VMware Hands-on Labs - HOL-1851-05-ADV-LT


练习概述 - HOL-1851-05-ADV - Horizon 7.1:Identity Manager

练习指导


注意:完成本练习可能需要 90 多分钟。每次最好只完成 2 到 3 个单元。这些单元彼此相互独立,因此您可以选择任一单元从头学起。您可以使用目录访问所选择的任何单元。

目录可以从练习手册的右上角访问。

在本次练习中,您将学会如何在本地安装和配置 VMware Identity Manager (vIDM),以及如何将它与 Horizon 7、ThinApp、SaaS 和 Web 应用集成。还将了解到如何利用基于 RADIUS 的双因素身份验证解决方案配置 vIDM。 

练习单元列表:

 

练习负责人:

本练习手册可以从动手练习文档站点下载,网址为:

http://docs.hol.vmware.com

本练习可能会提供其他语言版本。要设置语言首选项并在练习中部署本地化手册,可以在本文档的帮助指导下完成:

http://docs.hol.vmware.com/announcements/nee-default-language.pdf 

请查阅 HOL-1855-08-ADV 了解更多有关在云计算单元体系结构部署中安装 vIDM 的信息:

HOL-1851-08-ADV


 

任意应用,任意设备

 

VMware Identity Manager (vIDM) 是为 VMware Workspace ONE 门户提供支持的身份验证引擎,让用户可从任何设备访问自己的应用或虚拟桌面,为用户带来无缝使用体验。在本次练习中,我们将向您演示如何执行 vIDM 设备的简单设置,如何与 View 集成用于托管应用和虚拟桌面,如何利用 Workspace ONE 部署 ThinApps,以及如何利用 SAML 集成展示基于 Web 的应用。还将了解到如何利用基于 RADIUS 的双因素身份验证方法。尽管没有出现在本次练习中,您也可以通过 Workspace ONE 演示 Citrix XenApps,或者通过与 VMware AirWatch 集成演示移动应用(了解 HOL-1857-xx-MDM 练习)。

在开始实际的练习之前,请务必先熟悉动手练习环境的具体内容。如果您对练习状态、拖放、复制等功能都已非常熟悉,就可跳过下一步骤,直接进入您要学习的单元。

 

 

键盘式数据输入的替代方法

在本单元中,您将向主控制台中输入文本。除直接输入外,还有两种非常有用的数据输入方法,可简化输入复杂数据的过程。

 

 

单击练习手册内容,并拖放到控制台的活动窗口

您也可以单击练习手册中的文本和命令行界面 (CLI) 命令并将其直接拖放到主控制台中的活动窗口。 

 

 

使用在线国际键盘

 

您还可以使用主控制台中的在线国际键盘。

  1. 单击 Windows 快速启动任务栏上的键盘图标。

 

 

主控制台的位置

 

  1. 红框区域包含主控制台。练习手册位于主控制台右侧的选项卡上。
  2. 个别练习可能会用到左上角独立选项卡上的其他控制台。如有需要,系统将引导您打开另一特定控制台。
  3. 练习时间为 90 分钟,由计时器计时。练习结果无法保存。所有工作都必须在练习过程中完成。但是您可以单击“EXTEND”(延长)延长时间。在 VMware 活动期间,您有两次延长练习时间的机会,最多可延长 30 分钟。每单击一次可延长 15 分钟。非 VMware 活动期间,最多可将练习时间延长至 9 小时 30 分钟。每单击一次可延长一小时。

 

 

查看屏幕右下部分

 

请检查是否完成练习的所有启动例程,以及是否准备好开始练习。如果您看到“Ready”(准备就绪)以外的内容,请等待几分钟。如果 10 分钟后,您的练习仍未变为“Ready”(准备就绪),请寻求帮助。

 

第 1 单元 - Identity Manager 和 Workspace ONE 简介(30 分钟)

简介


本单元将介绍 VMware Identity Manager (vIDM) 的本地安装和配置。vIDM 2.8.1 设备功能包括门户(用户会看到门户被标记为“Workspace ONE”)、AirWatch Directory 集成、访问策略集成以及 Horizon True SSO 支持。它提供一个简单安全的企业平台,通过集成应用和移动化管理可在任何设备上交付并管理任何应用。

在本单元中,您会了解各项先决条件并配置 vIDM 设备以完成简单的安装,过程与处理 POC 或测试环境相似。配置完成之后,您需要大概了解一下界面并查看还具有哪些特性和功能。

请注意,在本单元中,我们建议使用 Chrome 以获得最佳体验。浏览器已经过配置,可忽略自签名证书。

如果您有兴趣了解更高级的安装选项,例如在云计算单元体系结构 (CPA) 中安装 vIDM,建议您了解一下 HOL-1851-08-MBL


 

什么是 VMware Identity Manager?

 

什么是 VMware Identity Manager?

VMware Identity Manager 是一款适用于移动云计算时代的身份管理工具,它可以提供消费者级别的体验,例如从任意设备对任意应用进行一触式访问,这种体验可以通过 AirWatch Conditional Access 来进一步优化。它一方面使员工能够借助自助式应用商店快速提高工作效率,另一方面为 IT 部门提供了一个中心位置来管理用户调配和访问策略,同时,它还可以提供人们期待从混合云基础架构领先企业那里获得的企业级目录集成、身份联合和用户分析功能。

它有哪些主要优势?

 

 

练习是否准备就绪?

 

  1. 确保“Lab Status”(练习状态)为“Ready”(准备就绪)
  2. 打开 README.txt
  3. 请务必先熟悉 README.txt 的内容,这样您可以轻松复制粘贴,而无需手动输入内容,尤其在您没有美式键盘的时候更是让您如释重负。

 

 

启动 vidm-02a 虚拟设备

 

要准备练习的互动部分,我们需要利用 vSphere Client 启动 vidm-02。

  1. 打开 Chrome,单击书签中的“HOL-1851 Admin”(HOL-1851 管理员)
  2. 选择“vCenter HTML5 Client”(vCenter HTML5 客户端)

 

 

启动 vidm-02a

 

  1. 右键单击“vidm-02a”
  2. 选择“Power”(电源)
  3. 选择“Power On”(启动)

设备启动需要几分钟时间,请继续执行下一步骤,并通读初次下载和部署流程,当您开始进行动手练习部分时,设备应该已经准备就绪。

 

下载和部署 VMware Identity Manager 虚拟设备



 

vIDM 部署

在本章中,我们将讨论成功部署 Identity Manager (vIDM) 虚拟设备的先决条件。本单元主攻理论不需要执行任何步骤

vIDM 设备先决条件如下:

  1. DNS 记录(A 和 PTR 记录)
  2. 需要进行时间同步的 ESXi 主机

部署 vIDM 设备时,会生成一个默认的 TLS/SSL 服务器证书。在生产环境下,VMware 强烈建议您尽早替换默认证书。

在安装 vIDM 的过程中,请务必使用域名全称 (FQDN),这一点至关重要!

 

 

配置 DNS

 

这些步骤不会在练习环境下执行。

vIDM 设备需要正向(A 记录)和反向(PTR 记录)DNS 记录。

在此练习环境下,corp.local 域是主域。

  1. 如此屏幕截图所示,vidm-02a 有一个主机 (A) 记录
  2. 查看 192.168.110 的反向查找区域,可以看到已创建 PTR 记录

 

 

时间同步

 

vIDM 对于与它集成的系统之间的时间差异极为敏感。vIDM 的许多功能都使用 SAML。因此,30 秒的偏差足以让功能受到破坏。

您应该确认主机上设置了时间配置并且能够正常运行。设备将从 ESXi 主机中挑选正确的时间。因为您经常会将 vIDM 添加到 Microsoft Active Directory 域中,因此务必要将 ESXi 主机和域控制器的时间同步到同一源。许多时候,您都可以指定其中一个域控制器作为 ESXi 主机的时间源。

这些步骤不会在练习环境下执行。

要确认主机已完成时间配置:

  1. 在 vCenter 内,单击主机
  2. 选择“Configure”(配置)
  3. 选择“Time Configuration”(时间配置)

 

 

部署 VMware Identity Manager 设备

 

这些步骤不会在练习环境下执行。

准备好所有先决条件并从 VMware.com 下载 vIDM 连接器之后,便可开始部署

  1. 在 vSphere Web Client 上,右键单击您要部署的集群
  2. 选择“Deploy OVF Template”(部署 OVF 模板)
  3. 依次选择“Local File”(本地文件)和“Browse”(浏览)。导航至“OVA file”(OVA 文件)
  4. 单击“Next”(下一步)

 

 

 

 

VMware Identity Manager 正常运行

 

设备完全启动之后,它会显示一个与上面类似的屏幕。

利用 Web 界面完成剩余配置。

 

VMware Identity Manager 虚拟设备的初始配置


部署并启动 VMware Identity Manager 设备之后,可通过 Web 界面完成剩余的配置流程。设置的第一部分会利用设置向导。

这些步骤要在练习环境中执行。


 

使用 VMware Identity Manager 设备设置向导

 

启动 Chrome 浏览器并浏览至新的 vIDM 设备

  1. 输入 https://vidm-02a.corp.local 作为 URL
  2. 因为设备是初次使用且尚未安装证书,我们收到了一则警告,请单击“AVDANCED”(高级)
  3. 单击“Proceed to vidm-02a.corp.local (unsafe)”(前进到 vidm-02a.corp.local(不安全))

注:请确保输入 https 并使用 vidm-02a,而不是 vidm-1a。

 

 

vIDM 设备设置

 

1. 单击“Continue”(继续)

 

VMware Identity Manager 管理控制台配置


在本部分中,您将学习如何执行其他配置,例如添加 Active Directory 以及为设备添加用户和组。


 

登录门户

 

如果您尚未关闭 Web 浏览器,现在应该会看到 Workspace ONE 的登录页面。如果没有看到,请启动 Mozilla Firefox 并单击新的 VMware Workspace One 书签

  1. 指定 admin 作为用户(这是内置的 Web 管理帐户)
  2. 输入 VMware1! 作为密码
  3. 单击“Sign in”(登录)

 

 

修改用户属性

 

您可在门户中修改用于同步到 Active Directory 的属性。根据当前练习中的属性配置情况,我们可以修改用户映射到的属性:

  1. 单击“Identity & Access Management”(身份和访问权限管理)选项卡
  2. 选择“Setup”(设置)
  3. 选择“User Attributes”(用户属性)选项卡
  4. 取消选中除 userName 之外的所有选项框
  5. 向下滚动,然后单击“Save”(保存)

注:我们取消选择了其他用户属性,因为在测试环境下,一些属性(例如电话号码等)并未在 Active Directory 中设置,如果并未在 AD 中为用户设置选中的属性,用户将无法导入 vIDM。

在 VMware Identity Manager 服务目录设置过程中,可以选择 Active Directory 用户属性和筛选器,以选择要在 VMware Identity Manager 目录中同步的用户。您可更改从管理控制台同步的用户属性;为此,请单击“Identity & Access Management”(身份和访问权限管理)选项卡,然后选择“Setup”(设置)>“User Attributes”(用户属性)。

用户属性页面中发生并保存的更改会添加到 VMware Identity Manager 目录中的映射属性页面。下一次同步到 Active Directory 之后,属性更改会更新到目录中。

用户属性页面会列出可以映射到 Active Directory 属性的默认目录属性。您可选择所需的属性,还可添加您想要同步到目录的其他属性。添加属性时,输入的属性名称会区分大小写。例如,address、Address 和 ADDRESS 是三种不同的属性。

重要说明

如果您打算利用 VMware Identity Manager 同步 XenApp 资源,则必须让“distinguishedName”成为必需的属性。您必须在创建目录之前作出此选择,因为在目录创建之后,属性不能从可选更改成必需。

 

 

添加用户目录

 

  1. 确认您在“Identity & Access Management”(身份和访问权限管理)选项卡上。
  2. 单击“Manage”(管理)
  3. 单击“Add Directory”(添加目录)
  4. 选择“Add Active Directory over LDAP/IWA”(通过 LDAP/IWA 添加 Active Directory)

 

 

配置目录访问

 

  1. 输入 corp.local 作为目录名称
  2. 向下滚动

 

 

验证用户

 

  1. 单击“Users & Groups”(用户和组)选项卡
  2. 验证您已列出一些用户

 

 

验证组

 

  1. 单击“Groups”(组)
  2. 验证“Domain Users”(域用户)已列出

 

管理控制台讲解示范


本部分旨在让您熟悉管理控制台的不同部分以及从哪里找到特定的设置。

您可在练习环境下随意导航管理控制台。


 

用户参与度仪表盘

 

管理员访问管理员控制台时,首先看到的便是“User Engagement Dashboard”(用户参与度仪表盘)。下面是对系统的简单介绍。例如,系统拥有多少用户和组。最常使用哪些应用。登录次数是多少,等等。

  1. 单击“Dashboard”(仪表盘)

 

 

导航至系统诊断仪表盘

 

  1. 单击“Dashboard”(仪表盘)旁边的向下箭头
  2. 选择“System Diagnostics Dashboard”(系统诊断仪表盘)

 

 

导航至报告

 

  1. 选择仪表盘旁边的向下箭头
  2. 选择“Reports”(报告)

 

 

门户目录设置

 

  1. 单击“Catalog”(目录),然后选择“Settings”(设置)

 

 

身份和访问权限管理 - 目录

 

在控制台的这一部分,您不仅可以确认域和 vIDM 设备是否同步,还可添加其他域。

  1. 单击“Identity & Access Management”(身份和访问权限管理)
  2. 确认您正位于“Manage”(管理)部分
  3. 确认您正位于“Directories”(目录)选项卡上

 

 

身份和访问权限管理选项卡 - 其他设置

 

我们一起来了解下身份和访问权限管理中的其他选项卡。

  1. 身份提供程序:是系统身份验证用户。vIDM 配备内置的 iDP,您也可以添加第三方身份提供程序。
  2. 密码恢复助手:如果用户忘记自己的密码,您可为显示给用户的网页定制消息/链接。vIDM 无法重置或更改 AD 用户的密码。
  3. 策略:vIDM 有一个名为“default_access_policy_set”的默认策略。此策略决定用户能否访问门户。您可以为基于 SAML/WS 联合身份验证的 Web 应用添加自己的应用策略。您可使用策略授权用户通过网络访问门户,但启动特定的 SAML 集成式 Web 应用则需要用户位于 LAN 上。因此,通过网络启动 SAML 应用无效。策略可基于身份验证类型以及位置定义规则。

 

 

身份和访问权限管理 - 设置

 

现在,我们一起了解下“Identity & Access Management”(身份和访问权限管理)部分下“Setup”(设置)中的各个选项。

  1. 确认您在“Identity & Access Management”(身份和访问权限管理)选项卡上,然后选择“Setup”(设置)
  2. 首先,我们会看到“Connectors”(连接器)选项卡。您可在此选项卡上添加其他 vIDM 连接器/设备,并添加或更改域成员身份

 

 

 

设备设置

 

  1. 选择设备设置
  2. 您可在此选项卡内指定许可证密钥和 SMTP 服务器。但很可能您要配置多个选项,因此您需要单击“Manage Configuration”(管理配置)。 这样会在浏览器中打开另一个选项卡。
  3. 输入 VMware1!
  4. 单击“Login”(登录)

 

 

管理 vIDM 设备的配置

 

单击管理配置后,可以看到用于设备管理的访问设置。这些设置通常都是一次性设置,每次安装需要配置一次。

  1. “Database Connection”(数据库连接):可以指定要使用的数据库。此设置与您在初始 Web 向导中需要作出的设置相同。

 

总结


您已完成第 1 单元的学习。现在您应该已经熟悉了简单安装 VMware Identity Manager 所需进行的初始设置和配置。

请关闭所有浏览器窗口,再继续学习下一单元。


 

更多信息

 

可在此处找到其他有关安装或配置 VMware Identity Manager 的信息:

继续学习以下您最感兴趣的任意一个单元:

HOL-1851-8-ADV 练习将介绍在云计算单元体系结构 (CPA) 中设置 vIDM 与外部数据库。

 

第 2 单元 - 集成 Identity Manager 与 Horizon 7.1(30 分钟)

简介


VMware Identity Manager 让您可以构建一个自助式应用商店,以便用户能够通过单个门户在任何设备上访问几乎任何应用。这样可以让管理员获得更好的控制,同时方便终端用户的使用。

由于支持自带设备 (BYOD) 计划,Workspace ONE 使 IT 部门能够跨设备集中交付、管理和保护这些资产。它可缩短员工的入职时间、整合对企业资源的访问从而更好地保护知识产权,并减少咨询台呼叫次数。

在本单元中,您会了解到如何集成 Horizon 7 与 VMware Identity Manager 以访问托管应用。

 


 

VMware Identity Manager 和 Horizon SSO

 

  1. 用户向 VMware Identify Manager 进行身份验证。管理员可从各种身份验证方法中进行选择(RSA SecurID、RADIUS、生物识别等)。完成身份验证之后,用户可从 VMware Identity Manager 选择要启动的桌面或应用。
  2. 启动 Horizon Client 后,用户的身份及凭证都指向 Horizon 7 的代理 View Connection Server。
  3. 代理会发送 SAML 声明验证用户在 VMware Identity Manager 的身份。
  4. Horizon 7 利用证书注册服务,请求 Microsoft Certificate Authority (CA) 代表用户生成一个临时的短期证书。
  5. Horizon 7 向 Windows 操作系统展示证书。
  6. Windows 利用 Active Directory 验证证书的真实性。
  7. 用户登录到 Windows 桌面或应用,远程会话在 Horizon Client 上启动。

 

 

练习是否准备就绪?

 

  1. 确保“Lab Status”(练习状态)为“Ready”(准备就绪)
  2. 打开 README.txt
  3. 请务必先熟悉 README.txt 的内容,这样您可以轻松复制粘贴,而无需手动输入内容,尤其在您没有美式键盘的时候更是让您如释重负。

注:如果出现“冷 vPOD”,则需要 10-20 分钟才可将练习状态变成准备就绪。一般情况下,我们希望每个准备就绪的练习都有数个 vPOD。如果您的练习并非准备就绪状态,请等待几分钟之后再寻求帮助。

如果您在此单元之前已经学完第 1 单元,请务必关闭所有浏览器窗口再继续其他操作。在此单元中,我们不会使用第 1 单元的 vIDM 实例 (vidm-02a)。第 2-5 单元会使用预先配置的 vIDM 实例 (vidm-01a)。

 

启用 View 应用以便与 VMware Identity Manager 一起使用


要在 VMware Identity Manager (vIDM) 中启用 Horizon 7 机器或设备,我们必须切换至“Catalog”(目录)并添加 View 应用。

此 vPOD 被其他练习使用,且 vIDM 已被配置为与 View 一起使用,但我们会讲解示范各个步骤以验证必要的步骤。


 

打开 Workspace ONE 管理控制台

 

  1. 打开 Chrome 并选择“WS1 Admin”书签

 

 

登录 Workspace ONE

 

登录 Workspace ONE

  1. 用户:admin
  2. 密码:VMware1!

注:在此练习中,我们使用 vIDM 系统域中的管理员用户,而非域用户。如果您愿意,也可将域用户或组配置为管理员用户。

 

 

添加 View 应用

 

  1. 切换至“Catalog”(目录)
  2. 单击“Manage Desktop Applications”(管理桌面应用)
  3. 选择“View Application”(View 应用)

 

在 Horizon 7 中启用 SAML 身份验证


在此步骤中,我们将验证是否已启用 Horizon 7 与 VMware Identity Manager 之间的 SAML 身份验证。


 

登录 View 控制台

 

  1. 用户名:administrator
  2. 密码:VMware1!
  3. 单击“Log In”(登录)

 

 

切换至 Connection Servers

 

  1. 在“View Configuration”(View 配置)下选择“Servers”(服务器)
  2. 单击“Connection Servers”(连接服务器)
  3. 选择“VIEW-01A”
  4. 单击“Edit”(编辑)

 

配置 Horizon 7 应用池


您会在 View 看到一些针对应用(和桌面池)的授权。我们会添加一项新授权,并为您讲解示范与 vIDM 同步的流程。


 

将应用添加到池中

 

1. 在目录下选择“Application Pools”(应用池)

2. 单击“Add”(添加)

 

 

验证 WordPad 是否可用

 

1. 验证“Wordpad”是否列在应用池下方,且状态为“Available”(可用)

 

同步 VMware Identity Manager 与 Horizon 7


为了让 Horizon 7 应用池中所做的更改显示在 VMware Identity Manager 中,我们需要对二者进行同步。


 

返回至 VMware Identity Manager

 

1. 单击浏览器中 View Administrator 旁边的“VMware Workspace ONE”选项卡,以返回至 VMware Identity Manager View 池站点

 

 

同步 View 池

 

  1. 向下滚动
  2. 单击“Sync Now”(立即同步)

 

 

返回至管理控制台

 

  1. 单击第一个浏览器选项卡以返回至目录
  2. 刷新页面
  3. 向下滚动
  4. 验证 WordPad 在目录中是否可用

 

通过 VMware Identity Manager 检查 Horizon 7 应用池的授权


在此步骤中,我们将检查 VMware Identity Manager 中 View 池的授权


 

验证 View 池应用详细信息

 

  1. 单击“WordPad”

 

 

验证应用授权

 

  1. 验证类型是否为“View Hosted Application”(View 托管应用)
  2. 验证“User, Lab 1”(用户,练习 1)是否已授权,且部署设置为“Automatic”(自动)

 

 

以用户的身份访问应用

 

总结


在本单元中,您已学会如何在 VMware Identity Manager 中启用 Horizon 7 应用池,并在 View 中配置 SAML 身份验证以进行单点登录。


 

VMware Identity Manager 资源

 

您可以在 vIDM 网站上查看更多信息:

https://www.vmware.com/products/identity-manager

 

 

选择要继续学习的单元

您可以继续学习下一单元或者您最感兴趣的任意单元:

 

第 3 单元 - 集成 Identity Manager 与 ThinApp(30 分钟)

简介


在本单元中,您会了解到如何在 VMware Identity Manager 中配置 ThinApp 存储库,并授权用户/用户组访问应用。您将学会如何修改现有的 ThinApp 软件包以便与 VMware Identity Manager 一起使用,并处理通过 VMware Identity Manager 提供的 ThinApp 软件包更新。


 

练习是否准备就绪?

 

1. 确保“Lab Status”(练习状态)为“Ready”(准备就绪)

2. 打开 README.txt

3. 请务必先熟悉 README.txt 的内容,这样您可以轻松复制粘贴,而无需手动输入内容,尤其在您没有美式键盘的时候更是让您如释重负。

注:如果出现“冷 vPOD”,则需要 10-20 分钟才可将练习状态变成准备就绪。一般情况下,我们希望每个准备就绪的练习都有数个 vPOD。如果您的练习并非准备就绪状态,请等待几分钟之后再寻求帮助。

 

配置 ThinApp 存储库


在此步骤中,您会了解到如何将 ThinApp Repository 添加到 VMware Identity Manager,并将 ThinApp 软件包授予给用户。


 

添加 ThinApp 应用

 

  1. 单击“WS1 Admin”在 Chrome 中打开管理控制台
  2. 用户:admin
  3. 密码:VMware1!
  4. 单击“Sign In”(登录)

 

 

检查日志文件

 

  1. 选择目录旁边的下拉菜单
  2. 选择“Settings”(设置)

 

 

 

1. 打开命令提示符

 

 

切换至“Catalog”(目录)/添加 ThinApp 应用

 

  1. 单击右边的浏览器选项卡,以显示 ThinApp 配置页面

 

将 ThinApp 软件包授权给用户


与 ThinApp 存储库同步之后,我们需要向用户授权以使用它们。


 

切换至“Catalog”(目录)

 

  1. 在管理员控制台中,单击“Catalog”(目录)
  2. 单击“Any Application Type”(任何应用类型)旁边的小箭头
  3. 选择“ThinApp Packages”(ThinApp 软件包)
  4. 单击“Safari”

 

 

添加授权

 

1. 单击“+ Add group entitlement”(+ 添加组授权)

 

配置 vIDM 桌面客户端并验证 ThinApp 软件包安装


要让 ThinApp 授权和部署开始运作,每个客户端都必须安装 VMware Identity Manager 桌面代理。这款轻量级代理可同步中央 VMware Identity Manager 门户的授权。代理可保留一份本地授权数据库,以便用户可在离线时启动软件包。默认情况下,本地授权数据库的有效期是 30 天。代理还可在本地完成对客户端的分发。ThinApp 软件包支持三种部署方法:本地、通过共享运行以及 HTTP 交付。在安装代理时指定要使用的交付机制,可在安装代理之后通过注册表项进行更改。

“Local deployment”(本地部署)意味着客户端会利用 SMB 从 ThinApp 存储库将 ThinApp 软件包下载到硬盘中。

“Run From Share”(通过共享运行)意味着,ThinApp 软件包不会下载到本地客户端,但会利用 ThinApp 的流式传输机制在网络上执行软件包。

“HTTP delivery”(HTTP 交付)会把 HTTPS 用作协议,将软件包下载到本地客户端。这样一来,客户端可以是非域成员,也可位于防火墙之外(客户端无需直接访问 ThinApp 存储库,Workspace 可代理文件下载)。


 

打开 Windows 10 桌面

 

  1. 打开“Base-w10-x64-01”(Windows 10 桌面)
  2. 选择其他用户:corp\lab2user
  3. 密码:VMware1!
  4. 单击“OK”(确定)

 

 

Identity Manager Desktop - 登录

 

用户首次登录安装的 Identity Manager Desktop 时,需要进行身份验证。在此练习环境中,我们已经在 base-w10-x64-01 上安装了 Identity Manager Desktop,因此您只需验证用户身份即可。

  1. 用户名:lab2user
  2. 密码:VMware1!
  3. 单击“Sign in”(登录)

 

 

验证 Identity Manager Desktop 连接

 

上一步骤里我们验证了访问 vIDM 的用户的身份,您可以通过任务栏图标验证是否正确配置了 VMware Identity Manager Desktop 客户端:

  1. 单击任务栏中的“Show Hidden Icons”(显示隐藏图标)
  2. 单击“VMware Identity Manager Desktop”图标
  3. 验证您会看到“Next sync in xx seconds”(xx 秒后下一次同步)

注:默认的同步时间为 5 分钟,在此次练习中,我们将客户端配置为每 60 秒检查一次是否发生变化。

 

 

连接到服务器

 

  1. 输入 VMware Identity Manager 服务器:vidm-01a.corp.local
  2. 单击“OK”(确定)

 

 

软件包安装通知

 

您可能在最后一个步骤,即 VMware Identity Desktop Client 控制用户的 ThinApp 软件包之前已经看到此通知(具体取决于时间),因为我们将部署设置为自动,会为用户安装 Safari ThinApp 软件包。

 

 

最小化该远程会话

 

  1. 关闭 Safari(如果已打开)
  2. 最小化(请勿关闭!)远程桌面会话,以重新切换至主控制台

 

更新 ThinApp 软件包


现在,我们将了解如何在 VMware Identity Manager 中更新 ThinApp 软件包。首先,我们授权 Notepad++ 7.2,然后将它更新至 Notepad++ 7.4.1。要让 VMware Identity Manager 发现 ThinApp 软件包作为现有软件包的更新,新的软件包需要:

不必捕捉新软件包作为现有软件包的更新,可通过修改 Package.ini 和/或使用 relink.exe 作出必要的改动。 


 

重新切换至管理控制台

 

  1. 切换至“Catalog”(目录)
  2. 选择“ThinApp Packages”(ThinApp 软件包)作为筛选条件
  3. 单击“Notepad++ 7 (32-bit x86)”(Notepad++ 7(32 位 x86))

 

 

验证是否已部署 Notepad++

 

如前所述,Identity Manager Desktop 每 60 秒会检查一次更新(具体取决于时间),您可能需要等待几秒钟之后 Notepad++ 才会显示在桌面上。

  1. 从桌面打开 NotePad++
  2. 单击“?”
  3. 选择“About Notepad++”(关于 Notepad++)

 

 

获取之前 Notepad++ 版本的 AppID

 

现在,我们一起了解在 Workspace ONE 中更新现有 ThinApp 软件包的必要步骤。我们已经在管理控制台中看到,现有 Notepad++ 软件包的版本是 1.0,现在我们需要获得软件包的 AppID。有三种不同的方法可获得现有软件包的 ApID (GUID),例如可以在软件包上运行 relink -h,或者从 Workspace ONE 管理控制台中获得,这是我们在此次练习中使用的方法:

返回至主控制台,您应该还可看到修改应用屏幕,如果没有看到,可打开 WS1 管理控制台,会在目录中再次看到 Notepad++。

  1. 单击“Details”(详细信息)
  2. 标记 GUID,为此,您可单击左边的括号,并将鼠标移动到右边的括号,同时向下滑动鼠标按钮。确保包含两个括号。
  3. 右键单击标记的 GUID 以打开菜单
  4. 选择“Copy”(复制)

 

 

 

1. 打开命令行

 

 

重新同步 ThinApp 存储库

 

  1. 打开 VMware Identity Manager 管理控制台并切换至“Catalog”(目录)
  2. 单击“Manage Desktop Applications”(管理桌面应用)
  3. 选择“ThinApp Application”(ThinApp 应用)

 

 

验证授权

 

1. 单击“Notepad++ (32-bit x86)”(Notepad++(32 位 x86))

注:尽管两个版本的 Notepad++ 都已上传至 VMware Identity Manager,但在目录中只显示一个版本。如果您希望显示两个版本,可在 Package.INI 和 AppID 中为 InventoryName 使用不同的值,即可显示两个版本,但您需要独立管理软件包/授权。

 

 

重新切换至远程桌面

 

1. 重新切换至远程桌面会话

 

 

验证是否安装了新版本

 

  1. 打开 Notepad ++
  2. 单击“?”
  3. 选择“About Notepad++”(关于 Notepad++)
  4. 验证版本是否为“7.4.1”
  5. 单击“OK”(确定)
  6. 关闭 Notepad++

 

 

注销远程桌面

 

  1. 单击“Start Menu”(开始菜单)
  2. 单击“Lab 2 User”(练习 2 用户)
  3. 选择“Sign Out”(注销)

 

总结


在本单元中,您已了解了如何将 ThinApp 存储库添加到 VMware Identity Manager,以及将 ThinApp 软件包展示给用户。您还学会了如何利用 Relink.exe 修改现有的 ThinApp 软件包,以便与 VMware Identity Manager 一起使用,以及如何将现有的 ThinApp 软件包更新成新版本。


 

VMware Identity Manager 资源

 

您可以在我们的网站上查看更多相关信息:

http://www.vmware.com/products/identity-manager/

 

 

选择要继续学习的单元

您可以继续学习下一单元或者您最感兴趣的任意单元:

 

 

第 4 单元 - 利用 RADIUS 的多因素身份验证(30 分钟)

简介


VMware Identity Manager 可设置网络范围,并可将不同的身份验证策略分配给不同的网络范围。

例如,当终端用户身处办公室并连接到公司网络时,您希望他们利用其 AD 凭证进行身份验证,但当他们在家工作时,您可能希望他们利用双因素身份验证。

在此练习中,我们使用 FreeRADIUS.net,在真实环境下,它可能是您的 RSA 服务器或任何其他支持 RADIUS 协议的双因素身份验证解决方案。我们设置了一个不同于 HOL 中常用的默认 AD 密码 (VMware1!) 的密码 (123456),考虑将它作为您的 RSA 令牌。


 

练习是否准备就绪?

 

1. 确保“Lab Status”(练习状态)为“Ready”(准备就绪)

 

 

启动 FreeRADIUS.net

 

  1. 打开“Start”(开始)菜单
  2. 选择“FreeRADIUS START”(FreeRADIUS 启动)
  3. 验证 FreeRADIUS 是否已启动以及是否做好处理请求的准备

 

将 RADIUS 设置为身份验证适配器


在本单元中,我们会设置 RADIUS 作为身份验证适配器,并将它配置为运行我们的 FreeRADIUS.net。


 

打开 Identity Manager 控制台

 

  1. 单击“WS 1 Admin”以打开管理控制台
  2. 用户名:admin
  3. 密码:VMware1!
  4. 单击“Sign in”(登录)

 

 

设置身份验证适配器

 

  1. 单击“Identity & Access Management”(身份和访问权限管理)选项卡
  2. 单击“Setup”(设置)
  3. 单击“vidm-01a.corp.local”

 

 

修改身份验证适配器

 

  1. 单击“Auth Adapters”(身份验证适配器)
  2. 向下滚动
  3. 单击“RadiusAuthAdapter”

 

 

配置 RADIUS

 

  1. 选中“Enable RADIUS Adapter”(启用 RADIUS 适配器)
  2. 选中“Enable direct authentication to Radius server during auth chaining”(在身份验证链过程中启用对 Radius 服务器直接进行身份验证)
  3. 将“Number of attempts to Radius server”(Radius 服务器的尝试次数)设置成“5”
  4. 将“Server timeout in seconds”(服务器超时(以秒计))设置成“5”
  5. 指定 192.168.110.10 作为 RADIUS 服务器 IP
  6. 向下滚动
  7. 将记帐端口设置成 1813
  8. 选择“PAP”作为身份验证类型
  9. 输入 HOLrocks! 作为共享密码
  10. 向下滚动(将辅助服务器的配置留空)
  11. 单击“Save”(保存)

 

 

返回至管理控制台

 

1. 关闭此选项卡以返回至管理控制台

 

创建网络范围并修改策略


现在,我们会为测试虚拟机 (Windows10-01a) 创建网络范围并修改默认策略,以便将 RADIUS 用于我们创建的这一特定范围。


 

定义网络范围

 

1. 单击“Network Ranges”(网络范围)
2.单击“Add Network Range”(添加网络范围)

 

 

定义网络范围(续)

 

1. 输入 RADIUS 测试作为“网络范围”的名称
2. 提供 RADIUS 测试描述(可选)
3.输入 view-01a.corp.local 作为客户端访问 URL 主机
4. 将 URL 端口设置为
443
5. 输入 192.168.100.113 作为“From”(从)
6. 输入 192.168.100.113 作为“To”(至)
7. 单击“Save”(保存)

这样可添加 IP 地址的“范围”(Windows 10 VM)

 

 

验证是否已添加新的网络范围

 

 

 

更改默认访问策略

 

  1. 单击“Manage”(管理)选项卡
  2. 单击“Policies”(策略)
  3. 单击“default_access_policy_set”

 

 

添加新的 Web 浏览器规则

 

1. 向下滚动
2. 单击符号“+”符号

 

 

配置策略规则

 

1. 从下拉菜单中选择“RADIUS Test”(RADIUS 测试)
2. 从下拉菜单中选择“Web Browser”(Web 浏览器)
3, 从下拉菜单中选择“RADIUS”
4. 单击“OK”(确定)

 

 

更改策略规则顺序

 

1. 单击“RADIUS Test”(RADIUS 测试)前面的图标
2.将规则拖放到顶部
3. 单击“Save”(保存)

 

 

验证身份验证方法

 

  1. 通过 Web 浏览器连接时,验证 RADIUS 是要用于网络范围 RADIUS 测试的第一个身份验证方法。

 

验证功能


现在,我们验证新策略是否处于活动状态。


 

打开新的匿名窗口

 

打开一个新的匿名浏览器窗口:

  1. 单击右上角垂直的点
  2. 选择“New incognito window”(新建匿名窗口)

 

 

登录 WS1

 

  1. 单击“WS1”
  2. 单击“Next”(下一步)

 

 

以 lab1user 身份登录

 

  1. 用户:lab1user
  2. 单击“VMware1!”

 

 

验证登录

 

您应该已使用域密码成功登录 Workspace ONE 控制台。

1. 关闭匿名窗口

 

 

在 Windows10 VM 中测试 RADIUS 身份验证

 

在真实的测试中,请最小化浏览器窗口。

  1. 单击“Base-w10”快捷方式
  2. 选择 corp\lab1user
  3. 用户名:corp\lab1user
  4. 密码:VMware1!
  5. 单击“Login”(登录)

 

 

打开 Edge 浏览器

 

  1. 打开 Microsoft Edge 浏览器
  2. 验证 URL 是否设置为 vidm-01a.corp.local/SAAS/auth/login...如果不是,请输入 vidm-01a.corp.local
  3. 单击“Next”(下一步)

 

 

使用 RADIUS 验证身份

 

  1. 注意“Please enter RADIUS Passcode”(请输入 RADIUS 验证码)
  2. 注意,身份验证设置为“RADIUS Passcode”(RADIUS 验证码)

 

 

使用 RADIUS 登录

 

  1. 用户名:lab1user(所有字母全部小写)
  2. 密码:123456  
  3. 单击“Sign In”(登录)

注:Lab1user 的 Active Directory 密码为 VMware1!(如之前所验证)。RADIUS 服务器配置 123456 作为 lab1user 的密码,在真实的环境中,此密码可能是您的 RSA 令牌。

 

 

验证访问

 

验证您能否成功访问门户。

 

 

断开连接并注销

 

  1. 单击“Start Menu”(开始菜单)
  2. 单击“Lab 1 User”(练习 1 用户)
  3. 选择“Sign Out”(注销)

 

总结


我们已经演示了如何实现 VMware Identity Manager 与兼容 RADIUS 的 2FA 解决方案的轻松集成。如果您按照不同的顺序学习各个单元,可以让 FreeRADIUS 继续运行,后面的单元需要从 Windows 10 VM 登录,请使用 RADIUS 密码 123456 而不是 VMware1!

VMware Identity Manager 还配备内置的 2FA 解决方案,但由于此环境的网络连接限制,我们无法在本次练习中予以演示,但您可在此处了解更多信息:VMware Verify。

可在下面查看 VMware Verify 的讲解示范:

http://support.vmtestdrive.com/article/252-vmware-verify-demo-walkthrough

VMware Verify 使用移动推送令牌,在 iOS 和 Android 中使用 Verify 应用。


 

总结

 

您可在 VMware Identity Manager 文档中获得更多有关用户身份验证选项的信息,其中包括 RADIUS。

二维码会将您带至以下链接:

为 VMware Identity Manager 配置 RADIUS。

 

 

选择要继续学习的单元

您可以继续学习下一单元或者您最感兴趣的以下任意单元:

 

 

第 5 单元 - 集成 Identity Manager 与基于 SAML 的 Web 应用(30 分钟)

简介


在本单元中,您将学会如何在 VMware Identity Manager 中配置 Web 和 SaaS 应用。借助 VMware Identity Manager,您可以为用户提供单点登录 (SSO),让他们可以登录到任何支持安全声明标记语言 (SAML) 的 Web 应用

这样可让用户获得应用(ThinApps、Citrix XenApp、RDSH、SaaS)和 VDI 桌面的单一入口点。借助 AirWatch,您甚至可将此功能延伸至移动应用。


 

练习是否准备就绪?

 

1. 确保“Lab Status”(练习状态)为“Ready”(准备就绪)

2. 打开 README.txt

3. 请务必先熟悉 README.txt 的内容,这样您可以轻松复制粘贴,而无需手动输入内容,尤其在您没有美式键盘的时候更是让您如释重负。

 

创建基于 Web 应用的快捷键


在此示例中,我们会为 Web 应用创建一个简单的快捷方式,不会传输任何用户信息进行单点登录。这样基本上只会创建一个书签,它也是最简单的将 Web 应用或网站集成到 VMware Identity Manager 的方式。


 

登录 VMware Identity Manager

 

  1. 在 Chrome 中打开 WS1 Admin
  2. 用户名:admin
  3. 密码:VMware1!
  4. 单击“Sign in”(登录)

 

 

创建新 Web 应用

 

  1. 单击“Catalog”(目录)
  2. 单击“Add Application”(添加应用)
  3. 在 Web 应用下,选择“...create new one”(...创建一个新应用)'

 

 

添加授权

 

  1. 单击“Add user entitlement”(添加用户授权)

 

 

验证 vSphere Web Client 快捷方式是否可用

 

  1. 单击用户名旁边的下拉菜单
  2. 选择“User Portal”(用户门户)

 

添加基于 SAML 的 Web 应用和 SSO 配置


在此次练习中,我们将添加 SAML 2.0 测试应用并配置 VMware Identity Manager,以便将用户信息传输到应用。在准备此次练习的过程中,我们已经将证书添加到测试应用,从而将 SAML 测试应用配置成信赖 VMware identity Manage。


 

重新切换至管理控制台

 

  1. 单击用户名旁边的下拉菜单
  2. 选择“Administration Console”(管理控制台)

 

 

SAML 2.0 准备

 

SAML 集成需要对 VMware Identity Manager 进行配置,对您要集成的应用进行配置。SAML 2.0 测试应用之后会在本次练习中用到,我们已经为您完成了这一设置。您可以在管理控制台中看到必要的信息(签名证书和 IdP URL):

  1. 单击下拉菜单
  2. 选择“Settings”(设置)
  3. 单击“SAML Metadata”(SAML 元数据)
  4. 可在此处检索 SAML 元数据(IdP 和 SP)
  5. 签名证书

 

 

 

配置 SAML 测试应用

 

您无需在练习中执行此步骤。

因为配置是特定于这一简单的测试应用,因此我们没有在练习中添加这些步骤。但如果您有兴趣,可以使用 WinSCP 或 Putty 查看 saml-test.corp.local 上的 settings.php 文件,该文件位于 /var/www/html/saml/demo 下面

 

 

添加 SAML 应用

 

  1. 单击“Catalog”(目录)
  2. 单击“Add Application”(添加应用)
  3. 选择“...create a new one”(...创建新应用)

 

 

添加授权

 

  1. 单击“+ Add group entitlement”(+ 添加组授权)

 

 

打开新的匿名浏览器窗口

 

  1. 单击 3 个垂直的点
  2. 选择“New incognito window”(新建匿名窗口)

 

 

登录 Workspace ONE

 

  1. 单击“Next”(下一步)

 

 

打开 SAML 2.0 应用

 

  1. 单击“SAML 2.0”应用

 

 

验证是否显示属性

 

  1. 验证属性 firstname/lastnameusernameprincipalname (=email) 都已正确传递至 SAML-Test 应用
  2. 单击“Close Tab”(关闭选项卡)

 

为此,必须为 Active Directory 中的每位用户提供必要的信息,且属性必须与 vIDM 同步。如果您在 AD 中更改了属性,则必须在 VMware Identity Manager 与 Directory 之间进行同步。

 

 

云计算应用目录

 

VMware Identity Manager 还可添加“云计算应用目录中的 Web 应用”,因为此环境并未联网,因此您无法测试此选项。目录当前包含 90 多个(还在不断增加)适用于常用 Web/SaaS 应用的预先配置的模板,例如 ADP、Salesforce.com、Office 365、Workday、ServiceNow 等。

HOL 环境不会执行以下步骤,因为此环境并未联网,它们仅作参考之用。

  1. 添加应用
  2. 云计算应用目录中的 Web 应用

 

总结


在本单元中,您已学会如何为 Web 应用添加简单的快捷方式,以及如何整合更加复杂的 SAML 2.0 应用,我们会为 SAML 2.0 应用传输一些用户特定的属性。根据您要整合的应用,您可能需要在 VMware Identity Manager 和应用中配置不同的设置。始终参阅 VMware Identity Manager 和应用文档以获取详细信息。


 

VMware Identity Manager 集成文档库

 

您可以在我们的网站上查看更多信息:

https://www.vmware.com/support/pubs/vidm_webapp_sso.html

 

 

选择要继续学习的单元

您可以继续学习下一单元或者您最感兴趣的以下任意单元:

 

练习小结

总结



 

练习 1851-05-MBL 到此结束。请务必在课程结束后填写调查问卷。

 

Conclusion

Thank you for participating in the VMware Hands-on Labs. Be sure to visit http://hol.vmware.com/ to continue your lab experience online.

Lab SKU: ManualExport-HOL-1851-05-ADV-LT.zip

Version: 20171018-133801