Piszki Lab

Analiza przypadku w języku przodków…

Dostęp do Organizacji w vCloud Director poprzez Horizon Workspace Web Application

| 0 comments

Aktualizacja: Procedura zmodyfikowana pod Horizon Workspace 1.8

Jedną z bardzo fajnych funkcji Horizon Workspace, jest możliwość osadzania na nim aplikacji typu “web”. Generalnie są to zagnieżdżone przekierowania do zewnętrznych portali, wykorzystujące możliwość połączenia autentykacji poprzez wykorzystanie mechanizmu SAML/SSO. SAML (Security Assertion Markup Language) jest protokołem transportowym pośredniczącym w uwierzytelnianiu użytkowników (i przekazywaniu informacji o uprawnieniach użytkowników pomiędzy systemami). Czyli bardziej ludzkim językiem, użytkownik loguje się jedynie do Horizon Workspace (w domenie AD gdzie na stacji jest zainstalowany klient, odbywa się to automatycznie), następnie “klika” w aplikację “vCloud” i zostaje przeniesiony i automatycznie zalogowany do swojej Organizacji (z właściwymi uprawnieniami). Benefit z wykorzystania SSO jest znany, to zawsze mniejsza liczba okienek login/hasło do pokonania. Benefit drugi, to wystawienie na świat pojedynczego portalu (np. dla pracowników zdalnych lub tych z BYOD wewnętrznie) ze zbiorem właściwie przygotowanych “przekierowań” (no i całej reszty ThinApp’uff).

Przygotowanie takiego WebApp jest bardzo proste, w pierwszym kroku pobieramy plik XML zawierający odpowiednie Identity Provider metadata. Po zalogowaniu się do Horizon Workspace jako administrator, wszystkie potrzebne linki znajdują się w sekcji Settings –> SAML Certificate (lub bezpośredni adres https://horizon_server/SAAS/API/1.0/GET/metadata/idp.xml):

ho1

W kolejnym kroku logujemy się jako administrator systemowy lub organizacyjny do vCloud Director i w konfiguracji właściwej Organizacji “klikamy” Settings—>Federation, zaznaczamy “Use SAML Identity Provider” i okno poniżej wklejamy plik XML zawierający nasze metadata (idp.xml).

ho2

Następnie musimy pobrać z vCloud Director plik XML z właściwym certyfikatem SSL (certyfikat jest niestety jednoroczny więc najlepiej go “regenerować” przed pobraniem (opcja jest dostępna w tej samej sekcji “Federation”)).  Plik jest dostępny pod adresem https://vcloud_server/cloud/org/MOJAORGANIZACJA/saml/metadata/alias/vcd (zapisując dodajmy rozszerzenie xml). Ale uwaga, certyfikat jest wspólny dla wszystkich procesów SAML, gdy wygasa lub się zmienia, musimy rekonfigurować wszystkie nasze WebApp (wkleić ponownie zmieniony xml).

Ostatecznie logujemy się ponownie do Horizon Workspace jako administrator, wchodzimy do Catalog –> Web Applications i klikamy “create a new one”. Przygotowujemy profil aplikacji jak na rysunku poniżej (zawartość pobranego pliku vcd.xml wklejamy w pole Meta-Data XML):

weba1

Musimy też ręcznie dodać atrybuty mapowania użytkowników (w stosunku do wersji 1.0 nastąpiła zmiana, należy ręcznie dodać atrybut grupy, namierzone u Tomasa Fojty):

weba2

Ostatecznym krokiem jest dodanie do naszej Organizacji użytkowników lub grupę (zmapowaną wcześniej). Ale uwaga, używamy autentykacji typu SAML, importując grupę musimy wybrać SAML (nie LDAP) i wpisać ręcznie właściwą grupę:

aa1

I na koniec możemy się cieszyć naszą aplikacją Uśmiech

SAML jest rozwiązaniem uniwersalnym, możemy wykorzystać go do osadzenia jako WebApp dowolnego naszego portalu lub aplikacji.

Edit 2014.04.02:

Cała procedura działa poprawnie w Horizon Workspace 1.5 i 1.8 Uśmiech

Obrazki częściowo ponownie wklejone na podstawie wersji 1.8.

English version of the article can be found here.

Oceń ten artykuł:
[Total: 0 Average: 0]

Dodaj komentarz

Required fields are marked *.