Manager VMware Identity でのリソースのセットアップ (Cloud) · 2019. 5. 15. · VMware...

VMware IdentityManager でのリソースのセットアップ (Cloud)2019 年 4 月VMware Identity Manager

VMware Identity Manager でのリソースのセットアップ (Cloud)

VMware, Inc. 2

VMware Web サイトで最新の技術ドキュメントをご確認いただけます。

https://docs.vmware.com/jp/

VMware の Web サイトでは、最新の製品アップデートを提供しています。

本書に関するご意見、ご要望をお寄せください。フィードバック送信先：

[email protected]

Copyright © 2015 – 2019 VMware, Inc. All rights reserved. 著作権および商標.

VMware, Inc.3401 Hillview Ave.Palo Alto, CA 94304www.vmware.com

ヴイエムウェア株式会社

105-0013　東京都港区浜松町 1-30-5浜松町スクエア 13Fwww.vmware.com/jp

https://docs.vmware.com/jp/

mailto:[email protected]

http://pubs.vmware.com/copyright-trademark.html

内容

VMware Identity Manager でのリソースのセットアップ (SaaS) 6

1 VMware Identity Manager でのリソースのセットアップの概要 7

2 Web アプリケーションへのアクセスの提供 9

カタログへの Web アプリケーションの追加 11

Web アプリケーションへのユーザーとグループの割り当て 14

Web アプリケーションの編集 15

Web アプリケーションのコピー 16

Web アプリケーションのエクスポート 17

Web アプリケーションのインポート 17

カタログからの Web アプリケーションの削除 18

アプリケーションのカテゴリの作成と選択 18

Web アプリケーションの複数テナントの追加 19

カタログへの OpenID Connect アプリケーションの追加 20

プロビジョニングアダプタの使用 23

Web アプリケーション設定の管理 24

追加情報 24

3 デスクトップ統合のために仮想アプリケーションのコレクションを使用する 25

仮想アプリケーションのコレクションについて 25

既存の構成を仮想アプリケーションのコレクションに移行する 27

仮想アプリケーションのコレクションの作成 30

仮想アプリケーションのコレクションの編集 32

仮想アプリケーションのコレクションの同期 33

仮想アプリケーションのコレクションの監視 34

仮想アプリケーションのコレクションの削除 37

4 Horizon 7 または Horizon 6 のデスクトッププールおよびアプリケーションプールへ

のアクセスの提供 39導入シナリオ 40

高度な Horizon 統合の設計 41

個々の Horizon ポッドの統合について 43

Horizon Cloud Pod アーキテクチャ (CPA) の展開環境の統合について 44

VMware Identity Manager での Horizon ポッドとポッドフェデレーションの構成 48

ネットワーク範囲のクライアントアクセスの FQDN の設定 56

検証ゲートウェイによる Horizon リソースの起動 57

VMware Identity Manager での Horizon デスクトッププールとアプリケーションプール情報の表示 59

VMware, Inc. 3

Horizon デスクトッププールおよびアプリケーションプールに対するユーザーとグループの資格の表示 59

特定のアプリケーションおよびデスクトップ向けのアクセスポリシーの設定 60

ユーザーによる Workspace ONE カタログからの Horizon デスクトップのリセットを許可する 61

Horizon デスクトップおよびアプリケーションの起動オプションの表示 62

Horizon デスクトップまたはアプリケーションの起動 63

5 VMware Horizon Cloud Service デスクトップおよびアプリケーションへのアクセスの

提供 65Horizon Cloud デスクトップとアプリケーションの連携 66

VMware Identity Manager での Horizon Cloud デスクトッププールとアプリケーションプール情報の表示 75

Horizon Cloud デスクトップおよびアプリケーションに対するユーザーおよびグループ割り当ての表示 75


ユーザーによる Horizon Cloud デスクトップのリセットを許可する 77

Horizon Cloud デスクトップまたはアプリケーションの実行 77

6 VMware ThinApp パッケージへのアクセスの提供 79

VMware ThinApp パッケージの統合 80

ユーザーおよびグループに ThinApp パッケージの使用資格を付与 90

VMware Identity Manager による ThinApp パッケージの配布と管理 91

VMware Identity Manager に展開後の管理対象 ThinApp パッケージの更新 96

既存の ThinApp パッケージと VMware Identity Manager との互換性確保 102

ThinApp パッケージの共有フォルダの変更 105


7 VMware Identity Manager Desktop の構成 107

VMware Identity Manager Desktop 用のコマンドラインインストーラオプション 108

同一設定で VMware Identity Manager Desktop アプリケーションを複数の Windows システムにインストー

ルする 114

VMware Identity Manager 仮想アプライアンスへの VMware Identity Manager Desktop インストーラファ

イルの追加 115

コマンドライン hws-desktop-ctrl.exe アプリケーションの使用 116

8 Citrix 公開リソースへのアクセスの提供 118

Citrix 公開リソースの統合の概要 118

Citrix 統合に必要なコンポーネント 120

高度な統合の設計 120

Citrix 統合の前提条件 125

VMware Identity Manager での Citrix サーバファームの構成 151

VMware Identity Manager での Citrix リソースの起動の設定 158

Citrix 統合のための VMware Identity Manager 設定の構成 163

Citrix 公開リソースの統合に対するアップグレードの影響 168


VMware, Inc. 4

9 Workspace ONE でサードパーティの管理対象アプリケーションへのアクセスを提供 169アプリソースを Workspace ONE カタログに追加 170

ユーザーにアプリソースの資格を付与 171

アプリケーション送信元によって管理されるアプリケーションを追加 171

10 VMware Identity Manager リソース構成のトラブルシューティング 173

起動エラーのトラブルシューティング 173

ThinApp 統合のトラブルシューティング 173

Horizon 統合のトラブルシューティング 176

Citrix 公開リソースの統合のトラブルシューティング 177


VMware, Inc. 5

VMware Identity Manager でのリソースのセットアップ (SaaS)

「VMware Identity Manager でのリソースのセットアップ」では、VMware Identity Manager カタログにリソースを追加し、それらのリソースをデスクトップやモバイルデバイスなどユーザーのシステムから使用する方法について説明します。サポートされるリソースには、Web アプリケーション、VMware Horizon® デスクトップおよびアプリケーション、VMware Horizon® Cloud Service™ デスクトップおよびアプリケーション、Citrix 公開リソース、および VMware ThinApp® パッケージが含まれます。

対象者

この情報は、VMware Identity Manager サービスのリソースを構成して管理するユーザーを対象としています。また、仮想マシン技術に精通した経験のある Windows または Linux システム管理者を想定しています。

VMware, Inc. 6

VMware Identity Manager でのリソースのセットアップの概要 1サポートされているリソースへのアクセスをユーザーに提供するには、VMware Identity Manager コンソールでリソースを構成する必要があります。Web アプリケーション以外の各リソースタイプは、VMware Identity Managerを別の製品またはコンポーネントに統合する必要があります。

次のタイプのリソースを VMware Identity Manager に統合できます。

n Web アプリケーション

n 仮想アプリケーション

n VMware Horizon® Cloud Service™ アプリケーションとデスクトップ

n VMware Horizon® 7 および Horizon 6 デスクトップとアプリケーションプール

n Citrix 公開リソース

n VMware ThinApp® パッケージアプリケーション

注: ThinApp パッケージアプリケーションとの統合は、Linux 版 VMware Identity Manager Connectorでのみサポートされています。Windows コネクタではサポートされません。

これらのリソースは、VMware Identity Manager コンソールの [カタログ] タブで統合します。

n Web アプリケーションを統合するには、[カタログ] - [Web アプリケーション] タブを使用します。

VMware, Inc. 7

n Horizon デスクトップとアプリケーションプール、Horizon Cloud デスクトップとアプリケーション、Citrix公開リソース、または ThinApp パッケージアプリケーションを統合して管理するには、[カタログ] - [仮想アプリケーションのコレクション] タブと [カタログ] - [仮想アプリケーション] タブを使用します。[カタログ] - [仮想アプリケーションのコレクション] ページで統合を構成し、[カタログ] - [仮想アプリケーション] ページに同期されたリソースを表示します。

統合されたリソースの設定は、次のページから管理できます。

n グローバル設定は、[カタログ] - [設定] タブで使用できます。

n Web アプリケーションの設定は、[カタログ] - [Web アプリケーション] タブの [設定] ボタンから使用できます。

n Horizon、Horizon Cloud、ThinApp、および Citrix 公開リソースの設定は、[カタログ] - [仮想アプリケーション] タブの [設定] ボタンから使用できます。

また、[カタログ] - [Web アプリケーション] または [カタログ] - [仮想アプリケーション] ページでアプリケーションをクリックし、[編集] をクリックすることによって各アプリケーションの設定を管理することもできます。


VMware, Inc. 8

Web アプリケーションへのアクセスの提供 2VMware Identity Managerカタログに Web アプリケーションを追加し、ユーザーおよびグループに割り当てると、ユーザーは Workspace ONE ポータルまたはアプリケーションからこれらのアプリケーションにアクセスできるようになります。アプリケーションへのシングルサインオン (SSO) を有効にするには、SAML 2.0 などのフェデレーションプロトコルを使用してアプリケーションを構成します。

アクセスポリシーをアプリケーションに適用し、ユーザーのネットワーク範囲やデバイスタイプなどの基準に基づいてユーザーアクセスを制御できます。アクセスポリシーは、単一のアプリケーション、一連のアプリケーション、またはカタログ内のすべてのアプリケーションに対して作成できます。カタログにアプリケーションを追加するとき

は、使用するアクセスポリシーを選択します。

また、承認フローを設定して、ユーザーがアプリケーションへのアクセスを要求し、要求が承認されてからアプリケー

ションを使用できるようにすることもできます。

カタログには次のタイプの Web アプリケーションを追加できます。

n SAML 2.0 アプリケーション

n SAML 1.1 アプリケーション

SAML 1.1 は、古い SAML 認証標準です。セキュリティを向上させるには、SAML 2.0 を実装します。

n WS-Federation 1.2 アプリケーション

n OpenID Connect アプリケーション

n フェデレーションプロトコルを使用しないアプリケーション

n Okta、Ping、ADFS などのサードパーティの ID プロバイダに関連するアプリケーション。

これらのアプリケーションを追加するには、まず VMware Identity Manager でサードパーティの ID プロバイダをアプリソースとして構成する必要があります。詳細については、

章 9 「Workspace ONE でサードパーティの管理対象アプリケーションへのアクセスを提供」を参照してください。

カタログに Web アプリケーションを設定する前に、次の点について検討します。

n フェデレーションプロトコルを使用するように Web アプリケーションを構成する場合は、SAML 2.0、SAML1.1、WS-Federation 1.2、または OpenID Connect を使用する。フェデレーションプロトコルを使用するように Web アプリケーションを構成することは必須ではありません。

VMware, Inc. 9

n Web アプリケーションの使用資格を付与する予定のユーザーはそのアプリケーションの登録ユーザーでなければなりません。または、可能な場合はそのアプリケーションのプロビジョニングアダプタを構成して、VMware Identity Managerのユーザーをそのアプリケーションでプロビジョニングするようにします。

n Web アプリケーションがマルチテナントアプリケーションの場合、サービスはアプリケーションのインスタンスを参照します。

Web アプリケーションの管理のためのロール要件次のロールは Web アプリケーションを管理できます。

n スーパー管理者

n 次のように構成されたカスタム管理者ロール：

サービス：カタログ

アクション：Web アプリケーションの管理、アプリソースの管理、サードパーティアプリケーションの管理（該当するもの）

リソース：すべてのリソースまたは該当する特定のリソース

アプリケーションをユーザーおよびグループに割り当てるには、ロールに資格の管理アクションを含める必要があり

ます。

ロールの詳細については、『VMware Identity Manager の管理』の「管理者ロールの管理」を参照してください。

この章には、次のトピックが含まれています。

n カタログへの Web アプリケーションの追加

n Web アプリケーションへのユーザーとグループの割り当て

n Web アプリケーションの編集

n Web アプリケーションのコピー

n Web アプリケーションのエクスポート

n Web アプリケーションのインポート

n カタログからの Web アプリケーションの削除

n アプリケーションのカテゴリの作成と選択

n Web アプリケーションの複数テナントの追加

n カタログへの OpenID Connect アプリケーションの追加

n プロビジョニングアダプタの使用

n Web アプリケーション設定の管理

n 追加情報


VMware, Inc. 10

カタログへの Web アプリケーションの追加Web アプリケーションをカタログに追加するには、クラウドアプリケーションカタログから選択するか、新しいWeb アプリケーションを作成します。

クラウドアプリケーションカタログには、一般に使用されるエンタープライズ Web アプリケーションが含まれています。これらのアプリケーションは部分的に構成されていて、アプリケーションレコードを完成させるには追加情報を提供する必要があります。また、Web アプリケーションのアカウント担当者と連携して、その他の必要なセットアップが必要な場合があります。

クラウドアプリケーションカタログの多くのアプリケーションは、SAML 2.0 または SAML 1.1 を使用して認証および承認データを交換し、Workspace ONE から Web アプリケーションへのシングルサインオンを有効にします。

新しいアプリケーションを作成するときには、アプリケーションのすべての構成情報を入力する必要があります。構

成は、追加するアプリケーションの種類によって異なります。フェデレーションプロトコルを使用しないアプリケーションの場合は、ターゲット URL のみが必要です。

VMware Identity Manager のアプリケーションソースとして構成したサードパーティの ID プロバイダのアプリケーションは、新しいアプリケーションとして追加されます。

アプリケーションを追加するときには、アプリケーションへのユーザーアクセスを制御するアクセスポリシーも選択します。デフォルトのアクセスポリシーを使用できますが、[ID とアクセス管理] - [管理] - [ポリシー] ページから新しいアクセスポリシーを作成することもできます。アクセスポリシーの詳細については、『VMware IdentityManager の管理』を参照してください。

前提条件

n アプリケーションの構成情報を取得します。

n デフォルトのアクセスポリシーを使用しない場合は、アクセスポリシーを作成します。アクセスポリシーは、[ID とアクセス管理] - [管理] - [ポリシー] ページで表示できます。

n アプリケーションをカテゴリにグループ化する場合は、カテゴリを作成します。事前定義された推奨カテゴリを

使用できます。[カタログ] - [ Web アプリ] ページからカテゴリを作成するには、[カテゴリ]をクリックして、テキストボックスにカテゴリ名を入力します。

n 必要に応じて、ユーザーグループを作成します。グループは、[ユーザーとグループ] - [グループ] タブから作成することができます。

手順

1 VMware Identity Manager コンソールで、[カタログ] - [Web アプリケーション] タブを選択します。

2 [新規] をクリックします。

[新規 SaaS アプリケーション] ウィザードが表示されます。


VMware, Inc. 11

3 クラウドアプリケーションカタログからアプリケーションを選択するか、新規作成します。

n クラウドアプリケーションカタログからアプリケーションを選択するには、検索ボックスに名前を入力するか、[またはカタログから参照] をクリックして、アプリケーションのリストから選択します。

[定義] および [構成] ページのフィールドは部分的に入力されています。

n 新しいアプリケーションを作成するには、[名前] フィールドに名前を入力します。

4 [定義] ページに必要な情報を入力します。

オプション説明

名前アプリケーションの一意の名前を入力します。

説明（オプション）アプリケーションの説明を入力します。

アイコン（オプション）アプリケーションのアイコンをアップロードします。PNG、JPG、および ICONファイル形式で最大 4 MB のアイコンがサポートされます。

アイコンは 180 x 180 ピクセル以上である必要があります。アイコンが小さすぎると、表示されません。その場合は、Workspace ONE のアイコンが表示されます。

カテゴリ（オプション）アプリケーションをカテゴリに追加するには、ドロップダウンメニューから選択します。カテゴリは事前に作成しておく必要があります。

事前定義された [推奨] カテゴリを使用できます。これは、アプリケーションを WorkspaceONE の [推奨] ページに表示する場合に選択します。アプリケーションをユーザーの [ブックマーク] ページに表示するには、[推奨] カテゴリを選択し、[カタログ] - [設定] - [ユーザーポータルの設定] ページで [ブックマークタブに推奨されるアプリケーションを表示] タブを選択します。

5 [次へ] をクリックします。

6 [構成] ページで、アプリケーション構成の詳細を入力します。

クラウドアプリケーションカタログから追加されたアプリケーションの場合、いくつかのフィールドは各 Webアプリケーションに固有の情報が自動入力されます。あらかじめ含まれている項目の一部は編集可能ですが、そ

れ以外は編集できません。必要な情報は、アプリケーションによって異なります。


VMware, Inc. 12

新規アプリケーションとして追加されたアプリケーションの場合、フィールドは選択した認証タイプに応じて異

なります。

特定のフィールドの詳細については、フィールドの横にある情報アイコンをクリックします。


シングルサインオン [認証タイプ]

クラウドアプリケーションカタログから追加されたアプリケーションの場合、認証タイプがあらかじめ選択されています。新しいアプリケーションの場合は、認証タイプを選択します

（該当する場合）。アプリケーションがフェデレーションプロトコルを使用しない場合は、Web アプリケーションリンクを選択します。

次のオプションを使用できます。

n SAML 2.0

Web アプリケーションが、認証および承認情報の安全な交換のための XML ベースの標準である SAML 2.0 をサポートする場合、このオプションを選択すると、WorkspaceONE からアプリケーションへのシングルサインオンが有効になります。

n SAML 1.1

Web アプリケーションが SAML 1.1 をサポートする場合は、このオプションを選択してWorkspace ONE からアプリケーションへのシングルサインオンを有効にします。

n WSFed 1.2

Web アプリケーションが WS-Federation 1.2 認証をサポートする場合は、このオプションを選択して Workspace ONE からアプリケーションへのシングルサインオンを有効にします。

n OpenID Connect

アプリケーションが OAuth 2.0 プロトコルに基づく認証プロトコルである OpenIDConnect をサポートする場合、このオプションを選択すると、Workspace ONE からアプリケーションへのシングルサインオンが有効になります。

n VMware Identity Manager でアプリソースとして構成されているサードパーティの IDプロバイダ（Okta など）。

アプリソースからアプリケーションを追加するには、このオプションを選択します。アプリソースは、[Web アプリケーションの構成] ページですでに構成されている場合にのみリストに表示されます。アプリソースを選択する場合、入力するのはアプリケーションのターゲット URL のみです。それ以外の構成はすでにアプリソースで完了しています。

n Web アプリケーションリンク

アプリケーションがフェデレーションプロトコルを使用しない場合は、このオプションを選択します。入力が必要なのはアプリケーションのターゲット URL のみです。

[構成]

表示されるフィールドは、選択した認証タイプによって異なります。各フィールドの説明に

ついては、情報アイコンをクリックします。

アプリソースまたは Web アプリケーションリンクを選択した場合、入力が必要なのはアプリケーションのターゲット URL のみです。

アプリケーションパラメータクラウドアプリケーションカタログから追加されたアプリケーションの場合、パラメータが一覧表示される場合があります。パラメータが一覧表示され、デフォルト値がない場合は、

アプリケーションを起動できるように値を入力します。デフォルト値が指定されている場合

は、その値を編集できます。

新しいアプリケーションの場合は、必須のパラメータを追加します。

注: 認証タイプとして OpenID Connect、アプリソース、または Web アプリケーションリンクが選択されている場合、このセクションは表示されません。


VMware, Inc. 13


詳細プロパティ詳細プロパティには、SAML アサーションおよび応答に署名して暗号化するためのオプションや、認証が失敗した場合にサービスプロバイダに SAML 応答を送信するための認証エラーの通知を有効にするオプションが含まれます。構成できるプロパティは、選択した認証タイ

プによって異なります。各フィールドの説明については、情報アイコンをクリックします。

注: 認証タイプとして OpenID Connect、アプリソース、または Web アプリケーションリンクが選択されている場合、このセクションは表示されません。

VMware Browser で開く Workspace ONE アプリケーションが、ネイティブの Web ブラウザに対する安全な代替手段である VMware Browser でアプリケーションを開くようにするには、このオプションを選択します。


8 [アクセスポリシー] ページで、アプリケーションへのユーザーアクセスを管理するアクセスポリシーを選択します。

デフォルトで default_access_policy_set が選択されています。

9 [サマリ] ページで選択内容を確認し、[保存] をクリックするか、[保存して割り当て] をクリックしてアプリケーションをユーザーおよびグループに割り当てます。

この時点ではユーザーおよびグループにアプリケーションを割り当てない場合は、後で [カタログ] - [Web アプリケーション] ページでアプリケーションを選択し、[割り当て] をクリックして割り当てることができます。

10 [保存して割り当て] をクリックした場合は、アプリケーションをユーザーおよびグループに割り当てます。

a ユーザーおよびグループを追加するには、検索ボックスに名前を入力して、検索結果から選択します。

b 各ユーザーおよびグループの展開の種類を選択します。

[ユーザーによるアクティベーション] または [自動] のどちらを選択したかに関係なく、アプリケーションはWorkspace ONE の [カタログ] ページに表示されます。ユーザーは、[カタログ] ページからアプリケーションを実行したり、アプリケーションをブックマークして [ブックマーク] ページから実行したりすることができます。アプリケーションの承認フローを設定する場合は、[ユーザーによるアクティベーション] を選択します。

c [保存] をクリックします。

アプリケーションがカタログに追加され、[カタログ] - [Web アプリケーション] タブのアプリケーションのリストに表示されます。

Web アプリケーションへのユーザーとグループの割り当てWeb アプリケーションをカタログに追加した後、ユーザーおよびグループに割り当てることができます。

ユーザーに Web アプリケーションの使用資格を付与すると、ユーザーは Workspace ONE のポータルまたはアプリケーションからアプリケーションを表示および起動できます。ユーザーの資格を削除すると、ユーザーのデバイスで

アプリケーションが表示されなくなり、起動できなくなります。

多くの場合、ユーザーに資格を付与する最も効果的な方法は、Web アプリケーションをユーザーのグループに割り当てることです。


VMware, Inc. 14

前提条件

必要に応じて、グループを作成します。グループは、[ユーザーとグループ] - [グループ] タブから作成することができます。

手順

1 VMware Identity Manager コンソールにログインします。

2 ユーザーに Web アプリケーションの使用資格を付与します。

方法説明

Web アプリケーションにアクセスし、ユーザーまたはグループに割り当てます。

a [カタログ] - [Web アプリケーション] タブを選択します。

b Web アプリケーションをクリックします。

c [割り当て] をクリックします。

d ユーザーおよびグループを選択するには、検索ボックスに名前を入力して、検索結果か

ら選択します。

e 各ユーザーおよびグループの展開の種類を選択します。

[ユーザーによるアクティベーション] または [自動] のどちらのオプションを選択したかに関係なく、アプリケーションは Workspace ONE の [カタログ] ページに追加されます。ユーザーは、[カタログ] ページからアプリケーションを実行したり、アプリケーションをブックマークして [ブックマーク] ページから実行したりすることができます。ただし、アプリケーションの承認フローを設定する場合は、[ユーザーによるアクティベーション] を選択します。

f [保存] をクリックします。

ユーザーまたはグループにアクセスし、そのユー

ザーまたはグループに Web アプリケーションの使用資格を付与する。

a [ユーザー & グループ] タブをクリックします。

b [ユーザー] タブまたは [グループ] タブをクリックします。

c ユーザー名またはグループ名をクリックします。

d [アプリ] タブをクリックし、[資格を追加] をクリックします。

e [アプリケーションの種類] ドロップダウンリストで、[Web アプリケーション] を選択します。

f ユーザーまたはグループに使用資格を付与する Web アプリケーションの横のチェックボックスをオンにします。

g [展開] 列で、各 Web アクティベーションをアクティベーションする方法を選択します。


h [保存] をクリックします。

選択したユーザーまたはグループに、Web アプリケーションの使用資格が付与されました。

Web アプリケーションの編集VMware Identity Manager カタログに追加した Web アプリケーションを編集することができます。アプリケーション定義、構成、アクセスポリシー、およびユーザー割り当てを変更できます。


VMware, Inc. 15

手順


2 編集するアプリケーションをクリックします。

3 [編集] をクリックします。

4 SaaS アプリケーションの編集ウィザードに従い、必要に応じてアプリケーションを変更します。

プロセスは、新しいアプリケーションを作成する場合と同じです。「カタログへの Web アプリケーションの追加」を参照してください。

Web アプリケーションのコピーカタログで Web アプリケーションのコピーを作成し、それに変更を加えて新しいアプリケーションを作成することができます。アプリケーションのコピーは、同様の構成を持つ別のアプリケーションを追加したり、アプリケーショ

ンの複数のテナントを追加したりする場合に便利です。

手順


2 コピーするアプリケーションをクリックします。

3 [コピー] をクリックします。

4 SaaS アプリケーションのコピーウィザードに従って、新しいアプリケーションを構成します。

a コピーしたアプリケーションには新しい名前を入力します。デフォルトでは、名前は

<applicationName>_Copy に変更されます。

b 必要に応じて設定を変更します。

プロセスは、新しいアプリケーションを作成する場合と同じです。「カタログへの Web アプリケーションの追加」を参照してください。


5 [サマリ] ページで選択内容を確認し、[保存] をクリックするか、[保存して割り当て] をクリックしてアプリケーションをユーザーおよびグループに割り当てます。元のアプリケーションのユーザーとグループの割り当ては、

新しいアプリケーションにコピーされません。



VMware, Inc. 16






Web アプリケーションのエクスポート1 つの VMware Identity Managerインスタンスから別のインスタンスに Web アプリケーションをエクスポートおよびインポートすることができます。たとえば、ステージング環境から本番環境にアプリケーションをインポートす

る場合があります。

このプロセスには、アプリケーションバンドルを 1 つのインスタンスからエクスポートして、別のインスタンスにインポートする作業が含まれます。アプリケーションの追加構成は必要がない可能性があります。特に、元の環境で十

分に検証されている場合は、その可能性が高くなります。

手順

1 Web アプリケーションのエクスポート元である VMware Identity Managerインスタンスのコンソールにログインします。

2 [カタログ] - [Web アプリケーション] タブを選択します。

3 エクスポートするアプリケーションをクリックします。

4 [エクスポート] をクリックします。

アプリケーションバンドルが zip ファイルとしてシステムにダウンロードされます。

次のステップ

アプリケーションバンドルを、それを使用する VMware Identity Managerインスタンスにインポートします。

Web アプリケーションのインポート1 つの VMware Identity Managerインスタンスから別のインスタンスに Web アプリケーションをエクスポートおよびインポートすることができます。たとえば、ステージング環境から本番環境にアプリケーションをインポートす

る場合があります。

前提条件

アプリケーションを別の VMware Identity Managerインスタンスからエクスポートしました。


VMware, Inc. 17

手順

1 Web アプリケーションをインポート先である VMware Identity Managerインスタンスのコンソールにログインします。

2 [カタログ] - [Web アプリケーション] タブを選択します。

3 [詳細] - [インポート] をクリックします。

4 アプリケーションの zip ファイルを選択して、[開く] をクリックします。

アプリケーションがアップロードされます。

カタログからの Web アプリケーションの削除ユーザーに提供する必要がなくなった Web アプリケーションは、VMware Identity Manager カタログから削除することができます。Workspace ONE のすべてのユーザーは、削除されたアプリケーションを使用することができなくなります。

手順


2 削除するアプリケーションをクリックします。

3 [削除] をクリックします。

アプリケーションのカテゴリの作成と選択

Web アプリケーションをカテゴリにグループ化して、アプリケーションの検索をより簡単にすることができます。たとえば、Benefits というカテゴリを作成し、給与、保険、および 401 K のアプリケーションを割り当てることができます。

作成するカテゴリに加え、事前定義された [推奨] カテゴリも利用できます。このカテゴリは、Workspace ONE の[推奨] ページに追加するアプリケーションの場合に選択します。[推奨] カテゴリを使用して、特定のアプリケーションをユーザーの [ブックマーク] ページに直接配置することもできます。これを行うには、アプリケーションの [推奨]カテゴリを選択し、[カタログ] - [設定] - [ユーザーポータルの設定] ページの [ブックマークタブに推奨されるアプリケーションを表示] を選択します。

アプリケーションのカテゴリはさまざまな方法で選択できます。

n カテゴリがすでに作成されている場合は、アプリケーションをカタログに追加するときにカテゴリを選択します。

n アプリケーションを編集してカテゴリを選択します。

n [カタログ] - [Web アプリケーション] タブから、カテゴリを複数のアプリケーションに同時に適用します。

手順


2 [カテゴリ] をクリックします。

3 表示されるテキストボックスに、新しいカテゴリの名前を入力し、[カテゴリを追加<newCategoryName>] を選択します。


VMware, Inc. 18

4 アプリケーションをカテゴリを割り当てます。

a [カタログ] - [Web アプリケーション] タブで、カテゴリに追加するアプリケーションを選択します。

b [カテゴリ] ドロップダウンメニューをクリックし、作成したカテゴリを選択します。

Web アプリケーションの複数テナントの追加VMware Identity Manager は、VMware Identity Manager インスタンスへのサービスプロバイダの複数のテナントの追加をサポートします。組織内の異なる事業部門で使用される可能性のある Office 365 などのアプリケーションのテナントが複数ある場合、すべてのテナントを VMware Identity Manager の単一のインスタンスに追加できます。これによって SSO を管理し、すべてのテナントに 1 つの場所からアクセスできます。

複数のテナントを追加するには、アプリケーションの複数のコピーを VMware Identity Manager カタログに追加し、それぞれの構成を変更します。アプリケーションの各コピーをサービスプロバイダの別のテナントにマッピングします。各テナントには、1 つ以上のドメインを関連付けることができます。また、アプリケーションの適切なコピーを使用する資格をユーザーに付与する必要があります。

ユーザーが Workspace ONE にログインし、資格を付与されたアプリケーションをクリックすると、正しいアプリケーションが起動します。ユーザーがサービスプロバイダに直接ログインすると、サービスプロバイダは認証のために VMware Identity Manager にリダイレクトされ、VMware Identity Manager はユーザーを認証し、ユーザーの資格に基づいて適切なアプリケーションを起動します。

手順



3 検索ボックスに名前を入力するか、[カタログから参照] をクリックして、クラウドアプリケーションカタログからアプリケーションを選択します。

[定義] および [構成] ページのフィールドは部分的に入力されています。

4 ウィザードに従ってアプリケーションを構成し、[保存] をクリックします。

5 次のいずれかの方法でアプリケーションのコピーを作成します。

n [カタログ] - [Web アプリケーション] ページで [新規] をクリックし、クラウドアプリケーションカタログからアプリケーションを追加して、新しいアプリケーションを作成します。

n [カタログ] - [Web アプリケーション] ページでアプリケーションをクリックし、[コピー] をクリックしてアプリケーションをコピーします。

名前や説明などのフィールドを編集して、新しいアプリケーションを簡単に識別できるようにします。

6 適切なテナントに対するアプリケーションの各コピーを構成します。

n アプリケーションの各コピーを別のサービスプロバイダテナントにマッピングします。


VMware, Inc. 19

n ユーザーがすべてのサービスプロバイダドメインとテナントにわたって一意であることを確認します。

注: ユーザーが一意でない場合は、サービスプロバイダの POST URL、すなわち VMware Identity Managerコンソールに入力するアサーションコンシューマサービス URL がテナント間で一意であることを確認します。

7 アプリケーションの各コピーに対するユーザー資格を構成します。適切なテナントの使用資格をユーザーに付与

します。

a [カタログ] - [Web アプリケーション] タブで、テナントに対応するアプリケーションのコピーをクリックします。

b [割り当て] をクリックします。

c ユーザーおよびグループを選択するには、検索ボックスに名前を入力して、検索結果から選択します。

d 各ユーザーおよびグループの展開の種類を選択します。

[ユーザーによるアクティベーション] または [自動] のどちらのオプションを選択したかに関係なく、アプリケーションは Workspace ONE の [カタログ] ページに追加されます。ユーザーは、[カタログ] ページからアプリケーションを実行したり、[ブックマーク] ページに移動したりすることができます。ただし、アプリケーションの承認フローを設定する場合は、そのアプリケーションに対して [ユーザーによるアクティベーション] を選択する必要があります。

e [保存] をクリックします。

カタログへの OpenID Connect アプリケーションの追加OpenID Connect 認証プロトコルを使用するアプリケーションを VMware Identity Manager に追加し、カタログ内の他のアプリケーションのように管理することができます。各アプリケーションにアクセスポリシーを適用し、ネットワーク範囲やデバイスタイプなどの基準に基づいてユーザーを認証する方法を指定することができます。アプリケーションを追加した後、ユーザーおよびグループに割り当てます。

OpenID Connect アプリケーションを追加するには、アプリケーションのターゲット URL、リダイレクト URL、クライアント ID、およびクライアントシークレットを指定します。

OpenID Connect アプリケーションをカタログに追加すると、OAuth 2.0 クライアントがアプリケーションの VMwareIdentity Manager 内で自動的に作成されます。クライアントは、ターゲット URL、リダイレクト URL、クライアント ID、およびクライアントシークレットなど、アプリケーションの追加中に指定する構成情報を使用して作成されます。その他のすべてのパラメータはデフォルト値を使用します。具体的には、次のようになります。

n 許可タイプ：authorization_code、refresh_token

n 範囲：admin、openid、user

n ユーザー許可の表示：false

n アクセストークンの有効時間 (TTL)：3 時間

n リフレッシュトークンの有効時間 (TTL)：有効。90 日に設定

n リフレッシュトークンのアイドル有効時間 (TTL)：4 日


VMware, Inc. 20

[カタログ] - [設定] - [リモートアプリアクセス] ページの [クライアント] タブから、アプリケーションの OAuth 2.0クライアントを表示できます。構成情報を表示するにはクライアント名をクリックします。クライアントのフィール

ドは編集しないでください。

重要: アプリケーションに関連付けられた OAuth 2.0 クライアントを削除しないでください。削除すると、ユーザーがアプリケーションを使用できなくなります。

カタログからアプリケーションを削除すると、OAuth 2.0 クライアントも削除されます。

Workspace ONE からアプリケーションにアクセスするときの認証フロー

ユーザーが Workspace ONE でアプリケーションをクリックすると、認証フローは次のようになります。

1 ユーザーが Workspace ONE でアプリケーションをクリックします。

2 VMware Identity Manager が、ユーザーをターゲット URL にリダイレクトします。

3 アプリケーションが、認証要求を使用して VMware Identity Manager にユーザーをリダイレクトします。

4 VMware Identity Manager が、アプリケーションに対して指定した認証ポリシーに基づいてユーザーを認証します。

5 VMware Identity Manager が、ユーザーにアプリケーションの使用資格があるかどうかを確認します。

6 VMware Identity Manager が、リダイレクト URL に認証コードを送信します。

7 認証コードを使用して、アプリケーションが、アクセストークンを要求します。

8 VMware Identity Manager が ID トークン、アクセストークン、およびリフレッシュトークンをアプリケーションに送信します。

アプリケーションがサービスプロバイダから直接アクセスされるときの認証フロー

ユーザーがサービスプロバイダから直接アプリケーションにアクセスする場合、認証フローは次のようになります。

1 ユーザーがアプリケーションをクリックします。

2 ユーザーは、認証のために VMware Identity Manager にリダイレクトされます。

3 VMware Identity Manager が、アプリケーションに対して指定した認証ポリシーに基づいてユーザーを認証します。

4 VMware Identity Manager が、ユーザーにアプリケーションの使用資格があるかどうかを確認します。

5 VMware Identity Manager が ID トークンをサービスプロバイダに送信します。

OpenID Connect アプリケーションの追加OpenID Connect アプリケーションを、[カタログ] - [Web アプリケーション] タブから VMware Identity Managerカタログに追加します。


VMware, Inc. 21

前提条件

n アプリケーションのターゲット URL、リダイレクト URL、クライアント ID、およびクライアントシークレットを取得します。

n デフォルトのアクセスポリシーを使用しない場合は、アクセスポリシーを作成します。アクセスポリシーは、[ID とアクセス管理] - [管理] - [ポリシー] ページで表示できます。

n 必要に応じて、カテゴリを作成します。[カタログ] - [ Web アプリ] ページからカテゴリを作成するには、[カテゴリ]をクリックして、テキストボックスにカテゴリ名を入力します。

n 必要に応じて、ユーザーグループを作成します。グループは、[ユーザーとグループ] - [グループ] タブから作成することができます。

手順



3 [新規 SaaS アプリケーション] ウィザードの [定義] ページに、必要な情報を入力します。


名前アプリケーションの一意の名前を入力します。

説明（オプション）アプリケーションの説明を入力します。

アイコン（オプション）アプリケーションのアイコンをアップロードします。PNG、JPG、および ICONファイル形式で最大 4 MB のアイコンがサポートされます。

アイコンは 180 x 180 ピクセル以上である必要があります。アイコンが小さすぎると、表示されません。その場合は、Workspace ONE のアイコンが表示されます。

カテゴリ（オプション）アプリケーションをカテゴリに追加するには、ドロップダウンメニューから選択します。カテゴリは事前に作成しておく必要があります。

事前定義された推奨カテゴリも使用できます。これは、アプリケーションを Workspace ONEの [推奨] ページに表示する場合に選択します。アプリケーションをユーザーの [ブックマーク] ページに表示するには、[推奨] カテゴリを選択し、[カタログ] > [設定] > [ユーザーポータルの設定] ページで [ブックマークタブに推奨されるアプリケーションを表示] タブを選択します。


5 [構成] ページに、必要な構成情報を入力します。


認証タイプ [OpenID Connect] を選択します。

ターゲット URL ユーザーが Workspace ONE でアプリケーションをクリックしたときにユーザーが送信されるアプリケーションの URL。

リダイレクト用 URL VMware Identity Manager が認証コードを送信する URL。

クライアント ID VMware Identity Manager に対する認証要求内にアプリケーションによって含められるクライアント ID。クライアント ID は、テナントごとに一意である必要があります。


VMware, Inc. 22


クライアントシークレット VMware Identity Manager に対する認証要求内で自分自身を識別するためにアプリケーションによって使用されるシークレット。

VMware Browser で開く Workspace ONE アプリケーションが、ネイティブの Web ブラウザに対する安全な代替手段である VMware Browser でアプリケーションを開くようにするには、このオプションを選択します。


7 [アクセスポリシー] ページで、アプリケーションへのユーザーアクセスを管理するアクセスポリシーを選択します。

デフォルトで default_access_policy_set が選択されています。アクセスポリシーの作成と管理については、『VMware Identity Manager の管理』を参照してください。

8 [サマリ] ページで選択内容を確認し、[保存] をクリックするか、[保存して割り当て] をクリックしてアプリケーションをユーザーおよびグループに割り当てます。






10 [保存] をクリックします。

アプリケーションはカタログに追加されます。アプリケーション構成は、[カタログ] - [Web アプリケーション] ページでアプリケーションを選択し、[編集] をクリックしていつでも編集することができます。

プロビジョニングアダプタの使用プロビジョニングにより、アプリケーションユーザーを一元的に自動管理できるようになります。プロビジョニングアダプタにより、必要に応じて、Web アプリケーションで VMware Identity Managerサービスから特定の情報を取得できます。たとえば、Google Apps に対して自動ユーザープロビジョニングを有効にすると、ユーザー名、名、姓などのユーザーアカウント情報を VMware Identity Managerサービスから取得できます。

Web アプリケーションでプロビジョニングが有効になっている場合、VMware Identity Managerサービスでそのアプリケーションの使用資格をユーザーに付与すると、その Web アプリケーションでユーザーのプロビジョニングが行われます。

[カタログ] - [Web アプリケーション] タブからカタログにアプリケーションを追加するときは、アプリケーションのプロビジョニングアダプタを構成します。


VMware, Inc. 23

VMware Identity Managerサービスには、現在、以下のアプリケーション用のプロビジョニングアダプタが含まれています。

n Google Apps

例：Google Apps プロビジョニングアダプタの使用を参照してください。

n Office 365

n Socialcast

Web アプリケーション設定の管理Web アプリケーションの設定は、VMware Identity Manager コンソールで [カタログ] - [Web アプリケーション]ページの [設定] ボタンから使用できます。

[設定] ページから、アプリケーションの承認フローを有効にしたり、サードパーティの ID プロバイダをアプリソースとして構成したり、SAML メタデータを管理したりできます。

設定説明

[承認] 承認が有効な場合、Workspace ONE カタログのアプリケーションを使用する前に、ユーザーはアプリケーションへのアクセス権を要求する必

要があります。

承認の設定方法については、『VMware Identity Manager の管理』を参照してください。

[SAML メタデータ] [SAML メタデータのダウンロード] タブから、自己署名済み VMwareIdentity Manager SAML 署名証明書と SAML メタデータをダウンロードできます。サードパーティ認証局 (CA) から証明書を取得するには、[CSR の生成] タブから証明書署名要求 (CSR) を生成し、証明書を取得して、同じタブにアップロードします。

SAML メタデータの管理の詳細については、『VMware IdentityManager の管理』の「カタログの管理」を参照してください。

[アプリソース] OKTA や ADFS などの特定のサードパーティの ID プロバイダをアプリソースとして構成し、関連付けられたアプリケーションをカタログに追

加することができます。

アプリソースの設定の詳細については、章 9 「Workspace ONE でサードパーティの管理対象アプリケーションへのアクセスを提供」を参照し

てください。

追加情報

Office 365 や Google Apps などの特定の Web アプリケーションで SAML ベースのシングルサインオンを構成する場合には、追加情報を参照できます。プロビジョニングアダプタの情報も含まれます（該当する場合）。

『VMware Identity Manager 統合ドキュメント』のサイトを参照してください。


VMware, Inc. 24

https://www.vmware.com/support/pubs/vidm_webapp_sso.html

デスクトップ統合のために仮想アプリケーションのコレクションを使用する 3Web アプリケーションに加えて、Horizon デスクトップとアプリケーション、Horizon Cloud デスクトップとアプリケーション、Citrix 公開アプリケーションとデスクトップ、および ThinApp パッケージアプリケーションをVMware Identity Manager に統合することができます。これらのリソースは、VMware Identity Manager インターフェイスで仮想アプリケーションと呼ばれ、仮想アプリケーションのコレクション機能を使用して管理されます。


n 仮想アプリケーションのコレクションについて

n 既存の構成を仮想アプリケーションのコレクションに移行する

n 仮想アプリケーションのコレクションの作成

n 仮想アプリケーションのコレクションの編集

n 仮想アプリケーションのコレクションの同期

n 仮想アプリケーションのコレクションの監視

n 仮想アプリケーションのコレクションの削除

仮想アプリケーションのコレクションについて

Horizon デスクトップとアプリケーション、Horizon Cloud デスクトップとアプリケーション、Citrix 公開リソース、および ThinApp パッケージアプリケーションを VMware Identity Manager サービスに統合することができます。これらのリソースは、仮想アプリケーションのコレクションを介して管理されます。

仮想アプリケーションのコレクションには、リソースのタイプ、リソースを同期するサーバ、同期に使用するコネク

タ、同期スケジュールなど、統合についての構成情報が含まれています。

どのリソースのタイプにも単一または複数の仮想アプリケーションのコレクションを作成できます。ただし ThinAppパッケージは例外で、単一のコレクションしか作成できません。たとえば、50 個の Citrix XenApp ファームの展開を統合するには、VMware Identity Manager に 10 個の仮想アプリケーションのコレクションを設定し、各コレクションに 5 個のファームを含めるようにします。これにより、構成の管理が簡単になるとともに、各コレクションが個別に同期されるので同期が高速化されます。

また、コレクションごとに別のコネクタを使用して、同期の負荷を分散することもできます。

VMware, Inc. 25

[仮想アプリケーションのコレクション] ページ（VMware Identity Manager コンソールで [カタログ] - [仮想アプリケーションのコレクション] の順に移動してアクセス）は、すべてのリソースの統合を管理するための一元的な場所を提供します。このページから、コレクションの作成と編集、すべてのコレクションの同期ステータスの監視、アラー

トの表示、および手動での同期を実行できます。

注: ThinApp パッケージアプリケーションとの統合は、Linux 版 VMware Identity Manager Connector でのみサポートされています。Windows コネクタではサポートされません。

仮想アプリケーションのコレクションを使用するメリット

仮想アプリケーションのコレクション機能には以下の利点があります。

n すべてのリソースの統合を管理する一元的な場所

n すべてのタイプのリソースを管理

n 各コレクションの構成と同期設定を管理

n すべてのコレクションの同期ステータスを監視

n 大規模なリソース統合の場合、複数のコレクションをセットアップして小さなデータセット単位で同期することが可能。たとえば、各 Horizon ポッドまたは各 XenApp ファームに対して個別のコレクションを作成できます。

n 異なるドメインに個別のコレクションを設定可能。各ドメインに個別のコレクションを使用する場合、複数のド

メインに対する信頼関係は必要ありません。

仮想アプリケーションのコレクションの要件

仮想アプリケーションのコレクション機能には以下の要件があります。

n VMware Identity Manager サービスのすべてのインスタンスは、バージョン 3.1 以降である必要があります。

n リソースの同期に使用されるすべてのコネクタは、バージョン 2017.12.1.0 以降である必要があります。


VMware, Inc. 26

n ロールの要件

n 初めて [仮想アプリケーションのコレクション] ページにアクセスするには、スーパー管理者ロールが必要です。

n 新規インストールで、[カタログ] - [仮想アプリケーションのコレクション] タブを初めて選択すると、情報ページが表示され、[開始する] をクリックすると [仮想アプリケーションのコレクション] ページが表示されます。この初回の開始手順では、スーパー管理者ロールが必要です。

n 以前のリリースからアップグレードされたインストールの場合、既存のリソース構成を仮想アプリケー

ションのコレクションに移行するにはスーパー管理者ロールが必要です。

n 以前のリリースからアップグレードされ、リソースが構成されていないインストールでは、最初に [仮想アプリケーションのコレクション] ページにアクセスするには、スーパー管理者ロールが必要です。このシナリオは、新規インストールのシナリオと似ています。

n それ以降は、カタログサービスで次のアクションを実行できる任意のロールを使用して仮想アプリケーションのコレクションを管理できます。

n デスクトップアプリケーションの管理（Horizon、Horizon Cloud、および Citrix 公開仮想アプリケーションのコレクションの作成、編集、または削除）

n ThinApp の管理（ThinApp コレクションの作成、編集、または削除）

n Horizon および Citrix のコレクションの [ネットワーク範囲] ページを保存するには、スーパー管理者ロールが必要です。[ネットワーク範囲] ページは、ユーザー要求を適切なサーバに送信するためにクライアントアクセスの FQDN を指定するのに使用されます。

以前のリリースからの移行

仮想アプリケーションのコレクション機能が VMware Identity Manager 3.1 に導入されました。

仮想アプリケーションのコレクションでは、リソース構成はコネクタではなく VMware Identity Manager サービスに格納されます。リソース構成は、[カタログ] - [アプリケーションカタログ] - [デスクトップとアプリケーションの管理] - [<リソースタイプ>] ページではなく、[カタログ] - [仮想アプリケーションのコレクション] ページから管理されます。

新規インストールでは、[仮想アプリケーションのコレクション] ページは自動的に有効になります。Horizon、HorizonCloud、Citrix、または ThinApp リソースを統合するには、新しいコレクションを作成します。

以前のバージョンからアップグレードする場合は、既存のリソースの統合を維持するための移行パスを使用できます。

詳細については、「既存の構成を仮想アプリケーションのコレクションに移行する」を参照してください。

既存の構成を仮想アプリケーションのコレクションに移行する

仮想アプリケーションのコレクション機能が VMware Identity Manager 3.1 に導入されました。仮想アプリケーションのコレクションでは、リソース構成はコネクタではなく VMware Identity Manager サービスに格納されます。リソース構成は、[カタログ] - [カタログアプリケーション] - [デスクトップとアプリケーションの管理] - [<リソースタイプ>] ページではなく、[カタログ] - [仮想アプリケーションのコレクション] ページから管理されます。

古い [デスクトップとアプリケーションの管理] ユーザーインターフェイスは、サポートされなくなりました。既存のリソースの統合はすべて、仮想アプリケーションのコレクションに移行する必要があります。まだ移行していない場

合は、実施してください。


VMware, Inc. 27

VMware Identity Manager 19.03 では、インストールのシナリオに応じて、直接または移行パスに従って仮想アプリケーションのコレクションの使用を開始できます。

n 新しいインストールでは、Horizon、Horizon Cloud、Citrix、または ThinApp リソースの新しい仮想アプリケーションのコレクションを直接作成できます。[カタログ] - [仮想アプリケーションのコレクション] タブを選択します。ページの情報を確認し、[開始する] をクリックします。統合するリソースのタイプを選択し、ウィザードの指示に従って新しい仮想アプリケーションのコレクションを作成します。

n VMware Identity Manager 19.03 にアップグレードする際にすべてのコネクタがバージョン 2017.12.1.0 以降の場合、[デスクトップとアプリケーションの管理] ユーザーインターフェイスを介して管理されている既存の構成を、仮想アプリケーションのコレクションに移行する必要があります。

[カタログ] - [仮想アプリケーションのコレクション] タブを選択します。ページの情報を確認し、[開始する] をクリックして移行ウィザードを使用します。「移行ウィザードを使用して仮想アプリケーションのコレクションへ移

行する」を参照してください。

既存の構成を移行した後、新しい [仮想アプリケーションのコレクション] ページが有効になり、移行した構成を表示および編集したり、新しい構成を作成したりできます。[カタログ] - [仮想アプリケーションのコレクション]タブを選択して、いつでもページにアクセスできます。

n 以前のリリースからアップグレードする場合で、バージョン 2017.12.1.0 以前のコネクタが 1 つ以上ある場合、新しい仮想アプリケーションのコレクションを作成することはできません。すべてのコネクタを 2017.12.1.0 以降にアップグレードしてから、移行ウィザードを使用して既存の構成を仮想アプリケーションのコレクションに

移行します。

重要: n 新しい仮想アプリケーションのコレクションを作成する場合、または既存の構成を仮想アプリケーションのコレ

クションに移行する場合は、VMware Identity Manager サービスのすべてのインスタンスがバージョン 3.1 以降で、またすべてのコネクタがバージョン 2017.12.1.0 以降である必要があります。

n 初めて [仮想アプリケーションのコレクション] ページにアクセスする場合、および既存のリソースを移行する場合は、スーパー管理者ロールが必要です。詳細については、「仮想アプリケーションのコレクションについて」を

参照してください。

移行ウィザードを使用して仮想アプリケーションのコレクションへ移行する

以前のリリースで利用可能な [デスクトップとアプリケーションの管理] ユーザーインターフェイスから仮想アプリケーションのコレクションに既存のリソース構成を移行するのには、移行ウィザードを使用します。

重要: 同時に、すべての既存のリソース構成を移行する必要があります。たとえば、Horizon Cloud と Citrix リソースが構成された場合は、移行ウィザードで両方を選択します。移行ウィザードは、すべてのリソースを同時に移行す

るため 1 回だけ使用することができます。1 回実行すると、その後は使用できません。

注: ホストされた環境では、移行プロセスにはしばらく時間がかかる場合があります。

前提条件

n すべての VMware Identity Manager サービスインスタンスをバージョン 3.1 以降にアップグレードし、すべてのコネクタインスタンスをバージョン 2017.12.1.0 以降にアップグレードします。


VMware, Inc. 28

n 最初に [仮想アプリケーションのコレクション] ページにアクセスして移行を実行するには、スーパー管理者ロールが必要です。詳細については、「仮想アプリケーションのコレクションについて」を参照してください。

手順

1 VMware Identity Manager コンソールで、[カタログ] - [仮想アプリケーションのコレクション] タブを選択します。

2 情報を確認し、[開始する] をクリックします。

移行ウィザードが表示され、既存のすべてのリソース構成が表示されます。移行ウィザードは、古いインストー

ルにリソースが構成されている場合のみ表示されます。

3 移行ウィザードで、リソースタイプごとに、以前のインストールでの構成に使用されたコネクタワーカーを選択します。

各リソースタイプのドロップダウンメニューには、そのリソースが構成されたコネクタのみが表示されます。

リソースが複数の高可用性コネクタで構成されていた場合、リスト内のすべてのコネクタが表示されます。[自動的に同期しています] ラベルまたは [手動で同期しています] ラベルは、そのコネクタでリソースの同期スケジュールが設定されているか、または手動で同期が設定されているかを示します。[自動的に同期しています] ラベルが付いているコネクタを選択します。これは各リストでのデフォルトの選択でもあります。

警告: 確実にすべての既存の構成に対して選択を行います。移行ウィザードは、すべてのリソースを同時に移行するため 1 回だけ使用することができます。1 回実行すると、その後は使用できません。

4 [移行] をクリックします。

ホストされた環境では、移行プロセスにはしばらく時間がかかる場合があります。

既存のリソース構成が移行されます。構成の種類ごとに仮想アプリケーションのコレクションが作成されます。これ

らのコレクションは、移行の完了後に表示される [仮想アプリケーションのコレクション] ページに表示されます。コレクションを表示または編集するには、その名前をクリックします。

[カタログ] - [仮想アプリケーションのコレクション] タブを選択して、いつでも [仮想アプリケーションのコレクション] ページにアクセスできます。


VMware, Inc. 29

仮想アプリケーションのコレクションのトラブルシューティング情報については、コネクタログファイルconnector.log とサービスログファイル horizon.log の両方を表示します。Linux 仮想アプライアンスの

場合、ログファイルは、/opt/vmware/horizon/workspace/logs ディレクトリにあります。Windows

サーバの場合、ログファイルは、<install_dir>\IDMConnector_or_VMwareIdentityManager\opt\vmware\horizon\works

pace\logs ディレクトリにあります。

次のステップ

n 移行ウィザードで選択した 1 つのコネクタのみがそれぞれの新しい仮想アプリケーションのコレクションに追加されます。高可用性のためにコネクタクラスタをセットアップした場合は、コレクションを編集して、その他のコネクタを追加します。

n 移行された構成ごとに単一の仮想アプリケーションのコレクションが作成されます。サーバとアプリケーション

の数が多い大規模な統合の場合は、管理のしやすさと同期の高速化のためにコレクションを複数のコレクション

に分割することを検討してください。仮想アプリケーションのコレクション機能を使用すると、ThinApp 統合を除いて、統合のタイプごとに複数のコレクションを作成できます。

仮想アプリケーションのコレクションの作成

Horizon Cloud または Citrix 公開リソースなどの統合のタイプごとに、1 つまたは複数の仮想アプリケーションのコレクションを作成することができます。

前提条件

n VMware Identity Manager サービスのすべてのインスタンスは、バージョン 3.1 以降である必要があります。

n リソースの同期に使用されるすべてのコネクタは、バージョン 2017.12.1.0 以降である必要があります。

n 次の管理者ロールが必要です。

n 仮想アプリケーションのコレクションを開始するには、スーパー管理者ロールを使用します。詳細について

は、「仮想アプリケーションのコレクションについて」を参照してください。

n Horizon、Horizon Cloud、および Citrix 公開仮想アプリケーションのコレクションを作成、編集、または削除するには、カタログサービスでデスクトップアプリケーションの管理アクションを実行できるロールを使用します。

n ThinApps コレクションを作成、編集、または削除するには、カタログサービスで ThinApps の管理アクションを実行できるロールを使用します。

n Horizon および Citrix 公開仮想アプリケーションのコレクションの [ネットワーク範囲] ページを編集して保存するには、スーパー管理者ロールを使用します。

n ThinApp パッケージアプリケーションとの統合は、Linux 版 VMware Identity Manager Connector でのみサポートされています。Windows コネクタではサポートされません。


VMware, Inc. 30

手順


n 初めてページにアクセスする場合は、情報ページが表示されます。[開始する] をクリックして続行します。[ソースタイプを選択] ページが表示されます。

注: 代わりに [移行] ページが表示される場合は、仮想アプリケーションのコレクションへの移行が必要な既存の構成があります。「既存の構成を仮想アプリケーションのコレクションに移行する」を参照してください。

n 以前にページにアクセスした場合は、[仮想アプリケーションのコレクション] ページが表示されます。ページの [新規] をクリックして続行します。

2 統合するリソースのタイプを選択します。

ソースタイプには、Horizon、Horizon Cloud、Citrix 公開アプリケーション、または ThinApp パッケージを選択できます。

注: ThinApp パッケージアプリケーションとの統合は、Linux 版 VMware Identity Manager Connector でのみサポートされています。Windows コネクタではサポートされません。

3 新しいコレクションウィザードに従ってコレクションを作成します。

構成情報は統合のタイプによって異なります。

n Horizon（オンプレミス）統合の場合は、詳細について「VMware Identity Manager での Horizon ポッドおよびポッドフェデレーションの構成」を参照してください。

n Horizon Cloud Service 統合の場合は、詳細について「VMware Identity Manager での Horizon Cloudテナントの構成」を参照してください。

n Citrix 公開アプリケーション統合の場合は、詳細について「VMware Identity Manager での Citrix サーバファームの構成」を参照してください。

n ThinApp 統合の場合は、詳細について「VMware Identity Manager から ThinApp パッケージへのアクセスの構成」を参照してください。


VMware, Inc. 31

すべてのソースタイプに対して、次のようないくつかのフィールドが表示されます。


コネクタこのコレクションを同期するために使用するコネクタを選択します。コネクタを選択するに

は、コネクタに関連付けられているディレクトリを選択します。コネクタのクラスタを設定

している場合は、すべてのコネクタインスタンスが [ホスト] のリストに表示され、このコレクションのフェイルオーバーの順序で並べ替えることができます。リストを並べ替えるには、

行をクリックして目的の位置にドラッグします。

重要: コレクションを作成した後、別のディレクトリを選択することはできません。

同期間隔コレクション内のリソースを同期する時刻と頻度を選択します。同期の頻度は、時間単位か

ら週単位の範囲で指定できます。自動的な同期スケジュールを設定しない場合は、[手動] を選択します。

アクティベーションポリシーこのコレクション内のリソースを Workspace ONE ポータルおよびアプリケーションのユーザーに提供する方法を選択します。承認フローを設定する場合は、[ユーザーによるアクティベーション] を選択し、それ以外の場合は [自動] を選択します。

[ユーザーによるアクティベーション] と [自動] の両方のオプションを使用して、リソースは[カタログ] ページに追加されます。ユーザーは、[カタログ] ページからリソースを使用したり、[ブックマーク] ページに移動したりすることができます。ただし、任意のアプリケーションの承認フローを設定するには、そのアプリケーションの [ユーザーによるアクティベーション] を選択する必要があります。

アクティベーションポリシーは、コレクションのすべてのリソースに対するすべてのユーザー資格に適用されます。リソースごとの個々のユーザーまたはグループのアクティベーション

ポリシーは、[ユーザーとグループ] タブのユーザーまたはグループページから変更できます。

次のステップ

コレクションを作成したら、[仮想アプリケーションのコレクション] ページからコレクションを表示および編集できます。

新しいコレクション内のリソースはまだ同期されていません。コレクションの同期スケジュールを設定した場合、リ

ソースは次回のスケジュール設定された時間に同期されます。リソースを手動で同期するには、[仮想アプリケーションのコレクション] ページでコレクションを選択し、[同期] をクリックします。

仮想アプリケーションのコレクションの編集

VMware Identity Manager コンソールで、[仮想アプリケーションのコレクション] ページから、すべての種類の統合に対するすべての仮想アプリケーションのコレクションを編集できます。

前提条件

n 次の管理者ロールが必要です。

n Horizon、Horizon Cloud、および Citrix 公開仮想アプリケーションのコレクションを作成、編集、または削除するには、カタログサービスでデスクトップアプリケーションの管理アクションを実行できるロールを使用します。

n ThinApps コレクションを作成、編集、または削除するには、カタログサービスで ThinApps の管理アクションを実行できるロールを使用します。


VMware, Inc. 32

手順


2 編集するコレクションを選択して、[編集] をクリックします。

3 仮想アプリケーションのコレクションの編集ウィザードで、コレクションを編集して変更内容を保存します。

次の設定を変更できます。

n コレクションの名前

n ソースサーバまたはパスおよび関連する設定

n 同期の頻度やスケジュール同期の時刻などの同期設定

n 統合のタイプに該当するその他の設定

コレクションを作成した後にディレクトリを変更することはできません。

注: Horizon の仮想アプリケーションのコレクションでは、以前に追加された Horizon ポッドの FQDN を変更できません。コレクションからポッドを削除し、もう一度追加します。

次のステップ

ベストプラクティスとして、編集後にコレクションを同期します。[カタログ] - [仮想アプリケーションのコレクション] ページに移動して、コレクションを選択し、[同期] をクリックします。

仮想アプリケーションのコレクションの同期

コレクションの自動同期スケジュールと手動同期スケジュールのどちらを選択したかに関係なく、[仮想アプリケーションのコレクション] ページでいつでも仮想アプリケーションのコレクションを同期することができます。コレクションを同期すると、ソースサーバから VMware Identity Manager へリソースと資格が伝達されます。

手順


2 同期する仮想アプリケーションのコレクションを選択し、[同期] をクリックします。


VMware, Inc. 33

VMware Identity Manager はソースと VMware Identity Manager カタログ間でリソースと割り当てを比較し、[同期アクションを計算中] ダイアログボックスを表示します。

リソースと割り当てが一致すると、次のメッセージが表示されます。

ソースが変更され、VMware Identity Manager に伝達する必要がある場合、[同期アクションを計算中] ダイアログボックスには、同期が必要なアプリケーション、デスクトップ、およびユーザー割り当ての数が表示されます。リンクをクリックすると、アプリケーション、デスクトップ、および割り当ての名前が表示されます。例：

3 [同期アクションを計算中] ダイアログボックスで [保存] をクリックします。

同期プロセスが開始され、同期が必要なリソースと割り当ての数によっては、完了までに時間がかかる場合があ

ります。同期が完了すると、[仮想アプリケーションのコレクション] ページの [同期ステータス] が開始済みか

ら同期が完了しましたに変更します。

仮想アプリケーションのコレクションの監視

[仮想アプリケーションのコレクション] ページから、すべてのリソース統合の同期ステータスを監視できます。各仮想アプリケーションのコレクションについて、リソースが最後に同期された時刻、同期が成功したかどうか、どのリ

ソースと割り当てが同期されたか、および同期中にアラートが発生したかどうかを表示できます。


VMware, Inc. 34

手順


すべてのタイプのリソース統合のためのすべてのコレクションがページに表示されます。

2 各コレクションの情報を表示します。

表示す

るもの表示先

コレク

ション

に設定

されて

いる同

期スケ

ジュー

ル

[同期間隔] 列。

自動同期スケジュールを設定しなかった場合、列には [手動] と表示されます。[手動] 設定では、ソースサーバからVMware Identity Manager へリソースまたは資格の変更を伝達するときに、仮想アプリケーションのコレクションを手動で同期する必要があります。

前回の

同期試

行の

時刻

[前回試行した同期] 列。


VMware, Inc. 35

表示す

るもの表示先

前回の

同期の

ステー

タス

[同期ステータス] 列には、次のいずれかの状態が表示されます。

n まだ同期していません

仮想アプリケーションのコレクションが同期されていません。

n ドライランを完了しました

[同期] をクリックして仮想アプリケーションのコレクションを手動で同期すると、同期を実行する前に、VMware Identity Manager は同期を必要とするアプリケーション、デスクトップ、および割り当ての数を計算し、結果を [同期アクションを計算中] ダイアログボックスに表示します。この時点で、ステータスはドライランを完了しましたです。[保存]

をクリックした後に同期タスクが開始します。

n 開始済み

同期プロセスが開始しました。

n 同期の開始に失敗しました

前回の同期が進行中であるため、同期プロセスを開始できません。

n 同期が完了しました

同期プロセスが完了しました。

n 同期の完了に失敗しました

同期プロセスが完了しませんでした。たとえば、ネットワークの問題によってコネクタがリソースの同期元のサーバに到達でき

なかった場合、同期は完了しませんでした。

n すべてのリソースと資格が同期されていません

同期プロセスが完了していないため、一部のリソースと資格は同期されませんでした。

[]


VMware, Inc. 36

表示す

るもの表示先

前回の

同期で

追加ま

たは削

除され

たデス

クトッ

プ、ア

プリ

ケー

ショ

ン、お

よび

資格

1 [同期ステータス] 列の [さらに] をクリックします。

注: [さらに] リンクは、すべてのコネクタがバージョン 19.03 の場合にのみ表示されます。

2 情報アイコンをクリックします。

[同期アクションのサマリ] ダイアログボックスには、最後の同期で追加、削除、または更新されたアプリケーション、デスクトップ、および割り当ての数が一覧表示されます。例：

3 アプリケーション、デスクトップ、または割り当ての名前を表示するには、リンクをクリックします。

ア

ラート

1 [同期ステータス] 列の [さらに] をクリックします。

2 アラートアイコンをクリックします。

[同期アラート] ダイアログボックスには、同期中に発生したアラートが表示されます。たとえば、VMware Identity Managerに存在しないユーザーに割り当てがある場合、アラートが表示されます。

注: アラートは、コレクションまたは同期実行によって分離されません。ディレクトリ同期アラートを含め、すべてのアラートがリストに表示されます。

仮想アプリケーションのコレクションの削除

VMware Identity Manager コンソールで、[仮想アプリケーションのコレクション] ページから、仮想アプリケーションのコレクションを削除できます。

コレクションを削除すると、コレクションによって同期されたすべてのアプリケーションとデスクトップが削除され

ます。Horizon または Citrix コレクションを削除すると、ネットワーク範囲で設定されている対応するポリシーも削除されます。Horizon または Horizon Cloud コレクションを削除すると、フェデレーションアーティファクトも削除されます。


VMware, Inc. 37

前提条件

n Horizon、Horizon Cloud、および Citrix 公開仮想アプリケーションのコレクションを削除するには、カタログサービスでデスクトップアプリケーションの管理アクションを実行できる管理者ロールを使用します。

n ThinApp コレクションを削除するには、カタログサービスで ThinApp の管理アクションを実行できる管理者ロールを使用します。

手順


2 削除するコレクションを選択し、[削除] をクリックします。


VMware, Inc. 38

Horizon 7 または Horizon 6 のデスクトッププールおよびアプリケーションプールへのアクセスの提供 4Horizon 7 または Horizon 6 を VMware Identity Manager サービスに統合すると、ユーザーは Workspace ONEポータルまたはアプリケーションから、使用する資格のある Horizon デスクトップおよびアプリケーションにアクセスすることができます。Horizon Connection Server インスタンスで構成される個々の Horizon ポッドや、複数のサイトやデータセンターにまたがる複数のポッドを含むポッドフェデレーションを統合できます。

デスクトッププールとアプリケーションプールを展開して管理するには、Horizon Administrator インターフェイスを使用します。また、Active Directory ユーザーおよびグループの資格を VMware Identity Manager ではなくHorizon に作成します。Horizon と統合する前に、これらのユーザーとグループを Active Directory からVMware Identity Manager サービスに同期する必要があります。

Horizon ポッドおよびポッドフェデレーションを VMware Identity Manager と統合するには、VMware Identity Manager コンソールで 1 つ以上の仮想アプリケーションのコレクションを作成します。コレクションには、ポッドおよびポッドフェデレーションの構成情報と同期設定が含まれています。Horizon リソースと資格を VMware Identity Manager と同期します。

VMware Identity Manager コンソールで、Horizon デスクトップおよびアプリケーションを表示することができます。ユーザーとグループの資格を表示することもできます。

エンドユーザーは、Workspace ONE ポータルまたはアプリケーションから使用資格のあるデスクトップおよびアプリケーションを実行できます。これらのデスクトップとアプリケーションは、ブラウザの HTML 経由で、またはHorizon Client でサポートされている表示プロトコルを介してアクセスできます。

サポートされているバージョン

VMware Identity Manager では、次のバージョンと機能がサポートされます。

n 個々の Horizon ポッドの統合は、Horizon 6 以降でサポートされます。

n Cloud Pod アーキテクチャ機能を使用して作成されるポッドフェデレーションの統合は、Horizon 6.2 以降でサポートされます。

n HTML Access は、Horizon 6.1.1 以降でサポートされます。

n Certificate SSO は、Horizon 7.x でサポートされます。

最新のサポート情報については、VMware 製品の相互運用性マトリックス（英語）を参照してください。

VMware, Inc. 39


n 導入シナリオ

n 高度な Horizon 統合の設計

n 個々の Horizon ポッドの統合について

n Horizon Cloud Pod アーキテクチャ (CPA) の展開環境の統合について

n VMware Identity Manager での Horizon ポッドとポッドフェデレーションの構成

n ネットワーク範囲のクライアントアクセスの FQDN の設定

n 検証ゲートウェイによる Horizon リソースの起動

n VMware Identity Manager での Horizon デスクトッププールとアプリケーションプール情報の表示

n Horizon デスクトッププールおよびアプリケーションプールに対するユーザーとグループの資格の表示

n 特定のアプリケーションおよびデスクトップ向けのアクセスポリシーの設定

n ユーザーによる Workspace ONE カタログからの Horizon デスクトップのリセットを許可する

n Horizon デスクトップおよびアプリケーションの起動オプションの表示

n Horizon デスクトップまたはアプリケーションの起動

導入シナリオ

オンプレミスの Horizon 7、Horizon 6 または View 展開を VMware Identity Manager テナントに統合することができます。

次のコンポーネントが必要です。

n VMware Identity Manager テナント

n オンプレミスでインストールされた VMware Identity Manager Connector（バージョン 2.7 以降）

コネクタは https://my.vmware.com からダウンロードすることができます。

n Horizon 7、Horizon 6、または View のオンプレミス展開

オンプレミスのコンポーネントを展開する場合、コネクタが Horizon Connection Server インスタンスと通信できることを確認します。

VMware Identity Managerサービスとオンプレミスのコンポーネント間のすべての通信はコネクタを経由します。コネクタとサービスは、インストール時に自動的にセットアップされた通信チャネルを介して通信します。

次の図は VMware Identity Manager と Horizon の統合を示します。


VMware, Inc. 40

図 4‑1. VMware Identity Manager と Horizon の統合

VMware Identity Manager サービス

オンプレミスリソースと資格

がサービスに同期される

リソースと資格を取得

vIDM テナントVMware Identity

Manager Connector

Horizon Connection Server

高度な Horizon 統合の設計同期と起動のアーキテクチャダイアグラムには、VMware Identity Manager で Horizon Connection Server からVMware Identity Manager サービスへ Horizon リソースとユーザー資格を同期する方法と、これらのリソースをWorkspace ONE から起動する方法を示します。

Horizon リソースと資格の同期

図 4‑2. 同期のアーキテクチャダイアグラム

VMware Identity Manager テナント

内部ネットワーク

Horizon のコンポーネント

POD 1

POD 2

POD 3

Horizon 接続サーバ



VMware IdentityManager Connector1

1

22

AD

1 ユーザーとグループが VMware Identity Manager コネクタによって Active Directory から VMware IdentityManager サービスに同期されます。

2 Horizon リソースと資格が VMware Identity Manager コネクタによって Horizon Connection Server からVMware Identity Manager サービスに同期されます。


VMware, Inc. 41

Horizon アプリケーションとデスクトップの起動

図 4‑3. 起動のアーキテクチャダイアグラム

VMware Identity

Manager Connector

AD

VMware Identity

Manager テナント

内部ネットワーク

Horizon のコンポーネント

送信専用通信

チャネル

UAG は SAML を使用へのアーティファクト


DMZ

POD 1

POD 2

POD 3

Horizon 接続サーバHorizon

Client

1

1

2

35



UAG

4

4

23

ダイアグラムの青色の矢印は認証フローを示します。

1 あるユーザーが Workspace ONE にログインするための Active Directory 資格情報を入力します。

2 VMware Identity Manager サービスは暗号化された認証情報を VMware Identity Manager コネクタに送信します。

3 VMware Identity Manager コネクタは Active Directory の認証情報を確認します。

4 VMware Identity Manager コネクタは、そのユーザーがログインできるよう、VMware Identity Manager サービスに OK のメッセージを送信します。

ダイアグラムの黒色の矢印は起動フローを示します。

1 ユーザーが Workspace ONE から Horizon リソースを起動します。

2 VMware Identity Manager サービスは起動 URL を SAML アーティファクトで作成し、Horizon Client に渡します。

3 Horizon Client は、Horizon Connection Server へ Unified Access Gateway (UAG) を介して接続します。


VMware, Inc. 42

4 Horizon Connection Server は、SAML アサーションを取得して検証するため、VMware Identity Managerサービスの SAML アーティファクトを解決します。

5 Horizon Connection Server は Horizon Client を介して Horizon リソースをエンドユーザーへレンダリングします。

個々の Horizon ポッドの統合についてHorizon ポッドを VMware Identity Manager に統合するには、VMware Identity Manager コンソールで 1 つまたは複数の仮想アプリケーションのコレクションを作成します。コレクションには、Horizon Connection Server の構成情報と同期設定が含まれています。

VMware Identity Manager コンソールで統合タスクを実行する前に、Horizon をセットアップします。デスクトップおよびアプリケーションプールは、VMware Identity Manager ではなく Horizon Administrator で作成および構成します。Active Directory のユーザーおよびグループに付与する資格も、Horizon Administrator で設定します。

Horizon ポッドと VMware Identity Manager の統合には、次の上位レベルのタスクが含まれます。

n Horizon サーバを展開および構成します。

n Horizon デスクトップおよびアプリケーションプールを展開し、Active Directory のユーザーとグループの資格を設定します。

n Horizon Connection Server インスタンスのアプリケーションとデスクトッププールを表示する資格を付与されている Active Directory のユーザーとグループを、ディレクトリの同期を使用して VMware Identity Managerサービスに同期します。

n VMware Identity Manager で Horizon ポッドに対する 1 つまたは複数の仮想アプリケーションのコレクションを作成します。

n Horizon Connection Server で SAML Authenticator を構成します。[認証構成] ページでは、常にVMware Identity Manager FQDN を使用する必要があります。

Horizon ポッドの統合の要件Horizon ポッドをセットアップするときは、VMware Identity Manager 統合の要件を満たしていることを確認します。

n Horizon 接続サーバを、デフォルトポート 443 またはカスタムポートに展開します。

n セットアップ内の各 Horizon 接続サーバに対し、逆引きで解決できる DNS エントリと IP アドレスがあることを確認します。VMware Identity Manager では、Horizon 接続サーバ、Horizon Security Server、およびロードバランサに逆引きが必要です。逆引きが正しく構成されていないと、VMware Identity Manager の Horizon統合が失敗します。

n Horizon のプールとデスクトップを展開し、Active Directory のユーザーとグループの資格セットを使用するように構成します。ユーザーに正しい使用資格が付与されていることを確認します。

n デスクトッププールの構成時は、[リモート設定] の [切断されたら自動的にログオフ] オプションを、[すぐに実行] ではなく、1 分か 2 分に変更します。


VMware, Inc. 43

n プールを必ず Horizon server の root フォルダに作成します。ルート以外のフォルダにプールを作成すると、VMware Identity Manager はそれらの Horizon のプールや資格を照会することができません。

n Horizon 接続サーバ上で SAML メタデータの有効期限を 90 日まで延長することを推奨します。詳細については、「View 接続サーバでのサービスプロバイダメタデータの有効期間の変更」を参照してください。

Horizon Cloud Pod アーキテクチャ (CPA) の展開環境の統合について個々の Horizon ポッドと VMware Identity Manager の統合に加えて、Horizon Cloud Pod アーキテクチャ (CPA)の展開環境を統合できます。

図 4‑4. Horizon ポッドフェデレーションと VMware Identity Manager サービスの統合

ポッド 1

VCS 1

VCS 2

LDAP レプリケーション

ポッド 2

VCS 3

VCS 4


ポッド 3

VCS 5

VCS 6


CPA フェデレーション

サイト A サイト B

個々のポッド

グローバル LDAPレプリケーション

VMware Identity Managerオンプレミスコネクタ

Horizon Cloud Pod アーキテクチャ機能は、複数の Horizon ポッドをリンクして、デスクトップおよびアプリケーションのブローカリングと管理のための単一の大規模環境を形成します。この環境はポッドフェデレーションと呼ばれます。ポッドフェデレーションは、複数のサイトやデータセンターにわたって形成可能です。

VMware Identity Manager サービスには、1 つまたは複数のポッドフェデレーションを統合できます。ポッドフェデレーションは Horizon で作成され、管理されます。また、ポッドフェデレーションのデスクトッププールとアプリケーションプールに対するユーザー資格とグループ資格は、Horizon で設定されます。リソースと資格をVMware Identity Manager と同期します。

ポッドフェデレーションではグローバル資格が使用されるので、ポッドフェデレーションに属するどのポッドからもアクセス可能なデスクトップとアプリケーションへのアクセス権限をユーザーに付与できます。グローバル資格は、

フェデレーションに属する複数のポッドのリソースで構成できます。たとえば、３つの異なるデータセンターの３つの異なるポッドからのデスクトッププールを、１つのグローバルデスクトップ資格に含めることが可能です。また、ポッドフェデレーション内の個別のポッドにローカル資格を構成することも可能です。グローバル資格とローカル資格は、両方とも VMware Identity Manager と同期できます。


VMware, Inc. 44

http://pubs.vmware.com/horizon-7-view/topic/com.vmware.horizon-view.administration.doc/GUID-3E170C23-097F-46D0-82BD-7CACFF04FC9A.html

ポッドフェデレーションと VMware Identity Manager サービスの統合では、次に示すような高レベルのタスクをVMware Identity Manager コンソールで実行します。

n ポッドフェデレーションを形成するすべてのポッドを追加し、各ポッドに Horizon Connection Server の情報を指定します。

VMware Identity Manager は、ポッドフェデレーションに属するどのポッドからもグローバル資格を同期できますが、SAML 認証に必要なメタデータを同期するために各ポッドに接続する必要があります。また、ローカル資格を同期する必要がある場合も、これらのポッドに接続する必要があります。

n ポッドフェデレーションの情報を追加して、グローバル起動 URL を指定します。グローバル起動 URL は、通常はグローバルロードバランサ URL となります。この URL は、グローバル資格が付与されたデスクトップおよびアプリケーションを起動するために使用されます。

グローバル起動 URL は、社内アクセスや外部アクセスなど、特定のネットワーク範囲向けとしてカスタマイズできます。

n ポッドフェデレーションからのリソースと資格を VMware Identity Manager サービスと同期します。

注: ポッドフェデレーションで範囲ポリシーが [すべてのサイト] に設定されているグローバル資格のみが同期されます。範囲ポリシーが [すべてのサイト] に設定されることで、ポッドフェデレーション内のすべてのポッドに含まれるアプリケーションまたはデスクトップが検索対象となります。

n グローバル起動 URL をカスタマイズするには、特定のネットワーク範囲のクライアントアクセス URL を設定します。これらの URL は、グローバル資格が付与されたリソースをポッドフェデレーションから起動するために使用されます。デフォルトでは、フェデレーションを追加するときに指定するグローバル起動 URL は、すべてのネットワーク範囲向けのグローバル起動 URL として使用されます。

n ポッドフェデレーション内のローカル資格が構成されている各ポッドに、クライアントアクセス URL を指定します。これらの URL は、ローカル資格が付与されているデスクトップおよびアプリケーションをポッドから起動するために使用されます。クライアントアクセス URL は、Horizon Connection Server URL、セキュリティサーバ URL、またはロードバランサ URL となることがあります。クライアントアクセス URL は、特定のネットワーク範囲向けに設定されます。デフォルトでは、ポッドを追加するときに指定する Horizon ConnectionServer は、すべてのネットワーク範囲向けのクライアントアクセス URL として使用されます。

ポッドフェデレーションと VMware Identity Manager サービスを統合すると、サービスは次の機能を実行します。

n ポッドフェデレーションで範囲ポリシーが [すべてのサイト] に設定されているすべてのグローバル資格を同期します。

n ポッドフェデレーションに属するポッドから、（選択された）ローカル資格を同期します。

n ポッドフェデレーション内のすべての Horizon Connection Server からのメタデータを同期します。

n Workspace ONE ポータルから Horizon アプリケーションおよびデスクトップへのユーザーアクセスを許可します。


VMware, Inc. 45

エンドユーザーは、Workspace ONE ポータルから Horizon アプリケーションおよびデスクトップにアクセスできます。グローバル資格かローカル資格を問わず、資格が付与されたすべてのリソースが表示されます。アプリケーショ

ンとデスクトップは、Horizon Client から起動されます。ローカル資格が付与されたアプリケーションまたはデスクトップをユーザーが起動するとき、アプリケーションまたはデスクトップはユーザーが接続する Horizon ConnectionServer から起動されます。グローバル資格が付与されたリソースは、リソースが配置されている Horizon ConnectionServer から起動されます。

Cloud Pod アーキテクチャのサンプル展開環境

次の図は、Cloud Pod アーキテクチャのサンプル展開環境と VMware Identity Manager サービスとの統合を示しています。

図 4‑5. Cloud Pod アーキテクチャの展開環境の例

ポッド 1 (P1)

フェデレーション 1 (F1)

セキュリティサーバ


接続サーバ

接続サーバ

URL E1LB

URL I1LB

URL EGグローバル

LB

ポッド 2 (P2)



接続サーバ

接続サーバ

URL E2LB

URL I2LB

ポッド 3 (P3)

接続サーバ

接続サーバ

URL I3LB

URL IGグローバル

LB

オンプレミスコネクタ


同期 1ローカル




同期API

この図は、ポッドフェデレーションのサンプル展開環境を示しています。フェデレーション 1 という名前のポッドフェデレーションは、Horizon 6 で作成されています。これには、ポッド 1、ポッド 2、ポッド 3 という３つのポッドが含まれます。ポッド 1 とポッド 2 には、各 Horizon Connection Server についてセキュリティサーバインスタンス、外部アクセス向けに外部ロードバランサ、および社内アクセス向けに内部ロードバランサが構成されています。ポッド 3 は社内アクセス専用であり、内部ロードバランサが構成されています。ポッドフェデレーションは全体として、外部グローバルロードバランサ 1 つと内部グローバルロードバランサ 1 つを使用します。


VMware, Inc. 46

デスクトッププールとアプリケーションプールは、ポッドに展開されています。グローバル資格がフェデレーション 1 向けに構成され、ローカル資格も個別のポッド向けに構成されています。

フェデレーション 1 は VMware Identity Manager サービスと統合されています。VMware Identity Manager サービスは、グローバル資格およびフェデレーション 1 からのローカル資格と同期します。グローバル資格は各ポッドで複製されるため、ポッド 1 からのグローバル資格と同期します。また、ポッド 1、ポッド 2、およびポッド 3 からのローカル資格とも同期します。

エンドユーザーは、グローバル資格かローカル資格化を問わず、資格が付与されたすべてのデスクトップとアプリケーションを VMware Identity Manager の Workspace ONE ポータルで表示できます。グローバル資格に属するデスクトップまたはアプリケーションをユーザーが起動すると、ユーザーのネットワーク範囲に基づいて、外部また

は内部ロードバランサ、URL EG、あるいは URL IG に起動要求が送られます。リソースがローカル資格に属する場合、ユーザーのネットワーク範囲に基づいて、リソースが展開されているポッドの内部または外部ロードバランサに起動要求が送られます。たとえば、ポッド 2 のリソースについては、URL I2 または URL E2 に要求が送られます。

Horizon ポッドフェデレーションの統合の要件Horizon ポッドフェデレーションと VMware Identity Manager の統合には、次の要件があります。

n VMware Identity Manager は、Horizon 6.2 以降のアプリケーションとデスクトップの両方で、Cloud Podアーキテクチャ機能をサポートします。

n VMware Identity Manager サービスには、最大 10 のポッドフェデレーションを統合できます。各フェデレーションには、最大 7 個のポッドを含めることができます。

n Horizon Connection Server インスタンスを、デフォルトポート 443 またはカスタムポートに展開します。

n 環境内の各 Horizon Connection Server インスタンスに対し、逆引きで解決できる DNS エントリと IP アドレスがあることを確認します。VMware Identity Manager では、Horizon Connection Server、セキュリティサーバ、およびロードバランサインスタンスに逆引きが必要です。逆引きが正しく構成されていないと、VMware Identity Manager の Horizon 統合が失敗します。

n VMware Identity Manager Connector は、ポッドフェデレーションのすべての Horizon Connection Serverインスタンスに到達できる必要があります。

n ID プロバイダとして指定された VMware Identity Manager サービスを使用して、Horizon で SAML 認証を構成する必要があります。また、URL の一部として、サービスの完全修飾ドメイン名を使用する必要があります。ポッドフェデレーション内のすべての Horizon Connection Server インスタンスで SAML 認証を構成することをお勧めします。詳細については、「Horizon での SAML 認証の構成」を参照してください。

Horizon Connection Server インスタンス上で SAML メタデータの有効期限を 90 日まで延長することを推奨します。詳細については、「View Connection Server でのサービスプロバイダメタデータの有効期間の変更」を参照してください。

n Horizon Connection Server 証明書は VMware Identity Manager に同期されます。

n アプリケーションプールとデスクトッププールを Horizon ポッドに展開します。

n デスクトッププールの構成時は、[リモート設定] の [切断されたら自動的にログオフ] オプションを、[すぐに実行] ではなく、1 分か 2 分に変更します。


VMware, Inc. 47

http://pubs.vmware.com/horizon-7-view/topic/com.vmware.horizon-view.administration.doc/GUID-3E170C23-097F-46D0-82BD-7CACFF04FC9A.html

n Horizon プールは必ず root フォルダに作成します。ルート以外のフォルダにプールを作成すると、VMware Identity Manager はそれらの Horizon ポッドや資格を照会することができません。

VMware Identity Manager との統合後にアプリケーションプールやデスクトッププールを追加または削除した場合、その変更を VMware Identity Manager サービスに反映させるには、再び同期する必要があります。

n ポッドフェデレーションを作成するには、いずれか 1 つのポッドから Cloud Pod アーキテクチャ機能を初期化し、その他すべてのポッドをフェデレーションに参加させてから VMware Identity Manager サービスに統合します。ポッドがフェデレーションに参加する際、ポッドにグローバル資格が複製されます。

VMware Identity Manager サービスとの統合後、ポッドフェデレーションに対してポッドの追加や削除を実行する場合は、VMware Identity Manager コンソールでポッドフェデレーションの情報を編集して、ポッドの追加または編集、変更の保存、および再同期を実行します。

n Horizon 環境で、ポッドフェデレーションにグローバル資格を作成して、Active Directory のユーザーまたはグループにデスクトップおよびアプリケーションの資格を付与します。

n VMware Identity Manager と同期するグローバル資格には、範囲ポリシーが [すべてのサイト] に設定されている必要があります。その他の範囲ポリシーが設定された資格は同期されません。

n エンドユーザーが Web ブラウザで、デスクトップやアプリケーションを起動できるようにするには、Horizonのグローバル資格に [HTML Access] オプションを選択します。

n （オプション）必要に応じて、ポッドにローカル資格を作成します。

Horizon の構成の詳細については、Horizon 6 または Horizon 7 のドキュメントを参照してください。

VMware Identity Manager での Horizon ポッドとポッドフェデレーションの構成

VMware Identity Manager で Horizon ポッドとポッドフェデレーションを構成するには、VMware IdentityManager 環境を設定し、統合用に 1 つまたは複数の仮想アプリケーションのコレクションを作成し、特定のネットワーク範囲に対するクライアントアクセスの FQDN を指定して、Horizon で SAML 認証を構成します。


VMware, Inc. 48

VMware Identity Manager 環境のセットアップHorizon 環境を設定した後、Horizon ポッドとポッドフェデレーションを VMware Identity Manager サービスと統合する前に VMware Identity Manager 環境を設定する必要があります。

手順

1 distinguishedName が VMware Identity Manager ディレクトリの必須属性として設定され、Active Directory属性 distinguishedName にマッピングされているようにします。

ディレクトリを作成する前に、属性に必須のマークを付ける必要があります。ディレクトリを作成した後は、属

性をオプションから必須に変更することはできません。

a VMware Identity Manager コンソールで、[ID とアクセス管理] - [セットアップ] - [ユーザー属性] ページに移動します。

b [デフォルト属性] で、[distinguishedName]に[必須] チェックボックスを選択します。


d ディレクトリ作成中は、[distinguishedName] 属性を Active Directory 属性の [distinguishedName] にマッピングします。

2 Horizon でグローバル資格またはローカル資格を付与されているユーザーとグループを、ディレクトリの同期を使用して Active Directory から VMware Identity Manager サービスに同期します。

a 現在のユーザーとグループを表示するには、[ユーザーとグループ] タブをクリックします。

b [ID とアクセス管理] - [ディレクトリ] タブを選択します。

c 適切なディレクトリを選択します。

d 必要に応じてディレクトリの設定を変更して、[今すぐ同期] をクリックします。

注: ユーザーには userPrincipalName 属性セットがある必要があります。ユーザーに対して userPrincipalName属性が設定されていない場合、ユーザーはデスクトップおよびアプリケーションを実行できない場合があります。

3 必要な場合は、Active Directory にマルチドメインまたは信頼できるマルチフォレストドメインへの接続を確立します。詳細については、『VMware Identity Manager のインストールと構成』を参照してください。

VMware Identity Manager での Horizon ポッドおよびポッドフェデレーションの構成

VMware Identity Manager コンソールで Horizon ポッドとポッドフェデレーションを構成して、リソースと資格を VMware Identity Manager サービスに同期させます。

ポッドおよびポッドフェデレーションを構成するには、[カタログ] - [仮想アプリケーションのコレクション] ページで 1 つまたは複数の仮想アプリケーションのコレクションを作成し、構成情報（リソースと資格を同期する HorizonConnection Server、ポッドフェデレーションの詳細、同期に使用する VMware Identity Manager Connector、およびデフォルトの起動クライアントなどの管理者設定）を入力します。


VMware, Inc. 49

ポッドとポッドフェデレーションを追加したら、エンドユーザーがリソースにアクセスするときに正しいサーバに接続できるように、特定のネットワーク範囲に対してクライアントアクセスの FQDN を構成します。

必要に応じて、すべての Horizon ポッドおよびポッドフェデレーションを 1 つのコレクションに追加することも、複数のコレクションを作成することもできます。たとえば、ポッドフェデレーションまたはポッドごとに個別のコレクションを作成して、管理をしやすくしたり複数のコネクタに同期の負荷を分散したりすることができます。または、

すべてのポッドおよびポッドフェデレーションを 1 つのコレクションに含めてテストの目的で使用し、もう 1 つの同じコレクションを本番環境用に使用することもできます。

前提条件

n 「Horizon ポッドの統合の要件」と「Horizon ポッドフェデレーションの統合の要件」に従って Horizon をセットアップします。

n 「VMware Identity Manager 環境のセットアップ」に従って VMware Identity Manager をセットアップします。

n VMware Identity Manager で構成する各 Horizon ポッドについて、管理者ロールを持つユーザーの資格情報があることを確認します。

n VMware Identity Manager でこの手順を実行するには、カタログサービスでデスクトップアプリケーションの管理アクションを含む管理者ロールを使用する必要があります。

n この手順の最後に、クライアントアクセスの FQDN を構成するための [ネットワーク範囲] ページにリダイレクトされます。[ネットワーク範囲] ページを編集して保存するには、スーパー管理者ロールが必要です。この手順は個別に実行できます。

手順


2 [カタログ] - [仮想アプリケーションのコレクション] タブを選択します。


4 ソースタイプとして [Horizon] を選択します。

5 新しい Horizon 仮想アプリケーションのコレクションウィザードで、[コネクタ] ページに次の情報を入力します。


名前 Horizon コレクションの一意の名前を入力します。



している場合は、すべてのコネクタインスタンスが [ホスト] のリストに表示され、このコレクションのフェイルオーバーの順序で並べ替えることができます。




VMware, Inc. 50

7 [ポッドおよびフェデレーション] ページで、[ポッドを追加] をクリックし、ポッド情報を入力します。

ポッドに複数の Horizon Connection Server インスタンスがある場合は、いずれかのインスタンスの情報を入力します。


Connection Server connectionserver.horizondomain.com など、ポッド内の任意の Horizon 接

続サーバインスタンスの完全修飾ホスト名を入力します。ドメイン名は、Horizon 接続サーバインスタンスの参加先ドメイン名と一致する必要があります。

ユーザー名 Horizon Connection Server の管理者ユーザー名を入力します。ユーザーは、Horizon で管理者ロールを持っている必要があります。

パスワード Horizon Connection Server の管理者パスワードを入力します。

スマートカード認証ユーザーがパスワードの代わりにスマートカード認証を使用して Horizon ConnectionServer にログインする場合は、このオプションを有効にします。

True SSO Horizon Connection Server で True SSO が有効な場合のみこのオプションを有効にします。このオプションは、True SSO 機能をサポートする Horizon バージョンにのみ適用されます。

このオプションを有効にすると、SecurID などパスワード以外の認証方法で VMware IdentityManager にログインしたユーザーは、Windows デスクトップを起動したときにパスワードの入力を求められません。

ローカルの割り当てを同期このオプションを有効にすると、グローバル割り当てに加えて、Horizon Connection Serverからローカル資格を同期することができます。

8 ポッドをさらに追加するには、[ポッドを追加] をクリックし、各ポッドの情報を入力します。

9 追加したいずれかのポッドに対して Horizon で [Cloud Pod アーキテクチャ] オプションが有効になっている場合は、次の手順に従ってポッドフェデレーション情報を追加します。

a [上で追加したポッドのいずれかで Cloud Pod アーキテクチャを有効にしましたか] オプションを [はい] に設定します。

b [フェデレーションを追加] をクリックします。

c ポッドフェデレーションの情報を入力します。


フェデレーション名ポッドフェデレーションの名前です。

クライアントアクセスの FQDN このポッドフェデレーションのグローバル資格にアクセスするクライアントを接続するサーバの完全修飾ドメイン名 (FQDN)。通常、この値はポッドフェデレーション環境のグローバルロードバランサになります。

たとえば、federationA.example.com と指定します。

後に構成プロセスで、クライアントアクセスの FQDN の対象を特定のネットワーク範囲とするようにカスタマイズできます。

Horizon ポッドポッドフェデレーションに属するポッドを選択します。[使用可能なポッド] 列には、コレクションに追加したすべてのポッドが表示されます。ポッドを選択すると、そのポッド

は [選択されたポッド] 列に追加されます。[選択されたポッド] 列のポッドをフェイルオーバーの順序で並べ替えることができます。

d 別のポッドフェデレーションを追加するには、[フェデレーションを追加] をクリックし、ポッドフェデレーション情報を入力します。


VMware, Inc. 51


11 [構成] ページに次の情報を入力します。


同期間隔コレクション内のリソースを同期する頻度を選択します。

自動同期スケジュールを設定するか、手動同期を選択できます。スケジュールを設定するに

は、毎日または毎週などの間隔を選択し、同期を実行する時刻を選択します。[手動] を選択した場合は、コレクションを設定した後、および Horizon Cloud リソースまたは資格に変更が発生したときに、[仮想アプリケーションのコレクション] ページの [同期] をクリックする必要があります。

重複するアプリケーションを同期複数のサーバで同じアプリケーションを重複して同期しないようにするには、[いいえ] に設定します。

VMware Identity Manager が複数のデータセンターで展開されると、同じリソースが複数のデータセンターでセットアップされます。このオプションを [いいえ] に設定すると、VMware Identity Manager カタログでデスクトップまたはアプリケーションのプールが重複しなくなります。


VMware, Inc. 52






デフォルトの起動クライアント Workspace ONE ポータルまたはアプリケーションから Horizon デスクトップおよびアプリケーションにアクセスするエンドユーザーのデフォルトクライアントを選択します。

なし管理者レベルでは、デフォルトの環境設定は指定されていません。このオプショ

ンが [なし] に設定され、エンドユーザーも環境設定を指定していない場合は、Horizon の [デフォルトの表示プロトコル] の設定を使用してデスクトップまたはアプリケーションの起動方法が決定されます。

ブラ

ウザ

デフォルトでは、Horizon デスクトップとアプリケーションは、Web ブラウザで起動します。エンドユーザーの環境設定が指定されている場合、この設定は上書きされます。

ネイ

ティブ

デフォルトでは、Horizon デスクトップとアプリケーションは、Horizon Clientで起動します。エンドユーザーの環境設定が指定されている場合、この設定は上書きされます。

この設定は、このコレクションのすべてのリソースのすべてのユーザーに適用されます。

デフォルトの起動クライアントには、優先順に以下の設定が適用されます。

a Workspace ONE ポータルで設定されるエンドユーザー環境設定。このオプションはWorkspace ONE アプリケーションでは使用できません。

b VMware Identity Manager コンソールで設定される、コレクションのための管理者の[デフォルトの起動クライアント] 設定。

c Horizon Administratorで設定される、デスクトップまたはアプリケーションプールのHorizon の [リモート表示プロトコル] - [デフォルトの表示プロトコル] 設定。たとえば、表示プロトコルが PCoIP に設定されている場合、アプリケーションまたはデスクトップは Horizon Clientで起動されます。


13 [サマリ] ページで選択内容を確認し、[ ネットワーク範囲の保存および設定] をクリックします。

[ネットワーク範囲] ページが表示されます。

14 [ネットワーク範囲] ページで、各ネットワーク範囲を編集し、Horizon ポッドとポッドフェデレーションのクライアントアクセスの FQDN を指定して、Horizon アプリケーションおよびデスクトップにアクセスするエンドユーザーが正しいサーバに接続できるようにします。

a 編集するネットワーク範囲をクリックするか、[ネットワーク範囲を作成] をクリックして、必要に応じて新しいネットワーク範囲を作成します。

b ネットワーク範囲を新規作成する場合は、名前、オプションの説明、および IP アドレスの範囲を入力します。


VMware, Inc. 53

c [ポッド] および [View クラウドポッドアーキテクチャのフェデレーション] セクションにスクロールします。

[ポッド] セクションには、[ローカルの割り当てを同期] オプションが有効になった、コレクションに追加したすべての Horizon ポッドが一覧表示されます。[View クラウドポッドアーキテクチャのフェデレーション] セクションには、追加したすべてのポッドフェデレーションが一覧表示されます。

d 各ポッドの [ポッド] セクションを編集し、このネットワーク範囲に適切な値を入力します。


クライアントアクセスの FQDN このネットワーク範囲から要求が送信された場合、このポッドのローカル資格にアクセス

するクライアントを接続するサーバの完全修飾ドメイン名 (FQDN) を指定します。これには、Horizon Connection Server、セキュリティサーバ、ロードバランサ、またはリバースプロキシの FQDN を使用できます。

たとえば、internallb.example.com などです。

ポッドのクライアントアクセスの FQDN は、ポッドからローカル資格が付与されたリソースを起動するために使用されます。

ポートサーバポート。

アーティファクトを JWT にラップ「検証ゲートウェイによる Horizon リソースの起動」を参照してください。

JWT の対象者「検証ゲートウェイによる Horizon リソースの起動」を参照してください。

e 各ポッドフェデレーションの [View クラウドポッドアーキテクチャのフェデレーション] セクションを編集し、このネットワーク範囲に適切な値を入力します。


クライアントアクセスの FQDN このネットワーク範囲から要求が送信された場合、このポッドフェデレーションのグローバル資格にアクセスするクライアントを接続するサーバの完全修飾ドメイン名 (FQDN) を指定します。通常、これはポッドフェデレーション環境のグローバルロードバランサになります。

たとえば、globallb.example.com などです。

ポッドフェデレーションのクライアントアクセスの FQDN は、グローバル資格が付与されたリソースを起動するために使用されます。


アーティファクトを JWT にラップ VMware Identity Manager サービスが、F5 などの検証ゲートウェイと統合されている場合、ユーザーに割り当てられた Horizon リソースを認証するには、このオプションを有効にする必要があります。「検証ゲートウェイによる Horizon リソースの起動」を参照してください。



VMware, Inc. 54

f [保存] をクリックします。

g これらの手順を繰り返して、他のネットワーク範囲を編集します。

h [ネットワーク範囲] ページで [終了] をクリックします。

次のステップ

Horizon コレクションが作成され、[カタログ] - [仮想アプリケーションのコレクション] ページに表示されます。コレクション内のリソースはまだ同期されていません。次のスケジュール同期を待つか、[カタログ] - [仮想アプリケーションのコレクション] ページからコレクションを手動で同期することができます。

Horizon での SAML 認証の構成VMware Identity Manager で Horizon 仮想アプリケーションのコレクションを作成した後、ユーザーがシングルサインオンを使用して Horizon デスクトップおよびアプリケーションを起動できるように、Horizon Administratorにログインし、Horizon Connection Server インスタンスで SAML 認証を構成します。

SAML 認証は、ポッド内の少なくとも 1 つの Horizon Connection Server インスタンスで構成する必要があります。ポッド内のすべてのインスタンスで SAML 認証を構成することをお勧めします。

ポッド内の一部の Horizon Connection Server インスタンスで SAML 認証が無効になっている場合、VMwareIdentity Manager は別のインスタンスを使用して同期を維持します。ただし、SAML 認証が無効になっているインスタンスが起動に使用されていないことを確認してください。使用されていると、ユーザーは、Horizon デスクトップまたはアプリケーションを起動できません。インスタンスをクライアントアクセスの FQDN で使用しないでください。また、クライアントアクセスの FQDN がロードバランサを参照している場合、インスタンスをロードバランサのノードの 1 つとして使用しないでください。

ポッド内のすべての Horizon Connection Server インスタンスで SAML 認証が無効の場合、同期は失敗します。

注: 組織でサードパーティの ID プロバイダを使用して、リソースを表示するためにスマートカード認証を使用している場合は、SAML 認証を構成する必要はありません。

手順

1 Horizon Administrator に、管理者ロールを持つユーザーとしてログインします。

2 Horizon Connection Server インスタンスの SAML 認証を構成します。

詳細については、Horizon 7 のドキュメントを参照してください。

SAML Authenticator を構成するときは、VMware Identity Manager サービスの FQDN を指定するようにしてください。

重要: Horizon と VMware Identity Manager サーバは時刻同期している必要があります。サーバの時刻が同期されていない場合、ユーザーが Horizon のアプリケーションまたはデスクトップにアクセスすると、SAML が無効であるというメッセージが表示されます。


VMware, Inc. 55

https://docs.vmware.com/jp/VMware-Horizon-7/7.7/horizon-administration/GUID-FB72A3EB-578A-4CF5-9CCD-BFAA40C9FA44.html

ネットワーク範囲のクライアントアクセスの FQDN の設定VMware Identity Manager と Horizon の統合の一環として、ユーザーが Horizon リソースにアクセスするネットワーク範囲に基づいて正しいサーバに接続できるように、ネットワーク範囲のクライアントアクセスの FQDN を指定します。Horizon 仮想アプリケーションのコレクションを作成すると、ウィザードによって [ネットワーク範囲]ページが表示され、この情報を構成できます。コレクションを作成した後は、いつでもクライアントアクセスの FQDNを編集できます。

VMware Identity Manager で新しいネットワーク範囲を作成する場合は常にこの手順に従って、Horizon ポッドおよびポッドフェデレーションのクライアントアクセスの FQDN を新しいネットワーク範囲に追加します。

前提条件

この手順には、スーパー管理者ロールが必要です。

手順



3 Horizon コレクションをクリックして、[ネットワーク範囲を編集] をクリックします。

4 [ネットワーク範囲] ページで、編集するネットワーク範囲をクリックするか、[ネットワーク範囲を作成] をクリックして、必要に応じてネットワーク範囲を作成します。

5 ネットワーク範囲を新規作成する場合は、名前、オプションの説明、および IP アドレスの範囲を入力します。

6 [ポッド] および [Cloud Pod アーキテクチャのフェデレーション] セクションにスクロールします。

[ポッド] セクションには、[ローカルの割り当てを同期] オプションが有効になったコレクションのすべての Horizonポッドが表示されます。[Cloud Pod アーキテクチャのフェデレーション] セクションには、コレクション内のポッドフェデレーションが表示されます（存在する場合）。


VMware, Inc. 56

7 各ポッドの [ポッド] セクションを編集し、このネットワーク範囲に適切な値を入力します。


クライアントアクセスの FQDN このネットワーク範囲から要求が送信された場合、このポッドのローカル資格にアクセスす

るクライアントを接続するサーバの完全修飾ドメイン名 (FQDN)。この値には、HorizonConnection Server、セキュリティサーバ、ロードバランサ、またはリバースプロキシのFQDN を使用できます。

たとえば、internallb.example.com などです。

ポッドのクライアントアクセスの FQDN は、ポッドからローカル資格が付与されたリソースを起動するために使用されます。


アーティファクトを JWT にラップ「検証ゲートウェイによる Horizon リソースの起動」を参照してください。


8 各ポッドフェデレーションの [Cloud Pod アーキテクチャのフェデレーション] セクションを編集し、このネットワーク範囲に適切な値を入力します。


クライアントアクセスの FQDN このネットワーク範囲から要求が送信された場合、このポッドフェデレーションのグローバル資格にアクセスするクライアントを接続するサーバの完全修飾ドメイン名 (FQDN)。通常、この値はポッドフェデレーション環境のグローバルロードバランサになります。

たとえば、globallb.example.com などです。

ポッドフェデレーションのクライアントアクセスの FQDN は、グローバル資格が付与されたリソースを起動するために使用されます。


アーティファクトを JWT にラップ VMware Identity Manager サービスが、F5 などの検証ゲートウェイと統合されている場合、ユーザーに割り当てられた Horizon リソースを認証するには、このオプションを有効にする必要があります。「検証ゲートウェイによる Horizon リソースの起動」を参照してください。



10 必要に応じて、これらの手順を繰り返して、他のネットワーク範囲を編集します。

環境内の各ネットワーク範囲にクライアントアクセスの FQDN が設定されていることを確認します。ネットワーク範囲にクライアントアクセスの FQDN が設定されていない場合、そのネットワーク範囲を介してリソースにアクセスしているユーザーは、自分のデスクトップおよびアプリケーションを起動できません。

11 [ネットワーク範囲] ページで [終了] をクリックします。

検証ゲートウェイによる Horizon リソースの起動VMware Identity Manager サービスが検証ゲートウェイ（F5 など）と統合されている場合、[アーティファクトをJWT にラップ] 設定を VMware Identity Manager サービスで有効にして、ユーザーに割り当てられている Horizonリソースを認証する必要があります。

[アーティファクトを JWT にラップ] で Horizon リソース起動要求の認証が有効な場合、VMware Identity Managerサービスは、検証を許可する SAML アーティファクトが含まれているデジタル署名付き JWT トークンを生成します。


VMware, Inc. 57

この JWT トークンは DMZ で検証ゲートウェイに送信されます。ゲートウェイは VMware Identity Manager からの JWT トークンを検証し、トークンから SAML アーティファクトの値を抽出します。ゲートウェイは、HorizonConnection Server に実際の SAML アーティファクトの値で要求を転送します。Connection Server は要求を検証し、ユーザーは Horizon リソースにログインします。

[アーティファクトを JWT にラップ] が有効でない場合、検証ゲートウェイは検証のためのアーティファクトを HorizonConnection Server に渡さず、認証が失敗します。

前提条件

n 検証ゲートウェイは次の VMware Identity Manger 詳細で構成する必要があります。

n SSL 証明書

n OAuth2 クライアント ID およびシークレット

n VMware Identity Manager 検証エンドポイントの URL

n この手順を実行するには、VMware Identity Manager でスーパー管理者ロールが必要です。

手順



3 編集する Horizon コレクションをクリックして、[ネットワーク範囲を編集] をクリックします。

4 Horizon リソースで使用できるネットワーク範囲の IP アドレスをクリックします。

[ポッド] セクションには、[ローカル資格を同期] オプションが選択された、コレクションに追加したすべてのHorizon ポッドが表示されます。ポッドとポッドフェデレーションのクライアントアクセスの FQDN を構成する手順については、「VMware Identity Manager での Horizon ポッドおよびポッドフェデレーションの構成」を参照してください。

5 [ポッド] セクションで、構成されている Horizon 環境の [アーティファクトを JWT にラップ] オプションを有効にします。

6 複数の検証ゲートウェイが要求を処理できる場合は、一意の識別子を作成し、名前を [JWT の対象者] テキストボックスに追加します。

この対象者名は検証ゲートウェイの設定で構成されており、このゲートウェイが対象者であることを確認するた

めに使用されます。JWT の対象者がここで構成されている対象者名と一致しない場合、要求は拒否されます。

7 [ネットワーク範囲] ページで [保存]、[終了] の順にクリックします。

次のステップ

追加する一意の対象者名も、検証ゲートウェイの構成に追加する必要があります。


VMware, Inc. 58

VMware Identity Manager での Horizon デスクトッププールとアプリケーションプール情報の表示VMware Identity Manager と Horizon を統合した後、Horizon サーバから VMware Identity Manager に同期されている Horizon デスクトッププールとアプリケーションプールの詳細を表示できます。

手順

1 VMware Identity Manager コンソールで、[カタログ] - [仮想アプリケーション] タブをクリックします。

2 [タイプ] 列見出しのアイコンをクリックし、[Horizon デスクトップ] または [Horizon アプリケーション] のいずれかまたは両方を選択し、すべての Horizon デスクトッププールとアプリケーションプールを表示します。

特定のプールを名前で検索することもできます。

3 デスクトップまたはアプリケーションの名前をクリックします。

アプリケーションページの [定義] セクションには、以下を含む、Horizon から同期された情報が一覧表示されます。

n アプリケーション UUID

n 外部 ID

n プール名

n サポートされているクライアントタイプ

n プールの同期元となる Horizon Connection Server

注: このページから、カテゴリ、アクセスポリシー、ライセンスなど、アプリケーションのVMware Identity Manager 設定を編集することもできます。

Horizon デスクトッププールおよびアプリケーションプールに対するユーザーとグループの資格の表示

VMware Identity Manager コンソールでは、Horizon デスクトッププールおよびアプリケーションプールに対するユーザーとグループの割り当てを表示することができます。これらの割り当ては Horizon で設定され、VMware Identity Manager と同期されます。VMware Identity Manager から割り当てを編集することはできません。

前提条件

n 最新の更新を表示するには、[カタログ] - [仮想アプリケーションのコレクション] ページで、リソースと割り当てを Horizon Connection Server インスタンスから VMware Identity Manager に手動で同期します。

手順



VMware, Inc. 59

2 Horizon デスクトッププールおよびアプリケーションプールに対するユーザーとグループの割り当てを表示します。

オプション操作

特定の Horizon デスクトッププールまたはアプリケーションプールに割り当てられたユーザーとグループを表示する。

a [カタログ] - [仮想アプリケーション] タブをクリックします。

b (オプション) [タイプ] 列見出しのアイコンをクリックし、プールを名前で検索するか、[Horizon デスクトップ] または [Horizon アプリケーション] を選択して、すべてのHorizon デスクトッププールまたはアプリケーションプールを表示します。

c デスクトップまたはアプリケーションをクリックします。

d [割り当てを表示] をクリックします。

アプリケーションが割り当てられているすべてのユーザーとグループのリストが表示されます。

特定のユーザーまたはグループに対する Horizonデスクトッププールおよびアプリケーションプールの割り当てのリストを表示する。

a [ユーザーとグループ] タブをクリックします。


c 個々のユーザー名またはグループ名をクリックします。

d [アプリ] タブをクリックします。

ユーザーまたはグループに割り当てられた Horizon デスクトッププールとアプリケーションプールが表示されます。

特定のアプリケーションおよびデスクトップ向けのアクセスポリシーの設定

デフォルトのアクセスポリシーセットは、カタログに含まれるすべてのアプリケーションおよびデスクトップに適用されます。また、個別のアプリケーションやデスクトップにアクセスポリシーを設定することもできます。この設定はデフォルトのアクセスポリシーよりも優先されます。

アプリケーション構成ページまたは [ポリシー] ページから、デスクトップとアプリケーションのアプリケーションポリシーを構成できます。

アクセスポリシーおよびその適用方法の詳細については、『VMware Identity Manager 管理ガイド』を参照してください。

手順

1 アプリケーション構成ページから、特定のアプリケーションのアクセスポリシーを選択するには、次の手順を実行します。

a VMware Identity Manager コンソールで、[カタログ] - [仮想アプリケーション] タブをクリックします。

b アプリケーションをクリックします。

c [編集] をクリックします。

アプリケーションページの特定のフィールドが編集可能になります。

d [アクセスポリシー] セクションで、アプリケーションのアクセスポリシーを選択します。

e ページの上部にある [保存] をクリックします。


VMware, Inc. 60

2 [ポリシー] ページから 1 つ以上のアプリケーションとデスクトップにアクセスポリシーを適用するには、以下の手順を実行します。

a VMware Identity Manager コンソールで、[ID とアクセス管理] - [ポリシー] ページに移動します。

b ポリシーをクリックして編集するか、[ポリシーを追加] をクリックして新しいポリシーを作成します。

c ウィザードの [定義] ページで、[適用先] セクションで、ポリシーを適用するアプリケーションとデスクトップを選択します。

d [適用先] セクションで、ポリシーを適用するアプリケーションを選択します。

e 変更を保存します。

ユーザーによる Workspace ONE カタログからの Horizon デスクトップのリセットを許可する

Horizon と VMware Identity Manager の構成方法に応じて、ユーザーは応答しない Horizon デスクトップをWorkspace ONE カタログからリセットできます。

この設定は、VMware Identity Manager コンソールではなく Horizon Administrator で構成します。この構成は、Horizon と VMware Identity Manager の両方に適用されます。VMware Identity Manager コンソールで、特定のデスクトップがリセット可能であるかどうかを確認できます。

Workspace ONE からデスクトップをリセットするオプションは、VMware Identity Manager 3.2 および Connector2018.1.1.0 以降のバージョンで使用可能です。すべてのコネクタのバージョンが 2018.1.1.0 以降であることを確認してください。このバージョン以降でないと、リセットコマンドは表示されません。このオプションは以下の環境でサポートされています。

n Horizon 7.x 以降のポッド

n 専用およびフローティング Horizon デスクトップ

前提条件

n ユーザーが自分のデスクトップをリセットできるように Horizon を構成します。Horizon 7 または Horizon 6のドキュメントを参照してください。

n VMware Identity Manager 3.2 以降および Connector 2018.1.1.0 以降を使用していることを確認します。すべてのコネクタのバージョンは 2018.1.1.0 以降である必要があります。

n Horizon デスクトップをユーザーによってリセット可能にするには、各ポッドのクライアントアクセスの FQDNに信頼されている証明書が必要です。URL にルート署名の証明書または自己署名証明書がある場合は、それらの証明書を信頼するように VMware Identity Manager を構成します。ルート証明書の追加については、VMware Identity Manager インストールと構成を参照してください。


VMware, Inc. 61

手順

u (オプション) VMware Identity Manager で、デスクトップがユーザーによるリセットが許可なデスクトップとして表示されていることを確認します。

a VMware Identity Manager コンソールで、[カタログ] - [仮想アプリケーション] タブを選択します。

b (オプション) [タイプ] 列見出しのアイコンをクリックし、デスクトップを名前で検索するか、[Horizon デスクトップ] を選択して、すべての Horizon デスクトップを表示します。

c デスクトップをクリックします。

d ページの [定義] セクションで、[リセット許可] が [有効] に設定されていることを確認します。

[無効] に設定されている場合、Horizon はユーザーがデスクトップをリセットできるように構成されていません。

次のステップ

Horizon デスクトップが応答しなくなった場合、管理者またはユーザーは [リセット] コマンドを使用してデスクトップをリセットできます。

Horizon デスクトップおよびアプリケーションの起動オプションの表示Horizon デスクトップおよびアプリケーションは、Horizon でのデスクトップまたはアプリケーションの構成内容に基づいて、Horizon Client または Web ブラウザで、Workspace ONE カタログから起動できます。デスクトップまたはアプリケーションを Horizon Client のみで使用するように構成する場合は、ユーザーのシステムに HorizonClient をインストールする必要があります。

Horizon 管理者は、Horizon の HTML Access 機能を使用して、ブラウザ用にデスクトップまたはアプリケーションを構成できます。この構成は Horizon で行われ、VMware Identity Managerでの構成は必要ありません。VMwareIdentity Manager のユーザーが、ファームからデスクトップやアプリケーションをブラウザで起動するオプションを利用できるかどうかは、Horizon 7 の [このファームのデスクトップおよびアプリケーションへの HTML Accessを許可] の設定で指定されます。

VMware Identity Manager は、Horizon 6.1.1 以降で HTML Access をサポートします。

VMware Identity Manager は、Horizon が Horizon Client 向けにサポートするすべての表示プロトコルもサポートします。Horizon 7 については、VMware Identity Manager は Horizon Client 4.0 向けの PCoIP および RDP に加えて Blast プロトコルをサポートします。VMware Identity Manager ユーザーが Horizon Client でデスクトップまたはアプリケーションを起動するときには、Horizon で設定されたプロトコルが使用されます。

注: Horizon では、デフォルトの表示プロトコルの設定に加えて、管理者がユーザーに表示プロトコルを選択を許可するかどうかを指定できます。デフォルトのプロトコルをサポートしていない Horizon Client のバージョンをサポートしたい場合は、ユーザーが表示プロトコルを選択できるようにすることをお勧めします。選択を許可しない場合は、

アプリケーションまたはデスクトップを起動できません。

表示プロトコルと起動オプションの構成については、Horizon のドキュメントを参照してください。

VMware Identity Manager コンソールでは、Horizon デスクトップまたはアプリケーションでサポートする起動オプションを確認できます。


VMware, Inc. 62

手順


2 [カタログ] - [仮想アプリケーション] タブをクリックします。

3 (オプション) [タイプ] 列見出しのアイコンをクリックし、[Horizon デスクトップ] または [Horizon アプリケーション] のいずれかまたは両方を選択し、すべての Horizon デスクトッププールとアプリケーションプールを表示します。



[定義] セクションでは、[サポートされているクライアントタイプ] フィールドに、Horizon で設定されている起動オプションが表示されます。

値は、[NATIVE]、[BROWSER]、または両方になります。[NATIVE] のみが表示される場合、そのデスクトップまたはアプリケーションを起動できるのは Horizon Client のみです。アプリケーションを Workspace ONE カタログから起動するには、ユーザー自身のシステムに Horizon Client をインストールしておく必要があります。[BROWSER] が表示される場合、アプリケーションまたはデスクトップをブラウザで起動できます。両方を指定すると、ユーザーはアプリケーションの起動方法を選択できます。

注: Horizon 7 を統合する場合、[サポートされているクライアントタイプ] リストに [ブラウザ] オプションを表示させるには、Horizon 7 で [このファームでデスクトップおよびアプリケーションに対して HTML Accessを許可する] オプションを有効にする必要があります。

Horizon デスクトップまたはアプリケーションの起動ユーザーは、Workspace ONE ポータルまたはアプリケーションから、使用資格を付与された Horizon デスクトップまたはアプリケーションを実行することができます。


VMware, Inc. 63

Horizon でのアプリケーションまたはデスクトップの構成方法によっては、アプリケーションまたはデスクトップをHorizon Client またはブラウザで起動できます。Horizon Client のみで起動可能なアプリケーションまたはデスクトップの場合、ユーザーはシステムに Horizon Client をインストールする必要があります。Horizon Client またはブラウザの両方で起動できるアプリケーションとデスクトップの場合、起動方法を選択できます。

ユーザーは、Workspace ONE ポータルの [環境設定] ページで、デフォルトの起動環境も設定できます。このユーザー環境設定は、管理者レベルで設定されたデフォルトの起動環境を上書きします。

注: ユーザーは、Workspace ONE アプリケーションでデフォルトの起動環境を設定できません。

前提条件

Horizon でのアプリケーションまたはデスクトップの構成方法によっては、Horizon Client のインストールが必要となることがあります。

サポートされる Horizon Client バージョンについては、VMware 製品の相互運用性マトリックス（英語）(http://www.vmware.com/resources/compatibility/sim/interop_matrix.php) を参照してください。

手順

1 Workspace ONE ポータルにログインします。

2 使用するデスクトップまたはアプリケーションで [開く] をクリックし、起動方法を選択して [開く] をクリックします。

注: デスクトップまたはアプリケーションの構成方法および環境設定に基づいて、システムに Horizon Clientをインストールする必要があります。

[ブラウザ] オプションを選択した場合、アプリケーションまたはデスクトップはブラウザで起動します。Horizon6.1.1 以降を使用している場合、ブラウザウィンドウには HTML Access トレイも表示されます。

注: Horizon Connection Server インスタンス上の SAML メタデータの有効期限が切れている場合、アプリケーションまたはデスクトップは起動しません。この問題を解決するには、Horizon リソースを VMware Identity Managerと再度同期させます。[カタログ] - [仮想アプリケーションのコレクション] ページに移動して、コレクションを選択し、[同期] をクリックします。


VMware, Inc. 64

VMware Horizon Cloud Service デスクトップおよびアプリケーションへのアクセスの提供 5VMware Horizon Cloud Servicewith Hosted or On-Premises Infrastructure（クラウドホスト型またはオンプレミス型）を VMware Identity Manager サービスに統合することができます。

Horizon Cloud を VMware Identity Manager サービスに統合すると、ユーザーは Workspace ONE ポータルまたはアプリケーションから、使用する資格のある Horizon Cloud アプリケーションおよびデスクトップにアクセスすることができます。これにより、ユーザーは単一の場所からデバイス上の使用資格のあるすべてのアプリケーション

にアクセスできます。

デスクトップおよびアプリケーションプールは、割り当てとも呼ばれ、Horizon Cloudテナント内で構成されます。また、VMware Identity Managerサービスでなく Horizon Cloud テナントでも、ユーザー資格とグループ資格を設定します。Horizon Cloudテナントと統合する前に、これらのユーザーとグループを Active Directory からVMware Identity Manager サービスに同期する必要があります。

Horizon Cloud を VMware Identity Manager に統合するには、VMware Identity Manager コンソールで 1 つまたは複数の仮想アプリケーションのコレクションを作成します。コレクションには、Horizon Cloud テナントの構成情報と同期設定が含まれています。

各コレクションの同期スケジュールをセットアップすることで、Horizon Cloud テナントとVMware Identity Manager サービス間で、リソースと資格を定期的に同期できます。

Horizon Cloud テナントと VMware Identity Manager を統合すると、VMware Identity Manager コンソールでHorizon Cloud のデスクトップとアプリケーションを確認できます。ユーザーとグループの資格を表示することもできます。

エンドユーザーは、Workspace ONEポータルまたはアプリケーションから使用資格のあるデスクトップおよびアプリケーションを起動できます。これらのデスクトップとアプリケーションは、ブラウザまたは VMware Horizon®

Client™ でアクセスできます。Horizon Client バージョン 3.4 以降がサポートされます。


n Horizon Cloudデスクトップとアプリケーションの連携

n VMware Identity Manager での Horizon Cloud デスクトッププールとアプリケーションプール情報の表示

n Horizon Cloud デスクトップおよびアプリケーションに対するユーザーおよびグループ割り当ての表示


n ユーザーによる Horizon Cloud デスクトップのリセットを許可する

n Horizon Cloud デスクトップまたはアプリケーションの実行

VMware, Inc. 65

Horizon Cloud デスクトップとアプリケーションの連携Horizon Cloud デスクトップとアプリケーションを VMware Identity Manager サービスに統合するには、1 つまたは複数の仮想アプリケーションのコレクションを VMware Identity Manager コンソールで作成し、コレクションにHorizon Cloud テナントの詳細を設定し、Horizon Cloud テナントからリソースと資格を同期させます。また、Horizon Cloudテナントと VMware Identity Manager サービス間の信頼が有効になるように SAML 認証を構成します。

Horizon Cloud 統合についての展開シナリオHorizon Cloud を VMware Identity Manager と統合するには、Horizon Cloud テナント、VMware IdentityManager テナント、および VMware Identity Manager Connector が必要です。コネクタはオンプレミスでHorizon Cloud テナント構成の範囲内にインストールする必要があります。

図 5‑1. オンプレミスに展開されたコネクタとの Horizon Cloud の統合

1 コネクタにより、ユーザーとグループの情報が Active Directory から VMware Identity Manager テナントに同期されます。

2 コネクタにより、Horizon Cloud ユーザーとグループの資格が Horizon Cloud テナントから VMware IdentityManager テナントに同期されます。


VMware, Inc. 66

3 エンドユーザーは、次のようにデスクトップまたはアプリケーションにアクセスします。

a エンドユーザーは VMware Identity Manager サービスにログインし、デスクトップまたはアプリケーションをクリックします。

b サービスによって起動 URL が生成され、Horizon Client に渡されます。起動 URL には、SAML アーティファクト ID が含まれます。

c Horizon Client が起動 URL にアクセスします。

d Horizon Cloud テナントは要求を受け取り、VMware Identity Manager サービスを使用して SAML アーティファクト ID を検証します。

e SAML アーティファクト ID が VMware Identity Manager サービスによって検証されると、そのデスクトップまたはアプリケーションが Horizon Cloud テナントによって Horizon Client にストリーミングされます。

[コネクタのインストール]

Horizon Cloud との統合には、バージョン 2016.1.1 以降のコネクタが必要です。複数の Horizon Cloud テナントと単一の VMware Identity Manager テナントの統合は、コネクタバージョン 2017.8.1.0 以降でサポートされます。

Windows コネクタのインストールについては、『VMware Identity Manager Connector (Windows) のインストールと構成』を参照してください。

コネクタをインストールして構成したら、VMware Identity Manager テナントにディレクトリを作成し、Horizon Cloud デスクトップとアプリケーションの資格が付与されている Active Directory のユーザーおよびグループを同期します。

複数の Horizon Cloud インスタンスの統合複数の Horizon Cloud テナントを VMware Identity Manager の 1 つのインスタンスに統合し、すべてのテナントからの Horizon Cloud リソースと資格を 1 つの場所に同期させることができます。また、認証とアクセスポリシーを一元的に管理し、複数のテナントで資格を持つエンドユーザーに 1 つのポータルまたはアプリケーションからサービスを提供できます。

VMware Identity Manager は、次のタイプの Horizon Cloud 環境との統合をサポートします。

n Horizon Cloud ホスト型インフラストラクチャ（SoftLayer および Azure）

n Horizon Cloud オンプレミス型インフラストラクチャ

複数の Horizon Cloud テナントを統合する場合は、以下の点を考慮してください。

n 単一の VMware Identity Manager Connector は、複数の Horizon Cloud テナントのリソースと資格をVMware Identity Manager サービスに同期させることができます。

n 各 Horizon Cloud テナントは、異なる Active Directory インスタンスおよびドメインのユーザーに対する資格を提供することができます。関連するすべてのディレクトリとドメインを VMware Identity Manager に追加して、Horizon Cloud テナントで資格を持つすべてのユーザーが VMware Identity Manager に同期されるようにします。


VMware, Inc. 67

n テナントアプライアンスに自己署名証明書がある場合は、自己署名証明書を信頼されるルート証明書としてVMware Identity Manager にアップロードする必要があります。複数の Horizon Cloud テナントを統合する場合、VMware Identity Manager にアップロードできるルート証明書は 1 つだけなので、すべての証明書が同じルート証明書を持つようにする必要があります。

n VMware Identity Manager は、2 要素認証が有効になっているテナントにアクセスして資格を同期することはできません。

n VMware Identity Manager では、すべての Horizon Cloud テナントを仮想アプリケーションのコレクションと呼ばれる 1 つの構成に追加したり、複数の構成を作成したりすることができます。すべての Horizon Cloudテナントが 1 つの構成に追加されるときに、VMware Identity Manager がテナントのいずれかにアクセスできない場合は、アラートが作成され、引き続き他のテナントからのリソースと資格が同期されます。

n SAML 認証は、VMware Identity Manager と統合する Horizon Cloud テナントごとに構成します。

統合の前提条件

Horizon Cloudと VMware Identity Manager を統合する前に、前提条件を満たしていることを確認します。

n 以下のものがセットアップされていることを確認します。

n VMware Identity Manager テナント

n オンプレミスでインストールされた VMware Identity Manager Connector。詳細については、「HorizonCloud 統合についての展開シナリオ」を参照してください。

Horizon Cloud との統合には、バージョン 2016.1.1 以降の VMware Identity Manager Connector が必要です。複数の Horizon Cloud テナントとの統合には、バージョン 2017.8.1.0 以降が必要です。

n VMware Identity Manager コネクタによってアクセス可能な 1 つまたは複数の Horizon Cloud テナント。これをセットアップするには、Horizon Cloud 担当者と連携します。

n 各 Horizon Cloud テナントが次の要件を満たしていることを確認します。

n テナント名は、単なるホスト名ではなく、完全修飾ドメイン名 (FQDN) である必要があります。たとえば、server-ta1 ではなく server-ta1.example.com である必要があります。

n テナントアプライアンスには、認証局によって発行された有効な署名済み証明書が必要です。証明書は、テナントアプライアンスの FQDN に一致する必要があります。テナントアプライアンスに自己署名証明書がある場合は、自己署名証明書を信頼されるルート証明書として VMware Identity Manager にアップロードする必要があります。複数の Horizon Cloud テナントを統合する場合、VMware Identity Manager にアップロードできるルート証明書は 1 つだけなので、すべての証明書が同じルート証明書を持つようにする必要があります。

n Horizon Cloud テナントと VMware Identity Manager サービスで時刻が同期されていることを確認します。時刻が同期されていない場合、ユーザーが Horizon Cloud のデスクトップとアプリケーションを実行する際に無効な SAML のエラーが発生する可能性があります。

n Horizon Cloudテナントの管理コンソールで、デスクトッププールおよびアプリケーションプール（割り当て）を作成し、構成します。Horizon Cloudテナントでは、以下のタイプのプールを作成できます。

n 動的デスクトッププール（フローティングデスクトップ割り当て）


VMware, Inc. 68

n 固定デスクトッププール（専用デスクトップ割り当て）

n デスクトップを使用するセッションベースプール（セッションデスクトップ割り当て）

n アプリケーションを使用するセッションベースプール（リモートアプリケーション割り当て）

プールのタイプに関する詳細については、Horizon Cloud のドキュメントを参照してください。

n Horizon Cloud テナントの管理コンソールで、ユーザーとグループに付与する、Horizon Cloud のデスクトップとアプリケーションの資格を設定します。

注: 登録済みのグループに属するユーザーの資格のみが同期されます。どのグループにも属さないユーザーは、VMware Identity Managerで資格を確認できません。

n VMware Identity Manager コンソールで、Horizon Cloud の資格が付与されたユーザーとグループが、ディレクトリ同期を使用して Active Directory から VMware Identity Manager に同期されていることを確認します。

次のガイドラインに従ってください。

n 複数の Horizon Cloud テナントを統合する場合は、関連するすべてのディレクトリとドメインをVMware Identity Manager に追加し、Horizon Cloud テナントでの資格を持つユーザーがVMware Identity Manager に同期されるようにします。

n sAMAccountName を VMware Identity Manager のディレクトリのディレクトリ検索属性として設定する必要があります。

n distinguishedName は、VMware Identity Manager ディレクトリの必須属性として設定する必要があり、Active Directory 属性の distinguishedName にマッピングされる必要があります。

ディレクトリを作成する前に、属性に必須のマークを付ける必要があります。ディレクトリを作成した後は、

属性をオプションから必須に変更することはできません。

1 VMware Identity Manager コンソールで、[ID とアクセス管理] - [セットアップ] - [ユーザー属性] ページに移動します。

2 [デフォルト属性] で、[distinguishedName]に[必須] チェックボックスを選択します。


4 ディレクトリ作成中は、[distinguishedName] 属性を Active Directory 属性の [distinguishedName]にマッピングします。

VMware Identity Manager での Horizon Cloud テナントの構成Horizon Cloud テナントを VMware Identity Manager サービスと統合するには、VMware Identity Manager コンソールに仮想アプリケーションのコレクションを作成します。コンソールには Horizon Cloud テナント情報と同期設定が含まれ、リソースと資格が Horizon Cloud テナントから VMware Identity Manager サービスに同期されます。

複数の Horizon Cloud テナントがある場合は、必要に応じて、テナントごとに個別の仮想アプリケーションのコレクションを作成したり、すべてのテナントを単一のコレクションに構成したりできます。各コレクションは個別に同

期されます。


VMware, Inc. 69

前提条件

n 「統合の前提条件」に記載されている前提条件を満たしていることを確認します。「複数の Horizon Cloud インスタンスの統合」も参照してください。

n カタログサービスでデスクトップアプリケーションの管理アクションを実行できる管理者ロールを使用する必要があります。

手順




4 ソースタイプとして [Horizon Cloud] を選択します。

5 新規の Horizon Cloud の仮想アプリケーションのコレクションウィザードで、[コネクタ] ページに次の情報を入力します。


名前 Horizon Cloud コレクションの一意の名前を入力します。






7 [テナント] ページで、[テナントを追加] をクリックし、Horizon Cloud テナント情報を入力します。

重要: ドメイン情報を入力する際は、ASCII 以外の文字を使用しないでください。


ホスト Horizon Cloud テナントホストの完全修飾ドメイン名。たとえば、tenant1.example.com と入力します。

ポート Horizon Cloud テナントホストのポート番号。たとえば、443 と入力します。

管理者ユーザー Horizon Cloud テナント管理者アカウントのユーザー名。たとえば、tenantadmin と入

力します。

管理者パスワード Horizon Cloud テナント管理者アカウントのパスワード。

管理者ドメイン Horizon Cloud テナント管理者が所属する Active Directory NetBIOS ドメインの名前。

同期するドメイン Horizon Cloudリソースと資格を同期させるための Active Directory NETBIOS ドメインの名前。

注: このフィールドでは大文字と小文字が区別されます。名前を入力する際は、適切な文字を使用してください。


VMware, Inc. 70


アサーションコンシューマサービス URL SAML アサーションのポスト先となる URL。この URL は通常、Horizon Cloud テナントのフローティング IP アドレスまたはホスト名か、Unified Access Gateway の URL です。たとえば、https://mytenant.example.com のように入力します。

True SSO Horizon Cloud テナントで True SSO が有効な場合のみこのオプションを有効にします。

このオプションを有効にすると、SecurID などパスワード以外の認証方法で VMware IdentityManager にログインしたユーザーは、Windows デスクトップを起動したときにパスワードの入力を求められません。

カスタム ID マッピングユーザーが Horizon Cloud アプリケーションおよびデスクトップを起動したときに SAML応答で使用されるユーザー ID をカスタマイズできます。デフォルトでは、ユーザープリンシパル名が使用されます。sAMAccountName またはメールアドレスなどの他の Name ID形式を使用して値をカスタマイズすることもできます。

[Name ID の形式:] メールアドレスやユーザープリンシパル名など、Name ID の形式を選択します。デフォルト値は、[未指定（ユーザー名）] です。

[Name ID 値:] [候補から選択] をクリックして定義済みの値のリストから選択するか、[カスタム値] をクリックして値を入力します。この値には、[${user.userName}@${user.domain}]などの有効な Expression Language (EL) 式を指定できます。デフォルト値は、[${user.userPrincipalName}] です。

注: 式で使用する属性が VMware ディレクトリにマッピングされた属性であることを確認します。マッピングされた属性はディレクトリの [同期設定] タブで表示できます。上の例では、userName、userPrincipalName、および domain がディレクトリにマッピングされた属性です。

Name ID 形式を選択する機能は、次のようなシナリオで役立ちます。

n 複数のサブドメインのユーザーを同期すると、ユーザープリンシパル名が機能しないことがある。sAMAccountName またはメールアドレスなどの別の Name ID 形式を使用して、ユーザーを一意に識別することができます。

重要: Horizon Cloud と VMware Identity Manager で同じ名前 ID 形式の設定を使用していることを確認します。

8 [追加] をクリックします。

9 必要に応じて他のテナントを追加し、[次へ] をクリックします。


VMware, Inc. 71










デフォルトの起動クライアント Workspace ONE ポータルまたはアプリケーションから Horizon Cloud デスクトップおよびアプリケーションにアクセスするエンドユーザーのデフォルトクライアントを選択します。

なし管理者レベルでは、デフォルトの環境設定は指定されていません。このオプショ

ンが [なし] に設定され、エンドユーザーも環境設定を指定していない場合は、Horizon Cloud のデフォルトプロトコルの設定を使用してデスクトップまたはアプリケーションの起動方法が決定されます。

ブラ

ウザ

デフォルトでは、Horizon Cloud デスクトップとアプリケーションは、Webブラウザで起動します。エンドユーザーの環境設定が指定されている場合、この設定は上書きされます。

ネイ

ティブ

デフォルトでは、Horizon Cloud デスクトップとアプリケーションは、Horizon Clientで起動します。エンドユーザーの環境設定が指定されている場合、この設定は上書きされます。

この設定は、このコレクションのすべてのリソースのすべてのユーザーに適用されます。

デフォルトの起動クライアントには、優先順に以下の設定が適用されます。

a Workspace ONE ポータルで設定されるエンドユーザー環境設定。この設定はWorkspace ONE アプリケーションでは使用できません。

b VMware Identity Manager コンソールで設定される、コレクションのための管理者の[デフォルトの起動クライアント] 設定。

c Horizon Cloud のデフォルトプロトコル設定


12 [サマリ] ページで選択内容を確認し、[保存] をクリックします。

コレクションが作成され、[仮想アプリケーションのコレクション] ページに表示されます。


VMware, Inc. 72

13 コレクション内のリソースと資格を同期するには、[仮想アプリケーションのコレクション] ページでコレクションを選択し、[同期] をクリックします。

Horizon Cloud でリソースまたは資格が変更されるたびに、同期を実行して VMware Identity Manager に変更内容を伝達する必要があります。

次のステップ

Horizon Cloudテナントで SAML 認証を構成して、VMware Identity Manager サービスとHorizon Cloud テナント間の信頼を有効にします。

Horizon Cloud テナントでの SAML 認証の構成VMware Identity Manager コンソールで Horizon Cloud 統合用に仮想アプリケーションのコレクションを作成した後、Horizon Cloud テナントで SAML 認証を構成します。

複数の Horizon Cloud テナントを統合する場合は、すべてのテナントで SAML 認証を構成してください。

注: Horizon Cloudテナントアプライアンスと VMware Identity Manager は時刻が同期している必要があります。時刻が同期していない場合、Horizon Cloudデスクトップおよびアプリケーションを起動しようとすると、SAMLが無効であることを示すメッセージが表示されます。

手順

1 VMware Identity Manager コンソールで、[カタログ] - [仮想アプリケーション] タブを選択し、[設定] をクリックします。

2 左側のペインの [SaaS アプリ] で、[SAML メタデータ] をクリックします。

3 [SAML メタデータのダウンロード] タブで、[ID プロバイダ (IdP) メタデータ] リンクの横にある [URL をコピー]をクリックします。

URL の形式は https://<VMwareIdentityManagerFQDN>/SAAS/API/1.0/GET/metadata/idp.xml のようになり、クリップボードにコピーされます。

4 Horizon Cloudテナントにログインします。


VMware, Inc. 73

5 [設定] - [ID 管理] に移動します。


7 必要な設定を行います。


Identity Manager URL コピーした VMware Identity Manager IdP メタデータ URL。通常、URL は次の形式になります：

https://<VMwareIdentityManagerFQDN>/SAAS/API/1.0/GET/metadata/idp.xml

タイムアウト SSO トークン（オプション）SSO トークンがタイムアウトするまでの時間を分単位で指定します。

データセンター Horizon Cloud データセンターの名前。ドロップダウンリストから名前を選択します。

テナントのアドレス Horizon Cloud テナントのアドレス。Horizon Cloud テナントアプライアンスのフローティング IP アドレスまたはホスト名、あるいは Unified Access Gateway の IP アドレスまたはホスト名を指定します。たとえば、mytenant.example.com と指定します。

Horizon Cloud on Azure に次の設定が表示されます。


VMware Identity Manager の URL コピーした VMware Identity Manager IdP メタデータ URL。通常、URL は次の形式になります：

https://<VMwareIdentityManagerFQDN>/SAAS/API/1.0/GET/metadata/idp.xml

タイムアウト SSO トークン（オプション）SSO トークンがタイムアウトするまでの時間を分単位で指定します。

場所 [ノード] ドロップダウンリストが、ここで指定する場所に関連付けられたノードにフィルタされます。

ノード VMware Identity Manager と統合しているノードを選択します。

データセンター Horizon Cloudデータセンターの名前。ドロップダウンリストから名前を選択します。

テナントのアドレス Horizon Cloudテナントのアドレス。Horizon Cloud テナントアプライアンスのフローティング IP アドレスまたはホスト名、あるいは Unified Access Gateway の IP アドレスまたはホスト名を指定します。たとえば、mytenant.example.com と指定します。


統合に成功した場合、ステータスは緑色になります。

9 VMware Identity Manager を経由しないユーザーアクセスをブロックするには、[構成] をクリックして設定を編集します。


リモートユーザーに Identity Manager を強制的に使用させる

IDM を経由しないリモートユーザーアクセスをブロックするには、[はい] を選択します。オプションは、Identity Manager のステータスが緑色の場合にのみ表示されます。

内部ユーザーに Identity Manager を強制的に使用させる

IDM を経由しない内部ユーザーアクセスをブロックするには、[はい] を選択します。オプションは、Identity Manager のステータスが緑色の場合にのみ表示されます。

これで統合が完了します。Horizon Cloud リソースを VMware Identity Manager に同期した後、VMware Identity Manager コンソールに Horizon Cloud デスクトップとアプリケーションプールを表示することができます。これにより、エンドユーザーは、使用資格のあるリソースを Workspace ONE ポータルまたはアプリケーションから起動できるようになります。


VMware, Inc. 74

VMware Identity Manager での Horizon Cloud デスクトッププールとアプリケーションプール情報の表示VMware Identity Manager コンソールで、同期された Horizon Cloud デスクトッププールとアプリケーションプールに関する情報を表示できます。

手順


2 [タイプ] 列見出しのアイコンをクリックし、[Horizon Cloud デスクトップ] または [Horizon Cloud アプリケーション] のいずれかまたは両方を選択し、すべての Horizon Cloud デスクトッププールとアプリケーションプールを表示します。



アプリケーションページの [定義] セクションには、以下を含む、Horizon Cloud テナントから同期された属性が一覧表示されます。

n アプリケーション UUID

n プール名、プール ID、およびプールドメイン

n サポート対象の起動クライアント

これら属性の情報については、Horizon Cloudのドキュメントを参照してください。

注: このページから、カテゴリ、アクセスポリシー、ライセンスなど、アプリケーションのVMware Identity Manager 設定を編集することもできます。

Horizon Cloud デスクトップおよびアプリケーションに対するユーザーおよびグループ割り当ての表示

VMware Identity Manager コンソールでは、Horizon Cloud デスクトッププールおよびアプリケーションプールに対するユーザーとグループの割り当てを表示することができます。これらの割り当ては Horizon Cloud に設定され、VMware Identity Manager と同期されます。VMware Identity Manager から割り当てを編集することはできません。

前提条件

最新の更新を表示するには、[カタログ] - [仮想アプリケーションのコレクション] ページで、リソースと資格を HorizonCloud テナントから VMware Identity Manager に手動で同期します。

手順



VMware, Inc. 75

2 Horizon Cloud デスクトッププールおよびアプリケーションプールに対するユーザーとグループの割り当てを表示します。


特定の Horizon Cloud デスクトッププールまたはアプリケーションプールに割り当てられたユーザーとグループを表示する


b (オプション) [タイプ] 列見出しのアイコンをクリックしてプールを名前で検索するか、[Horizon Cloud デスクトップ] または [Horizon Cloud アプリケーション] を選択して、すべての Horizon Cloud デスクトッププールまたはアプリケーションプールを表示します。




特定のユーザーまたはグループに対する Horizonデスクトッププールおよびアプリケーションプールの割り当てのリストを表示する。





ユーザーまたはグループに割り当てられた Horizon Cloud デスクトッププールとアプリケーションプールが表示されます。





手順









VMware, Inc. 76







ユーザーによる Horizon Cloud デスクトップのリセットを許可するHorizon Cloud の構成方法によっては、ユーザーが Workspace ONE から専用の Horizon Cloud デスクトップをリセットできます。たとえば、ユーザーは応答しなくなったデスクトップをリセットできます。

ユーザーによるデスクトップのリセットを許可するオプションは、VMware Identity Manager ではなく、HorizonCloud で設定します。設定は、VMware Identity Manager 3.2 および Connector 2018.1.1.0 以降のバージョンでサポートされます。すべてのコネクタのバージョンが 2018.1.1.0 以降であることを確認します。

専用の Horizon Cloud デスクトップのみを Workspace ONE からリセットできます。

Horizon Cloud でユーザーがデスクトップをリセットできる場合、Workspace ONE でデスクトップのリセットコマンドを使用できます。コマンドは、リセットが許可されたこれらのデスクトップでのみ表示されます。

Horizon Cloud デスクトップまたはアプリケーションの実行エンドユーザーは、Workspace ONE ポータルまたはアプリケーションから、割り当てられた Horizon Cloud デスクトップおよびアプリケーションを実行することができます。

Horizon Cloud テナントでのアプリケーションまたはデスクトップの構成によっては、アプリケーションまたはデスクトップを Horizon Client またはブラウザで実行できます。Horizon Client のみで使用するように構成されたアプリケーションまたはデスクトップの場合は、ユーザーのシステムに Horizon Client をインストールする必要があります。Horizon Client およびブラウザの両方で使用するように構成されたアプリケーションとデスクトップの場合、起動方法を選択できます。


VMware, Inc. 77

ユーザーは、Workspace ONE ポータルの [環境設定] ページで、デフォルトの起動環境も設定できます。このユーザー環境設定は、管理者レベルで設定されたデフォルトの起動環境を上書きします。

注: ユーザーは、Workspace ONE アプリケーションでデフォルトの起動環境を設定できません。

前提条件

Horizon Cloud テナントでのアプリケーションまたはデスクトップの構成によっては、Horizon Client のインストールが必要となることがあります。

サポートされる Horizon Client バージョンについては、VMware 製品の相互運用性マトリックス（英語）(http://www.vmware.com/resources/compatibility/sim/interop_matrix.php) を参照してください。

手順

1 Workspace ONE ポータルにログインします。

2 使用するデスクトップまたはアプリケーションで [開く] をクリックし、起動方法を選択して [開く] をクリックします。

注: デスクトップまたはアプリケーションの構成方法および環境設定に基づいて、システムに Horizon Clientをインストールする必要があります。


VMware, Inc. 78

VMware ThinApp パッケージへのアクセスの提供 6VMware Identity Manager で、ThinApp パッケージの配布と管理を一元的に行うことができます。ThinApp パッケージは、Windows システム上で使用される仮想 Windows アプリケーションです。Windows システムに VMwareIdentity Manager Desktop アプリケーションをインストールして、ThinApp パッケージの使用資格が付与されたユーザーは、Windows システムで使用資格のある ThinApp パッケージを起動して使用することができます。

ThinApp のキャプチャおよびビルドプロセスで、Windows アプリケーションから仮想アプリケーションを作成します。その仮想 Windows アプリケーションは、Windows システムに元の Windows アプリケーションをインストールしなくても、そのシステムで実行できます。 ThinApp パッケージは、Windows アプリケーションで ThinAppのキャプチャおよびビルドプロセスを実行することによって生成された仮想アプリケーションファイルのセットです。このパッケージには、Windows アプリケーションにアクセスするためのプライマリデータコンテナファイルおよびエントリポイントファイルが含まれています。

一部の ThinApp パッケージには VMware Identity Manager との互換性がありません。Windows アプリケーションをキャプチャする際に、ThinApp キャプチャアンドビルドプロセスのデフォルトの設定によって、VMware Identity Manager で配布および管理できないパッケージが作成されます。キャプチャおよびビルドプロセス中に適切なパラメータを設定することで、VMware Identity Manager が配布および管理できる ThinApp パッケージを作成します。 ThinApp 機能、および VMware Identity Managerと互換性があるパッケージを作成するために使用する適切なパラメータの詳細は、VMware ThinApp に関するドキュメントを参照してください。

VMware Identity Manager を ThinApp リポジトリと統合すると、VMware Identity Manager で配布および管理できるリポジトリ内の ThinApp パッケージをカタログで確認できます。VMware Identity Manager カタログにThinApp パッケージが表示されると、ThinApp パッケージの使用資格をユーザーとグループに付与、および任意で各パッケージのライセンス追跡情報を構成できるようになります。

重要: ThinApp との統合は、Linux 版の VMware Identity Manager Connector でのみサポートされています。Windows コネクタではサポートされません。


n VMware ThinApp パッケージの統合

n ユーザーおよびグループに ThinApp パッケージの使用資格を付与

n VMware Identity Manager による ThinApp パッケージの配布と管理

n VMware Identity Manager に展開後の管理対象 ThinApp パッケージの更新

n 既存の ThinApp パッケージと VMware Identity Manager との互換性確保

VMware, Inc. 79

n ThinApp パッケージの共有フォルダの変更


VMware ThinApp パッケージの統合VMware Identity Manager を使用して、VMware® ThinApp® でパッケージ化されたアプリケーションを配布および管理するには、ThinApp パッケージを格納した ThinApp リポジトリがあり、そのリポジトリを参照し、パッケージを同期する必要があります。同期プロセスの終了後、ThinApp パッケージは VMware Identity Manager カタログで利用可能になり、それらの使用資格を VMware Identity Manager ユーザーとグループに付与できるようになります。

ThinApp は、アプリケーションを基盤となるオペレーティングシステムとそのライブラリおよびフレームワークから切り離し、そのアプリケーションをアプリケーションパッケージと呼ばれる単一の実行可能ファイルにバンドルすることで、アプリケーションの仮想化を実現します。これらのパッケージを VMware Identity Manager で管理するためには、適切なオプションを有効にする必要があります。たとえば、ThinApp Setup Capture ウィザードで[Workspace で管理する] チェックボックスを選択します。ThinApp の機能の詳細と、アプリケーションのVMware Identity Manager による管理を有効にする方法については、VMware ThinApp に関するドキュメントを参照してください。

通常は、VMware Identity Manager Connector をリポジトリに接続するための手順を実行し、VMware Identity Manager 環境の全体的なセットアップと構成の一部として、パッケージを同期します。ThinAppリポジトリは、UNC（汎用命名規則）パスを使用してコネクタにアクセスできるネットワーク共有である必要があります。VMware Identity Manager がパッケージを配布および管理するために必要な ThinApp パッケージメタデータを取得するために、コネクタは定期的にこのネットワーク共有と同期します。「ThinApp パッケージおよびネットワーク共有リポジトリのための VMware Identity Manager の要件」を参照してください。

ネットワーク共有は、Common Internet File System（CIFS）共有または Distributed File System（DFS）共有が可能です。DFS 共有は、単一の Server Message Block（SMB）ファイル共有または分散ファイルシステムとして編成された複数の SMB ファイル共有が可能です。NetApp ストレージシステムで実行されている CIFS 共有と DFS 共有がサポートされます。Isilon ストレージシステム上の DFS 共有もサポートされます。

ThinApp パッケージおよびネットワーク共有リポジトリのためのVMware Identity Manager の要件VMware Identity Manager から配布する ThinApp アプリケーションをキャプチャして格納するときには、特定の要件を満たす必要があります。

ThinApp パッケージでの要件

VMware Identity Manager で管理できる ThinApp パッケージを作成または再パッケージ化するには、VMware Identity Manager がサポートするバージョンの ThinApp を使用する必要があります。VMware Identity Manager は ThinApp 4.7.2 以降をサポートします。サポートされているバージョンの最新情報については、「VMware 製品の相互運用性マトリックス」(http://www.vmware.com/resources/compatibility/sim/interop_matrix.php) を参照してください。


VMware, Inc. 80

VMware Identity Manager で管理できる ThinApp パッケージが必要です。ThinApp キャプチャおよびビルドプロセスでは、VMware Identity Manager で管理できるパッケージも、管理できないパッケージも作成できます。たとえば、ThinApp のセットアップキャプチャウィザードを使用してアプリケーションをキャプチャする場合、[Workspace で管理] チェックボックスをオンにすると VMware Identity Manager で管理できるパッケージを作成できます。 ThinApp 機能、および VMware Identity Managerと互換性があるパッケージを作成するために使用する適切なパラメータの詳細は、VMware ThinApp に関するドキュメントを参照してください。

既存の ThinApp パッケージでは、relink - h コマンドを使用してパッケージを VMware Identity Manager に

対応させることができます。既存の ThinApp パッケージを VMware Identity Manager で管理できるパッケージに変換する方法については、VMware Identity Manager 管理ガイドを参照してください。

ThinApp パッケージは、組織のニーズに合った ThinApp パッケージの展開モード、ネットワーク共有タイプ、リポジトリアクセスの組み合わせに関する要件を満たすネットワーク共有に格納する必要があります。

ネットワーク共有リポジトリでの要件

ThinApp パッケージはネットワーク共有（ThinApp パッケージリポジトリとも呼ばれる）に存在する必要があります。ネットワーク共有は、ThinApp パッケージへのアクセスに使用される VMware Identity Manager Desktop アプリケーションを実行している各システムから、UNC（汎用命名規則）パスを使用してアクセスできる必要があります。たとえば、appshare という名前のホスト上の server という名前のネットワーク共有は、UNC パ

ス \\server\appshare を使用してアクセスできます。ネットワーク共有フォルダの完全修飾ホスト名は、コネ

クタから解決できる必要があります。

ネットワーク共有は、Common Internet File System（CIFS）共有または Distributed File System（DFS）共有が可能です。DFS 共有は、単一の Server Message Block（SMB）ファイル共有または分散ファイルシステムとして編成された複数の SMB ファイル共有が可能です。NetApp ストレージシステムで実行されている CIFS 共有と DFS 共有がサポートされます。Isilon ストレージシステム上の DFS 共有もサポートされます。

ネットワーク共有は、コネクタが ThinApp パッケージリポジトリへのアクセスに使用するように構成する、アクセスのタイプ（ドメインベースのアクセスまたはアカウントベースのアクセス）に適した条件を満たす必要があります。アクセスのタイプにより、次の項目の使用可能な組み合わせが決まります。

n ThinApp パッケージリポジトリに対し、CIFS ネットワーク共有または DFS ネットワーク共有を使用するかどうか。

n コネクタとネットワーク共有のホストを同じ Active Directory ドメインに参加させる必要があるかどうか。

n ユーザーの Windows システムが、ThinApp パッケージを使用するために Active Directory ドメインに参加する必要があるかどうか。

n アプリケーションをインストールした Windows システムでの仮想アプリケーションの取得と実行に、インストールした VMware Identity Manager Desktop アプリケーションを使用するように設定された ThinApp パッケージのインストールモード。ユーザーの Windows システムで使用するパッケージのインストールモードは、VMware Identity Manager Desktop アプリケーションを Windows システムにインストールするとき、インストールプロセスの最中に設定されます。このパッケージのインストールモードにより、Windows システムで使用される ThinApp の展開モード、ダウンロードモード、ストリーミングモードが決まります。


VMware, Inc. 81

アクセス

の種類ネットワーク共有タイプ VMware Identity Manager の要件ユーザーの Windows システムに関する要件

ドメイン

ベースの

アクセス

ドメインベースのアクセスを使用する場合、ThinApp パッケージリポジトリに CIFS 共有を使用できます。

ドメインベースのアクセスでは、DFS 共有を使用できません。DFS 共有の場合は、アカウントベースのアクセスを使用する必要があります。

コネクタを Active Directory ドメインに参加させて、Windows ネットワーク共有に参加してパッケージにアクセスできるようにす

る必要があります。

コネクタをドメインに参加させるように構成する方法については、

VMware Identity Manager インストールと構成の Kerberos の構成についての情報を参照してください。

注: Windows 認証は必要ありません。

ネットワーク共有は、コンピュータアカウントに基づく認証およびファイル権限をサポー

トする必要があります。コネクタはドメインのコネクタのコンピュータアカウントを使用してネットワーク共有にアクセスします。

ネットワーク共有のフォルダおよびファイル

権限は、権限の組み合わせによりドメインで

のコネクタのコンピュータアカウントに対し読み取りアクセスを許可するように構成す


ユーザーが資格を付与された ThinApp パッケージを使用するには、ユーザーの Windows システムをあらかじめ Active Directory ドメインに参加させておく必要があります。

次のシステムはすべて同じドメインに参加している

必要があります。

n ユーザーの Windows システム

n コネクタ

n ThinApp パッケージを含むネットワーク共有ドライブのホスト

ドメインベースのアクセスを使用する場合、ThinApp パッケージでは次のインストールモードを使用できます。

n COPY_TO_LOCAL。このインストールモードでは、パッケージがクライアントの Windowsシステムにダウンロードされます。このインス

トールモードは、仮想アプリケーションにThinApp ダウンロードモードを使用することに相当します。クライアントの Windows システムへのログインに使用するアカウントは、

パッケージをネットワーク共有からクライアン

トの Windows システムにコピーするために使用されるユーザーアカウントであり、このアカウントには、パッケージを読み取り、そのネッ

トワーク共有からファイルをコピーするための

権限が必要です。パッケージがクライアントの

Windows システムにダウンロードされ、ユーザーがパッケージを起動すると、仮想アプリ

ケーションがクライアントの Windows システム上でローカルに実行されます。

n RUN_FROM_SHARE。このインストールモードでは、パッケージがクライアントの

Windows システムにダウンロードされません。ユーザーはローカルデスクトップ上のショートカットを使用してパッケージを起動し

ます。仮想アプリケーションがネットワーク共

有から ThinApp ストリーミングモードを使用して実行されます。クライアントの Windowsシステムへのログインに使用するアカウント

は、パッケージをネットワーク共有から実行す


VMware, Inc. 82

アクセス


るために使用されるユーザーアカウントであり、このアカウントには、そのネットワーク共

有からファイルを読み取り実行するための権限

が必要です。

注: RUN_FROM_SHARE は、ThinApp パッケージのネットワーク共有への接続が常に確立

されている Windows システムに最も適しています。Horizon デスクトップは常にドメインに接続されているため、このインストールモードに最適な Windows システムです。フローティングの、すなわちステートレスな Horizon デスクトップでは、RUN_FROM_SHARE を最大限に活用して、パッケージを Windows システムにダウンロードする際に伴うリソースの使用

を回避します。

デフォルトでは、クライアントのインストーラプログラムのグラフィカルバージョンを実行してVMware Identity Manager Desktop アプリケーションを Windows システムにインストールするときのデフォルトのインストールモードとして、COPY_TO_LOCAL インストールモードが設定されます。別のインストールモードをパッケージのデフォルトのインストールモードとして設定するには、コマンドラインを使用するクライアントのインストールを実行する必要があります。「VMwareIdentity Manager Desktop 用のコマンドラインインストーラオプション」を参照してください。

重要: HTTP_DOWNLOAD モードでは、ユーザーの Windows マシンから IDP URL にアクセスできる必要があります。RUN_FROM_SHARE およびCOPY_TO_LOCAL モードでは、ユーザーのWindows マシンから ThinApp 共有にアクセスできる必要があります。

アカウン

トベースのアク

セス

アカウントベースのアクセスを使用する場合、ThinApp パッケージリポジトリには CIFS 共有または DFS 共有を使用できます。

コネクタは、ネットワーク共有およびパッケージへのアクセスに共有ユーザーアカウントおよびパスワードを使用するように構成す


共有ユーザーアカウントおよびパスワードは、ネットワーク共有フォルダへの UNC パスに対して読み取りアクセスが可能な任意の

組み合わせです。

使用資格が付与された ThinApp パッケージをユーザーが使用するために、ユーザーの Windows システムを Active Directory ドメインに参加させる必要はありません。Windows 認証は必要ありません。

ユーザーの Windows システム、コネクタ、ThinApp パッケージを含むネットワーク共有のホストを同じ Active Directory ドメインに参加させる必要はありません。


VMware, Inc. 83

アクセス


ネットワーク共有にアクセスするのに、コネ

クタを Active Directory ドメインに参加させる必要はありません。

注: VMware Identity Manager コンソールでは、[ThinApp パッケージ] ページを使用する前に [ドメインに参加] ページを完了する必要があります。

注: NetApp 共有を使用している場合は、アカウントベースのアクセスが必須となります。

アカウントベースのアクセスを構成することによって、ThinApp パッケージでは次のインストールモードを使用できます。

n ユーザーの Windows システムがドメインに参加していない場合、クライアントでは

HTTP_DOWNLOAD インストールモードを使用して仮想アプリケーションを取得する必要が

あります。このインストールモードは、仮想アプリケーションに ThinApp ダウンロードモードを使用することに相当します。

コネクタは共有ユーザーアカウントを使用して、リポジトリからパッケージを取得します。

n ユーザーが Windows システムをドメインに参加させると、クライアントでは

COPY_TO_LOCAL インストールモードまたは RUN_FROM_SHARE インストールモードのどちらかを使用して、ユーザーに使用資格が

付与された ThinApp パッケージを実行することができます。クライアントの Windows システムへのログインに使用するアカウントは、


VMware, Inc. 84

アクセス


パッケージをネットワーク共有から取得するた

めに使用されるユーザーアカウントであり、このアカウントには、ネットワーク共有上での適

切な権限が必要です。

ユーザーの Windows システムがドメインに参加している場合と参加していない場合があるときには、

コネクタがアカウントベースのアクセス用に構成されている限り、COPY_TO_LOCAL モードを使用し AUTO_TRY_HTTP オプションを有効にしてクライアントをインストールできます。

この構成では、クライアントはまず

COPY_TO_LOCAL モードを使用して、パッケージをダウンロードしようとします。このとき Windowsシステムがドメインに参加していない場合、パッケー

ジをコピーしようとするその試みは失敗します。た

だし、AUTO_TRY_HTTP オプションが有効な場合は、クライアントは直ちに HTTP を使用してパッケージをダウンロードしようと試みます。

COPY_TO_LOCAL と AUTO_TRY_HTTP のこの組み合わせは、クライアントのインストーラプログラムのグラフィカルバージョンを実行して VMwareIdentity Manager Desktop アプリケーションをWindows システムにインストールするときのデフォルトです。

HTTP_DOWNLOAD モードを使用したパッケージのダウンロードの試みが成功するために、コネクタ

はアカウントベースのアクセス用に構成されている必要があります。

重要: HTTP_DOWNLOAD モードでは、ユーザーの Windows マシンから IDP URL にアクセスできる必要があります。RUN_FROM_SHARE およびCOPY_TO_LOCAL モードでは、ユーザーのWindows マシンから ThinApp 共有にアクセスできる必要があります。

さらに、ThinApp パッケージリポジトリは、説明された状況に従い、次の条件を満たす必要があります。

n 設定に Active Directory ドメインに参加しているシステムが含まれる場合、不整合のある名前空間により、ThinApp パッケージをホストするネットワーク共有へのドメインメンバーコンピュータからのアクセスが妨げられないことを確認します。不整合のある名前空間は、Active Directory ドメイン名が、そのドメイン内のマシンが使用する DNS 名前空間と異なる場合に発生します。

n ネットワーク共有のファイル権限と共有権限は、アプリケーションを実行する機能と読み取りアクセス権を、

COPY_TO_LOCAL または RUN_FROM_SHARE オプションを使用して ThinApp アプリケーションを実行するユーザーに提供するように構成する必要があります。


VMware, Inc. 85

たとえば、ThinApp アプリケーションをストリーミングモードで実行するユーザーの Active Directory ユーザーアカウントの場合、共有フォルダの権限を [読み取り] に、NTFS 権限を [読み取りと実行] に設定することで、アプリケーションを実行する機能と読み取りアクセス権をそれらのユーザーに提供できます。

[読み取りと実行] の NTFS 権限の設定は、ThinApp のストリーミングモードを使用した ThinApp アプリケーションの実行に必要です。これは、VMware Identity Manager Desktop アプリケーションのRUN_FROM_SHARE インストールモードに対応します。組織で NTFS 権限を [読み取り] に設定する必要がある場合、ユーザーは仮想アプリケーションに対して ThinApp ダウンロードモードを使用できます。ThinApp ダウンロードモードは、COPY_TO_LOCAL インストールモードまたは HTTP_DOWNLOAD インストールモードのどちらかを使用した Windows クライアントのインストールに対応します。どちらのインストールモードを使用しても、アプリケーションは Windows システムにダウンロードされ、ローカルで起動されます。

CIFS および DFS ネットワーク共有のどちらでも、ThinApp パッケージは、名前空間の直下のサブディレクトリではなく、名前空間の下のディレクトリ内の個別のサブディレクトリに配置する必要があります。たとえ

ば、\\server\appshare\thinapp1、 \\server\appshare\thinapp2 などです。「VMware

Identity Manager が管理する ThinApp パッケージのためのネットワーク共有の作成」を参照してください。

VMware Identity Manager が管理する ThinApp パッケージのためのネットワーク共有の作成

VMware Identity Manager の VMware ThinApp 管理機能を有効にして、ユーザーがカタログから ThinApp パッケージにアクセスできるようにするには、ネットワーク共有を作成し、ThinApp パッケージをそのネットワーク共有フォルダに格納する必要があります。

VMware Identity Manager は、ThinApp パッケージに関して必要なメタデータをネットワークファイル共有から取得します。

前提条件

n ThinApp パッケージが VMware Identity Manager の要件を満たしていることを確認します。

n ThinApp パッケージ用に VMware Identity Manager の要件を満たすネットワークファイル共有を IT 環境内に作成するのに必要な、アクセスと権限を持っていることを確認します。

手順

1 ThinApp パッケージ用に VMware Identity Manager の要件を満たすネットワーク共有を作成します。

2 ネットワーク共有で、ThinApp パッケージごとにネットワーク共有サブフォルダを作成します。

通常、サブフォルダには ThinApp アプリケーションと一致する名前を付けるか、フォルダ内のアプリケーションを特定できる名前を付けます。たとえば、server というホスト上のネットワーク共有が appshare で、ア

プリケーションが abceditor の場合、ThinApp パッケージのサブフォルダ

は \\server\appshare\abceditor です。

注: VMware Identity Manager を使用して ThinApp パッケージを配布するためにネットワーク共有サブフォルダを作成する場合は、その名前に ASCII 以外の文字を使用しないでください。ASCII 以外の文字はサポートされていません。


VMware, Inc. 86

3 ThinApp パッケージごとに、そのファイル（EXE および DAT ファイル）を、そのパッケージの仮想アプリケーションに対応する名前が付いているサブフォルダにコピーします。

ファイルをコピーした後、以下のような、サブフォルダとファイルのセットが設定されます。

n \\server\appshare\abceditor\abceditor.exe

n \\server\appshare\abceditor\abceditor.dat

次のステップ

VMware Identity Manager から ThinApp パッケージへのアクセスを構成します。

VMware Identity Manager から ThinApp パッケージへのアクセスの構成ユーザーが ThinApp パッケージにアクセスできるように VMware Identity Manager を構成するには、パッケージの保存場所へのパス、同期に使用するコネクタ、同期スケジュールなどの構成情報を含む仮想アプリケーションのコ

レクションを作成します。

すべての ThinApps 統合に対して単一の仮想アプリケーションのコレクションのみ作成できます。

前提条件

n 適切な構成でネットワーク共有を作成し、そのネットワーク共有内の適切な場所に ThinApp パッケージを格納します。「VMware Identity Manager が管理する ThinApp パッケージのためのネットワーク共有の作成」を参照してください。

n ThinApp パッケージが置かれているネットワーク共有フォルダへの UNC パスがあることを確認します。

n コネクタがまだドメインに参加していない場合は、Active Directory ドメイン名と、そのドメインに参加する権限を持つ Active Directory 内のアカウントのユーザー名とパスワードがあることを確認します。アカウントベースのアクセスを使用する場合でも、VMware Identity Manager コンソールでは、[ThinApp パッケージ] ページを使用する前に [ドメインに参加] ページを完了する必要があります。

ドメインベースのアクセスを有効にするには、ThinApp パッケージリポジトリが参加しているのと同じ ActiveDirectory ドメインにコネクタも参加させる必要があります。ネットワーク共有が使用するドメイン用の ActiveDirectory ドメイン名と、そのドメインに参加する権限を持つ Active Directory 内のアカウントのユーザー名とパスワードがあることを確認します。この Active Directory アカウントは、コネクタをドメインに参加させるのに使用されます。

n アカウントベースのアクセスを有効にする場合は、ネットワーク共有を読み取る権限があるユーザー名とパスワードがあることを確認します。「ThinApp パッケージおよびネットワーク共有リポジトリのための VMwareIdentity Manager の要件」を参照してください。

注: すべての実行状況に対して ThinApp パッケージの使用をドメインに参加している Windows システムに制限する必要がない限り、ドメインベースのアクセスに加えてアカウントベースのアクセスも有効にする必要があります。この組み合わせは、ユーザーが Windows システムをドメインに参加させずに使用資格が付与されたThinApp パッケージを使用する必要がある実行状況をサポートするための、最高の柔軟性を提供します。

n カタログサービスで ThinApps の管理アクションを実行できる管理者ロールを使用する必要があります。


VMware, Inc. 87

手順

1 VMware Identity Manager Linux コネクタがまだドメインに参加していない場合は、Active Directory ドメインに参加させます。

VMware Identity Manager の展開では、ロードバランシングなどのシナリオで複数のコネクタインスタンスを使用できます。この手順で設定するコネクタインスタンスは、ThinApp パッケージとVMware Identity Manager を同期させるインスタンスになります。

a VMware Identity Manager コンソールにログインします。

b [ID とアクセス管理] タブを選択します。

c [セットアップ] をクリックします。

d [コネクタ] ページの適切なコネクタ行で [ドメインに参加] をクリックします。

e [ドメインに参加] ページで、Active Directory ドメインの情報を入力し、[ドメインに参加] をクリックします。

重要: Active Directory（AD）ドメイン名、AD ユーザー名または AD パスワードを入力する場合は、ASCII以外の文字を使用しないでください。VMware Identity Manager コンソールのこれらのエントリフィールドでは、ASCII 以外の文字がサポートされていません。


AD ドメイン Active Directory の完全修飾ドメイン名を入力します。たとえば、HS.TRDOT.COM と

入力します。

AD ユーザー名システムを Active Directory ドメインに参加させる権限を持つ、Active Directory 内のアカウントのユーザー名を入力します。

AD パスワード [AD ユーザー名] と関連付けられているパスワードを入力します。このパスワードがVMware Identity Manager によって保存されることはありません。

[ドメインに参加] ページが更新され、現在ドメインに参加していることを伝えるメッセージが表示されます。



4 ソースタイプとして [ThinApp パッケージ] を選択します。

5 新しい ThinApp コレクションウィザードで、[コネクタ] ページに次の情報を入力します。


名前 ThinApp コレクションの一意の名前を入力します。







VMware, Inc. 88

7 [構成] ページに必要な情報を入力します。


パス ThinApp パッケージのフォルダが置かれている共有フォルダのパス。UNC パス形式(\\server\share\subfolder) で入力します。

例：\\<DirectoryHost>\<ThinAppFileShare>。<DirectoryHost> には、IP

アドレスではなく、ホスト名を指定します。

CIFS と DFS の両方のネットワーク共有について、このパスは、名前空間自体ではなく、名前空間の下のディレクトリである必要があります。

アカウントベースアクセスの有効化以下の場合は、アカウントベースのアクセスが必要です。

n NetApp ストレージシステムおよびその他の DFS ネットワーク共有のブランドの場合

n HTTP ダウンロード展開モードを使用している場合

n ドメインに参加していない Windows システムで、ユーザーが資格のある ThinApp パッケージを使用できるようにする場合

共有のユーザーネットワーク共有への読み取りアクセス権を持つユーザーアカウントのユーザー名。

保存された ThinApp パッケージへのアカウントベースのアクセスを有効にするには、共有のユーザーが必要です。

共有のパスワード [共有のユーザー] ユーザーアカウントと関連付けられているパスワード。









9 [サマリ] ページで選択内容を確認し、[保存] をクリックします。

コレクションが作成され、[仮想アプリケーションのコレクション] ページに表示されます。アプリケーションはまだ同期されていません。

10 コレクション内のアプリケーションを同期するには、[仮想アプリケーションのコレクション] ページでコレクションを選択し、[同期] をクリックします。

ThinApp アプリケーションが変更されるたびに、同期を実行して VMware Identity Manager に変更内容を伝達する必要があります。


VMware, Inc. 89

これで VMware Identity Manager は、グループおよびユーザーに ThinApp パッケージへの資格を付与できるように構成されました。また、それらのユーザーは、自分が資格を持つ ThinApp パッケージを、自分の Windows システムにインストールされた VMware Identity Manager Desktop アプリケーションを使用して実行できるようになります。

次のステップ

ThinApp パッケージに対する資格をグループおよびユーザーに付与します。

ユーザーおよびグループに ThinApp パッケージの使用資格を付与ThinApp パッケージとしてキャプチャされる Windows アプリケーションの使用資格をユーザーおよびグループに付与できます。

ThinApp パッケージの使用資格を付与できるのは、VMware Identity Manager ユーザー（ディレクトリサーバからインポートされたユーザー）だけです。ThinApp パッケージの使用資格をユーザーに付与すると、ユーザーのシステムでアプリケーションが表示され、VMware Identity Manager Desktop アプリケーションからアプリケーションを起動できるようになります。使用資格を削除すると、アプリケーションが表示されなくなり、起動できなくなり

ます。

多くの場合、ユーザーに ThinApp パッケージの使用資格を付与する方法として最も効果的なのは、ユーザーのグループに ThinApp パッケージの使用資格を追加することです。場合によっては、ThinApp パッケージの使用資格を個々のユーザーに付与する方が適切なこともあります。

前提条件

[カタログ] - [仮想アプリケーションのコレクション] ページから ThinApp パッケージの仮想アプリケーションのコレクションを設定します。コレクションを作成したら、VMware Identity Manager に ThinApp パッケージを同期します。ThinApp パッケージをカタログに同期する際に、ユーザーとグループに使用資格を付与できます。

手順



VMware, Inc. 90

2 ユーザーに ThinApp パッケージの使用資格を付与します。


ThinApp パッケージにアクセスし、ユーザーまたはグループにその使用資格を付与する。


b (オプション) [タイプ] 列見出しのアイコンをクリックし、[ThinApp パッケージ] を選択して、すべての ThinApp パッケージを表示します。ThinApp パッケージを名前で検索することもできます。

c パッケージをクリックします。

d [割り当て] をクリックします。

e ユーザーおよびグループを選択するには、検索ボックスに名前を入力して、検索結果か

ら選択します。

f 各ユーザーおよびグループの展開の種類を選択します。

[ユーザーによるアクティベーション] または [自動] のどちらのオプションを選択したかに関係なく、アプリケーションは Workspace ONE ポータルまたはアプリケーションの[カタログ] ページに追加されます。ユーザーは、[カタログ] ページからアプリケーションを実行したり、アプリケーションをブックマークして [ブックマーク] ページから実行したりすることができます。ただし、アプリケーションの承認フローを設定する場合は、

[ユーザーによるアクティベーション] を選択します。

g [保存] をクリックします。

ユーザーまたはグループにアクセスし、そのユー

ザーまたはグループに ThinApp パッケージの使用資格を付与する。

a [ユーザー & グループ] タブをクリックします。



d [アプリ] タブをクリックし、[資格を追加] をクリックします。

e [アプリケーションタイプ] ドロップダウンリストで、[ThinApp パッケージ] を選択します。

f ユーザーまたはグループに使用資格を付与する ThinApp パッケージの横のチェックボックスをオンにします。

g [展開] 列で、ThinApp パッケージをアクティブ化する方法を選択します。


h [保存] をクリックします。

選択したユーザーまたはグループに、ThinApp パッケージの使用資格が付与されました。

次のステップ

VMware Identity Manager Desktop アプリケーションがユーザーの Windows システムにインストールされていることを確認します。

VMware Identity Manager による ThinApp パッケージの配布と管理VMware Identity Manager を使用して登録した ThinApp パッケージを VMware Identity Manager ユーザーが実行できるようにするには、ユーザーの Windows システムに VMware Identity Manager Desktop アプリケーションがインストールされ実行されている必要があります。


VMware, Inc. 91

ThinApp パッケージは、仮想 Windows アプリケーションです。ThinApp パッケージが Windows システムに配布されると、Windows システムにログインしたユーザーは、Windows システムに登録されたそれらの ThinApp パッケージを起動および実行することができます。VMware Identity Manager を使用して、VMware Identity Managerと互換性のある ThinApp パッケージを配布および管理できます。

ユーザーによる Windows ログインセッションでこれらの仮想アプリケーションのいずれかが正常に起動および実行されるためには、次の要素が必要となります。

n そのユーザーが使用するために、仮想アプリケーションの ThinApp パッケージが、VMware Identity Managerにより登録されている。

n 使用される Windows システムで特定の DLL が利用できる。

n hws-desktop-client.exe プロセスが実行中である。

互換性のある ThinApp パッケージが作成されると、ログインユーザーがログインした Windows セッションで仮想アプリケーションを起動したときに、特定の DLL をロードするよう構成されます。このとき、仮想アプリケーションにより DLL のロードが試行されます。DLL がロードされると、ローカルにインストールされている VMware IdentityManager Desktop アプリケーションにより、その ThinApp パッケージが Windows デスクトップでそのユーザーに対して登録されているかどうかを検証しようとします。ローカルにインストールされている VMware IdentityManager Desktop アプリケーションは、VMware Identity Manager と通信せずに、そのアプリケーションがユーザーに対して登録されているかどうかを判断します。アプリケーションが Windows デスクトップでそのユーザーに対して登録されている場合、VMware Identity Manager Desktop アプリケーションは、VMware Identity Managerと最後に同期された時期を確認します。VMware Identity Manager Desktop アプリケーションより、最後の同期後の経過時間が、インストールされているクライアントに対して構成されたオフライン猶予期間内であることが確認さ

れると、クライアントはアプリケーションの実行を許可します。

Windows システムでこの DLL が使用されるのは、VMware Identity Manager Desktop アプリケーションがインストールされている場合のみであり、VMware Identity Manager Desktop アプリケーションがそのシステム上で実行されている場合は、hws-desktop-client.exe プロセスが実行中であるため、VMware Identity Manager

Desktop アプリケーションを Windows システムにインストールして、VMware Identity Manager によって配布および管理される ThinApp パッケージを実行する必要があります。

ThinApp パッケージを使用するための VMware Identity Manager Desktop アプリケーションの展開

VMware Identity Manager Desktop アプリケーションは、そのインストーラ EXE ファイルをダブルクリックする、コマンドラインオプションを使用して実行可能ファイルを実行する、またはコマンドラインオプションを使用するスクリプトを実行するのいずれかの方法よりインストールできます。アプリケーションをインストールするには、ロー

カルの管理者権限が必要です。インストーラの EXE ファイルをダブルクリックして VMware Identity ManagerDesktop アプリケーションをインストールする方法については、『VMware Identity Manager ユーザーガイド』を参照してください。

インストールしたアプリケーションの構成により、VMware Identity Manager が配布する ThinApp パッケージをWindows システムに展開する方法が決まります。デフォルトでは、インストーラの EXE ファイルをダブルクリックして VMware Identity Manager Desktop アプリケーションをインストールすると、クライアントはAUTO_TRY_HTTP オプションが有効な COPY_TO_LOCAL 展開モードで ThinApp パッケージを展開するように構成されます。このデフォルトのインストーラオプションの結果、いわゆるダウンロード展開モードになります。


VMware, Inc. 92

COPY_TO_LOCAL と AUTO_TRY_HTTP を使用するデフォルト設定では、クライアントアプリケーションはまずWindows システムのエンドポイントに ThinApp パッケージをコピーする方法で、ThinApp パッケージをダウンロードしようとします。この方法が失敗すると、クライアントアプリケーションは HTTP を使用して ThinApp パッケージをダウンロードします。

ThinApp リポジトリにアカウントを使用してアクセスするようにコネクタを構成している場合、クライアントアプリケーションは HTTP を使用して ThinApp パッケージをダウンロードできます。ThinApp パッケージをローカルWindows システムにダウンロードしたら、ローカルシステムで仮想アプリケーションを実行します。

仮想アプリケーションをローカル Windows システムにダウンロードすると Windows システムの領域が使用されるので、これを避けるため、ユーザーがいわゆるストリーミング展開モードを使用してネットワーク共有から ThinAppパッケージを実行するように設定できます。ユーザーがストリーミングモードを使用して ThinApp パッケージを実行できるようにするには、コマンドラインインストールプロセスを使用して Windows システムに VMware IdentityManager Desktop アプリケーションをインストールする必要があります。インストーラには、ThinApp パッケージにランタイム展開モードを設定するために使用するコマンドラインオプションが用意されています。ランタイム展開モードを設定して ThinApp パッケージをストリームするには、RUN_FROM_SHARE インストーラオプションを使用します。

VMware Identity Manager Desktop アプリケーションを複数の Windows システムにインストールする 1 つの方法として、スクリプトを使用してアプリケーションを Windows システムにサイレントインストールします。同時に複数の Windows システムにクライアントをサイレントインストールできます。

注: サイレントインストールプロセス中は、メッセージやウィンドウは表示されません。

スクリプトを使用してインストールしたクライアントが、ThinApp パッケージの展開に ThinApp ダウンロードモード（COPY_TO_LOCAL オプションや HTTP_DOWNLOAD オプションなど）のいずれか、ThinApp ストリーミングモード、または RUN_FROM_SHARE オプションを使用するかどうかを示す値をスクリプトに設定します。

Windows エンドポイント上の ThinApp パッケージに適切な展開モードの決定

Windows エンドポイントの VMware Identity Manager Desktop アプリケーションの構成により、VMware Identity Manager を使用して配布される ThinApp パッケージの展開に、ThinApp ダウンロードモードのいずれか（COPY_TO_LOCAL または HTTP_DOWNLOAD）、ThinApp ストリーミングモード、またはRUN_FROM_SHARE を使用するかどうかが決まります。デスクトップコンピュータやラップトップコンピュータなどの Windows エンドポイントに VMware Identity Manager Desktop アプリケーションをサイレントインストールするスクリプトを作成する場合は、ThinApp パッケージ展開モードを設定するオプションを指定します。ネットワークレイテンシなどを考慮しながら、選択したエンドポイントのネットワーク環境に最適な展開モードを選択します。

ストリーミングモードでは、VMware Identity Manager Desktop アプリケーションを VMware Identity Managerと同期するときに、クライアントが ThinApp パッケージの仮想 Windows アプリケーションのアプリケーションショートカットを Windows デスクトップにダウンロードします。ユーザーが ThinApp パッケージを起動すると、仮想 Windows アプリケーションは ThinApp パッケージが配置されているファイル共有で実行されます。

そのため、ストリーミングモードは、複数のユーザーが共有する Windows デスクトップなどのネットワーク共有に常に接続するシステム用に最適です。


VMware, Inc. 93

ダウンロードモードでは、最初に ThinApp パッケージを使用または更新するときに、まず ThinApp パッケージがWindows システムにダウンロードされ、その後ショートカットが作成されるまで待機する必要があります。初回ダウンロードが終了したら、ローカル Windows システムで仮想 Windows アプリケーションを起動して実行します。

重要: HTTP_DOWNLOAD モードでは、ユーザーの Windows マシンから IDP URL にアクセスできる必要があります。RUN_FROM_SHARE および COPY_TO_LOCAL モードでは、ユーザーの Windows マシンから ThinApp 共有にアクセスできる必要があります。


VMware, Inc. 94

表 6‑1. ThinApp パッケージとしてキャプチャされた仮想アプリケーションの ThinApp 展開モード

モード説明

ThinApp ストリーミングモード

ThinApp ストリーミングモードでは、仮想アプリケーションは起動のたびにストリームされます。この方法では、仮想アプリケーションをデスクトップにコピーする際に使用されるはずのデスクトップのディスク容量を使用せず

に済みます。アプリケーションを実行するには、デスクトップが ThinApp パッケージのネットワーク共有に接続されている必要があります。

次のような環境では、必要とされる一貫性と安定性がもたらされる可能性が高くなります。

複数ユーザーが共有する Windows デスクトップを使用するユーザー。この場合は、ダウンロードしたユーザー固有のアプリケーションがディクスで蓄積されるのを回避できます。また、ダウンロードによる遅れを生じさせるこ

となく、ユーザーに固有のアプリケーションに迅速にアクセスできます。

Windows システムにログインするために使用するアカウントは、ネットワーク共有から ThinApp パッケージを取得する際に使用します。そのアカウントには、ネットワーク共有からファイルを読み取って実行するための適切な

権限が必要です。

ThinApp ダウンロードモード

ThinApp ダウンロードモードでは、アプリケーションは Windows エンドポイントにダウンロードされます。ユーザーは、エンドポイントでローカルに仮想アプリケーションを実行します。次のような状況では、ThinApp ダウンロードモードをお勧めします。

n 定期的にオフラインになる LAN 接続型デスクトップを使用している

n ネットワークレイテンシが貧弱な LAN を使用している

VMware Identity Manager では、次の 2 種類の ThinApp ダウンロードモードが提供されます。COPY_TO_LOCAL および HTTP_DOWNLOAD。クライアントに COPY_TO_LOCAL を設定した場合、AUTO_TRY_HTTP オプションを有効にして、ThinApp パッケージのネットワーク共有にアカウントを使用してアクセスするようにコネクタを構成している場合を除き、Windows エンドポイントはファイル共有と同じドメインに参加する必要があります。

AUTO_TRY_HTTP オプションが有効で、アカウントを使用してアクセスするようにコネクタを構成している場合に、Windows エンドポイントが同じドメインに参加していなかったり、ThinApp パッケージの初回ダウンロードに失敗すると、VMware Identity Manager Desktop アプリケーションは、HTTP_DOWNLOAD モードで HTTPプロトコルを使用して ThinApp パッケージを自動的にダウンロードします。HTTP_DOWNLOAD を使用する場合、Windows エンドポイントはファイル共有と同じドメインに参加する必要はありません。ただし、HTTP_DOWNLOAD を使用する場合のコピーおよび同期にかかる時間は、COPY_TO_LOCAL を使用する場合に比べてかなり長くなります。

重要: VMware Identity Manager で、アカウントを使用するアクセスが有効になっていないと、AUTO_TRY_HTTPが有効な場合やクライアントが HTTP_DOWNLOAD オプションを使用して設定されている場合でも、HTTP プロトコルを使用するダウンロードは動作しません。

COPY_TO_LOCAL を使用する場合は、Windows システムにログインするために使用するアカウントをネットワーク共有から ThinApp パッケージを取得する際に使用します。そのアカウントには、ネットワーク共有からファイルを読み取ってコピーするための適切な権限が必要です。HTTP_DOWNLOAD を使用する場合、コネクタからThinApp パッケージのネットワーク共有へのアクセスを構成するときに VMware Identity Manager コンソールに入力する共有ユーザーアカウントは、ThinApp パッケージのダウンロードに使用するアカウントです。共有ユーザーアカウントには、ネットワーク共有からファイルをコピーするために、ThinApp パッケージのネットワーク共有の読み取り権限が必要です。

ThinApp パッケージのネットワーク共有は、Windows エンドポイントに対して設定されている展開モードの適切な要件を満たしている必要があります。VMware Identity Manager インストールと構成を参照してください。

オフライン猶予期間と ThinApp パッケージオフライン猶予期間とは、VMware Identity Manager と同期せずに、仮想アプリケーションを Windows システムで起動して実行できる期間です。


VMware, Inc. 95

ThinApp パッケージは仮想 Windows アプリケーションであり、VMware Identity Manager はこれらのアプリケーションを Windows システムに配布できます。VMware Identity Manager が Windows システムにログインしたユーザーのために初めて ThinApp パッケージを Windows システムに配布するときに、パッケージの仮想アプリケーションが、そのユーザーが使用するためにその Windows システムに登録されます。適切なショートカットが Windowsデスクトップに追加され、そのシステムにインストールされている標準の Windows アプリケーションと同様に、ショートカットを使用して仮想アプリケーションを起動できます。

VMware Identity Managerによって Windows システムに展開されたいずれかの仮想アプリケーションを起動すると、ThinApp パッケージはシステムで稼働している ThinApp エージェントからの実行権限を要求します。ThinAppエージェントは次の条件を確認します。

n アプリケーションが、ログインユーザーのためにこの Windows デスクトップに登録されているかどうかを確認します。

n Windows システムが、許可されたオフライン猶予期間内に VMware Identity Manager と同期されているかどうかを確認します。

これらの条件が両方とも満たされている場合、ThinApp エージェントは仮想アプリケーションの実行を許可します。

VMware Identity Manager Desktop アプリケーションが VMware Identity Manager と同期する頻度は、POLLINGINTERVAL インストーラオプションで設定されます。デフォルトでは、頻度は 5 分おきです。オフライン猶予期間は、デフォルトでは 30 日間に設定されます。Windows システムにおいて 30 日の期間内の任意の時点でVMware Identity Manager に接続するためのネットワーク接続が確立されている場合、アプリケーションをVMware Identity Manager と同期し、仮想アプリケーションを実行できます。

ただし、Windows システムで VMware Identity Manager に接続するためのネットワーク接続が確立されていない場合、アプリケーションを VMware Identity Manager と同期できません。オフライン猶予期間で設定された期間まで、この Windows システムに登録されている仮想アプリケーションを切断されたシステム上で実行できます。

VMware Identity Manager に展開後の管理対象 ThinApp パッケージの更新

ThinApp パッケージを組織のカタログに追加し、VMware Identity Manager ユーザーにその ThinApp パッケージの使用資格を付与すると、現在のパッケージからユーザーの使用資格を解除するとに新しいパッケージの使用資格を

付与しなくても、そのパッケージを更新すればユーザーは新しい（再作成された）バージョンの ThinApp パッケージを使用できます。

そのパッケージの新しいバージョンの Windows アプリケーションがリリースされたり、アプリケーションのパッケージャでパッケージによって使用されるパラメータ値が変更されたために、更新済み ThinApp パッケージが提供されることがあります。

ThinApp 4.7.2 以降のバージョンでは、VMware Identity Manager で使用される ThinApp パッケージの更新メカニズムが用意されています。この ThinApp 更新メカニズムは、VMware Identity Manager 環境外で使用される他の ThinApp パッケージ用の更新メカニズムとは異なります。VMware Identity Manager に更新済みパッケージを展開し、ユーザーに自動的に新規バージョンが表示されるようにするには、更新済み ThinApp パッケージをこのメカニズムで更新する必要があります。


VMware, Inc. 96

VMware Identity Manager で管理される ThinApp パッケージの場合、VMware Identity Manager で 2 つのPackage.ini パラメータを使用して、パッケージが他のパッケージの更新バージョンかどうかが判断されます。

AppID VMware Identity Manager 内の ThinApp パッケージの一意の ID。パッケージのアプリケーションのすべてのエントリポイント（実行可能ファイル）に、同じ AppIDが割り当てられます。ThinApp パッケージを組織の VMware Identity Manager カタログと同期すると、パッケージの AppID が ThinApp パッケージのリソースペー

ジの GUID 列に表示されます。この値は、次の例のように各セットがダッシュで区切られた、キャラクタセットのパターンの英数字で構成されます。

XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX

VMware Identity Manager では、同じ AppID の ThinApp パッケージは同じアプ

リケーションバージョンであると見なされます。

VersionID ThinApp パッケージのバージョン番号。VMware Identity Manager ではVersionID を使用して、さまざまなバージョンの管理対象 ThinApp パッケージ

を追跡します。VersionID 値を 1 ずつ増やすことで、同じ AppID を保持しなが

ら、ThinApp パッケージが他のパッケージの更新版であることを示します。

更新済みパッケージは、管理対象 ThinApp パッケージ用に構成されたネットワーク共有フォルダの新規フォルダに置きます。『VMware Identity Manager のインストールと構成』を参照してください。VMware Identity Managerがネットワーク共有フォルダでスケジュール設定された同期を実行する際、他のアプリケーションと同じ AppID を

持つアプリケーションを検出すると、VersionID の値を比較します。最も VersionID の値が大きい ThinApp

パッケージが最新の更新として使用されます。VMware Identity Manager により、前のユーザーの使用資格が最もVersionID の値が大きい ThinApp パッケージに自動的に組み込まれて、ユーザーのシステムのショートカットが

更新済みパッケージを参照するように同期されます。

重要: 管理対象 ThinApp パッケージを正常に更新するには、標準の ThinApp InventoryName パラメータが重

要です。以前の ThinApp パッケージと更新済み ThinApp パッケージの InventoryName パラメータは、同じ値

であることが必要です。ThinApp パッケージを作成するユーザーがパッケージで InventoryName を変更してか

ら更新済みパッケージを作成する場合、InventoryName 値が VMware Identity Manager で適切に機能するに

は、値が更新版と一致している必要があります。

ThinApp パッケージの Package.ini ファイルで使用されるさまざまなパラメータの詳細については、『ThinAppPackage.ini パラメータリファレンスガイド』を参照してください。

管理対象 ThinApp パッケージの更新VMware Identity Manager によってすでに管理され、組織のカタログに含められている ThinApp パッケージの更新は、複数の手順で構成されます。更新済み ThinApp パッケージは、組織内の別のグループが指定することもあります。VMware Identity Manager で、使用資格が付与されたユーザー用の既存のパッケージの代わりに自動的に更新済みパッケージを利用できるようにするには、更新済みパッケージが現在のパッケージと同じ AppID を使用して

作成され、既存のパッケージの VersionID 値よりも大きい VersionID 値を持ち、VMware Identity Manager で

管理できることを確認する必要があります。


VMware, Inc. 97

前提条件

管理対象 ThinApp パッケージが配置されている場所へのアクセス権があり、その場所にサブフォルダを作成できることを確認します。

次のステップ

VMware Identity Manager カタログには、次回の ThinApp パッケージの同期後に、更新された ThinApp パッケージの新バージョンが表示されます。ThinApp パッケージのリソースページに反映された新しいバージョンを確認するには、VMware Identity Manager コンソールの [パッケージ化されたアプリ - ThinApp] ページを使用して手動で同期します。

管理対象 ThinApp パッケージの AppID 値と VersionID 値の取得

VMware Identity Manager で、現在のパッケージの代わりに自動的に更新済み ThinApp パッケージが使用されるようにするには、更新済み ThinApp パッケージが、現在の管理対象 ThinApp パッケージの AppID と現在のバー

ジョンよりも大きい VersionID 値を使用して作成されている必要があります。

Setup Capture プロセスを使用して更新済み ThinApp パッケージを作成する場合、Setup Capture プログラムで既存の ThinApp パッケージの実行可能ファイルから AppID 値が自動的に取得され、VersionID 値が自動的に増

分されます。しかし、更新済み ThinApp パッケージを作成するユーザーが、別の方法で更新済みパッケージを作成することもあります。更新済み ThinApp パッケージの作成に Setup Capture プロセスを使用しない場合、パッケージを作成するユーザーは、現在 VMware Identity Manager で管理されている ThinApp パッケージの AppID 値と

VersionID 値を取得する必要があります。AppID 値および VersionID 値は、VMware Identity Manager コ

ンソールで、ThinApp パッケージのリソースページ内の各ページに表示されます。

手順


2 (オプション) [タイプ] 列見出しのアイコンをクリックし、パッケージを名前で検索するか、[ThinApp パッケージ] を選択して、すべての ThinApp パッケージを表示します。

3 ThinApp パッケージをクリックします。

4 次の値をメモしておきます。

n ページの [定義] セクションの [バージョン] の値。

n [ThinApp パッケージ] セクションの [GUID] 列にリストされている AppID の値。

GUID 列に表示された値は、VMware Identity Manager がこの ThinApp パッケージを識別するのに使用する値です。

次のステップ

更新された ThinApp パッケージを作成するには、「更新 ThinApp パッケージの作成」の手順を実行します。

更新 ThinApp パッケージの作成

現在管理されている ThinApp パッケージの AppID 値と VersionID 値は、更新済みパッケージの作成に使用され

ます。更新済みパッケージは、同一の AppID 値と、現行パッケージより大きな VersionID 値を使用します。


VMware, Inc. 98

更新済み ThinApp パッケージは、組織内の別のチームが管理者に提供することもあります。更新済み ThinApp パッケージの作成者は、次に示すいずれかの方法を使用できます。

前提条件

「管理対象 ThinApp パッケージの AppID 値と VersionID 値の取得」に示されている手順を実行し、現在の ThinAppパッケージの AppID 値と VersionID 値を把握していることを確認します。

VMware Identity Manager のバージョンと互換性のあるバージョンの ThinApp プログラムを所有していることを確認します。個々の ThinApp バージョンの詳細については、「VMware 製品の相互運用性マトリックス」（http://www.vmware.com/resources/compatibility/sim/interop_matrix.php）を参照してください。


VMware, Inc. 99

手順

u VMware Identity Manager でサポートされているバージョンの ThinApp プログラムを使用し、使用できるいずれかの方法を使用して更新済み ThinApp パッケージを作成します。


Setup Capture を使用して再キャプチャする。この方法は、VMware Identity Manager で管理されている既存の ThinApp パッケージのプロジェクトフォルダが使用できない場合に使用します。Setup Capture を使用して更新済みパッケージを作成する場合に必要となるのは、次のアイテムだけです。

n 既存の ThinApp パッケージのアプリケーション実行ファイル

n アプリケーションインストーラ

n Setup Capture と、VMware Identity Manager でサポートされているバージョンのThinApp プログラム

キャプチャプロセスで、パッケージを VMware Identity Manager で管理することと、パッケージが既存のベース ThinApp パッケージの更新版であることを選択します。現在管理されている ThinApp パッケージの実行ファイルが入っているフォルダを参照します。（特定の実行ファイルではなく）そのフォルダをポイントします。

この方法では、更新済みパッケージを作成する前に AppID 値または VersionID 値を取

得する必要はありません。Setup Capture でパッケージを更新版として指定し、以前のバージョンをポイントすると、キャプチャプロセスによって以前のパッケージの AppID が読み

取られ、更新済みパッケージのために再使用されます。またこのプロセスでは、更新済みパッ

ケージ用に現行パッケージよりも大きい VersionID が指定され、同一の

InventoryName も割り当てられます。

Package.ini ファイルを手動で更新し、続いてパッケージを再構築します。

この方法は、再キャプチャプロセス用のアプリケーションインストーラを所有していない場合や、パッケージを新しい ThinApp バージョンに更新する必要があり、relink コマンド

の処理能力を超えた更新作業を行う場合に使用します。パッケージの再構築では、ファイル

システムとレジストリに対して新バージョンの ThinApp で提供される変更が加えられます。このため、再構築では、管理者が設定する新しい Package.ini パラメータが新しい ThinAppバージョンによって提供される時点などにそれらの変更をピックアップします。

新しいパッケージを更新版としてマークするには、Package.ini ファイルの [Build

Options] セクションにある次の VMware Identity Manager パラメータを編集します。

n AppID パラメータを、現在管理されている ThinApp アプリケーションの AppID 値

と一致するように設定します。genid の値（AppID で使用）を再使用することはでき

ません。これは、この値を再使用すると更新済みパッケージ用として新しい AppID 値

が生成され、VMware Identity Manager が新しいパッケージを既存パッケージの更新版として認識しないためです。

n 現在管理されている ThinApp パッケージよりも大きい整数となるように VersionID

パラメータの値を増やします。現在管理されているパッケージに VersionID パラメー

タが設定されていない場合、そのデフォルト値は 1 です。VersionID パラメータ用の

行を Package.ini に 1 つ追加し、これを値 2 に設定します（VersionID = 2）。

n InventoryName パラメータ値が現在管理されているパッケージの

InventoryName 値と一致することを確認します。現在のパッケージと更新済みパッ

ケージの InventoryName 値は同じでなければなりません。

AppID オプションと VersionID オプションを指定して relink -h コマンドを使用する。

この方法は、次に示す状況のいずれかに相当する場合に使用します。

n アプリケーション用のプロジェクトフォルダが存在しない。

n VMware Identity Manager 環境外でパッケージのキャプチャ、構築、テストが完了しており、残る作業は更新済みパッケージを VMware Identity Manager 用として有効化し、このパッケージをコネクタで使用されているネットワーク共有に配置することだけである。


VMware, Inc. 100


n パッケージを更新するのはその ThinApp ランタイムを更新して新しい ThinApp バージョンで使用できるバグ修正を適用するためだけである。

たとえば、仮想アプリケーションのために Package.ini ファイルも含めてプロジェクトディレクトリを変更し、パッケージを再構築し、パッケージをテストしたが、テスト環境は

VMware Identity Manager ではなかったという場合が考えられます。アプリケーション更新の最終段階として、そのアプリケーションを VMware Identity Manager 用として有効化する必要があります。その時点では、再キャプチャや再構築ではなく relink -h コマン

ドを使用するのが一番簡単です。

注: ThinApp ランタイムは、ThinApp パッケージに対して relink -h コマンドを実行

するときに常に更新されます。

relink コマンドを ThinApp Program Files ディレクトリから実行し、このコマンドの構文についてのヘルプを表示できます。

既存の ThinApp パッケージがすでに VMware Identity Manager 用として有効化されている場合は、次のコマンドを実行してそのパッケージの既存の AppID を再使用し、

VersionID の番号を増やすことができます。

relink -h -VersionID + <executable-folder>/*.*

この <executable-folder > は、更新する ThinApp パッケージの実行可能ファイルを格納しているフォルダです。

重要: relink コマンドを使用するときは、このコマンドで VMware Identity Manager

環境内の ThinApp パッケージに使用されるネットワーク共有上のパッケージ実行ファイルのフォルダを直接参照することはできません。このコマンドは、ThinApp ランタイムを更新するときに古い実行ファイルを BAK ファイルに変換し、それらの BAK ファイルと新しいファイルをフォルダに書き込みます。ネットワーク共有は通常書き込みが許可されないため、relinkで実行ファイルのフォルダのコピーを参照する必要があります。

relink コマンドの他の使用例（ThinApp パッケージを VMware Identity Manager 環境

用として有効化する方法を含む）は、http://kb.vmware.com/kb/2021928 にある VMwareナレッジベース記事にまとめられています。

更新済み ThinApp パッケージには、EXE ファイルと DAT ファイルの一式が含まれます（DAT ファイルはオプション）。

次のステップ

「ネットワーク共有への更新 ThinApp パッケージのコピー」に示されている手順を実行し、これらのファイルをネットワーク共有上の新しいサブフォルダにコピーします。

ネットワーク共有への更新 ThinApp パッケージのコピー

更新済み ThinApp パッケージを作成後、適切なファイルを、ネットワーク共有で既存のサブフォルダと同じレベルにある新しいサブフォルダにコピーします。

前提条件

「更新 ThinApp パッケージの作成」の手順を実行して VersionID の値が増加したら、更新済み ThinApp パッケー

ジのファイルがあることを確認します。

ネットワーク共有へのアクセス権があり、サブフォルダを作成し、そこにファイルをコピーできることを確認します。


VMware, Inc. 101

手順

1 ネットワーク共有フォルダで、更新済み ThinApp パッケージ用の新しいサブフォルダを作成します。

更新中の ThinApp パッケージの既存のサブフォルダは保持し、その内容は変更しないでください。

スケジュール設定された次回の同期の後、新しいパッケージがの AppID の値が同じで、VersionID の値が大

きいことが確認された場合、VMware Identity Manager は古いパッケージを無視します。

通常、サブフォルダには ThinApp アプリケーションと一致する名前を付けるか、フォルダ内のアプリケーションを特定できる名前を付けます。たとえば、server というホスト上のネットワーク共有が appshare で、ア

プリケーションが abceditor の場合、ThinApp パッケージのサブフォルダ

は \\server\appshare\abceditor です。

注: VMware Identity Manager を使用して ThinApp パッケージを配布するためにネットワーク共有サブフォルダを作成する場合は、その名前に ASCII 以外の文字を使用しないでください。ASCII 以外の文字はサポートされていません。

2 更新済み ThinApp パッケージの EXE ファイルおよび DAT ファイルを、その新しいサブフォルダにコピーします。

3 (オプション) 次回のスケジュール同期時間まで待てない場合は、VMware Identity Manager コンソールの [パッケージ化されたアプリ - ThinApp] ページから手動で VMware Identity Manager をネットワーク共有と同期できます。

コネクタがネットワーク共有フォルダでスケジュール設定された同期を実行する際、他のアプリケーションと同じ AppID を持つアプリケーションを検出すると、VersionID の値を比較します。最も VersionID の値が

大きい ThinApp パッケージが最新の更新として使用されます。VMware Identity Manager により、前のユーザーの使用資格が最も VersionID の値が大きい ThinApp パッケージに自動的に組み込まれて、ユーザーのシ

ステムのショートカットが更新済みパッケージを参照するように同期されます。

既存の ThinApp パッケージと VMware Identity Manager との互換性確保

VMware Identity Manager と互換性のない ThinApp パッケージを、VMware Identity Manager で配布および管理できる ThinApp パッケージに変換することができます。次の方法のいずれかを使用できます。ThinApp 4.7.2 のrelink コマンドを使用する、ThinApp プロジェクトの Package.ini ファイルを編集して必要な

VMware Identity Manager パラメータを追加してから、ThinApp プロジェクトファイルからパッケージを再構築する、または ThinApp Setup Capture プログラムで適切な VMware Identity Manager 設定を選択した状態で、Windows アプリケーションを再キャプチャする。

注: VMware Identity Manager と互換性のある ThinApp パッケージは、VMware Identity Manager 展開環境でのみ使用できます。VMware Identity Manager Desktop アプリケーションをインストール済みのVMware Identity Manager ユーザーのみが、有効化されたこれらのパッケージを起動および実行できます。実行時に、ThinApp パッケージには具体的に指定された DLL がロードされます。この DLL により、ThinApp パッケージでは、VMware Identity Manager から付与されたユーザーの資格が検証されます。DLL は VMware IdentityManager Desktop アプリケーションと共にインストールされるため、VMware Identity Manager Desktop アプリケーションがインストールされている Windows システムでのみこの ThinApp パッケージを実行できます。


VMware, Inc. 102

前提条件

選択した方法に必要なアイテムへのアクセス権があることを確認します。

n relink コマンドを使用する場合は、変換対象の ThinApp パッケージの実行可能ファイル、および ThinApp

4.7.2 relink.exe アプリケーションがあることを確認します。

n ThinApp プロジェクトの Package.ini ファイルを更新してパッケージを再構築する場合は、ThinApp 4.7.2

プログラムでパッケージを再構築するのに必要なプロジェクトファイルがあることを確認します。

n Windows アプリケーションを再キャプチャする場合は、ThinApp 4.7.2 Setup Capture プログラムとアプリケーションインストーラ、およびこのプログラムでアプリケーションを再キャプチャするのに必要なその他のアイテムがあることを確認します。詳細については、『ThinApp ユーザーズガイド』を参照してください。

VMware Identity Manager が使用する ThinApp ネットワーク共有へのアクセス権があり、サブフォルダを作成してそこにファイルをコピーできることを確認します。


VMware, Inc. 103

手順

u VMware Identity Manager でサポートされているバージョンの ThinApp プログラムを使用し、適用可能ないずれかの方法で互換性のある ThinApp パッケージを作成します。


relink -h コマンドを使用します。 relink -h コマンドの使用が最も簡単な方法です。ThinApp 4.7.2 以降の relink.exe プ

ログラムを使用する必要があります。この方法は、次に示す状況のいずれかに相当する場合

に使用します。

n ここではプロジェクトフォルダは作成されていないため、再構築による方法は使用できません。

n Setup Capture を使用してアプリケーションを再キャプチャするのは、非常に時間がかかります。

n Setup Capture による再キャプチャに必要なアプリケーションインストーラはありません。

注: ThinApp ランタイムは、ThinApp パッケージに対して relink -h コマンドを実行

するときに常に更新されます。

relink コマンドを ThinApp Program Files ディレクトリから実行し、このコマンドの構文についてのヘルプを表示できます。

互換性のあるパッケージを作成するために、次の基本構文のコマンドを使用します。

relink -h <executable-folder>/*.*

<executable-folder> は、更新する ThinApp パッケージの実行ファイルが含まれるフォルダです。

重要: relink コマンドを使用するときは、このコマンドで VMware Identity Manager

環境内の ThinApp パッケージに使用されるネットワーク共有上のパッケージ実行ファイルのフォルダを直接参照することはできません。このコマンドは、ThinApp ランタイムを更新するときに古い実行ファイルを BAK ファイルに変換し、それらの BAK ファイルと新しいファイルをフォルダに書き込みます。ネットワーク共有は通常書き込みが許可されないため、relinkで実行ファイルのフォルダのコピーを参照する必要があります。

relink コマンドの他の使用例は、http://kb.vmware.com/kb/2021928 にある VMware

ナレッジベース記事にまとめられています。

必要なパラメータで Package.ini ファイルを手動で更新し、続いてパッケージを再構築します。

この方法は、再キャプチャプロセス用のアプリケーションインストーラを所有していない場合、アプリケーションの再キャプチャに必要な事前設定の実行を回避する場合、または、

relink コマンドが提供するよりも多くの機能を新しい ThinApp バージョンから組み込む

場合に使用します。パッケージの再構築では、ファイルシステムとレジストリに対して新バージョンの ThinApp で提供される変更が加えられます。このため、再構築では、管理者が設定する新しい Package.ini パラメータが新しい ThinApp バージョンによって提供される時点などにそれらの変更をピックアップします。

Package.ini ファイルの [Build Options] セクションに、次のパラメータを追加します。

;--- VMware Identity Manager Parameters ---AppID=genidNotificationDLLs=hzntapluginlugin.dll


VMware, Inc. 104


hzntaplugin.dll は、ThinApp ランタイムで、VMware Identity Manager ユーザーが仮想アプリケーションの使用資格を持つかを検証するためにコールされる DLL です。

オプションで、HorizonOrgURL パラメータを含めて、これを

VMware Identity Manager の完全修飾ドメイン名に設定できます。VMware Identity Manager インストールと構成を参照してください。

Setup Capture を使用して再キャプチャを実行し、必要な VMware Identity Manager 設定を選択します。

アプリケーションを再キャプチャすることが必要な場合には、他の方法を使用するのではな

く、この方法を使用します。ThinApp Setup Capture を使用して互換性のあるパッケージを作成する場合は、キャプチャプロセス時に、VMware Identity Manager でパッケージを管理するのに適切な設定をウィザードで選択します。キャプチャプロセスの詳細については、『ThinApp ユーザーズガイド』を参照してください。

VMware Identity Manager で配布および管理できる ThinApp パッケージには、EXE ファイルと DAT ファイルの一式が含まれます（DAT ファイルはオプション）。

次のステップ

ネットワーク共有に ThinApp パッケージを追加する手順については、「VMware Identity Manager が管理するThinApp パッケージのためのネットワーク共有の作成」を参照してください。

ThinApp パッケージの共有フォルダの変更VMware Identity Manager から ThinApp パッケージへのアクセスを構成した後で、IT 環境が変化し、ThinAppパッケージが新しい場所に移動されることがあります。この場合は、VMware Identity Manager コンソールで、新しい場所までのパスを更新します。

前提条件

新しいネットワーク共有の場所が「ThinApp パッケージおよびネットワーク共有リポジトリのための VMware IdentityManager の要件」で説明されているネットワーク共有要件を満たしていることを確認します。

手順



3 ThinApp コレクションを選択して [編集] をクリックします。

4 ThinApp の編集ウィザードで、[構成] をクリックして [構成] ページに移動します。

5 [パス] テキストボックスの値を、ThinApp パッケージが置かれている新しい共有フォルダに変更します（UNCパス形式を使用して入力）。

6 (オプション) 新しい共有が DFS 共有の場合は、[アカウントベースアクセスの有効化] チェックボックスをオンにして、そのネットワーク共有への読み取りアクセス権を持つユーザーの名前とパスワードを入力します。

7 [次へ] をクリックし、[保存] をクリックします。


VMware, Inc. 105





手順















VMware, Inc. 106

VMware Identity Manager Desktop の構成 7VMware Identity Manager を使用して登録した ThinApp パッケージを VMware Identity Manager ユーザーが実行できるようにするには、ユーザーの Windows システムに VMware Identity Manager Desktop アプリケーションがインストールされ実行されている必要があります。

VMware Identity Manager Desktop アプリケーションは、そのインストーラ実行可能ファイルをダブルクリックしてセットアップウィザードを使用する、コマンドラインオプションを使用して実行可能ファイルを実行する、またはコマンドラインオプションを使用するスクリプトを実行するのいずれかの方法よりインストールできます。アプリケーションをインストールするには、ローカルの管理者権限が必要です。

Windows エンドポイントの VMware Identity Manager Desktop アプリケーションの構成により、VMware Identity Manager を使用して配布される ThinApp パッケージの展開に、ThinApp ダウンロードモードのいずれか（COPY_TO_LOCAL または HTTP_DOWNLOAD）、ThinApp ストリーミングモード、またはRUN_FROM_SHARE を使用するかどうかが決まります。デスクトップコンピュータやラップトップコンピュータなどの Windows エンドポイントに VMware Identity Manager Desktop をサイレントインストールするスクリプトを作成する場合は、ThinApp パッケージ展開モードを設定するオプションを指定します。ネットワークレイテンシなどを考慮しながら、選択したエンドポイントのネットワーク環境に最適な展開モードを選択します。

重要: HTTP_DOWNLOAD モードでは、ユーザーの Windows マシンから IDP URL にアクセスできる必要があります。RUN_FROM_SHARE および COPY_TO_LOCAL モードでは、ユーザーの Windows マシンから ThinApp 共有にアクセスできる必要があります。

注: VMware Identity Manager Desktop アプリケーションのインストール中にブラウザウィンドウが開いている場合、ユーザーポータルからの ThinApp パッケージの起動で問題が発生する可能性があります。アプリケーションをインストールする前またはアプリケーションのインストール後直ちにすべてのブラウザウィンドウを閉じてから、ブラウザを再起動します。「ユーザーポータルからの ThinApp パッケージの起動が失敗する」を参照してください。


n VMware Identity Manager Desktop 用のコマンドラインインストーラオプション

n 同一設定で VMware Identity Manager Desktop アプリケーションを複数の Windows システムにインストールする

n VMware Identity Manager 仮想アプライアンスへの VMware Identity Manager Desktop インストーラファイルの追加

n コマンドライン hws-desktop-ctrl.exe アプリケーションの使用

VMware, Inc. 107

VMware Identity Manager Desktop 用のコマンドラインインストーラオプションコマンドラインまたは展開スクリプトを使用して VMware Identity Manager Desktop アプリケーションのインストーラプログラムを実行するときには、このアプリケーションのためにさまざまなオプションを設定できます。

VMware Identity Manager Desktop インストーラに使用できるコマンドラインオプション

クライアントアプリケーションのインストーラの .exe ファイルを Windows システムにダウンロードした後に、次のコマンドを実行してインストールオプションのリストを表示できます。

VMware-Identity-Manager-Desktop-<n.n.n-nnnnnnn> /?

<n.n.n-nnnnnnn> は、ファイルのバージョンとビルド番号です。ダイアログボックスに、コマンドラインまたは展開スクリプトを使用してクライアントアプリケーションをインストールする場合に利用できるインストールオプションのリストが表示されます。

表 7‑1. インストーラコマンドラインオプション

インストーラオプション

値説明

/? インストーラのコマンドラインオプションを表示します。

/a 管理者用インストールを実行します。

詳細については、Windows インストーラに関するドキュメントを参照してください。

/a <既存の管理者用インストールまでの完全なパス>

既存の管理者用インストールにパッチを適用します。

/s インストール中の初期設定ダイアログボックスを非表示にします。

サイレントモードでインストールするには、/s /v/qn を使用します。

サイレントモードでは、メッセージ、ダイアログボックス、プロンプトがインストール中に表示されません。通常このオプションは、展開スクリプト

を作成してインストーラを実行する場合に使用します。

/v <キー値ペア> キー値ペアとして指定される、インストーラに渡す一連のパラメータ。

key=value という形式を使用します。これらの引数は、通常、ThinApp

パッケージのランタイムオプションや、VMware Identity ManagerDesktop のランタイムオプションを構成します。

/c インストールの登録情報を消去します。

/l [<ログファイルまでの完全なパス>] 詳細なロギングを実行し、指定されたログファイルに保存します。

ログファイルを指定しない場合は、%TEMP% のデフォルトログが使用され

ます。

/x インストーラを %TEMP% フォルダに解凍します。


VMware, Inc. 108

https://msdn.microsoft.com/en-us/library/aa367541%28VS.85%29.aspx

/v オプションのキー値ペア

/v インストーラオプションには、次のキー値ペアを使用できます。


VMware, Inc. 109

表 7‑2. /v インストーラコマンドラインオプションのキー

キー値説明

WORKSPACE_SERVER

<VMware IdentityManager サービスのホスト名または URL>

VMware Identity Manager サービスのホスト名または URL を提供し、VMware IdentityManager Desktop アプリケーションがサービスと通信できるようにします。HTTPS は必須のプロトコルです。値は引用符で囲みます。

次の形式を使用します。

WORKSPACE_SERVER="https://<VMwareIdentityManagerFQDN>"

または

WORKSPACE_SERVER="<VMwareIdentityManagerHostName>"

例：

WORKSPACE_SERVER="https://myserver.mycompany.com"

WORKSPACE_SERVER="myserver"

INSTALL_MODE 次のいずれかになりま

す。

COPY_TO_LOCAL

HTTP_DOWNLOAD

RUN_FROM_SHARE

実行時に VMware Identity Manager Desktop アプリケーションがどのような方法でThinApp パッケージを取得するかを決定する展開モードを設定します。ThinApp パッケージは、仮想 Windows アプリケーションです。ThinApp パッケージは、VMware Identity Manager に統合されているネットワーク共有にあります。

n COPY_TO_LOCAL：ユーザーに使用資格が付与されているパッケージはファイルコピーを使用してクライアント Windows システムにダウンロードされます。ユーザーがThinApp パッケージを起動すると、仮想化されたアプリケーションがそのシステムでローカルに実行されます。使用資格が付与された ThinApp パッケージをユーザーが初めてダウンロードして使用するにあたり、そのパッケージをクライアント Windows システムに継続的に同期させる準備として、あらかじめそのクライアント Windows システムをThinApp パッケージのネットワーク共有が参加している同じ Active Directory ドメインに参加させる必要があります。Windows システムへのログインに使用されるユーザーアカウントは、ネットワーク共有から ThinApp パッケージを取得するために使用するアカウントです。そのアカウントには、ネットワーク共有からファイルを読み取ってコピー

するための適切な権限が必要です。

重要: COPY_TO_LOCAL モードでは、ユーザーの Windows システムから ThinApp共有にアクセスできる必要があります。

n HTTP_DOWNLOAD：ユーザーに使用資格が付与されているパッケージは HTTP プロトコルを使用してクライアント Windows システムにダウンロードされます。ユーザーが ThinApp パッケージを起動すると、仮想化されたアプリケーションがそのシステムでローカルに実行されます。VMware Identity Manager Desktop アプリケーションは、ユーザーの VMware Identity Manager システムアカウントを使用してVMware Identity Manager に認証され、ユーザーに使用資格が付与されているパッケージのダウンロードリストを取得します。ThinApp パッケージのネットワーク共有へのアカウントベースのアクセスを可能にするために VMware Identity Manager コンソールで提供される共有ユーザーアカウントは、VMware Identity Manager がリポジトリから ThinApp パッケージにアクセスするために使用するアカウントです。VMware Identity Manager のための共有ユーザーアカウントには、ネットワーク共有に対する読み取り権限が必要です。ユーザーがクライアント Windows システムにログインするために使用するアカウントおよびユーザーの VMware Identity Manager システムアカウントに対して、ネットワーク共有に対する権限は必要ありません。ThinAppパッケージのネットワーク共有が参加している同じドメインにクライアント Windows


VMware, Inc. 110

表 7‑2. /v インストーラコマンドラインオプションのキー (続き)

キー値説明

システムを参加させる必要はありません。このダウンロード方法では、一般に他のモード

を使用する場合よりも遅くなります。このモードのメリットは、仮想アプリケーションの

取得と実行のためにクライアント Windows システムを Active Directory ドメインに参加させる必要がないことです。

重要: HTTP_DOWNLOAD オプションが動作するには、VMware Identity Managerにおける ThinApp パッケージの統合をアカウントベースのアクセス用に構成する必要があります。VMware Identity Manager インストールと構成を参照してください。

重要: Windows 2008 R2 または Windows 7 の VMware Identity Manager 2.6 以降では、TLS 1.0 を VMware Identity Manager で有効にするか、Windows 2008 R2または Windows 7 システムで TLS 1.1 または 1.2 を有効にするまで、HTTP_DOWNLOAD オプションは機能しません。TLS 1.0 をVMware Identity Manager で有効にするには、ナレッジベースの記事 2144805 を参照してください。Windows システムで TLS 1.1 または 1.2 を有効にするには、https://support.microsoft.com/en-us/kb/3140245 にある Microsoft のドキュメントを参照してください。

重要: HTTP_DOWNLOAD モードでは、ユーザーの Windows システムから IDP URLにアクセスできる必要があります。

n RUN_FROM_SHARE：ユーザーが ThinApp パッケージを起動する際にネットワーク共有からクライアントの Windows システムに仮想アプリケーションがストリームされます。ThinApp パッケージは Windows システムに存在せず、仮想アプリケーションはWindows システムがネットワーク共有に接続できる場合にのみ実行されるので、RUN_FROM_SHARE オプションは ThinApp パッケージが存在するネットワーク共有に常に接続できる Windows システムに最適です。クライアント Windows システムを、ThinApp パッケージのネットワーク共有が参加している同じ Active Directory ドメインに参加させる必要があります。Windows システムへのログインに使用されるユーザーアカウントは、ネットワーク共有から ThinApp パッケージを取得するために使用するアカウントです。そのアカウントには、ネットワーク共有からファイルを読み取って実行す

るための適切な権限が必要です。

重要: RUN_FROM_SHARE モードでは、ユーザーの Windows マシンから ThinApp共有にアクセスできる必要があります。

デフォルト値は COPY_TO_LOCAL です。

どのモードも、ファイルと共有についての適切な権限がネットワーク共有に構成されていなけ

ればなりません。VMware Identity Manager インストールと構成を参照してください。

これらの構成のいずれかで VMware Identity Manager Desktop アプリケーションをインストールする場合、Windows システムにログインするユーザーアカウントには、ThinAppパッケージを取得できるように、ネットワーク共有に対する適切なファイルと共有の権限が必

要です。

n RUN_FROM_SHARE オプション

n COPY_TO_LOCAL オプション（AUTO_TRY_HTTP オプションが有効になっていない場合、VMware Identity Manager でアカウントベースのアクセスが構成されている場合）

POLLING_INTERVAL <秒単位の頻度> インストールした VMware Identity Manager Desktop アプリケーションとVMware Identity Manager 間の同期の頻度を秒単位で設定し、新しい ThinApp パッケージや使用資格がないかチェックします。指定しなければ、デフォルト値の 300 秒（5 分）が適用されます。

例：

POLLING_INTERVAL=600


VMware, Inc. 111

https://kb.vmware.com/kb/2144805

https://support.microsoft.com/en-us/kb/3140245


キー値説明

ENABLE_AUTOUPDATE

0 または 1 自動更新チェックおよびダウンロード処理を有効または無効にします。有効にすると、インス

トールした VMware Identity Manager Desktop アプリケーションは、ダウンロードが必要な新しいアプリケーションがあるかどうかを自動的にチェックします。新しいバージョンがあ

る場合、VMware Identity Manager Desktop アプリケーションは自動的にダウンロードして自身を新しいバージョンに更新します。このオプションは、デフォルトで有効になっていま

す。

自動更新を無効にするには、この変数の値を 0 に設定します。指定しなければ、デフォルト値の 1 が適用されます。

自動更新のインストールには、管理者権限が必要です。

SHARED_CACHE 0 または 1 クライアントアプリケーションがインストールされる Windows システムの共通フォルダにThinApp パッケージキャッシュを配置するかどうかを決定します。Windows システムのすべてのユーザーアカウントが共通のキャッシュ場所を共有することを指定する場合は、この変数の値を 1 に設定します。デフォルトで、共通フォルダは %ProgramData

%\VMware\Identity Manager Desktop\thinapp になります。

指定しなければ、デフォルト値の 0 が適用され、各 Windows ユーザーアカウントが個別のキャッシュを取得し、デフォルトの場所は %LOCALAPPDATA%\VMware\Identity

Manager Desktop\thinapp になります。

注: 共有キャッシュを指定すると、VMware Identity Manager Desktop アプリケーションはこの共有キャッシュから ThinApp パッケージを自動的に削除しません。SHARED_CACHE=1 は Windows システムのすべてのユーザーアカウントが同じ場所を共有することを示すので、特定のユーザーに使用資格を付与しない場合も含めて、使用資格が付

与されたユーザーがそれを使用できるように、パッケージは共有された場所に配置する必要が

あります。ユーザーに ThinApp パッケージの使用資格を付与しない場合、VMware IdentityManager Desktop アプリケーションはそのユーザーに対するそのパッケージの登録を解除します。その Windows システムでの使用資格を付与されている他のユーザーは、引き続きThinApp パッケージを使用できます。その Windows システムで ThinApp パッケージの使用資格を付与されているユーザーアカウントがない場合は、領域を解放するために共通キャッシュを手動で削除できます。キャッシュの場所の下には、それぞれの ThinApp パッケージのフォルダがあります。

CACHE_DIR <フォルダまでのパス> HTTP_DOWNLOAD または COPY_TO_LOCAL インストールモードが使用される場合に、ThinApp パッケージがローカルでキャッシュされる場所を設定します。この値は、ユーザーごとではなく、システムごとに設定されるため、%LOCALAPPDATA% などの環境変数を使用して、ユーザー固有の場所を選択する必要があります。即座に展開されるのを防ぐため、必

ずコマンドラインで % 文字をエスケープしてください。例：

CACHE_DIR=^%LOCALAPPDATA^%\cache

AUTO_TRY_HTTP 0 または 1 COPY_TO_LOCAL オプションを指定して VMware Identity Manager Desktop アプリケーションがインストールされ、VMware Identity Manager にアカウントベースのアクセスが構成されている場合、AUTO_TRY_HTTP オプションは、最初のダウンロード試行が失敗した場合に、ユーザーに使用資格が付与されている ThinApp パッケージをクライアントが（HTTP_DOWNLOAD オプションと同様に）HTTP プロトコルを使用して自動的にダウンロードするかどうかを決定します。このオプションは、デフォルトで有効になっています。ダウン

ロードに自動的に HTTP プロトコルを使用しない場合は、このオプションの値を 0 に設定します。

重要: AUTO_TRY_HTTP オプションが動作するには、VMware Identity Manager における ThinApp パッケージの統合をアカウントベースのアクセス用に構成する必要があります。「ThinApp パッケージおよびネットワーク共有リポジトリのための VMware IdentityManager の要件」を参照してください。


VMware, Inc. 112


キー値説明

INSTALL_MODULES thinapp インストールするモジュールを指定するカンマ区切りリスト。現在利用できるのは thinapp

モジュールだけです。

MIGRATE_ACTION 次のいずれかになりま

す。

MOVE

COPY

NONE

古い Workspace for Windows アプリケーションがインストールされている場合、インストーラはデータと設定を古いアプリケーションから新しいアプリケーションに移行します。デ

フォルト値は MOVE です。

次の設定は、指定する値によって、移動、コピー、無視のいずれかが行われます。

[キャッシュされた ThinApp パッケージ]

ダウンロードされた ThinApp パッケージは、Workspace for Windows のキャッシュ(%LOCALAPPDATA%\VMware\Horizon ThinApp\PackageCache) から、新し

いキャッシュの場所 (%LOCALAPPDATA%\VMware\Identity Manager

Desktop\thinapp) にコピーされます。キャッシュフォルダ内のフォルダ名は変更され

ます。

重要: インストール中に VMware Identity Manager に設定されたプロパティは、移行されたプロパティのどの値よりも優先されます。たとえば、Workspace for Windows のINSTALL_MODE が COPY_TO_LOCAL に設定された場合、Identity Manager Desktopのインストー中に /v INSTALL_MODE=HTTP_DOWNLOAD を指定すると、

INSTALL_MODE は HTTP_DOWNLOAD に設定されます。

例： VMware Identity Manager Desktop コマンドラインインストーラオプションの使用

VMware Identity Manager インスタンスに https://<identitymanagerFQDN> の URL が指定され、VMware Identity Manager が ThinApp パッケージのネットワーク共有にアカウントベースでアクセスするように構成され、これらのオプションを使用して VMware Identity Manager Desktop アプリケーションをVMware Identity Manager インスタンスの複数のデスクトップにサイレントでインストールする必要がある場合：

n これらの Windows システムがドメインに参加することはないと予測できるので、ThinApp のインストールオプションを HTTP_DOWNLOAD に設定します。VMware Identity Manager は、ThinApp パッケージのネットワーク共有にアカウントベースでアクセスするように適切に構成されます。

n クライアントは、新しいパッケージや使用資格がないか VMware Identity Manager に対して 60 秒おきにチェックします。

次のコマンドを起動するスクリプトを作成します。

VMware-Identity-Manager-Desktop-<n.n.n>-<nnnnnnn>.exe /s /v/qn WORKSPACE_SERVER="https://<identitymanagerFQDN"> INSTALL_MODE=HTTP_DOWNLOAD POLLING_INTERVAL=60

ファイル名の <n.n.n-nnnnnnn> の部分は、ダウンロードした VMware Identity Manager Desktop インストーラの名前と一致するように置き換えます。


VMware, Inc. 113

同一設定で VMware Identity Manager Desktop アプリケーションを複数の Windows システムにインストールするVMware Identity Manager Desktop アプリケーションを複数の Windows システムに展開し、同じ構成設定をこれらすべてのシステムに適用するために、コマンドラインのインストールオプションを使用して VMware IdentityManager Desktop アプリケーションをインストールするスクリプトを実装できます。

重要: VMware Identity Manager Desktop をサイレントインストールする際、画面にエラーメッセージは表示されません。サイレントインストール中にエラーがないかチェックするには、%TEMP% フォルダを監視し、新しい

vminst.XXXXXX.log ファイルがないか確認します。サイレントインストールに失敗すると、エラーメッセージ

がこれらのファイルに表示されます。

一般に、この展開シナリオは Horizon デスクトップになっている Windows システムに使用されます。フローティングまたはステートレスとも呼ばれる非永続 Horizon デスクトップに使用する設定の説明については、GUID-43458142-EC18-4EE7-AD9D-13B7CC6FEF44#GUID-43458142-EC18-4EE7-AD9D-13B7CC6FEF44を参照してください。

前提条件

n Windows システムで、インストールしている VMware Identity Manager Desktop アプリケーションのバージョンでサポートされる Windows オペレーティングシステムが実行されていることを確認します。VMware Identity Manager ユーザーガイドまたはリリースノートを参照してください。

n Windows システムにサポートされているブラウザがインストールされていることを確認します。

n 展開スクリプトを作成する前に、コマンドを実行して、使用可能なオプションについて理解を深める場合は、そ

のコマンドを実行できる Windows システムが存在することを確認します。オプションを一覧表示するコマンドは、Windows システムでのみ利用できます。「VMware Identity Manager Desktop 用のコマンドラインインストーラオプション」を参照してください。

手順

1 VMware Identity Manager Desktop インストーラの実行可能ファイルを取得し、インストーラのサイレントインストールを実行するシステムでその実行可能ファイルの場所を特定します。

実行可能ファイルを取得する 1 つの方法として、VMware Identity Manager システムのダウンロードページからダウンロードする方法があります。ダウンロードページで Windows アプリケーションインストーラを指定するように VMware Identity Manager システムが設定されている場合は、ブラウザでダウンロードページのURL を開いて実行可能ファイルをダウンロードできます。


VMware, Inc. 114

2 インストーラのコマンドラインオプションを使用し、組織のニーズに合った展開スクリプトを作成します。

使用できるスクリプトの例としては、Active Directory グループポリシースクリプト、ログインスクリプト、VB スクリプト、バッチファイル、SCCM などがあります。

たとえば、VMware Identity Manager インスタンスに https://<identitymanagerFQDN> という URL が含まれ、ドメインの外部で使用する予定の Windows システムに Windows クライアントをサイレントインストールし、ThinApp 展開モードをダウンロードモードに設定し、VMware Identity Manager Desktop アプリケーションが 60 秒おきにサーバと同期するときは、次のコマンドを起動するスクリプトを作成します。

VMware-Identity-Manager-Desktop-n.n.n-<nnnnnnn>.exe /s /v /qn WORKSPACE_SERVER="https://<identitymanagerFQDN>" INSTALL_MODE=HTTP_DOWNLOAD POLLING_INTERVAL=60

ファイル名の <n.n.n-nnnnnnn> の部分は、ダウンロードしたファイルの名前と一致するように置き換えます。

3 Windows システムに対して展開スクリプトを実行します。

サイレントインストールが成功すると、VMware Identity Manager Desktop アプリケーションが Windows システムに展開されます。これらの Windows システムにログインしたユーザーは、使用資格が付与されたこれらのシステムのアセットにアクセスできます。

注: 使用資格が付与されたユーザーの ThinApp パッケージはストリームまたはダウンロードされ、ポーリング間隔の経過後にユーザーの Windows システムにキャッシュされます。これにより、VMware Identity Manager のユーザーポータルにログインしたときに、ユーザーに ThinApp パッケージが表示されるようになります。次回のポーリング間隔でクライアントがアプリケーションと同期するまで、ThinApp パッケージは起動しません。

次のステップ

一般的なユーザータスクをいくつか試すことにより、VMware Identity Manager Desktop が Windows システムに適切にインストールされていることを確認します。

VMware Identity Manager 仮想アプライアンスへの VMware IdentityManager Desktop インストーラファイルの追加新しいバージョンの VMware Identity Manager Desktop がリリースされたら、お使いの展開環境の各 VMwareIdentity Manager 仮想アプライアンスに、VMware ダウンロードページから zip ファイルをコピーしてインストールします。各仮想アプライアンスで check-client-updates.pl コマンドを実行し、インストーラファイルを

展開して Tomcat サービスを再起動します。

前提条件

n ユーザーが VMware Identity Manager Desktop アプリケーションをインストールして自動的に更新するには、コンピュータの管理者権限が必要です。ユーザーが管理者権限を持っていない場合は、ソフトウェア配布ツール

を使用して、アプリケーションを更新し、ユーザーに配布できます。

n VMware Identity Manager 仮想アプライアンスの再起動によってユーザーアクセスが中断される可能性があるため、これらのインストーラファイルを仮想アプライアンスに追加する操作をメンテナンス期間中に実行するようにスケジュールします。


VMware, Inc. 115

手順

1 VMware Identity Manager 仮想アプライアンスにアクセスできるコンピュータに、[My VMware] の [ダウンロード] ページから VMware Identity Manager Desktop の zip ファイルをダウンロードします。

2 仮想アプライアンスの一時的な場所に zip ファイルをコピーします。例：

scp <filen.n.n-nnnnnnn.zip [email protected]>:/tmp/

3 仮想アプライアンスに root ユーザーとしてログインします。

4 新しい zip ファイルを解凍し、それをダウンロードディレクトリにインストールします。

/usr/local/horizon/scripts/check-client-updates.pl --install --

clientfile /tmp/<file.n.n.n-nnnnn.zip>

このスクリプトはファイルを自動的に解凍して、Windows コンピュータ用の VMware Identity ManagerDesktop インストーラファイルを /opt/vmware/horizon/workspace/webapps/ROOT/client

ディレクトリにコピーします。これによ

り /opt/vmware/horizon/workspace/webapps/ROOT/client/cds ディレクトリが自動的に更新

され、またダウンロードリンクの URL パラメータ値が更新されます。

5 仮想アプライアンス上の Tomcat サービスを再起動します。

6 お使いの環境にある VMware Identity Manager 仮想アプライアンスごとにこれらの手順を繰り返します。

ユーザーは、自分自身の VMware Identity Manager アカウントまたはダウンロードリンク(https://<IdentityManagerFQDN>/download) から Identity Manager Desktop アプリケーションをダウンロードできます。ユーザーが新しいバージョンをダウンロードすると、Identity Manager Desktop アプリケーションは自動的に更新されます。

コマンドライン hws-desktop-ctrl.exe アプリケーションの使用VMware Identity Manager Desktop アプリケーションには、hws-desktop-ctrl.exe（ユーザーの Windows システム上での ThinApp パッケージの使用に関連する操作を実行するために使用できるコマンドラインアプリケーション）が含まれています。

VMware Identity Manager Desktop アプリケーションのインストールプロセスを実行すると、VMware IdentityManager Desktop アプリケーションがインストールされている Windows ディレクトリの HorizonThinApp

フォルダに hws-desktop-ctrl.exe がインストールされます。

hws-desktop-ctrl.exe アプリケーションを使用してサポートされているコマンドのいずれかを実行するには、次の形式を使用します。

hws-desktop-ctrl.exe command options


VMware, Inc. 116

コマンド説明

hws-desktop-ctrl.exe recheck このコマンドは、VMware Identity Manager Desktop アプリケーションにログインしているユーザーアカウントに関連付けられている ThinApp パッケージの使用資格チェックをただちに実行します。新たに付与または更新された ThinApp パッケージがあれば、それらの同期も行います。

hws-desktop-ctrl.exe setInstallMode=<install_mode>

このコマンドは、この Windows システム上の ThinApp パッケージに使用される ThinApp展開モードを変更します。このコマンドは ThinApp 展開モードに関連付けられているレジストリキーを変更するため、このコマンドを使用してインストールモードを変更できるのは適切なレジストリ権限のある管理者だけです。

<install_mode> に指定できる値は次のとおりです。

n CopyToLocal

n RunFromShare

n HttpDownload

hws-desktop-ctrl.exe

authorizeguid=<ThinApp_GUID>path=<package_path>

このコマンドは、ThinApp パッケージが起動可能かどうかを確認します。このコマンドによって ThinApp パッケージが実際に起動されることはありません。ThinApp パッケージの GUIDと、パッケージの実行可能ファイルのパスを指定します。Windows クライアントシステム上のパッケージに ThinApp ダウンロードモードが使用されている場合、パスはローカルキャッシュ root フォルダに相対します（これはリポジトリルートに相対するパスと同じ）。次に例を示します。

hws-desktop-ctrl.exe authorize guid= 436E1D7D-552C-4F70-8197-DB1B05D30394 path="FileZilla Client 3.3.2/FileZilla.exe"

ThinApp パッケージの GUID、アプリケーションパス、および実行可能ファイルの名前は、VMware Identity Manager コンソール内のそのリソースページで確認できます。

hws-desktop-ctrl.exe quit このコマンドは、VMware Identity Manager Desktop アプリケーションにクリーンに終了するように伝えます。

hws-desktop-ctrl.exe launchapp=<package_path>url=<launch_url>

このコマンドは、ThinApp パッケージを手動起動するために使用されます。<package_path>はパッケージの実行可能ファイルのパス、<launch_url> はそのパッケージのVMware Identity Manager プロトコル URL（horizon://package_path という書

式）です。次に例を示します。

hws-desktop-ctrl.exe launch app="FileZilla Client 3.3.2/FileZilla.exe" url="horizon://FileZilla Client 3.3.2/FileZilla.exe"

このコマンドは、エンドユーザーによって使用されることは一般にありません（エンドユーザーは使用資格が付与されている ThinApp パッケージを Workspace ONE ポータルで起動することは可能）。このコマンドは、通常、デバッグ目的で使用されます。


VMware, Inc. 117

Citrix 公開リソースへのアクセスの提供 8Citrix 展開環境を VMware Identity Manager と統合して、Workspace ONE ユーザーに対して Citrix 公開リソースへのアクセスを提供することができます。


n Citrix 公開リソースの統合の概要

n Citrix 統合に必要なコンポーネント

n 高度な統合の設計

n Citrix 統合の前提条件

n VMware Identity Manager での Citrix サーバファームの構成

n VMware Identity Manager での Citrix リソースの起動の設定

n Citrix 統合のための VMware Identity Manager 設定の構成

n Citrix 公開リソースの統合に対するアップグレードの影響

Citrix 公開リソースの統合の概要Citrix デプロイを VMware Identity Manager に統合することにより、Workspace ONE ユーザーは Citrix 公開リソースにアクセスできます。Citrix 公開リソースには、Citrix XenApp と XenDesktop サーバファームのアプリケーションとデスクトップが含まれます。デスクトップは Citrix 公開配信グループとも呼ばれます。

Citrix 公開アプリケーションおよびデスクトップは Citrix 管理インターフェイスで管理します。また、ユーザー資格とグループ資格を VMware Identity Manager サービスではなく Citrix インターフェイスで設定します。これらのユーザーとグループは、Citrix サーバファームと統合する前に、Active Directory から VMware Identity Managerサービスに同期する必要があります。

Citrix サーバファームを VMware Identity Manager に統合するには、VMware Identity Manager コンソールで 1つまたは複数の仮想アプリケーションのコレクションを作成します。コレクションには、サーバファームの構成情報と同期設定が含まれています。

各コレクションの同期スケジュールをセットアップすることで、Citrix サーバファームと VMware Identity Managerサービス間で、リソースと資格を定期的に同期できます。

VMware, Inc. 118

Citrix サーバファームを統合した後は、同期されたリソースと資格を VMware Identity Manager コンソールで表示できます。解像度や圧縮を制御する設定など、ICA セッションの設定を編集することもできます。VMware Identity Managerカタログにあるすべての Citrix リソース、または個々の Citrix リソースに対して、設定をグローバルに構成できます。

エンドユーザーは Workspace ONE ポータルまたはアプリケーションから Citrix 公開アプリケーションおよびデスクトップを起動できます。エンドユーザーはシステムおよびデバイスに Citrix Receiver をインストールして、資格が付与されたリソースにアクセスします。

注: VMware Identity Manager は、Citrix NetScaler を含む Citrix 環境をサポートします。

サポートされているバージョンおよび機能

n VMware Identity Manager は、Citrix XenApp 6.0 および 6.5、XenApp および XenDesktop 7.x、Citrix VirtualApps および Desktops 7 1808 をサポートします。

注: XenApp 5.x のサポートが終了しました。

n VMware Identity Manager は、Citrix StoreFront API 2.6 以降をサポートします。

n VMware Identity Manager は、XenApp サーバまたは NetScaler サーバ上で「ユーザー名とパスワード」による認証方法のみをサポートします。以下に示すその他の認証方法はサポートされていません。

n スマートカード

n HTML 5

n 2 要素認証

n SAML 認証 (Citrix FAS)

n Citrix サーバファームと通信する VMware Identity Managerコンポーネントである Integration Broker がサポートするオペレーティングシステムは、Windows Server 2008 R2、Windows Server 2012、WindowsServer 2012 R2、および Windows Server 2016 です。

n Integration Broker バージョンの要件：

VMware Identity Manager または Connector のバージョンサポートされる Integration Broker のバージョン

VMware Identity Manager 19.03 19.03

VMware Identity Manager Connector 19.03.0.0 19.03


VMware Identity Manager Connector 2018.8.1.0（VMwareIdentity Manager 3.3 でリリースされるコネクタ）

3.3



3.2



3.1


VMware, Inc. 119




3.0

VMware Identity Manager 2.9.1 以前 2.9.1 以降

VMware Identity Manager Connector 2.9.1 以前 2.9.1 以降

注: Citrix StoreFront API を使用するには、Integration Broker 2.9.1 以降が必要です。XenApp またはXenDesktop 7.x の場合は、Integration Broker 2.6 以降が必要です。NetScaler 機能を使用するには、Integration Broker 2.4 以降が必要です。

注: VMware Identity Manager とそのコンポーネントの最新バージョンを使用することをお勧めします。

Citrix 統合に必要なコンポーネントVMware Identity Managerサービスに Citrix の展開環境を統合するには、次のコンポーネントが必要です。

n VMware Identity Managerテナント

n オンプレミスでインストールされた VMware Identity Manager コネクタ（バージョン 2.7 以降）。コネクタはhttps://my.vmware.com からダウンロードすることができます。

n オンプレミスでサポートされる Windows Server にインストールされた Integration Broker インスタンス。VMware Identity Managerのコンポーネントである Integration Broker は Citrix サーバファームと通信するコンポーネントです。

Integration Broker は https://my.vmware.com からダウンロードできます。

n オンプレミスでの Citrix の展開環境。

オンプレミスのコンポーネントを展開する場合は、以下の要件を満たしていることを確認してください。

n コネクタは Integration Broker と通信できる必要があります。複数のコネクタインスタンスを展開した場合、すべてのインスタンスが Integration Broker と通信できることを確認します。

n Integration Broker は Citrix サーバファームと通信できる必要があります。

VMware Identity Managerサービスとオンプレミスのコンポーネント間のすべての通信はコネクタを経由します。コネクタとサービスは、インストール時に自動的にセットアップされた通信チャネルを介して通信します。


高度な統合の設計

VMware Identity Manager は、Integration Broker およびその他のコンポーネントを使用して Citrix 公開リソースを VMware Identity Manager と同期し、Workspace ONE ポータルまたはアプリケーションからリソースを起動します。


VMware, Inc. 120

Citrix 公開リソースと資格の同期VMware Identity Manager は、Citrix サーバファームから VMware Identity Manager サービスに、Citrix 公開アプリケーションとデスクトップ、およびユーザー資格を同期させます。リソースと資格を定期的に同期させるための

同期スケジュールを設定することができます。

Citrix ファームは、VMware Identity Manager でサポートされるすべての操作の単一のソースとなります。Citrix管理インターフェイスでリソースを管理し、リソースを使用する資格をユーザーに付与します。

Citrix ファームでリソースまたは資格が追加、変更、または削除されると、情報は、同期後に VMware IdentityManager で更新されます。

同期のアーキテクチャダイアグラム

WorkspaceONE

VMwareIdentity

Manager構成

VMwareIdentity

Managerサービス

コネクタ PowerShell

CitrixReceiver

4

3

2

• Receiver クライアント• HTML5 Receiver• Receiver For Web（ブラウザ）

Integration Broker

1

セッションホスト

Citrix コンポーネント



Citrix構成

StoreFront

コントローラ

XML サーバ

1 VMware Identity Manager Connector は Integration Broker と接続し、アプリケーション、配信グループ、および資格情報を要求します。

2 Integration Broker は、Citrix XML サーバからリソースと資格情報を取得します。

3 コネクタは新しい情報を既存のリソースおよび資格情報と比較し、その差分を VMware Identity Manager サービスに送信します。

4 VMware Identity Manager サービスは、結果を VMware Identity Manager データベースに保存します。


VMware, Inc. 121

Citrix 公開アプリケーションおよびデスクトップの起動VMware Identity Manager は、Integration Broker コンポーネントと Citrix Web Interface SDK または CitrixStoreFront REST API を使用して、Workspace ONE ポータルまたはアプリケーションから Citrix 公開アプリケーションを起動します。Citrix 公開リソースへの内部アクセスと外部アクセスを構成できます。エンドユーザーがアプリケーションとデスクトップを起動するには、Citrix Receiver をシステムまたはデバイスにインストールする必要があります。

[]

起動のアーキテクチャダイアグラム（内部アクセス）

WorkspaceONE

VMwareIdentity

Managerサービス

ICAファイル

Citrix Receiver

1

45

3

6

2

コネクタIntegration

Broker





Citrix構成

StoreFront

コントローラ

XML サーバ

STA サーバ

Web インターフェイス

SDK/ StoreFront API

REST API認証およびリクエスト ICA

ファイル

1 ユーザーは Workspace ONE ポータルまたはアプリケーションから Citrix 公開アプリケーションまたはデスクトップを起動します。

2 要求は、VMware Identity Manager サービス、コネクタ、および Integration Broker に送られます。

3 Integration Broker は Web Interface SDK または StoreFront REST API を介して Citrix サーバファームと通信し、ICA ファイルを認証して要求します。

4 ICA ファイルが取得され、Workspace ONE ポータルまたはアプリケーションに渡されます。

5 ICA ファイルは、Citrix Receiver に渡されます。

6 Citrix Receiver が、アプリケーションまたはデスクトップを起動します。


VMware, Inc. 122

起動のアーキテクチャダイアグラム（外部アクセス）

WorkspaceONE





Citrix構成

VMwareIdentity

Managerサービス

Web インターフェイス

SDK/ StoreFront API

StoreFrontREST API

認証およびリクエスト ICA

ファイル

ICAファイル

Citrix Receiver

1

45

3

6

8

7

2

NetScaler

コネクタIntegration

Broker

コントローラ

XML サーバ

STA サーバ

1 ユーザーは Workspace ONE ポータルまたはアプリケーションから Citrix 公開アプリケーションまたはデスクトップを起動します。

2 要求は、VMware Identity Manager サービス、コネクタ、および Integration Broker に送られます。

3 Integration Broker は Web Interface SDK または StoreFront REST API を介して Citrix サーバファームと通信し、ICA ファイルを認証して要求します。

4 ICA ファイルが取得され、Workspace ONE ポータルまたはアプリケーションに渡されます。

5 ICA ファイルは、Citrix Receiver に渡されます。

6 Citrix Receiver は、NetScaler と通信します。

7 NetScaler は STA チケットを使用して Citrix STA サーバと通信し、Citrix セッションサーバ情報を取得します。

8 NetScaler は Citrix セッションホストサーバと通信し、アプリケーション起動のためのセッションを作成します。

注: バージョン 7.x では、Citrix セッションホストサーバは Citrix VDA サーバです。バージョン 6.5 では、Citrix ワーカーサーバです。

StoreFront REST API または Web Interface SDK による起動

Integration Broker は、Citrix Web Interface SDK と Citrix StoreFront REST API を使用して Citrix デプロイと通信し、アプリケーションまたはデスクトップを起動できます。StoreFront REST API を使用すると、Integration Brokerは REST クライアントのように動作します。Web Interface SDK および StoreFront REST API は、Citrix デプロイでの認証および ICA ファイルの生成に使用されます。


VMware, Inc. 123

使用するオプションを指定するには、VMware Identity Manager コンソールの [Citrix 構成] ページで [StoreFrontを使用] または [Web Interface SDK を使用] オプションを選択します。

Integration Broker インスタンスは、Web Interface SDK と StoreFront REST API の両方を使用できます。WebInterface SDK を使用して 1 つの Citrix ファームと通信し、StoreFront REST API を使用して別の Citrix ファームと通信する場合は、それぞれに適切なオプションを選択します。

VMware Identity Manager 2.9.1 以降で使用可能な StoreFront REST API オプションを使用するには、次の要件が満たされていることを確認します。

n StoreFront API 2.6 以降を使用します。

n Integration Broker 2.9.1 以降をインストールします。

n StoreFront が、使用している XenApp または XenDesktop のバージョンでサポートされていることを確認します。

n Integration Broker が StoreFront サーバと通信できることを確認します。

StoreFront REST API を有効にすると、Integration Broker は StoreFront サーバと通信して ICA ファイルを生成します。

n StoreFront サーバでストアの認証を構成する際に、「ユーザー名とパスワード」による認証方法に、信頼できるドメインを設定できます。信頼できるドメインを設定する際は必ず、ドメイン名を完全修飾ドメイン名形式で「信

頼できるドメイン」のリストに追加してください。StoreFront の NetBIOS 名を使用する場合は、NetBIOS 名に加えて完全修飾ドメイン名を追加します。VMware Identity Manager では、完全修飾ドメイン名が必要です。NeTBIOS 名のみを追加した場合、Workspace ONE からの Citrix アプリケーションおよびデスクトップの起動が失敗します。

注: StoreFront REST API を使用する場合、インストールに追加のファイルをダウンロードまたはコピーする必要はありません。


VMware, Inc. 124

Citrix サーバでサポートされている認証方法

VMware Identity Manager は、XenApp サーバまたは NetScaler サーバ上で「ユーザー名とパスワード」による認証方法のみをサポートします。以下に示すその他の認証方法はサポートされていません。

n スマートカード

n HTML 5

n 2 要素認証

n SAML 認証 (Citrix FAS)

Citrix 統合の前提条件VMware Identity Manager コンソールで Citrix サーバファームの詳細を構成する前に、前提条件となる特定のタスクを完了する必要があります。サポート対象の Windows Server に VMware Identity Manager コンポーネントである Integration Broker を展開して構成し、Citrix PowerShell Remoting を設定して Integration Broker と Citrixサーバファーム間の通信を可能にする必要があります。

次に示すようなタスクが含まれます。

n Integration Broker のインストールのために Windows Server を準備します。

n ロールと機能を追加します。

n Microsoft J# 2.0 再頒布可能パッケージをインストールします。

Citrix Web Interface SDK の代わりに Storefront ReST API を使用して Citrix サーバファームに接続する場合は、Microsoft J# 2.0 は必要ありません。

n Integration Broker をインストールします。

n Integration Broker をダウンロードしてインストールします。

n Integration Broker のための IIS マネージャーの設定を構成します。

n Integration Broker のための HTTPS バインドを設定します。

n Citrix PowerShell Remoting を設定して、Integration Broker サーバと Citrix サーバファーム間のリモート呼び出しを有効にします。

n Integration Broker サーバに Citrix PowerShell SDK をインストールします。

n Citrix サーバ（Citrix 6.0 のみ）で PowerShell Remoting を有効にします。

n Citrix Web Interface SDK の dll ファイルをダウンロードしてコピーします。

Storefront ReST API を使用して Citrix サーバファームに接続する場合は、Citrix Web Interface SDK は必要ありません。

プロセスの概要については、次の動画を参照してください。

Citrix 公開アプリケーションおよびデスクトップ用の Integration Broker のインストール(http://link.brightcove.com/services/player/bcpid2296383276001?bctid=ref:video_integration_broker_citrix)


VMware, Inc. 125

http://link.brightcove.com/services/player/bcpid2296383276001?bctid=ref:video_integration_broker_citrix

http://link.brightcove.com/services/player/bcpid2296383276001?bctid=ref:video_integration_broker_citrix

Integration Broker の展開についてIntegration Broker は、Citrix サーバファームとの通信に使用される VMware Identity Manager コンポーネントです。オンプレミスの Integration Broker は、サポートされている Windows サーバにインストールされます。

Integration Broker を展開する場合は、次のガイドラインに従ってください。

n Integration Broker は、Windows Server 2016、Windows Server 2012 R2、Windows Server 2012、または Windows Server 2008 R2 にインストールできます。

表 8‑1. Integration Broker サーバの要件

要件メモ

Windows Server 2016、Windows Server 2012 R2、WindowsServer 2012、またはデュアルコアプロセッサ搭載の WindowsServer 2008 R2

4GB RAM

30 GB これには Windows OS に必要なストレージが含まれます。

n Integration Broker バージョンの要件：



VMware Identity Manager Connector 19.03.0.0 19.03



3.3



3.2



3.1



3.0

VMware Identity Manager 2.9.1 以前 2.9.1 以降

VMware Identity Manager Connector 2.9.1 以前 2.9.1 以降

注: Citrix StoreFront REST API を使用するには、Integration Broker 2.9.1 以降が必要です。XenApp またはXenDesktop 7.x の場合は、Integration Broker 2.6 以降が必要です。NetScaler 機能を使用するには、Integration Broker 2.4 以降が必要です。



VMware, Inc. 126

n VMware Identity Manager Connector は Integration Broker と通信できる必要があります。複数のコネクタインスタンスを設定した場合、すべてのインスタンスが Integration Broker と通信できることを確認します。

注: 起動に使用される Integration Broker インスタンスに SSL 経由で接続する必要があります。

n 1 つの Integration Broker インスタンスで複数の Citrix 環境をサポートできます。

n Windows 版の VMware Identity Manager Connector を使用している場合は、次のガイドラインに従ってください。

n Integration Broker および VMware Identity Manager Connector は異なるサーバにインストールすることを推奨します。

n コネクタと同じサーバに Integration Broker をインストールする場合は、HTTP および HTTPS バインドポートが VMware Identity Manager Connector で使用されるポートと競合しないようにしてください。

VMware Identity Manager Connector は常にポート 80 を使用します。インストール時に別のポートが設定されていない限り、443 も使用します。

n 自己署名証明書はコネクタのインストール中に生成されます。コネクタと同じサーバに Integration Brokerをインストールする場合は、この証明書を使用できます。Microsoft ストアに証明書をインストールし、HTTPS バインドに使用します。

n 開始する前に、展開の戦略を計画します。一般的なシナリオの推奨事項については、「Integration Broker の展開モデル」を参照してください。

Integration Broker の展開モデル

ビジネスのニーズに応じて、Integration Broker の 1 つまたは複数のインスタンスを展開します。次の展開モデルは一般的なシナリオに基づいています。

事前検証の環境

事前検証の環境では、統合プロセスとエンドユーザーエクスペリエンスに慣れる目的でいくつかの Citrix 公開アプリケーションのみを VMware Identity Manager 内に構成しますが、その場合単一の Integration Broker インスタンスを設定することをお勧めします。仮想アプリケーションのコレクション内の同期 Integration Broker および SSOIntegration Broker と同じ Integration Broker インスタンスを選択します。


VMware IdentityManager Connector

IntegrationBroker

同期

起動

テスト環境

小規模なテスト環境で同期と起動を含むフロー全体をテストする場合、2 つの Integration Broker インスタンスを展開し、1 つをリソースと資格の同期、もう 1 つをリソースの起動に使用することをお勧めします。このシナリオでは、通常いくつかのアプリケーションのみを統合し、多数のユーザーが同時にアプリケーションを起動することは想

定しません。


VMware, Inc. 127

インスタンスの 1 つを仮想アプリケーションのコレクションの同期 Integration Broker として選択し、もう 1 つをSSO Integration Broker として選択します。



IntegrationBroker

IntegrationBroker

同期

起動

本番環境

本番環境では、高可用性とロードバランシングの目的でロードバランサの背後に Integration Broker インスタンスのクラスタを設定することをお勧めします。Integration Broker インスタンスの 1 つが使用できない場合、要求はクラスタ内の別のインスタンスにリダイレクトされるので、同期と起動は引き続き使用可能になります。

仮想アプリケーションのコレクションの [同期 Integration Broker] および [SSO Integration Broker] フィールドに、ロードバランサ情報を入力します。



IntegrationBroker

ロードバランサ

IntegrationBroker

同期

起動

大規模な本番環境

多数のアプリケーションを統合し、大量のトラフィックが発生する大規模な本番環境では、同期と起動にそれぞれ個

別の Integration Broker クラスタを設定することをお勧めします。ロードバランサの背後に各クラスタを設定します。この設定によって、特定のニーズに基づいてインスタンスの数を柔軟に増やすことができます。たとえば、同時

に実行される起動の数が多いために遅延が発生する場合は、起動に使用されるクラスタに Integration Broker インスタンスを追加できます。


VMware, Inc. 128

仮想アプリケーションのコレクションの [同期 Integration Broker] および [SSO Integration Broker] フィールドに、適切はロードバランサを入力します。

注: 起動のみに使用され、同期に使用されない Integration Broker インスタンスの場合は、Citrix PowerShellRemoting を設定する必要はありません。また、StoreFront REST API を使用して Citrix サーバファームに接続する場合は、Citrix Web Interface SDK をダウンロードする必要はありません。



IntegrationBroker

IntegrationBroker



IntegrationBroker

同期

起動

Integration Broker のインストールのための Windows Server の準備Integration Broker をインストールする前に、Windows Server を構成する必要があります。

Integration Broker サーバでは、以下のオペレーティングシステムがサポートされています。

n Windows Server 2008 R2

n Windows Server 2012

n Windows Server 2012 R2

n Windows Server 2016

注: サポートされるバージョンの最新情報については、http://www.vmware.com/resources/compatibility/sim/interop_matrix.php で VMware 製品の相互運用性マトリックスを参照してください。


VMware, Inc. 129

Windows Server のロールと機能の追加（Windows Server 2012 R2、2012、または 2008 R2）

必要なロール、機能、およびロールサービスを Integration Broker サーバに追加します。

注: この手順では、Windows Server 2012 R2 または Windows Server 2012 のユーザーインターフェイスを参照します。必要に応じて、Windows Server 2008 R2 での相違点が記載されています。

Windows Server 2016 にロールとサービスを追加する方法については、「Windows サーバのロールと機能を追加(Windows Server 2016)」を参照してください。

前提条件

n Windows Server 2008 R2、Windows Server 2012、または Windows Server 2012 R2 が、最新のアップデートと共にインストールされていることを確認します。アップデートが最新かを確認するには、[コントロールパネル] - [Windows Update] を選択します。

n 必要に応じて、アプリケーションプールを作成します。デフォルトのアプリケーションプールを使用するか、Integration Broker 専用のアプリケーションプールを作成します。

手順

1 [スタート] - [Server Manager] を選択します。

2 Server Manager で、[管理] - [ロールと機能を追加] を選択します。

3 [ロールと機能を追加] ウィザードで、[サーバロール] ページが表示されるまで [次へ] をクリックします。

4 次のロールを選択し、[次へ] をクリックします。ロー

ル

n アプリケーションサーバ

n ファイルおよびストレージサービス

n Web サーバ (IIS)

注: [Web サーバ (IIS)] を選択すると、Web サーバ (IIS) に必要な機能を確認するためのダイアログボックスが表示されます。[管理ツール] が含まれていることを確認し、[機能の追加] をクリックします。


VMware, Inc. 130

5 [機能] ページで、次の機能を選択します。機能 n .NET Framework 3.5 の機能

n .NET Framework 3.5（.NET 2.0 および 3.0 を含む）

n HTTP アクティベーション

[HTTP アクティベーション] を選択すると、HTTP アクティベーションに必要な機能を確認するためのダイアログボックスが表示されます。[機能の追加] をクリックします。

注: Windows Server 2008 R2 では、次のオプションを選択します。

n .NET Framework 3.5 の機能

n .NET Framework 3.5

n WCF アクティベーション


n IIS ホスト可能な Web コア

n Windows プロセスアクティベーションサービス

n WinRM IIS 拡張機能

例：

図 8‑1. Windows Server 2012 R2

6 [次へ] をクリックし、もう一度 [次へ] をクリックして [アプリケーションサーバの役割サービス] ページを表示します。


VMware, Inc. 131

7 [アプリケーションサーバの役割サービス] ページで、次のロールサービスを選択します。アプリケーション

サーバの役割サー

ビス

[アプリケーションサーバの役割サービス]

n .NET Framework 4.5（選択済みの場合は変更しないでください）

n Web サーバ (IIS) サポート

注: [Web サーバ (IIS)] を選択すると、Web サーバ (IIS) に必要な機能を確認するためのダイアログボックスが表示されます。[機能の追加] をクリックします。

n Windows プロセスアクティベーションサービスサポート


例：

8 [次へ] をクリックし、もう一度 [次へ] をクリックして [Web サーバの役割 (IIS) の役割サービス] ページを表示します。


VMware, Inc. 132

9 [Web サーバの役割 (IIS) の役割サービス] ページで、次の役割サービスを選択します。

Web サーバの役割 (IIS) の役割サービス n Web サーバ

n デフォルトの選択を受け入れます。

n 次のオプションを有効にします：

n 管理ツール

n IIS 管理コンソール

n IIS 6 管理互換

例：


11 [インストール] をクリックします。

12 インストールが完了したら、[閉じる] をクリックして [役割と機能を追加] ウィザードを閉じます。

次のステップ

必要な場合は、Microsoft Visual j# 2.0 再頒布可能パッケージをインストールします。

Windows サーバのロールと機能を追加 (Windows Server 2016)

Integration Broker サーバに必要な Windows サーバのロールと機能を追加します。

注: この手順では、Windows Server 2016 のユーザーインターフェイスを参照します。Windows Server 2012R2、Windows Server 2012、および Windows Server 2008 R2 の場合は、「Windows Server のロールと機能の追加（Windows Server 2012 R2、2012、または 2008 R2）」を参照してください。

前提条件

n Windows Server 2016 がインストールされ、最新アップデートが適用されていることを確認します。

n 必要に応じて、アプリケーションプールを作成します。デフォルトのアプリケーションプールを使用するか、Integration Broker 専用のアプリケーションプールを作成します。


VMware, Inc. 133

手順

1 [スタート] - [Server Manager] を選択します。

2 Server Manager で、[管理] - [ロールと機能を追加] を選択します。

3 [ロールと機能を追加] ウィザードで、[サーバロール] ページが表示されるまで [次へ] をクリックします。

4 [サーバロール] ページで、次のロールを選択します。

n ファイルおよびストレージサービス

n ストレージサービス

n Web サーバ (IIS)

n Web サーバ


VMware, Inc. 134

n 管理ツール


VMware, Inc. 135


6 [機能] ページで、次の機能を選択します。


n .NET Framework 3.5（.NET 2.0 および 3.0 を含む）


[HTTP アクティベーション] を選択すると、HTTP アクティベーションに必要な機能を確認するためのダイアログボックスが表示されます。[機能の追加] をクリックします。


n .NET Framework 4.6

n ASP.NET 4.6

n WCF サービス

n グループポリシーの管理

n IIS ホスト可能な Web コア

n データ IIS 拡張機能の管理

n Media Foundation

n メッセージキュー

n メッセージキューサービス


VMware, Inc. 136

n リモートサーバの管理ツール

n SMB 1.0/CIFS ファイル共有のサポート

n telnet クライアント

n Windows Defender の機能


VMware, Inc. 137

n Windows PowerShell

n Windows プロセスアクティベーションサービス

n WinRM IIS 拡張機能

n Wow64 サポート


VMware, Inc. 138

7 [確認] ページで [次へ] をクリックし、[インストール] をクリックします。

8 インストールが完了したら、[閉じる] をクリックして [役割と機能を追加] ウィザードを閉じます。

次のステップ

必要な場合は、Microsoft Visual j# 2.0 再頒布可能パッケージをインストールします。

Microsoft Visual J# 2.0 再頒布可能パッケージ（64 ビット）のインストール

Microsoft Visual J#® 2.0 再頒布可能パッケージ（64 ビット）- 第 2版をダウンロードしてインストールします。CitrixWeb Interface SDK の代わりに StoreFront REST API を使用して Citrix サーバファームに接続する場合は、この手順は必要ありません。

手順

1 Microsoft の Web サイトから Microsoft Visual J# 2.0 再頒布可能パッケージ（64 ビット）- 第 2版をダウンロードします。

2 vjredist.exe ファイルをダブルクリックし、ウィザードに従ってパッケージをインストールします。

Integration Broker の展開Integration Broker を展開するには、Integration Broker をダウンロードしてサポート対象の Windows Server にインストールし、IIS マネージャーの設定を行い、HTTPS および HTTP バインドを設定します。

Integration Broker のインストール

構成した Windows Server に Integration Broker をインストールします。


VMware, Inc. 139

前提条件

n Windows Server を準備します。「Integration Broker のインストールのための Windows Server の準備」を参照してください。

n My VMware の VMware Identity Manager 製品ページから Integration Broker をダウンロードします。

手順

1 Windows 管理者としてログインします。

2 setup.exe ファイルをクリックして、Integration Broker インストーラを実行します。

3 エンドユーザー使用許諾契約書に同意します。

4 Integration Broker をインストールする Web 上の場所を選択します。

5 (オプション) Integration Broker 用に別のアプリケーションプールを作成した場合、使用するアプリケーションプールを選択します。

警告: [仮想ディレクトリ] の名前は変更しないでください。

6 [次へ] をクリックして Integration Broker のインストールを終了します。

次のステップ

IIS マネージャーの設定を構成します。

IIS マネージャー設定の構成

Integration Broker に必要な IIS マネージャー設定を構成します。

注: この手順では、Windows Server 2012 または Windows Server 2012 R2 のユーザーインターフェイスを参照します。

前提条件

ID ユーザーの認証情報。ID ユーザーは、次の要件を満たす必要があります。

n ドメインユーザー

n Integration Broker サーバで PowerShell Remoting を有効にするための権限：

a 管理者権限で PowerShell を起動

b Enable-PSRemoting を実行

n Citrix サーバでの次のロールのいずれか：

n 少なくとも読み取り専用管理者（バージョン 7.x）または表示専用管理者（バージョン 6.x）

n 次の PowerShell コマンドレットを実行できるアクセス権限を持つカスタム管理者のロール。これらのコマンドレットが、Citrix サーバファームからアプリケーション、サーバ、ファーム、およびアイコンの情報の取得に使用されます。


VMware, Inc. 140

https://my.vmware.com

XenApp 6.5 の場合：

Get-XAApplication

Get-XAServer

Get-XAAccount

Get-XAApplicationIcon

Get-XAFarm

XenApp または XenDesktop 7.x の場合：

Get-BrokerApplication

Get-BrokerIcon

Get-BrokerDesktopGroup

Get-BrokerAccessPolicyRule

Get-BrokerAppEntitlementPolicyRule

Get-BrokerIcon

Get-BrokerEntitlementPolicyRule

手順

1 [スタート] - [Server Manager] をクリックします。

2 Server Manager で、[ツール] - [Internet Information Services (IIS) マネージャー] を選択します。

3 IIS マネージャーで、Integration Broker のインストール中に選択したアプリケーションプールを構成します。

ヒント: 正しいアプリケーションプールを確認するには、左側のペインで [アプリケーションプール] をクリックし、アプリケーションプールを右クリックして [アプリケーションの表示] を選択し、Integration Broker がリストされていることを確認します。

a 左側のペインで、[アプリケーションプール] をクリックします。

b Integration Broker に使用しているアプリケーションプールを選択します。

c 右側のペインで、[詳細設定] をクリックします。


VMware, Inc. 141

d [詳細設定] ダイアログボックスで、次の設定を構成します。


.NET CLR のバージョン値が [v2.0] であることを確認します。

注: Windows 2012 および Windows 2012 R2 ではデフォルトで、アプリケーションプールが別の .NET バージョンに対して構成されている場合があります。バージョン 2.0に対する構成であることを確認します。

32 ビットアプリケーションを有効にする値を [True] に設定します。

ID 1 [ID] をクリックします。

2 [...] アイコンをクリックします。

3 開いている [アプリケーションプール ID] ダイアログボックスで、[カスタムアカウント] をクリックして、[設定] をクリックします。

4 ID ユーザーのユーザー名とパスワードを入力します。[前提条件] セクションの IDユーザーの要件を参照してください。

5 [OK] をクリックし、もう一度 [OK] をクリックします。

e [OK] をクリックして、[詳細設定] ダイアログボックスを閉じます。


VMware, Inc. 142

Integration Broker のための HTTPS サイトバインドの設定

Integration Broker のための HTTPS サイトバインドを設定する必要があります。バインドを設定するには、Integration Broker サーバの SSL 証明書が必要です。認証局から証明書を取得するか、自己署名証明書を作成することができます。

注: Windows 版の VMware Identity Manager Connector を使用し、コネクタと同じサーバに Integration Brokerをインストールする場合は、HTTP および HTTPS バインドポートがコネクタで使用されるポートと競合しないようにしてください。

VMware Identity Manager Connector は常にポート 80 を使用します。インストール時に別のポートが設定されていない場合には、443 も使用します。使用するポートについては、『VMware Identity Manager Connector(Windows) のインストールと構成』を参照してください。

Integration Broker と VMware Identity Manager Connector を別のサーバにインストールすることをお勧めします。

前提条件

n Integration Broker サーバの SSL 証明書を取得します。認証局から証明書を取得するか、自己署名証明書を作成することができます。証明書を Integration Broker サーバの Microsoft ストアにインストールします。

「例：IIS マネージャーを使用して自己署名証明書を作成するおよび「例：OpenSSL を使用して自己署名証明書を作成する」を参照してください。

注: Windows 版の VMware Identity Manager Connector を使用し、コネクタと同じサーバに IntegrationBroker をインストールしている場合は、コネクタのインストール中に生成された自己署名証明書を使用できます。Microsoft ストアに証明書をインストールし、HTTPS バインドに使用します。

手順

1 IIS マネージャーの左側のペインで、Integration Broker をインストールした Web サイトをクリックします。

ヒント: 正しい Web サイトを確認するには、左側のペインでサイトを展開し、Integration Broker がリストされていることを確認します。

2 右側のペインの [サイトの編集] で、[バインド] をクリックします。

3 作成した証明書を使用して、HTTPS バインドを追加します。

a [追加] をクリックします。

b [タイプ] フィールドで、[https] を選択します。

c IIS 8.0 以降を使用している場合は、[ホスト名] フィールドが空であることを確認します。値を指定することはできません。


VMware, Inc. 143

d [SSL 証明書] フィールドで、作成した SSL 証明書を選択します。

例：

e [OK] をクリックします。

4 IIS を再起動します。

a 管理者として [コマンドプロンプト] ウィンドウを開きます。

b iisreset と入力します。

次のステップ

バインドを確認します。

n ブラウザのアドレスバーに「http://<hostname> /IB/API/RestServiceImpl.svc/ibhealthcheck」と入力して、HTTP バインドによって期待される結果が出力されるかどうかを確認します。

期待される出力：

All ok

n ブラウザのアドレスバーに「https://<hostname> /IB/API/RestServiceImpl.svc/ibhealthcheck」と入力して、HTTPS バインドによって予期した結果が出力されるかどうかを確認します。

期待される出力：

All ok

注: Internet Explorer では、All ok 出力は直接表示されません。代わりに、出力ファイルがダウンロードされま

す。ファイルを開き、出力を表示します。

例：IIS マネージャーを使用して自己署名証明書を作成する

IIS マネージャーを使用して、Integration Broker サーバの自己署名証明書を作成することができます。

手順

1 IIS マネージャーを起動します。

2 [サーバ証明書] に移動します。


VMware, Inc. 144

3 右側のペインの [アクション] で、[自己署名証明書を作成] を選択します。

4 ウィザードに従い、自己署名証明書を生成します。

証明書は、Integration Broker サーバの Microsoft ストアに自動的にインストールされます。

次のステップ

証明書を Integration Broker の Web サイトで HTTPS バインドに使用します。

例：OpenSSL を使用して自己署名証明書を作成する

この説明では、OpenSSL を使用して Integration Broker 用に自己署名証明書を設定する方法の例を示します。

手順

1 Integration Broker サーバ用の自己署名証明書を作成します。

2 作業ディレクトリとして使用する ibcerts フォルダを作成します。

3 vi openssl_ext.conf コマンドを使用して、構成ファイルを作成します。

a 次の OpenSSL コマンドをコピーして構成ファイルに貼り付けます。

# openssl x509 extfile params

extensions = extend

[req] # openssl req params

prompt = no

distinguished_name = dn-param

[dn-param] # DN fields

C = US

ST = CA

O = VMware (Dummy Cert)

OU = Horizon Workspace (Dummy Cert)

CN = <hostname> （Integration Broker がインストールされている仮想マシンのホスト名です。）

emailAddress = <EMAIL PROTECTED>

[extend] # openssl extensions

subjectKeyIdentifier = hash

authorityKeyIdentifier = keyid:always

keyUsage = digitalSignature,keyEncipherment

extendedKeyUsage=serverAuth,clientAuth

[policy] # certificate policy extension data

注: ファイルを保存する前に CN 値を入力します。

b 次のコマンドを実行して、秘密キーを生成します。

openssl genrsa -des3 -out <server.key> 1024

c <server.key> のパスフレーズ（たとえば、<vmware>）を入力します。


VMware, Inc. 145

d server.key ファイルの名前を server.key.orig に変更します。

mv server.key server.key.orig

e キーに関連付けられているパスワードを削除します。

openssl rsa -in server.key.orig -out server.key

4 生成されたキーを使用して CSR（証明書の署名要求）を作成します。server.csr は作業ディレクトリに保存

されます。

openssl req -new -key server.key -out server.csr -config ./openssl_ext.conf

5 CSR に署名します。

openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt -extfile openssl_ext.conf

予想される出力が表示されます。

Signature ok subject=/C=US/ST=CA/O=VMware (Dummy Cert)/OU=Horizon

Workspace (Dummy Cert)/CN=w2-hwdog-xa.vmware.com/emailAddress=<EMAIL

PROTECTED> Getting Private key

6 P12 フォーマットを作成します。

openssl pkcs12 -export -in server.crt -inkey server.key -out server.p12

a エクスポートパスワードを求めるプロンプトが表示されたら、[Enter] キーを押します。

重要: パスワードは入力しません。

予想される出力は server.p12 ファイルです。

b server.p12 ファイルを、Integration Broker がインストールされている Windows マシンに移動します。

c コマンドプロンプトから mmc と入力します。

d [ファイル] - [スナップインの追加と削除] をクリックします。

e [スナップイン] ウィンドウで、[証明書] をクリックしてから [追加] をクリックします。

f [コンピュータアカウント] ラジオボタンを選択します。

7 その証明書をルートおよび個人ストア証明書にインポートします。

a ダイアログで [すべてのファイル] を選択します。

b server.p12 ファイルを選択します。

c [エクスポート可能] チェックボックスをクリックします。


VMware, Inc. 146

d パスワードは空のままにします。

e 以降の手順では、デフォルトを受け入れます。

8 証明書を、同じ mmc コンソール内の信頼されたルート CA にコピーします。

9 証明書の内容に次の要素が含まれていることを確認します。

n 秘密キー

n Integration Broker のホスト名と一致する、件名属性の CN

n クライアントとサーバの両方の認証が有効な拡張キー用途属性

Citrix PowerShell Remoting の有効化Citrix PowerShell Remoting を設定して、Integration Broker と Citrix サーバファーム間のリモート呼び出しを有効にする必要があります。

Citrix PowerShell Remoting を設定するには、Integration Broker サーバに Citrix PowerShell SDK をインストールし、Citrix サーバで PowerShell Remoting が有効になっていることを確認します。

Integration Broker サーバに、適切なバージョンの Citrix PowerShell SDK をインストールする必要があります。複数のバージョンの Citrix サーバファームに接続する場合は、SDK に下位互換性がないため、必要なすべてのバージョンの Citrix PowerShell SDK を Integration Broker サーバにインストールします。

Integration Broker サーバが Citrix サーバに接続しリソース情報、資格情報、およびアイコンなどの必要な情報を取得するには、Citrix サーバ上で PowerShell Remoting を有効にする必要があります。PowerShell Remoting は、VMware Identity Manager で構成する Delivery Controller または XML Broker でのみ有効にする必要があります。サーバファーム内のすべてのサーバで有効にする必要はありません。XenApp または XenDesktop 7.x では、これらは XML Broker としても動作する Delivery Controller です。Citrix サーバファーム 6.5 および 6.0 では、これらは XML Broker サーバです。

Citrix サーバファーム 6.0 の場合、Citrix PowerShell Remoting にはリモート呼び出しを行うためのセキュアなHTTPS チャネルが必要です。Citrix Delivery Controller または XML Broker に有効な SSL 証明書があることを確認します。

Integration Broker サーバに Citrix PowerShell SDK をインストールする

Integration Broker サーバと Citrix サーバファーム間の接続を有効にするには、Citrix PowerShell SDK を IntegrationBroker サーバにインストールする必要があります。

VMware Identity Manager と統合している Citrix サーバファームに対応するバージョンの Citrix PowerShell SDKをダウンロードしてインストールします。複数のバージョンの Citrix サーバファームに接続する場合は、SDK に下位互換性がないため、必要なすべてのバージョンの Citrix PowerShell SDK を Integration Broker サーバにインストールします。

手順

1 Integration Broker サーバにログインします。


VMware, Inc. 147

2 XenApp または XenDesktop 7.x に接続している場合は、次の手順を実行します。

a Citrix Studio をダウンロードして Integration Broker サーバにインストールします。

b インストールを確認します。

1 管理者として Windows PowerShell を開きます。

2 次のコマンドを入力します。

Add-PSSnapin Citrix*


Get-BrokerDesktopGroup -AdminAddress <CitrixDeliveryController>

Get-ConfigSite -AdminAddress <CitrixDeliveryController>

注: 認証エラーが発生する場合は、set-executionpolicy <remotesigned> コマンドを使

用して実行ポリシーを設定し、コマンドを再試行します。

3 Citrix サーバファーム 6.5 に接続している場合は、次の手順を実行します。

a Citrix PowerShell SDK 6.5 をダウンロードして Integration Broker サーバにインストールします。

b インストールを確認します。

1 [プログラムファイル] - [Citrix PowerShell モジュール] を開きます。


Get-XAApplication -ComputerName <CitrixServer>

Citrix によってホストされているすべてのアプリケーションがリストに含まれていることを確認します。

注: コマンドが失敗する場合は、XenApp Commands Remoting サービスが Citrix サーバ上で実行されていることを確認します。

4 Citrix サーバファーム 6.0 に接続している場合は、ダウンロードして、Integration Broker サーバに CitrixPowerShell SDK 6.0 をインストールします。

Citrix サーバファームで Citrix PowerShell Remoting を有効にする

必要に応じて、Citrix サーバファームで Citrix PowerShell Remoting を有効にします。

n Citrix XenApp または XenDesktop 7.x では、VMware Identity Manager が接続する配信コントローラのPowerShell Remoting が有効になっていることを確認します。

n Citrix 6.5 では、VMware Identity Manager が接続する XML Broker で Citrix XenApp Command Remotingサービスが実行していることを確認します。

n Citrix 6.0 では、PowerShell Remoting を有効にします。「Citrix サーバファーム 6.0 での Citrix PowerShellRemoting のセットアップ」を参照してください。


VMware, Inc. 148

Citrix サーバファーム 6.0 での Citrix PowerShell Remoting のセットアップ

VMware Identity Manager と統合する Citrix XML Broker サーバで、Citrix PowerShell Remoting を有効にする必要があります。Citrix PowerShell Remoting により Integration Broker と Citrix サーバファーム間の接続が有効になります。

注: Citrix PowerShell Remoting は、VMware Identity Manager で構成される XML Broker でのみ有効にする必要があります。サーバファーム内のすべてのサーバで有効にする必要はありません。

前提条件

n Winrm をインストールしていない場合は、Microsoft の Web サイトから Winrm をダウンロードしてインストールします。

n Citrix XML Broker に有効な SSL 証明書があることを確認します。また、[プロパティ] をクリックして、証明書のサーバ認証が有効になっていることを確認します。

手順

1 管理者モードで PowerShell を開きます。

2 Citrix PowerShell Remoting を有効にします。

a Get-Service winrm コマンドを入力して、Winrm がサーバにインストールされていることを確認しま

す。

b Enable-PSRemoting コマンドを入力します。

このコマンドにより PowerShell Remoting がサーバで有効になります。

c Citrix PowerShell SDK 6.0 をインストールします。

d winrm HTTPS リスナーをコマンドプロンプトから有効にします。

1 サーバに証明書を作成します。

2 証明書のサムプリントを記録します。

3 証明書のサムプリントが構成されていることを確認します。

winrm quickconfig -transport:https


VMware, Inc. 149

e リスナーが作成されたことを確認します。

winrm e winrm/config/listener

これで、このサーバを使用できるようになりました。

f リスナーが作成されたら、Integration Broker サーバにアクセスして、PowerShell Remoting が正しくインストールされていることを確認します。

winrm identify -r:https://<XENAPP_HOSTNAME>:5986 -u:USERNAME

出力:

IdentifyResponse

ProtocolVersion=http://schemas.dmtf.org/wbem/wsman/1/wsman.xsd

ProductVendor=Microsoft Corporation

ProductVersion=OS: 6.0.6002 SP: 2.0 Stack: 2.0

Citrix サーバファームへの接続の確認Integration Broker を展開し、PowerShell Remoting を設定した後は、Citrix サーバファームへの接続を確認します。

手順

1 ブラウザで、Citrix ファームのバージョンに対応する適切な URL を入力します。

n Citrix XenApp または XenDesktop サーバファーム 7.x

https://<IBhostname>/IB/API/RestServiceImpl.svc/hznxenapp/admin/xenfarminfo?computerName=<XenAppServerHostname>&xenappversion=Version7x

n Citrix サーバファーム 6.5

https://<IBhostname>/IB/API/RestServiceImpl.svc/hznxenapp/admin/xenfarminfo?computerName=<XenAppServerHostname>&xenappversion=Version65orLater


https://<IBhostname>/IB/API/RestServiceImpl.svc/hznxenapp/admin/xenfarminfo?computerName=<XenAppServerHostname>&xenappversion=Legacy

2 出力内容を確認します。

Integration Broker が適切に構成されている場合、Web ページには、次のような Citrix サーバファームの情報が表示されます。


VMware, Inc. 150

"[{\"FarmName\":\"test data\",\"ServerVersion\":\"

6.0.6410\",\"AdministratorType\":\"Full\",\"SessionCount\":\"2\",\"Machin

eName\":\"test data\"}]”

Web ページにサーバファーム情報が表示されない場合は、%programdata

%/VMware/HorizonIntegrationBroker にある Integration Broker サーバのログを確認します。

Citrix Web Interface SDK 5.4 のダウンロードCitrix Web Interface SDK は、Citrix Delivery Controller または XML Broker で認証を行い、そこから ICA ファイルを生成して、Citrix 公開アプリケーションおよびデスクトップを起動するために使用されます。

注: Citrix StoreFront REST API を使用して Citrix ファームと通信し、ICA ファイルを生成する場合は、Citrix WebInterface SDK をインストールする必要はありません。

手順

1 Citrix Web Interface SDK 5.4（WISDK zip ファイル）を Citrix の Web サイトからダウンロードします。

2 wisdk.zip ファイルを解凍します。

3 WI5_4_0_SDK/zipfiles/sdkdemo/wisdk ディレクトリのコンテンツを Integration Broker のデフォ

ルトの bin ディレクトリ c:\inetpub\wwwroot\IB\bin にコピーします。

4 IIS を再起動します。

a 管理者として [コマンドプロンプト] ウィンドウを開きます。

b iisreset と入力します。

VMware Identity Manager での Citrix サーバファームの構成VMware Identity Manager で Citrix XenApp および XenDesktop サーバファームを構成するには、[仮想アプリケーションの設定] ページで、構成情報（リソースと資格を同期する Citrix サーバ、同期と SSO に使用する IntegrationBroker、同期に使用する VMware Identity Manager コネクタ、およびデフォルトの起動クライアントなどの管理者設定）を含む 1 つまたは複数の仮想アプリケーションのコレクションを作成します。

要件に基づいて、すべての Citrix サーバファームを 1 つのコレクションに追加するか、複数のコレクションを作成することができます。たとえば、ファームごとに個別のコレクションを作成して、管理をしやすくしたり複数のコネク

タに同期の負荷を分散したりすることができます。または、すべてのサーバファームを 1 つのコレクションに含めてテスト環境用に使用し、もう 1 つの同じコレクションを本番環境用に使用することもできます。

VMware Identity Manager で Citrix 公開リソースを構成する前に、すべての前提条件を満たしていることを確認します。

Citrix サーバファームの設定については、次のガイドラインにも従ってください。

n 配信グループの同期


VMware, Inc. 151

Citrix での配信グループの [配信タイプ] の設定により、VMware Identity Manager が配信グループをどのように同期するかが決まります。

[配信タイプ] が [デスクトップとアプリケーション] または [デスクトップのみ] に設定されている場合にのみ、VMware Identity Manager は配信グループを同期します。配信グループの [配信タイプ] が [アプリケーションのみ] に設定されている場合、アプリケーションは同期されますが、配信グループは同期されず、VMware IdentityManager カタログにも表示されません。

上記の違いを考慮して配信グループを設定してください。

n XenDesktop および XenApp 7.9 で、[限定表示グループ] オプションを使用してユーザーを制限する場合は、限定表示グループにユーザーまたはグループが含まれていることを確認します。ユーザーもグループも含まれてい

ない場合は、VMware Identity Manager への同期は機能しません。

n サイト内のすべての Citrix 公開アプリケーションとデスクトップに有効なユーザーが含まれていることを確認します。ユーザーまたはグループを削除する場合は、Citrix 公開リソースからもユーザーまたはグループを削除する必要があります。

n ユーザーとグループが正しい配信グループに割り当てられていることを確認します。

ユーザーを制限する設定を選択した場合は、ユーザーとグループが含まれていることを確認します。

n XenDesktop および XenApp 7.x では、[認証済みのユーザーにこの配信グループの使用を許可する] 設定を使用して、すべての認証済みのユーザーの資格を配信グループレベルで設定できます。VMware Identity Managerはこの設定をサポートしていません。VMware Identity Manager でユーザーに正しい資格が確実に付与されるようにするには、ユーザーとグループの明示的な資格を設定します。

n VMware Identity Manager は Citrix 匿名ユーザーグループ機能をサポートしていません。

注: XenApp 5.x のサポートが終了しました。XenApp 5.x サーバを構成から削除しない限り、このサーバが含まれる既存の構成を更新または保存することはできません。構成から 5.x サーバを削除して保存した後、次回の同期中に、5.x サーバに関連付けられているすべてのリソースがカタログから削除されます。ユーザーは、カタログから削除されるまでリソースを実行できます。

前提条件

n VMware Identity Managerを構成します。詳細については、『VMware Identity Manager のインストールと構成』および『VMware Identity Manager の管理』を参照してください。

n Citrix 資格を持つユーザーとグループが、ディレクトリ同期を使用してエンタープライズディレクトリからVMware Identity Manager に同期されていることを確認します。

ディレクトリ作成中に、必ず [userPrincipalName] を必須属性にします。

ユーザーは、[distinguishedName] 属性を持っている必要があります。ユーザーに対して属性が設定されていない場合、ユーザーはデスクトップおよびアプリケーションを実行できない場合があります。

n Integration Broker を展開し、「Citrix 統合の前提条件」に記載されているすべての前提条件を満たしていることを確認します。

n Integration Broker の前でロードバランサを使用している場合は、このタスク中に使用するためにロードバランサのホスト名または IP アドレスをメモします。


VMware, Inc. 152

n VMware Identity Manager 2.9.1 以降で利用可能な [StoreFront] オプションを使用する場合は、次の要件が満たされていることを確認します。

n Integration Broker 2.9.1 以降をインストールします。

n StoreFront が、使用している XenApp または XenDesktop のバージョンでサポートされていることを確認します。

n Integration Broker が StoreFront サーバと通信できることを確認します。

StoreFront REST API を有効にすると、Integration Broker は StoreFront サーバと通信して ICA ファイルを生成します。

n StoreFront サーバで [ユーザー名とパスワード] 認証方法に信頼されるドメインを構成する場合は必ず、「信頼されるドメイン」リストに完全修飾ドメイン名形式でドメイン名を追加します。VMware Identity Managerでは、完全修飾ドメイン名が必要です。詳細については、「Citrix 公開アプリケーションおよびデスクトップの起動」を参照してください。

n Citrix 展開環境に Citrix NetScaler Gateway サーバが含まれていて、Web Interface SDK を使用して Citrix サーバファームに接続する場合は、NetScaler Gateway サーバに関連付けられている Citrix Secure Ticket Authority(STA) サーバの URL を取得します。「NetScaler ゲートウェイの STA サーバ URL の取得」を参照してください。

n お使いの Citrix XenApp または XenDesktop のバージョンについては、Citrix ドキュメントを参照してください。

n VMware Identity Manager でこの手順を実行するには、カタログサービスでデスクトップアプリケーションの管理アクションを含む管理者ロールを使用します。

n この手順の最後に、クライアントアクセスの FQDN を構成するための [ネットワーク範囲] ページにリダイレクトされます。[ネットワーク範囲] ページを編集して保存するには、スーパー管理者ロールが必要です。この手順は個別に実行できます。

手順




4 ソースタイプとして [Citrix 公開アプリケーション] を選択します。

5 新しい Citrix XenApp ウィザードで、[コネクタおよび Broker] ページに次の情報を入力します。


名前 Citrix 仮想アプリケーションのコレクションの一意の名前を入力します。



している場合は、すべてのコネクタインスタンスが [ホスト] のリストに表示され、このコレクションのフェイルオーバーの順序で並べ替えることができます。リストを並べ替えるには、

行をクリックして目的の位置にドラッグします。



VMware, Inc. 153


Integration Broker の同期このコレクション内のリソースを同期するために使用する Integration Broker インスタンスの接続情報を入力します。

n [ホスト]：Integration Broker インスタンスの完全修飾ドメイン名を入力します。たとえば、ibserver.exaample.com などです。

同期のための複数の Integration Broker インスタンスの前にロードバランサを構成した場合は、そのロードバランサのホスト名または IP アドレスを入力します。

n [ポート]：Integration Broker インスタンスまたはロードバランサのポート番号を入力します。

n [SSL を使用]：SSL 経由で Integration Broker に接続するには、[SSL を使用] を有効にして、Integration Broker サーバの SSL 証明書をコピーし、[SSL 証明書] ボックスに貼り付けます。---BEGIN CERTIFICATE---- および -----END CERTIFICATE---- を含むすべての行を入力します。

この仮想アプリケーションのコレクションに含まれるリソースが VMware IdentityManager に同期される際に、証明書が使用されます。

Integration Broker の起動このコレクションの起動リクエストを処理するために使用する Integration Broker インスタンスの接続情報を入力します。SSL 経由で SSL Integration Broker に接続する必要があります。SSL Integration Broker は SSO Integration Broker と同じにすることができます。

n [ホスト]：Integration Broker インスタンスの完全修飾ドメイン名を入力します。たとえば、ibserver.example.com などです。

起動するための複数の Integration Broker インスタンスの前にロードバランサを構成した場合は、そのロードバランサの完全修飾ドメイン名を入力します。

注: IP アドレスを使用しないでください。

n [ポート]：Integration Broker インスタンスまたはロードバランサのポート番号を入力します。

n [SSL 証明書]：Integration Broker サーバの SSL 証明書をコピーして、[SSL 証明書] ボックスに貼り付けます。---BEGIN CERTIFICATE---- および -----END CERTIFICATE---- を含むすべての行を入力します。

この仮想アプリケーションのコレクションからリソースを起動する際に、証明書が使用

されます。


7 [サーバファーム] ページで、[サーバファームの追加] をクリックし、Citrix サーバファームの情報を入力します。


バージョン Citrix XenApp または XenDesktop 展開のバージョン（6.0、6.5、または 7.x）を選択します。

サーバ [サーバの追加] をクリックし、Citrix XML サーバ（XML ブローカー）の完全修飾ドメイン名を追加します。たとえば、xenappserver.example.com などです。1 つ以上の Citrix XMLサーバを追加する必要があります。

複数のサーバを追加するには、[サーバの追加] をクリックして、サーバを追加します。

フェイルオーバーの順序にサーバを編成します。VMware Identity Manager は、SSO の場合、およびフェイルオーバー状態では、この順序に従います。リストを並べ替えるには、行

をクリックして目的の位置にドラッグします。リストからサーバを削除するには、行の右側

にある [x] アイコンをクリックします。

注: XML ブローカーでは PowerShell リモーティングを有効にする必要があります。


VMware, Inc. 154


起動の設定 VMware Identity Manager が Citrix リソースの起動リクエストを処理する方法を選択します。Citrix StoreFront が展開されている場合は、[StoreFront] を選択します。それ以外の場合は、[Web Interface SDK] を選択します。1 つのオプションのみを選択して情報を入力する必要があります。


VMware, Inc. 155


StoreFront Citrix StoreFront REST API を使用して Citrix リソースを起動する場合は、このオプションを選択します。このオプションを選択すると、Integration Broker は Citrix StoreFront RESTAPI を使用して StoreFront サーバと通信し、ICA ファイルを取得します。

n [StoreFront サーバ URL]

StoreFront サーバの URL を次の形式で入力します。

<transportType>://<storefrontServerFQDN>/Citrix/<storen

ame>Web

たとえば、http://xen76.example.com/Citrix/mystoreWeb のように

なります。

注: これは、StoreFront サーバの Web サイトの URL です。

重要: その後、仮想アプリケーションのコレクションを作成した後、XenApp の内部ネットワーク範囲を構成するときに、[クライアントアクセス URL ホスト] フィールドに同じ URL を入力するようにします。

注: 仮想アプリケーションのコレクションを作成して同期した後、[StoreFront] オプションを使用しないことを選択した場合は、ネットワーク範囲のクライアントアクセス URL も更新するようにしてください。

Web Interface SDK Citrix Web Interface SDK を使用して Citrix リソースを起動する場合は、このオプションを選択します。このオプションを選択しない場合、Integration Broker は Citrix Web InterfaceSDK を使用して Citrix コンポーネントと通信し、ICA ファイルを取得します。

n [転送のタイプ]

Citrix サーバ構成で使用される転送のタイプ（HTTP、HTTPS、または SSL RELAY）を選択します。これは、Citrix サーバ構成と一致している必要があります。

n [ポート]

Citrix サーバ構成で使用されるポートを入力します。これは、Citrix サーバ構成と一致している必要があります。

n [SSL リレーポート]

Citrix サーバ構成で使用される SSL リレーポートを入力します。このオプションは、転送のタイプに SSL RELAY を選択した場合にのみ表示されます。

n [STA サーバ]

Citrix 展開環境に NetScaler Gateway サーバが含まれている場合は、それに関連付けられている Secure Ticket Authority (STA) サーバを指定します。STA サーバは、NetScaler Gateway サーバへのアクセスを制御するために使用されます。

1 [STA サーバを追加] をクリックして、次の形式で STA サーバの URL を入力します：<transporttype>://<server>:<port>

たとえば、http://staserver.example.com:80 のように入力します。

URL に使用できるのは、英数字、ピリオド (.)、ハイフン (-) のみです。

2 複数の STA サーバを追加するには、[STA サーバを追加] をクリックして、サーバを追加します。

3 フェイルオーバーの順序で STA サーバを編成します。行を移動するには、行の左側にあるハンドルをクリックして、目的の場所にドラッグします。リストからサーバ

を削除するには、行の右側にある [x] アイコンをクリックします。



VMware, Inc. 156



同期間隔コレクション内のリソースを Citrix サーバファームから VMware Identity Manager に同期する頻度を選択します。


は、毎日または毎週などの間隔を選択し、同期を実行する時刻を選択します。[手動] を選択した場合は、コレクションを作成した後、および Citrix リソースまたは資格に変更が発生したときに、[仮想アプリケーションのコレクション] ページの [同期] をクリックする必要があります。

重複するアプリケーションを同期複数のサーバで同じアプリケーションを重複して同期しないようにするには、[いいえ] に設定します。

VMware Identity Manager が複数のデータセンターで展開されると、同じリソースが複数のデータセンターでセットアップされます。このオプションを [いいえ] に設定すると、VMware Identity Manager カタログ内のアプリケーションとデスクトップは複製されません。

サーバファームからカテゴリを同期 Citrix サーバから VMware Identity Manager にカテゴリを同期する場合は、このオプションを有効にします。






11 [サマリ] ページで選択内容を確認し、[ ネットワーク範囲の保存および設定] をクリックします。

コレクションは作成されていますが、コレクション内のリソースはまだ同期されていません。[ネットワーク範囲] ページが表示されます。

次のステップ

n リソースの起動用のネットワーク範囲を設定します。「VMware Identity Manager での Citrix リソースの起動の設定」を参照してください。

n コレクション内のリソースと資格を Citrix サーバから VMware Identity Manager に同期するには、[仮想アプリケーションのコレクション] ページでコレクションを選択し、[同期] をクリックします。

注: VMware Identity Manager は Citrix 匿名ユーザーグループ機能をサポートしていません。


VMware, Inc. 157

VMware Identity Manager での Citrix リソースの起動の設定[Citrix 公開アプリケーション] ページを設定したら、リソースの起動用のネットワーク IP アドレス範囲を設定します。特定のネットワーク範囲からのユーザーのアプリケーションまたはデスクトップの起動トラフィック（ICA トラフィック）を、NetScaler を介してルーティングするか XenApp サーバに直接接続するかを指定できます。これにより、展開環境における Citrix リソースに対して、外部アクセスと内部アクセスの両方のユーザーニーズに対応できます。

ユーザーが Workspace ONE カタログからアプリケーションまたはデスクトップを起動するときに、そのユーザーのIP アドレスが NetScaler 用に構成したネットワーク範囲内であった場合、ICA トラフィックは NetScaler 経由でXenApp サーバにルーティングされます。その IP アドレスが直接接続用の IP 範囲内の場合、ICA トラフィックは直接 XenApp サーバにルーティングされます。

内部ネットワークのリソース起動の構成

ユーザーのアプリケーションまたはデスクトップの起動トラフィック（ICA トラフィック）を XenApp サーバに直接ルーティングするネットワーク範囲を構成します。この構成は通常、Citrix 公開リソースへの内部アクセスの提供に使用されます。

ユーザーが Workspace ONE カタログからアプリケーションまたはデスクトップを起動するときに、そのユーザーのIP アドレスが内部ネットワークの範囲内であった場合、ICA トラフィックは直接 XenApp サーバにルーティングされます。

注: 外部ネットワークのリソース起動の設定ついては、「NetScaler による外部ネットワークのリソース起動の設定」を参照してください。

前提条件

[ネットワーク範囲] ページを編集して保存するには、スーパー管理者ロールが必要です。

手順



3 ネットワーク範囲を設定する Citrix コレクションをクリックします。

4 [ネットワーク範囲を編集] をクリックします。

5 [ネットワーク範囲] ページで、内部 Citrix リソースの起動用に構成するネットワーク範囲をクリックし、内部ネットワークから Citrix リソースにアクセスするエンドユーザーが正しいサーバに接続できるようにします。




VMware, Inc. 158

c [XenApp ファーム] セクションまでスクロールします。

このセクションには、Citrix 仮想アプリケーションのコレクションで構成したすべての XenApp サーバが一覧表示されます。

d 各 XenApp サーバに対して、このネットワーク範囲に対する適切な値を入力します。


クライアントアクセスの FQDN Citrix 仮想アプリケーションのコレクションの起動設定として [StoreFront] オプションが選択されている場合は、[StoreFront URL] テキストボックスに入力したものと同じURL を入力します。

それ以外の場合は、XenApp サーバのホスト名を入力します。たとえば、xenapphost.example.com。のように入力します。XenApp サーバの前にロード

バランサがある場合は、次の形式を使用します：

<loadbalancerURL>/citrix/storeweb

ポートサーバポート。たとえば、443 と指定します。

[クライアントアクセスの FQDN] テキストボックスにロードバランサの URL を入力した場合は、ポート 443 を使用します。

NetScaler このオプションを [いいえ] に設定します。


f 必要に応じて、これらの手順を繰り返して、他のネットワーク範囲を編集します。

g [ネットワーク範囲] ページで [終了] をクリックします。

NetScaler Gateway による外部ネットワークのリソース起動の構成VMware Identity Manager は、NetScaler Gateway を含む Citrix 展開環境をサポートします。NetScaler Gatewayは、通常、XenApp または XenDesktop アプリケーションまたはデスクトップへの外部からのアクセスを実現するために使用されます。

お使いの Citrix 展開環境に NetScaler Gateway アプライアンスが含まれている場合は、ユーザーが Citrix リソースを起動するときにトラフィックが NetScaler Gateway アプライアンス経由で XenApp サーバにルーティングされるよう VMware Identity Manager を適切な設定で構成できます。VMware Identity Manager コンソールで、XenAppファームごとに、NetScaler Gateway アプライアンスに関連付けられている Secure Ticket Authority (STA) サーバを指定します。 STA サーバは、アプリケーション起動プロセス中に STA チケットを生成して検証するために使用されます。


VMware, Inc. 159

また、クライアントネットワークの IP アドレス範囲について、起動トラフィックが NetScaler Gateway 経由でXenApp サーバにルーティングされるようにするか、それとも XenApp サーバに直接ルーティングされるようにするかを指定するポリシーも設定できます。これにより、外部からのアクセスと内部からのアクセスの両方のニーズに

対応できるようになります。

注: VMware Identity Manager はまた、Citrix セキュアゲートウェイもサポートします。このセクションの構成手順は、NetScaler Gateway と Citrix Secure Gateway の両方に適用されます。

注: VMware Identity Manager で NetScaler Gateway を構成するには、Integration Broker 2.4 以降を使用する必要があります。

NetScaler ゲートウェイの STA サーバ URL の取得

VMware Identity Manager で NetScaler Gateway 設定を構成する前に、NetScaler Gateway アプライアンスに関連付けられた Secure Ticket Authority (STA) サーバの URL を取得します。

ここでは、NetScaler 11 の手順を示します。

手順

1 NetScaler の管理インターフェイスで、[構成] - [NetScaler ゲートウェイ] - [仮想サーバ]に移動します。

2 仮想サーバをダブルクリックします。

3 表示されるウィンドウの [公開アプリケーション] で、[STA サーバ] をクリックします。


VMware, Inc. 160

4 Secure Ticket Authority サーバの URL をメモしておきます。

VMware Identity Manager での NetScaler Gateway の構成

VMware Identity Manager で NetScaler Gateway を構成するには、お使いの Citrix 展開環境の XenApp ファームごとに Secure Ticket Authority (STA) サーバを指定します。STA サーバは、アプリケーションまたはデスクトップの起動プロセスで、STA チケットを生成および検証するために使用されます。

ユーザーが Citrix アプリケーションまたはデスックトップを起動するときに、VMware Identity Manager は STAサーバからチケットを取得します。チケットは他の情報とともに NetScaler Gateway に提示され、NetScaler Gatewayによって STA サーバでチケットが検証されてから、XenApp ファームへの安全な接続が確立されます。

注: このトピックの情報は、Citrix セキュアゲートウェイにも適用されます。

前提条件

n 各 XenApp ファームの STA サーバ情報を取得します。「NetScaler ゲートウェイの STA サーバ URL の取得」を参照してください。

手順



VMware, Inc. 161

2 STA サーバを指定するコレクションをクリックし、[編集] をクリックします。

3 Citrix XenApp コレクションの編集ウィザードで、左側のペインの [サーバファーム] をクリックします。

4 編集するサーバファームをクリックします。

5 [STA サーバ] セクションまでスクロールし、[STA サーバを追加] をクリックします。

6 STA サーバの URL を次の形式で入力します：

<transporttype>://<server>:<port>

たとえば、http://staserver.example.com:80 のように入力します。

URL に使用できるのは、英数字、ピリオド (.)、ハイフン (-) のみです。

7 必要に応じて、[STA サーバを追加] をクリックして STA サーバを追加します。

たとえば、展開環境にはフェイルオーバーの目的で 2 つ目の STA サーバを含めることができます。

8 複数の STA サーバを追加した場合は、各行の左側にあるハンドルをクリックし、その行を目的の位置にドラッグすることで、STA サーバをフェイルオーバーの順序に並べ替えます。


10 お使いの展開環境に複数の XenApp ファームがある場合は、これらの手順を繰り返してファームごとに STA サーバを指定します。

次のステップ

起動トラフィックが NetScaler Gateway 経由で XenApp サーバにルーティングされるように、特定のネットワークIP アドレス範囲を指定するポリシーを構成します。

NetScaler Gateway のネットワーク範囲の構成

ユーザーのアプリケーションまたはデスクトップの起動トラフィック（ICA トラフィック）を NetScaler Gatewayを介して XenApp サーバにルーティングするネットワーク範囲を構成できます。これは通常、Citrix 公開リソースへの外部アクセスの提供に使用されます。

ユーザーが Workspace ONE ポータルまたはアプリケーションからアプリケーションまたはデスクトップを起動するときに、そのユーザーの IP アドレスが NetScaler Gateway 用に構成した IP アドレス範囲内であった場合、ICA トラフィックは NetScaler Gateway 経由で XenApp サーバにルーティングされます。

注: 内部ネットワークのリソース起動の設定については、「内部ネットワークのリソース起動の構成」を参照してください。

注: このトピックの情報は、Citrix セキュアゲートウェイにも適用されます。NetScaler Gateway の代わりに CitrixSecure Gateway を使用している場合は、Secure Gateway のホスト名とポートを入力し、[NetScaler] チェックボックスをオンにします。

前提条件

n 「VMware Identity Manager での NetScaler Gateway の構成」で説明されているように、Citrix 仮想アプリケーションのコレクションで NetScaler Gateway を構成していること。


VMware, Inc. 162

n この手順を実行するには、スーパー管理者ロールが必要です。

手順


2 ネットワーク範囲を設定する Citrix コレクションをクリックします。

3 [ネットワーク範囲を編集] をクリックします。

4 [ネットワーク範囲] ページで、Netscaler Gateway に対して構成するネットワーク範囲をクリックします。



c [XenApp ファーム] セクションまでスクロールします。

このセクションには、Citrix 仮想アプリケーションのコレクションで構成したすべての XenApp サーバが一覧表示されます。

d 各 XenApp サーバに対して、このネットワーク範囲に対する適切な値を入力します。


クライアントアクセスの FQDN NetScaler Gateway アプライアンスのホスト名。例：

netscalerhost.example.com

ポート NetScaler Gateway アプライアンスのポート。たとえば、443 と入力します。

NetScaler このオプションを [はい] に設定します。


f 必要に応じて、これらの手順を繰り返して、他のネットワーク範囲を編集します。

g [ネットワーク範囲] ページで [終了] をクリックします。

Citrix 統合のための VMware Identity Manager 設定の構成Citrix 統合のために VMware Identity Manager でいくつかの設定を構成できます。

Citrix 公開リソースのカテゴリの管理VMware Identity Manager コンソールおよび Citrix 展開環境を使用して、Citrix 公開リソースのカテゴリを管理できます。


VMware, Inc. 163

Citrix 環境では、リソースのプロパティの [クライアントアプリケーションフォルダ] テキストボックスを編集して、Citrix 公開アプリケーションまたはデスクトップにカテゴリ名を付けます。Citrix 環境を VMware Identity Managerに統合すると、Citrix 公開アプリケーションおよびデスクトップ用の既存のカテゴリ名は VMware Identity Managerに引き継がれます。

統合後は、Citrix 展開環境で引き続きカテゴリを作成できます。コレクションの [カテゴリをサーバファームから同期] チェックボックスを有効にすると、次回の同期の間に新しいカテゴリが VMware Identity Manager に引き継がれます。「VMware Identity Manager での Citrix サーバファームの構成」を参照してください。

VMware Identity Manager で直接カテゴリを作成することもできます。VMware Identity Manager コンソールの[カタログ] - [仮想アプリケーション] ページからカテゴリを作成、割り当て、および表示できます。

VMware Identity Manager でカテゴリを作成した場合、カテゴリは Citrix 展開環境には表示されません。

Citrix 展開環境でカテゴリを作成した場合、カテゴリは次回の同期時に VMware Identity Manager に表示されます。Citrix 展開環境でカテゴリ名を更新した場合、更新したカテゴリ名は VMware Identity Manager に表示され、元のカテゴリ名も残されます。元のカテゴリ名を VMware Identity Manager から削除するには、手動で削除する必要があります。

Citrix 公開リソースに対する配信設定（ICA プロパティ）の構成VMware Identity Manager コンソールで Citrix 公開リソースの配信設定を編集できます。これらの設定は、構成済みの Citrix 展開環境で Citrix 公開リソースをユーザーに配信する方法を定義します。

配信設定を構成するには、Independent Computing Architecture (ICA) プロパティを編集します。ICA は Citrix独自のプロトコルです。セキュリティ、表示、圧縮などの領域を制御する広範な ICA プロパティを利用できます。ICA プロパティの構成の詳細については、Citrix のドキュメントを参照してください。

VMware Identity Manager にはデフォルトの配信設定が含まれています。これらはグローバル設定であり、VMware Identity Manager サービス内のすべての Citrix 公開リソースに適用されます。デフォルト設定の編集や、新しい設定の追加ができます。

すべての Citrix 公開リソースの ICA プロパティの編集

VMware Identity Manager 展開環境のすべての Citrix 公開アプリケーションおよびデスクトップの配信設定（ICAプロパティ）を編集できます。これらの設定は、Web Interface SDK オプションが選択されているコレクションにのみ適用されます。

[ICA プロパティ] フィールドでは、編集が行われるまでデフォルト値が使用されます。

手順

1 VMware Identity Manager コンソールで、[カタログ] - [仮想アプリケーション] タブを選択し、[設定] をクリックします。

2 左側のペインで、展開環境に基づいて [Citrix XenApp] または [Citrix XenDesktop] をクリックします。


VMware, Inc. 164

3 Citrix ガイドラインに従って ICA プロパティを編集します。

n XenApp または XenDesktop サーバに直接送られる起動トラフィックのプロパティを編集するには、[ICA構成] セクションを編集します。

n NetScaler Gateway を介してルーティングされる起動トラフィックのプロパティを編集するには、[NetScalerICA 構成] セクションを編集します。

例：


個々のリソースに独自のリソース配信設定が指定されていない限り、VMware Identity Manager を介して使用できる Citrix 公開リソースが Citrix 展開でユーザーに配信される際に、この展開によってグローバル ICA プロパティが適用されます。

特定のアプリケーションおよびデスクトップ向けのアクセスポリシーの設定デフォルトのアクセスポリシーセットは、カタログに含まれるすべてのアプリケーションおよびデスクトップに適用されます。また、個別のアプリケーションやデスクトップにアクセスポリシーを設定することもできます。この設定はデフォルトのアクセスポリシーよりも優先されます。




VMware, Inc. 165

手順














Citrix 公開リソースに対するユーザーおよびグループ割り当ての表示VMware Identity Manager コンソールでは、Citrix 公開アプリケーションおよびデスクトップのユーザーおよびグループ割り当てを表示することができます。これらの割り当ては Citrix 展開環境で設定され、VMware Identity Manager と同期されます。VMware Identity Manager から割り当てを編集することはできません。

前提条件

最新の更新を表示するには、[カタログ] - [仮想アプリケーションのコレクション] ページで、リソースと資格を Citrixサーバファームから VMware Identity Manager に手動で同期します。

手順



VMware, Inc. 166

2 Citrix 公開リソースに対するユーザーおよびグループ割り当てを表示します。

Citrix 公開リソースには、Citrix 公開アプリケーションと Citrix 公開デスクトップが含まれます。これらは配信グループとも呼ばれます。


特定の Citrix 公開アプリケーションまたはデスクトップに割り当てられているユーザーとグルー

プを一覧表示します。


b (オプション) [タイプ] 列見出しのアイコンをクリックし、[Citrix 公開アプリケーション]および [Citrix 公開配信グループ] を選択して、すべての Citrix 公開リソースを表示します。アプリケーションまたはデスクトップを名前で検索することもできます。




特定のユーザーまたはグループの Citrix 公開アプリケーションおよびデスクトップ割り当ての

一覧表示





ユーザーまたはグループの Citrix 公開アプリケーションおよびデスクトップ割り当てが一覧表示されます。

さまざまなブラウザでの Citrix 公開リソースの起動ユーザーが Workspace ONE ポータルから Citrix 公開デスクトップまたはアプリケーションを起動すると、ICA ファイルがダウンロードされ、Citrix Receiver に渡されます。Citrix Receiver は、Citrix 公開デスクトップとアプリケーションを起動するネイティブオペレーティングシステムアプリケーションです。プラットフォームやブラウザによって、起動の環境が異なります。

起動プロセス

プラットフォームとブラウザによって、アプリケーションやデスクトップの起動方法が異なります。アプリケーショ

ンやデスクトップが直接起動される場合があります。直接起動されない場合には、アプリケーションまたはデスクトッ

プを直接起動できるように、.ica ファイルタイプを Citrix Receiver に最初に関連付けておく必要があります。場合によっては、ダウンロードした ICA ファイルをクリックして、アプリケーションやデスクトップを起動する必要があります。詳細はついては、表を参照してください。

プラットフォームブラウザアプリケーションやデスクトップの起動方法必要な操作

Windows Firefox アプリケーションやデスクトップを直接起動します。なし

Chrome アプリケーションやデスクトップを直接起動します。

注: Citrix 4.5 Receiver と XenDesktop には、デリバリグループの起動に関する既知の問題があります。

なし

InternetExplorer

.ica の拡張子がある ICA ファイルをダウンロードします。このファイルタイプが Citrix Receiver に関連付けられると、アプリケーションやデスクトップは自動的に

起動します。

ブラウザで、.ica のファイルタイプをCitrix Receiver に関連付けます。


VMware, Inc. 167

プラットフォームブラウザアプリケーションやデスクトップの起動方法必要な操作

Edge アプリケーションやデスクトップを直接起動します。

注: Citrix 4.5 Receiver と XenDesktop には、デリバリグループの起動に関する既知の問題があります。

なし

Mac Safari、Firefox アプリケーションやデスクトップを直接起動します。なし

Chrome アプリケーションやデスクトップを直接起動します。なし

Windows Surface Chrome .ica の拡張子がある ICA ファイルをダウンロードします。このファイルタイプが Citrix Receiver に関連付けられると、アプリケーションやデスクトップは自動的に

起動します。

ブラウザで、.ica のファイルタイプをCitrix Receiver に関連付けます。

Android Chrome ICA ファイルをダウンロードします。 ICA ファイルをクリックし、デスクトップまたはアプリケーションを起動しま

す。

iOS Safari ICA ファイルをダウンロードします。 ICA ファイルをクリックし、デスクトップまたはアプリケーションを起動しま

す。

Chrome ICA ファイルをダウンロードできません。このシナリオはサポートされません。

Firefox での Citrix Receiver プラグインの許可

Firefox では、ユーザーが Citrix 公開アプリケーションを起動すると、Citrix Receiver プラグインを許可するように求められます。

https://<IdentityManagerHostname> が Citrix Receiver を実行するのを許可しますか?

ユーザーは [今すぐ許可] または [今後は常に許可] をクリックしてアプリケーションを起動する必要があります。

Citrix 公開リソースの統合に対するアップグレードの影響VMware Identity Managerのアップグレードや Citrix 製品のアップグレードを行った後に VMware Identity Managerと Citrix 公開リソースとの統合を維持するために追加のセットアップを行う必要はありません。

Integration Broker をアップグレードするには、古いバージョンをアンインストールしてから、新しいバージョンをインストールする必要があります。

Citrix Receiver の再インストールについては、Citrix のマニュアルを参照してください。


VMware, Inc. 168

Workspace ONE でサードパーティの管理対象アプリケーションへのアクセスを提供 9サードパーティの ID プロバイダをアプリケーション送信元として Workspace ONE カタログに追加して、これらのサードパーティ ID プロバイダから Workspace ONE への多数のアプリケーションの展開を簡素化できます。ID プロバイダをアプリケーション送信元として追加することで、そのプロバイダから個々のアプリケーションをエンドユーザーカタログに追加するプロセスが効率化されます。

SAML 2.0 認証プロファイルを使用する Web アプリケーションがカタログに追加できます。アプリケーションの構成は、アプリケーション送信元で構成された設定に基づきます。アプリケーション名とターゲット URL のみを構成する必要があります。

アプリケーションを追加するときに、ユーザーおよびグループにアプリケーション資格を付与し、アクセスポリシーを適用してアプリケーションへのユーザーアクセスを制御できます。ユーザーは、自分のデスクトップまたはモバイルデバイスから Workspace ONE ポータルのこれらのアプリケーションにアクセスできます。

サードパーティのアプリケーション送信元から構成された設定とポリシーは、アプリケーション送信元によって管理

されるすべてのアプリケーションに適用できます。

サードパーティの ID プロバイダは、ユーザーがどのアプリケーションにアクセスしようとしているかの情報を含めずに認証要求を送信することがあります。VMware Identity Manager がアプリケーション情報を含まない認証要求を受信すると、個々のアプリケーションに設定されているルールではなく、アプリケーション送信元で構成されてい

るバックアップアクセスポリシールールが適用されます。

次の ID プロバイダが Workspace ONE カタログのアプリケーション送信元として構成できます。

n Okta

n Ping Identity の Ping Federate を搭載したサーバ

n Active Directory フェデレーションサービス (ADFS)


n アプリソースを Workspace ONE カタログに追加

n ユーザーにアプリソースの資格を付与

n アプリケーション送信元によって管理されるアプリケーションを追加

VMware, Inc. 169

アプリソースを Workspace ONE カタログに追加[カタログ] > [設定] ページでアプリソースを構成し、サードパーティのアプリケーションを Workspace ONE カタログに統合します。アプリソースを構成したら、送信元のアプリケーションを Workspace ONE カタログに追加できます。

全般的な構成設定は、アプリソースレベルで設定されます。Workspace ONE カタログに追加するアプリソースのアプリケーションは、これらの構成設定を使用します。アプリソースを一度構成すると、複数のアプリケーションを簡単にカタログに追加できるようになります。

手順


2 [カタログ] - [Web アプリケーション] タブをクリックし、[設定] をクリックします。

3 [アプリソース] を選択します。

4 構成するアプリソースのタイプを選択します。

5 アプリソースのわかりやすい名前を入力し、[次へ] をクリックします。

6 アプリソースの構成を変更します。


URL/XML 自動検出 URL、メタデータ XML、または手動検出を使用するには、URL/XML を選択します

n 自動検出（メタデータ） URL。XML メタデータがインターネットでアクセス可能な場合は、URL を入力します。

n メタデータ XML。インターネットで XML メタデータにアクセスできない場合、入手したものがあれば、テキストボックスにメタデータ XML を貼り付けます。

n 手動構成。XML メタデータを利用できない場合は、表示されているテキストボックスにXML を手動で構成します。

リレー状態 URL シングルサインオン URL を認証した後、ユーザーが Workspace ONE によって送られるカスタムのトップページを入力します。

[高度な構成オプション]

応答に署名有効。応答全体が署名されます。

アサーションに署名アサーションに署名できるようにします。

アサーションの暗号化有効にすると、SAML アサーションが暗号化されます。暗号化を機能させるには、暗号化された SAML アサーションを読み取る機能がサポートされている必要があります。

アサーションの署名を含める SAML 応答内に Workspace ONE 署名証明書を含める場合は有効にします。アプリケーションサービスプロバイダは、SAML 応答にこの署名証明書を含めるように要求する場合があります。

署名アルゴリズム署名に使用する安全な暗号化ハッシュアルゴリズムとして [RSA SHA256] を選択します。

ダイジェストアルゴリズム SHA256 を選択します。

アプリケーションログイン URL サービスプロバイダによる Workspace ONE への開始ログインをトリガするには、アプリケーションサービスプロバイダのログインページ URL を入力します。一部のアプリケーションサービスプロバイダは、Workspace ONE から直接送信されたシングルサインオンアサーションをサポートせず、ログイン処理を独自のログインページで開始するように要求する場合があります。


VMware, Inc. 170


認証失敗の通知の有効化有効化すると、ログインの試行が失敗したときに、SAML 障害時対応がサービスプロバイダに送信されます。

プロキシカウントサービスプロバイダと認証 ID プロバイダ間のプロキシレイヤー数を制限するためのプロキシカウントを設定します。

API へのアクセスこのアプリケーションへの API アクセスを許可します。


8 アクセスポリシーを選択します。デフォルトのアクセスポリシーがこのアプリケーションの要件を満たしていることを確認するか、ドロップダウンメニューから別のアクセスポリシーを選択します。

アプリソースが構成されます。

次のステップ

関連付けられているアプリケーションをカタログに追加します。

ユーザーにアプリソースの資格を付与すべてのユーザーにアプリソースの資格を付与します。特定のアプリケーション構成ページから資格を管理できます。

手順

1 VMware Identity Manager コンソールの [カタログ] - [Web アプリケーション] ページで、リストからアプリソースを選択します。

2 [割り当て] をクリックします。

3 検索ボックスに [ALL USERS] と入力して、ALL USERS グループを検索して選択します。


すべてのユーザーが、アプリソースで管理されるアプリケーションにアクセスできます。特定のアプリケーション資格ページから資格を管理できます。

次のステップ

アクセスポリシーは、自動的にデフォルトのアクセスポリシーに設定されます。これが使用する適切なアクセスポリシーであることを確認します。

アプリソースから個別のアプリケーションを追加します。

アプリケーション送信元によって管理されるアプリケーションを追加

ID プロバイダをアプリケーション送信元として構成した後、SAML 2.0 認証プロファイルを使用する Web アプリケーションを Workspace ONE カタログに追加できます。

前提条件

[カタログ] > [設定] ページでアプリケーション送信元として構成されたサードパーティの ID プロバイダ。


VMware, Inc. 171

手順

1 VMware Identity Manager の管理コンソールにログインします。

2 [カタログ] - [Web アプリケーション] タブをクリックします。


4 [定義] ページで情報を入力したら、[次へ] をクリックします。

フォーム項目説明

[名前] アプリケーションの名前を入力します。

[説明] （オプション）アプリケーションの説明を追加します。

[アイコン] （オプション）ユーザーの Workspace ONEアプリケーションページに表示されるアイコンを追加するには、[ファイルを選択] をクリックしてアイコンをアップロードします。

ファイル形式で最大 4 MB のアイコンがサポートされます。アップロードされたアイコンは 80px x 80px にサイズ変更されます。

イメージの歪みを防ぐには、高さと幅を等しくし、できる限り 80px x 80px の寸法に近いアイコンをアップロードします。

5 [構成] ページの [認証タイプ] ドロップダウンメニューで、このアプリケーションのアプリケーション送信元を選択します。アプリケーションのターゲット URL を入力します。

この URL は、アプリケーション送信元に表示されるアプリケーションの ID プロバイダ URL、またはサービスプロバイダ URL のいずれかです。

構成には、アプリケーション送信元の構成値が入力されます。

6 [アクセスポリシー] ページで、デフォルトのアクセスポリシーがこのアプリケーションの要件を満たしていることを確認するか、ドロップダウンメニューから別のアクセスポリシーを選択します。

『VMware Identity Manager の管理』ガイドの「アクセスポリシーの管理」セクションを参照してください。

アプリケーションが Workspace ONE カタログに追加され、ユーザーは Workspace ONE ポータルからアプリケーションにアクセスできます。

次のステップ

ユーザーがアプリケーション送信元に割り当てられている場合は、自動的にアプリケーションに割り当てられます。

アプリケーションに割り当てられているユーザーとグループは、変更することができます。


VMware, Inc. 172

VMware Identity Manager リソース構成のトラブルシューティング 10VMware Identity Manager リソースの構成後に発生する問題のトラブルシューティングを行えます。


n 起動エラーのトラブルシューティング

n ThinApp 統合のトラブルシューティング

n Horizon 統合のトラブルシューティング

n Citrix 公開リソースの統合のトラブルシューティング

起動エラーのトラブルシューティング

VMware Identity Manager コンソールで根本原因および推奨されるソリューションに関するエラーメッセージを表示して、Horizon、Horizon Cloud、Citrix リソースの起動エラーをトラブルシューティングできます。

手順

1 VMware Identity Manager コンソールで、[ダッシュボード] - [レポート] タブを選択します。

2 レポートのリストから、[監査イベント] を選択します。

3 タイプを [LAUNCH] または [LAUNCH_ERROR] に設定します。

4 時間枠を選択し、[表示] をクリックします。

ThinApp 統合のトラブルシューティングVMware Identity Manager で ThinApp の構成をトラブルシューティングするには、この情報を使用します。

ユーザーポータルからの ThinApp パッケージの起動が失敗するVMware Identity Manager Desktop アプリケーションがすでにインストール済みで実行されているにもかかわらず、ユーザーがユーザーポータルから ThinApp パッケージを起動しようとすると、このアプリケーションをダウンロードおよびインストールするようユーザーに促すブラウザメッセージが表示される場合があります。

VMware, Inc. 173

問題

VMware Identity Manager Desktop アプリケーションをインストールした後、ユーザーがその Windows システムのブラウザでユーザーポータルを開き、ログインし、ThinApp パッケージを起動しようとすると、VMware IdentityManager Desktop アプリケーションをシステムにインストールするよう促すメッセージが表示されて、ThinAppパッケージを起動できない場合があります。このメッセージは、VMware Identity Manager Desktop アプリケーションプロセスが Windows システムで実行中でも表示される場合があります。VMware Identity Manager Desktopアプリケーションで、すべてのファイルが最新であるとレポートされる場合があります。

原因

この問題は、複数の理由によって発生する可能性があります。

原因説明

VMware Identity Manager Desktop ブラウザのプラグインが正しくインストールされていない

か、ユーザーが ThinApp パッケージを起動しようとしているブラウザのブラウザウィンドウで、このプラグインがアクティブ化されていません。

Windows システムで ThinApp パッケージを実行するには、VMware Identity ManagerDesktop アプリケーションのインストールが必須です。したがって、ユーザーポータルは、ThinApp パッケージを起動する前に、ブラウザプラグインを使用してこのアプリケーションがインストール済みであるかどうかを検証します。ユーザーがユーザーポータルで ThinAppパッケージのアイコンをクリックすると、VMware Identity Manager Desktop ブラウザのプラグインは、パッケージを起動する前にアプリケーションがインストールされているかどう

かをチェックします。ブラウザプラグインがインストールされていない場合、またブラウザでアクティブになっていない場合、検証は行われず、メッセージが表示され、パッケージは起

動しません。

VMware Identity Manager Desktop のインストールプロセス中にブラウザウィンドウが開いていると、ブラウザのプラグインがそのブラウザに正しくインストールされない場合があ

ります。ユーザーがブラウザのアドオンまたはプラグインページでプラグインを無効にしている場合、ブラウザのプラグインは非アクティブになる場合があります。

ブラウザから ThinApp パッケージを起動するために使用したカスタムプロトコルハンドラが、ThinApp パッケージを起動しようとしているブラウザで無効になっています。

Workspace ONE ポータルでは、ThinApp パッケージは horizon:// プロトコルがある

リンクを使用して示されます。VMware Identity Manager Desktop アプリケーションのインストール時、インストーラはその horizon:// プロトコルのプロトコルハンドラを登録

します。プロトコルハンドラは HorizonThinAppLauncher.exe という名前の実行可能ファイルで、レジストリエントリHKEY_CLASSES_ROOT\horizon\shell\open\command によってハンドラとし

て登録されます。ユーザーが Workspace ONE ポータルのアイコンから ThinApp パッケージを起動しようとすると、この HorizonThinAppLauncher.exe アプリケーションが起動されます。

ユーザーがブラウザですべてのプロトコルハンドラの使用を無効にしている場合、またはhorizon:// プロトコルのハンドラの使用を無効にしている場合、Workspace ONE ポー

タルのアイコンを使用して ThinApp パッケージを起動することはできません。一部のブラウザでは、プロトコルハンドラが起動され、プロトコルハンドラの実行を選択するオプションがユーザーに示されたときに、警告が表示されます。horizon:// プロトコルハンドラの

使用が無効になるのは、ユーザーが初めていずれかの ThinApp パッケージアイコンをクリックしたとき、ブラウザにプロトコルハンドラを実行する権限を求める警告ダイアログが表示されたとき、起動できないようにユーザーが [いいえ] などを選択し、さらにそのようなリンクをすべて起動できないように [選択内容を保存] などを選択した場合です。プロトコルハンドラを実行する権限が付与されず、その選択が保存されているため、Workspace ONE ポータルから ThinApp パッケージは起動されません。


VMware, Inc. 174

ソリューション

1 ユーザーが自分の VMware Identity Manager ユーザーアカウントを使用して VMware Identity ManagerDesktop アプリケーションにログインしていることを確認します。

ユーザーは Windows システムトレイの VMware Identity Manager アイコンを使用してクライアントにログインします。

2 システムにアプリケーションをインストールした直後にこの問題が起きた場合、開いているすべてのブラウザ

ウィンドウを閉じ、再びブラウザを開き、ユーザーポータルにログインし、ThinApp パッケージの起動を試行します。

3 開いているブラウザウィンドウを閉じてブラウザを再び開いた後でこの問題が起きる場合、ブラウザのプラグインリストにプラグインが表示されるか、またアクティブと表示されるかどうかを確認します。

ブラウザ説明

InternetExplorer

Internet Explorer の場合、ブラウザのプラグインまたはアドオンでなく、COM サーバが登録されます。COM サーバがインストール済みかどうかをテストするには、次のコンテンツを含むテスト HTML ファイルを作成して、Internet Explorerでそのファイルを開きます。その結果には、COM サーバがインストールされているかどうかが記載されています。

<html><script type="text/vbscript">On Error Resume Next

dim objNameobjName = "HorizonAgentFinder.HorizonFinder"dim objSet obj = CreateObject(objName)

document.write(objName & " is ")if IsEmpty(obj) then document.write("not installed") else document.write("installed")end if</script></html>

Firefox [ツール] - [アドオン] をクリックして、Firefox のアドオンマネージャを開きます。[プラグイン] ページで、VMware HorizonAgent Finder ブラウザのプラグインが表示されていることを確認し、これを [常にアクティブ化する] に設定します。

Chrome [設定] ページを開いて [詳細設定を表示] - [コンテンツの設定] をクリックし、Chrome のコンテンツの設定を開きます。[プラグインを個別に無効にする] をクリックしてプラグインリストを表示します。VMware Horizon Agent Finder ブラウザのプラグインが表示されて、[常にアクティベーション] に設定されていることを確認します。

Safari forWindows

[ヘルプ] - [インストール済プラグイン] をクリックして、サファリのインストール済みプラグインのリストを開きます。VMware Horizon Agent Finder ブラウザのプラグインが表示されていることを確認します。プラグインが Safari に対してアクティベーションされていることを確認します。

4 レジストリエントリ HKEY_CLASSES_ROOT\horizon\shell\open\command が存在し、必須プロト

コルハンドラ HorizonThinAppLauncher.exe の場所（Windows システム上に VMware Identity ManagerDesktop アプリケーションがインストールされた場所）を指すパスの値を持つことを確認します。

レジストリエントリが存在しないか、VMware Identity Manager Desktop アプリケーションがインストールされた場所を指す値を持たない場合は、このアプリケーションをアンインストールしてから再度インストールし

ます。


VMware, Inc. 175

5 レジストリエントリが存在し、HorizonThinAppLauncher.exe 実行可能ファイルの場所を指す値を持つ場合は、実行可能ファイルがその場所に存在し、移動または削除されていないことを確認します。

レジストリエントリが存在しないか、VMware Identity Manager Desktop アプリケーションがインストールされた場所を指す値を持たない場合は、このアプリケーションをアンインストールしてから再度インストールし

ます。

6 レジストリエントリが存在し、HorizonThinAppLauncher.exe 実行可能ファイルの場所を指す値を持つ場合は、レジストリエントリ HKEY_CLASSES_ROOT\horizon の (Default) 値が Data 値 URL:horizon Protocol

であること、および HKEY_CLASSES_ROOT\horizon エントリの URL Protocol 値が存在することを確認し

ます。

HKEY_CLASSES_ROOT\horizon レジストリエントリの (Default) 値の Data 値が URL:horizon Protocol

に設定されていない場合は、Data 値を更新して URL:horizon Protocol に設定します。HKEY_CLASSES_ROOT\horizon エントリに URL Protocol 値が存在しない場合は、URL Protocol という

名前でデータ値なしの値を作成します。

7 ユーザーがブラウザで horizon:// プロトコルを無効にしたかどうか、またはブラウザですべてのプロトコル

ハンドラが無効になっているかどうかを確認し、無効になっている場合は、組織のニーズに合わせて適宜ブラウ

ザでプロトコルハンドラを有効にします。

多くの場合、ブラウザはその Windows システムで使用可能なプロトコルハンドラの情報について、レジストリの設定に依拠しています。一部のブラウザでは、ユーザーがプロトコルハンドラに関連付けられているリンクをクリックしたときに、Do you want to allow this website to open a program on your

computer?というような確認をするダイアログプロンプト、または This link needs to be opened

with an applicationなどのように、リンクを処理するには外部アプリケーションを起動する必要がある

ことを示す文が表示されます。一般にダイアログには、外部アプリケーションを起動せず、そのタイプのすべて

のリンクについてその選択を保存するオプションが示されています。プロトコルハンドラに関連付けられているアプリケーションを起動する機能を再度有効にする手順は通常、ブラウザタイプによって異なります。そのブラウザタイプでプロトコルハンドラを有効にする方法については、ユーザーのブラウザタイプのドキュメントを参照してください。

Horizon 統合のトラブルシューティングこの情報を使用して VMware Identity Manager で Horizon 7 または Horizon 6 の構成をトラブルシューティングを行います。

ユーザーが Horizon アプリケーションまたはデスクトップを起動できないユーザーが、VMware Identity Manager ユーザーポータルから Horizon 7 または Horizon 6 アプリケーションまたはデスクトップを起動できない。


VMware, Inc. 176

問題

ユーザーが、VMware Identity Manager ユーザーポータルから Horizon 7 または Horizon 6 アプリケーションまたはデスクトップを起動できず、ユーザーインターフェイスに次のようなエラーが表示されます。

Error launching resource.Please contact your IT Administrator.

原因

このエラーは、Horizon Connection Server インスタンス上の SAML メタデータが、前回の同期の後に有効期限切れになった場合に発生する可能性があります。


1 VMware Identity Manager コンソールで、[カタログ] - [仮想アプリケーションのコレクション] タブをクリックします。

2 Horizon 仮想アプリケーションのコレクションを選択し、[同期 ] をクリックして、Horizon リソースをVMware Identity Manager に再同期します。

Citrix 公開リソースの統合のトラブルシューティングVMware Identity Manager で Citrix 公開リソースの構成をトラブルシューティングするには、この情報を使用します。

「VMware Identity Manager での Citrix 公開リソースの構成のトラブルシューティング」も参照してください。

Citrix 公開リソースを VMware Identity Manager で利用できないIntegration Broker と PowerShell SDK との間で発生する通信問題により、Citrix 公開アプリケーションとデスクトップが VMware Identity Manager カタログに表示されない場合があります。

問題

Citrix を VMware Identity Manager と統合した後、Citrix 公開リソースが VMware Identity Manager カタログに表示されません。

原因

PowerShell SDK との正常な通信を妨げる構成上の問題が、Integration Broker の設定に存在する可能性があります。


ブラウザで URL を指定することで、Integration Broker の構成に関する問題がある場所をトラブルシューティングできます。このトラブルシューティング方法により、構成に関する問題が次の領域にあるかどうかを識別できます。

n Citrix サーバファーム

n Citrix 公開リソース

n リソース資格

予期した結果が Web ページに表示されない場合は、エラーが表示され、Integration Broker のログに情報が追加されます。Integration Broker のログを参照して、トラブルシューティングプロセスを継続します。


VMware, Inc. 177

手順

1 ブラウザを使用して Citrix サーバファームの情報を確認します。

a ブラウザで、次のいずれかのような URL を入力します。URL 内のプレースホルダは、適切な情報に置き換えます。

n Citrix サーバファーム 7.x

https://<IBhostname>/IB/API/RestServiceImpl.svc/hznxenapp/admin/xenfarminfo?computerName=<XenAppServerHostname>&xenappversion=Version7x


https://<IBhostname>/IB/API/RestServiceImpl.svc/hznxenapp/admin/xenfarminfo?computerName=<XenAppServerHostname>&xenappversion=Version65orLater

n Citrix サーバファーム 5.5 または 6.0

https://<IBhostname>/IB/API/RestServiceImpl.svc/hznxenapp/admin/xenfarminfo?computerName=<XenAppServerHostname>&xenappversion=Legacy

b Web ページの内容を確認して、必要に応じて、Integration Broker のログを確認します。

Integration Broker が適切に構成されている場合、Web ページには、次のような Citrix サーバファームの情報が表示されます。

"[{\"FarmName\":\"test data\",\"ServerVersion\":\"6.0.6410\",\"AdministratorType\":\"Full\",\"SessionCount\":\"2\",\"MachineName\":\"testdata\"}]”

Web ページにサーバファームの情報が表示されない場合は、Integration Broker にログ情報が送信されます。問題のトラブルシューティングをさらに続けるには、Integration Broker ホストの%programdata%/VMware/HorizonIntegrationBroker にあるログを確認します。


VMware, Inc. 178

2 ブラウザを使用してサーバファームのすべての Citrix 公開リソースをリストします。



すべてのアプリケーションをリストするには：

https://<IBhostname>/IB/API/RestServiceImpl.svc/hznxenapp/admin/applications?computerName=<XenAppServerHostname>&xenappversion=Version7x

すべての配信グループをリストするには：

https://<IBhostname>/IB/API/RestServiceImpl.svc/hznxenapp/admin/deliveryGroups?computerName=<XenAppServerHostname>&xenappversion=Version7x


https://<IBhostname>/IB/API/RestServiceImpl.svc/hznxenapp/admin/applications?computerName=<XenAppServerHostname>&xenappversion=Version65orLater


https://<IBhostname>/IB/API/RestServiceImpl.svc/hznxenapp/admin/applications?computerName=<XenAppServerHostname>&xenappversion=Legacy


Integration Broker が正しく構成されている場合は、Web ページに Citrix サーバファームのすべてのリソースが一覧表示されます。

Web ページにリソースのリストが表示されない場合は、Integration Broker にログ情報が送信されます。問題のトラブルシューティングをさらに続けるには、Integration Broker ホストの %programdata

%/VMware/HorizonIntegrationBroker にあるログを確認します。


VMware, Inc. 179

3 ブラウザを使用して単一の Citrix 公開リソースの資格をチェックします。


<ApplicationName> プレースホルダは、指定しているアプリケーションの名前に置き換えます。


アプリケーションをチェックするには：

https://<IBhostname>/IB/API/RestServiceImpl.svc/hznxenapp/admin/entitlements?computerName=<XenAppServerHostname>&xenappversion=Version7x&appName=<ApplicationName>

配信グループをチェックするには：

https://<IBhostname>/IB/API/RestServiceImpl.svc/hznxenapp/admin/deliveryGroup/entitlements?computerName=<XenAppServerHostname>&xenappversion=Version7x&deliveryGroupName=<deliveryGroupName>


https://<IBhostname>/IB/API/RestServiceImpl.svc/hznxenapp/admin/entitlements?computerName=<XenAppServerHostname>&xenappversion=Version65orLater&appName=<ApplicationName>


https://<IBhostname>/IB/API/RestServiceImpl.svc/hznxenapp/admin/entitlements?computerName=<XenAppServerHostname>&xenappversion=Legacy&appName=<ApplicationName>


Integration Broker が正しく構成されている場合は、Web ページに、指定したアプリケーションまたは配信グループのすべての資格がリストされます。

Web ページに資格のリストが表示されない場合は、Integration Broker にログ情報が送信されます。問題のトラブルシューティングをさらに続けるには、Integration Broker ホストの %programdata

%/VMware/HorizonIntegrationBroker にあるログを確認します。

Citrix 公開アプリケーションまたはデスクトップを起動できない

管理者またはユーザーが、使用資格を付与された Citrix 公開アプリケーションまたはデスクトップを起動できない。

問題

Citrix 公開アプリケーション、デスクトップ、ユーザー資格は VMware Identity Manager に同期していますが、管理者またはユーザーは、使用資格を付与されたアプリケーションまたはデスクトップを起動できません。


VMware, Inc. 180


この問題をトラブルシューティングするには、Integration Broker がインストールされている Windows サーバにログインし、Citrix インターフェイスを使用してアプリケーションまたはデスクトップを直接実行できることを確認します。

Integration Broker サーバから直接アプリケーションまたはデスクトップを実行できない場合は、Integration Brokerサーバのファイアウォール設定を確認し、XenApp サーバに必要なポートがブロックされていないことを確認します。

Citrix 公開リソースにアクセスするユーザーが暗号化エラーを受け取るVMware Identity Manager の ICA プロパティには、ファームの XenApp サーバ上で構成されるのと同じ暗号化レベルに設定された暗号化プロパティを含める必要があります。このようにしないと、ユーザーは自分自身の Citrix 公開アプリケーションまたはデスクトップにアクセスすることができません。

問題

ユーザーが VMware Identity Manager から Citrix 公開リソースに接続すると、次のエラーメッセージが表示されます。

このセッションにアクセスするための適切な暗号化レベルがありません

原因

VMware Identity Manager は暗号化レベルを設定しません。XenApp サーバの暗号化レベルが Citrix Receiver で使用されているデフォルト設定よりも高い場合にこのエラーが発生します。

VMware Identity Manager でより高い暗号化レベルを設定する必要があります。



2 [カタログ] - [仮想アプリケーション] タブをクリックし、[設定] をクリックします。

3 左側のペインで、展開環境に基づいて [Citrix XenApp] または [Citrix XenDesktop] をクリックします。


VMware, Inc. 181

4 [ICA 構成] タブと [NetScaler ICA 構成] セクションの両方に、次のように変更を加えます。

a [ICA クライアントプロパティ] テキストボックスで、次のプロパティを持つ暗号化レベルを設定します。

EncryptionLevelSession=EncRC5-128

この例では、暗号化レベルを 128 に設定していますが、XenApp サーバで構成されたレベルに変更する必要があります。

b [ICA 起動プロパティ] テキストボックスで、次のプロパティを入力または編集して暗号化レベルを設定します。

[EncRC5-128]

DriverNameWin16=pdc128w.dll

DriverNameWin32=pdc128n.dll

この例では、暗号化レベルを 128 に設定していますが、XenApp サーバで構成されたレベルに変更する必要があります。

ユーザーが Citrix 公開リソースを起動すると、ブラウザに 500 内部サーバエラーが表示される

Citrix サーバファームと VMware Identity Manager 間の構成の不一致が原因で、Citrix 公開リソースの起動に失敗している可能性があります。

問題

ブラウザに 500 内部サーバエラーが表示されて、Citrix 公開リソースの起動が失敗します。

原因

VMware Identity Manager コンソールに提供されている Citrix サーバファームの情報が Citrix サーバ構成と一致しない場合に、500 エラーが発生します。


1 VMware Identity Manager の展開環境に統合されている各サーバファームのトランスポートタイプ、ポート番号、および SSL リレーポート番号の設定を書き留めます。



4 Citrix 仮想アプリケーションのコレクションをクリックし、[編集] をクリックします。

5 Citrix XenApp コレクションの編集ウィザードで、左側のペインの [サーバファーム] をクリックし、編集するサーバファームをクリックします。

6 [起動の基本設定]、[Web インターフェイス SDK] で、[トランスポートタイプ]、[ポート]、および [SSL リレーポート] 設定を、Citrix サーバ構成の設定と一致するように変更します。


8 これらの手順を繰り返して、各サーバファームの設定を変更します。


VMware, Inc. 182

メモリの問題により Integration Broker を適切に構成できないVMware Identity Manager をバージョン 6.0 以前の Citrix サーバファームと統合する場合、PowerShell SDK に割り当てられるメモリが不十分なためにエラーが発生します。

問題

PowerShell Remoting を確認するために Invoke-Command コマンドを実行すると、メモリ不足に関連するエラー

が発生します。GUID-A51BFD94-9975-41C7-A9E5-ADB854ADAA6E#GUID-A51BFD94-9975-41C7-A9E5-ADB854ADAA6E中に、Invoke-Command コマンドを実行するように指示があります。

原因

PowerShell Remoting が実行されている Windows システム上の Citrix 公開リソースの数に対して、PowerShellSDK に割り当てられているメモリが十分でない可能性があります。


PowerShell SDK に対するメモリの割り当てを増やすことができます。

手順

1 エラーが表示されたら、コマンドを実行して割り当てメモリを増やします。次に例を示します。

winrm set winrm/config/winrs '@{MaxMemoryPerShellMB="1024"}'

2 Invoke-Command コマンドを再び実行して、タスクを完了します。

XenApp 7.x デスクトップの起動時にリソース利用不可のエラーが表示されるユーザーは、XenApp 7.x デスクトップを起動できません。「リソースを利用できません」というエラーが表示されます。

問題

XenApp 7.x の提供グループからデスクトップを起動するときに、ユーザーが「リソースを利用できません」というエ

ラーを受け取ります。

原因

Citrix Machine Creation Service を使用して作成されたマシンカタログでは、電源管理がデフォルトでオンになっています。このため、ログアウト後にマシンがシャットダウンします。


1 Citrix XenApp 7.x サーバの提供グループについては、電源管理オプションをオフにします。

2 Citrix 公開リソースと VMware Identity Manager サービスを再び同期します。

Windows 7 で Citrix XenDesktop ファームからデスクトップを起動できないWindows 7 では、Integration Broker に対して SSL が有効になっていると、ユーザーは Citrix XenDesktop ファームからデスクトップを起動できません。


VMware, Inc. 183

問題

Integration Broker に対して SSL が有効になっていると、ユーザーが Windows 7 上でデスクトップを起動しようとしたときに、デスクトップが起動せず、「<desktop> への接続はステータス 1030 で失敗しました。」というエラーが表示される場合があります。この問題は Firefox では断続的に観察されていますが、他のブラウザでも発生する可能性があります。


この問題の詳細については、Citrix Knowledge Center の記事「Troubleshooting 1030 Error on Windows 7Image」を参照してください。

XML ポートが正しく設定されていない場合、Citrix 公開リソースの起動に失敗する

XML ポートが VMware Identity Manager で正しく設定されていない場合、Citrix 7.x または 6.x サーバファームから Citrix 公開リソースを起動しようとすると失敗します。

問題

XML ポートが VMware Identity Manager で正しく設定されていない場合、Citrix 7.x または 6.x サーバファームから Citrix 公開リソースを起動しようとすると失敗します。


XML ポートが正しく設定されていることを確認します。

XenApp 6.x 以前の環境の場合は、CTXXMLS.EXE を実行してポートを確認するように Citrix 管理者に依頼するか、

XenApp 管理サーバのレジストリ内で次の場所を参照します。

HKLM/SYSTEM/CurrentControlSet/Services/CtxHttp | TcpPort=

ポート番号を確認します。デフォルトでは、ポートは 80 に設定されますが、通常は 8080 または 88 に変更されています。[カタログ] > [デスクトップとアプリケーションの管理] > [Citrix 公開アプリケーション] ページで、VMwareIdentity Manager Citrix 構成に正しいポートが設定されていることを確認します。

XenDesktop 7.x の場合、XML ポートの確認情報については、https://support.citrix.com/article/CTX127945を参照してください。

限定表示グループにユーザーまたはグループが含まれていないと Citrix リソースの同期に失敗する

[限定表示グループ] 設定が選択され、Active Directory ユーザーまたはグループが含まれていない場合、Citrix リソースの同期は失敗します。

問題

XenDesktop および XenApp 7.9 以降では、[限定表示グループ] 設定が選択され、ユーザーまたはグループが含まれていない場合、VMware Identity Manager との同期は失敗します。


VMware, Inc. 184

http://support.citrix.com/article/CTX133773

http://support.citrix.com/article/CTX133773

https://support.citrix.com/article/CTX127945

原因

設定する場合は、限定表示グループにユーザーまたはグループが含まれている必要があります。


1 次の PowerShell コマンドを実行して、アプリケーションの実際の名前を確認します。

asnp citrix*

Get-brokerapplication-browsername <nameOfCitrixPublishedResource>

表示されるアプリケーションの詳細で、アプリケーションの名前を検索します。

2 Citrix Studio で、その名前のアプリケーションを検索し、限定表示のプロパティを編集して、ユーザーとグループをリストに追加します。

サイト内の公開アプリケーションまたはデスクトップに有効なユーザーが含まれていない場合の同期問題

Citrix 公開アプリケーションまたはデスクトップに有効なユーザーが含まれていない場合、VMware Identity Managerとの同期は機能しません。

問題

サイト内のすべての Citrix 公開アプリケーションおよびデスクトップには、有効なユーザーが含まれている必要があります。ユーザーまたはグループを削除し、そのユーザーまたはグループが Citrix 公開リソースから削除されていない場合、Citrix アプリケーションまたはデスクトップには孤立した SID が表示されます。これが原因で、VMwareIdentity Manager との同期が動作しなくなります。

次の API を使用して、この問題を確認できます。

http://<CitrixBrokerFQDN>:

80/IB/API/RestServiceImpl.svc/hznxenapp/admin/entitlements?

computerName=<IBFQDN>&xenappversion=Version<Number>&appName=<applicationName

>

結果のファイルには、空のリソースが含まれています。出力の例：

"[{\"IncludedUsers\":\"DomainName\\\\USERNAME:User

$S-1-5-21-1097426297-1557994628-1672037986-53944:Group\"}]"

原因

サイト内の一部の公開アプリケーションまたはデスクトップに有効なユーザーが含まれていません。


サイト内のすべての Citrix 公開アプリケーションおよびデスクトップに有効なユーザーが含まれていることを確認してください。


VMware, Inc. 185

Citrix 資格が VMware Identity Manager に表示されないCitrix 資格が VMware Identity Manager に表示されない。

問題

アプリケーションまたは配信グループに対する資格が Citrix サーバ上で設定されているのに、VMware Identity Manager.に表示されない。

原因

アプリケーションまたは配信グループの使用資格を付与されたユーザーおよびグループが、VMware Identity Managerと同期していない場合があります。


ユーザーおよびグループが VMware Identity Manager に確実に同期するようにします。

1 Citrix 管理コンソールにログインし、資格のないアプリケーションを検索します。

2 Citrix 管理コンソールでアプリケーションを起動する権限を持つ Active Directory のユーザーとグループをメモしておきます。

3 VMware Identity Manager コンソールにログインし、[ユーザーとグループ] タブをクリックして、ユーザーとグループがリストに表示されることを確認します。

ページの右上にある検索ボックスを使用することもできます。

4 ユーザーとグループが表示されたら、[カタログ] - [仮想アプリケーションのコレクション] ページからもう一度Citrix リソースを同期します。

注: Citrix リソースを同期する前に、ユーザーとグループが VMware Identity Manager に存在する必要があります。存在しない場合、同期は実行されますが資格は更新されません。

5 ユーザーとグループが VMware Identity Manager に存在しない場合は、次の操作を実行します。

a Active Directory ユーザーとコンピュータのスナップインを使用して、Active Directory 内のユーザーとグループが存在する場所を確認します。

b VMware Identity Manager コンソールで、ディレクトリの [同期設定] ページにあるユーザーとグループのActive Directory 同期 DN を更新します。

c ユーザーおよびグループが VMware Identity Manager コンソールに表示されたら、Citrix リソースを再度同期します。

同期が完了したら、VMware Identity Manager に資格が表示されます。

アプリケーションプール ID が構成されていない場合に発生する同期中の例外ID 設定が誤ったアプリケーションプールに対して構成されている場合、Integration Broker のセットアップで一般的なエラーが発生するため、VMware Identity Manager に対する Citrix リソースの同期中に例外が発生します。


VMware, Inc. 186

問題

同期中に、次の例外が Integration Broker ログに発生します。

IntegrationBrokerLogger Error 1002 2017-04-04 19:10:38,936 (16)

HznXenIntegrationBroker.ApplicationException.ServiceErrorHandler - Connecting

to remote server failed with the following error message : The client cannot

connect to the destination specified in the request.Verify that the service on

the destination is running and is accepting requests.Consult the logs and

documentation for the WS-Management service running on the destination, most

commonly IIS or WinRM.If the destination is the WinRM service, run the

following command on the destination to analyze and configure the WinRM

service: "winrm quickconfig".For more information, see the

about_Remote_Troubleshooting Help topic.at

System.Management.Automation.Runspaces.AsyncResult.EndInvoke()

原因

このエラーは、ID 設定が正しく構成されていない場合、または誤ったアプリケーションプールに対して構成されている場合に発生します。


Integration Broker に接続されているアプリケーションプールに ID 設定を構成します。これは、デフォルトのアプリケーションプールとは異なる場合があります。

正しいアプリケーションプールであることを確認するには：

1 IIS マネージャーの左側のペインで、[アプリケーションプール] をクリックします。

2 アプリケーションプールを右クリックし、[アプリケーションの表示] を選択します。

3 Integration Broker がアプリケーションのリストに表示されることを確認します。

アプリケーションプールの ID 設定を構成するには、「IIS マネージャー設定の構成」の手順を実行します。

Citrix リソースの起動中に ICA ファイルが作成されないCitrix リソースの起動中に ICA ファイルが作成されず、例外が発生します。

問題

ユーザーが Citrix リソースを起動しようとすると、ICA ファイルが作成されず、Integration Broker のログに次のような例外が表示されます。

IntegrationBrokerLogger Information 1004 2017-05-02 11:50:42,093 (8)

HznXenIntegrationBroker.API.RestServiceImpl - Get ICA file contents for

AppNameCitrix.MPS.App.XA65Test.Airwatch Notepad Test, Farm Name: XA65Test,

Server Name: serverName, Username: user1 IntegrationBrokerLogger Error 1002

2017-05-02 11:50:42,093 (8)


VMware, Inc. 187

HznXenIntegrationBroker.ApplicationException.ServiceErrorHandler -

WebPNBuilder implementation class WebPNImpl!

com.citrix.wing.webpnimpl.WebPNBuilderImpl not found at

com.citrix.wing.webpn.WebPNBuilder.getInstance() at

HznXenIntegrationBroker.XenAppSDK.Impl.XenAppSDKClient.CreateUserContext(Use

rPrincipal userPrincipal, String appName, Configuration configuration) at

HznXenIntegrationBroker.XenAppSDK.Impl.XenAppSDKClient.GenerateICAFileCommo

n(UserPrincipal userPrincipal, String appName, Configuration configuration)

at

HznXenIntegrationBroker.XenAppSDK.Impl.XenAppSDKClient.GenerateICAFile(UserP

rincipal userPrincipal, String farmName, String serverName, String

serverPort, String appName, XMLServiceTransportProtocol

xmlserviceTransportProtocol, Int32 sslRelayPort)


Integration Broker サーバに Microsoft Visual J# 2.0 を再インストールします。

Integration Broker の再起動Integration Broker が応答に失敗する場合は、Windows Server 上で IIS を再始動します。

問題

Integration Broker が応答に失敗し、再起動する必要があります。


1 管理者として [コマンドプロンプト] ウィンドウを開きます。

2 iisreset と入力します。


VMware, Inc. 188

Date post:	23-Aug-2020
Category:	Documents
Upload:	others
View:	1 times
Download:	0 times

Manager VMware Identity でのリソースの セットアップ (Cloud) · 2019. 5. 15. · VMware...

Documents

Manager VMware Identity でのリソースのセットアップ (Cloud) · 2019. 5. 15. · VMware...