrativa de VMware Identity Manager. Las coleccionescontienen la información de configuración para los arrendatarios de Horizon Cloud, así como laconfiguración de sincronización.

Se puede configurar una programación de sincronización para cada colección para sincronizarperiódicamente los recursos y las autorizaciones del arrendatario de Horizon Cloud con el servicioVMware Identity Manager.

Después de integrar el arrendatario de Horizon Cloud con VMware Identity Manager, se podrán ver lasaplicaciones y los escritorios de Horizon Cloud en la consola de administración de VMware IdentityManager. También se pueden ver las autorizaciones de grupos y usuarios.

Los usuarios finales pueden iniciar las aplicaciones y los escritorios para los que tengan autorizacióndesde la aplicación o el portal de Workspace ONE. Pueden tener acceso a estas aplicaciones yescritorios en un explorador o en VMware Horizon® Client™. Son compatibles las versiones HorizonClient 3.4 y posteriores.


n Integrar aplicaciones y escritorios de Horizon Cloud

n Ver los detalles de los grupos de aplicaciones y escritorios de Horizon Cloud

VMware, Inc. 65

n Ver las autorizaciones de grupos y usuarios para aplicaciones y escritorios de Horizon Cloud


n Permitir que los usuarios restablezcan los escritorios de Horizon Cloud

n Uso de una aplicación o un escritorio de Horizon Cloud

Integrar aplicaciones y escritorios de Horizon CloudPara integrar aplicaciones y escritorios de Horizon Cloud con el servicio VMware Identity Manager, creeuna o varias colecciones de aplicaciones virtuales en la consola administrativa de VMware IdentityManager, configure los detalles del arrendatario de Horizon Cloud en la colección y sincronice losrecursos y las autorizaciones desde el arrendatario de Horizon Cloud. También debe configurar laautenticación SAML para habilitar la confianza entre el arrendatario de Horizon Cloud y el servicio deVMware Identity Manager.

Integrar varias instancias de Horizon CloudEs posible integrar varios arrendatarios de Horizon Cloud con una única instancia de VMware IdentityManager para que las autorizaciones y los recursos de Horizon Cloud de todos los arrendatarios puedansincronizarse en una sola ubicación, las directivas de acceso y autenticación puedan administrarse demanera centralizada y pueda prestarse servicio a los usuarios finales con autorizaciones en diferentesarrendatarios desde una sola aplicación o portal.

VMware Identity Manager admite la integración con los siguientes tipos de entornos de Horizon Cloud:

n Infraestructura alojada de Horizon Cloud (capa de software y Azure)

n Infraestructura local de Horizon Cloud

Al integrar varios arrendatarios de Horizon Cloud, tenga en cuenta las siguientes consideraciones.

n Un solo conector, el componente de VMware Identity Manager que sincronice los recursos y lasautorizaciones desde Horizon Cloud con el servicio de VMware Identity Manager, puede sincronizarrecursos y autorizaciones de varios arrendatarios de Horizon Cloud.

n Cada arrendatario de Horizon Cloud puede proporcionar autorizaciones a los usuarios en diferentesdominios e instancias de Active Directory. Asegúrese de agregar todos los dominios y directoriosrelevantes a VMware Identity Manager para que todos los usuarios con autorizaciones en cualquierade los arrendatarios de Horizon Cloud se sincronicen con VMware Identity Manager.

n Si los dispositivos del arrendatario tienen certificados autofirmados, debe cargar el certificadoautofirmado como certificado raíz de confianza en VMware Identity Manager. Al integrar variosarrendatarios de Horizon Cloud, debe asegurarse de que todos los certificados tengan el mismocertificado raíz dado que solo un certificado raíz puede cargarse en VMware Identity Manager.

n VMware Identity Manager no puede obtener acceso ni sincronizar las autorizaciones desde unarrendatario en el que la autenticación en dos fases está habilitada.


VMware, Inc. 66

n En VMware Identity Manager, puede agregar todos los arrendatarios de Horizon Cloud en unaconfiguración, denominada colección de aplicaciones virtuales, o crear varias configuraciones.Cuando todos los arrendatarios de Horizon Cloud se agregan a una configuración y si VMwareIdentity Manager no puede acceder a uno de los arrendatarios, crea una alerta y continúasincronizando recursos y autorizaciones de los otros arrendatarios.

n Asegúrese de configurar la autenticación SAML en cada arrendatario de Horizon Cloud que seintegre con VMware Identity Manager.

Requisitos previos para la integraciónAntes de integrar Horizon Cloud con VMware Identity Manager, asegúrese de que cumple con losrequisitos previos.

n Verifique que tiene la siguiente configuración:

n Una implementación de VMware Identity Manager en las instalaciones

La integración de varios arrendatarios de Horizon Cloud con una única instancia de VMwareIdentity Manager es compatible en VMware Identity Manager 3.x y versiones posteriores.

n Si usa un conector externo y adicional, asegúrese de que usa la versión 2016.1.1 o una versiónposterior. La integración con varios arrendatarios de Horizon Cloud es compatible en Connector2017.8.1.0 y versiones posteriores.

n El servicio de VMware Identity Manager puede acceder a uno o más arrendatarios de HorizonCloud. Colabore con su representante de Horizon Cloud para realizar esta configuración.

Importante La implementación de VMware Identity Manager y el arrendatario de Horizon Cloudnecesitan una conectividad VPN para funcionar.

n Compruebe que su arrendatario de Horizon Cloud cumpla con los siguientes requisitos.

n El nombre del arrendatario tiene que ser un nombre de dominio plenamente cualificado (FQDN),no solo un nombre de host. Por ejemplo, server-ta1.ejemplo.com en lugar de server-ta1.

n Los dispositivos del arrendatario deberían tener certificados firmados válidos emitidos por unaentidad de certificación. El certificado debe coincidir con el FQDN del dispositivo del arrendatario.Si los dispositivos del arrendatario tienen certificados autofirmados, debe cargar el certificadoautofirmado como certificado raíz de confianza en VMware Identity Manager. Al integrar variosarrendatarios de Horizon Cloud, debe asegurarse de que todos los certificados tengan el mismocertificado raíz dado que solo un certificado raíz puede cargarse en VMware Identity Manager.

n Asegúrese de que el arrendatario de Horizon Cloud y el servicio de VMware Identity Manager esténsincronizados en hora. Si no lo están, se puede producir un error de SAML no válido cuando losusuarios ejecuten escritorios y aplicaciones de Horizon Cloud.


VMware, Inc. 67

n Cree y configure grupos de aplicaciones y escritorios, denominados también asignaciones, en laconsola de administración de arrendatarios de Horizon Cloud. En el arrendatario de Horizon Cloud,se pueden crear los siguientes tipos de grupos:

n Grupo de escritorios dinámicos, denominado también asignación de escritorios flotante

n Grupo de escritorios estáticos, denominado también asignación de escritorios dedicada

n Grupo con escritorios basado en la sesión, denominado también asignación de escritorios desesión

n Grupo con aplicaciones basado en la sesión, denominado también asignación de aplicacionesremota

Para obtener más información sobre los tipos de grupos, consulte la documentación de HorizonCloud.

n Configure las autorizaciones de grupos y usuarios en aplicaciones y escritorios de Horizon Cloud enla consola administrativa de arrendatarios de Horizon Cloud.

Nota Solo se sincronizan las autorizaciones de usuarios que pertenecen a un grupo registrado. Losusuarios que no pertenecen a ningún grupo no verán sus autorizaciones en VMware IdentityManager.

n En la consola de VMware Identity Manager, asegúrese de que los usuarios y grupos conautorizaciones de Horizon Cloud se sincronicen desde Active Directory con VMware Identity Managermediante la sincronización de directorio.

Siga estas directrices:

n Si integra a varios arrendatarios de Horizon Cloud, asegúrese de agregar todos los directorios ylos dominios relevantes a VMware Identity Manager para que los usuarios con las autorizacionesen cualquiera de los arrendatarios de Horizon Cloud se sincronicen con VMware IdentityManager.

n sAMAccountName se debe configurar como el atributo de búsqueda del directorio para eldirectorio en VMware Identity Manager.

n distinguishedName se debe configurar como un atributo obligatorio del directorio de VMwareIdentity Manager y se debe asignar al atributo distinguishedName de Active Directory.

Los atributos deben marcarse como obligatorios antes de crear el directorio. Una vez creado eldirectorio, los atributos no se pueden cambiar de opcionales a obligatorios.

1 En la consola de VMware Identity Manager, vaya a la página Administración de acceso eidentidad > Configurar > Atributos de usuario.

2 En Atributos predeterminados, seleccione la casilla de verificación Obligatorio paradistinguishedName.


4 Al crear el directorio, asigne el atributo distinguishedName al atributo distinguishedNamede Active Directory.


VMware, Inc. 68

Configurar un arrendatario de Horizon Cloud en VMware IdentityManagerPara integrar los arrendatarios Horizon Cloud con el servicio VMware Identity Manager, cree unacolección de aplicaciones virtuales en la consola administrativa de VMware Identity Manager, quecontenga información del arrendatario de Horizon Cloud, así como la configuración de sincronización, ysincronice las autorizaciones y los recursos de del arrendatario de Horizon Cloud con el servicio VMwareIdentity Manager.

Si tiene varios arrendatarios de Horizon Cloud, puede crear colecciones de aplicaciones virtualesindependientes para cada arrendatario o configurar todos los arrendatarios en una sola colección, segúnsus necesidades. Cada colección se sincroniza por separado.

Requisitos previos

n Compruebe que cumple los requisitos previos descritos en Requisitos previos para la integración.Consulte también Integrar varias instancias de Horizon Cloud.


Procedimiento



3 Haga clic en Agregar aplicaciones virtuales y seleccione Horizon Cloud.



Si configuró varios conectores para alta disponibilidad, haga clic en Agregar conector y seleccionelos conectores. El orden en el que se muestran los conectores determina el orden de conmutaciónpor error.

6 En la sección Arrendatarios, introduzca la información del arrendatario de Horizon Cloud.

Importante Utilice solo caracteres ASCII para introducir la información del dominio.


Host del arrendatario Nombre de dominio plenamente cualificado del host del arrendatario. Por ejemplo:tenant1.ejemplo.com

Puerto del arrendatario Número de puerto del host del arrendatario. Por ejemplo: 443

Usuario administrador Nombre de usuario de su cuenta de administrador del arrendatario. Por ejemplo:tenantadmin

Contraseña del administrador Contraseña de su cuenta de administrador del arrendatario.


VMware, Inc. 69


Dominio del administrador Nombre de dominio NETBIOS de Active Directory en el que reside el administradordel arrendatario.

Dominios para sincronizar Nombres de dominio NETBIOS de Active Directory para sincronizar recursos yautorizaciones de Horizon Cloud.

Nota Este campo distingue entre mayúsculas y minúsculas. Utilice mayúsculas ominúsculas, según corresponda, al introducir los nombres.

URL del servicio del consumidor deaserción

La URL en la que se publica la aserción de SAML. Esta URL suele ser el nombrede host o la dirección IP flotante del arrendatario de Horizon Cloud o la URL deUnified Access Gateway. Por ejemplo, https://mytenant.example.com.

True SSO habilitado en Horizon Cloud Seleccione esta opción si True SSO está habilitado para el arrendatario de HorizonCloud.

Si la función True SSO está habilitada en el arrendatario de Horizon Cloud, losusuarios no necesitan una contraseña para iniciar sesión en sus escritoriosWindows.

No obstante, si los usuarios se conectan a VMware Identity Manager mediante unmétodo de autenticación sin contraseña, como SecurID, al iniciar sus escritoriosWindows se les solicitará una contraseña. Puede seleccionar esta opción paraevitar que se muestre un cuadro de diálogo de contraseña a los usuarios en estoscasos.

Asignación de ID personalizada Puede personalizar el ID de usuario que se utiliza en la respuesta de SAMLcuando los usuarios inician escritorios y aplicaciones de Horizon Cloud. De formapredeterminada, se utiliza el nombre principal de usuario. Puede optar por utilizarotros formatos de ID de nombre como sAMAccountName o la dirección de correoelectrónico y personalizar el valor.

Formato de ID de nombre: Seleccione el formato de ID de nombre, comoDirección de correo electrónico o Nombre principal de usuario. El valorpredeterminado es Sin especificar (nombre de usuario).Valor de ID de nombre: Haga clic en Seleccione entre las sugerencias y elijauna opción de la lista predefinida de valores o haga clic en Valor personalizado yescriba el valor. Este valor puede ser cualquier expresión de Expression Language(EL) válida como ${user.userName}@${user.domain}. El valor predeterminadoes ${user.userPrincipalName}.

Nota Asegúrese de que los atributos que utilice en la expresión sean atributosasignados en el directorio de VMware. Puede ver los atributos asignados en lapestaña Configuración de sincronización del directorio. En el ejemplo anterior,userName, userPrincipalName y el dominio son atributos de directorio asignados.

La capacidad para seleccionar el formato de ID de nombre es útil en escenarioscomo los siguientes:

n Cuando se sincronizan usuarios de varios subdominios, es posible quenombre principal de usuario no funcione. Puede utilizar un formato de ID denombre diferente como sAMAccountName o la dirección de correo electrónicopara identificar de forma exclusiva los usuarios.

Importante Asegúrese de que el valor de formato de ID de nombre sea el mismoen Horizon Cloud y VMware Identity Manager.

Por ejemplo:


VMware, Inc. 70

7 Para agregar otro arrendatario de Horizon Cloud a la colección, haga clic en Agregar arrendatario eintroduzca la información de configuración para el arrendatario.

8 En la lista desplegable Cliente de inicio predeterminado, seleccione el cliente predeterminado enel que desee iniciar los escritorios o las aplicaciones de Horizon Cloud.


NINGUNO No se establece ninguna preferencia predeterminada en el nivel de administrador.Si esta opción se establece en Ninguno y no se configura ninguna preferencia deusuario final, se utiliza la opción Protocolo predeterminado de Horizon Cloud paradeterminar la forma en que se debe iniciar la aplicación o el escritorio.

NAVEGADOR Las aplicaciones y los escritorios de Horizon Cloud se inician en un navegadorweb de forma predeterminada. Si se establecen preferencias de usuario final, esaspreferencias anulan esta configuración.

NATIVO Las aplicaciones y los escritorios de Horizon Cloud se inician en Horizon Client deforma predeterminada. Si se establecen preferencias de usuario final, esaspreferencias anulan esta configuración.

Esta opción se aplica a todos los usuarios para todos los recursos de Horizon Cloud de estacolección.

Se aplica el siguiente orden de prioridad, enumerado de mayor a menor, a la configuraciónpredeterminada de inicio de cliente:

a Configuración de preferencias de usuario final que se establece en el portal de Workspace ONE.Esta opción no se encuentra disponible en la aplicación Workspace ONE.

b Configuración de cliente de inicio predeterminado del administrador para la colección que seestablece en la consola de VMware Identity Manager.


VMware, Inc. 71

c Configuración de Protocolo predeterminado de Horizon Cloud.


Puede configurar una programación de sincronización periódica o elegir sincronizar manualmente. Siselecciona Manual, debe hacer clic en Sincronizar en la página Configuración de aplicacionesvirtuales después de configurar la colección y cada vez que se realice un cambio en los recursos olas autorizaciones de Horizon Cloud.

10 En la lista desplegable Directiva de activación, seleccione la manera en la que los recursos deHorizon Cloud se deben poner a disposición de los usuarios en Workspace ONE.





Se crea la colección, que aparece en la página Aplicaciones virtuales.

12 Para sincronizar los recursos y las autorizaciones en la colección, haga clic en Sincronizar en lapágina Configuración de aplicaciones virtuales.

Cada vez que las autorizaciones o los recursos cambian en Horizon Cloud, es necesario realizar unasincronización para propagar los cambios a VMware Identity Manager.

Pasos siguientes

Configure la autenticación SAML en el arrendatario de Horizon Cloud para habilitar la confianza entre elservicio de VMware Identity Manager y el arrendatario de Horizon Cloud.

Configurar la autenticación de SAML en el arrendatario deHorizon CloudDespués de crear una colección de aplicaciones virtuales para el arrendatario de Horizon Cloud en laconsola administrativa de VMware Identity Manager, configure la autenticación SAML en el arrendatariode Horizon Cloud.


VMware, Inc. 72

Si integra varios arrendatarios de Horizon Cloud, asegúrese de configurar la autenticación SAML entodos ellos.

Nota El dispositivo del arrendatario de Horizon Cloud y VMware Identity Manager deben someterse auna sincronización temporal. Si no se someten a una sincronización temporal, cuando intente iniciaraplicaciones y escritorios de Horizon Cloud, aparecerá un mensaje de SAML no válido.

Procedimiento

1 En la consola de administración de VMware Identity Manager, seleccione la pestaña Catálogo >Aplicaciones web y haga clic en Configuración.

2 En el panel izquierdo, en Aplicaciones SaaS, haga clic en Metadatos SAML.

3 En la pestaña Descargar metadatos SAML, haga clic en Copiar dirección URL junto a Metadatosdel proveedor de identidad (IdP).

La dirección URL, que tiene un formato similar a https://Fqdndevmwareidentitymanager/SAAS/API/1.0/GET/metadata/idp.xml, se copia en el Portapapeles.

4 Inicie sesión en el arrendatario de Horizon Cloud.

5 Vaya a Configuración > Administración de identidades.


7 Configure los parámetros obligatorios.


URL de Identity Manager La URL de metadatos de IdP de VMware Identity Manager que ha copiado. LaURL generalmente tiene el siguiente formato:

https://Fqdndevmwareidentitymanager/SAAS/API/1.0/GET/metadata/idp.xml

Tiempo de espera del token de SSO (Opcional) Número de horas, en minutos, tras las cuales se agota el tiempo deespera del token de SSO.


VMware, Inc. 73


Centro de datos El nombre del centro de datos de Horizon Cloud. Seleccione el nombre en la listadesplegable.

Dirección del arrendatario La dirección del arrendatario de Horizon Cloud. Especifique la dirección IP flotanteo el nombre de host del dispositivo del arrendatario de Horizon Cloud, o el nombrede host o la dirección IP de Unified Access Gateway. Por ejemplo:miarrendatario.ejemplo.com.

En Horizon Cloud en Azure, aparecen los siguientes ajustes.


URL de VMware Identity Manager La URL de metadatos de IdP de VMware Identity Manager que ha copiado. LaURL generalmente tiene el siguiente formato:

https://Fqdndevmwareidentitymanager/SAAS/API/1.0/GET/metadata/idp.xml

Tiempo de espera del token de SSO (Opcional) Número de horas, en minutos, tras las cuales se agota el tiempo deespera del token de SSO.

Ubicación Seleccione una ubicación para filtrar la lista desplegable de nodos para los nodosasociados a esa ubicación.

Nodo Seleccione el nodo que se vaya a integrar con VMware Identity Manager.

Centro de datos El nombre del centro de datos de Horizon Cloud. Seleccione el nombre en la listadesplegable.

Dirección del arrendatario La dirección del arrendatario de Horizon Cloud. Especifique la dirección IP flotanteo el nombre de host del dispositivo del arrendatario de Horizon Cloud, o el nombrede host o la dirección IP de Unified Access Gateway. Por ejemplo:miarrendatario.ejemplo.com.


Si la integración se realiza correctamente, el estado es de color verde.

9 Para bloquear el acceso de usuario excepto a través de VMware Identity Manager, haga clic enConfigurar y edite la configuración.


Forzar a los usuarios remotos aIdentity Manager

Seleccione Sí para bloquear el acceso remoto del usuario excepto mediante IDM.La opción solo aparece si el estado de Identity Manager es de color verde.

Forzar a los usuarios internos aIdentity Manager

Seleccione Sí para bloquear el acceso de usuarios internos excepto medianteIDM. La opción solo aparece si el estado de Identity Manager es de color verde.

Se completó la integración. Después de sincronizar los recursos de Horizon Cloud con VMware IdentityManager, puede ver grupos de aplicaciones y escritorios de Horizon Cloud en la consola deadministración de VMware Identity Manager, y los usuarios finales pueden iniciar los recursos para losque están autorizados desde el portal o la aplicación Workspace ONE.


VMware, Inc. 74

Ver los detalles de los grupos de aplicaciones yescritorios de Horizon CloudEn la consola de administración de VMware Identity Manager, puede ver información acerca de losgrupos de aplicaciones y escritorios de Horizon Cloud sincronizados.

Procedimiento

1 Inicie sesión en la consola administrativa.


3 Haga clic en Cualquier tipo de aplicación y seleccione Escritorios de Horizon Cloud oAplicaciones de Horizon Cloud.

4 Seleccione un grupo de aplicaciones o escritorios.

5 Haga clic en Detalles.

Se mostrarán los atributos recuperados del arrendatario de Horizon Cloud. Para obtener informaciónsobre estos atributos, consulte la documentación de Horizon Cloud.

Ver las autorizaciones de grupos y usuarios paraaplicaciones y escritorios de Horizon CloudEn la consola de administración de VMware Identity Manager, puede ver las autorizaciones de HorizonCloud para usuarios y grupos específicos.

Las autorizaciones de usuarios y grupos para los recursos de Horizon Cloud se establecen en la interfazde administración del arrendatario de Horizon Cloud y no se pueden modificar desde la consola deadministración de VMware Identity Manager.

Requisitos previos

Para ver las actualizaciones más recientes, sincronice manualmente recursos y autorizaciones de losarrendatarios de Horizon Cloud con VMware Identity Manager haciendo clic en Sincronizar para lacolección de Horizon Cloud en la página Configuración de aplicaciones virtuales.

Procedimiento



VMware, Inc. 75

2 Vea las autorizaciones de grupos y usuarios para aplicaciones y escritorios de Horizon Cloud.

Opción Acción

Mostrar usuarios y grupos conautorización para un determinadogrupo de aplicaciones o escritoriosde Horizon Cloud.


b Haga clic en Cualquier tipo de aplicación > Escritorios de Horizon Cloud oen Aplicaciones de Horizon Cloud.

c Seleccione el grupo del que desee mostrar la lista de autorizaciones.


Mostrar autorizaciones de grupos deaplicaciones y escritorios de HorizonCloud para un determinado usuario ogrupo.





Se mostrarán los grupos de aplicaciones y escritorios de Horizon Cloud para losque está autorizado el usuario o el grupo.




Procedimiento








VMware, Inc. 76






Permitir que los usuarios restablezcan los escritorios deHorizon CloudDependiendo de cómo se configuren los ajustes de Horizon Cloud, los usuarios pueden restablecer losescritorios de Horizon Cloud dedicados desde Workspace ONE. Los usuarios pueden restablecer susescritorios si dejan de responder, por ejemplo.

Se configura la opción para permitir a los usuarios restablecer sus escritorios en Horizon Cloud, no enVMware Identity Manager. La opción es compatible con VMware Identity Manager 3.2 y Connector2018.1.1.0 y versiones posteriores. Asegúrese de que todos los conectores sean de la versión2018.1.1.0 o una versión posterior.

Solo los escritorios de Horizon Cloud dedicados se pueden restablecer desde Workspace ONE.

Si Horizon Cloud permite que los usuarios restablezcan los escritorios, el comando Restablecer estádisponible para el escritorio en Workspace ONE. El comando solo aparece para los escritorios para losque se permite el restablecimiento.

Uso de una aplicación o un escritorio de Horizon CloudLos usuarios finales pueden ejecutar las aplicaciones y los escritorios de Horizon Cloud para los queestén autorizados desde el portal o la aplicación de Workspace ONE.


VMware, Inc. 77

Según la forma en que se haya configurado una aplicación o un escritorio en el arrendatario de HorizonCloud, se podrá ejecutar en Horizon Client o en un navegador. Para las aplicaciones o los escritorios queestán configurados para Horizon Client solamente, los usuarios deben instalar Horizon Client en sussistemas. Para las aplicaciones y los escritorios que están configurados tanto para Horizon Client comopara los navegadores, los usuarios pueden seleccionar el método de inicio.

Los usuarios también pueden establecer su preferencia de inicio predeterminada en la páginaPreferencias del portal de Workspace ONE. Esta preferencia de usuario anula cualquier preferencia deinicio predeterminada establecida en el nivel de administrador.

Nota Los usuarios no pueden establecer una preferencia de inicio predeterminada en la aplicaciónWorkspace ONE.

Requisitos previos

Según la forma en que se haya configurado la aplicación o el escritorio en el tenant de Horizon Cloud, esposible que los usuarios necesiten instalar Horizon Client.

Para obtener información sobre las versiones de Horizon Client compatibles, consulte las matrices deinteroperabilidad de productos VMware en la dirección http://www.vmware.com/resources/compatibility/sim/interop_matrix.php.

Procedimiento

1 Inicie sesión en el portal de Workspace ONE.

2 Haga clic en Abrir en el escritorio o la aplicación que desee utilizar, seleccione el método de inicio yhaga clic en Abrir.

Nota Según cómo esté configurado el escritorio o la aplicación, y sus preferencias, es probable quedeba instalar Horizon Client en su sistema.


VMware, Inc. 78

Proporcionar acceso a paquetesde VMware ThinApp 6VMware Identity Manager permite distribuir y administrar paquetes de ThinApp de forma centralizada.Los paquetes de ThinApp son aplicaciones de Windows virtualizadas que se utilizan en sistemasWindows. Los usuarios autorizados que tengan la aplicación VMware Identity Manager Desktop instaladaen sus sistemas Windows podrán iniciar y utilizar los paquetes de ThinApp para los que tenganautorización en esos sistemas Windows.

Durante los procesos de captura y creación de ThinApp, se crea una aplicación virtual desde unaaplicación de Windows. Esa aplicación de Windows virtualizada se puede ejecutar en sistemas Windowssin tener instalada la aplicación de Windows original en ese sistema. El paquete de ThinApp es elconjunto de archivos de la aplicación virtual generados al ejecutar los procesos de captura y creación enuna aplicación de Windows. El paquete incluye el archivo contenedor de datos principal y los archivos delpunto de entrada para acceder a la aplicación de Windows.

No todos los paquetes de ThinApp son compatibles con VMware Identity Manager. Al capturar unaaplicación de Windows, la configuración predeterminada del proceso de captura y creación de ThinAppcrea un paquete que VMware Identity Manager no puede distribuir ni administrar. Se crea un paquete deThinApp que VMware Identity Manager puede distribuir y administrar estableciendo los parámetrosadecuados durante los procesos de captura y creación.Para obtener información detallada sobre lascaracterísticas de ThinApp y los parámetros que se deben utilizar para crear un paquete compatible conVMware Identity Manager, consulte la documentación de ThinApp de VMware.

Después de integrar VMware Identity Manager con el repositorio de ThinApp, aparecerán en el catálogolos paquetes de ThinApp del repositorio que VMware Identity Manager puede distribuir y administrar.Cuando los paquetes de ThinApp aparecen en el catálogo de VMware Identity Manager, se puedeautorizar a usuarios y grupos a acceder a ellos y, opcionalmente, configurar la información deseguimiento de licencias de cada paquete.

Nota Actualmente, la integración de ThinApp solo es compatible con el conector basado en Linux. Noes compatible con el conector basado en Windows.


n Integración de paquetes de VMware ThinApp

n Autorización de usuarios y grupos para paquetes de ThinApp

n Distribución y administración de los paquetes de ThinApp con VMware Identity Manager

VMware, Inc. 79

n Actualizar paquetes de ThinApp administrados después de la implementación en VMware IdentityManager

n Eliminar paquetes de ThinApp de VMware Identity Manager

n Convertir los paquetes existentes de ThinApp para que sean compatibles con VMware IdentityManager

n Cambiar la carpeta compartida de los paquetes de ThinApp


Integración de paquetes de VMware ThinAppPara usar VMware Identity Manager para distribuir y administrar aplicaciones empaquetadas conVMware®ThinApp®, debe tener un repositorio de ThinApp que contenga los paquetes de ThinApp, sedirija a dicho repositorio y sincronice los paquetes. Una vez finalizado el proceso de sincronización, lospaquetes de ThinApp estarán disponibles en su catálogo de VMware Identity Manager y podráautorizarlos para que los usen sus usuarios y grupos de VMware Identity Manager.

ThinApp ofrece virtualización de aplicaciones mediante el desacoplamiento de una aplicación desde elsistema operativo subyacente y sus bibliotecas y entorno, y el agrupamiento de la aplicación en un únicoarchivo ejecutable denominado paquete de la aplicación. Para que VMware Identity Managerpuedaadministrarlos, estos paquetes deben estar habilitados con las opciones correspondientes. Por ejemplo,en el asistente de captura de configuración de ThinApp, seleccione la casilla para administrar conWorkspace. Para obtener más información sobre las funciones de ThinApp y cómo habilitar lasaplicaciones para que las administre VMware Identity Manager, consulte la documentación de VMwareThinApp.

Normalmente, realiza los pasos necesarios para conectar VMware Identity Manager al repositorio ysincronizar los paquetes dentro del proceso de configuración global e individual de su entorno VMwareIdentity Manager. El repositorio de ThinApp debe ser una red compartida a la que pueda obtener accesoVMware Identity Manager a través de una ruta UNC (Uniform Naming Convention, Convención denomenclatura universal). VMware Identity Manager se sincroniza periódicamente con esta redcompartida para obtener los metadatos de paquetes de ThinApp que necesita VMware Identity Managerpara distribuir y administrar los paquetes. Consulte Requisitos de VMware Identity Manager parapaquetes de ThinApp y el repositorio de red compartida.

La unidad compartida de red puede ser una unidad de tipo Common Internet File System (CIFS) oDistributed File System (DFS). La unidad compartida DFS puede ser una única unidad compartida dearchivo de tipo Server Message Block (SMB) o varias unidades compartidas de archivos SMBorganizadas como un sistema de archivos distribuido. Son compatibles las unidades compartidas CIFS yDFS que se ejecuten en sistemas de almacenamiento NetApp. Los recursos compartidos de DFS en lossistemas de almacenamiento Isilon también son compatibles.


VMware, Inc. 80

Requisitos de VMware Identity Manager para paquetes deThinApp y el repositorio de red compartidaAl capturar y almacenar aplicaciones ThinApp que se distribuirán desde VMware Identity Manager, debecumplir algunos requisitos.

Requisitos de los paquetes de ThinAppPara crear o volver a empaquetar paquetes de ThinApp que VMware Identity Manager puedaadministrar, tiene que usar una versión de ThinApp compatible con VMware Identity Manager. VMwareIdentity Manager es compatible con ThinApp 4.7.2 y posterior. Para obtener información actualizadasobre las versiones compatibles, consulte las matrices de interoperabilidad de productos VMware en ladirección http://www.vmware.com/resources/compatibility/sim/interop_matrix.php.

Debe disponer de paquetes de ThinApp que VMware Identity Manager pueda administrar. En el procesode captura y generación de ThinApp, puede crear paquetes que VMware Identity Manager puedaadministrar o no. Por ejemplo, al usar el asistente de captura de configuración de ThinApp para capturaruna aplicación, puede crear un paquete que VMware Identity Manager pueda administrar mediante laselección de la casilla para administrar con Workspace. Para obtener información detallada sobre lascaracterísticas de ThinApp y los parámetros que se deben utilizar para crear un paquete compatible conVMware Identity Manager, consulte la documentación de ThinApp de VMware.

En el caso de paquetes de ThinApp ya existentes, puede usar el comando relink - h para habilitar lospaquetes para VMware Identity Manager. Para obtener información sobre cómo convertir paquetes deThinApp ya existentes en paquetes que VMware Identity Manager pueda administrar, consulte Guía deadministración de VMware Identity Manager.

Debe almacenar los paquetes de ThinApp en una red compartida que cumpla los requisitos para lacombinación de tipo de red compartida, acceso al repositorio y el modo de implementación de paquetesde ThinApp que se correspondan con las necesidades de su organización.

Requisitos del repositorio de red compartidaLos paquetes de ThinApp deben encontrarse en una red compartida, denominada también repositorio depaquetes de ThinApp. Es necesario que se pueda obtener acceso a la red compartida a través de unaruta UNC (Uniform Naming Convention, Convención de nomenclatura universal) desde cada sistema queejecute la aplicación de VMware Identity Manager Desktop usada para obtener acceso a los paquetes deThinApp. Por ejemplo, se puede obtener acceso a una red compartida con el nombre appshare, ubicadaen un host con el nombre server, mediante la ruta UNC \\server\appshare. El nombre de hostcualificado de la carpeta de red compartida se debe poder resolver desde VMware Identity Manager.

La unidad compartida de red puede ser una unidad de tipo Common Internet File System (CIFS) oDistributed File System (DFS). La unidad compartida DFS puede ser una única unidad compartida dearchivo de tipo Server Message Block (SMB) o varias unidades compartidas de archivos SMBorganizadas como un sistema de archivos distribuido. Son compatibles las unidades compartidas CIFS yDFS que se ejecuten en sistemas de almacenamiento NetApp. Los recursos compartidos de DFS en lossistemas de almacenamiento Isilon también son compatibles.


VMware, Inc. 81

La red compartida debe cumplir los criterios correspondientes al tipo de acceso que configure para queVMware Identity Manager lo use con el fin de obtener acceso al repositorio de paquetes de ThinApp:acceso basado en dominio o acceso basado en cuenta. El tipo de acceso determina las combinacionesque se permiten para los elementos siguientes:

n Si usa una red compartida CIFS o DFS para el repositorio de paquetes de ThinApp.

n Si debe unir VMware Identity Manager y el host de la red compartida en el mismo dominio de ActiveDirectory.

n Si el sistema Windows del usuario se debe unir al dominio de Active Directory para usar los paquetesde ThinApp.

n El modo de instalación de paquetes de ThinApp que la aplicación VMware Identity Manager Desktopestá configurada para usar con el fin de obtener y ejecutar las aplicaciones virtualizadas en elsistema Windows en el que la aplicación se encuentra instalada. El modo de instalación de paquetesque se usa en el sistema Windows del usuario se configura durante el proceso de instalación alinstalar la aplicación VMware Identity Manager Desktop en dicho sistema Windows. El modo deinstalación de paquetes determina el modo de implementación de ThinApp que usa dicho sistemaWindows, así como el modo de descarga o el modo de difusión.


VMware, Inc. 82

Tipo deacceso

Tipo de redcompartida

Requisitos de VMware IdentityManager Requisitos del sistema Windows del usuario

Accesobasadoendominio

Puede usar unaunidad compartidaCIFS de surepositorio depaquetes deThinApp cuandouse el accesobasado endominio.

No puede usar unaunidad compartidaDFS para unacceso basado endominio. Si tieneuna unidad DFS,debe usar unacceso basado encuenta.

Debe unir VMware Identity Manageral dominio de Active Directory paraque se pueda unir a la redcompartida de Windows y obteneracceso a los paquetes.

Para obtener más información sobrecómo configurar VMware IdentityManager para unirse al dominio,consulte la información relativa a laconfiguración de Kerberos enInstalación y configuración deVMware Identity Manager.

Nota No se requiere laautenticación de Windows.

La red compartida debe sercompatible con la autenticación y lospermisos de archivo que se basan enlas cuentas informáticas. VMwareIdentity Manager obtiene acceso a lared compartida con la cuentainformática de VMware IdentityManager en el dominio.

Los permisos de archivo y la carpetade la red compartida se debenconfigurar de modo que lacombinación de permisosproporcione acceso de lectura a lacuenta informática de VMwareIdentity Manager en el dominio.

El sistema Windows del usuario se debe unir al dominiode Active Directory para que el usuario pueda usar lospaquetes de ThinApp para los que tiene autorización.

Todos los sistemas siguientes se deben unir en el mismodominio:

n El sistema Windows del usuario

n VMware Identity Manager

n El host de la unidad de red compartida con lospaquetes de ThinApp

Al usar el acceso basado en dominio, se permiten losmodos de instalación siguientes para los paquetes deThinApp.

n COPY_TO_LOCAL. Con este modo de instalación,los paquetes se descargan en el sistema Windowscliente. Este modo de instalación se correspondecon usar el modo de descarga de ThinApp para laaplicación virtualizada. La cuenta que se usa parainiciar sesión en el sistema Windows cliente es lacuenta de usuario que se usa para copiar lospaquetes de la red compartida en el sistemaWindows cliente, y dicha cuenta debe disponer delos permisos necesarios para leer los paquetes ycopiar los archivos de dicha red compartida. Una vezque el paquete se descarga en el sistema Windowscliente y que el usuario inicia el paquete, laaplicación virtualizada se ejecuta localmente en elsistema Windows cliente.

n RUN_FROM_SHARE. Con este modo deinstalación, los paquetes no se descargan en elsistema Windows cliente. Un usuario inicia lospaquetes a través de accesos directos situados en elescritorio local y las aplicaciones virtualizadas seejecutan desde la carpeta compartida mediante elmodo de difusión de ThinApp. La cuenta que se usapara iniciar sesión en el sistema Windows cliente esla cuenta de usuario que se usa para ejecutar lospaquetes de la red compartida, y dicha cuenta debedisponer de los permisos necesarios para leer yejecutar los archivos de dicha red compartida.

Nota RUN_FROM_SHARE funciona mejor consistemas Windows que mantienen una conexiónconstante con la red compartida de los paquetes deThinApp. Los sistemas Windows que mejor seajustan a dicha descripción son los escritorios deView, porque están siempre conectados a sudominio. Los escritorios de View, flotantes o sinestado, usan preferentemente RUN_FROM_SHAREpara evitar el uso de recursos propio de la descargade paquetes en el sistema Windows.


VMware, Inc. 83

Tipo deacceso



De manera predeterminada, el modo de instalaciónCOPY_TO_LOCAL se establece como el modo deinstalación predeterminado al instalar la aplicaciónVMware Identity Manager Desktop en un sistemaWindows mediante la ejecución de la versión gráfica delprograma de instalación del cliente. Para establecer unmodo de instalación diferente como el modo deinstalación predeterminado de los paquetes, debeejecutar la instalación de cliente mediante la línea decomandos. Consulte Opciones del instalador de línea decomandos para el escritorio VMware Identity Manager.

Importante El modo HTTP_DOWNLOAD requiere quese pueda acceder a la URL de IDP desde la máquina deWindows del usuario. Los modos RUN_FROM_SHARE yCOPY_TO_LOCAL requieren que se pueda acceder alrecurso compartido de ThinApp desde la máquina deWindows del usuario.

Accesobasadoencuenta

Puede usar unaunidad compartidaCIFS o DFS de surepositorio depaquetes deThinApp cuandouse el accesobasado en cuenta.

Debe configurar VMware IdentityManager para usar una cuenta deusuario compartida y una contraseñapara obtener acceso a la redcompartida y a los paquetes.

La cuenta de usuario compartida y lacontraseña es cualquier combinaciónque disponga de acceso de lectura ala ruta UNC de la carpeta de redcompartida.

No tiene que unir VMware IdentityManager al dominio de ActiveDirectory para obtener acceso a lared compartida.

Nota En consola de administración,debe completar la página Unirse aldominio para poder usar la páginaPaquetes de ThinApp.

Nota El acceso basado en cuentaes obligatorio si utiliza la unidadcompartida NetApp.

El sistema Windows del usuario no tiene que unirse aldominio de Active Directory para que el usuario puedausar los paquetes de ThinApp para los que tieneautorización. No se requiere la autenticación deWindows.

El sistema Windows del usuario, VMware IdentityManager y el host de la red compartida con los paquetesde ThinApp no tienen que unirse al mismo dominio deActive Directory.

Con el acceso basado en cuenta configurado, sepermiten los modos de instalación siguientes para lospaquetes de ThinApp.

n Si el sistema Windows del usuario no se ha unido aldominio, el cliente debe usar el modo de instalaciónHTTP_DOWNLOAD para obtener la aplicaciónvirtualizada. Este modo de instalación secorresponde con usar el modo de descarga deThinApp para la aplicación virtualizada.

VMware Identity Manager usa la cuenta de usuariocompartida para recuperar los paquetes delrepositorio.

n Si el usuario une el sistema Windows al dominio, elcliente puede usar el modo de instalaciónCOPY_TO_LOCAL o RUN_FROM_SHARE paraejecutar los paquetes de ThinApp para los que elusuario tiene autorización. La cuenta que se usapara iniciar sesión en el sistema Windows cliente esla cuenta de usuario que se usa para obtener lospaquetes de la red compartida, y dicha cuenta debedisponer de los permisos necesarios sobre la redcompartida.


VMware, Inc. 84

Tipo deacceso



Si el sistema Windows del usuario puede unirse aldominio en algunos momentos y en otros no, puedeinstalar el cliente con el modo COPY_TO_LOCAL y laopción AUTO_TRY_HTTP habilitadas, siempre queVMware Identity Manager esté configurado para elacceso basado en cuenta.

Con esta configuración, el cliente intenta primero usar elmodo COPY_TO_LOCAL para descargar los paquetes.Si el sistema Windows no está unido al dominio en esemomento, fallará este intento de copiar los paquetes. Sinembargo, con la opción AUTO_TRY_HTTP habilitada, elcliente realiza inmediatamente un intento de usar HTTPpara descargar los paquetes. Esta combinación deCOPY_TO_LOCAL y AUTO_TRY_HTTP es lapredeterminada al instalar la aplicación VMware IdentityManager Desktop en un sistema Windows mediante laejecución de la versión gráfica del programa deinstalación del cliente.

VMware Identity Manager debe estar configurado para elacceso basado en cuenta para que el intento dedescargar los paquetes con el modoHTTP_DOWNLOAD se realice correctamente.

Importante El modo HTTP_DOWNLOAD requiere quese pueda acceder a la URL de IDP desde la máquina deWindows del usuario. Los modos RUN_FROM_SHARE yCOPY_TO_LOCAL requieren que se pueda acceder alrecurso compartido de ThinApp desde la máquina deWindows del usuario.

Además, el repositorio de paquetes de ThinApp debe cumplir los criterios siguientes de acuerdo con lasituación descrita.

n Cuando su configuración incluya sistemas que se unen al dominio de Active Directory, asegúrese deque un espacio de nombres de desunión no impida que los equipos que forman parte del dominioobtengan acceso a la red compartida que aloja los paquetes de ThinApp. Existe un espacio denombres de desunión cuando el nombre del dominio de Active Directory es diferente del espacio denombres DNS que administra el uso de dicho dominio.

n Es necesario configurar el archivo de la red compartida y los permisos de intercambio paraproporcionar acceso de lectura y la capacidad de ejecutar aplicaciones a aquellos usuarios quedesee que ejecuten las aplicaciones ThinApp mediante las opciones COPY_TO_LOCAL oRUN_FROM_SHARE.

Por ejemplo, en el caso de las cuentas de usuario de Active Directory de aquellos usuarios quedesee que ejecuten las aplicaciones ThinApp en el modo de difusión, configurar para la carpetacompartida un permiso de lectura y para NTFS un permiso de lectura y ejecución proporcionaacceso de lectura y la capacidad de ejecutar las aplicaciones a estos usuarios.


VMware, Inc. 85

Es necesario configurar un permiso de lectura y ejecución sobre NTFS para ejecutar una aplicaciónThinApp con el modo de difusión de ThinApp, que se corresponde con el modo de instalaciónRUN_FROM_SHARE de la aplicación VMware Identity Manager Desktop. Si su organizaciónrequiere que se establezca un permiso de lectura sobre NTFS, sus usuarios pueden usar el modode descarga de ThinApp para la aplicación virtualizada. El modo de descarga de ThinApp secorresponde con instalar el cliente Windows con el modo de instalación COPY_TO_LOCAL oHTTP_DOWNLOAD. Con cualquiera de estos modos de instalación, las aplicaciones se descarganen los sistemas Windows y se inician localmente.

Ambas redes compartidas CIFS y DFS deben tener los paquetes de ThinApp organizados ensubdirectorios individuales de un directorio del espacio de nombres, no en subdirectorios incluidos enel propio espacio de nombres, como \\server\appshare\thinapp1, \\server\appshare\thinapp2, etc. Consulte Crear una unidad de red compartida para los paquetes de ThinApp queadministra VMware Identity Manager.

Crear una unidad de red compartida para los paquetes deThinApp que administra VMware Identity ManagerSi desea habilitar las funcionalidades de administración de VMware ThinApp de VMware IdentityManager y conceder a los usuarios acceso a los paquetes de ThinApp del catálogo, debe crear unaunidad de red compartida y almacenar los paquetes de ThinApp en la carpeta de la unidad de redcompartida.

VMware Identity Manager obtiene los metadatos necesarios sobre los paquetes de ThinApp del recursocompartido de archivos de red.

Requisitos previos

n Compruebe que los paquetes de ThinApp cumplan los requisitos de VMware Identity Manager.

n Asegúrese de que tenga el acceso y los permisos adecuados para crear un recurso compartido dearchivos de red en el entorno de su IT que cumpla los requisitos de los paquetes de ThinApp deVMware Identity Manager.

Procedimiento

1 Cree una unidad de red compartida que cumpla los requisitos de los paquetes de ThinApp deVMware Identity Manager.


VMware, Inc. 86

2 En la unidad de red compartida, cree una subcarpeta de la unidad de red compartida para cadapaquete de ThinApp.

Normalmente, se pone un nombre a la subcarpeta que coincida con el de la aplicación de ThinApp oque indique qué aplicación contiene la carpeta. Por ejemplo, si la unidad compartida de red se llamaappshare en un host llamado server y la aplicación se llama abceditor, la subcarpeta del paquetede ThinApp es \\server\appshare\abceditor.

Nota Utilice solo caracteres ASCII al crear los nombres de subcarpetas de las unidadescompartidas de red para distribuir los paquetes de ThinApp mediante VMware Identity Manager. Nose admiten caracteres que no sean ASCII.

3 Para cada paquete de ThinApp, copie sus archivos (por ejemplo, los EXE y DAT) en la subcarpetacon el nombre de la aplicación virtualizada del paquete.

Después de copiar los archivos, tendrá un conjunto de subcarpetas y archivos similares a estosarchivos:

n \\server\appshare\abceditor\abceditor.exe

n \\server\appshare\abceditor\abceditor.dat

Pasos siguientes

Configure el acceso de VMware Identity Manager a los paquetes de ThinApp.

Configurar el acceso de VMware Identity Manager a paquetes deThinAppPara configurar VMware Identity Manager para proporcionar a los usuarios acceso a los paquetes deThinApp, cree una colección de aplicaciones virtuales que contenga información de configuración, comola ruta de acceso a la ubicación de almacenamiento de los paquetes, el conector que se utilizará para lasincronización y la programación de sincronización.

Solo puede crear una única colección de aplicaciones virtuales para todas las integraciones deThinApps.

Requisitos previos

n Cree una unidad de red compartida con la configuración adecuada y almacene los paquetes deThinApp en la ubicación adecuada de esta unidad. Consulte Crear una unidad de red compartidapara los paquetes de ThinApp que administra VMware Identity Manager.

n Asegúrese de tener la ruta UNC de la carpeta de la unidad de red compartida donde se ubican lospaquetes de ThinApp.

n Si el conector ya no está unido al dominio, asegúrese de tener el nombre de dominio de ActiveDirectory así como el nombre de usuario y la contraseña de una cuenta de ese Active Directory quetenga los derechos para unirse al dominio. Aunque utilice el acceso basado en cuenta, la consola deadministración requiere que se complete la página Unirse al domino antes de que pueda utilizar lapágina Paquetes de ThinApp.


VMware, Inc. 87

Para habilitar el acceso basado en dominio, debe unir a VMware Identity Manager al mismo dominiode Active Directory al que está unido el repositorio del paquete de ThinApp. Asegúrese de tener elnombre de dominio de Active Directory para el dominio que la unidad de red compartida utiliza y elnombre de usuario y la contraseña de una cuenta en ese Active Directory que tenga los derechospara unirse al dominio. La cuenta de Active Directory se utiliza para unir VMware Identity Manager aldominio.

n Al habilitar el acceso basado en cuenta, asegúrese de tener un nombre de usuario y una contraseñaque tengan permiso para leer la unidad de red compartida. Consulte Requisitos de VMware IdentityManager para paquetes de ThinApp y el repositorio de red compartida.

Nota A menos que desee restringir el uso de los paquetes de ThinApp a los sistemas de Windowsunidos a dominios en situaciones de tiempo de ejecución, debe habilitar el acceso basado en cuentay el acceso basado en dominio. Esta combinación proporciona una mayor flexibilidad para admitirsituaciones de tiempo de ejecución en las que los usuarios deben utilizar sus paquetes de ThinAppautorizados sin unir sus sistemas de Windows al dominio.

n En VMware Identity Manager 3.2, debe utilizar una función de administrador que pueda realizar laacción Administrar ThinApps en el servicio Catálogo.

Procedimiento

1 (Solo en el dispositivo virtual de Linux de VMware Identity Manager) Si el conector no se unió aldominio, únalo al dominio de Active Directory.

a Inicie sesión en la consola administrativa.

b Seleccione la pestaña Administración de acceso e identidad.

c Haga clic en Configurar.

d En la página Conectores, haga clic en Unirse al dominio en la fila de conectores adecuada.

e En la página Unirse al dominio, escriba la información del dominio de Active Directory y haga clicen Unirse al dominio.

Importante No utilice caracteres que no sean ASCII cuando introduzca el nombre de usuario yla contraseña de AD, así como el nombre de dominio de Active Directory (AD). Los caracteresque no sean ASCII no se admiten en estos campos de entrada de la consola de administración.


Dominio de AD Escriba el nombre de dominio plenamente cualificado de Active Directory. Porejemplo, HS.TRDOT.COM.

Nombre de usuario de AD Escriba el nombre de usuario de una cuenta de Active Directory que poseapermisos para unir sistemas a ese dominio de Active Directory.

Contraseña de AD Escriba la contraseña asociada al Nombre de usuario de AD. Esta contraseñano se almacena en VMware Identity Manager.


VMware, Inc. 88

La página Unirse al dominio se actualizará y se mostrará un mensaje que indica que está unido aldominio.


3 Haga clic en Agregar aplicaciones virtuales y seleccione la Aplicación ThinApp.



Si configuró varios conectores para alta disponibilidad, haga clic en Agregar conector y seleccionetodos los conectores que aparecen en la lista. El orden en el que se muestran los conectoresdetermina el orden de conmutación por error.

Importante Asegúrese de agregar todos los conectores. Cuando se inicia una aplicación con elmodo HTTP_DOWNLOAD, es posible que se envíe la solicitud a cualquiera de los conectores.

6 En el cuadro de texto Ruta, escriba la ruta de la carpeta compartida donde se ubican las carpetas delos paquetes de ThinApp con el formato de ruta UNC \\server\share\subfolder. Por ejemplo: \\DirectoryHost\ThinAppFileShare . Para DirectoryHost, proporcione el nombre de host y no ladirección IP.

Para las unidades de red compartidas CIFS y DFS, esta ruta debe incluir un directorio en el espaciode nombres y no el propio espacio de nombres.

7 Para habilitar el acceso basado en cuenta a los paquetes de ThinApp almacenados, active la casillade verificación e introduzca valores en los cuadros de texto Usuario de la unidad compartida yContraseña de la unidad compartida.

Se requiere acceso basado en cuenta en los casos siguientes:

n Para sistemas de almacenamiento NetApp y de otras marcas de recursos compartidos de redDFS

n Si está utilizando el modo de implementación de descarga HTTP

n Si desea que los usuarios puedan utilizar sus paquetes de ThinApp autorizados en los sistemasde Windows no unidos al dominio


Usuario de la unidad compartida Escriba el nombre de usuario de la cuenta que tiene acceso de lectura a la unidadde red compartida.

Contraseña de la unidad compartida Escriba la contraseña asociada a la cuenta de usuario de Usuario de la unidadcompartida.


VMware, Inc. 89


Puede configurar una programación de sincronización periódica o elegir sincronizar manualmente. Siselecciona Manual, debe hacer clic en Sincronizar en la página Configuración de aplicacionesvirtuales después de configurar la colección y cada vez que se realice un cambio en los paquetes deThinApp.

9 En la lista desplegable Tipo de activación, seleccione la manera en la que las aplicaciones depaquetes de ThinApp se deben poner a disposición de los usuarios en Workspace ONE.





Se crea la colección, que aparece en la página Aplicaciones virtuales. Las aplicaciones no sesincronizan aún.

11 Para sincronizar las aplicaciones en la colección, haga clic en Sincronizar junto a la colección en lapágina Configuración de aplicaciones virtuales.

Cada vez que las autorizaciones o las aplicaciones de ThinApp cambian, es necesario realizar unasincronización para propagar los cambios a VMware Identity Manager.

VMware Identity Manager está ahora configurado para que pueda autorizar a los usuarios y a los gruposa utilizar paquetes ThinApp y para que los usuarios puedan ejecutar sus paquetes de ThinAppautorizados con la aplicación de VMware Identity Manager Desktop instalada en sus sistemas deWindows.

Pasos siguientes

Autorice a los usuarios y a los grupos a utilizar paquetes de ThinApp. Para obtener más información,consulte Administración de VMware Identity Manager.

Autorización de usuarios y grupos para paquetes deThinAppPuede autorizar usuarios y grupos en aplicaciones Windows capturadas como paquetes de ThinApp.


VMware, Inc. 90

Solo puede autorizar usuarios de VMware Identity Manager, usuarios que se importaron desde suservidor del directorio, para que usen paquetes de ThinApp. Al autorizar un usuario para que use unpaquete de ThinApp, el usuario ve la aplicación y puede iniciarla desde la aplicación VMware IdentityManager Desktop de su sistema. Si elimina la autorización, el usuario no podrá verla ni iniciarla.

A menudo, la manera más eficaz de autorizar usuarios para que usen paquetes de ThinApp consiste enagregar una autorización de paquete de ThinApp a un grupo de usuarios. En algunas ocasiones, es másapropiado autorizar usuarios individuales para que usen un paquete de ThinApp.

Requisitos previos

Configure una colección de aplicaciones virtuales para los paquetes de ThinApp desde la páginaCatálogo > Aplicaciones virtuales > Configuración de aplicaciones virtuales. Después de crear lacolección, sincronice los paquetes de ThinApp con VMware Identity Manager. Al sincronizar paquetes deThinApp en su catálogo, puede autorizarlos para que los usen sus usuarios y grupos.

Procedimiento

1 Inicie sesión en consola de administración.


VMware, Inc. 91

2 Autorice usuarios para que usen un paquete de ThinApp.


Obtener acceso a un paquete deThinApp y autorizar usuarios ogrupos para que lo usen.


b Haga clic en Cualquier tipo de aplicación > Paquetes de ThinApp.

c Haga clic en el paquete de ThinApp para autorizar usuarios y grupos para quelo usen.

La pestaña Autorizaciones está seleccionada de forma predeterminada. Lasautorizaciones de grupo se muestran en una tabla, y las de usuario en otra.

d Haga clic en Agregar autorización de grupo o en Agregar autorización deusuario.

e Introduzca los nombres de los grupos o usuarios.

Para buscar usuarios o grupos, empiece a escribir una cadena de búsqueda ypermita que la función de autocompletar muestre las diferentes opciones.Puede hacer clic en la opción de explorar para ver toda la lista.

f En el menú desplegable, seleccione el método de activación del paquete deThinApp.

Con las opciones Activada por el usuario y Automática, los recursos seagregan a la página Catálogo. Los usuarios pueden usar los recursos desde lapágina Catálogo o moverlos a la página Marcadores. Sin embargo, paraconfigurar un flujo de aprobación para cualquiera de las aplicaciones, debeseleccionar Activada por el usuario para esa aplicación.

g Haga clic en Guardar.

Obtener acceso a un usuario o grupoy agregar autorizaciones de paquetede ThinApp a dicho usuario o grupo.





e Haga clic en Agregar autorización.

f En la lista desplegable Tipo de aplicación, seleccione Paquetes de ThinApptotales.

g Haga clic en las casillas situadas junto a los paquetes de ThinApp que deseaautorizar para que los usen el usuario o el grupo.

h En la columna IMPLEMENTACIÓN, seleccione el método de activación delpaquete de ThinApp.

Con las opciones Activada por el usuario y Automática, los recursos seagregan a la página Catálogo. Los usuarios pueden usar los recursos desde lapágina Catálogo o moverlos a la página Marcadores. Sin embargo, paraconfigurar un flujo de aprobación para cualquiera de las aplicaciones, debeseleccionar Activada por el usuario para esa aplicación.

i Haga clic en Guardar.

Los usuarios o grupos seleccionados están ahora autorizados para usa el paquete de ThinApp.

Pasos siguientes

Compruebe que la aplicación VMware Identity Manager Desktop esté instalada en los sistemas Windowsde los usuarios.


VMware, Inc. 92

Distribución y administración de los paquetes de ThinAppcon VMware Identity ManagerPara que sus usuarios de VMware Identity Manager puedan ejecutar los paquetes de ThinApp que tienenregistrados mediante VMware Identity Manager, dichos usuarios deben tener la aplicación VMwareIdentity Manager Desktop instalada y en ejecución en sus sistemas Windows.

Los paquetes de ThinApp son aplicaciones virtualizadas de Windows. Los paquetes de ThinApp sedistribuyen en sistemas Windows, y un usuario con la sesión iniciada en el sistema Windows puedeiniciar y ejecutar estos paquetes de ThinApp registrados en dicho sistema Windows. VMware IdentityManager puede distribuir y administrar paquetes de ThinApp que sean compatibles con VMware IdentityManager.

Para iniciar y ejecutar correctamente una de estas aplicaciones virtualizadas en la sesión de Windowsiniciada por el usuario, se requieren los elementos siguientes:

n El paquete de ThinApp de la aplicación virtualizada está registrado para que lo use dicho usuario conVMware Identity Manager.

n Existe una DLL concreta disponible en ese sistema Windows.

n El proceso hws-desktop-client.exe se encuentra en ejecución.

Cuando se crea un paquete de ThinApp compatible, se configura para cargar una DLL concreta cuandoun usuario inicia la aplicación virtualizada en la sesión Windows en la que la que ha iniciado sesión. Enese momento, la aplicación virtualizada intenta cargar la DLL. Cuando se carga la DLL, intenta verificarcon la aplicación VMware Identity Manager Desktop instalada localmente si el paquete de ThinApp estáregistrado en ese escritorio Windows para dicho usuario. La aplicación VMware Identity ManagerDesktop localmente instalada determina si la aplicación está registrada para dicho usuario sincomunicarse con VMware Identity Manager. Si la aplicación está registrada en ese escritorio Windowspara dicho usuario, la aplicación VMware Identity Manager Desktop comprueba cuándo se sincronizó porúltima vez con VMware Identity Manager. Si la aplicación VMware Identity Manager Desktop confirmaque el tiempo transcurrido desde la última sincronización se encuentra dentro del periodo de gracia sinconexión configurado para el cliente instalado, este último permite la ejecución de la aplicación.

Debido a que la DLL se encuentra disponible en el sistema Windows solo si la aplicación VMwareIdentity Manager Desktop está instalada, y debido a que el proceso hws-desktop-client.exe seencuentra en ejecución si la aplicación VMware Identity Manager Desktop se está ejecutando en dichosistema, se debe instalar la aplicación VMware Identity Manager Desktop en el sistema Windows paraejecutar los paquetes de ThinApp que VMware Identity Manager distribuye y administra.


VMware, Inc. 93

Implementación de la aplicación VMware Identity ManagerDesktop para usar paquetes de ThinAppLa aplicación VMware Identity Manager Desktop se puede instalar haciendo doble clic en su archivo EXEde instalación, ejecutando el archivo ejecutable mediante las opciones de la línea de comandos, oejecutando un script que use las opciones de la línea de comandos. Los privilegios del administradorlocal son obligatorios para instalar la aplicación. Para obtener información sobre la instalación de laaplicación VMware Identity Manager Desktop haciendo doble clic en su archivo EXE de instalación,consulte la Guía de usuario de VMware Identity Manager.

La configuración de la aplicación instalada determina cómo se implementa en dicho sistema Windows unpaquete de ThinApp distribuido mediante VMware Identity Manager. De manera predeterminada, cuandose instala la aplicación VMware Identity Manager Desktop haciendo doble clic en su archivo EXE deinstalación, el cliente se configura para implementar paquetes de ThinApp mediante el modo deimplementación COPY_TO_LOCAL, con la opción AUTO_TRY_HTTP habilitada. Estas opcionespredeterminadas del programa de instalación constituyen lo que se conoce como un modo deimplementación de descarga. Con la configuración predeterminada de COPY_TO_LOCAL yAUTO_TRY_HTTP, la aplicación cliente intenta primero descargar los paquetes de ThinApp copiándolosen el terminal del sistema Windows y, si falla el primer intento, la aplicación cliente intenta descargar lospaquetes de ThinApp mediante HTTP.

Si VMware Identity Manager está configurado con un acceso basado en cuenta a su repositorio deThinApp, la aplicación cliente puede descargar los paquetes de ThinApp mediante HTTP. Una vezdescargados los paquetes de ThinApp en el sistema Windows local, el usuario ejecuta las aplicacionesvirtualizadas en el sistema local.

Para evitar que se descarguen las aplicaciones virtualizadas en el sistema Windows local y que se utiliceespacio del sistema Windows, puede hacer que los usuarios ejecuten los paquetes de ThinApp desde lared compartida mediante lo que se conoce como un modo de implementación por difusión. Para que losusuarios ejecuten los paquetes de ThinApp mediante el modo de difusión, debe instalar la aplicaciónVMware Identity Manager Desktop en el sistema Windows mediante un proceso de instalación de líneade comandos. El programa de instalación incluye opciones de línea de comandos que puede usar paraestablecer el modo de implementación en tiempo de ejecución de los paquetes de ThinApp. Paraestablecer el modo de implementación en tiempo de ejecución para difundir los paquetes de ThinApp,use la opción RUN_FROM_SHARE del programa de instalación.

Un método para instalar la aplicación VMware Identity Manager Desktop en varios sistemas Windowsconsiste en usar un script para instalar en segundo plano la aplicación en sistemas Windows. Puedeinstalar en segundo plano el cliente en varios sistemas Windows de forma simultánea.

Nota Una instalación en segundo plano no muestra mensajes ni ventanas durante el proceso deinstalación.

Se establece un valor en el script para indicar si los clientes instalados mediante dicho scriptimplementan paquetes de ThinApp mediante el modo de difusión de ThinApp, la opciónRUN_FROM_SHARE, o uno de los modos de descarga de ThinApp, como la opción COPY_TO_LOCALo HTTP_DOWNLOAD.


VMware, Inc. 94

Establecimiento del modo de implementación adecuado de lospaquetes de ThinApp en terminales WindowsLa configuración de la aplicación de VMware Identity Manager Desktop en el terminal Windowsdetermina si un paquete de ThinApp que se distribuye con VMware Identity Manager se estáimplementando con el modo de streaming de ThinApp (RUN_FROM_SHARE) o con uno de los modosde descarga de ThinApp (COPY_TO_LOCAL o HTTP_DOWNLOAD). Al crear el script para instalar ensegundo plano la aplicación VMware Identity Manager Desktop en terminales Windows, como equipos deescritorio y portátiles, se establecen las opciones que definen el modo de implementación de paquetesde ThinApp. Seleccione el modo de implementación que mejor se ajuste al entorno de la red de losterminales seleccionados teniendo en cuenta detalles como la latencia de la red.

En el modo de difusión, cuando la aplicación VMware Identity Manager Desktop se sincroniza conVMware Identity Manager, el cliente descarga accesos directos de las aplicaciones correspondientes alas aplicaciones Windows virtualizadas de los paquetes de ThinApp en el escritorio de Windows y,cuando el usuario inicia los paquetes de ThinApp, las aplicaciones Windows virtualizadas se ejecutandesde la unidad compartida de archivos en la que se encuentren los paquetes de ThinApp.

Por tanto el modo de difusión es adecuado para los sistemas que están siempre conectados a la redcompartida, como escritorios de View.

En el modo de descarga, la primera vez que se usa o actualiza un paquete de ThinApp, el usuario debeesperar a que el paquete de ThinApp se descargue primero en el sistema Windows y a que se creen losaccesos directos. Después de la descarga inicial, el usuario inicia y ejecuta la aplicación Windowsvirtualizada en el sistema Windows local.

Importante En el caso de escritorios View no persistentes, denominados también escritorios Viewflotantes o sin estado, se recomienda configurar el cliente para que use el modo de difusión de ThinAppmediante la opción /v INSTALL_MODE=RUN_FROM_SHARE del instalador de línea de comandos al instalar elcliente. La opción RUN_FROM_SHARE proporciona la mejor experiencia en tiempo de ejecución a lahora de usar paquetes de ThinApp en escritorios View flotantes. Consulte Opciones del instalador delínea de comandos para el escritorio VMware Identity Manager.

Importante El modo HTTP_DOWNLOAD requiere que se pueda acceder a la URL de IDP desde lamáquina de Windows del usuario. Los modos RUN_FROM_SHARE y COPY_TO_LOCAL requieren quese pueda acceder al recurso compartido de ThinApp desde la máquina de Windows del usuario.


VMware, Inc. 95

Tabla 6-1. Modo de implementación de ThinApp para aplicaciones virtualizadas capturadascomo paquetes de ThinApp

Modo Descripción

Modo de difusión deThinApp

En el modo de difusión de ThinApp, las aplicaciones virtualizadas se difunden cada vez que se inician.Este método evita que se use el espacio en el disco del escritorio que se usaría al copiar lasaplicaciones virtualizadas en el escritorio. El escritorio se debe conectar a la red compartida de lospaquetes de ThinApp para que se ejecuten las aplicaciones.

Los entornos siguientes pueden proporcionar la consistencia y estabilidad necesarias:

n Escritorios View, sin estado o persistentes, con una conectividad excelente a la unidad compartidade archivos en la que se encuentran los paquetes de ThinApp.

n Usuarios con escritorios Windows que no son escritorios View, compartidos por varios usuarios.Esta situación evita la acumulación en el disco de aplicaciones descargadas específicas delusuario y proporciona también un acceso rápido a las aplicaciones sin que se produzcan retrasosdebido a descargas específicas de un usuario.

La cuenta que usa el usuario para iniciar sesión en el sistema Windows se usa para obtener lospaquetes de ThinApp de la red compartida. Dicha cuenta debe disponer de los permisos necesariossobre la red compartida para leer y ejecutar archivos en ella.

modo de descarga deThinApp

En el modo de descarga de ThinApp, las aplicaciones se descargan en el terminal Windows. Elusuario ejecuta localmente la aplicación virtualizada en el terminal. Es posible que prefiera usar elmodo de descarga de ThinApp en las situaciones siguientes:

n Escritorios View persistentes

n Escritorios conectados mediante LAN que están sin conexión de forma periódica

n Una red LAN con una latencia deficiente

VMware Identity Manager ofrece dos modos de descarga de ThinApp: COPY_TO_LOCAL yHTTP_DOWNLOAD. Si el cliente está configurado para usar COPY_TO_LOCAL, el terminal Windowsse debe unir al mismo dominio que la unidad compartida de archivos, a menos que la opciónAUTO_TRY_HTTP esté habilitada y se haya configurado VMware Identity Manager con el accesobasado en cuenta a la red compartida de los paquetes de ThinApp.

Cuando la opción AUTO_TRY_HTTP está habilitada y se ha configurado VMware Identity Managercon el acceso basado en cuenta, si el terminal Windows no está unido al mismo dominio y falla elprimer intento de descargar los paquetes de ThinApp, la aplicación VMware Identity Manager Desktopintentará automáticamente descargar los paquetes de ThinApp mediante el protocolo HTTP como enel modo HTTP_DOWNLOAD. Con HTTP_DOWNLOAD, el terminal Windows tiene que estar unido almismo dominio que la unidad compartida de archivos. Sin embargo, cuando se usaHTTP_DOWNLOAD, los tiempos de copia y sincronización son significativamente mayores quecuando se usa COPY_TO_LOCAL.

Importante Si VMware Identity Manager no está habilitado para usar el acceso basado en cuenta, nofuncionará la descarga mediante el protocolo HTTP, aunque se haya habilitado AUTO_TRY_HTTP ose haya configurado el cliente con la opción HTTP_DOWNLOAD.

Cuando se usa COPY_TO_LOCAL, la cuenta que usa el usuario para iniciar sesión en el sistemaWindows se usa para obtener los paquetes de ThinApp de la red compartida. Dicha cuenta debedisponer de los permisos necesarios sobre la red compartida para leer y copiar archivos en ella.Cuando se usa HTTP_DOWNLOAD, la cuenta de usuario compartida que introduzca en la consola deadministración al configurar el acceso desde el VMware Identity Manager a la red compartida de lospaquetes de ThinApp será la cuenta que se use para descargar los paquetes de ThinApp. Dichacuenta de usuario compartida deberá disponer de permisos de lectura sobre la red compartida de lospaquetes de ThinApp para poder copiar los archivos desde la red compartida.


VMware, Inc. 96

La red compartida de los paquetes de ThinApp deberá cumplir los requisitos necesarios del modo deimplementación establecido para los terminales Windows. Consulte Instalación y configuración deVMware Identity Manager.

Período de gracia sin conexión y paquetes de ThinAppEl período de gracia sin conexión es el período de tiempo durante el que se permite el inicio y laejecución de una aplicación en un sistema Windows sin sincronizar con VMware Identity Manager.

Los paquetes de ThinApp son aplicaciones de Windows virtualizadas, y VMware Identity Manager puededistribuir estas aplicaciones a sistemas Windows. Cuando VMware Identity Manager distribuye unpaquete de ThinApp a un sistema Windows por primera vez para el usuario que inició la sesión en esesistema, las aplicaciones virtualizadas del paquete se registran en ese sistema Windows para su uso porparte de ese usuario. Se agregan al escritorio de Windows los accesos directos correspondientes y elusuario puede iniciar las aplicaciones virtualizadas mediante los accesos directos, al igual que hace conlas aplicaciones estándar de Windows instaladas en ese sistema.

Cuando un usuario inicia una de las aplicaciones virtualizadas implementadas en el sistema Windowspor VMware Identity Manager, el paquete de ThinApp solicita permiso para su ejecución desde el agentede ThinApp que se ejecuta en el sistema. El agente de ThinApp verifica si se dan las siguientescondiciones.

n Verifica si la aplicación está registrada en este escritorio Windows para el usuario que inició lasesión.

n Verifica si el sistema Windows sincronizó con VMware Identity Manager dentro del período de graciasin conexión permitido.

Si se cumplen ambas condiciones, el agente de ThinApp permite la ejecución de la aplicación virtualizada.

La frecuencia con que la aplicación VMware Identity Manager Desktop sincroniza con VMware IdentityManager se establece mediante la opción del instalador POLLINGINTERVAL. La frecuenciapredeterminada es cada 5 minutos. El período de gracia predeterminado es 30 días. Si un sistemaWindows tuvo conexión de red para conectar con VMware Identity Manager en algún momento dentro deun período de 30 días, la aplicación puede sincronizar con VMware Identity Manager y se puedenejecutar las aplicaciones virtualizadas.

Sin embargo, si el sistema Windows no tiene conexión a la red para conectar con VMware IdentityManager, la aplicación no puede sincronizar con VMware Identity Manager. Las aplicacionesvirtualizadas registradas en ese sistema Windows se pueden ejecutar en el sistema desconectadodurante el tiempo establecido como período de gracia sin conexión.

Actualizar paquetes de ThinApp administrados despuésde la implementación en VMware Identity ManagerDespués de agregar un paquete de ThinApp al catálogo de la organización y de autorizar a los usuariosde VMware Identity Manager a utilizar ese paquete de ThinApp, es posible que la organización quiera


VMware, Inc. 97

actualizar ese paquete y que los usuarios utilicen una versión nueva o recompilada del paquete deThinApp, sin necesidad de desautorizar a los usuarios para el paquete actual y autorizarlos para elnuevo.

Puede que haya disponible un paquete de ThinApp actualizado porque se publique una versión másreciente de la aplicación de Windows para ese paquete, o porque el empaquetador de la aplicacióncambie los valores de los parámetros utilizados por el paquete.

Las versiones de ThinApp 4.7.2 y posteriores proporcionan un mecanismo de actualización para lospaquetes de ThinApp utilizados en VMware Identity Manager. Este mecanismo de actualización deThinApp es distinto a otros mecanismos de actualización de ThinApp que se utilizan fuera del entorno deVMware Identity Manager. Para poder implementar el paquete actualizado en VMware Identity Managery que los usuarios vean automáticamente la versión más reciente, el paquete de ThinApp actualizado sedebe haber actualizado mediante este mecanismo.

En el caso de los paquetes de ThinApp administrados en VMware Identity Manager, VMware IdentityManager utiliza dos parámetros del archivo Package.ini para determinar si un paquete es una versiónactualizada de otro.

AppID El identificador único del paquete de ThinApp en VMware Identity Manager.A todos los puntos de entrada (ejecutables) de la aplicación del paquete seles asigna el mismo AppID. Después de sincronizar un paquete deThinApp con el catálogo de VMware Identity Manager de la organización,el paquete AppID se muestra en la columna GUID de la página de recursosdel paquete de ThinApp. Este valor está formado por caracteresalfanuméricos en un patrón de conjuntos de caracteres, con cada conjuntoestá separado por guiones, como en el ejemplo siguiente:

XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX

VMware Identity Manager considera que todos los paquetes de ThinAppcon el mismo AppID son versiones de la misma aplicación.

VersionID El número del versión del paquete de ThinApp. VMware Identity Managerutiliza el VersionID para realizar un seguimiento de las distintas versionesdel paquete de ThinApp administrado. Para marcar el paquete de ThinAppcomo una actualización de otro paquete, se incrementa en uno (1) el valorde VersionID, conservando el mismo AppID.

El paquete actualizado se coloca en una nueva carpeta dentro de la carpeta compartida de redconfigurada para los paquetes de ThinApp administrados. Consulte Instalar y configurar VMware IdentityManager. Cuando VMware Identity Manager realiza la sincronización programada con la carpeta de launidad de red compartida y detecta una aplicación con el mismo valor de AppID que otra aplicación,compara los valores de VersionID. El paquete de ThinApp con el valor VersionID mayor se utilizará


VMware, Inc. 98

como la actualización más reciente. VMware Identity Manager incorpora automáticamente lasautorizaciones del usuario previas al paquete de ThinApp con el valor VersionID mayor y sesincronizarán los accesos directos de los sistemas de los usuarios para que dirijan al paqueteactualizado.

Importante El parámetro InventoryName estándar de ThinApp es importante para actualizarcorrectamente los paquetes de ThinApp administrados. Tanto el paquete de ThinApp anterior como elactualizado deben tener el mismo valor en el parámetro InventoryName. Si la persona que crea elpaquete de ThinApp cambia el valor del parámetro InventoryName en un paquete y, a continuación,crea un paquete actualizado, se debe asegurar que los valores de InventoryName coincidan para quelas actualizaciones funcionen correctamente en VMware Identity Manager.

Para obtener información detallada sobre los diversos parámetros utilizados en el archivo Package.ini delpaquete de ThinApp, consulte la guía de referencia de los parámetros del archivo Package.ini deThinApp.

Actualizar un paquete de ThinApp administradoPara actualizar un paquete de ThinApp que ya está administrado por VMware Identity Manager y seencuentra en el catálogo de la organización se requieren varios pasos. Puede que otro equipo de laorganización le proporcione el paquete de ThinApp actualizado. Para asegurar que VMware IdentityManager pueda utilizar automáticamente el paquete actualizado en lugar del existente para los usuariosautorizados, se debe asegurar que el paquete actualizado se haya creado utilizando el mismo AppID queel paquete actual, que tenga un valor de VersionID superior al del existente y que esté habilitada suadministración por VMware Identity Manager.

Requisitos previos

Verifique que dispone de acceso a la ubicación en la que residen los paquetes de ThinApp y que puedecrear subcarpetas en esa ubicación.

Pasos siguientes

El catálogo de VMware Identity Manager muestra la nueva versión del paquete de ThinApp actualizadodespués de la siguiente sincronización de paquetes de ThinApp. Si quiere que la nueva versión se reflejeen la página de recursos del paquete de ThinApp, puede sincronizar manualmente mediante la páginaAplicaciones en paquetes - ThinApp de las consola de administración.

Obtener los valores de AppID y de VersionID de un paquete de ThinAppadministradoPara asegurarse de que VMware Identity Manager utiliza automáticamente el paquete de ThinAppactualizado en lugar del actual, debe crear el paquete de ThinApp actualizado con el AppID del paquetede ThinApp administrado actualmente y un valor de VersionID mayor que la versión actual.


VMware, Inc. 99

Cuando el proceso de Setup Capture se utiliza para crear un paquete de ThinApp actualizado, elprograma Setup Capture recupera automáticamente el valor de AppID de los archivos ejecutables delpaquete de ThinApp existente y el valor de VersionID se incrementa automáticamente. Sin embargo, lapersona que está creando el paquete de ThinApp actualizado puede utilizar un método diferente paracrear el paquete actualizado. Cuando no se utiliza el proceso de Setup Capture para crear el paquete deThinApp actualizado, la persona que cree el paquete debe obtener los valores de AppID y de VersionIDdel paquete de ThinApp administrado actualmente por VMware Identity Manager. Los valores de AppID yde VersionID se muestran en páginas de la página de recursos del paquete de ThinApp de la consolade administración.

Procedimiento


2 Haga clic en Cualquier tipo de aplicación > Paquetes de ThinApp.

3 Haga clic en el paquete de ThinApp para abrir su página de recursos.

4 Haga clic en Detalles.

5 Anote el valor indicado en el campo de la Versión de la página Detalles.

6 Haga clic en Paquete de ThinApp para mostrar la página Paquete de ThinApp.

7 Anote el valor de AppID que aparece en la columna GUID.

El valor indicado en la columna GUID es el valor que VMware Identity Manager utiliza para identificareste paquete de ThinApp.

Pasos siguientes

La persona que esté creando el paquete de ThinApp actualizado debe seguir los pasos de Crear elpaquete de ThinApp actualizado.

Crear el paquete de ThinApp actualizadoLos valores AppID y VersionID del paquete de ThinApp administrado actualmente se utilizan para crearel paquete actualizado. El paquete actualizado utiliza el mismo valor AppID y un valor VersionID mayor.

En ocasiones, otro equipo de su organización le proporcionará el paquete de ThinApp actualizado. Elcreador del paquete de ThinApp actualizado puede utilizar uno de los métodos descritos.

Requisitos previos

Asegúrese de que tiene los valores AppID y VersionID del paquete ThinApp actual. Para ello, realice lospasos de Obtener los valores de AppID y de VersionID de un paquete de ThinApp administrado.

Asegúrese de que tiene una versión del programa de ThinApp compatible con su versión de VMwareIdentity Manager. Para obtener información sobre versiones de ThinApp concretas, consulte las enmatrices de interoperabilidad de productos VMware en la página http://www.vmware.com/resources/compatibility/sim/interop_matrix.php.


VMware, Inc. 100

Procedimiento

u Utilice una versión del programa de ThinApp que sea compatible con VMware Identity Manager ycree el paquete de ThinApp actualizado con uno de los métodos disponibles.


Vuelva a realizar el proceso decaptura con Setup Capture.

Utilice este método cuando la carpeta del proyecto del paquete de ThinAppexistente que administra VMware Identity Manager no esté disponible. Para crearun paquete actualizado con Setup Capture, necesita los siguientes elementos:

n Los archivos ejecutables de la aplicación del paquete de ThinApp existente

n El instalador de aplicaciones

n Setup Capture y el programa de ThinApp con una versión compatible conVMware Identity Manager.

Durante el proceso de captura, seleccione la opción para administrar el paquetecon VMware Identity Manager y la opción para confirmar que es una actualizaciónde un paquete de ThinApp base. Acceda a la carpeta que contiene los archivosejecutables del paquete de ThinApp administrado actualmente. Señale la carpeta yno los archivos ejecutables específicos.

Con este método, no necesita obtener los valores de AppID ni de VersionIDantes de crear el paquete actualizado. Después de designar el paquete como unaactualización e indicar la versión anterior en Setup Capture, el proceso de capturalee el valor de AppID del paquete anterior y lo vuelve a utilizar para el paqueteactualizado. Asimismo, el proceso proporciona un valor de VersionID mayor parael paquete actualizado y asigna el mismo valor de InventoryName.

Actualice el archivo Package.inimanualmente y, a continuación,vuelva a crear el paquete.

Utilice este método cuando no disponga del instalador de aplicaciones en elproceso de recaptura o cuando deba actualizar el paquete a una nueva versión deThinApp y desee actualizar más paquetes de los que el comando relink puedegestionar. Al volver a crear un paquete se introducen nuevos cambios en elregistro y en el sistema del archivo que vienen en una versión de ThinApp. Por lotanto, al crear el paquete de nuevo se incluirán esos cambios (por ejemplo, cuandola nueva versión de ThinApp proporciona un nuevo parámetro Package-ini quedesea establecer).

Para marcar el nuevo paquete como una actualización, edite los siguientesparámetros de VMware Identity Manager en la sección [Build Options] delarchivo Package.ini:

n Establezca el parámetro AppID para que coincida con el valor AppID de laaplicación de ThinApp administrada actualmente. No puede volver a utilizar elvalor de genid para AppID porque entonces se generaría un nuevo valorAppID para el paquete actualizado y VMware Identity Manager no reconoceríael nuevo paquete como una actualización del ya existente.

n Aumente el valor del parámetro VersionID a un número entero mayor que elpaquete de ThinApp administrado actualmente. Si no hay un parámetroVersionID establecido para el paquete administrado actualmente, su valorserá 1 de forma predeterminada y agregará una línea para el parámetroVersionID al archivo Package.ini y lo establecerá en un valor de 2 (VersionID= 2).

n Compruebe que el valor del parámetro InventoryName coincide con el valorInventoryName del paquete administrado actualmente. Los valoresInventoryName del paquete actual y del actualizado deben ser idénticos.

Utilice el comando relink -h con lasopciones AppID y VersionID.

Utilice este método en una de las siguientes situaciones:

n No dispone de la carpeta del proyecto de la aplicación.


VMware, Inc. 101


n Ya capturó, creó y probó el paquete fuera de un entorno de VMware IdentityManager, y los pasos que quedan por realizar son habilitar el paqueteactualizado para VMware Identity Manager y colocarlo en la unidad de redcompartida que utiliza VMware Identity Manager.

n Solo está actualizando el paquete para actualizar el tiempo de ejecución deThinApp del paquete para incorporar correcciones de error de esa nuevaversión de ThinApp.

Por ejemplo, si cambió el directorio del proyecto (incluido el archivo Package.ini)por una aplicación virtual, volvió a crear el paquete y lo probó, es posible que elentorno de prueba no fuese VMware Identity Manager. La última fase de laactualización de la aplicación es habilitarla para VMware Identity Manager. Acontinuación, lo más sencillo es utilizar el comando relink -h en lugar de volvera capturar o crear el paquete.

Nota El tiempo de ejecución de ThinApp siempre se actualiza cuando ejecuta elcomando relink -h en un paquete de ThinApp.

Puede ejecutar el comando relink desde el directorio de los archivos de programade ThinApp para obtener ayuda sobre la sintaxis de los comandos.

Cuando el paquete de ThinApp existente esté habilitado para que VMware IdentityManager lo utilice, puede ejecutar el siguiente comando para volver a utilizar elAppID existente del paquete y aumentar el VersionID:

relink -h -VersionID + executable-folder/*.*

La carpeta executable-folder contiene los archivos ejecutables del paquete deThinApp que desea actualizar.

Importante Cuando utiliza el comando relink, no puede dirigirlo directamente ala carpeta de los archivos ejecutables del paquete en la unidad de red compartidade los paquetes de ThinApp en el entorno de VMware Identity Manager. Elcomando convierte los archivos ejecutables anteriores en archivos BAK cuandoactualiza el tiempo de ejecución de ThinApp, así como también escribe los nuevosarchivos y los BAK en la carpeta. Como la unidad de red compartida no suelepermitir que se escriba en ella, debe dirigir el comando relink a una copia de lacarpeta de los archivos ejecutables.

En el artículo de la Base de conocimiento de VMware que se encuentra en estapágina http://kb.vmware.com/kb/2021928 se detallan otros casos prácticos delcomando relink (por ejemplo, habilitar un paquete de ThinApp para que se utiliceen VMware Identity Manager).

Tendrá un conjunto de archivos (EXE y, de forma opcional, DAT) del paquete de ThinApp actualizado.

Pasos siguientes

Copie los archivos en una nueva subcarpeta de la unidad de red compartida. Para ello, siga los pasos deCopiar un paquete de ThinApp actualizado en la unidad de red compartida.

Copiar un paquete de ThinApp actualizado en la unidad de red compartidaDespués de crear el paquete de ThinApp actualizado, debe copiar los archivos adecuados en unasubcarpeta nueva en el mismo nivel que la subcarpeta existente de la unidad de red compartida.


VMware, Inc. 102

Requisitos previos

Asegúrese de que tiene los archivos del paquete de ThinApp actualizado que se obtienen al completarlos pasos de Crear el paquete de ThinApp actualizado y al aumentar el valor VersionID.

Asegúrese de que tiene acceso a la unidad de red compartida y de que puede crear subcarpetas y copiararchivos en ella.

Procedimiento

1 En la carpeta de la unidad de red, cree una subcarpeta nueva para el paquete de ThinAppactualizado.

Conserve la subcarpeta existente para el paquete de ThinApp que está actualizando y no modifiquesu contenido.

Después de realizar la siguiente sincronización programada, VMware Identity Manager ignora elpaquete anterior cuando reconoce que el nuevo paquete tiene el mismo valor AppID y un valor deVersionID mayor.

Normalmente, se pone un nombre a la subcarpeta que coincida con el de la aplicación de ThinApp oque indique qué aplicación contiene la carpeta. Por ejemplo, si la unidad compartida de red se llamaappshare en un host llamado server y la aplicación se llama abceditor, la subcarpeta del paquetede ThinApp es \\server\appshare\abceditor.

Nota Utilice solo caracteres ASCII al crear los nombres de subcarpetas de las unidadescompartidas de red para distribuir los paquetes de ThinApp mediante VMware Identity Manager. Nose admiten caracteres que no sean ASCII.

2 Copie los archivos EXE y DAT del paquete de ThinApp actualizado en la nueva subcarpeta.los

3 (opcional) Si no desea esperar a la siguiente sincronización programada, puede sincronizarmanualmente VMware Identity Manager con la unidad de red compartida utilizando la páginaAplicaciones en paquetes - ThinApp de las consola de administración.

Cuando VMware Identity Manager realiza la sincronización programada con la carpeta de la unidadde red compartida y detecta una aplicación con el mismo valor de AppID que otra aplicación,compara los valores de VersionID. El paquete de ThinApp con el valor VersionID mayor seutilizará como la actualización más reciente. VMware Identity Manager incorpora automáticamentelas autorizaciones del usuario previas al paquete de ThinApp con el valor VersionID mayor y sesincronizarán los accesos directos de los sistemas de los usuarios para que dirijan al paqueteactualizado.

Eliminar paquetes de ThinApp de VMware IdentityManagerPuede eliminar permanentemente un paquete de ThinApp de VMware Identity Manager.


VMware, Inc. 103

Si elimina un paquete de ThinApp de VMware Identity Manager, lo eliminará permanentemente. Ya nopodrá autorizar usuarios para el paquete de ThinApp a menos que lo vuelva a añadir a VMware IdentityManager.

Procedimiento

1 Elimine la subcarpeta del paquete de ThinApp del recurso compartido de archivos de red al que estáconectado el repositorio del paquete de ThinApp VMware Identity Manager.

2 Elimine la aplicación de VMware Identity Manager.

a Inicie sesión en consola de administración.

b Haga clic en la pestaña Catálogo > Aplicaciones virtuales.

c Haga clic en Cualquier tipo de aplicación > Paquetes de ThinApp.

d Busque el paquete de ThinApp que desea eliminar.

e Haga clic en el nombre del paquete de ThinApp para mostrar su página de recursos.

f Haga clic en Eliminar, lea el mensaje y, si está de acuerdo, haga clic en Sí.

El paquete de ThinApp no existe en su VMware Identity Manager catálogo.

Convertir los paquetes existentes de ThinApp para quesean compatibles con VMware Identity ManagerEs posible convertir un paquete de ThinApp que no sea compatible con VMware Identity Manager en unoque VMware Identity Manager pueda distribuir y administrar. Puede utilizar uno de los siguientesmétodos: utilizar el comando relink de ThinApp 4.7.2, reconstruir el paquete de archivos de su proyectode ThinApp después de editar el archivo Package.ini del proyecto para añadir los parámetrosnecesarios de VMware Identity Manager, o volver a capturar la aplicación de Windows con laconfiguración adecuada de VMware Identity Manager seleccionada en el programa ThinApp SetupCapture.

Nota Un paquete de ThinApp que sea compatible con VMware Identity Manager solo puede usarsepara una implementación de VMware Identity Manager. Solo los usuarios de VMware Identity Managerque tienen instalada la aplicación VMware Identity Manager Desktop pueden iniciar y ejecutar estospaquetes habilitados. En el tiempo de ejecución, el paquete de ThinApp carga una DLL con un nombreespecífico asignado y la utiliza para verificar la autorización del usuario con VMware Identity Manager.Debido a que el archivo DLL se instala con la aplicación VMware Identity Manager Desktop, dichospaquetes solo pueden ejecutarse en los sistemas de Windows en los que esté instalada la aplicaciónVMware Identity Manager Desktop.

Requisitos previos

Verifique que tenga acceso a los elementos necesarios para el método seleccionado.

n Si usa el comando relink, verifique que tenga los archivos ejecutables para el paquete de ThinAppque esté convirtiendo y la aplicación relink.exe de ThinApp 4.7.2.


VMware, Inc. 104

n Si actualiza el archivo Package.ini del proyecto de ThinApp y reconstruye el paquete, verifique quetenga los archivos de proyecto necesarios para que el programa de ThinApp 4.7.2 pueda volver agenerar el paquete.

n Si vuelve a capturar la aplicación de Windows, verifique que tenga el programa Setup Capture deThinApp 4.7.2, el instalador de aplicaciones y otros elementos que el programa necesita para volvera capturar la aplicación. Consulte la Guía de usuario de ThinApp para obtener más información.

Asegúrese de que tenga acceso a la unidad de red compartida de ThinApp utilizada por VMware IdentityManager y de que pueda crear subcarpetas y copiar archivos en ella.


VMware, Inc. 105

Procedimiento

u Utilice una versión del programa de ThinApp que sea compatible con VMware Identity Manager ycree un paquete de ThinApp compatible mediante uno de los métodos disponibles.


Use el comando relink -h. El método más sencillo es usar el comando relink -h . Debe usar el programarelink.exe de ThinApp 4.7.2 o una versión posterior. Utilice este método en una delas siguientes situaciones:

n No puede reconstruir el paquete de archivos debido a que no tiene la carpetadel proyecto.

n Si vuelve a capturar la aplicación con Setup Capture, la operación tardaríademasiado tiempo.

n No dispone del instalador de aplicaciones necesario para volver a capturar laaplicación con Setup Capture.

Nota El tiempo de ejecución de ThinApp siempre se actualiza cuando ejecuta elcomando relink -h en un paquete de ThinApp.

Puede ejecutar el comando relink desde el directorio de los archivos de programade ThinApp para obtener ayuda sobre la sintaxis de los comandos.

Para crear un paquete compatible, utilice la sintaxis básica del comando:

relink -hexecutable-folder/*.*

En este comando, executable-folder es la carpeta que contiene los archivosejecutables del paquete de ThinApp que desea actualizar.

Importante Cuando utiliza el comando relink, no puede dirigirlo directamente ala carpeta de los archivos ejecutables del paquete en la unidad de red compartidade los paquetes de ThinApp en el entorno de VMware Identity Manager. Elcomando convierte los archivos ejecutables anteriores en archivos BAK cuandoactualiza el tiempo de ejecución de ThinApp, así como también escribe los nuevosarchivos y los BAK en la carpeta. Como la unidad de red compartida no suelepermitir que se escriba en ella, debe dirigir el comando relink a una copia de lacarpeta de los archivos ejecutables.

En el artículo de la base de conocimientos de VMware disponible en http://kb.vmware.com/kb/2021928, se incluyen otros casos de uso del comando relink.

Actualice el archivo Package.ini deforma manual con los parámetrosnecesarios y, a continuación,reconstruya el paquete.

Utilice este método cuando no tenga el instalador de aplicaciones necesario paravolver a capturar la aplicación, si desea evitar la configuración inicial necesariapara volver a capturar la aplicación, o cuando desee incorporar más funciones deuna versión más reciente de ThinApp de las que proporcionaría el comandorelink. Al volver a crear un paquete se introducen nuevos cambios en el registroy en el sistema del archivo que vienen en una versión de ThinApp. Por lo tanto, alcrear el paquete de nuevo se incluirán esos cambios (por ejemplo, cuando lanueva versión de ThinApp proporciona un nuevo parámetro Package-ini que deseaestablecer).


VMware, Inc. 106


En la sección [Build Options] del archivo Package.ini, agregue los siguientesparámetros:

;--- VMware Identity Manager Parameters ---AppID=genidNotificationDLLs=hzntapluginlugin.dll

hzntaplugin.dll es la DLL a la que llama el tiempo de ejecución de ThinApp paraverificar la autorización del usuario de VMware Identity Manager para utilizar laaplicación virtualizada.

También puede incluir el parámetro HorizonOrgURL y establecerlo como elnombre de dominio completo de VMware Identity Manager. Consulte Instalación yconfiguración de VMware Identity Manager.

Vuelva a capturar la aplicación conSetup Capture y ajuste laconfiguración de VMware IdentityManager necesaria.

Use este método si prefiere volver a capturar la aplicación en lugar de utilizar unode los otros métodos. Para crear un paquete compatible con ThinApp SetupCapture, seleccione la configuración adecuada en el asistente para administrar elpaquete con VMware Identity Manager durante el proceso de captura. Consulte laGuía de usuario de ThinApp para obtener más información sobre el proceso decaptura.

Dispone de un conjunto de archivos (archivos EXE y, opcionalmente, archivos DAT) para un paquete deThinApp que se puede distribuir y administrar a través de VMware Identity Manager.

Pasos siguientes

Para conocer los pasos necesarios para agregar paquetes de ThinApp en el recurso compartido de red,consulte Crear una unidad de red compartida para los paquetes de ThinApp que administra VMwareIdentity Manager.

Cambiar la carpeta compartida de los paquetes deThinAppDespués de configurar el acceso de VMware Identity Manager a los paquetes de ThinApp, su entorno deTI podría cambiar de manera que estos paquetes se encuentren en una nueva ubicación. Cuando seproduce esta situación, actualice la ruta a la nueva ubicación en la consola de administración.

Requisitos previos

Compruebe que la nueva ubicación de la carpeta de red compartida cumpla los requisitoscorrespondientes indicados en Requisitos de VMware Identity Manager para paquetes de ThinApp y elrepositorio de red compartida.

Procedimiento




VMware, Inc. 107

3 Haga clic en el nombre de la colección de ThinApp.

4 Cambie el valor del cuadro de texto Ruta a la nueva carpeta compartida en la que se encuentren lospaquetes de ThinApp en el formato de ruta UNC.

5 (opcional) Si la anterior unidad de red compartida era una unidad compartida CIFS y la nueva es unaunidad compartida DFS, seleccione la casilla Habilitar acceso basado en cuenta e introduzca elnombre y la contraseña de un usuario con acceso de lectura a esa unidad de red compartida.





Procedimiento













VMware, Inc. 108

Configurar VMware IdentityManager Desktop 7Antes de que los usuarios de VMware Identity Manager puedan ejecutar paquetes de ThinApp que estánregistrados a ellos con VMware Identity Manager, deben tener la aplicación de VMware Identity ManagerDesktop instalada y en ejecución en sus sistemas de Windows.

Para instalar la aplicación de VMware Identity Manager Desktop puede hacer doble clic en el archivoejecutable del instalador y utilizar el asistente de configuración, ejecutar el archivo ejecutable a través delas opciones de la línea de comandos o bien ejecutar un script que utilice las opciones de la línea decomandos. Los privilegios del administrador local son obligatorios para instalar la aplicación.

La configuración de la aplicación de VMware Identity Manager Desktop en el terminal Windowsdetermina si un paquete de ThinApp que se distribuye con VMware Identity Manager se estáimplementando con el modo de streaming de ThinApp (RUN_FROM_SHARE) o con uno de los modosde descarga de ThinApp (COPY_TO_LOCAL o HTTP_DOWNLOAD). Cuando cree el script para instalarde manera silenciosa VMware Identity Manager Desktop en terminales Windows, como equipos deescritorio o portátiles, debe asignar las opciones que establecen el modo de implementación del paquetede ThinApp. Seleccione el modo de implementación que mejor se ajuste al entorno de la red de losterminales seleccionados teniendo en cuenta detalles como la latencia de la red.

Importante El modo HTTP_DOWNLOAD requiere que se pueda acceder a la URL de IDP desde lamáquina de Windows del usuario. Los modos RUN_FROM_SHARE y COPY_TO_LOCAL requieren quese pueda acceder al recurso compartido de ThinApp desde la máquina de Windows del usuario.

Nota Si hay ventanas del navegador abiertas durante la instalación de la aplicación de VMware IdentityManager Desktop, es posible que se produzcan problemas al iniciar los paquetes de ThinApp desde elportal de usuario. Cierre todas las ventanas del navegador antes de instalar la aplicación o justo despuésde instalarla y reinicie los navegadores. Consulte Error al iniciar paquetes de ThinApp desde el portal delusuario.


n Opciones del instalador de línea de comandos para el escritorio VMware Identity Manager

n Instalación de la aplicación VMware Identity Manager Desktop con la misma configuración en variossistemas Windows

n Agregar archivos del instalador de VMware Identity Manager Desktop a los dispositivos virtuales deVMware Identity Manager

VMware, Inc. 109

n Utilizar la aplicación de línea de comandos hws-desktop-ctrl.exe

Opciones del instalador de línea de comandos para elescritorio VMware Identity ManagerPuede establecer diversas opciones para la aplicación VMware Identity Manager Desktop al ejecutar suprograma de instalación desde la línea de comandos o desde un script de implementación.

Opciones de la línea de comandos disponibles para el instaladorde VMware Identity Manager DesktopDespués de descargar el archivo .exe para el instalador de la aplicación cliente en un sistema Windows,podrá ver una lista de las opciones de instalación mediante el comando siguiente:

VMware-Identity-Manager-Desktop-n.n.n-nnnnnnn /?

donde n.n.n-nnnnnnn representa la versión del archivo y el número de compilación. Aparecerá un cuadrode diálogo que enumerará las opciones de instalación disponibles para instalar la aplicación clientemediante la línea de comandos o un script de implementación.

Tabla 7-1. Opciones de la línea de comandos del instalador

Opción delinstalador

Valor Descripción

/? Muestra las opciones de la línea de comandos del instalador.

/a Realiza una instalación de administración.

Para obtener más información, consulte la documentación delinstalador de Windows.

/a ruta completa de la instalación deadministración existente

Aplica una revisión a una instalación de administración existente.

/s Oculta el cuadro de diálogo de inicialización durante al instalación.

Para instalar en modo silencioso, utilice /s /v/qn.

En modo silencioso no se muestran mensajes, cuadros de diálogoni indicaciones durante la instalación. Esta opción se utilizanormalmente la crear un script de implementación para ejecutar elinstalador.

/v pares de valores clave Un conjunto de parámetros que se enviarán al instalador,especificados como pares de valores clave. Utilice el formatokey=value. Estos argumentos configuran las opciones de tiempode ejecución de los paquetes de ThinApp y de VMware IdentityManager Desktop en general.

/c Borra la información del registro de instalación.


VMware, Inc. 110

https://msdn.microsoft.com/en-us/library/aa367541%28VS.85%29.aspx

https://msdn.microsoft.com/en-us/library/aa367541%28VS.85%29.aspx

Opción delinstalador

Valor Descripción

/l ruta completa del archivo de registro Realiza un registro detallado y lo guarda en el archivo de registroespecificado.

Si no especifica un archivo de registro, se utilizará unopredeterminado en la carpeta %TEMP%.

/x Desempaqueta el instalador en la carpeta %TEMP%.

Pares de valores clave para la opción /vPuede utilizar los siguientes pares de valores clave para la opción del instalador /v.


VMware, Inc. 111

Tabla 7-2. Claves para la opción /v de la línea de comandos del instalador

Clave Valor Descripción

WORKSPACE_SERVER

Nombre de host oURL del servicioVMware IdentityManager

Proporciona el nombre de host o la URL del servicio VMware Identity Manager,para permitir que la aplicación VMware Identity Manager Desktop se comuniquecon el servicio. El protocolo requerido es HTTPS. Ponga el valor entre comillas.

Utilice el siguiente formato:

WORKSPACE_SERVER="https://VMwareIdentityManagerFQDN"

o

WORKSPACE_SERVER="VMwareIdentityManagerHostName"

Por ejemplo:

WORKSPACE_SERVER="https://myserver.mycompany.com"

WORKSPACE_SERVER="myserver"

INSTALL_MODE Uno de lossiguientes:

COPY_TO_LOCAL

HTTP_DOWNLOAD

RUN_FROM_SHARE

Establece el modo de implementación para la manera en que la aplicación VMwareIdentity Manager Desktop obtiene los paquetes de ThinApp en el tiempo deejecución. Los paquetes de ThinApp son aplicaciones virtualizadas de Windows.Los paquetes de ThinApp residen en una unidad de red compartida que estáintegrada con VMware Identity Manager.

n COPY_TO_LOCAL: los paquetes autorizados del usuario se descargan alsistema Windows cliente mediante una copia de archivos. Cuando el usuarioinicia un paquete de ThinApp, la aplicación virtualizada se ejecuta localmenteen ese sistema. Antes de que el usuario descargue y use por primera vez unpaquete de ThinApp autorizado y para continuar la sincronización de lospaquetes con el sistema Windows cliente, este debe unirse al mismo dominiode Active Directory al que está unida la unidad de red compartida de lospaquetes de ThinApp. La cuenta de usuario utilizada para iniciar la sesión en elsistema Windows es la cuenta que se utiliza para obtener los paquetes deThinApp de la unidad de red compartida. Esa cuenta debe tener los permisosadecuados en la unidad de red compartida para leer y copiar archivos de esaunidad de red compartida.

Importante El modo COPY_TO_LOCAL requiere que se pueda acceder alrecurso compartido de ThinApp desde el sistema Windows del usuario.

n HTTP_DOWNLOAD: Los paquetes autorizados del usuario se descargan alsistema Windows cliente mediante el protocolo HTTP. Cuando el usuario iniciaun paquete de ThinApp, la aplicación virtualizada se ejecuta localmente en esesistema. La aplicación VMware Identity Manager Desktop utiliza la cuenta delusuario en el sistema VMware Identity Manager para autenticar a VMwareIdentity Manager y obtener la lista de paquetes que el usuario está autorizado adescargar. La cuenta de la unidad de red compartida proporcionada en laconsola de administración para permitir el acceso basado en cuenta a launidad de red compartida de los paquetes de ThinApp es la cuenta que utilizaVMware Identity Manager para acceder a los paquetes de ThinApp desde elrepositorio. Esa cuenta de usuario de unidad compartida de VMware IdentityManager necesita permiso de lectura en la unidad de red compartida. Lacuenta que el usuario utilizó para iniciar la sesión en el sistema del clienteWindows y la cuenta del usuario del sistema VMware Identity Manager nonecesitan tener permisos en la unidad de red compartida. El sistema Windowscliente no tiene que unirse al mismo dominio al que está unida la unidad de redcompartida de los paquetes de ThinApp. Este método de descarga esnormalmente más lento que los otros modos. La ventaja de este modo es queel sistema Windows cliente no tiene que unirse al dominio de Active Directorypara obtener y ejecutar la aplicación virtualizada.

Importante Para que la opción de descarga HTTP_DOWNLOAD funcione, sedebe configurar la integración de paquetes de ThinApp en VMware IdentityManager para utilizar el acceso basado en cuenta. Consulte Instalación yconfiguración de VMware Identity Manager.

Importante Para VMware Identity Manager 2.6 y versiones posteriores enWindows 2008 R2 o Windows 7, la opción HTTP_DOWNLOAD no funcionará sino habilita TLS 1.0 en VMware Identity Manager o TLS 1.1 o 1.2 en el sistemaWindows 7 o Windows 2008 R2. Para habilitar TLS 1.0 en VMware IdentityManager, consulte el artículo 2144805 de la base de conocimientos. Parahabilitar TLS 1.1 o 1.2 en el sistema Windows, consulte la documentación deMicrosoft disponible en https://support.microsoft.com/en-us/kb/3140245.

Importante El modo HTTP_DOWNLOAD requiere que se pueda acceder a laURL de IDP desde el sistema Windows del usuario.

n RUN_FROM_SHARE: La aplicación virtualizada se envía al sistema Windowscliente desde la unidad de red compartida cuando el usuario inicia el paquetede ThinApp. La opción RUN_FROM_SHARE es más adecuada para sistemasWindows que tienen siempre conexión a la unidad de red compartida en la queresiden los paquetes de ThinApp, porque estos paquetes no están presentesen el sistema Windows y las aplicaciones virtualizadas solo se ejecutan si elsistema Windows se puede conectar a la unidad de red compartida. El sistemaWindows cliente tiene que unirse al mismo dominio de Active Directory al queestá unida la unidad de red compartida de los paquetes de ThinApp. La cuentade usuario utilizada para iniciar la sesión en el sistema Windows es la cuentaque se utiliza para obtener los paquetes de ThinApp de la unidad de redcompartida. Dicha cuenta debe disponer de los permisos necesarios sobre lared compartida para leer y ejecutar archivos en ella.

Importante El modo RUN_FROM_SHARE requiere que se pueda acceder alrecurso compartido de ThinApp desde la máquina de Windows del usuario.

El valor predeterminado es COPY_TO_LOCAL.

En todos los modos, la unidad de red compartida debe tener configurados lospermisos de archivo y compartir adecuados. Consulte Instalación y configuraciónde VMware Identity Manager.

Importante Al instalar VMware Identity Manager Desktop en escritorios flotantesde View, utilice la opción RUN_FROM_SHARE para evitar copiar los paquetes deThinApp en esos sistemas de escritorio de View sin estado.

Si se instala la aplicación VMware Identity Manager Desktop con una de estasconfiguraciones, la cuenta de usuario que inicie la sesión en el sistema Windowsdebe tener los permisos de archivo y compartir adecuados en la unidad de redcompartida para poder obtener los paquetes de ThinApp:

n La opción RUN_FROM_SHARE

n La opción COPY_TO_LOCAL, sin tener también habilitada la opciónAUTO_TRY_HTTP y el acceso basado en cuenta configurado en VMwareIdentity Manager


VMware, Inc. 112

https://kb.vmware.com/kb/2144805

https://support.microsoft.com/en-us/kb/3140245


POLLING_INTERVAL

Frecuencia ensegundos

Establece la frecuencia, en segundos, de la sincronización entre la aplicaciónVMware Identity Manager Desktop instalada y VMware Identity Manager paracomprobar si hay nuevas autorizaciones o paquetes de ThinApp. Si no seespecifica un valor, se aplicará el valor predeterminado de 300 segundos (5minutos).

Por ejemplo:

POLLING_INTERVAL=600

ENABLE_AUTOUPDATE

0 o 1 Habilita o deshabilita la comprobación automática de actualizaciones y la actividadde descarga. Si está habilitada, la aplicación VMware Identity Manager Desktopinstalada comprueba automáticamente si hay disponible una aplicación más nuevapara descargar. Si hay disponible una versión más nueva, la aplicación VMwareIdentity Manager Desktop la descarga y se actualiza ella misma a la versión másnueva. Esta opción está habilitada de forma predeterminada.

Establezca el valor de esta opción en 0 para deshabilitar la actualizaciónautomática. Si no se especifica un valor, se aplicará el valor predeterminado 1.

Para la instalación de actualizaciones automáticas se requieren derechos deadministrador.

SHARED_CACHE 0 o 1 Determina si la caché del paquete de ThinApp se ubica en una carpeta común delsistema Windows en el que se está instalando la aplicación cliente. Establezca elvalor de esta variable en 1 para especificar que todas las cuentas de usuario delsistema Windows compartan una ubicación de caché común. De formapredeterminada, la carpeta común es %ProgramData%\VMware\IdentityManager Desktop\thinapp.

Si no se especifica nada, se aplica el valor predeterminado 0, y cada cuenta deusuario de Windows tendrá su propia caché y su ubicación predeterminada será%LOCALAPPDATA%\VMware\Identity Manager Desktop\thinapp.

Nota Si se especifica una caché compartida, la aplicación VMware IdentityManager Desktop no borra automáticamente los paquetes de ThinApp de estacaché compartida. Como SHARED_CACHE=1 indica que todas las cuentas deusuario del sistema Windows comparten la misma ubicación, los paquetes debenpermanecer en la ubicación compartida para que los usuarios autorizados puedanutilizarlos, incluso si se desautoriza a un usuario. Al desautorizar a un usuario enun paquete de ThinApp, la aplicación VMware Identity Manager Desktop elimina elregistro de ese paquete para ese usuario. Los demás usuarios autorizados de esesistema Windows pueden seguir utilizando el paquete de ThinApp. Si ningunacuenta de usuario de ese sistema Windows está autorizada a utilizar los paquetesde ThinApp, puede borrar manualmente la caché común para recuperar eseespacio. Cada paquete de ThinApp tiene su propia carpeta en la ubicación de lacaché.

CACHE_DIR Ruta de la carpeta Establece la ubicación que se usará para la caché de los paquetes de ThinApp sise utilizan los modos de instalación HTTP_DOWNLOAD o COPY_TO_LOCAL.Este valor se establece para cada sistema y no para cada usuario, por lo que sedeben utilizar variables de entorno, como %LOCALAPPDATA%, para seleccionarubicaciones específicas de los usuarios. No olvide agregar el escape (barrainclinada inversa) al carácter % en la línea de comandos para impedir la expansióninmediata. Por ejemplo:

CACHE_DIR=^%LOCALAPPDATA^%\cache


VMware, Inc. 113


AUTO_TRY_HTTP 0 o 1 Cuando la aplicación VMware Identity Manager Desktop se instala con la opciónCOPY_TO_LOCAL y se configura el acceso basado en cuenta para VMwareIdentity Manager, la opción AUTO_TRY_HTTP determina si el cliente debe intentardescargar automáticamente los paquetes de ThinApp para los que el usuario tengaautorización utilizando el protocolo HTTP, similar a la opción HTTP_DOWNLOAD,si el primer intento de descarga falla. Esta opción está habilitada de formapredeterminada. Establezca el valor de esta opción en 0 para que no se intenteutilizar automáticamente el protocolo HTTP para la descarga.

Importante Para que la opción de descarga AUTO_TRY_HTTP funcione, se debeconfigurar la integración de paquetes de ThinApp en VMware Identity Managerpara utilizar el acceso basado en cuenta. Consulte Requisitos de VMware IdentityManager para paquetes de ThinApp y el repositorio de red compartida.

INSTALL_MODULES thinapp Una lista separada por comas que especifica los módulos a instalar. Actualmentesolo está disponible el módulo de thinapp.

MIGRATE_ACTION Uno de lossiguientes:

MOVE

COPY

NONE

Si está instalada la aplicación Workspace for Windows antigua, el instaladormigrará los datos y la configuración de la aplicación antigua a la nueva. El valorpredeterminado es MOVE.

En función del valor que especifique, se moverán, copiarán o ignorarán lassiguientes configuraciones.

Paquetes de ThinApp en la cachéLos paquetes de ThinApp descargados se copiarán de la caché de Workspace forWindows, %LOCALAPPDATA%\VMware\Horizon ThinApp\PackageCache, a lanueva ubicación de la caché, %LOCALAPPDATA%\VMware\Identity ManagerDesktop\thinapp. Los nombres de las carpetas dentro de la carpeta de caché semodificarán.

Importante Las propiedades establecidas para VMware Identity Manager durantela instalación prevalecen sobre cualquier valor migrado de esas propiedades. Porejemplo, si el valor de INSTALL_MODE en Workspace for Windows se establecióen COPY_TO_LOCAL y durante la instalación de Identity Manager Desktopespecifica /v INSTALL_MODE=HTTP_DOWNLOAD, el valor de INSTALL_MODE seestablecerá en HTTP_DOWNLOAD.

Ejemplo: Utilizar las opciones del instalador de la línea decomandos de VMware Identity Manager DesktopSi su instancia de VMware Identity Manager tiene una URL https://identitymanagerFQDN y VMwareIdentity Manager está configurado para el acceso basado en cuenta a la unidad de red compartida de lospaquetes de ThinApp y se desea instalar de manera silenciosa la aplicación VMware Identity ManagerDesktop en varios escritorios de esa instancia de VMware Identity Manager con estas opciones:

n La opción de instalación de ThinApp establecida en HTTP_DOWNLOAD, porque no se cree probableque esos sistemas Windows se unan al dominio. VMware Identity Manager está configuradocorrectamente para el acceso basado en cuenta a la unidad de red compartida de los paquetes deThinApp.

n El cliente comprueba cada 60 segundos con VMware Identity Managersi hay nuevos paquetes yautorizaciones.


VMware, Inc. 114

Crearía un script que invoque el comando siguiente:

VMware-Identity-Manager-Desktop-n.n.n-nnnnnnn.exe /s

/v/qn WORKSPACE_SERVER="https://identitymanagerFQDN" INSTALL_MODE=HTTP_DOWNLOAD POLLING_INTERVAL=60

Donde se sustituye la parte n.n.n-nnnnnnn del nombre de archivo por el nombre del instalador deVMware Identity Manager Desktop descargado.

Instalación de la aplicación VMware Identity ManagerDesktop con la misma configuración en varios sistemasWindowsPara implementar la aplicación VMware Identity Manager Desktop en varios sistemas Windows y aplicarla misma configuración en todos ellos, puede implementar un script que instale la aplicación VMwareIdentity Manager Desktop con las opciones de instalación de la línea de comandos.

Importante Al implementar VMware Identity Manager Desktop en segundo plano, no se muestranmensajes de error en pantalla. Para conocer los errores que se puedan producir durante una instalaciónde este tipo, vaya a la carpeta %TEMP% y busque los archivos vminst.XXXXXX.log nuevos. Estosarchivos incluyen los mensajes de error de una instalación en segundo plano fallida.

Normalmente, este caso de implementación se usa con sistemas Windows que son escritorios View.Para obtener descripciones de la configuración que se usará para escritorios View no persistentes,también denominados flotantes o sin estado, consulte #unique_77.

Requisitos previos

n Compruebe que los sistemas Windows ejecuten sistemas Windows que sean compatibles con laversión de la aplicación VMware Identity Manager Desktop que está instalando. Consulte Guía deusuario de VMware Identity Manager o las notas de la versión.

n Compruebe que los navegadores instalados en los sistemas Windows sean compatibles.

n Si desea tener la posibilidad de ejecutar un comando para familiarizarse con las opciones disponiblesantes de crear el script de implementación, compruebe que dispone de un sistema Windows en elque pueda ejecutar dicho comando. Este comando para enumerar las opciones solo está disponibleen un sistema Windows. Consulte Opciones del instalador de línea de comandos para el escritorioVMware Identity Manager.


VMware, Inc. 115

Procedimiento

1 Obtenga el archivo ejecutable de instalación de VMware Identity Manager Desktop y localícelo en elsistema desde el que desee ejecutarlo en segundo plano.

Un método para obtener el archivo ejecutable consiste en descargarlo a través de la página dedescargas del sistema VMware Identity Manager. Si ha configurado su sistema VMware IdentityManager para que proporcione el programa de instalación de la aplicación para Windows desde lapágina de descargas, abra en un navegador la URL de esta página para descargar el archivoejecutable.

2 Mediante las opciones de línea de comandos del programa de instalación, cree un script deimplementación que se adapte a las necesidades de su organización.

Entre los ejemplos de scripts que puede usar se encuentran scripts de directivas de grupo ActiveDirectory, scripts de inicio de sesión, scripts de VB, archivos por lotes, SCCM, etc.

Por ejemplo, si su instancia de VMware Identity Manager tiene una URL https://identitymanagerFQDN, desea instalar el cliente Windows en segundo plano en los sistemasWindows que prevé que se usarán fuera del dominio, con el modo de implementación de ThinAppestablecido en el modo de descarga, y que la sincronización de aplicaciones de VMware IdentityManager Desktop con el servidor se realice cada 60 segundos, se debe crear un script que invoqueel comando siguiente:

VMware-Identity-Manager-Desktop-n.n.n-nnnnnnn.exe /s

/v /qn WORKSPACE_SERVER="https://identitymanagerFQDN" INSTALL_MODE=HTTP_DOWNLOAD

POLLING_INTERVAL=60

en el que debe sustituir la parte n.n.n-nnnnnnn del nombre del archivo para que coincida con el delarchivo descargado.

3 Ejecute el script de implementación en sistemas Windows.

Si la instalación en segundo plano se realiza correctamente, la aplicación VMware Identity ManagerDesktop se implementará en sistemas Windows. Los usuarios conectados a estos sistemas Windowspueden obtener acceso a los activos de estos sistemas para los que disponen de autorización.

Nota Una vez transcurrido el intervalo de sondeo, el paquete de ThinApp autorizado de un usuario sedifunde o descarga y se almacena en la caché del sistema Windows del usuario. Como resultado, sepodría mostrar el paquete de ThinApp al iniciar sesión en el portal de usuario de VMware IdentityManager. El paquete de ThinApp no se inicia hasta que el cliente sincroniza la aplicación en el siguienteintervalo de sondeo.

Pasos siguientes

Realice algunas tareas de usuario habituales para comprobar que VMware Identity Manager Desktop seha instalado correctamente en los sistemas Windows.


VMware, Inc. 116

Agregar archivos del instalador de VMware IdentityManager Desktop a los dispositivos virtuales de VMwareIdentity ManagerCuando se publican nuevas versiones de VMware Identity Manager Desktop, se debe copiar e instalar elarchivo ZIP de la página de descargas de VMware en cada dispositivo virtual de VMware IdentityManager de la implementación. El comando check-client-updates.pl se ejecuta para implementarlos archivos del instalador y reiniciar el servicio Tomcat en cada uno de los dispositivos virtuales.

Requisitos previos

n Para instalar y actualizar automáticamente la aplicación VMware Identity Manager Desktop, losusuarios deben tener privilegios de administrador. Si los usuarios no tienen privilegios deadministrador, se pueden utilizar las herramientas de distribución de software para distribuir yactualizar la aplicación a los usuarios.

n Programe la adición de estos archivos del instalador en los dispositivos virtuales de VMware IdentityManager durante un período de mantenimiento, ya que el dispositivo virtual se reiniciará y se podríainterrumpir el acceso del usuario.

Procedimiento

1 Descargue el archivo zip de VMware Identity Manager Desktop desde la página de descargas de MyVMware a un equipo que pueda acceder al dispositivo virtual de VMware Identity Manager.

2 Copie el archivo zip a una ubicación temporal en el dispositivo virtual. Por ejemplo:

scp filen.n.n-nnnnnnn.zip [email protected]:/tmp/

3 Inicie la sesión en el dispositivo virtual como usuario raíz.

4 Descomprima e instale en nuevo archivo zip en el directorio de descargas.

/usr/local/horizon/scripts/check-client-updates.pl --install --clientfile /tmp/file.n.n.n-nnnnn.zip

Este script descomprime automáticamente el archivo y copia el archivo del instalador de VMwareIdentity Manager Desktop para los equipos Windows en el directorio /opt/vmware/horizon/workspace/webapps/ROOT/client. Se actualiza automáticamente al directorio /opt/vmware/horizon/workspace/webapps/ROOT/client/cds, y se actualiza el valor del parámetro de URL delenlace de descarga.

5 Reinicie el servicio Tomcat en el dispositivo virtual.

6 Repita estos pasos para cada dispositivo virtual de VMware Identity Manager de su entorno.

Los usuarios pueden descargar la aplicación Identity Manager Desktop desde sus cuentas deVMware Identity Manager o mediante el enlace de descarga https://IdentityManagerFQDN/download.Las aplicaciones de Identity Manager Desktop del usuario se actualizan automáticamente cuando sedescarga la nueva versión.


VMware, Inc. 117

Utilizar la aplicación de línea de comandos hws-desktop-ctrl.exeLa aplicación VMware Identity Manager Desktop incluye una aplicación de línea de comandos, hws-desktop-ctrl.-exe, que se puede utilizar para realizar operaciones relativas al uso de paquetes deThinApp en el sistema Windows del usuario.

El proceso de instalación de la aplicación VMware Identity Manager Desktop instala hws-desktop-ctrl.exeen la carpeta HorizonThinApp en la ubicación del directorio de Windows en la que se instaló laaplicación VMware Identity Manager Desktop.

Para utilizar la aplicación hws-desktop-ctrl.exe para realizar uno de los comandos compatibles, utilice elformato siguiente.

hws-desktop-ctrl.exe commandoptions

Comando Descripción

hws-desktop-ctrl.exe recheck Este comando realiza inmediatamente una comprobación de autorización delos paquetes de ThinApp asociados a la cuenta del usuario que inició lasesión en la aplicación VMware Identity Manager Desktop. Se sincronizaránlos paquetes de ThinApp con autorización nueva o actualizada.

hws-desktop-ctrl.exe

setInstallMode=install_mode

Este comando cambia el modo de implementación de ThinApp utilizado parapaquetes de ThinApp en este sistema Windows. Como este comandocambia claves de registro asociadas al modo de implementación de ThinApp,solo pueden utilizarlo para cambiar el modo de instalación losadministradores con permisos adecuados para el registro.

Los valores disponibles para el parámetro install_mode son:

n CopyToLocal

n RunFromShare

n HttpDownload


authorizeguid=ThinApp_GUIDpath=package_path

Este comando verifica si se puede iniciar un paquete de ThinApp. Estecomando no inicia el paquete de ThinApp. Proporcione el GUID y la ruta delarchivo ejecutable del paquete de ThinApp. Si se utiliza el modo de descargade ThinApp para los paquetes del sistema del cliente de Windows, la ruta esrelativa a la carpeta raíz de la caché local, que es la misma que la rutarelativa a la raíz del repositorio. Un ejemplo es:

hws-desktop-ctrl.exe authorize guid= 436E1D7D-552C-4F70-8197-DB1B05D30394 path="FileZilla Client 3.3.2/FileZilla.exe"

Puede consultar la ruta de la aplicación del GUID del paquete de ThinApp yel nombre del archivo ejecutable en su página de recursos en consola deadministración.


VMware, Inc. 118

Comando Descripción

hws-desktop-ctrl.exe quit Este comando indica a la aplicación VMware Identity Manager Desktop quesalga limpiamente.


launchapp=package_pathurl=launch_url

Este comando se utiliza para iniciar manualmente un paquete de ThinApp,donde package_path es la ruta del archivo ejecutable del paquete ylaunch_url es la URL del protocolo de VMware Identity Manager de esepaquete, en la forma horizon://package_path. Un ejemplo es:

hws-desktop-ctrl.exe launch app="FileZilla Client 3.3.2/FileZilla.exe" url="horizon://FileZilla Client 3.3.2/FileZilla.exe"

Este comando no suele ser utilizado por los usuarios finales, quienes puedeniniciar los paquetes de ThinApp para los que están autorizados desde elportal de Workspace ONE. Este comando se utiliza normalmente paradepuración.


VMware, Inc. 119

Proporcionar acceso a recursospublicados de Citrix 8Puede integrar su implementación de Citrix con VMware Identity Manager para proporcionar a losusuarios de Workspace ONE acceso a los recursos publicados de Citrix.


n Descripción general de la integración de los recursos publicados de Citrix

n Componentes requeridos para la integración de Citrix

n Diseño de integración de alto nivel

n Requisitos previos para la integración de Citrix

n Configurar las granjas de servidores de Citrix en VMware Identity Manager

n Configurar el inicio de los recursos de Citrix en VMware Identity Manager

n Configurar VMware Identity Manager para la integración con Citrix

n Consecuencias de la actualización en la integración de los recursos publicados de Citrix

Descripción general de la integración de los recursospublicados de CitrixEs posible proporcionar a los usuarios de Workspace ONE acceso a recursos publicados por Citrixmediante la integración de la implementación de Citrix con VMware Identity Manager. Los recursospublicados de Citrix incluyen aplicaciones y escritorios dentro de granjas de servidores de Citrix XenAppy XenDesktop. Los escritorios también se denominan grupos de entrega publicados de Citrix.

Los escritorios y las aplicaciones publicadas de Citrix se administran en la interfaz de administración deCitrix. Además, las autorizaciones de grupos y usuarios se establecen en la interfaz de Citrix, no en elservicio VMware Identity Manager. Estos grupos y usuarios se deben sincronizar con el servicio VMwareIdentity Manager desde Active Directory antes de realizar la integración con las granjas de servidores deCitrix.

Para integrar granjas de servidores de Citrix con VMware Identity Manager, cree una o variascolecciones de aplicaciones virtuales en la consola administrativa de VMware Identity Manager. Lascolecciones contienen la información de configuración para las granjas de servidores, así como laconfiguración de sincronización.

VMware, Inc. 120

Se puede configurar una programación de sincronización para cada colección para sincronizarperiódicamente los recursos y las autorizaciones de las granjas de servidores de Citrix con el servicioVMware Identity Manager.

Después de integrar las granjas de servidores de Citrix, puede ver las autorizaciones y los recursossincronizados en la consola administrativa de VMware Identity Manager. También puede editar laconfiguración de la sesión de ICA, como los ajustes que controlan la resolución o la compresión. Losvalores se pueden configurar globalmente para todos los recursos del catálogo de VMware IdentityManager o bien para recursos de Citrix individuales.

Los usuarios finales pueden iniciar las aplicaciones y los escritorios publicados de Citrix desde laaplicación o el portal de Workspace ONE. Instalan Citrix Receiver en sus sistemas y dispositivos paraacceder a los recursos a los que están autorizados.

Nota VMware Identity Manager es compatible con las implementaciones de Citrix que incluyenNetScaler.

Versiones compatiblesn VMware Identity Manager es compatible con Citrix XenApp 5.0, 6.0, 6.5 y 7.x, y con XenDesktop 7.x.

n VMware Identity Manager es compatible con la API de Citrix StoreFront 2.6 y versiones posteriores.

n Los sistemas operativos compatibles con Integration Broker, el componente de VMware IdentityManager que se comunica con la granja de servidores de Citrix, son Windows Server 2008 R2,Windows Server 2012, Windows Server 2012 R2 y Windows Server 2016.

Nota La instalación de Integration Broker en Windows Server 2016 es compatible con VMwareIdentity Manager 3.2.0.1 y versiones posteriores.

n Requisitos de la versión de Integration Broker:

Versión de VMware Identity Manager o de Connector Versión de Integration Broker compatible

VMware Identity Manager 3.2 3.2

VMware Identity Manager Connector 2018.1.1.0 (Connector sepublicó con VMware Identity Manager 3.2)

3.2



3.1



3.0


VMware, Inc. 121


VMware Identity Manager 2.9.1 o anterior 2.9.1 o anterior

VMware Identity Manager Connector 2.9.1 o anterior 2.9.1 o anterior

Nota Para utilizar la API de Citrix StoreFront, se requiere Integration Broker 2.9.1 o una versiónposterior. Para usar XenApp o XenDesktop 7.x, se requiere Integration Broker 2.6 o una versiónposterior. Para utilizar la función NetScaler, se requiere Integration Broker 2.4 o una versión posterior.

Nota Se recomienda utilizar la última versión disponible de VMware Identity Manager y suscomponentes.

Componentes requeridos para la integración de CitrixPara integrar una implementación de Citrix con el servicio de VMware Identity Manager, son necesarioslos siguientes componentes.

n Una instancia de VMware Identity Manager en las instalaciones.

n Una instancia de Integration Broker instalada en un servidor de Windows compatible local.Integration Broker, componente de VMware Identity Manager, se comunica con las granjas deservidores de Citrix.

Puede descargarse Integration Broker desde https://my.vmware.com.

n Una implementación de Citrix en las instalaciones.

Al implementar los componentes, compruebe que cumple estos requisitos:

n El servidor VMware Identity Manager debe poder comunicarse con la instancia de Integration Broker.Si implementa varias instancias del dispositivo del servicio, asegúrese de que todas ellas puedancomunicarse con Integration Broker.

n Integration Broker debe poder comunicarse con la granja de servidores de Citrix.


Diseño de integración de alto nivelVMware Identity Manager utiliza Integration Broker y otros componentes para sincronizar recursospublicados de Citrix con VMware Identity Manager e iniciar los recursos desde la aplicación o el portal deWorkspace ONE.

Sincronizar los recursos publicados de Citrix y las autorizacionesVMware Identity Manager sincroniza las aplicaciones y los escritorios publicados de Citrix, así como lasautorizaciones de usuario, de la granja de servidores de Citrix con el servicio de VMware Identity


VMware, Inc. 122

Manager. Se puede establecer una programación de sincronización para sincronizar los recursos y lasautorizaciones a intervalos regulares.

La granja de Citrix es la única fuente fiable de todas las operaciones admitidas en VMware IdentityManager. Administre los recursos y autorice a los usuarios a ellos en Citrix.

Cuando se agregan, se cambian o se eliminan recursos o autorizaciones en la granja de Citrix, lainformación se actualiza en VMware Identity Manager tras una sincronización.

Diagrama de arquitectura de sincronización

WorkspaceONE

Configuración de VMware

IdentityManager

Servicio de VMware

IdentityManager

ActiveDirectory

Conector PowerShell

CitrixReceiver

4 3

2

3

21

• Receiver Client• HTML5 Receiver• Receiver For Web (navegador)

Integration Broker

1

Host de la sesión

Componentes de Citrix

Host de la sesión

Host de la sesión

Configuración de Citrix

StoreFront

Controladora

Servidor XML

n Los usuarios y los grupos están sincronizados desde el directorio empresarial hasta el servicio deVMware Identity Manager a través de VMware Identity Manager Connector.

n Los recursos publicados de Citrix y las autorizaciones se sincronizan desde la granja de servidoresde Citrix con VMware Identity Manager mediante el conector, Integration Broker y el SDK dePowerShell.

Inicio de aplicaciones y escritorios publicados de CitrixVMware Identity Manager utiliza el componente Integration Broker y Citrix Web Interface SDK o la RESTAPI de Citrix StoreFront para iniciar aplicaciones publicadas de Citrix desde la aplicación o el portal deWorkspace ONE. Puede configurar el acceso interno y externo a los recursos publicados de Citrix. Losusuarios finales deben instalar Citrix Receiver en sus sistemas o dispositivos para iniciar las aplicacionesy los escritorios.


VMware, Inc. 123

Diagrama de la arquitectura del inicio (acceso interno)

WorkspaceONE

Servicio de VMwareIdentity

Manager

SDK de la interfaz web/APIde StoreFront

Autenticación de la REST API

y solicitud del archivo ICA

Archivo ICA

Citrix Receiver

1

45

3

6

2

Conector Integration Broker

Host de la sesión


Host de la sesión

Host de la sesión


StoreFront

Controladora

Servidor XML

Servidor STA

1 Un usuario inicia una aplicación o un escritorio publicado de Citrix desde la aplicación o el portal deWorkspace ONE.

2 La solicitud va al servicio VMware Identity Manager, al conector y al Integration Broker.

3 Integration Broker se comunica con la granja de servidores de Citrix mediante Web Interface SDK ola REST API de StoreFront para autenticar y solicitar el archivo ICA.

4 El archivo ICA se recupera y se transmite a la aplicación o al portal de Workspace ONE.

5 El archivo ICA se envía a Citrix Receiver.

6 Citrix Receiver inicia la aplicación o el escritorio.


VMware, Inc. 124

Diagrama de la arquitectura de inicio (acceso externo)

WorkspaceONE

Host de la sesión


Host de la sesión

Host de la sesión


Servicio de VMwareIdentity

Manager

SDK de la interfaz web/API de StoreFront

StoreFrontAutenticación

de la REST API y solicitud del

archivo ICA

Archivo ICA

Citrix Receiver

1

45

3

6

8

7

2

NetScaler

Conector Integration Broker

Controladora

Servidor XML

Servidor STA

1 Un usuario inicia una aplicación o un escritorio publicado de Citrix desde la aplicación o el portal deWorkspace ONE.

2 La solicitud va al servicio VMware Identity Manager, al conector y al Integration Broker.

3 Integration Broker se comunica con la granja de servidores de Citrix mediante Web Interface SDK ola REST API de StoreFront para autenticar y solicitar el archivo ICA.

4 El archivo ICA se recupera y se transmite a la aplicación o al portal de Workspace ONE.

5 El archivo ICA se envía a Citrix Receiver.

6 Citrix Receiver se comunica con NetScaler.

7 NetScaler se comunica con el servidor STA de Citrix con el vale STA y obtiene la información delservidor de la sesión de Citrix.

8 NetScaler se comunica con el servidor host de la sesión de Citrix y crea una sesión para iniciar laaplicación.

Nota En la versión 7.x, el servidor host de la sesión de Citrix es el servidor VDA de Citrix. En laversión 6.5, es el servidor de trabajo de Citrix.


VMware, Inc. 125

Utilizar la REST API de StoreFront o Web Interface SDK para el inicioIntegration Broker puede usar Citrix Web Interface SDK y la REST API de Citrix StoreFront paracomunicarse con la implementación de Citrix a fin de iniciar aplicaciones o escritorios. Cuando se utilizala REST API de StoreFront, Integration Broker actúa como un cliente de REST. Web Interface SDK y laREST API de StoreFront se utilizan para autenticar y generar el archivo ICA desde la implementación deCitrix.

Para especificar la opción que desea usar, marque o desmarque la casilla de verificación UtilizarStoreFront en la página de configuración de Citrix de la consola de administración de VMware IdentityManager.

Una instancia de Integration Broker puede usar tanto Web Interface SDK como la REST API deStoreFront. Si desea comunicarse con una granja de Citrix mediante Web Interface SDK y con otragranja de Citrix mediante la REST API de StoreFront, marque o desmarque la casilla de verificaciónUtilizar StoreFront según sea necesario.

Para utilizar la opción REST API de StoreFront, que está disponible en VMware Identity Manager 2.9.1 yversiones posteriores, asegúrese de que se cumplen los siguientes requisitos.

n Utilice la API de StoreFront 2.6 o posterior.

n Instale Integration Broker 2.9.1 o una versión posterior.

n Asegúrese de que StoreFront sea compatible con la versión de XenApp o XenDesktop que estáutilizando.

n Asegúrese de que Integration Broker se pueda comunicar con el servidor de StoreFront.

Cuando se habilita la REST API de StoreFront, Integration Broker se comunica con el servidor deStoreFront para generar el archivo ICA.

n En el servidor de StoreFront, al configurar la autenticación para un almacén, se pueden configurardominios de confianza para el método de autenticación "Nombre de usuario y contraseña". Siconfigura dominios de confianza, asegúrese de agregar los nombres de dominio en el formato denombre de dominio completo a la lista "Dominios de confianza". Si utiliza nombres de NetBIOS paraStoreFront, agregue el nombre de dominio completo además del nombre de NetBIOS. VMwareIdentity Manager requiere el nombre de dominio completo. Si solo se agrega el nombre de NeTBIOS,se producirá un error al iniciar los escritorios y las aplicaciones de Citrix desde Workspace ONE.


VMware, Inc. 126

Nota Para utilizar la REST API de StoreFront, no es necesario descargar ni copiar ningún archivoadicional en la instalación.

Requisitos previos para la integración de CitrixAntes de configurar los detalles de la granja de servidores de Citrix en la consola de administración deVMware Identity Manager, debe completar algunas tareas de requisitos previos. Debe implementar yconfigurar Integration Broker, un componente de VMware Identity Manager, en un servidor de Windowscompatible y configurar la ejecución de comandos remotos de Citrix PowerShell para habilitar lacomunicación entre Integration Broker y la granja de servidores de Citrix.

Estas son las tareas de alto nivel:

n Preparar el servidor de Windows para la instalación de Integration Broker.

n Agregar funciones y características.

n Instalar Microsoft J# 2.0 Redistributable Package.

Microsoft J# 2.0 no es necesario si va a utilizar la REST API de StoreFront en lugar del CitrixWeb Interface SDK para conectarse a la granja de servidores de Citrix.

n Instalar Integration Broker.

n Descargar e instalar Integration Broker.

n Configurar los valores de Administrador de IIS para Integration Broker.

n Configurar los enlaces HTTPS para Integration Broker.


VMware, Inc. 127

n Configurar la ejecución de comandos remotos de Citrix PowerShell para habilitar las invocacionesremotas entre el servidor de Integration Broker y la granja de servidores de Citrix.

n Instalar el SDK de Citrix PowerShell en el servidor de Integration Broker.

n Habilitar la ejecución de comandos remotos en PowerShell en los servidores de Citrix (Citrix 6.0y 5.0 solamente).

n Descargar y copiar los archivos dll del Citrix Web Interface SDK.

Citrix Web Interface SDK no es necesario si va a utilizar la REST API de StoreFront para conectarsea la granja de servidores de Citrix.

Puede ver el siguiente vídeo para obtener un resumen del proceso.

Instalación de Integration Broker para aplicaciones y escritorios publicados de Citrix(http://link.brightcove.com/services/player/bcpid2296383276001?bctid=ref:video_integration_broker_citrix)

Acerca de la implementación de Integration BrokerIntegration Broker es un componente de VMware Identity Manager que se utiliza para comunicarse conla granja de servidores de Citrix. Integration Broker se instala de forma local en un servidor de Windowscompatible.

Siga estas directrices cuando implemente Integration Broker.

n Puede instalar Integration Broker en Windows Server 2016, Windows Server 2012 R2, WindowsServer 2012 y Windows Server 2008 R2.

Nota La instalación de Integration Broker en Windows Server 2016 es compatible con VMwareIdentity Manager 3.2.0.1 y versiones posteriores.

Tabla 8-1. Requisitos del servidor de Integration Broker:

Requisito Notas

Windows Server 2016, Windows Server 2012 R2, WindowsServer 2012 o Windows Server 2008 R2 con procesador dualcore.

4 GB de RAM

30 GB Esto incluye el almacenamiento necesario para el sistemaoperativo Windows.

n Requisitos de la versión de Integration Broker:




3.2



VMware, Inc. 128

http://link.brightcove.com/services/player/bcpid2296383276001?bctid=ref:video_integration_broker_citrix

http://link.brightcove.com/services/player/bcpid2296383276001?bctid=ref:video_integration_broker_citrix



3.1



3.0

VMware Identity Manager 2.9.1 o anterior 2.9.1 o anterior

VMware Identity Manager Connector 2.9.1 o anterior 2.9.1 o anterior

Nota Para utilizar la REST API de Citrix StoreFront, se requiere Integration Broker 2.9.1 o unaversión posterior. Para usar XenApp o XenDesktop 7.x, se requiere Integration Broker 2.6 o unaversión posterior. Para utilizar la función NetScaler, se requiere Integration Broker 2.4 o una versiónposterior.


n El conector de VMware Identity Manager debe poder comunicarse con la instancia de IntegrationBroker. Si configuró varias instancias del conector, compruebe que todas se puedan comunicar conIntegration Broker.

Nota Debe conectarse a través de SSL a cualquier instancia de Integration Broker que se utilicepara el inicio.

n Una sola instancia de Integration Broker puede admitir varios entornos de Citrix 5.x, 6.x y 7.x.

n Si utiliza VMware Enterprise Systems Connector en Windows, siga estas directrices.

n Descargue Integration Broker desde la página del producto VMware Identity Manager en MyVMware.

n Se recomienda instalar Integration Broker y VMware Enterprise Systems Connector en diferentesservidores.

n Si va a instalar Integration Broker en el mismo servidor que el conector, asegúrese de que lospuertos de enlace HTTP y HTTPS no entren en conflicto con los puertos usados por elcomponente VMware Identity Manager Connector.

El componente VMware Identity Manager Connector siempre utiliza el puerto 80. También utilizael 443, a menos que se configure un puerto diferente durante la instalación.

n Durante la instalación del conector, se generará un certificado autofirmado. Si va a instalarIntegration Broker en el mismo servidor que el conector, puede usar este certificado. Instale elcertificado en Microsoft Store y utilícelo para el enlace HTTPS.

n Antes de comenzar, debe planificar la estrategia de implementación. Consulte Modelos deimplementación de Integration Broker para conocer recomendaciones para escenarios comunes.


VMware, Inc. 129

https://my.vmware.com


Modelos de implementación de Integration BrokerImplemente una o más instancias de Integration Broker, según sus necesidades empresariales. Lossiguientes modelos de implementación se basan en escenarios comunes.

Prueba de entornos de concepto

En la prueba de entornos de concepto, en donde se configuran solo unas pocas aplicaciones publicadasde Citrix en VMware Identity Manager para familiarizarse con el proceso de integración y la experienciade usuario final, se recomienda la configuración de una única instancia de Integration Broker. Seleccionela misma instancia de Integration Broker que para Integration Broker de sincronización e IntegrationBroker de SSO en la colección de aplicaciones virtuales.

Servicio de VMware Identity Manager

VMware IdentityManager Connector

IntegrationBroker

Sincronizar

Iniciar

Entornos de prueba

En pequeños entornos de prueba, en donde se desee probar la totalidad del flujo, incluso el inicio y lasincronización, se recomienda la implementación de dos instancias de Integration Broker, una parasincronizar recursos y autorizaciones, y la otra para iniciar los recursos. En este escenario, por logeneral, se integran solo algunas aplicaciones y no se espera que un gran número de usuarios inicienaplicaciones al mismo tiempo.

Seleccione una de las instancias como Integration Broker de sincronización y otra como IntegrationBroker de SSO en la colección de aplicaciones virtuales.

Servicio de VMwareIdentity Manager


IntegrationBroker

IntegrationBroker

Sincronizar

Iniciar


VMware, Inc. 130

Entornos de producción

En entornos de producción, se recomienda la configuración de un clúster de instancias de IntegrationBroker detrás de un equilibrador de carga para fines de alta disponibilidad y de equilibrio de carga. Si unade las instancias de Integration Broker no está disponible, la sincronización y el inicio permanecendisponibles a medida que las solicitudes se redireccionan a otra instancia del clúster.

Introduzca la información del equilibrador de carga en los campos de Integration Broker desincronización e Integration Broker de SSO en la colección de aplicaciones virtuales.



IntegrationBroker

Equilibradorde carga

IntegrationBroker

Sincronizar

Iniciar

Entornos de producción de gran tamaño

En los entornos de producción de gran tamaño que integran un gran número de aplicaciones yexperimentan gran cantidad de tráfico, se recomienda configurar clústeres de Integration Broker distintospara inicio y sincronización. Configure cada clúster detrás de un equilibrador de carga. Estaconfiguración brinda la flexibilidad de aumentar el número de instancias en función de cuáles sean lasnecesidades específicas. Por ejemplo, si experimenta retrasos debido a un número elevado de iniciossimultáneos, puede agregar varias instancias de Integration Broker al clúster utilizado para el inicio.

Introduzca los equilibradores de carga adecuados en los campos de Integration Broker de sincronizacióne Integration Broker de SSO en la colección de aplicaciones virtuales.

Nota Para una instancia de Integration Broker que se usa solo para el inicio y no para la sincronización,no es necesario configurar la ejecución de comandos remotos de Citrix PowerShell. Además, si utiliza laREST API de StoreFront para conectarse a la granja de servidores de Citrix, no es necesario descargarel SDK de interfaz web de Citrix.


VMware, Inc. 131



IntegrationBroker

IntegrationBroker

Equilibradorde carga

Equilibradorde carga Integration

Broker

Sincronizar

Iniciar

Preparar el servidor de Windows para la instalación de IntegrationBrokerAntes de instalar Integration Broker, debe configurar el servidor de Windows.

El servidor de Integration Broker es compatible con los siguientes sistemas operativos.

n Windows Server 2008 R2

n Windows Server 2012

n Windows Server 2012 R2

n Windows Server 2016

Nota Windows Server 2016 es compatible con VMware Identity Manager 3.2.0.1 y versionesposteriores.

Nota Consulte las matrices de interoperabilidad de productos VMware en http://www.vmware.com/resources/compatibility/sim/interop_matrix.php para obtener la información más reciente sobre lasversiones compatibles.


VMware, Inc. 132

Agregar funciones y características de Windows Server (Windows Server2012 R2, 2012 o 2008 R2)Agregue las funciones, las características y los servicios de función necesarios en el servidor deIntegration Broker.

Nota Los pasos de este procedimiento hacen referencia a la interfaz de usuario de Windows Server2012 R2 o Windows Server 2012. Cuando corresponda, se detallan las diferencias para Windows Server2008 R2.

Para agregar funciones y servicios en Windows Server 2016, consulte Agregar funciones ycaracterísticas de Windows Server (Windows Server 2016).

Requisitos previos

n Verifique que Windows Server 2008 R2, Windows Server 2012 o Windows Server 2012 R2 esténinstalados con las actualizaciones más recientes. Para buscar actualizaciones, seleccione Panel deinformación > Windows Update.

n Cree un grupo de aplicaciones, si es necesario. Puede utilizar el grupo de aplicacionespredeterminado o crear un grupo de aplicaciones dedicado a Integration Broker.

Procedimiento

1 Seleccione Iniciar > Administrador del servidor.

2 En Administrador del servidor, seleccione Administrar > Agregar roles y características.

3 En el Asistente para agregar roles y características, haga clic en Siguiente hasta que aparezca lapágina Roles de servidor.

4 Seleccione las siguientes funciones y, a continuación, haga clic en Siguiente.

Funciones n Servidor de aplicaciones

n Servicios de archivos y de almacenamiento

n Servidor web (IIS)

Nota Al seleccionar Servidor web (IIS), aparece un cuadro de diálogo que le pide que confirme lascaracterísticas que son obligatorias para Servidor web (IIS). Compruebe que Herramientas deadministración esté incluida y haga clic en Agregar características.


VMware, Inc. 133

5 En la página Características, seleccione las siguientes características.

Características n Características de .NET Framework 3.5

n .NET Framework 3.5 (incluye .NET 2.0 y 3.0)

n Activación HTTP

Al seleccionar Activación HTTP, aparece un cuadro de diálogo que le pide que confirme lascaracterísticas que son obligatorias para Activación HTTP. Haga clic en Agregar características.

Nota En Windows Server 2008 R2, seleccione estas opciones:

n Características de .NET Framework 3.5

• .NET Framework 3.5

• Activación de WCF

• Activación HTTP

n IIS Hostable Web Core

n Servicio de activación de procesos de Windows

n Extensión WinRM IIS

Por ejemplo:

Figura 8-1. Windows Server 2012 R2

6 Haga clic en Siguiente y, a continuación, haga clic de nuevo en Siguiente para mostrar la páginaServicios de función Servidor de aplicaciones.


VMware, Inc. 134

7 En la página Servicios de función Servidor de aplicaciones, seleccione los siguientes servicios defunción.

Servicios defunciónServidor deaplicaciones

Servicios de función Servidor de aplicacionesn .NET Framework 4.5 (no lo modifique si está preseleccionado)

n Compatibilidad con servidor de web (IIS)

Nota Al seleccionar Servidor web (IIS), aparece un cuadro de diálogo que le pide que confirme lascaracterísticas que son obligatorias para Servidor web (IIS). Haga clic en Agregar características.

n Soporte del servicio de activación de procesos de Windows

n Activación HTTP

Por ejemplo:

8 Haga clic en Siguiente y de nuevo en Siguiente para mostrar la página Servicios de función Rol deservidor web (IIS).


VMware, Inc. 135

9 En la página Servicios de función Rol de servidor web (IIS), seleccione los siguientes servicios deroles.

Servicios de función Rol de servidorweb (IIS)

n Servidor web

n Acepte las selecciones predeterminadas

n Habilite la siguiente opción:

• Herramientas de administración

• Consola de administración de IIS

• Compatibilidad de administración de IIS 6

Por ejemplo:


11 Haga clic en Instalar.

12 Cuando finalice la instalación, haga clic en Cerrar para cerrar el asistente para agregar roles ycaracterísticas.

Pasos siguientes

Instale Microsoft Visual J# 2.0 Redistributable Package, si es necesario.

Agregar funciones y características de Windows Server (Windows Server2016)Agregue las funciones y las características necesarias para Windows Server en el servidor de IntegrationBroker.

Nota Los pasos de este procedimiento hacen referencia a la interfaz de usuario de Windows Server2016. Para obtener información sobre Windows Server 2012 R2, Windows Server 2012 y WindowsServer 2008 R2, consulte Agregar funciones y características de Windows Server (Windows Server 2012R2, 2012 o 2008 R2).


VMware, Inc. 136

Requisitos previos

n Está utilizando VMware Identity Manager 3.2.0.1 o una versión posterior. La instalación de IntegrationBroker en Windows Server 2016 es compatible con VMware Identity Manager 3.2.0.1 y versionesposteriores.

n Compruebe que Windows Server 2016 esté instalado y que tenga las últimas actualizaciones.

n Cree un grupo de aplicaciones, si es necesario. Puede utilizar el grupo de aplicacionespredeterminado o crear un grupo de aplicaciones dedicado a Integration Broker.

Procedimiento

1 Seleccione Iniciar > Administrador del servidor.

2 En Administrador del servidor, seleccione Administrar > Agregar roles y características.

3 En el Asistente para agregar roles y características, haga clic en Siguiente hasta que aparezca lapágina Roles de servidor.

4 En la página Funciones del servidor, seleccione las siguientes funciones.

n Servicios de archivos y de almacenamiento

n Servicios de almacenamiento

n Servidor web (IIS)

n Servidor web


VMware, Inc. 137

n Herramientas de administración



VMware, Inc. 138

6 En la página Características, seleccione las siguientes características.


n .NET Framework 3.5 (incluye .NET 2.0 y 3.0)

n Activación HTTP

Al seleccionar Activación HTTP, aparece un cuadro de diálogo que le pide que confirme lascaracterísticas que son obligatorias para Activación HTTP. Haga clic en Agregarcaracterísticas.


n .NET Framework 4.6

n ASP.NET 4.6

n Servicios de WCF

n Administración de directivas de grupo

n IIS Hostable Web Core

n Management OData IIS Extension

n Media Foundation

n Message Queue Server

n Servicios de Message Queue Server


VMware, Inc. 139

n Herramientas de administración remota del servidor

n Compatibilidad con el uso compartido de archivos SMB 1.0/CIFS

n Cliente Telnet

n Funciones de Windows Defender


VMware, Inc. 140

n Windows PowerShell

n Servicio de activación de procesos de Windows

n Extensión WinRM IIS

n Compatibilidad con Wow64


VMware, Inc. 141

7 Haga clic en Siguiente y, en la página de confirmación, haga clic en Instalar.

8 Cuando finalice la instalación, haga clic en Cerrar para cerrar el asistente para agregar roles ycaracterísticas.

Pasos siguientes

Instale Microsoft Visual J# 2.0 Redistributable Package, si es necesario.

Instalar Microsoft Visual J# 2.0 Redistributable Package de 64 bitsDescargue e instale Microsoft Visual J#® 2.0 Redistributable Package - Second Edition (64 bits). Estepaso no es necesario si va a utilizar la REST API de Citrix StoreFront en lugar del Citrix Web InterfaceSDK para conectarse a la granja de servidores de Citrix.

Procedimiento

1 Descargue Microsoft Visual J# 2.0 Redistributable Package - Second Edition (64 bits) desde el sitioweb de Microsoft.

2 Haga doble clic en el archivo vjredist.exe y siga las instrucciones del asistente para instalar elpaquete.

Implementar Integration BrokerPara implementar Integration Broker, debe descargar e instalar Integration Broker en un servidor deWindows compatible, configurar las opciones de Administrador de IIS y configurar los enlaces HTTPS yHTTP.

Instalación de Integration BrokerInstale Integration Broker en el servidor de Windows que ha configurado.


VMware, Inc. 142

Requisitos previos

n Prepare el servidor de Windows. Consulte Preparar el servidor de Windows para la instalación deIntegration Broker.

n Descargue Integration Broker desde la página del producto VMware Identity Manager en MyVMware.

Procedimiento

1 Inicie sesión como administrador de Windows.

2 Haga clic en el archivo setup.exe para ejecutar el instalador de Integration Broker.

3 Acepte el acuerdo de licencia de usuario final.

4 Seleccione la ubicación web en la que desee instalar Integration Broker.

5 (opcional) Si creó un grupo de aplicaciones independiente para Integration Broker, seleccione elgrupo de aplicaciones.

Precaución No cambie el nombre del directorio virtual (Virtual Directory).

6 Haga clic en Siguiente para finalizar la instalación de Integration Broker.

Pasos siguientes

Configure los valores del Administrador de IIS.

Configurar el administrador de IISConfigure los ajustes necesarios del administrador de IIS para Integration Broker.

Nota Consulte los pasos de este procedimiento para la interfaz de usuario de Windows Server 2012 oWindows Server 2012 R2.

Requisitos previos

Las credenciales del usuario de identidades. El usuario de identidades debe cumplir los siguientesrequisitos:

n Usuario del dominio

n Privilegios para habilitar la ejecución de comandos remotos de PowerShell en el servidor deIntegration Broker:

a Iniciar PowerShell con privilegios de administrador

b Ejecutar Enable-PSRemoting

n Uno de los siguientes roles en el servidor de Citrix:

n Al menos un administrador de solo lectura (versión 7.x) o un administrador de solo visualización(versión 6.x)


VMware, Inc. 143



n Un rol de administrador personalizado que tenga permisos para ejecutar los siguientes cmdletsde PowerShell. Estos cmdlets se utilizan para recuperar información sobre las aplicaciones, elservidor, la granja y los iconos de la granja de servidores de Citrix.

En XenApp 6.5:

Get-XAApplication

Get-XAServer

Get-XAAccount

Get-XAApplicationIcon

Get-XAFarm

En XenApp o XenDesktop 7.x:

Get-BrokerApplication

Get-BrokerIcon

Get-BrokerDesktopGroup

Get-BrokerAccessPolicyRule

Get-BrokerAppEntitlementPolicyRule

Get-BrokerIcon

Get-BrokerEntitlementPolicyRule

Procedimiento

1 Haga clic en Iniciar > Administrador del servidor.

2 En el administrador del servidor, seleccione Herramientas > Administrador de InternetInformation Services (IIS).

3 En Administrador de IIS, configure el grupo de aplicaciones que se seleccionó durante la instalaciónde Integration Broker.

Sugerencia Para comprobar que el grupo de aplicaciones sea el correcto, haga clic en Grupos deaplicaciones en el panel izquierdo, haga clic con el botón secundario en el grupo de aplicaciones yseleccione Ver aplicaciones; posteriormente, compruebe que Integration Broker aparece en la lista.

a En el panel izquierdo, haga clic en Grupos de aplicaciones.

b Seleccione el grupo de aplicaciones que utiliza para Integration Broker.

c En el panel derecho, haga clic en Opciones avanzadas.


VMware, Inc. 144

d En el cuadro de diálogo Opciones avanzadas, configure los siguientes ajustes.


Versión CLR de .NET Compruebe que el valor es v2.0.

Nota En Windows 2012 y Windows 2012 R2, el grupo de aplicaciones sepuede haber configurado de forma predeterminada para una versión de .NETdiferente. Asegúrese de que se configura como v2.0.

Habilitar aplicaciones de 32 bits Establezca el valor como True.

Identidad 1 Haga clic en Identidad.

2 Haga clic en el icono ....3 En el cuadro de diálogo Identidad del grupo de aplicaciones que se abre,

haga clic en Cuenta personalizada y, a continuación, haga clic enEstablecer.

4 Introduzca el nombre de usuario y la contraseña para el usuario deidentidades. Consulte los requisitos para el usuario de identidades en lasección de requisitos previos.

5 Haga clic en Aceptar y en Aceptar de nuevo.

e Haga clic en Aceptar para cerrar el cuadro de diálogo Opciones avanzadas.


VMware, Inc. 145

Configurar el enlace del sitio HTTPS para Integration BrokerDebe establecer el enlace del sitio HTTPS para Integration Broker. Para establecerlo, necesita uncertificado SSL para el servidor de Integration Broker. Puede obtener un certificado de una entidad decertificación o crear un certificado autofirmado.

Nota Si utiliza VMware Enterprise Systems Connector en Windows y va a instalar Integration Broker enel mismo servidor que el conector, asegúrese de que los puertos de enlace HTTP y HTTPS no entren enconflicto con los puertos usados por el componente VMware Identity Manager Connector.

El componente VMware Identity Manager Connector siempre utiliza el puerto 80. También utiliza el 443, amenos que se configure un puerto diferente durante la instalación. Para obtener más información sobrelos puertos utilizados, consulte Instalación y configuración de VMware Enterprise Systems Connector.

Se recomienda instalar Integration Broker y VMware Enterprise Systems Connector en diferentesservidores.

Requisitos previos

n Obtenga un certificado SSL para el servidor de Integration Broker. Puede conseguir un certificado deuna entidad de certificación o crear un certificado autofirmado. Instale el certificado en MicrosoftStore en el servidor de Integration Broker.

Consulte Ejemplo: Crear un certificado autofirmado mediante Administrador de IIS y Ejemplo: Crearun certificado autofirmado mediante OpenSSL.

Nota Si utiliza VMware Enterprise Systems Connector en Windows y ha instalado Integration Brokeren el mismo servidor que el conector, puede utilizar el certificado autofirmado que se genera durantela instalación del conector. Instale el certificado en Microsoft Store y utilícelo para el enlace HTTPS.

n Si utiliza una CA interna para crear el certificado, para habilitar VMware Identity Manager de modoque confíe en el certificado, debe cargar el certificado raíz de la entidad de certificación interna enhttps://vidmHostname:8443/cfg/ssl en la pestaña Terminar SSL en un equilibrador de carga,donde vidmHostname es la instancia de VMware Identity Manager donde se configura la integraciónde Citrix. En un entorno de SaaS, vaya a https://connectorHostname:8443/cfg/ssl.

Procedimiento

1 En Administrador de IIS, en el panel izquierdo, haga clic en el sitio web en el que instaló IntegrationBroker.

Sugerencia Para comprobar que el sitio web es correcto, expanda el sitio en el panel izquierdo ycompruebe que Integration Broker aparece en él.

2 En el panel derecho, bajo Editar sitio, haga clic en Enlaces.

3 Agregue el enlace HTTPS utilizando el certificado que ha creado.

a Haga clic en Agregar.

b En el campo Tipo, seleccione https.


VMware, Inc. 146

c Si utiliza IIS 8.0 o una versión posterior, compruebe que el campo Nombre de host esté vacío.No debe tener ningún valor.

d En el campo Certificado SSL, seleccione el certificado SSL que ha creado.

Por ejemplo:

e Haga clic en Aceptar.

4 Reinicie IIS.

a Abra la ventana de símbolo del sistema como administrador.

b Escriba iisreset.

Pasos siguientes

Compruebe los enlaces.

n Verifique que el enlace HTTP produzca el resultado esperado; para ello, escriba http://hostname /IB/API/RestServiceImpl.svc/ibhealthcheck en la barra de dirección de un navegador.

Resultado esperado:

All ok

n Verifique que el enlace HTTPS produzca el resultado esperado; para ello, escriba https://hostname /IB/API/RestServiceImpl.svc/ibhealthcheck en la barra de dirección de un navegador.

Resultado esperado:

All ok

Nota En Internet Explorer, no se muestra directamente la salida All ok. En su lugar, se descarga elarchivo de salida. Abra el archivo para ver la salida.

Ejemplo: Crear un certificado autofirmado mediante Administrador de IIS

Se puede crear un certificado autofirmado para el servidor de Integration Broker mediante Administradorde IIS.


VMware, Inc. 147

Procedimiento

1 Inicie Administrador de IIS.

2 Vaya a Certificados de servidor.

3 En el panel derecho, bajo Acción, seleccione Crear certificado autofirmado.

4 Siga las instrucciones del asistente para generar el certificado autofirmado.

El certificado se instala automáticamente en Microsoft Store en el servidor de Integration Broker.

Pasos siguientes

Utilice el certificado para el enlace HTTPS para el sitio web de Integration Broker.

Ejemplo: Crear un certificado autofirmado mediante OpenSSL

En estas instrucciones se proporciona una muestra de cómo establecer un certificado autofirmado conOpenSSL para Integration Broker.

Procedimiento

1 Cree un certificado autofirmado para el servidor de Integration Broker.

2 Cree la carpeta ibcerts para utilizar como el directorio de trabajo.


VMware, Inc. 148

3 Cree un archivo de configuración con el comando vi openssl_ext.conf.

a Copie los siguientes comandos de OpenSSL y péguelos en el archivo de configuración.

# openssl x509 extfile params

extensions = extend

[req] # openssl req params

prompt = no

distinguished_name = dn-param

[dn-param] # DN fields

C = US

ST = CA

O = VMware (Dummy Cert)

OU = Horizon Workspace (Dummy Cert)

CN = hostname (Virtual machine hostname where the Integration Broker is installed. )

emailAddress = EMAIL PROTECTED

[extend] # openssl extensions

subjectKeyIdentifier = hash

authorityKeyIdentifier = keyid:always

keyUsage = digitalSignature,keyEncipherment

extendedKeyUsage=serverAuth,clientAuth

[policy] # certificate policy extension data

Nota Escriba el valor CN antes de guardar el archivo.

b Ejecute este comando para generar una clave privada.

openssl genrsa -des3 -out server.key 1024

c Escriba la frase de contraseña de server.key, por ejemplo, vmware.

d Cambie el nombre del archivo server.key a server.key.orig.

mv server.key server.key.orig

e Elimine la contraseña asociada a la clave.

openssl rsa -in server.key.orig -out server.key

4 Cree una solicitud de firma del certificado (CSR) con la clave generada. El server.csr sealmacenará en su directorio de trabajo.

openssl req -new -key server.key -out server.csr -config ./openssl_ext.conf


VMware, Inc. 149

5 Firme el CSR.

openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt -

extfile openssl_ext.conf

Se mostrará la salida esperada.

Signature ok subject=/C=US/ST=CA/O=VMware (Dummy Cert)/OU=Horizon Workspace

(Dummy Cert)/CN=w2-hwdog-xa.vmware.com/emailAddress=EMAIL PROTECTED Getting

Private key

6 Cree el formato P12.

openssl pkcs12 -export -in server.crt -inkey server.key -out server.p12

a Pulse Intro en el mensaje para una contraseña exportada.

Importante No introduzca la contraseña.

La salida esperada es el archivo server.p12.

b Mueva el archivo server.p12 a la máquina de Windows dónde se instaló Integration Broker.

c En el mensaje, escriba mmc.

d Haga clic en Archivo > Agregar o quitar complementos.

e En la ventana Complementos, haga clic en Certificados y en Agregar.

f Seleccione el botón de selección Cuenta de equipo.

7 Importe el certificado en los certificados de tienda personal y raíz.

a Seleccione Todos los archivos en el cuadro de diálogo.

b Seleccione el archivo server.p12.

c Haga clic en la casilla de verificación para habilitar la exportación.

d Deje la contraseña en blanco.

e Acepte los valores predeterminados de los pasos siguientes.

8 Copie el certificado en las CA raíz de confianza de la misma consola mmc.

9 Compruebe que el contenido del certificado incluye estos elementos.

n Clave privada

n CN en el atributo del sujeto que coincide con el nombre de host de Integration Broker.

n Atributo de uso de clave ampliada con autenticación tanto de cliente como de servidor habilitada


VMware, Inc. 150

Habilitar la ejecución de comandos remotos de Citrix PowerShellDebe habilitar las invocaciones remotas entre Integration Broker y la granja de servidores de Citrixmediante la ejecución de comandos remotos de Citrix PowerShell.

Para configurar la ejecución de comandos remotos de Citrix PowerShell, instale el SDK de CitrixPowerShell en el servidor de Integration Broker y compruebe que la ejecución de comandos remotos dePowerShell esté habilitada en los servidores de Citrix.

En el servidor de Integration Broker, debe instalar la versión adecuada del SDK de Citrix PowerShell. Sise conecta a varias versiones de granjas de servidores de Citrix, instale todas las versiones necesariasdel SDK de Citrix PowerShell en el servidor de Integration Broker cuando el SDK no tenga compatibilidadcon versiones anteriores.

La ejecución de comandos remotos de PowerShell debe habilitarse en los servidores de Citrix para queel servidor de Integration Broker pueda conectarse a ellos y recuperar la información requerida, comoinformación de los recursos, las autorizaciones y los iconos. Debe habilitar la ejecución de comandosremotos de PowerShell solo en los controladores de entrega o los agentes XML que configure enVMware Identity Manager, no en todos los servidores de la granja de servidores. En XenApp oXenDesktop 7.x, estos son los controladores de entrega, que también actúan como agentes XML. En lasgranjas de servidores de Citrix 5.0, 6.0 o 6.5, estos son los servidores de agentes XML.

Para granjas de servidores de Citrix 6.0 y 5.0, la ejecución de comandos remotos de Citrix PowerShellrequiere un canal HTTPS seguro para realizar llamadas remotas. Asegúrese de que los controladores deentrega o los agentes XML de Citrix tengan certificados SSL válidos.

Instalar el SDK de Citrix PowerShell en el servidor de Integration BrokerDebe instalar el SDK de Citrix PowerShell en el servidor de Integration Broker para habilitar lasconexiones entre el servidor de Integration Broker y la granja de servidores de Citrix.

Descargue e instale la versión del SDK de Citrix PowerShell que corresponda a la granja de servidoresde Citrix que va a integrar con VMware Identity Manager. Si se conecta a varias versiones de granjas deservidores de Citrix, instale todas las versiones necesarias del SDK de Citrix PowerShell en el servidorde Integration Broker cuando el SDK no tenga compatibilidad con versiones anteriores.

Procedimiento

1 Inicie sesión en el servidor de Integration Broker.


VMware, Inc. 151

2 Si va a conectarse a XenApp o XenDesktop 7.x, siga estos pasos.

a Descargue e instale Citrix Studio en el servidor de Integration Broker.

b Verifique la instalación.

1 Abra Windows PowerShell como administrador.

2 Introduzca este comando:

Add-PSSnapin Citrix*

3 Introduzca los siguientes comandos:

Get-BrokerDesktopGroup -AdminAddress CitrixDeliveryController

Get-ConfigSite -AdminAddress CitrixDeliveryController

Nota Si aparece un error de autenticación, establezca la directiva de ejecución con elcomando set-executionpolicy remotesigned y, a continuación, vuelva a ejecutar loscomandos.

3 Si va a conectarse a una granja de servidores de Citrix 6.5, siga estos pasos.

a Descargue e instale el SDK de Citrix PowerShell 6.5 en el servidor de Integration Broker.

b Verifique la instalación.

1 Abra Archivos de programa > Módulo de Citrix PowerShell.

2 Introduzca este comando:

Get-XAApplication -ComputerName CitrixServer

Verifique que la lista incluya todas las aplicaciones alojadas de Citrix.

Nota Si se produce un error en el comando, compruebe el servicio de comandos remotosde XenApp se esté ejecutando en el servidor de Citrix.

4 Si va a conectarse a una granja de servidores de Citrix 6.0 o 5.0, descargue e instale el SDK deCitrix PowerShell 6.0 o 5.0 en el servidor de Integration Broker, dependiendo de la versión de sugranja de servidores de Citrix.

Habilitar la ejecución de comandos remotos de Citrix PowerShell en la granjade servidores de CitrixHabilite la ejecución de comandos remotos de Citrix PowerShell en la granja de servidores de Citrix, si esnecesario.

n En Citrix XenApp o XenDesktop 7.x, compruebe que la ejecución de comandos remotos dePowerShell esté habilitada en los controladores de entrega a los que se conectará VMware IdentityManager.

n En Citrix 6.5, compruebe que se esté ejecutando el servicio de ejecución de comandos remotos deCitrix XenApp en los agentes XML a los que se conectará VMware Identity Manager.


VMware, Inc. 152

n En Citrix 6.0 o 5.0, habilite la ejecución de comandos remotos de PowerShell. Consulte Configurar laejecución de comandos remotos de Citrix PowerShell en las granjas de servidores de Citrix versiones5.0 o 6.0.

Configurar la ejecución de comandos remotos de Citrix PowerShell en las granjas deservidores de Citrix versiones 5.0 o 6.0

Se debe habilitar la ejecución de comandos remotos de Citrix PowerShell en los servidores de Citrix XMLBroker que se vayan a integrar con VMware Identity Manager. La ejecución de comandos remotos deCitrix PowerShell permite las conexiones entre Integration Broker y la granja de servidores de Citrix.

Nota Debe habilitar la ejecución de comandos remotos de Citrix PowerShell solo en aquellos agentesXML que se configurarán en VMware Identity Manager, no en todos los servidores de la granja deservidores.

Requisitos previos

n Si Winrm no está instalado, descargue e instale Winrm desde el sitio Web de Microsoft.

n Compruebe que los agentes XML de Citrix tengan certificados SSL válidos. Además, haga clic enPropiedades y verifique que la autenticación de servidor esté habilitada para los certificados.

Procedimiento

1 Abra PowerShell en modo de administrador.

2 Habilite la ejecución de comandos remotos de Citrix PowerShell.

a Escriba el comando Get-Service winrm para verificar que Winrm esté instalado en el servidor.

b Escriba el comando Enable-PSRemoting.

Este comando habilita la ejecución de comandos remotos de PowerShell en el servidor.

c Instale Citrix PowerShell SDK 5.0 o 6.0, según la versión del servidor Citrix.

d Habilite la escucha HTTPS desde la símbolo del sistema en winrm.

1 Cree un certificado en el servidor.

2 Registre la huella del certificado.

3 Verifique que la huella del certificado esté configurada.

winrm quickconfig -transport:https


VMware, Inc. 153

e Verifique que se haya creado la escucha.

winrm e winrm/config/listener

El servidor está listo para su uso.

f Después de crear la escucha, vaya al servidor de Integration Broker y verifique que la ejecuciónde comandos remotos de PowerShell esté instalada correctamente.

winrm identify -r:https://XENAPP_HOSTNAME:5986 -u:USERNAME

Salida:

IdentifyResponse

ProtocolVersion=http://schemas.dmtf.org/wbem/wsman/1/wsman.xsd

ProductVendor=Microsoft Corporation

ProductVersion=OS: 6.0.6002 SP: 2.0 Stack: 2.0

Comprobar la conexión con la granja de servidores de CitrixDespués de implementar Integration Broker y configurar la ejecución de comandos remotos dePowerShell, compruebe la conexión con la granja de servidores de Citrix.

Procedimiento

1 En un navegador, introduzca la URL adecuada para la versión de la granja de Citrix.

n Granja de servidores de Citrix XenApp o XenDesktop 7.x

https://IBhostname/IB/API/RestServiceImpl.svc/hznxenapp/admin/xenfarminfo?computerName=XenAppServerHostname&xenappversion=Version7x

n Granja de servidores de Citrix 6.5

https://IBhostname/IB/API/RestServiceImpl.svc/hznxenapp/admin/xenfarminfo?computerName=XenAppServerHostname&xenappversion=Version65orLater

n Granja de servidores de Citrix 5.0 o 6.0

https://IBhostname/IB/API/RestServiceImpl.svc/hznxenapp/admin/xenfarminfo?computerName=XenAppServerHostname&xenappversion=Legacy

2 Revise la salida.

Si Integration Broker está configurado correctamente, la página mostrará información de la granja deservidores de Citrix como la siguiente:

"[{\"FarmName\":\"test data\",\"ServerVersion\":\" 6.0.6410\",\"AdministratorType\":\"Full

\",\"SessionCount\":\"2\",\"MachineName\":\"test data\"}]”

Si la página web no muestra la información de la granja de servidores, revise los registros delservidor de Integration Broker en %programdata%/VMware/HorizonIntegrationBroker.


VMware, Inc. 154

Descargar Citrix Web Interface SDK (versión 5.4)Citrix Web Interface SDK se utiliza para autenticar y generar el archivo ICA de los Citrix DeliveryController o los agentes XML para iniciar aplicaciones y escritorios publicados de Citrix.

Nota Si va a utilizar la REST API de Citrix StoreFront para comunicarse con la granja de Citrix a fin degenerar el archivo ICA, no es necesario que instale Citrix Web Interface SDK.

Procedimiento

1 Descargue Citrix Web Interface SDK 5.4 (archivo zip WISDK) del sitio web de Citrix.

2 Descomprima el archivo wisdk.zip.

3 Copie el contenido del directorio WI5_4_0_SDK/zipfiles/sdkdemo/wisdk en el directorio binpredeterminado de Integration Broker en c:\inetpub\wwwroot\IB\bin.

4 Reinicie IIS.

a Abra la ventana de símbolo del sistema como administrador.

b Escriba iisreset.

Configurar las granjas de servidores de Citrix en VMwareIdentity ManagerPara configurar las granjas de servidores de Citrix XenApp y XenDesktop en VMware Identity Manager,cree una o varias colecciones de aplicaciones virtuales en la página Configuración de aplicacionesvirtuales, que contienen la información de configuración, como los servidores de Citrix desde los que sesincronizan los recursos y las autorizaciones, Integration Broker que se utilizará para la sincronización ySSO, el conector de VMware Identity Manager que se utilizará para la sincronización y la configuracióndel administrador, como el cliente de inicio predeterminado.

Puede agregar sus granjas de servidores de Citrix en una colección o crear varias colecciones, segúncuáles sean sus necesidades. Por ejemplo, puede decidir crear una colección independiente para cadagranja para facilitar la administración y distribuir la carga de la sincronización entre diferentes conectores.O, puede optar por incluir todas las granjas de servidores en una colección para un entorno de prueba ytener otra colección idéntica para el entorno de producción.

Antes de configurar recursos publicados de Citrix en VMware Identity Manager, asegúrese de quecumple con todos los requisitos previos.

Además, siga estas directrices para configurar la granja de servidores de Citrix.

n Sincronizar grupos de entrega

La opción Tipo de entrega de un grupo de entrega de Citrix determina cómo sincroniza VMwareIdentity Manager dicho grupo.


VMware, Inc. 155

VMware Identity Manager sincroniza un grupo de entrega únicamente si el Tipo de entrega estáconfigurado como Escritorios y aplicaciones o Solo escritorios. Si el Tipo de entrega del grupo estáconfigurado como Solo aplicaciones, estas se sincronizan pero el grupo de entrega no lo hace y noaparece en el catálogo de VMware Identity Manager.

Configure los grupos de entrega correctamente.

n En XenDesktop y XenApp 7.9, si utiliza la opción Grupo de visibilidad limitada para restringir a losusuarios, asegúrese de que Grupo de visibilidad limitada contenga usuarios o grupos. Si no contieneningún usuario o grupo, la sincronización con VMware Identity Manager no funcionará.

n Asegúrese de que todas las aplicaciones y todos los escritorios publicados de Citrix en un sitiocontengan usuarios válidos. Si elimina un usuario o un grupo, asegúrese de quitarlo también de losrecursos publicados de Citrix.

n Asegúrese de que los usuarios y los grupos se hayan asignado al grupo de entrega correcto.

Si selecciona una configuración para restringir a los usuarios, asegúrese de que incluya usuarios ygrupos.

n XenDesktop y XenApp 7.x le permiten establecer autorizaciones para todos los usuariosautenticados en el nivel de grupo de entrega con la opción "Permitir que cualquier usuarioautenticado utilice este grupo de entrega". VMware Identity Manager no admite esta configuración.Para asegurarse de que los usuarios tengan las autorizaciones correctas en VMware IdentityManager, establezca autorizaciones explícitas para los usuarios y grupos.

Requisitos previos

n Configure VMware Identity Manager. Para obtener más información, consulte Instalar y configurarVMware Identity Manager y Administración de VMware Identity Manager.

n Asegúrese de que los usuarios y grupos con autorizaciones de Citrix se hayan sincronizado desde eldirectorio empresarial a VMware Identity Manager mediante la sincronización de directorios.

Los usuarios deben tener el atributo distinguishedName. Si no está establecido este atributo paraun usuario, es posible que el usuario no pueda ejecutar aplicaciones y escritorios.

n Implemente Integration Broker y asegúrese de que cumple todos los requisitos descritos enRequisitos previos para la integración de Citrix.

n Si utiliza un equilibrador de carga delante de Integration Broker, tenga en cuenta el nombre de host ola dirección IP del equilibrador de carga para su uso durante esta tarea.

n Si desea usar la opción Utilizar StoreFront, disponible en VMware Identity Manager 2.9.1 y versionesposteriores, asegúrese de que se cumplan los siguientes requisitos.

n Instale Integration Broker 2.9.1 o una versión posterior.

n Asegúrese de que StoreFront sea compatible con la versión de XenApp o XenDesktop que estáutilizando.

n Asegúrese de que Integration Broker se pueda comunicar con el servidor de StoreFront.


VMware, Inc. 156

Cuando se habilita la REST API de StoreFront, Integration Broker se comunica con el servidor deStoreFront para generar el archivo ICA.

n Si en el servidor de StoreFront configura dominios de confianza para el método de autenticación"Nombre de usuario y contraseña", asegúrese de agregar nombres de dominio en el formato denombre de dominio completo a la lista "Dominios de confianza". VMware Identity Managerrequiere el nombre de dominio completo. Para obtener más información, consulte Inicio deaplicaciones y escritorios publicados de Citrix.

n Revise la documentación de Citrix para su versión de Citrix XenApp o XenDesktop.


Procedimiento

1 Inicie sesión en la consola administrativa de VMware Identity Manager.


3 Haga clic en Agregar aplicaciones virtuales y seleccione Aplicaciones publicadas de Citrix.



Si configuró varios conectores para alta disponibilidad, haga clic en Agregar conector y seleccionelos conectores. El orden en el que se muestran los conectores determina el orden de conmutaciónpor error.

6 En la sección Integration Broker de sincronización, brinde información acerca de la instancia deIntegration Broker que desee utilizar para sincronizar los recursos.

a Introduzca el nombre de dominio completo y el número de puerto de Integration Broker desincronización.

Si se configuró un equilibrador de carga frente a varias instancias de Integration Brokerdedicadas a la sincronización, introduzca el nombre de host o la dirección IP y el número depuerto del equilibrador de carga.

b Para conectarse a Integration Broker mediante SSL, active la casilla de verificación Usar SSL ycopie y pegue el certificado SSL del servidor de Integration Broker.

Nota Si utiliza un certificado autofirmado, también cargue el certificado en la páginaConfiguración del dispositivo > Administrar la configuración > Instalar certificados SSL >CA de confianza. Para los conectores externos, la página es https://connectorFQDN: 8443/cfg/ssl. Si seleccionó más de un conector de sincronización, agregue el certificado a la páginaInstalar certificados SSL > CA de confianza de todos los conectores.


VMware, Inc. 157

7 En la sección Integration Broker de SSO, brinde información acerca de la instancia de IntegrationBroker que desee utilizar para iniciar los recursos. Debe conectarse a Integration Broker de SSL através de SSL.

a Introduzca el nombre de dominio completo y el número de puerto de Integration Broker de SSO.

Si se configuró un equilibrador de carga frente a varias instancias de Integration Brokerdedicadas a proporcionar SSO, introduzca el nombre de dominio completo y el número de puertodel equilibrador de carga.

Nota No utilice la dirección IP.

b En el campo Certificado SSL, copie y pegue el certificado SSL del servidor de IntegrationBroker.

Nota Si utiliza un certificado autofirmado, también cargue el certificado en la páginaConfiguración del dispositivo > Administrar la configuración > Instalar certificados SSL >CA de confianza. Para los conectores externos, la página es https://connectorFQDN: 8443/cfg/ssl. Si seleccionó más de un conector de inicio, agregue el certificado a la página Instalarcertificados SSL > CA de confianza de todos los conectores.

8 En la sección Granjas de servidores, introduzca los detalles de la granja de servidores de Citrix.

Para agregar varias granjas, haga clic en +Agregar granja de servidores.


Versión Seleccione la versión de la granja de servidores de Citrix: 5.0, 6.0, 6.5 o 7.x.

Utilizar StoreFront Seleccione esta opción si desea que los recursos de XenApp se inicien mediantela REST API de Citrix StoreFront. Cuando se selecciona esta opción, IntegrationBroker utiliza la REST API de Citrix StoreFront para comunicarse con el servidorde StoreFront y recuperar el archivo ICA. Si no se selecciona esta opción,Integration Broker utiliza el SDK de interfaz web de Citrix para comunicarse con loscomponentes de Citrix y recuperar el archivo ICA.

Nota Si marca o desmarca esta opción después de la configuración inicial y lasincronización, guarde la configuración y después sincronice nuevamente paraque los cambios surtan efecto.

URL de StoreFront Introduzca la URL de servidor de StoreFront en el siguiente formato:transportType://storefrontServerFQDN/Citrix/storenameWeb

Por ejemplo: http://xen76.ejemplo.com/Citrix/mystoreWeb

Nota Esta es la URL del sitio web para el receptor web de almacenamiento.

Importante También debe especificar esta dirección URL en el campo Host deURL de acceso de cliente al configurar los rangos de redes internas de XenApp.

Nombre del servidor Nombre del servidor asignado al entorno.


VMware, Inc. 158


Servidores (en orden de conmutaciónpor error)

Organizar los agentes XML de Citrix (servidores) en orden de conmutación porerror. VMware Identity Manager respeta este orden durante el SSO y ensituaciones de conmutación por error.

Nota Los agentes XML deben tener habilitado los comandos remotos dePowerShell.

Tipo de transporte Tipo de transporte utilizado en la configuración del servidor Citrix: HTTP, HTTPS oSSL RELAY.

Nota El tipo de transporte y el puerto deben coincidir con la configuración delservidor de Citrix.

Puerto Configuración de los puertos utilizados en la configuración del servidor Citrix

Nota El tipo de transporte y el puerto deben coincidir con la configuración delservidor de Citrix.

Servidor STA Si utiliza NetScaler, debe especificar un servidor STA para la granja.

a Especifique el servidor STA para la granja de Citrix.

Introduzca la URL de servidor STA en el siguiente formato:

transporttype://server:port

Por ejemplo: http://staserver.example.com:80

En la URL solo se admiten caracteres alfanuméricos, puntos (.) y guiones (-).

b Haga clic en Agregar a la lista.

El servidor aparecerá en la lista Servidores STA de XenApp.

c Introduzca otros servidores STA si es necesario. Por ejemplo, es posible quedesee especificar un segundo servidor STA por motivos relacionados con lasconmutaciones por error.

Especifique el servidor STA para la granja de Citrix, si está utilizando NetScaler.

Servidores STA de XenApp (en ordende conmutación por error)

Especifique el orden de conmutación por error para los servidores STA queagregó.

9 Para agregar otro conjunto de servidores, haga clic en Agregar granja e introduzca la información

de configuración para la granja.

10 Seleccione Categorías de sincronización de las granjas de servidores si desea sincronizar lascategorías de las granjas de Citrix en VMware Identity Manager.

11 Seleccione No sincronizar aplicaciones duplicadas para impedir que se sincronicen aplicacionesduplicadas de varios servidores. Al implementar VMware Identity Manager en varios centros dedatos, se configuran los mismos recursos en todos ellos. Al seleccionar esta opción, se evita laduplicación de los grupos de escritorios y aplicaciones en el catálogo de VMware Identity Manager.


VMware, Inc. 159


Puede configurar una programación de sincronización periódica o elegir sincronizar manualmente. Siselecciona Manual, debe hacer clic en Sincronizar en la página Configuración de aplicacionesvirtuales después de configurar la colección y cada vez que se realice un cambio en los recursos olas autorizaciones publicados de Citrix.

13 En la lista desplegable de Tipo de implementación, seleccione la manera en la que los recursospublicados de Citrix se deben poner a disposición de los usuarios en Workspace ONE.





Se crea la colección, que aparece en la página Aplicaciones virtuales. No se sincronizan aún losrecursos en la colección.

15 Para sincronizar los recursos en la colección a VMware Identity Manager, haga clic en Sincronizaren la página Configuración de aplicaciones virtuales.

Cada vez que las autorizaciones o los recursos cambian en Citrix, es necesario realizar unasincronización para propagar los cambios a VMware Identity Manager.

Nota La función de grupo de usuarios anónimo del producto Citrix no es compatible con VMwareIdentity Manager.

Los recursos publicados de Citrix y las autorizaciones correspondientes se sincronizarán con VMwareIdentity Manager.

Pasos siguientes

Configure rangos de redes para iniciar un recurso.

Configurar el inicio de los recursos de Citrix en VMwareIdentity ManagerDespués de configurar la página Aplicaciones publicadas de Citrix, configure los rangos de IP de redpara iniciar recursos. Puede especificar si el tráfico de inicio (tráfico de ICA) de la aplicación o elescritorio de los usuarios en determinados rangos de redes se dirige a través de NetScaler o a través de


VMware, Inc. 160

una conexión directa al servidor XenApp. Esto le permite satisfacer las necesidades de los usuariossobre el acceso externo e interno a los recursos de Citrix de su implementación.

Cuando un usuario inicia una aplicación o un escritorio desde el portal de Workspace ONE, el tráfico deICA se dirige al servidor XenApp a través de NetScaler si la dirección IP del usuario se encuentra dentrodel rango de redes configurado para NetScaler. Si la dirección IP coincide con el rango de la conexióndirecta, el tráfico de ICA se dirigirá directamente al servidor XenApp.

Configurar el inicio de recursos para la red internaPuede configurar los rangos de redes para los cuales el tráfico de inicio (tráfico de ICA) de la aplicación oel escritorio de los usuarios debe dirigirse directamente al servidor XenApp. Por lo general, se utiliza paraproporcionar acceso interno a los recursos publicados de Citrix.

Cuando un usuario inicia una aplicación o un escritorio desde el portal de Workspace ONE, el tráfico deICA se dirige directamente al servidor XenApp si la dirección IP del usuario coincide con el rango deconexión directa.

Nota Para configurar el inicio de recursos para redes externas, consulte Configurar el inicio de recursospara redes externas con NetScaler.

Procedimiento








5 Seleccione el rango de redes por configurar para iniciar un recurso de Citrix interno.


VMware, Inc. 161

6 En la sección XenApp de la página, introduzca la siguiente información.

a Introduzca el nombre de host del servidor XenApp en el campo Host de la URL de acceso decliente. Por ejemplo: hostxenapp.ejemplo.com

Si hay un equilibrador de carga al frente de los servidores de XenApp, introduzca la URL deacceso de cliente en el siguiente formato:

URLdeequilibradodecarga/citrix/storeweb

Nota Si activó la casilla de verificación Utilizar StoreFront para la granja de servidores al crearla colección de aplicaciones virtuales de Citrix, escriba la misma dirección URL que introdujo enel campo URL de StoreFront.

b Introduzca el puerto en el campo Puerto de URL. Por ejemplo: 443

Si introduce una dirección URL de equilibrador de carga en el campo URL de acceso de cliente,utilice el puerto 443.

c Desactive la casilla NetScaler para las conexiones directas.

7 Haga clic en Finalizar.

Configurar el inicio de recursos para redes externas con NetScalerVMware Identity Manager es compatible con las implementaciones de Citrix que incluyen NetScaler. Losdispositivos de NetScaler suelen utilizarse para proporcionar acceso externo a los escritorios o a lasaplicaciones XenDesktop o XenApp.

Si su implementación de Citrix incluye un dispositivo de NetScaler, puede configurar VMware IdentityManager con las opciones adecuadas para que el tráfico se dirija al servidor XenApp a través deNetScaler cuando los usuarios inicien recursos de Citrix.

En VMware Identity Manager, debe especificar el servidor STA para cada granja XenApp. El servidorSTA se utiliza para generar y validar tickets STA durante el proceso de inicio de la aplicación.


VMware, Inc. 162

Asimismo, puede establecer directivas en los rangos de IP de la red del cliente que especifiquen si eltráfico de inicio se dirige al servidor XenApp a través de NetScaler o si se dirige directamente a esteservidor. Esto le permite satisfacer las necesidades de acceso interno y externo.

Nota VMware Identity Manager también admite la puerta de enlace segura de Citrix. Los pasos deconfiguración de esta sección se aplican tanto a NetScaler como a la puerta de enlace segura de Citrix.

Nota Para usar la función NetScaler, debe utilizar Integration Broker 2.4 o una versión posterior. Puededescargar Integration Broker en My VMware. No se admiten actualizaciones. Desinstale la versiónanterior y, a continuación, instale la nueva versión.

Obtener la URL del servidor STA para la puerta de enlace de NetScalerAntes de configurar los ajustes de NetScaler en VMware Identity Manager, obtenga la dirección URL delservidor de Secure Ticket Authority (STA) asociado a la puerta de enlace de NetScaler.

Este procedimiento explica los pasos de NetScaler 11.

Procedimiento

1 En la interfaz de administración de NetScaler, vaya a Configuración > Puerta de enlace deNetScaler > Servidores virtuales.

2 Haga doble clic en el servidor virtual.

3 En la ventana que aparecerá, en Aplicaciones publicadas, haga clic en Servidor STA.


VMware, Inc. 163

http://my.vmware.com

4 Anote la URL del servidor de Secure Ticket Authority.

Configurar los ajustes de NetScaler en VMware Identity ManagerPara configurar VMware Identity Manager para NetScaler, debe especificar un servidor STA (SecureTicket Authority) para cada granja XenApp en su implementación de Citrix. El servidor STA se utiliza paragenerar y validar tickets STA durante el proceso de inicio de la aplicación o del escritorio.

Cuando un usuario inicia una aplicación o un escritorio, VMware Identity Manager obtiene un ticket delservidor STA. El ticket se presenta a NetScaler junto con otra información y este lo valida con el servidorSTA antes de establecer una conexión segura con la granja XenApp.

Nota La información de este tema también se aplica a la puerta de enlace segura de Citrix.

Requisitos previos

n Obtenga la información del servidor STA para cada granja de XenApp.

Procedimiento

1 En la consola de administración de VMware Identity Manager, seleccione la pestaña Catálogo >Aplicaciones virtuales y, a continuación, haga clic en Configuración de aplicaciones virtuales.

2 Haga clic en la colección que contiene la granja XenApp para la que desea especificar un servidorSTA.


VMware, Inc. 164

3 Desplácese hasta la sección Granjas de servidores y especifique uno o varios servidores STA parala granja de servidores.

a En el campo Servidor STA, introduzca la URL del servidor STA en el siguiente formato.

transporttype://server:port

Por ejemplo: http://staserver.example.com:80

En la URL solo se admiten caracteres alfanuméricos, puntos (.) y guiones (-).

b Haga clic en Agregar a la lista.

El servidor aparecerá en la lista Servidores STA de XenApp.

c Introduzca otros servidores STA si es necesario. Por ejemplo, es posible que desee especificarun segundo servidor STA por motivos relacionados con las conmutaciones por error.

d Si agregó varios servidores STA, seleccione el orden de conmutación por error en el campoServidores STA de XenApp.


5 Si existen varias granjas XenApp en su implementación, especifique un servidor STA para cadagranja.

Pasos siguientes

Configure las directivas para los rangos de IP de red concretos que especifiquen que el tráfico de iniciodebe dirigirse al servidor XenApp a través de NetScaler.

Configurar el rango de redes para NetScalerPuede configurar los rangos de redes para los cuales el tráfico de inicio (tráfico de ICA) de la aplicación oel escritorio de los usuarios debe dirigirse al servidor XenApp a través de NetScaler. Por lo general, seutiliza para proporcionar acceso externo a los recursos publicados de Citrix.

Cuando un usuario inicia una aplicación o un escritorio desde el portal de Workspace ONE, el tráfico deICA se dirige al servidor XenApp a través de NetScaler si la dirección IP del usuario coincide con elrango configurado para NetScaler.

Nota Para configurar el inicio de recursos para las redes internas, consulte Configurar el inicio derecursos para la red interna.

Nota La información de este tema también se aplica a la puerta de enlace segura de Citrix. Si utiliza lapuerta de enlace segura de Citrix en lugar de NetScaler, introduzca el nombre de host y el puerto de lapuerta de enlace segura y marque la casilla de verificación de NetScaler.

Requisitos previos

Configuró VMware Identity Manager para NetScaler en la colección de aplicaciones virtuales de Citrix.


VMware, Inc. 165

Procedimiento








5 Seleccione el rango de redes para configurar el inicio de un recurso de Citrix.

6 En la sección XenApp de la página, introduzca la siguiente información.

a Introduzca el nombre de host de NetScaler en el campo Host de la URL de acceso de cliente.Por ejemplo: hostnetscaler.ejemplo.com

b Introduzca el puerto en el campo Puerto de URL. Por ejemplo: 443

c Active la casilla de verificación NetScaler.


Configurar VMware Identity Manager para la integracióncon CitrixPuede configurar varios ajustes de VMware Identity Manager para la integración con Citrix.

Administración de categorías de recursos publicados de CitrixPuede usar la consola de administración de VMware Identity Manager y su implementación de Citrix paraadministrar categorías de recursos publicados de Citrix.

En su implementación de Citrix, asigne un nombre de categoría a un escritorio o aplicación publicada deCitrix mediante la edición del cuadro de texto de la carpeta de aplicaciones cliente de las propiedadesdel recurso. Al integrar la implementación de Citrix con VMware Identity Manager, los nombres decategoría existentes para los escritorios y aplicaciones publicados de Citrix se transmiten a VMwareIdentity Manager.

Después de la integración, puede continuar con la creación de categorías en su implementación deCitrix. Si habilitó la casilla Categorías de sincronización de las granjas de servidores para lacolección, las categorías nuevas se transmiten a VMware Identity Manager durante la próximasincronización. Consulte Configurar las granjas de servidores de Citrix en VMware Identity Manager .


VMware, Inc. 166

También puede crear categorías directamente en VMware Identity Manager. Consulte Guía deadministración de VMware Identity Manager para obtener información sobre el uso de las categorías derecursos.

En la consola de administración, puede crear y ver las categorías de todos los recursos publicados deCitrix haciendo clic en la pestaña Catálogo > Aplicaciones virtuales y, a continuación, haga clic enCualquier tipo de aplicación y seleccione Aplicaciones publicadas de Citrix para las aplicaciones oGrupos de entrega publicados de Citrix para los escritorios. Puede ver y editar las categorías de undeterminado recurso publicado de Citrix haciendo clic en el nombre del recurso y seleccionandoDetalles.

Al crear una categoría en VMware Identity Manager, la categoría nunca aparece en su implementaciónde Citrix.

Al crear una categoría en su implementación de Citrix, la categoría aparecerá en VMware IdentityManager en la próxima sincronización. Al actualizar un nombre de categoría en su implementación deCitrix, el nombre de categoría actualizado aparece en VMware Identity Manager, aunque se conserva elnombre de categoría original. Si desea eliminar el nombre de categoría original de VMware IdentityManager, debe eliminarlo manualmente.

Configurar los ajustes de entrega (propiedades de ICA) de losrecursos publicados de CitrixPuede editar la configuración de entrega de los escritorios y aplicaciones publicados de Citrix en laconsola de administración de VMware Identity Manager. Los escritorios se denominan grupos deentrega.

Puede editar globalmente la configuración de entrega para todas las aplicaciones publicadas de Citrix ylos escritorios publicados de Citrix disponibles desde su implementación de VMware Identity Manager, obien individualmente para recursos publicados de Citrix específicos.

La configuración de entrega se configura mediante las propiedades de ICA (Independent ComputingArchitecture, Arquitectura informática independiente). ICA es un protocolo propiedad de Citrix. Hay unaamplia variedad de propiedades de ICA disponibles, que controlan aspectos tales como la seguridad, lavisualización y la compresión. Para obtener más información sobre la configuración de las propiedadesde ICA, consulte la documentación de Citrix.

VMware Identity Manager incluye una configuración global predeterminada que define cómo laimplementación de Citrix configurada entrega a los usuarios recursos publicados de Citrix. Puede editarla configuración de VMware Identity Manager predeterminada y agregar nuevas opciones.

También puede especificar una configuración de entrega para los recursos de forma individualizada. Laconfiguración de los recursos individuales tiene prioridad sobre la configuración global. Al proporcionarpropiedades de ICA para la entrega de un recurso específico, enumere todas las propiedades necesariaspara que la implementación de Citrix entregue el recurso de la manera esperada. Cuando existe unaconfiguración de entrega en VMware Identity Manager para un recurso concreto, VMware IdentityManager aplica solo esta configuración e ignora la configuración global de entrega de recursos.


VMware, Inc. 167

Edición global de la configuración de entrega para recursos publicados deCitrixPuede editar la configuración de entrega global de escritorios y aplicaciones publicados de Citrix en suimplementación de VMware Identity Manager.

Los campos de las propiedades de ICA de esta configuración global se completan con los valorespredeterminados hasta que los edite.

Importante Las propiedades de ICA especificadas en la pestaña Aplicaciones publicadas de Citrix >Configuración de ICA y Grupos de entrega publicados de Citrix > Configuración de ICA enConfiguración de aplicaciones virtuales se aplican al tráfico de inicio que atraviesa una conexión directa.Para el tráfico de inicio que se enruta a través de Netscaler, consulte Editar las propiedades de ICA paraNetScaler.

Procedimiento



3 Seleccione Aplicaciones publicadas de Citrix para editar la configuración de ICA para aplicacioneso Grupos de entrega publicados de Citrix para editar la configuración de ICA para escritorios.

Por ejemplo:

4 En la pestaña Configuración de ICA, edite las propiedades de ICA según las directrices de Citrix.

Los campos Propiedades de cliente de ICA y Propiedades de inicio de ICA se deben usar juntos.Ambos campos deben tener valores o ambos deben estar vacíos.


A menos que recursos individuales tengan su propia configuración de entrega de recursos, suimplementación de Citrix aplica las propiedades de ICA globales al entregar recursos publicados de Citrixdisponibles a través de VMware Identity Manager a los usuarios.


VMware, Inc. 168

Edición de la configuración de entrega para un solo recurso publicado deCitrixPuede editar la configuración de entrega (propiedades de ICA) de escritorios y aplicaciones publicadosde Citrix en su implementación de VMware Identity Manager.

Los cuadros de texto de las propiedades de ICA de aplicaciones individuales están vacíos de manerapredeterminada.

Al editar las propiedades de ICA de un recurso publicado de Citrix individual, esta configuración tendráprioridad sobre la configuración global. Para obtener información sobre la configuración global, consulteEdición global de la configuración de entrega para recursos publicados de Citrix.

Importante Las propiedades de ICA definidas en escritorios o aplicaciones individuales no se aplican altráfico de ICA enrutado a través de NetScaler. Solo la configuración global en las pestañas Aplicacionespublicadas de Citrix > Configuración de ICA de NetScaler y Grupos de entrega publicados deCitrix > Configuración de ICA de NetScale en Configuración de aplicaciones virtuales se aplican altráfico de ICA enrutado a través de NetScaler. Para obtener más información, consulte Editar laspropiedades de ICA para NetScaler.

Procedimiento



3 Haga clic en Cualquier tipo de aplicación > Aplicaciones publicadas de Citrix para editar laconfiguración de las aplicaciones o en Cualquier tipo de aplicación > Grupos de entregapublicados de Citrix para editar la configuración de los escritorios.

4 Haga clic en el nombre del recurso publicado de Citrix para editarlo.

5 Haga clic en Configuración.

6 Consulte la información sobre el recurso tal y como se ha transmitido desde la implementación deCitrix.

La página proporciona varios detalles sobre el recurso, como su nombre o ID, el nombre del servidor,etc. Asimismo, la página muestra información sobre la habilitación de recursos. Si la casillaHabilitado no está seleccionada, el recurso estará deshabilitado en su implementación Citrix y ocultopara los usuarios.

7 En los cuadros de texto de propiedades de ICA, agregue propiedades o edite las ya existentes segúnlas directrices de Citrix.

Nota Ambos cuadros de texto Propiedades de cliente de ICA y Propiedades de inicio de ICAdeben incluir valores o ambos deben estar vacíos.



VMware, Inc. 169

Editar las propiedades de ICA para NetScalerPuede configurar las opciones de entrega de los recursos publicados de Citrix mediante la edición de laspropiedades de ICA. Para el tráfico de ICA que se enruta a través de NetScaler, edite las propiedades deICA en las pestañas Aplicaciones publicadas de Citrix > Configuración de ICA de NetScaler oGrupos de entrega publicados de Citrix > Configuración de ICA de NetScaler en Configuración deaplicaciones virtuales.

La configuración de entrega de aplicaciones que se define en los recursos de Citrix individuales no seaplica al tráfico de ICA que se enruta a través de NetScaler.

Nota Para editar las propiedades del tráfico de ICA que se transmite a través de una conexión directa, yno a través de NetScaler, consulte Edición global de la configuración de entrega para recursospublicados de Citrix.

Procedimiento



3 Seleccione Aplicaciones publicadas de Citrix para las aplicaciones o Grupos de entregapublicados de Citrix para los escritorios y, a continuación, seleccione la pestaña de propiedadesde ICA de NetScaler.

Los campos de propiedades aparecen completos con la configuración predeterminada.

4 Edite las propiedades de cliente de ICA o las propiedades de inicio.

Puede cambiar los valores de las propiedades o agregar nuevos. Consulte la documentación deCitrix para obtener información sobre las propiedades de ICA.

Nota Los campos Propiedades de cliente de ICA y Propiedades de inicio de ICA se deben usarjuntos. Ambos campos deben tener valores o ambos deben estar vacíos.



VMware, Inc. 170

Configurar directivas de acceso para aplicaciones y escritoriosespecíficosLos grupos de directivas de acceso predeterminados se aplican a todas las aplicaciones y escritorios enel catálogo. También puede establecer directivas de acceso para aplicaciones individuales o grupos deescritorios, que sobrescriben la directiva de acceso predeterminada.



Procedimiento












Ver las autorizaciones de usuarios y grupos para los recursospublicados de CitrixEs posible consultar las aplicaciones y escritorios de Citrix para los que están autorizados los usuarios ygrupos de VMware Identity Manager. En la consola de administración de VMware Identity Manager, losescritorios se denominan grupos de entrega.

Importante No se puede utilizar VMware Identity Manager para hacer cambios en la implementación deCitrix. Si un administrador de Citrix hace algún cambio, como autorizar a nuevos usuarios el acceso a unrecurso publicado de Citrix o agregar una nueva granja de servidores, se debe forzar una sincronizaciónpara propagar los cambios a VMware Identity Manager.


VMware, Inc. 171

Requisitos previos

Para ver las actualizaciones más recientes, sincronice manualmente recursos y autorizaciones de lasgranjas de servidores de Citrix con VMware Identity Manager haciendo clic en Sincronizar en la páginaConfiguración de aplicaciones virtuales.

Procedimiento


2 Ver las autorizaciones de usuarios y grupos para los recursos publicados de Citrix.

Los recursos publicados de Citrix incluyen aplicaciones publicadas de Citrix y escritorios publicadosde Citrix, denominados también grupos de entrega.

Opción Acción

Ver la lista de usuarios y grupos conautorización para acceder a undeterminado recurso publicado deCitrix.


b Haga clic en Cualquier tipo de aplicación y seleccione Aplicacionespublicadas de Citrix para ver aplicaciones o Grupos de entrega publicadosde Citrix para ver escritorios.

c Haga clic en el nombre del recurso publicado de Citrix del que desee consultarlas autorizaciones.


Ver la lista de autorizaciones derecursos publicados de Citrix para ungrupo o usuario específicos.





Los recursos publicados de Citrix con autorización se incluyen en las tablasAplicaciones publicadas de Citrix y Grupos de entrega publicados de Citrix.

Iniciar recursos publicados por Citrix en diferentes navegadoresCuando los usuarios inician una aplicación o un escritorio publicados por Citrix desde el portalWorkspace ONE, se descarga un archivo ICA y se envía a Citrix Receiver. Citrix Receiver es unaaplicación nativa de SO que inicia aplicaciones y escritorios publicados por Citrix. La experiencia de iniciovaría según las distintas plataformas y navegadores.

Proceso de inicioEn función de la plataforma y el navegador, la aplicación o el escritorio se iniciarán de forma diferente. Endeterminados casos, la aplicación o el escritorio se inician directamente. En otros casos, el usuarionecesita asociar el tipo de archivo .ica con Citrix Receiver primero, de forma que la aplicación o elescritorio se puedan iniciar directamente. En algunas ocasiones, el usuario tiene que hacer clic en elarchivo ICA descargardo para iniciar la aplicación o el escritorio. Consulte la tabla para obtenerinformación detallada.


VMware, Inc. 172

Plataforma Navegador Cómo se inicia la aplicación o el escritorio Acción requerida

Windows Firefox Inicia la aplicación o el escritorio directamente Ninguno

Chrome Inicia la aplicación o el escritorio directamente.

Nota Con Citrix 4.5 Receiver y XenDesktop,hay problemas conocidos relacionados con elinicio de grupo de entrega.

Ninguno

InternetExplorer

Descarga el archivo ICA con una extensión .ica.Después de que el tipo de archivo se hayaasociado a Citrix Receiver, se inicará laaplicación o el escritorio automáticamente.

En el navegador, asocie el tipo dearchivo .ica con Citrix Receiver.

Edge Inicia la aplicación o el escritorio directamente.

Nota Con Citrix 4.5 Receiver y XenDesktop,hay problemas conocidos relacionados con elinicio de grupo de entrega.

Ninguno

Mac Safari, Firefox Inicia la aplicación o el escritorio directamente Ninguno

Chrome Inicia la aplicación o el escritorio directamente Ninguno

Windows Surface Chrome Descarga el archivo ICA con una extensión .ica.Después de que el tipo de archivo se hayaasociado a Citrix Receiver, se inicará laaplicación o el escritorio automáticamente.

En el navegador, asocie el tipo dearchivo .ica con Citrix Receiver.

Android Chrome Descarga el archivo ICA Haga clic en el archivo ICA parainiciar el escritorio o la aplicación.

iOS Safari Descarga el archivo ICA Haga clic en el archivo ICA parainiciar el escritorio o la aplicación.

Chrome No se puede descargar el archivo ICA Este escenario no es compatible

Permitir el complemento Citrix Receiver en FirefoxEn Firefox, cuando los usuarios inician una aplicación publicada de Citrix, se les pide que permitan elcomplemento Citrix Receiver.

¿Permitir https://IdentityManagerHostname para ejecutar Citrix Receiver?

Los usuarios deben hacer clic en Permitir ahora o en Permitir y recordar para iniciar la aplicación.


VMware, Inc. 173

Consecuencias de la actualización en la integración de losrecursos publicados de CitrixNo se requiere ninguna configuración adicional después de una actualización de VMware IdentityManager o de un producto Citrix para mantener la integración entre VMware Identity Manager y losrecursos publicados de Citrix.

Para actualizar Integration Broker, debe desinstalar la versión anterior e instalar la nueva.

Para volver a instalar Citrix Receiver, consulte la documentación de Citrix.


VMware, Inc. 174

Proporcionar acceso aaplicaciones administradas deterceros en Workspace ONE 9Se pueden agregar proveedores de identidad de terceros como origen de la aplicación en el catálogo deWorkspace ONE para simplificar la implementación de grandes cantidades de aplicaciones desde losproveedores de identidades de terceros en Workspace ONE. Agregar un proveedor de identidad comoun origen de aplicación simplifica el proceso de adición de aplicaciones individuales de ese proveedor enel catálogo del usuario final.

Las aplicaciones web que utilizan el perfil de autenticación SAML 2.0 pueden agregarse al catálogo. Laconfiguración de la aplicación se basa en los ajustes del origen de la aplicación. Solo el nombre de laaplicación y la URL de destino son obligatorios para la configuración.

Cuando agrega aplicaciones, puede autorizar a usuarios y grupos específicos a acceder a la aplicación yaplicar una directiva de acceso para controlar el acceso de los usuarios a la aplicación. Los usuariospueden acceder a estas aplicaciones en el portal de Workspace ONE desde sus dispositivos móviles yde escritorio.

La configuración y las políticas del origen de la aplicación de terceros pueden aplicarse a todas lasaplicaciones administradas por el origen de la aplicación.

En ocasiones, los proveedores de identidad de terceros envían una solicitud de autenticación sin incluirla aplicación a la que intenta acceder el usuario. Si VMware Identity Manager recibe una solicitud deautenticación que no incluye la información de la aplicación, se aplicarán las reglas de directiva deacceso de copia de seguridad configuradas en el origen de la aplicación, en lugar de la regla establecidapara la aplicación individual.

Los siguientes proveedores de identidades pueden configurarse como orígenes de la aplicación en elcatálogo de Workspace ONE.

n Okta

n Servidor de ping federado de identidad de Ping

n Servicios de federación de Active Directory (ADFS)


n Agregar un origen de la aplicación al catálogo de Workspace ONE

n Autorizar a los usuarios en el origen de la aplicación

VMware, Inc. 175

n Agregar aplicaciones administradas por el origen de la aplicación

Agregar un origen de la aplicación al catálogo deWorkspace ONEConfigure el origen de la aplicación en la página Catálogo > Configuración para integrar las aplicacionesde terceros con el catálogo de Workspace ONE. Después de configurar el origen de la aplicación, puedeagregar aplicaciones desde el origen al catálogo de Workspace ONE.

Los ajustes de configuración comunes se establecen en el nivel de origen de la aplicación. Lasaplicaciones del origen de la aplicación que se agregan al catálogo de Workspace ONE utilizan estosajustes de configuración. Al configurar el origen de la aplicación una vez es fácil agregar variasaplicaciones al catálogo.

Procedimiento


2 Haga clic en la pestaña Catálogo > Aplicaciones web y haga clic en Configuración.

3 Seleccione Orígenes de la aplicación.

4 Seleccione el tipo de origen de la aplicación que desee configurar.

5 Introduzca un nombre descriptivo para el origen de la aplicación y haga clic en Siguiente.

6 Modifique la configuración del origen de la aplicación.


URL/XML Seleccione URL/XML para utilizar XML de metadatos, URL de detecciónautomática o Manual

n URL de detección automática (metadatos). Si se puede acceder a losmetadatos XML a través de Internet, proporcione la URL.

n XML de metadatos. Si no puede acceder a los metadatos XML a través deInternet, pero sí están disponibles para usted, copie el XML de metadatos enel cuadro de texto.

n Configuración manual. Si los metadatos XML no están disponibles para usted,configure manualmente el XML en los cuadros de texto que se muestran.

URL de estado delredireccionamiento

Introduzca una página de destino personalizada a la que Workspace ONE envíe alos usuarios después de autenticar en la URL de inicio de sesión único.

Opciones de configuración avanzada

Firmar respuesta Habilitado. La respuesta completa está firmada.

Firmar aserción Habilite esta opción para firmar la aserción.

Cifrar aserción Si se habilita, se cifra la aserción SAML. Para que el cifrado funcione, se debeadmitir la capacidad de leer aserciones SAML cifradas.

Incluir firma de aserción Habilite esta opción para incluir el certificado de firma de Workspace ONE dentrode la respuesta de SAML. El proveedor de servicios de aplicación podría requerirque el certificado de firma se incluya con la respuesta de SAML.


VMware, Inc. 176


Algoritmo de firma Seleccione SHA256 con RSA como algoritmo hash de cifrado seguro que seutilizará para la firma.

Algoritmo de codificación Seleccione SHA256.

URL de inicio de sesión de aplicación Introduzca la URL de la página de inicio de sesión del proveedor de servicios deaplicación para desencadenar un inicio de sesión iniciado por el proveedor deservicio en Workspace ONE. Algunos proveedores de servicios de aplicación noadmiten aserciones de inicio de sesión único enviadas directamente desdeWorkspace ONE y, en su lugar, requieren que se inicie el proceso de inicio desesión en su propia página de inicio de sesión.

Recuento de proxy Configure el recuento de proxy para limitar el número de capas de proxy entre elproveedor de servicios y el proveedor de identidad de autenticación.

Acceso a la API Permita el acceso de API a esta aplicación.


8 Seleccione la directiva de acceso. Compruebe que la directiva de acceso predeterminada cumplacon los requisitos para esta aplicación o seleccione otra directiva de acceso en el menú desplegable.

El origen de la aplicación está configurado.

Pasos siguientes

Agregue las aplicaciones asociadas al catálogo.

Autorizar a los usuarios en el origen de la aplicaciónEstablezca las autorizaciones para el origen de la aplicación en Todos los usuarios. Puede administrarlas autorizaciones desde las páginas de configuración de la aplicación específica.

Procedimiento

1 En la página Catálogo > Aplicaciones web, seleccione el origen de la aplicación de la lista.

2 Haga clic en Asignar.

3 Escriba TODOS LOS USUARIOS en el cuadro de búsqueda para buscar y seleccionar el grupoTODOS LOS USUARIOS.


Todos los usuarios pueden acceder a las aplicaciones administradas por el origen de la aplicación.Puede administrar las autorizaciones desde la página de autorizaciones de la aplicación específica.

Pasos siguientes

La directiva de acceso se establece automáticamente como la directiva de acceso predeterminada.Compruebe que se trata de la directiva de acceso correcta que se debe utilizar.

Agregue las aplicaciones individuales desde el origen de la aplicación.


VMware, Inc. 177

Agregar aplicaciones administradas por el origen de laaplicaciónDespués de que el proveedor de identidad se configure como un origen de la aplicación, se puedenagregar aplicaciones web que utilicen el perfil de autenticación SAML 2.0 al catálogo de WorkspaceONE.

Requisitos previos

Proveedor de identidades de terceros configurado como un origen de la aplicación en la página Catálogo> Configuración.

Procedimiento




4 Complete la información de la página Definición y haga clic en Siguiente.

Elemento delformulario Descripción

Nombre Introduzca el nombre de la aplicación.


Icono (Opcional) Para agregar y cargar un icono que se muestre en la página de la aplicación de WorkspaceONE de los usuarios, haga clic en Elegir archivo.

los iconos en archivos de hasta 4 MB en formato PNG, JPG e ICON. El tamaño de los iconos cargadosse ajusta a 80px X 80px.

Para evitar distorsiones, se deben cargar iconos en los que el alto y el ancho sean iguales y susdimensiones sean lo más próximas a 80px X 80px.

5 En la página Configuración, el menú desplegable Tipo de autenticación seleccione el origen de laaplicación para esta aplicación. Introduzca la dirección URL de destino para la aplicación.

Esta dirección URL es la URL del proveedor de identidades para la aplicación, tal como serepresenta en el origen de la aplicación, o la URL del proveedor de servicios.

La configuración se rellena con los valores de configuración de origen de la aplicación.

6 En la página Directivas de acceso compruebe que la directiva de acceso predeterminada cumplalos requisitos para esta aplicación o seleccione otra directiva de acceso en el menú desplegable.

Consulte en la Guía de administración de VMware Identity Manager la sección de administración dedirectivas de acceso.

La aplicación se agrega al catálogo de Workspace ONE, y los usuarios pueden acceder a la aplicacióndesde el portal de Workspace ONE.


VMware, Inc. 178

Pasos siguientes

Si los usuarios se asignan al origen de la aplicación, se asignan automáticamente a la aplicación. Puedecambiar los usuarios y grupos que están asignados a la aplicación.


VMware, Inc. 179

Resolver problemas deconfiguración de recursos deVMware Identity Manager 10Puede resolver problemas que experimenten usted o los usuarios después de configurar los recursos deVMware Identity Manager.


n Solución de problemas de la integración con ThinApp

n Solución de problemas de la integración de Horizon

n Solución de problemas de la integración de recursos publicados de Citrix

Solución de problemas de la integración con ThinAppUtilice esta información para solucionar los problemas de la configuración de ThinApp en VMwareIdentity Manager.

Error al iniciar paquetes de ThinApp desde el portal del usuarioCuando un usuario intenta iniciar un paquete de ThinApp desde el portal del usuario, puede aparecer unmensaje indicando al usuario que descargue e instale la aplicación VMware Identity Manager Desktop,incluso cuando la aplicación ya está instalada y ejecutándose.

Problema

Después de instalar la aplicación VMware Identity Manager Desktop, cuando el usuario abre el portal delusuario en un navegador en ese sistema Windows, inicia la sesión e intenta iniciar un paquete deThinApp, puede aparecer un mensaje indicando que se debe instalar la aplicación VMware IdentityManager Desktop en el sistema y se impide que se inicie el paquete de ThinApp. Este mensaje puedeaparecer incluso cuando el proceso de la aplicación VMware Identity Manager Desktop se estáejecutando en el sistema Windows. La aplicación VMware Identity Manager Desktop puede indicar quetodos los archivos están actualizados.

Causa

Este problema puede ocurrir por varias razones.

VMware, Inc. 180

Causa Descripción

El complemento del navegadorde VMware Identity ManagerDesktop no está instaladocorrectamente o no estáactivado en la ventana delnavegador para el navegadoren el que el usuario estáintentando iniciar el paquetede ThinApp.

Como es necesario instalar la aplicación VMware Identity Manager Desktop para ejecutarpaquetes de ThinApp en el sistema Windows, el portal del usuario utiliza un complemento delnavegador para verificar si la aplicación está instalada antes de iniciar el paquete de ThinAppdesde el portal del usuario. Si el usuario hace clic en el icono de un paquete de ThinApp en elportal del usuario, el complemento del navegador de VMware Identity Manager Desktopcomprueba si la aplicación está instalada antes de iniciar el paquete. Si el complemento delnavegador no está instalado y activado en el navegador, no se puede realizar la verificación,aparece el mensaje y no se inicia el paquete.

Si hay ventanas del navegador abiertas durante el proceso de instalación de VMware IdentityManager Desktop, puede que el complemento del navegador no se instale correctamente paraese navegador. Puede que el complemento del navegador se desactive en el navegador si elusuario desactivó el complemento en la página correspondiente del navegador.

El gestor de protocolopersonalizado utilizado parainiciar el paquete de ThinAppdesde el navegador se hadesactivado para el navegadoren el que el usuario estáintentando iniciarlo.

En el portal de Workspace ONE, los paquetes ThinApp se representan usando un vínculo con elprotocolo horizon://. Al instalar la aplicación VMware Identity Manager Desktop, el instaladorregistra un gestor de protocolo para ese protocolo horizon://. El gestor de protocolo es unarchivo ejecutable llamado HorizonThinAppLauncher.exe que está registrado como gestor por laentrada del registro HKEY_CLASSES_ROOT\horizon\shell\open\command. Cuando el usuariointenta iniciar un paquete de ThinApp desde su icono del portal de Workspace ONE, se inicia laaplicación HorizonThinAppLauncher.exe.

Si el usuario desactivó el uso de todos los gestores de protocolo en el navegador, o biendesactiva el uso del gestor para el protocolo horizon://, los paquetes de ThinApp no seiniciarán mediante los iconos del portal Workspace ONE. Algunos navegadores muestran unaadvertencia cuando se inician gestores de protocolo y ofrecen al usuario la opción de ejecutar elgestor de protocolo. Una manera en la que el usuario puede haber desactivado el uso del gestorde protocolo horizon:// es que haya hecho clic en uno de los iconos del paquete de ThinApppor primera vez y que, al aparecer el cuadro de advertencia del navegador solicitando permisopara ejecutar el gestor de protocolo, haya seleccionado No u otra opción similar para impedir elinicio y haya seleccionado también Recordar mi selección u otra opción similar que impida elinicio mediante todo ese tipo de vínculos. Como no se concedió y se recuerda el permiso paraejecutar el gestor de protocolo, ninguno de los paquetes de ThinApp se iniciará desde el portalWorkspace ONE.

Solución

1 Verifique que el usuario inició la sesión en la aplicación VMware Identity Manager Desktop con lacuenta de usuario de VMware Identity Manager.

El usuario inicia la sesión en el cliente mediante el icono de VMware Identity Manager de la bandejadel sistema de Windows.

2 Si este problema aparece poco después de instalar la aplicación en el sistema, cierre todas lasventanas abiertas del navegador, vuelva a abrirlo, inicie la sesión en el portal del usuario e intenteiniciar el paquete de ThinApp.


VMware, Inc. 181

3 Si el problema aparece incluso después de cerrar las ventanas abiertas del navegador y volver aabrirlo, verifique que el complemento aparezca y esté activado en la lista de complementos delnavegador.

Navegador Descripción

InternetExplorer

En Internet Explorer, se registra un servidor COM en lugar de un complemento del navegador. Paracomprobar si el servidor COM está instalado, cree un archivo HTML de prueba con el contenido siguiente yvuelva a abrirlo en Internet Explorer. El resultado indicará si el servidor COM está instalado o no.

<html><script type="text/vbscript">On Error Resume Next

dim objNameobjName = "HorizonAgentFinder.HorizonFinder"dim objSet obj = CreateObject(objName)

document.write(objName & " is ")if IsEmpty(obj) then document.write("not installed") else document.write("installed")end if</script></html>

Firefox Haga clic en Herramientas > Complementos para abrir el administrador de complementos de Firefox. En lapágina de Complementos, compruebe si aparece el complemento del navegador VMware Horizon AgentFinder y configúrelo para que esté siempre activo.

Chrome Abra la página de Configuración de Chrome y haga clic en Mostrar configuración avanzada... >Configuración de contenido.... Haga clic en Administrar complementos individuales... Para mostrar lalista de complementos. Compruebe si aparece el complemento del navegador VMware Horizon Agent Findery configúrelo para que esté siempre activo.

Safari paraWindows

Haga clic en Ayuda > Complementos instalados para abrir la lista de complementos de Safari. Verifiqueque el complemento para el navegador VMware Horizon Agent Finder esté en la lista. Verifique que esecomplemento esté activado para Safari.

4 Verifique que exista la entrada del registro HKEY_CLASSES_ROOT\horizon\shell\open\command yque tenga un valor que sea la ruta de la ubicación del gestor de protocolo requerido, llamadoHorizonThinAppLauncher.exe, en la que se instaló la aplicación VMware Identity Manager Desktopen el sistema Windows.

Si la entrada del registro no existe o no tiene un valor que señale a la ubicación en la que se instalóla aplicación VMware Identity Manager Desktop, desinstale la aplicación y vuelva a instalarla.

5 Si la entrada del registro existe y tiene un valor que señala a la ubicación del ejecutableHorizonThinAppLauncher.exe, compruebe que exista el ejecutable en esa ubicación y que no sehaya movido ni eliminado.

Si la entrada del registro no existe o no tiene un valor que señale a la ubicación en la que se instalóla aplicación VMware Identity Manager Desktop, desinstale la aplicación y vuelva a instalarla.


VMware, Inc. 182

6 Si la entrada del registro existe y tiene un valor que señala a la ubicación del ejecutableHorizonThinAppLauncher.exe, compruebe que el valor (Predeterminado) de la entrada del registroHKEY_CLASSES_ROOT\horizon tenga en la columna Datos el valor URL:horizon Protocol y que existael valor URL Protocol para la entrada HKEY_CLASSES_ROOT\horizon.

Si el valor de la columna Datos del valor (Predeterminado) de la entrada del registroHKEY_CLASSES_ROOT\horizon no está establecido en URL:horizon Protocol, actualícelo aURL:horizon Protocol. Si no existe el valor URL Protocol para la entrada HKEY_CLASSES_ROOT\horizon, puede crearlo utilizando un nombre de valor URL Protocol sin datos del valor.

7 Determine si el usuario desactivó el protocolo horizon:// para el navegador o si todos los gestoresde protocolo están deshabilitados en el navegador y, si es así, habilite el gestor de protocolo delnavegador según corresponda a las necesidades de su organización.

En la mayoría de las situaciones, los navegadores se basan en la configuración del registro paraobtener información sobre los gestores de protocolo disponibles para ese sistema Windows. Enalgunos navegadores, cuando el usuario hace clic en un vínculo asociado a un gestor de protocolo,aparece un cuadro de diálogo que formula al usuario una pregunta tipo Do you want to allow thiswebsite to open a program on your computer? o This link needs to be opened with anapplication, o bien muestra una afirmación similar sobre la necesidad de iniciar una aplicaciónexterna para gestionar el vínculo. Normalmente, el cuadro de diálogo ofrece al usuario la opción deno iniciar la aplicación externa y recordar esa elección para todos los vínculos de ese tipo. Los pasospara volver a habilitar la capacidad para iniciar la aplicación asociada al gestor de protocolo varíande un navegador a otro. Para obtener información sobre cómo habilitar los gestores de protocolopara el navegador del usuario, consulte la documentación del mismo.

Solución de problemas de la integración de HorizonUtilice esta información para solucionar problemas de configuración de Horizon 7, Horizon 6 o View enVMware Identity Manager.

No se pueden sincronizar los recursos de HorizonLa sincronización de Horizon 7, de Horizon 6 o de los recursos de View con VMware Identity Manager serealiza lentamente o el proceso no se realiza correctamente.

Problema

No es posible sincronizar Horizon 7, Horizon 6 ni los recursos de View con VMware Identity Manager. Lasincronización es muy lenta o el proceso no se realiza correctamente y aparece un error como elsiguiente.

Error al completar la sincronización de View debido a un problema con el servidor de

conexión de View: No se puede autenticar el agente View, problema con el directorio

Error al completar la sincronización de View debido a un problema con el servidor de

conexión de View: No se puede consultar ningún agente de la sección para obtener la

información de grupo y autorización. Compruebe la conectividad con el Pod de View


VMware, Inc. 183

Causa

Este problema sucede si el archivo /etc/krb5.conf no contiene la información correcta del dominio.

Consulte el artículo 2091744 de la base de conocimientos para obtener información sobre cómo resolvereste problema. Las tareas de alto nivel incluyen las siguientes:

1 Edite el archivo domain_krb.properties para agregar los dominios utilizados por Horizon yVMware Identity Manager.

2 Editar el archivo krb5.conf y actualizar la sección realms con los mismos valores de dominio ahosts que se utilizan en el archivo domain_krb.properties.

Importante Si configura varios dispositivos de VMware Identity Manager para que formen un clúster,después de conectar un dispositivo clonado al dominio, debe volver a actualizar el archivo krb5.confcon la información del dominio.

Los usuarios no pueden iniciar escritorios ni aplicaciones deHorizonLos usuarios no pueden iniciar Horizon 7, Horizon 6 ni las aplicaciones o los escritorios de View desde elportal del usuario de VMware Identity Manager.

Problema

Los usuarios no pueden iniciar Horizon 7, Horizon 6 ni las aplicaciones o los escritorios de View desde elportal del usuario de VMware Identity Manager y aparece el siguiente error en la interfaz de usuario:

Error al iniciar el recurso. Póngase en contacto con el administrador de TI.

Causa

Este error se puede producir si los metadatos SAML de las instancias del servidor de conexión deHorizon caducan después de la última sincronización.

Solución

1 En la consola de administración, haga clic en la pestaña Catálogo > Aplicaciones virtuales.

2 Haga clic en Sincronizar de la colección de Horizon para volver a sincronizar recursos de Horizonpara VMware Identity Manager.

Solución de problemas de la integración de recursospublicados de CitrixUtilice esta información para solucionar los problemas de la configuración de recursos publicados deCitrix en VMware Identity Manager.

Consulte también Solución de problemas de la configuración de recursos publicados de Citrix en VMwareIdentity Manager.


VMware, Inc. 184

https://kb.vmware.com/kb/2091744

Los usuarios que acceden a recursos publicados de Citrix recibenun error de cifradoLas propiedades de ICA de XenApp en VMware Identity Manager deben incluir la propiedad de cifradoestablecida en el mismo nivel de cifrado que el configurado en los servidores XenApp de la granja, yaque de lo contrario los usuarios no podrán acceder a sus aplicaciones o escritorios publicados de Citrix.

Problema

Cuando un usuario se conecta a un recurso publicado de Citrix desde VMware Identity Manager, semuestra el siguiente mensaje de error.

No tiene el nivel de cifrado adecuado para acceder a esta sesión

Causa

VMware Identity Manager No establece niveles de cifrado. Si el nivel de cifrado del servidor XenApp essuperior al ajuste predeterminado utilizado en Citrix-Receiver, los usuarios verán este error.

Debe establecer un nivel de cifrado superior en Workspace.

Solución



3 Seleccione Aplicaciones publicadas de Citrix.

4 Haga los cambios siguientes tanto en la pestaña Configuración de ICA como en Configuración deICA de Netscaler.

a Edite el cuadro de texto Propiedades de cliente de ICA. Para establecer el nivel de cifrado en128, introduzca

EncryptionLevelSession=EncRC5-128.

b Edite el cuadro de texto Propiedades de inicio de ICA. Para establecer el nivel de cifrado en128, introduzca

[EncRC5-128]

DriverNameWin16=pdc128w.dll

DriverNameWin32=pdc128n.dll.

Los recursos publicados de Citrix no están disponibles en VMwareIdentity ManagerUn problema de comunicación entre Integration Broker y PowerShell SDK puede impedir que losescritorios y las aplicaciones publicadas de Citrix aparezcan en el catálogo de VMware Identity Manager.


VMware, Inc. 185

Puede especificar direcciones URL en un navegador para resolver el problema de configuración deIntegration Broker. Este método de resolución de problemas puede ayudarle a identificar si el problemaestá relacionado con la configuración de los campos siguientes.

n Granja de servidores de Citrix

n Recursos publicados de Citrix

n Autorizaciones de recursos

Si una página web no muestra la salida esperada, muestra un error y agrega información a los registrosde Integration Broker. Revise los registros de Integration Broker para continuar el proceso de resoluciónde problemas.

Problema

Después de integrar Citrix con VMware Identity Manager, los recursos publicados de Citrix no aparecenen el catálogo de VMware Identity Manager.

Causa

Puede haber un problema de configuración con la instalación de Integration Broker que impida unacomunicación correcta con PowerShell SDK.


VMware, Inc. 186

Solución

1 Utilice un navegador para comprobar la información de la granja de servidores de Citrix.

a En un navegador, introduzca una URL como alguna de las siguientes, sustituyendo losmarcadores de posición por la información correspondiente.

n Granja de servidores de Citrix 7.x

https://IBhostname/IB/API/RestServiceImpl.svc/hznxenapp/admin/xenfarminfo?computerName=XenAppServerHostname&xenappversion=Version7x


https://IBhostname/IB/API/RestServiceImpl.svc/hznxenapp/admin/xenfarminfo?computerName=XenAppServerHostname&xenappversion=Version65orLater


https://IBhostname/IB/API/RestServiceImpl.svc/hznxenapp/admin/xenfarminfo?computerName=XenAppServerHostname&xenappversion=Legacy

b Revise el contenido de la página web y, si es necesario, revise los registros de IntegrationBroker.

Si Integration Broker está configurado correctamente, la página mostrará información de lagranja de servidores de Citrix como la siguiente.

"[{\"FarmName\":\"test data\",\"ServerVersion\":\" 6.0.6410\",\"AdministratorType\":\"Full\",\"SessionCount\":\"2\",\"MachineName\":\"test data\"}]”

Si la página web no muestra la información de la granja de servidores, se enviará información deregistro a Integration Broker. Para seguir resolviendo el problema, revise los registros del host deIntegration Broker en %programdata%/VMware/HorizonIntegrationBroker.


VMware, Inc. 187

2 Utilice un navegador para hacer una lista de todos los recursos publicados por Citrix en la granja deservidores.



Para realizar una lista de todas las aplicaciones:

https://IBhostname/IB/API/RestServiceImpl.svc/hznxenapp/admin/applications?computerName=XenAppServerHostname&xenappversion=Version7x

Para realizar una lista de todos los grupos de entrega:

https://IBhostname/IB/API/RestServiceImpl.svc/hznxenapp/admin/deliveryGroups?computerName=XenAppServerHostname&xenappversion=Version7x


https://IBhostname/IB/API/RestServiceImpl.svc/hznxenapp/admin/applications?computerName=XenAppServerHostname&xenappversion=Version65orLater


https://IBhostname/IB/API/RestServiceImpl.svc/hznxenapp/admin/applications?computerName=XenAppServerHostname&xenappversion=Legacy


Si Integration Broker está correctamente configurado, la página mostrará una lista de todos losrecursos de la granja de servidores de Citrix.

Si la página web no muestra una lista de los recursos, se enviará información de registro aIntegration Broker. Para seguir resolviendo el problema, revise los registros del host deIntegration Broker en %programdata%/VMware/HorizonIntegrationBroker.


VMware, Inc. 188

3 Utilice un navegador para comprobar las autorizaciones de un solo recurso publicado por Citrix.


Sustituya el marcador de posición ApplicationName por el nombre de la aplicación que estéespecificando.


Para comprobar una aplicación:

https://IBhostname/IB/API/RestServiceImpl.svc/hznxenapp/admin/entitlements?computerName=XenAppServerHostname&xenappversion=Version7x&appName=ApplicationName

Para comprobar un grupo de entrega:

https://IBhostname/IB/API/RestServiceImpl.svc/hznxenapp/admin/deliveryGroup/entitlements?computerName=XenAppServerHostname&xenappversion=Version7x&deliveryGroupName=deliveryGroupName


https://IBhostname/IB/API/RestServiceImpl.svc/hznxenapp/admin/entitlements?computerName=XenAppServerHostname&xenappversion=Version65orLater&appName=ApplicationName


https://IBhostname/IB/API/RestServiceImpl.svc/hznxenapp/admin/entitlements?computerName=XenAppServerHostname&xenappversion=Legacy&appName=ApplicationName


Si Integration Broker está configurado correctamente, la página mostrará una lista de todas lasautorizaciones de la aplicación o el grupo de entrega que especificó.

Si la página web no muestra una lista de las autorizaciones, se enviará información de registro aIntegration Broker. Para seguir resolviendo el problema, revise los registros del host deIntegration Broker en %programdata%/VMware/HorizonIntegrationBroker.

Cuando el usuario inicia un recurso publicado de Citrix, elnavegador muestra el mensaje 500 Error interno del servidorSi las configuraciones de la granja de servidores de Citrix y VMware Identity Manager no coinciden,puede ocurrir un error al iniciar recursos publicados de Citrix.


VMware, Inc. 189

Problema

Ocurre un error al iniciar un recurso publicado de Citrix y el navegador muestra 500 Error interno delservidor.

Causa

Si la información de la granja de servidores de Citrix proporcionada en consola de administración nocoincide con la configuración del servidor de Citrix, se produce un error 500.

Solución

1 Anote la configuración de tipo de transporte, número de puerto y número de puerto deredireccionamiento SSL de cada granja de servidores integrada en la implementación de VMwareIdentity Manager.

2 Inicie sesión en la consola administrativa de VMware Identity Manager.


4 Haga clic en el nombre de la colección de Citrix.

5 En la sección de las granjas de servidores, cambie la configuración de Tipo de transporte, Puertoy Puerto de redireccionamiento SSL de cada granja de servidores para que coincida con laconfiguración del servidor de Citrix.

Un problema de memoria impide configurar correctamenteIntegration BrokerAl integrar VMware Identity Manager con granjas de servidores versiones 6.0 y anteriores, la asignaciónde memoria insuficiente a PowerShell SDK produce un error.

Se puede aumentar la memoria asignada a PowerShell SDK.

Problema

Al enviar un comando para verificar los comandos remotos PowerShellInvoke-Command, aparece unerror relacionado con insuficiencia de memoria. Se le indica que envíe el comando Invoke-Commanddurante #unique_137.

Causa

En el sistema Windows en el que se ejecuta el comando remoto PowerShell, la cantidad de memoriaasignada a PowerShell SDK puede ser insuficiente para el número de recursos publicados de Citrix.

Solución

1 Cuando aparezca el error, envíe el comando para aumentar la cantidad de memoria asignada. Porejemplo,

winrm set winrm/config/winrs '@{MaxMemoryPerShellMB="1024"}'

2 Vuelva a enviar el comando y complete la tarea.Invoke-Command


VMware, Inc. 190

Error de recurso no disponible al iniciar los escritorios de XenApp7.xLos usuarios no pueden iniciar un escritorio de XenApp 7.x. Aparece un error que informa de que elrecurso no está disponible.

Problema

Al iniciar un escritorio desde un grupo de entrega de XenApp 7.x, los usuarios reciben un mensaje deerror que les informa de que el recurso no está disponible.

Causa

Los catálogos de equipos creados con Citrix Machine Creation Server tienen la administración dealimentación activada de forma predeterminada. Por ello, el equipo se apaga después de cerrar sesión.

Solución

1 Desactive la opción de administración de alimentación para el grupo de entrega en el servidor deCitrix XenApp 7.x.

2 Vuelva a sincronizar los recursos publicados por Citrix con el servicio VMware Identity Manager .

No se pueden iniciar los escritorios desde la granja de CitrixXenDesktop en Windows 7En Windows 7, los usuarios no pueden iniciar los escritorios desde una granja de Citrix XenDesktopcuando SSL está habilitado para Integration Broker.

Problema

Si SSL está habilitado para Integration Broker, cuando los usuarios inician un escritorio en Windows 7, aveces el escritorio no se inicia y aparece el siguiente error: "Error en la conexión al escritorio con elestado 1030". Este problema se observa de forma intermitente en Firefox pero también puede apareceren otros navegadores.

Para obtener más información sobre este problema, consulte el artículo del centro de conocimiento deCitrix sobre cómo solucionar el error 1030 en la imagen de Windows 7.

El inicio de recursos publicados de Citrix falla si se establece deforma incorrecta el puerto XMLSe produce un error al iniciar recursos publicados de Citrix desde una granja de servidores de Citrix 7.x o6.x si el puerto XML no está configurado correctamente en VMware Identity Manager.

Problema

Se produce un error al iniciar recursos publicados de Citrix desde una granja de servidores de Citrix 7.x o6.x si el puerto XML no está configurado correctamente en VMware Identity Manager.

Asegúrese de que el puerto XML está establecido correctamente.


VMware, Inc. 191

http://support.citrix.com/article/CTX133773

En un entorno XenApp 6.x o anterior, pida al administrador de Citrix que ejecute CTXXMLS. EXE paracomprobar el puerto, o desplácese hasta la siguiente ubicación del registro en el servidor deadministración de XenApp:

HKLM/SYSTEM/CurrentControlSet/Services/CtxHttp | TcpPort=

Compruebe el número de puerto. De forma predeterminada, el puerto se establece como 80, pero sesuele cambiar a 8080 o 88. Asegúrese de que se establece el puerto correcto en la configuración deCitrix de VMware Identity Manager en la página Catálogo > Administrar aplicaciones de escritorio >Aplicación publicada de Citrix.

Para XenDesktop 7.x, consulte https://support.citrix.com/article/CTX127945 para obtener informaciónsobre cómo comprobar el puerto XML.

Se produce un error en la sincronización de recursos de Citrix siGrupo de visibilidad limitada no contiene ningún usuario o grupoSi se selecciona la opción Grupo de visibilidad limitada y no contiene ningún usuario o grupo de AD, lasincronización de recursos de Citrix falla.

Problema

En XenDesktop y XenApp 7.9 y versiones posteriores, si se selecciona la opción Grupo de visibilidadlimitada y no contiene ningún usuario o grupo, la sincronización con VMware Identity Manager falla.

Causa

Si está establecida, la opción Grupo de visibilidad limitada debe contener usuarios o grupos.

Solución

1 Para buscar el nombre real de la aplicación, ejecute el siguiente comando de PowerShell:

asnp citrix*

Get-brokerapplication-browsername nameOfCitrixPublishedResource

En los detalles de la aplicación que se muestran, busque el nombre de la aplicación.

2 En Citrix Studio, busque la aplicación con ese nombre, edite la propiedad Visibilidad limitada yagregue usuarios y grupos a la lista.

Problemas de sincronización si las aplicaciones o los escritoriospublicados en un sitio no contienen usuarios válidosSi una aplicación o un escritorio publicados de Citrix no contienen usuarios válidos, la sincronización conVMware Identity Manager no funcionará.


VMware, Inc. 192

https://support.citrix.com/article/CTX127945

Problema

Todas las aplicaciones y los escritorios publicados de Citrix en un sitio deben contener usuarios válidos.Si se elimina un usuario o un grupo, y dicho usuario o grupo no se quita de un recurso publicado deCitrix, la aplicación o el escritorio de Citrix muestran un SID huérfano. Esto evita que la sincronizacióncon VMware Identity Manager funcione.

Puede utilizar la siguiente API para comprobar el problema:

http://CitrixBrokerFQDN:80/IB/API/RestServiceImpl.svc/hznxenapp/admin/entitlements?

computerName=IBFQDN&xenappversion=VersionNumber&appName=applicationName

El archivo resultante contiene recursos vacíos. Ejemplo de salida:

"[{\"IncludedUsers\":\"DomainName\\\\USERNAME:User

$S-1-5-21-1097426297-1557994628-1672037986-53944:Group\"}]"

Causa

Algunas aplicaciones o escritorios publicados en el sitio no contienen usuarios válidos.

Asegúrese de que todas las aplicaciones y los escritorios publicados de Citrix en un sitio contenganusuarios válidos.

Las autorizaciones de Citrix no aparecen en VMware IdentityManagerLas autorizaciones de Citrix no aparecen en VMware Identity Manager.

Problema

Las autorizaciones para un grupo de aplicaciones o de entrega se establecen en el servidor de Citrix,pero no aparecen en VMware Identity Manager.

Causa

Es posible que los usuarios y los grupos autorizados para el grupo de aplicaciones o de entrega no esténsincronizados con VMware Identity Manager.

Asegúrese de que los usuarios y los grupos estén sincronizados con VMware Identity Manager.

1 Inicie sesión en la consola de administración de Citrix y busque la aplicación que no tiene ningunaautorización.

2 Tome nota de los usuarios y grupos de Active Directory que tienen permiso para iniciar la aplicaciónen la consola de administración de Citrix.

3 Inicie sesión en la consola de administración de VMware Identity Manager, haga clic en la pestañaUsuarios y grupos y compruebe que los usuarios y los grupos aparecen en la lista.

También puede utilizar el cuadro de búsqueda en la parte superior derecha de la página.


VMware, Inc. 193

4 Si aparecen los usuarios y grupos, sincronice los recursos de Citrix nuevamente desde la páginaCatálogo > Aplicaciones virtuales > Configuración de aplicaciones virtuales.

Nota Los usuarios y los grupos deben existir en VMware Identity Manager antes de sincronizar losrecursos de Citrix. Si no existen, se ejecutará la sincronización, pero las autorizaciones no seactualizarán.

5 Si los usuarios y los grupos no existen en VMware Identity Manager, realice estas acciones.

a Compruebe dónde existen los usuarios y los grupos en Active Directory (para ello, utilice elcomplemento Usuarios y equipos de Active Directory).

b En la consola de administración de VMware Identity Manager, actualice los DN de sincronizaciónde AD para los usuarios y los grupos en las páginas Configuración de sincronización deldirectorio.

c Cuando los usuarios y los grupos aparezcan en la consola de administración de VMware IdentityManager, vuelva a sincronizar los recursos de Citrix.

Cuando se complete la sincronización, las autorizaciones aparecerán en VMware Identity Manager.

Excepción durante la sincronización si no se configura laidentidad del grupo de aplicacionesSe produce una excepción durante la sincronización de los recursos de Citrix en VMware IdentityManager debido a un error común en la configuración de Integration Broker: el valor de Identidad estáconfigurado para el grupo de aplicaciones incorrecto.

Problema

Durante la sincronización, se produce la siguiente excepción en el registro de Integration Broker.

IntegrationBrokerLogger Error 1002 2017-04-04 19:10:38,936 (16)

HznXenIntegrationBroker.ApplicationException.ServiceErrorHandler - Connecting to

remote server failed with the following error message : The client cannot connect to

the destination specified in the request. Compruebe que el servicio en el destino se

está ejecutando y que acepta solicitudes. Consulte los registros y la documentación

del servicio WS-Management que se ejecuta en el destino, generalmente IIS o WinRM.

Si el destino es el servicio WinRM, ejecute el siguiente comando en el destino para

analizar y configurar el servicio WinRM: "winrm quickconfig". Para obtener más

información, consulte el tema de ayuda about_Remote_Troubleshooting. en

System.Management.Automation.Runspaces.AsyncResult.EndInvoke()

Causa

Este error se produce si el valor de Identidad no está correctamente configurado, o si está configuradopara el grupo de aplicaciones incorrecto.

Configure el valor de Identidad en el grupo de aplicaciones que está asociado a Integration Broker. Dichogrupo puede ser distinto al grupo de aplicaciones predeterminado.


VMware, Inc. 194

Para comprobar el grupo de aplicaciones correcto:

1 En IIS Manager, haga clic en Grupos de aplicaciones en el panel izquierdo.

2 Haga clic con el botón secundario en el grupo de aplicaciones y seleccione Ver aplicaciones.

3 Compruebe que Integration Broker aparece en la lista de aplicaciones.

Para configurar el valor de Identidad para el grupo de aplicaciones, siga las instrucciones de Configurarel administrador de IIS.

El archivo ICA no se crea al iniciar recursos de CitrixDurante el inicio de los recursos de Citrix, no se crea el archivo ICA y se produce una excepción.

Problema

Cuando los usuarios intentan iniciar un recurso de Citrix, no se crea el archivo ICA y aparece unaexcepción como la siguiente en el registro de Integration Broker.

IntegrationBrokerLogger Information 1004 2017-05-02 11:50:42,093 (8)

HznXenIntegrationBroker.API.RestServiceImpl - Get ICA file contents for

AppNameCitrix.MPS.App.XA65Test.Airwatch Notepad Test, Farm Name: XA65Test, Server

Name: serverName, Username: user1 IntegrationBrokerLogger Error 1002 2017-05-02

11:50:42,093 (8) HznXenIntegrationBroker.ApplicationException.ServiceErrorHandler -

WebPNBuilder implementation class WebPNImpl!

com.citrix.wing.webpnimpl.WebPNBuilderImpl not found at

com.citrix.wing.webpn.WebPNBuilder.getInstance() at

HznXenIntegrationBroker.XenAppSDK.Impl.XenAppSDKClient.CreateUserContext(UserPrincip

al userPrincipal, String appName, Configuration configuration) at

HznXenIntegrationBroker.XenAppSDK.Impl.XenAppSDKClient.GenerateICAFileCommon(UserPri

ncipal userPrincipal, String appName, Configuration configuration) at

HznXenIntegrationBroker.XenAppSDK.Impl.XenAppSDKClient.GenerateICAFile(UserPrincipal

userPrincipal, String farmName, String serverName, String serverPort, String

appName, XMLServiceTransportProtocol xmlserviceTransportProtocol, Int32

sslRelayPort)

Vuelva a instalar Microsoft Visual J# 2.0 en el servidor de Integration Broker.

Reiniciar Integration BrokerSi Integration Broker no responde, reinicie IIS en el servidor de Windows.

Problema

Integration Broker no responde y es necesario reiniciarlo.

Solución

1 Abra la ventana de símbolo del sistema como administrador.

2 Escriba iisreset.


VMware, Inc. 195

docs.vmware.com · Contenido Configurar recursos en VMware Identity Manager (versión local) 7 1...

Documents

Transcript of docs.vmware.com · Contenido Configurar recursos en VMware Identity Manager (versión local) 7 1...