{"id":317,"date":"2014-04-01T14:32:00","date_gmt":"2014-04-01T12:32:00","guid":{"rendered":"http:\/\/vm.piszki.pl\/dost%c4%99p-do-organizacji-w-vcloud-director-poprzez-horizon-workspace-web-application"},"modified":"2014-04-22T12:13:23","modified_gmt":"2014-04-22T10:13:23","slug":"dost%c4%99p-do-organizacji-w-vcloud-director-poprzez-horizon-workspace-web-application","status":"publish","type":"post","link":"https:\/\/vm.piszki.pl\/?p=317","title":{"rendered":"Dost\u0119p do Organizacji w vCloud Director poprzez Horizon Workspace Web Application"},"content":{"rendered":"

Aktualizacja: Procedura zmodyfikowana pod Horizon Workspace 1.8<\/p>\n

Jedn\u0105 z bardzo fajnych funkcji Horizon Workspace<\/a>, jest mo\u017cliwo\u015b\u0107 osadzania na nim aplikacji typu \u201cweb\u201d. Generalnie s\u0105 to zagnie\u017cd\u017cone przekierowania do zewn\u0119trznych portali, wykorzystuj\u0105ce mo\u017cliwo\u015b\u0107 po\u0142\u0105czenia autentykacji poprzez wykorzystanie mechanizmu SAML\/SSO. SAML (Security Assertion Markup Language) jest protoko\u0142em transportowym po\u015brednicz\u0105cym w uwierzytelnianiu u\u017cytkownik\u00f3w (i przekazywaniu informacji o uprawnieniach u\u017cytkownik\u00f3w pomi\u0119dzy systemami). Czyli bardziej ludzkim j\u0119zykiem, u\u017cytkownik loguje si\u0119 jedynie do Horizon Workspace (w domenie AD gdzie na stacji jest zainstalowany klient, odbywa si\u0119 to automatycznie), nast\u0119pnie \u201cklika\u201d w aplikacj\u0119 \u201cvCloud\u201d i zostaje przeniesiony i automatycznie zalogowany do swojej Organizacji (z w\u0142a\u015bciwymi uprawnieniami). Benefit z wykorzystania SSO jest znany, to zawsze mniejsza liczba okienek login\/has\u0142o do pokonania. Benefit drugi, to wystawienie na \u015bwiat pojedynczego portalu (np. dla pracownik\u00f3w zdalnych lub tych z BYOD<\/a> wewn\u0119trznie) ze zbiorem w\u0142a\u015bciwie przygotowanych \u201cprzekierowa\u0144\u201d (no i ca\u0142ej reszty ThinApp\u2019uff).<\/p>\n

Przygotowanie takiego WebApp jest bardzo proste<\/a>, w pierwszym kroku pobieramy plik XML zawieraj\u0105cy odpowiednie Identity Provider metadata. Po zalogowaniu si\u0119 do Horizon Workspace jako administrator, wszystkie potrzebne linki znajduj\u0105 si\u0119 w sekcji Settings \u2013> SAML Certificate (lub bezpo\u015bredni adres https:\/\/horizon_server\/SAAS\/API\/1.0\/GET\/metadata\/idp.xml<\/a>):<\/p>\n

\"ho1\"<\/a><\/p>\n

<\/p>\n

W kolejnym kroku logujemy si\u0119 jako administrator systemowy lub organizacyjny do vCloud Director i w konfiguracji w\u0142a\u015bciwej Organizacji \u201cklikamy\u201d Settings\u2014>Federation, zaznaczamy \u201cUse SAML Identity Provider\u201d i okno poni\u017cej wklejamy plik XML zawieraj\u0105cy nasze metadata (idp.xml).<\/p>\n

\"ho2\"<\/a><\/p>\n

Nast\u0119pnie musimy pobra\u0107 z vCloud Director plik XML z w\u0142a\u015bciwym certyfikatem SSL (certyfikat jest niestety jednoroczny wi\u0119c najlepiej go \u201cregenerowa\u0107\u201d przed pobraniem (opcja jest dost\u0119pna w tej samej sekcji \u201cFederation\u201d)).\u00a0 Plik jest dost\u0119pny pod adresem https:\/\/vcloud_server\/cloud\/org\/MOJAORGANIZACJA\/saml\/metadata\/alias\/vcd<\/a> (zapisuj\u0105c dodajmy rozszerzenie xml). Ale uwaga, certyfikat jest wsp\u00f3lny dla wszystkich proces\u00f3w SAML, gdy wygasa lub si\u0119 zmienia, musimy rekonfigurowa\u0107 wszystkie nasze WebApp (wklei\u0107 ponownie zmieniony xml).<\/p>\n

Ostatecznie logujemy si\u0119 ponownie do Horizon Workspace jako administrator, wchodzimy do Catalog \u2013> Web Applications i klikamy \u201ccreate a new one\u201d. Przygotowujemy profil aplikacji jak na rysunku poni\u017cej (zawarto\u015b\u0107 pobranego pliku vcd.xml wklejamy w pole Meta-Data XML):<\/p>\n

\"weba1\"<\/a><\/p>\n

Musimy te\u017c r\u0119cznie doda\u0107 atrybuty mapowania u\u017cytkownik\u00f3w (w stosunku do wersji 1.0 nast\u0105pi\u0142a zmiana, nale\u017cy r\u0119cznie doda\u0107 atrybut grupy, namierzone u Tomasa Fojty<\/a>):<\/p>\n

\"weba2\"<\/a><\/p>\n

Ostatecznym krokiem jest dodanie do naszej Organizacji u\u017cytkownik\u00f3w lub grup\u0119 (zmapowan\u0105 wcze\u015bniej). Ale uwaga, u\u017cywamy autentykacji typu SAML, importuj\u0105c grup\u0119 musimy wybra\u0107 SAML (nie LDAP) i wpisa\u0107 r\u0119cznie w\u0142a\u015bciw\u0105 grup\u0119:<\/p>\n

\"aa1\"<\/a><\/p>\n

I na koniec mo\u017cemy si\u0119 cieszy\u0107 nasz\u0105 aplikacj\u0105 \"U\u015bmiech\"<\/p>\n