应用程序远程桌面服务
远程桌面服务 时间:2021-03-29 阅读:()
VMwareWorkspacePortal管理员指南WorkspacePortal2.
1在本文档被更新的版本替代之前,本文档支持列出的每个产品的版本和所有后续版本.
要查看本文档的更新版本,请访问http://www.
vmware.
com/cn/support/pubs.
ZH_CN-001537-00VMwareWorkspacePortal管理员指南2VMware,Inc.
最新的技术文档可以从VMware网站下载:http://www.
vmware.
com/cn/support/VMware网站还提供最近的产品更新信息.
您如果对本文档有任何意见或建议,请把反馈信息提交至:docfeedback@vmware.
com版权所有2013,2014VMware,Inc.
保留所有权利.
版权和商标信息.
VMware,Inc.
3401HillviewAve.
PaloAlto,CA94304www.
vmware.
com北京办公室北京市海淀区科学院南路2号融科资讯中心C座南8层www.
vmware.
com/cn上海办公室上海市浦东新区浦东南路999号新梅联合广场23楼www.
vmware.
com/cn广州办公室广州市天河北路233号中信广场7401室www.
vmware.
com/cn目录1关于VMwareWorkspacePortal管理员指南52面向管理员的Workspace简介73使用Workspace管理控制台仪表板来监控用户、资源和设备运行状况9跟踪Workspace中使用的用户和资源9监控Workspace系统信息和运行状况104配置Workspace用户身份验证11Workspace用户身份验证概览11添加或编辑网络范围12添加或编辑用户身份验证方法13添加和配置身份提供程序实例14将Workspace配置为使用第三方身份提供程序实例的概览16获取配置第三方身份提供程序实例所需的WorkspaceSAML信息17编辑默认访问策略集185管理访问策略集19访问策略设置概览19管理特定于Web应用程序的访问策略集20编辑访问策略集21添加特定于Web应用程序的访问策略集22应用特定于Web应用程序的访问策略集236管理用户和组25Workspace用户和组类型25管理Workspace组26修改Workspace组成员身份26Workspace组信息27管理Workspace用户28Workspace用户信息29更改从ActiveDirectory同步的组和用户30更改为Workspace选择用户的设置317管理Workspace目录33Workspace资源类型概述33资源类别使用概览35创建资源类别35对资源应用类别35VMware,Inc.
3移除或删除类别35访问Workspace资源36向目录添加资源378搜索用户、组或目录资源399查看Workspace报告41生成审核事件报告4110配置Workspace设置(管理员版)43Workspace管理设置概览43自定义Workspace品牌标识44索引47VMwareWorkspacePortal管理员指南4VMware,Inc.
关于VMwareWorkspacePortal管理员指南1《VMwareWorkspacePortal管理员指南》提供了有关使用和维护VMwareWorkspacePortal的信息和说明.
借助Workspace,您可以为组织的应用程序自定义一个资源目录,并使用户以安全的方式通过多种设备对这些资源进行受管的访问.
这类资源包括Web应用程序、捕获为ThinApp软件包的Windows应用程序、基于Citrix的应用程序以及View桌面池和应用程序池.
Workspace为用户提供了统一的体验,让您的IT部门可以在多种设备上为所有服务和应用程序实现统一的安全性和管理.
目标受众《VMwareWorkspacePortal管理员指南》专门面向企业管理员.
文档内容专为熟悉虚拟机技术、标识管理、Kerberos和目录服务且经验丰富的Windows和Linux系统管理员编写.
如果您打算实施VMwareThinApp、View、Citrix应用程序虚拟化和RSASecurID等其他功能,了解这些方面的技术十分有用.
《Workspace管理员指南》概览请在安装Workspace后使用《VMwareWorkspacePortal管理员指南》.
对Workspace进行管理时,请使用Workspace管理控制台.
从Workspace管理控制台执行的关键任务是授权用户使用资源.
通过执行其他任务,您可以更详细地控制授权哪些用户在什么条件下使用哪些资源,这些任务对上述关键任务起到辅助支持作用.
以管理员身份执行的任务根据您计划管理的资源类型的不同而有所变化.
您可以管理View桌面池和应用程序池、Windows应用程序(ThinApp软件包)、DaaS桌面、基于Citrix的应用程序以及Web应用程序.
您实际管理的资源类型根据组织需求的不同而有所变化.
要授权用户使用某种资源类型,必须先执行《VMwareWorkspacePortal指南》的"设置资源"中介绍的相应预配置任务.
VMware,Inc.
5VMwareWorkspacePortal管理员指南6VMware,Inc.
面向管理员的Workspace简介2Workspace提供集中式的管理控制台,您可以借助该控制台自定义组织的目录,以及管理对目录中资源的授权.
目录包含组织的应用程序和资源.
Workspace可检测用户的属性,并跨应用程序实施策略.
用户的工作区由他们的一组授权资源组成.
对于每个用户,您可以自定义Windows、Web和软件即服务(Software-as-a-Service,SaaS)应用程序的交付方式和从单个门户访问这些应用程序的能力,同时还能授予用户通过自助服务访问应用程序的权限.
Workspace管理服务管理Workspace用户组和资源管理、身份验证、同步设置以及来自不同Workspace管理服务的数据库连接.
n在"Workspace管理控制台"界面上,设置资源目录并管理您的用户和组、授权以及报告.
您可以查看"用户参与"仪表板和"系统诊断"仪表板来监控用户、资源使用情况和Workspace设备运行状况.
以从ActiveDirectory分配的管理员用户角色登录.
直接登录管理控制台的URL为https://WorkspaceFQDN/SAAS/admin.
n在Connector服务管理员页面上,配置目录、设置authbroker并管理其他企业集成(如虚拟桌面和远程应用程序).
这包括设置与View连接服务器、ThinApp存储库和Citrix已发布应用程序资源的集成.
从这些页面中,您还可以检查目录同步状态和警报.
使用用户名admin和设置Workspace时创建的管理员密码,以Workspace管理员的身份登录.
Connector服务管理员页面的链接可以在以下网址中找到:https://Workspace_FQDN.
com:8443.
n在ApplianceConfigurator页面上,您可以管理Workspace数据库、更新证书、启用Syslog、更改Workspace和系统密码,以及管理其他基础架构功能.
使用在设置Workspace时创建的管理员用户名和管理员密码,以Workspace管理员的身份登录.
ApplianceConfigurator页面的链接可以在以下网址中找到:https://Workspace_FQDN.
com:8443.
您还可以从"Worksapce管理控制台"中的"设置">"VA配置"页面访问ApplianceConfigurator页面.
Workspace最终用户组件用户可以使用WorkspaceAppPortal(无代理客户端)访问授权资源,也可以从适用于Windows的Workspace访问虚拟化的Windows应用程序(以ThinApp软件包的形式捕获).
VMware,Inc.
7表21Workspace用户客户端组件Workspace用户组件描述可用端点WorkspaceAppPortalWorkspace应用程序门户是基于Web的无代理应用程序.
当用户通过浏览器访问并使用其授权工作区资产时,将默认使用该界面.
使用此门户,用户可以访问其View桌面和WorkspaceWeb应用程序.
如果最终用户有权访问ThinApp应用程序,且其使用的Windows系统上已安装适用于Windows的Workspace程序并处于活动状态,则他们可以从此应用程序门户中查看并启动获得授权的ThinApp软件包.
在iOS设备上,用户可以在诸如Safari的浏览器应用程序中打开此门户,然后访问并使用其View桌面、WorkspaceWeb应用程序和基于Citrix的应用程序.
基于Web的应用程序门户在所有受支持的系统端点上均可用,如Windows系统、Mac系统、iOS设备和Android设备.
适用于Windows的Workspace在用户的Windows系统上安装此程序后,用户可以使用其虚拟化的Windows应用程序(以ThinApp软件包的形式捕获).
Windows系统支持Workspace的Web浏览器Workspace管理员控制台是基于Web的应用程序,随Workspace一起安装.
您可以通过以下浏览器访问和使用Workspace管理控制台.
nInternetExplorer10和11(适用于Windows系统)nGoogleChrome34.
0或更高版本(适用于Windows和Mac系统)nMozillaFirefox28或更高版本(适用于Windows和Mac系统)nSafari6.
1.
3及更高版本(适用于Mac系统)最终用户可以通过以下浏览器访问其Workspace应用程序门户.
nMozillaFirefox(最新)nGoogleChrome(最新)nSafari(最新)nInternetExplorer8或更高版本n本地浏览器和GoogleChrome(Android设备上)nSafari(iOS设备上)使用InternetExplorer8查看Workspace页面时,可能无法在页面上正确显示所有元素.
为获得最佳查看效果,用户应升级到更新的版本.
VMwareWorkspacePortal管理员指南8VMware,Inc.
使用Workspace管理控制台仪表板来监控用户、资源和设备运行状况3"Workspace管理控制台"包含"用户参与"仪表板和"系统诊断"仪表板,可帮助您监控用户、资源使用情况以及Workspace设备运行状况.
本章讨论了以下主题:n第9页,"跟踪Workspace中使用的用户和资源"n第10页,"监控Workspace系统信息和运行状况"跟踪Workspace中使用的用户和资源"用户参与"仪表板显示有关用户和资源的信息.
您可以查看已登录的人员、正在使用的应用程序以及应用程序的访问频率.
您可以创建报告来跟踪用户和组的活动以及资源使用情况.
显示在"用户参与"仪表板上的时间基于为浏览器设置的时区.
仪表板每隔一分钟更新一次.
步骤n标题将显示当天登录的唯一用户的数量,还将显示表明七天内每天登录事件数量的时间表.
"今天登录的用户"数量由圆圈包围,显示已登录用户的百分比.
登录滑动图显示一周内的登录事件.
指向图中的一个点可查看当天的登录数量.
n"用户和组"部分显示在Workspace中设置的用户帐户数量和组数量.
将显示最近登录的用户.
可以单击查看完整报告来创建"审核事件"报告,该报告显示在一定日期范围内登录的用户.
n"应用程序热门程度"部分显示在七天时间内应用程序启动次数的柱状图,按应用程序类型分组显示.
指向特定日期可查看显示所使用应用程序的类型以及当天所启动数量的工具提示.
图下方的列表显示特定应用程序的启动次数.
单击右侧的下拉菜单箭头选择查看一天、一周、一个月或12周内的此信息.
可以单击查看完整报告来创建"资源使用情况"报告,该报告显示一定时间范围内的应用程序、资源类型和用户活动数量.
n"应用程序采用"部分将显示一个柱状图,其中显示已打开有权使用的应用程序的人员百分比.
指向应用程序可查看显示采用和授权的实际数量的工具提示.
n"已启动应用程序"饼图显示已启动资源在整体中所占的百分比.
指向饼图中的特定部分可查看按资源类型列出的实际数量.
单击右侧的下拉菜单箭头选择查看一天、一周、一个月或12周内的此信息.
nWorkspaceClient部分显示正在使用的WindowsClientsforWorkspace的数量.
下一步单击"仪表板"下拉菜单可查看"系统诊断"仪表板.
VMware,Inc.
9监控Workspace系统信息和运行状况Workspace系统诊断仪表板显示您的环境中Workspace设备运行状况的详细概览,以及有关Workspace服务的信息.
您可以查看Workspace数据库服务器、workspace-va虚拟机和每个虚拟机上的可用服务的整体运行状况.
在"系统诊断"仪表板中,您可以选择要监控的workspace-va虚拟机,并可以查看该虚拟机上服务的状态,包括已安装的Workspace版本.
如果数据库或虚拟机出现问题,则标题栏会以红色显示计算机状态.
要查看问题,您可选择以红色显示的虚拟机.
步骤n用户密码过期.
将显示Workspace设备root的过期日期和密码的远程日志.
如果密码过期,请转至"设置"页面,然后选择VA配置.
打开系统安全页面以更改密码.
n证书.
将显示证书颁发者、开始日期和结束日期.
要管理证书,请转至"设置"页面,然后选择VA配置.
打开安装证书页面.
nConfigurator-应用程序部署状态.
将显示ApplianceConfigurator服务信息.
"Web服务器状态"将显示Tomcat服务器是否正在运行.
"Web应用程序状态"将显示ApplianceConfigurator页面是否可访问.
"设备版本"将显示已安装的Workspace设备的版本.
nApplicationManager-应用程序部署状态.
将显示Workspace设备连接状态.
nConnector-应用程序部署状态.
将显示Connector服务管理员连接状态.
当显示"连接成功"时,您可以访问Connector服务管理员页面.
nWorkspaceFQDN.
显示用户输入以访问其WorkspaceAppPortal的完全限定域名.
当正在使用负载平衡器时,WorkspaceFQDN将指向该负载平衡器.
nApplicationManager-集成组件.
将显示Workspace数据库连接、审核服务和分析连接信息.
nConnector-集成组件.
将显示有关在"Connector服务管理"页面上管理的服务的信息.
将显示有关ThinApp、View和Citrix发布的应用程序资源的信息.
n模块.
显示在Workspace中启用的资源.
单击启用转至"Connector服务管理"页面以找到该资源.
VMwareWorkspacePortal管理员指南10VMware,Inc.
配置Workspace用户身份验证4Workspace用户身份验证需要使用一个或多个身份提供程序实例.
这可以是Workspace实例(该实例为默认实例),或者第三方身份提供程序实例,或者这两者的组合.
身份提供程序实例在企业网络内使用ActiveDirectory对用户进行身份验证要配置身份提供程序实例并将其添加到Workspace部署,必须执行多个先决条件步骤来确保Workspace可以正确地访问ActiveDirectory部署.
本章讨论了以下主题:n第11页,"Workspace用户身份验证概览"n第12页,"添加或编辑网络范围"n第13页,"添加或编辑用户身份验证方法"n第14页,"添加和配置身份提供程序实例"n第16页,"将Workspace配置为使用第三方身份提供程序实例的概览"n第18页,"编辑默认访问策略集"Workspace用户身份验证概览Workspace尝试基于您配置的身份验证方法、默认访问策略集、网络范围和身份提供程序实例对用户进行身份验证.
用于Workspace的身份提供程序实例将创建一个使用SAML2.
0断言与Workspace进行通信的网内联合身份验证机构.
身份提供程序实例在企业网络内使用ActiveDirectory对用户进行身份验证.
Workspace支持ActiveDirectory密码、Kerberos和RSASecurID用户身份验证方法.
但是,第三方身份提供程序可能支持其他可以用于您的Workspace部署的身份验证方法,例如,基于智能卡的身份验证.
默认支持的Workspace身份验证类型描述密码无任何配置Workspace支持ActiveDirectory密码身份验证.
此方法直接通过ActiveDirectory对用户进行身份验证.
KerberosKerberos身份验证可以为域用户提供Workspace的单点登录访问权限,因此域用户在登录企业网络后无需登录Workspace.
身份提供程序实例使用由密钥分发中心(KDC)分发的Kerberos票证验证用户桌面凭据.
RSASecurIDRSASecurID身份验证要求用户使用基于令牌的身份验证系统.
建议针对从企业网络外部访问Workspace的用户启用RSASecurID身份验证方法.
VMware,Inc.
11要执行Kerberos身份验证或RSASecurID身份验证,您可以使用一个现有身份提供程序实例,也可以部署一个或多个其他的身份提供程序实例,具体取决于您的部署.
当用户尝试登录时,Workspace必须确定用于验证用户身份的身份提供程序实例.
为了确定身份提供程序实例,Workspace会对默认的访问策略集进行评估,选择策略集中要应用的策略.
应用的策略将指定该登录事件所需的最低身份验证评分.
然后,Workspace会根据要求的最低身份验证评分和方法的顺序对可用的身份验证方法进行筛选和排序,您可以根据组织的要求设定最低身份验证评分和方法的顺序.
Workspace选择满足策略的身份验证方法和网络范围要求的第一个身份提供程序实例,然后将用户身份验证请求转发到此实例进行身份验证.
如果身份验证失败,身份验证提供程序选择过程会继续选择列表中的下一个身份提供程序.
重要事项移除或重置身份提供程序实例时,您必须从"身份提供程序"页面中移除相应的身份提供程序名称.
您可以各种方式将Workspace部署为使用身份提供程序选择过程,以下示例总结了其中一种方式.
外部RSASecurID和内部密码身份验证或更高级示例可以使用此方法在同一Workspace部署中将Workspace配置为对内部用户使用ActiveDirectory密码或Kerberos身份验证方法,对外部用户使用RSASecurID身份验证方法.
n内部策略-使用Workspace管理控制台在默认访问策略集中创建一种身份验证评分最低的策略,以接受ActiveDirectory密码作为身份验证方法.
要确保Workspace尝试首先使用Kerberos身份验证对用户进行身份验证,使Kerberos方法的身份验证评分高于密码方法的身份验证评分,并在"身份验证方法"页面上将Kerberos置于列表的顶端.
还要为内部用户分配网络范围.
n外部策略-使用Workspace管理控制台在默认访问策略集中创建一种身份验证评分最低的策略,以确保使用RSASecurID身份验证方法来验证用户的身份.
还要分配一个包括所有可能用户的网络范围(从0.
0.
0.
0到255.
255.
255.
255).
此配置的结果就是尝试从企业网络内部访问Workspace的用户将被定向到提供Kerberos身份验证或密码身份验证的身份提供程序实例,而企业网络外部的用户将被定向到提供RSASecurID身份验证的身份提供程序实例.
内部和外部用户可能被发送到相同的身份提供程序实例或不同的身份提供程序实例,具体取决于您配置身份验证方法的方式.
添加或编辑网络范围您可以添加要定向到特定身份提供程序实例的IP地址的网络范围.
默认的网络范围称为"所有范围",包括Internet上提供的每个IP地址,范围从0.
0.
0.
0到255.
255.
255.
255.
即使您的Workspace部署中只有一个身份提供程序实例,您也可能需要先配置默认范围,然后通过添加其他范围来排除或包含特定的IP地址.
如果部署中有多个采用不同身份验证方法的身份提供程序实例,则必须配置多个网络范围.
请参阅第14页,"添加和配置身份提供程序实例".
注意默认网络范围("所有范围")及其描述("面向所有范围的网络")是可以编辑的.
您可以使用"网络范围"页面上的编辑功能来编辑此名称和描述,包括将文本更改为其他语言.
前提条件执行必要的网络范围规划.
n确定将Workspace与ActiveDirectory进行集成的最佳方式,以满足您组织的需求.
这类规划会影响部署中身份提供程序实例的数量,进而影响所需的网络范围的数量.
n根据网络拓扑,定义Workspace部署的网络范围.
VMwareWorkspacePortal管理员指南12VMware,Inc.
n当启用View模块时,要添加一个网络范围,请记录该网络范围的HorizonClient访问URL和端口号.
更多信息请参阅View文档.
步骤1登录Workspace管理控制台.
2选择设置>网络范围.
3编辑现有网络范围或添加新的网络范围.
选项描述编辑现有范围单击编辑对范围进行编辑.
添加范围单击+网络范围添加新范围.
4完成表单填写.
表单项目描述名称输入网络范围的名称.
描述输入对网络范围的描述.
View容器"View容器"选项仅在启用View模块后显示.
Client访问URL主机.
输入该网络范围的正确HorizonClient访问URL.
Client访问端口.
输入该网络范围的正确HorizonClient访问端口号.
请参见中的"提供对View桌面池和应用程序的访问权限"章节.
IP地址编辑或添加IP范围,直到所有需要和不需要的IP地址都包含在内.
下一步n将每个网络范围关联到身份提供程序实例.
请参阅第14页,"添加和配置身份提供程序实例".
n根据需要将网络范围与访问策略集相关联.
请参阅第19页,第5章"管理访问策略集".
添加或编辑用户身份验证方法您可以编辑现有的用户身份验证方法.
在添加第三方身份提供程序时,您可以配置Workspace不默认支持的用户身份验证方法.
另外,还可以创建访问策略,将身份验证方法与特定的Web应用程序相关联.
Workspace支持ActiveDirectory密码、Kerberos和RSASecurID用户身份验证方法.
通过添加支持其他身份验证方法(如基于智能卡的身份验证)的第三方身份提供程序,可以使Workspace能够强制执行这种身份验证方法.
请参阅第14页,"添加和配置身份提供程序实例".
有关与配置Workspace使用第三方身份提供程序实例相关的任务的完整列表,请参阅第16页,"将Workspace配置为使用第三方身份提供程序实例的概览".
方法的最低身份验证评分和在"身份验证方法"页面上的顺序在Workspace选择身份提供程序实例进行用户身份验证所遵循的过程中十分重要.
要规定用户使用具有指定最低身份验证评分的身份验证方法访问Web应用程序,请参阅第20页,"管理特定于Web应用程序的访问策略集".
Workspace使用给定身份验证方法进行的尝试次数不尽相同.
Workspace只尝试执行一次Kerberos身份验证.
如果用户无法通过Kerberos方法成功登录,将尝试列表中的下一个身份验证方法.
对于ActiveDirectory密码或RSASecurID身份验证,最大的登录尝试失败次数为五次.
用户尝试登录的失败次数达到五次之后,Workspace将尝试使用列表中的下一个身份验证方法使用户登录.
当所有身份验证方法都已用尽时,Workspace会发出一条错误消息.
第4章配置Workspace用户身份验证VMware,Inc.
13前提条件n部署计划要与Workspace集成的身份验证系统.
例如,如果您计划将RSASecurID集成到Workspace部署中,需验证网络上是否已安装并配置了RSASecurID.
n按照自己的标准为计划在Workspace部署中使用的身份验证方法确定安全级别:从1级(安全性最低)到5级(安全性最高).
步骤1登录Workspace管理控制台.
2选择设置>身份验证方法.
3编辑现有身份验证方法或添加新的身份验证方法.
选项描述编辑现有身份验证方法单击编辑对现有身份验证方法进行配置.
添加新的身份验证方法单击+添加身份验证方法添加新的身份验证方法.
例如,当向部署中添加新的第三方身份提供程序实例时.
4编辑身份验证方法的设置.
表单项目描述名称键入此身份提供程序实例的名称.
SAML上下文从下拉菜单中选择适当的SAML上下文.
列表中包含当前按照SAML2.
0规范可支持的SAML身份验证上下文.
身份验证评分为默认访问策略集或特定于Web应用程序的策略集创建访问策略时,需要配置最低身份验证评分.
策略要求用户使用具有指定身份验证评分或更高评分的身份验证方法进行身份验证以访问Workspace(如果是默认访问策略)或Web应用程序(如果是特定于Web应用程序的策略).
根据您为身份验证方法预先确定的安全级别,应用身份验证评分.
默认方法要将身份验证方法设为默认方法,请选择默认方法.
默认方法选项与"SAML上下文"选项相关.
以下示例演示了Workspace使用已被选中作为默认方法的身份验证方法的情形.
添加身份验证方法时,选择SAML上下文.
此后,第三方身份提供程序实例所发送的SAML上下文与您为该身份提供程序实例选择的SAML上下文不匹配,Workspace无法识别所发送的SAML上下文.
Workspace不会停止身份验证尝试,而是尝试使用已被选择作为默认方法的身份验证方法来验证用户的身份.
5单击保存.
下一步n将每种身份验证方法与相应的身份提供程序实例相关联.
请参阅第14页,"添加和配置身份提供程序实例".
n通过为每个访问策略设置相应的最低身份验证评分来将访问策略与身份验证方法相关联.
添加和配置身份提供程序实例通过向Workspace部署中添加和配置身份提供程序实例,可以提供高可用性、支持其他用户身份验证方法,并增加灵活性,可以根据用户IP地址范围管理用户身份验证过程.
将额外的身份提供程序实例添加到Workspace部署,以实现高可用性.
VMwareWorkspacePortal管理员指南14VMware,Inc.
前提条件n执行必要的规划.
n确定将Workspace与ActiveDirectory进行集成的最佳方式,以满足您组织的需求.
您可以配置单域或多域林.
n确定能够满足您组织需求的身份验证类型.
例如,您可以为组织内部用户配置Kerberos身份验证,为组织外部用户配置RSASecurID身份验证.
通过对两种身份验证方法使用一个身份提供程序实例或对每种身份验证方法使用单独的身份提供程序实例,即可设置此类型的配置.
n在部署的概念证明阶段,使用单个ActiveDirectory域部署Workspace.
n为您的Workspace部署准备额外的身份提供程序实例.
n要添加第三方身份提供程序实例,请执行以下任务.
有关与配置Workspace使用第三方身份提供程序实例相关的任务的完整列表,请参阅第16页,"将Workspace配置为使用第三方身份提供程序实例的概览".
n确认第三方实例兼容SAML2.
0,并且Workspace能够访问这些实例.
n确定Workspace从第三方实例获取元数据的方式,复制并保存第三方实例中的相应元数据信息,以便在配置期间粘贴到Workspace管理控制台.
您从第三方实例获取的元数据信息可以是元数据的URL或实际的元数据.
n要使Workspace能够使用其他身份验证方法,请使用管理控制台配置其他身份验证方法.
请参阅第13页,"添加或编辑用户身份验证方法".
n使用管理控制台配置网络范围.
请参阅第12页,"添加或编辑网络范围"步骤1登录Workspace管理控制台.
2选择设置>身份提供程序.
3单击添加身份提供程序.
此选项将提示您输入相关信息,以使Workspace能够注册现有第三方身份提供程序实例.
4编辑身份提供程序实例的设置.
表单项目描述类型为第三方身份提供程序实例选择手动类型.
注意不要选择"自动",除非VMware技术支持人员指示您这样做.
提供程序名称键入此身份提供程序实例的名称.
描述键入此身份提供程序实例的描述.
用户存储"用户存储"文本框列出了Workspace部署中可用的用户存储.
选择所有要与此身份提供程序实例关联的用户存储.
身份验证方法"身份验证方法"文本框列出了Workspace部署中可用的用户身份验证方法.
此列表包括默认身份验证方法和先前添加的用于支持第三方身份提供程序的其他方法.
其他身份验证方法的添加作为此任务的一项先决条件进行说明.
如果您要选择的身份验证方法未在此列表中,请按先决条件中所述添加此身份验证方法.
选择在与此身份提供程序实例关联的用户登录时,Workspace所应用的身份验证方法.
注意验证是否已启用并正确配置所选的身份验证方法.
请参阅安装和配置Workspace.
第4章配置Workspace用户身份验证VMware,Inc.
15表单项目描述配置方式仅在添加第三方身份提供程序实例并选择"手动"作为身份提供程序类型时,才提供"配置方式"选项.
请选择一种URL标识符方法.
n选择"自动发现URL"可使Workspace能够接收第三方身份提供程序实例的元数据来用于注册,在自动发现文本框中键入元数据的URL.
n选择"元数据XML"并从身份提供程序实例中复制XML元数据,然后将其粘贴到元数据XML文本框中.
网络范围"网络范围"文本框列出了Workspace部署中现有的网络范围.
根据用户IP地址,选择要定向到此身份提供程序实例进行身份验证的用户的网络范围.
5单击保存.
6如有必要,更改身份提供程序实例的顺序.
Workspace将在身份提供程序实例列表中从上到下搜索IP地址.
如果一个IP地址被分配给多个身份提供程序实例,Workspace将识别第一个实例,即列表中排位最高的身份提供程序实例.
a单击编辑身份提供程序的顺序.
b使用上下箭头将身份提供程序实例移至适当位置.
c单击保存.
下一步n如果为多林环境配置Workspace,通知各自域的Workspace用户,并向他们说明在登录时必须从下拉菜单中选择一个域.
告知他们可以选中记住此设置复选框,以免每次登录时重复提示.
n如果已添加了第三方身份提供程序实例,复制并保存配置第三方身份提供程序实例所需的Workspace信息.
请参阅第17页,"获取配置第三方身份提供程序实例所需的WorkspaceSAML信息".
将Workspace配置为使用第三方身份提供程序实例的概览要将Workspace配置为使用第三方身份提供程序实例,必须在整个配置过程中执行几个特定步骤.
配置前使用Workspace管理控制台添加第三方身份提供程序实例之前,请完成下列任务.
1确认第三方实例兼容SAML2.
0,并且Workspace能够访问这些实例.
2确定Workspace从第三方实例获取元数据的方式,复制并保存第三方实例中的相应元数据信息,以便在配置期间粘贴到Workspace管理控制台.
您从第三方实例获取的元数据信息可以是元数据的URL或实际的元数据.
3要使Workspace能够使用第三方身份提供程序所支持的身份验证方法,请使用管理控制台配置其他身份验证方法.
请参阅第13页,"添加或编辑用户身份验证方法"4通过选中默认方法复选框来编辑身份验证方法.
此操作允许Workspace在第三方身份验证方法出现问题时使用该身份验证方法.
请参阅第13页,"添加或编辑用户身份验证方法".
配置添加身份提供程序实例时,请执行下列特定于第三方身份提供程序的步骤.
请参阅第14页,"添加和配置身份提供程序实例".
1在管理控制台"设置">"身份提供程序"页面上,单击+添加身份提供程序按钮,并从类型下拉菜单选择手动.
2选择打算与Workspace配合使用的第三方身份提供程序实例所支持的身份验证方法.
VMwareWorkspacePortal管理员指南16VMware,Inc.
3使用配置方式选项选择如何将第三方身份提供程序实例的元数据传输到Workspace,是使用元数据的URL还是通过复制和粘贴元数据的方式.
配置后收集WorkspaceSAML信息并将其应用于第三方身份提供程序实例.
请参阅第17页,"获取配置第三方身份提供程序实例所需的WorkspaceSAML信息".
1使用Workspace管理控制台收集配置第三方身份提供程序实例所需的SAML信息.
2应用从Workspace所收集的SAML信息以配置第三方身份提供程序实例.
获取配置第三方身份提供程序实例所需的WorkspaceSAML信息Workspace与第三方身份提供程序实例集成时,在对Workspace端执行配置之后,您必须复制并准备对第三方身份提供程序端执行配置所需的SAML证书信息.
步骤1登录管理控制台.
2选择设置>SAML证书3复制并保存Workspace中显示的SAML签名证书.
a复制"签名证书"部分中的证书信息.
b将此证书信息保存到一个文本文件中,供以后在配置第三方身份提供程序实例时使用.
4将SAMLSP元数据提供给第三方身份提供程序实例.
a在"下载SAML证书"页面上,单击服务提供程序(SP)元数据.
b使用最适合组织的方法复制并保存显示的信息.
以后配置第三方身份提供程序时将需要使用此复制的信息.
方法描述复制页面的URL复制并保存服务提供程序(SP)元数据页面的URL.
复制页面上的XML复制页面的内容并将其保存到文本文件中.
5确定从第三方身份提供程序实例到Workspace的用户映射.
配置第三方身份提供程序时,在第三方身份提供程序中编辑SAML断言以映射Workspace用户.
NameID格式用户映射urn:oasis:names:tc:SAML:2.
0:nameid-format:emailAddress将SAML断言中的NameID值映射到Workspace中的电子邮件地址属性.
urn:oasis:names:tc:SAML:2.
0nameid-format:unspecified将SAML断言中的NameID值映射到Workspace中的用户名属性.
下一步根据需要,应用在此任务中复制的信息来配置第三方身份提供程序实例.
第4章配置Workspace用户身份验证VMware,Inc.
17编辑默认访问策略集Workspace包括一个默认访问策略集,此策略集控制用户对Workspace应用程序门户的访问权限.
您可以根据需要编辑策略集以更改策略.
默认访问策略集中的每个策略都要求满足一组标准,Workspace才会允许访问应用程序门户.
请参阅第19页,第5章"管理访问策略集".
以下访问策略集示例说明了如何通过配置默认访问策略集来控制对Workspace应用程序门户的访问权限.
请参阅第21页,"编辑访问策略集"了解相关说明.
默认访问策略集示例此示例说明如何编辑默认访问策略集.
策略名称网络最低身份验证评分TTL(小时)内部内部范围18外部所有范围34策略将按照上述顺序接受评估.
您可以上下拖动策略集中的策略来更改评估的优先级.
上述示例策略集适用于以下使用案例.
默认访问策略,浏览器使用案例1n内部.
要从内部(内部范围)网络访问Workspace,Workspace向用户显示ActiveDirectory密码身份验证方法.
要确保Workspace尝试首先使用Kerberos身份验证对用户进行身份验证,使Kerberos方法的身份验证评分高于密码方法的身份验证评分,并在"身份验证方法"页面上将Kerberos置于列表的顶端.
还要为内部用户分配网络范围.
用户使用浏览器进行登录,现在在八小时的会话时间内有权访问用户门户.
n外部.
要从外部(所有范围)网络访问Workspace,用户需要使用SecurID进行登录,对于本示例来说,身份验证评分为3.
用户使用浏览器进行登录,此后在四小时的会话时间内有权访问应用程序门户.
2当用户尝试访问某资源时(由特定于Web应用程序的策略集控制的Web应用程序除外),将应用默认门户访问策略集.
例如,此类资源的生存期(TTL)将与默认门户访问策略集的生存期一致.
如果根据默认门户访问策略集,登录到应用程序门户的用户的TTL为8小时,则当用户在TTL会话期间尝试启动某个资源时,该应用程序将启动而无需用户重新进行身份验证.
VMwareWorkspacePortal管理员指南18VMware,Inc.
管理访问策略集5您可以通过配置默认访问策略集指定用户要访问其WorkspaceAppPortal而必须满足的条件.
还可以通过创建特定于Web应用程序的访问策略集,指定用户要启动指定的Web应用程序而必须满足的条件.
要应用某个访问策略,应将该策略创建为访问策略集的一部分.
访问策略集中的每个策略均可以指定以下信息.
n用户可以从中登录的位置,例如企业网络内部或外部.
n最低身份验证评分,用于定义此策略所允许的身份验证方法.
n为用户提供的访问时间(单位为小时).
注意Workspace访问策略不会控制Web应用程序会话的持续时长.
它们可以控制用户必须启动Web应用程序的时间长度.
Workspace有一个默认访问策略集,您可以对其进行编辑.
此访问策略集从总体上控制对于Workspace的访问权限.
请参阅第18页,"编辑默认访问策略集".
要控制对特定Web应用程序的访问权限,您可以创建额外的访问策略集.
如果您不对Web应用程序应用访问策略集,将应用默认的访问策略集.
本章讨论了以下主题:n第19页,"访问策略设置概览"n第20页,"管理特定于Web应用程序的访问策略集"n第21页,"编辑访问策略集"n第22页,"添加特定于Web应用程序的访问策略集"n第23页,"应用特定于Web应用程序的访问策略集"访问策略设置概览访问策略集包含一个或多个访问策略.
每个访问策略均包含可配置为管理用户对整个WorkspaceAppPortal或对指定Web应用程序的访问权限的设置.
每个访问策略都将一个网络范围与一个最低身份验证评分相连.
用户从已应用策略的指定网络范围内的IP地址登录时,会看到一种等于或高于该策略最低身份验证评分的身份验证方法.
Workspace部署中的每个身份提供程序实例还将网络范围与身份验证方法相连.
当您配置访问策略时,请确保创建的网络范围与身份验证评分配对位于现有身份提供程序实例的覆盖范围内.
创建访问策略时,您可以配置以下设置.
网络对于每个访问策略,您通过指定网络范围来确定用户群.
网络范围由一个或多个IP范围组成.
先从管理控制台中的"网络范围"页面创建网络范围,然后再配置访问策略集.
VMware,Inc.
19最低身份验证评分配置访问策略集之前在管理控制台中配置"身份验证方法"页面时,为每个身份验证方法分配一个身份验证评分.
Workspace默认支持ActiveDirectory密码、Kerberos和RSASecurID身份验证方法.
当您将第三方身份提供程序实例集成到Workspace部署中时,Workspace可以将支持扩展到该第三方身份提供程序支持的额外的身份验证方法.
当用户登录到Workspace时,Workspace会记录身份验证时间和用于身份验证的方法.
用户随后尝试访问已分配了访问策略集的Web应用程序时,Workspace会比较用户当前的身份验证评分和访问Web应用程序所需的身份验证评分.
如果用户当前的身份验证评分低于所请求的应用程序所需的最低身份验证评分,Workspace会将用户重定向到提供更强身份验证的身份提供程序实例.
如果用户的当前身份验证评分等于或高于所请求应用程序需要的最低身份验证评分,Workspace则在验证生存期值之后启动该应用程序.
请参阅后面的生存期解释.
在下列条件下,Workspace将拒绝访问应用程序门户或启动Web应用程序的请求.
n没有为请求定义任何策略.
n没有为最低身份验证评分定义任何用于身份验证的身份提供程序实例.
n用户使用所有身份验证方法进行身份验证均失败.
生存期对于每个访问策略,您会分配一个生存期(TTL)值.
TTL值决定了用户自其上一次身份验证事件以后,在访问Workspace或启动特定Web应用程序前可以等待的最长时间.
例如,如果Web应用程序策略中的TTL值为4,则表示用户将有4个小时可以启动Web应用程序,除非他们启动的另一个身份验证事件延长了TTL值.
管理特定于Web应用程序的访问策略集您可以创建特定于Web应用程序的访问策略.
例如,您可以针对某个Web应用程序创建一个访问策略集,指定哪些IP地址有权访问该应用程序,使用哪些身份验证方法进行访问,以及多久后需要重新进行身份验证.
注意最好将特定于Web应用程序的策略的最低身份验证评分配置为等于或高于默认访问策略集中具有对应网络范围的策略的最低身份验证评分.
以下特定于Web应用程序的访问策略集示例说明了如何通过创建策略集来控制对特定Web应用程序的访问.
请参阅第19页,第5章"管理访问策略集".
示例1特定于Web应用程序的策略集此示例说明了一个您可能会创建并应用于敏感类应用程序的策略集.
策略名称网络最低身份验证评分TTL(小时)内部内部范围18外部所有范围34策略将按照上述顺序接受评估.
您可以上下拖动策略集中的策略来更改评估的优先级.
上述示例策略集适用于以下使用案例.
严格型特定于Web应用程序的访问策略集,浏览器使用案例1要从企业网络外部访问Workspace,用户需要使用RSASecurID进行登录,在本示例中的最低身份验证评分为3.
请参见第18页,"编辑默认访问策略集"中的外部策略示例.
用户使用浏览器进行登录,根据默认的访问策略集,用户现在在四小时的会话时间内有权访问应用程序门户.
VMwareWorkspacePortal管理员指南20VMware,Inc.
2四个小时后,用户尝试启动某个应用了示例1特定于Web应用程序的策略集的Web应用程序.
3Workspace将检查示例1策略集中的策略,并应用具有"所有范围"网络范围的外部策略,这是因为用户请求是来自Web浏览器,并且来自"所有范围"的网络范围.
用户以最低身份验证评分3登录,这对于启动敏感类应用程序而言是一个适当的身份验证评分,但是策略的TTL刚好过期.
因此用户将被重定向,以重新进行身份验证.
重新验证身份后,用户将获得另一个四小时的会话,并将能够启动应用程序.
在接下来的四个小时内,用户可以继续启动应用程序而无需重新进行身份验证.
示例2特定于Web应用程序的策略集此示例说明了一个您可能会创建并应用于特别敏感类应用程序的策略集.
策略名称网络最低身份验证评分TTL(小时)ExtraSensitive所有范围级别31上述示例策略集适用于以下使用案例.
格外严格型特定于Web应用程序的访问策略集使用案例1用户使用密码身份验证方法从企业网络内部登录,在本示例中为级别1.
请参见第18页,"编辑默认访问策略集"中的内部策略示例.
现在,用户在八个小时内有权访问应用程序门户.
2用户随即尝试启动某个应用了示例2策略集的Web应用程序,该策略集要求进行级别3或更高级别的身份验证3用户将被重定向到提供级别3或更高级别身份验证强度的身份提供程序,要求使用RSASecurID身份验证.
4用户成功登录后,Workspace将启动应用程序并保存身份验证事件.
按照策略规定,在不超过1小时的时间内,用户可以继续启动此应用程序,但1小时之后,将要求用户重新进行身份验证,除非用户在启动后1小时内启动了级别3或更高级别的身份验证事件.
编辑访问策略集您可以编辑默认访问策略集,这是一个预先存在的策略集,对用户对Workspace的访问进行整体控制,您也可以编辑先前手动创建的特定于Web应用程序的策略集.
您可以随时移除整个特定于Web应用程序的访问策略集.
默认访问策略集是永久性的.
您可以对其进行编辑,但无法将其移除.
您可以对现有的策略集进行以下编辑,无论是默认访问策略集还是特定于Web应用程序的访问策略集:从策略集中移除现有策略、编辑策略集中的现有策略或将新策略添加到策略集.
有关访问策略集的概览,请参阅第19页,第5章"管理访问策略集".
有关策略集的信息和示例,请参阅相应的主题.
n第18页,"编辑默认访问策略集".
n第20页,"管理特定于Web应用程序的访问策略集".
前提条件n为您的部署配置相应的身份提供程序.
请参阅第14页,"添加和配置身份提供程序实例".
n为您的Workspace部署配置相应的网络范围.
请参阅第12页,"添加或编辑网络范围".
n为您的部署配置相应的身份验证方法.
请参阅第13页,"添加或编辑用户身份验证方法".
第5章管理访问策略集VMware,Inc.
21步骤1登录Workspace管理控制台.
2选择策略>访问策略集.
3(可选)要永久删除特定于Web应用程序的访问策略集,针对此策略集单击移除.
移除选项不适用于默认访问策略集.
无法删除默认访问策略集.
4针对要配置的现有策略集单击编辑.
5(可选)如果适用,在相应的文本框中更改策略集名称和描述.
注意Workspace在"策略集名称"和"描述"文本框中用英语显示文本.
您可以编辑此文本,包括将文本更改为其他语言.
6(可选)如果适用,编辑现有策略、移除现有策略或添加新策略.
最好将特定于Web应用程序的策略的最低身份验证评分配置为等于或高于默认访问策略集中具有对应网络范围的策略的最低身份验证评分.
选项描述编辑现有策略a单击要配置的策略的名称.
b酌情更改策略设置.
c单击应用.
移除现有策略a单击要移除的策略的名称.
b单击移除.
添加新策略a单击+访问策略添加新策略.
b酌情配置策略设置.
c单击添加.
7单击保存.
编辑后的访问策略集将立即生效.
下一步如果策略集是尚未应用的特定于Web应用程序的访问策略集,则将此策略集应用到一个或多个Web应用程序.
添加特定于Web应用程序的访问策略集您可以创建特定于Web应用程序的策略集来管理用户对特定Web应用程序的访问.
有关访问策略集的概览,请参阅第19页,第5章"管理访问策略集".
有关特定于Web应用程序的访问策略集的信息和示例,请参阅第20页,"管理特定于Web应用程序的访问策略集".
前提条件n为您的部署配置相应的身份提供程序.
请参阅第14页,"添加和配置身份提供程序实例".
n为您的Workspace部署配置相应的网络范围.
请参阅第12页,"添加或编辑网络范围".
n为您的部署配置相应的身份验证方法.
请参阅第13页,"添加或编辑用户身份验证方法".
n尤其在最初配置Workspace时,如果您计划编辑默认门户访问策略集(对用户对Workspace的访问进行整体控制),请在创建特定于Web应用程序的策略集之前对其进行配置.
步骤1登录Workspace管理控制台.
VMwareWorkspacePortal管理员指南22VMware,Inc.
2选择策略>访问策略集.
3单击+访问策略集添加新策略集.
4在相应的文本框中添加策略集名称和描述.
5单击+访问策略添加第一个策略.
6酌情配置策略设置.
注意最好将特定于Web应用程序的策略的最低身份验证评分配置为等于或高于默认访问策略集中具有对应网络范围的策略的最低身份验证评分.
7单击添加.
8(可选)重复上述步骤来添加策略,直到策略集满足组织的需要为止.
9单击保存以保存策略集.
下一步将策略集应用到一个或多个Web应用程序.
应用特定于Web应用程序的访问策略集在创建特定于Web应用程序的访问策略集之后,您可以将该策略集应用于特定的Web应用程序,以控制用户对这些应用程序的访问权限.
Workspace将默认访问策略集应用于所有新的Web应用程序.
您必须将特定于Web应用程序的策略集应用于Web应用程序以覆盖默认访问策略集.
前提条件如果尚未创建特定于Web应用程序的访问策略集,应创建一个来控制用户对特定Web应用程序的访问权限.
请参阅第22页,"添加特定于Web应用程序的访问策略集"步骤1单击目录选项卡.
2单击任意应用程序类型>Web应用程序.
3单击要对其应用特定于Web应用程序的访问策略集的Web应用程序.
此时将显示Web应用程序的信息页面,并且默认会选中授权选项卡.
4单击访问策略.
5从"访问策略集"下拉菜单中,选择要应用于该应用程序的特定于Web应用程序的访问策略集.
6单击保存.
现在,访问策略集将控制用户对该应用程序的访问权限.
第5章管理访问策略集VMware,Inc.
23VMwareWorkspacePortal管理员指南24VMware,Inc.
管理用户和组6您可以管理和监控用户和组,其中包括从ActiveDirectory导入的用户和组、来宾用户和Workspace组.
在Workspace管理控制台中,"用户和组"页面提供一个以用户和组为中心的Workspace视图.
例如,在某个用户的"授权"页面中,您可以授权该用户访问某一资源;在某个组的"授权"页面中,您可以授权该组访问某一资源.
或者,您也可以在"目录"页面中查看以资源为中心的Workspace视图.
例如,在某一资源的"授权"页面中,您可以将该资源授权给用户或组.
本章讨论了以下主题:n第25页,"Workspace用户和组类型"n第26页,"管理Workspace组"n第28页,"管理Workspace用户"n第30页,"更改从ActiveDirectory同步的组和用户"Workspace用户和组类型使用Workspace管理控制台,您可以管理用户、来宾用户和组.
用户Workspace用户是从ActiveDirectory中导入的用户.
Workspace用户群根据目录服务器的同步计划进行更新.
组Workspace管理控制台中可以显示的组类型是从目录服务器导入的组和Workspace组(即您使用Workspace自己创建的组).
组类型描述目录服务器组可使用"Connector服务管理员目录同步"、"选择组"页面将组从ActiveDirectory导入到Workspace中.
在管理控制台中,组名称旁边的锁定图标表明该组为目录服务器组.
您不能使用Workspace编辑或删除目录服务器组.
导入的目录服务器组在Workspace中根据目录服务器的同步计划进行更新.
Workspace组您使用Workspace管理控制台创建Workspace组,这些组经过自定义可最适合您企业内部的Workspace使用.
您可以通过添加一组用户和组来创建Workspace组.
添加的组可以是之前已存在的Workspace组,也可以是从目录服务器导入的组.
在管理控制台中,组名称旁边的复选框表明该组为Workspace组.
您可以使用Workspace删除Workspace组或修改组中的用户.
您可以指定组成员有权访问和使用的资源.
除了定义每个单独用户的授权外,还可以给组授权来授权一组用户.
一个用户可以属于多个组.
例如,如果您创建了Sales组和Management组,销售经理则可以属于这两个组.
您可以指定将哪些移动策略设置应用于组成员.
VMware,Inc.
25管理Workspace组在Workspace中,您仅可针对Workspace组执行创建组、修改组的成员身份和删除组的任务.
您可以对Workspace组和ActiveDirectory组执行将组授权到资源的任务.
步骤n要创建Workspace组,请选择用户和组>组,单击创建组,然后提供组的名称和描述.
n要删除一个或多个Workspace组,请选择用户和组>组,选中与要删除的Workspace组对应的复选框,然后单击删除组.
您仅能删除Workspace组.
ActiveDirectory组名称旁边会显示一个锁定图标,表示该组是ActiveDirectory组,您不能使用Workspace进行编辑或删除.
修改Workspace组成员身份您可以修改Workspace组成员身份.
使用组可同时授权多个用户使用同一资源,无需为每个用户单独授权.
可通过组规则来定义哪些用户是某个特定Workspace组的成员.
一个用户可以属于多个组.
例如,如果您创建了销售组和管理组,销售经理则可以同时成为这两个组的成员.
步骤1登录Workspace管理控制台.
2选择用户和组>组.
n组名称旁边的复选框表明该组为Workspace组.
n组名称旁边的锁图标表明该组是一个目录服务器组.
您可在目录服务器中直接管理目录服务器组.
您无法使用Workspace定义目录服务器组的成员身份.
3单击要修改其成员身份的Workspace组的名称.
4单击此组中的用户选项卡.
系统会显示组的当前用户成员列表.
5单击修改此组中的用户.
6从下拉菜单中选择一个选项.
选项操作以下任何只要满足组成员身份的任一条件,就会授予组成员身份.
该选项的工作方式类似于OR条件.
例如,如果针对规则"GroupIsSales"和"GroupIsMarketing"选择以下任何,则会授予销售和营销人员该组的成员身份.
以下所有只有满足组成员身份的所有条件,才会授予组成员身份.
其工作方式类似于AND条件.
例如,如果针对规则"GroupIsSales"和"EmailStartsWith'western_region'"选择以下所有,则只有西部地区的销售人员才会被授予成员身份.
其他地区的销售人员不会被授予成员身份.
VMwareWorkspacePortal管理员指南26VMware,Inc.
7为您的Workspace组配置一个或多个规则.
规则可以嵌套.
选项操作组n选择是可将一个组关联到此Workspace组.
在文本框中键入组名.
在键入时会出现组名列表.
n选择不是可将一个组从此Workspace组中排除.
在文本框中键入组名.
在键入时会出现组名列表.
属性规则下述规则适用于所有属性,包括默认属性和贵企业配置的任何其他自定义属性.
例如属性可以是电子邮件和电话.
注意规则不区分大小写.
n选择匹配为与输入的标准完全匹配的目录服务器条目授予组成员身份.
例如,组织可能设立了一个共用一个电话主机号码的差旅部门.
如果要授权共用该电话号码的所有员工访问旅行预订应用程序,则可以创建规则,如"PhoneMatches(555)555-1000".
n选择不匹配为除了与输入标准匹配的条目之外的所有目录服务器条目授予组成员身份.
例如,如果您的一个部门共用一个主机号码,要禁止该部门访问社交网络应用程序,您可以创建规则,如"PhoneDoesNotMatch(555)555-2000".
使用其他电话号码的目录服务器条目则可以访问该应用程序.
n选择开头是为开头符合输入标准的目录服务器条目授予组成员身份.
例如,组织的电子邮件可能以部门名开头,如sales_username@example.
com.
如果要向每一位销售人员授予应用程序的访问权,则可以创建规则,如"EmailStartsWithsales_".
n选择开头不是为除了开头是输入标准的条目之外的所有目录服务器条目授予组成员身份.
例如,如果人力资源部门的电子邮件地址采用hr_username@example.
com格式,要拒绝此部门人员对应用程序的访问,您可以设置规则,例如"EmailDoesNotStartWithhr_".
使用其他电子邮件地址的目录服务器条目则可以访问该应用程序.
以下任何在此规则下,只要满足组成员身份的任何条件,就会授予组成员身份.
通过这种方法可以嵌套规则.
例如,您可以创建符合以下所有条件的规则:GroupIsSales;GroupisCalifornia.
对于"GroupisCalifornia"要求符合下述条件之一:PhoneStartsWith415;PhoneStartsWith510.
该组员必须属于加利福尼亚销售人员,并且电话号码以415或510开头.
以下所有此规则要求必须满足所有条件.
通过这种方法可以嵌套规则.
例如,您可以创建符合以下任一条件的规则:GroupIsManagers;GroupisCustomerService.
对于"组是客户服务"要求符合下述所有条件:EmailStartsWithcs_;PhoneStartsWith555.
组成员可以是经理或客户服务代表,但客户服务代表的邮箱必须以cs_开头,且电话要以555开头.
8(可选)通过选中相应的复选框并键入用户名,指定要添加到此Workspace组或从该组中排除的用户.
9单击下一步,然后单击保存.
Workspace组信息可使用Workspace管理控制台查看某个组的详细信息,如该组的授权资源、成员身份及其应用的移动策略集.
步骤1登录Workspace管理控制台.
2单击用户和组>组.
页面中显示了您的Workspace部署中所有组的列表以及有关每个组的某些概括信息.
n组名称旁边的复选框表明该组为Workspace组.
您需要在Workspace中定义和管理Workspace组.
n组名称旁边的锁图标表明该组是一个目录服务器组.
您需要在贵组织的目录服务器中管理目录服务器组.
第6章管理用户和组VMware,Inc.
27n该页面将显示以下关于每个组的信息.
信息类型描述用户数量组中的成员数量.
应用程序数量授权给整个组的资源数量.
用户存储与ActiveDirectory组关联的用户存储.
除非在多林ActiveDirectory环境中部署Workspace,否则部署将具有名一个为"默认"的用户存储.
3单击组的名称.
将在页面顶部显示组的详细信息页面,其中包括组名称.
4单击与要查看信息对应的选项卡.
选项描述授权显示组的"授权"页面.
在此页面中,您可以:n查看授权给组用户的资源列表.
n单击添加授权以授权组用户使用目录中的各项可用资源.
n单击列出的某项授权资源的名称以显示该资源的"编辑"页面.
n对于具有编辑按钮的资源类型,您可以单击此按钮授权或取消授权组用户使用该类型的资源,或者自定义各授权资源的选项.
在"授权"页面下,您可以进行以下更改:n对于Web应用程序,单击编辑可更改组对Web应用程序享有的授权或组的授权Web应用程序的部署类型.
选择自动可在用户门户中默认显示该Web应用程序.
选择用户激活可允许用户将其可用的AppCenter应用程序集合中的Web应用程序添加到该用户的"我的应用程序"区域.
n对于View桌面池和应用程序池,您可以查看组对与Workspace系统集成的View池的现有授权.
对View桌面池和应用程序池的授权在与Workspace系统集成的View连接服务器实例中配置.
您无法使用组的"授权"页面更改对View池的授权.
n对于ThinApp软件包,单击编辑更改组对ThinApp软件包享有的授权或组的授权ThinApp软件包的部署类型.
选择自动可在用户门户的"我的应用程序"区域默认显示该ThinApp软件包.
选择用户激活将允许用户手动将ThinApp软件包从"应用程序目录"添加到其"我的应用程序"区域.
n对于Citrix发布的应用程序,您可以查看组对与Workspace系统集成的基于Citrix的应用程序的现有授权.
对基于Citrix的应用程序的授权在与Workspace系统集成的Citrix部署中配置.
您无法使用组的"授权"页面更改对基于Citrix的应用程序的授权.
n对于具有取消授权按钮的资源类型,您可以单击此按钮来移除组对该特定资源的访问权限.
注意"置备状态"列未使用.
默认情况下,对于此页面表中已填入条目的行,"置备状态"栏显示"未启用",您无法更改此值.
此组中的用户显示此组的成员身份页面.
在此页面中,您可以:n查看隶属于该组的用户的名单.
n单击某个用户的名称可显示该用户的详细信息页面.
n单击修改此组中的用户可查看和配置定义Workspace组成员身份的规则.
修改此组中的用户选项可用于Workspace组,但不能用于目录服务器组.
管理Workspace用户您可以使用Workspace管理控制台管理从ActiveDirectory导入的用户.
Workspace中的用户管理包括多项任务,如授权用户使用资源、将用户添加到适当的Workspace组,以及管理用户置备的工作区的状态等.
VMwareWorkspacePortal管理员指南28VMware,Inc.
Workspace用户信息您可以查看用户的详细信息,如用户的授权资源、组关联以及使用Workspace管理控制台置备的桌面系统和移动设备.
用户属性属于您可以查看的用户信息,如数据节点主机名属性,以及在同步过程已配置的Workspace从目录服务器检索的附加属性.
查看单个用户的附加目录服务器属性的作用取决于您在部署中如何使用此类属性.
您可以通过以下方式使用这些附加属性:n修改Workspace组的成员身份.
例如,如果您使用ActiveDirectory中的管理器属性,您可以将管理器属性映射到Workspace.
您可以创建这样一个组,其组规则将成员身份限制为在其Workspace用户记录中具有管理器属性的用户.
n通过特定属性要求允许用户访问Web应用.
例如,金融类应用程序可以限制为仅有Workspace用户记录中具有员工ID属性的用户可以访问.
步骤1登录Workspace管理控制台.
2选择用户和组>用户.
该页面显示了全部Workspace用户的列表.
3单击某个用户名.
将显示用户的详细信息页面.
用户的姓名、电子邮件地址和角色将在页面顶部列出.
4(可选)单击所显示角色的名称、用户或管理员,即可更改用户角色.
您可以将用户升级为管理员角色,从而允许他们访问Workspace管理控制台.
获得管理员角色的个人仍然可以作为用户通过Web访问其应用程序门户.
用于访问管理控制台的URL与访问应用程序门户的URL不同.
请将下列URL中的WorkspaceFQDN占位符替换为实际值.
Web界面所需角色URL示例Workspace管理控制台管理员https://WorkspaceFQDN/adminWorkspaceAppPortal用户https://WorkspaceFQDN/web5(可选)单击显示附加属性查看分配给用户的附加属性,如目录服务器属性.
第6章管理用户和组VMware,Inc.
296单击与要查看信息对应的选项卡.
选项描述授权此时将显示用户的授权页面.
在此页面中,您可以:n查看授权给用户的资源列表.
n单击添加授权授权用户使用目录中的可用资源.
n单击列出的某项授权资源的名称以显示该资源的"编辑"页面.
n对于具有编辑按钮的资源类型,您可以单击此按钮授权或取消授权组用户使用该类型的资源,或者自定义各授权资源的选项.
在"授权"页面下,您可以进行以下更改:n对于Web应用程序,单击编辑可更改用户对Web应用程序享有的授权或每个用户授权Web应用程序的部署类型.
选择自动可在用户门户中默认显示该Web应用程序.
选择用户激活可允许用户将其可用的AppCenter应用程序集合中的Web应用程序添加到该用户的"我的应用程序"区域.
n对于View桌面池和应用程序池,您可以查看用户对与Workspace系统集成的View池的现有授权.
对View桌面池和应用程序池的授权在与Workspace系统集成的View连接服务器实例中配置.
您无法使用用户的"授权"页面更改对View池的授权.
n对于ThinApp软件包,单击编辑更改用户对ThinApp软件包享有的授权或用户的授权ThinApp软件包的部署类型.
选择自动可在用户门户的"我的应用程序"区域默认显示该ThinApp软件包.
选择用户激活将允许用户手动将ThinApp软件包从"应用程序目录"添加到"我的应用程序"区域.
n对于Citrix发布的应用程序,您可以查看用户对与Workspace系统集成的基于Citrix的应用程序的现有授权.
对基于Citrix的应用程序的授权在与Workspace系统集成的Citrix部署中配置.
您无法使用用户的"授权"页面更改对基于Citrix的应用程序的授权.
n对于具有取消授权按钮的资源类型,您可以单击此按钮来移除用户对使用该资源的访问权限.
注意"置备状态"列未使用.
默认情况下,对于此页面表中已填入条目的行,"置备状态"栏显示"未启用",您无法更改此值.
组关联此时将显示用户所在组的列表.
每个组名称代表用户作为成员所属的一个组.
您可以单击组的名称显示该组的详细信息页面.
工作区此时将显示用户的工作区页面.
在此页面中,您可以查看已置备到用户桌面系统中的桌面工作区,包括工作区的当前状态.
n对于桌面系统,您可以单击删除从Workspace中移除对应的系统.
对于已丢失、被盗或不再使用的系统,您最好将其从Workspace中移除.
更改从ActiveDirectory同步的组和用户在Workspace设置期间,您输入了要连接到ActiveDirectory服务器的信息;选择了ActiveDirectory用户属性和筛选器以便指定要在"Workspace目录"中同步哪些用户,以及选择了要添加的ActiveDirectory组.
您可以通过"目录同步"页面的Connector服务管理员更改以上设置.
在下一次目录同步后,这些页面上保存的所做更改会在Workspace中自动更新.
请参阅第31页,"更改为Workspace选择用户的设置"更改"映射用户属性"页面"映射用户属性"页面显示了ActiveDirectory中的属性和Workspace中的属性之间的映射.
如果要包括ActiveDirectory中有关用户的其他信息,您可以将用户属性添加到"映射用户属性"页面.
VMwareWorkspacePortal管理员指南30VMware,Inc.
"映射用户属性"页面中映射的默认用户属性之一是用于禁用帐户的属性.
UserAccountControl属性已映射到Workspace的已禁用属性.
当ActiveDirectoryUserAccountControl属性标记为UF_Account_Disable时,会在Workspace目录中禁用用户.
当帐户处于禁用状态时,用户无法登录以访问其应用程序和资源.
用户有权使用的资源未从帐户中移除,以便从帐户中移除该标记时,用户可以登录并访问其授权的资源更改为Workspace选择用户的设置在Workspace设置期间,指定ActiveDirectory、用户属性和筛选器,以便选择您希望使用Workspace的ActiveDirectory用户.
您可以使用Connector服务管理员页面更新这些设置.
前提条件验证您是否有所需更改的相关信息,例如新的基本DN、要加入的用户属性、要加入的组.
步骤1使用Workspace管理员密码登录Connector服务管理员.
2执行相应的操作.
选项操作更改ActiveDirectory服务器信息,例如服务器主机、端口、基本DN、绑定DN、绑定密码等.
a单击目录.
b进行所需更改.
c单击保存.
更改Workspace用户属性到ActiveDirectory用户属性的映射.
a单击映射用户属性.
b进行所需更改.
c单击保存.
创建筛选器以排除同步到Workspace的特定ActiveDirectory用户,并更新已同步到Workspace的ActiveDirectory组.
a单击目录同步.
b单击编辑目录同步规则.
c根据需要在"选择用户"页面上进行更改,然后单击保存.
d根据需要在"选择组"页面上进行更改,然后单击保存.
e单击推送到Workspace.
f单击保存并继续.
第6章管理用户和组VMware,Inc.
31VMwareWorkspacePortal管理员指南32VMware,Inc.
管理Workspace目录7Workspace目录是包含可授权给用户的所有资源的存储库.
目录中特定类型资源的可用性由Workspace中启用的模块控制.
要显示您的目录,请单击Workspace管理控制台中的目录选项卡.
在"目录"页面上,可执行以下任务:n将新资源添加到目录.
n查看当前可授权给用户的资源.
n访问目录中有关各项资源的信息.
根据资源的类型,某些资源可直接通过"目录"页面添加到目录中.
其他类型的资源则需要您在管理控制台以外进行添加.
有关设置资源的信息,请参阅.
资源如何看到目录中的资源Web应用程序启用Web应用程序模块.
使用管理控制台在"目录"页面上选择Web应用程序应用程序类型.
捕获为ThinApp软件包的虚拟化Windows应用程序将ThinApp软件包从Connector服务管理员"打包的应用程序-ThinApp"页面同步到您的目录中.
使用管理控制台在"目录"页面上选择ThinApp软件包应用程序类型.
View桌面池将View池从Connector服务管理员"View池"页面同步到您的目录中.
使用管理控制台在"目录"页面上选择View桌面池应用程序类型.
View托管应用程序将View托管应用程序从Connector服务管理员"View池"页面同步到您的目录中.
使用管理控制台在"目录"页面上选择View托管应用程序作为应用程序类型.
基于Citrix的应用程序将基于Citrix的应用程序从Connector服务管理员"已发布的应用程序-Citrix"页面同步到您的目录中.
使用管理控制台在"目录"页面上选择Citrix发布的应用程序应用程序类型.
本章讨论了以下主题:n第33页,"Workspace资源类型概述"n第35页,"资源类别使用概览"n第36页,"访问Workspace资源"n第37页,"向目录添加资源"Workspace资源类型概述您可以在目录中定义的用于授权和分发给用户的资源类型包括Web应用程序、捕获为VMwareThinApp软件包的Windows应用程序、基于Citrix的应用程序、VMwareView桌面池以及View托管应用程序.
要将某个特定资源授权给用户,必须先将该资源填充到目录中.
向目录填充资源所使用的方法取决于该资源的类型.
VMware,Inc.
33有关这些资源的信息、要求、安装和配置,请参阅.
Web应用程序您可以直接在Workspace管理控制台的"目录"页面中为目录填充Web应用程序.
单击"目录"页面中显示的Web应用程序时,即会显示有关该应用程序的信息.
在显示的页面中,您可以配置Web应用程序,例如,提供相应的SAML属性以在Workspace与目标Web应用程序之间配置单点登录.
配置Web应用程序后,可以授权用户和组使用该Web应用程序.
请参阅第37页,"向目录添加资源".
ThinApp软件包您可以通过执行以下任务为目录填充捕获为ThinApp软件包的Windows应用程序.
1如果要提供给用户访问的ThinApp软件包尚不存在,请创建与Workspace兼容的ThinApp软件包.
请参阅VMwareThinApp文档.
2创建网络共享并使用兼容的ThinApp软件包填充该网络共享.
3配置Workspace,与网络共享中的软件包进行集成.
执行这些任务后,虚拟化的Windows应用程序,即您添加到网络共享的ThinApp软件包,便会成为目录中的可用资源.
然后您可以授权用户访问这些资源.
要启动和运行由Workspace分发和管理的ThinApp软件包,用户必须在其Windows系统中安装适用于Windows的Workspace.
Citrix发布的应用程序您可以通过执行以下任务为目录填充基于Citrix的应用程序.
1如果尚未部署Citrix服务器,请进行部署,其中包括授权用户使用基于Citrix的应用程序.
请参阅相应的Citrix文档.
2将Workspace部署与Citrix服务器进行集成.
执行这些任务后,您通过Citrix服务器授权给用户的基于Citrix的应用程序便会成为目录中的可用资源.
View桌面池您可以通过执行以下任务为目录填充View桌面池以及相应的View桌面.
1如果尚未部署View桌面池,请在VMwareView中进行部署,其中包括授权用户访问桌面.
请参阅VMwareView文档.
2将Workspace部署与VMwareView集成.
执行这些任务后,您通过VMwareView授权用户访问的View桌面便会成为目录中的可用资源.
View托管应用程序您可以通过执行以下任务为目录填充View应用程序池.
1确保在View中将应用程序池部署为远程桌面服务.
请参阅View文档.
2将Workspace部署与View集成.
执行这些任务后,您通过View授权用户访问的托管应用程序池便会成为目录中的可用资源.
VMwareWorkspacePortal管理员指南34VMware,Inc.
资源类别使用概览搜索目录资源的默认方法是按资源类型进行搜索.
还可以按类别搜索.
要启用按类别搜索Workspace目录资源,创建类别并将它们应用到资源创建资源类别您可以创建一个Workspace资源类别但不立即应用,也可以在创建类别的同时即应用此类别.
步骤1登录Workspace管理控制台.
2单击目录选项卡.
3单击一个或多个资源的复选框.
选中的资源会激活应用类别按钮,创建类别需要此按钮.
要创建类别并同时应用此类别,请单击要应用新类别的所有资源的复选框.
如果要创建类别但不立即应用,选定的资源则无关紧要.
在此情况下,您可以单击目录中任何资源的复选框.
4单击应用类别.
5在搜索类别文本框中键入新类别名称.
6单击添加类别.
.
.
.
Workspace即会创建新类别,但并不应用它.
7(可选)要将该类别应用于选定资源,请单击新类别名称的复选框.
Workspace即会将该类别应用于选定资源.
下一步如果合适,请将类别应用于资源.
请参阅第35页,"对资源应用类别".
对资源应用类别在创建某个类别之后,即可对目录中的任意资源应用此类别前提条件创建一个资源类别.
步骤1登录Workspace管理控制台.
2单击目录选项卡.
3单击要向其应用类别的所有资源的复选框.
4单击应用类别,然后选择要应用的类别的名称.
此类别即应用到所选的资源.
移除或删除类别您可以解除类别与资源的关联,还可以从目录中永久移除类别.
您可以移除类别标签以解除类别与资源的关联.
也可以从目录中永久删除类别.
永久删除某个类别时,该类别将从目录中消失.
它不再出现在任何类别下拉菜单中,也不再作为之前应用此类别的任何资源的标签.
第7章管理Workspace目录VMware,Inc.
35步骤1登录Workspace管理控制台.
2单击目录选项卡.
3单击一个或多个资源的复选框.
选中的资源会激活应用类别按钮,移除和删除类别需要此按钮.
要移除一个或多个资源的类别标签,请单击要从中移除类别标签的所有资源的复选框.
如果要永久删除类别,选定的资源则无关紧要.
在此情况下,您可以单击目录中任何资源的复选框.
4单击应用类别.
选项描述从资源移除类别标签的复选框处于选中状态.
单击此复选框以从选定资源中移除类别标签.
永久删除类别将鼠标悬停在类别上.
将出现x.
单击x以从目录中永久移除类别.
访问Workspace资源可以访问目录查看关于可授权用户使用的资源信息,如WorkspaceWeb应用程序、ThinApp软件包、基于Citrix的应用程序和View桌面池.
可以按应用程序类型或按类别查看资源.
前提条件n启用与要授权给用户的资源类型对应的资源模块.
可用模块包括Web应用程序模块、移动管理模块、View模块、ThinApp软件包模块和Citrix发布的应用程序模块.
n向目录中添加资源以满足企业的需求.
请参阅第33页,第7章"管理Workspace目录".
n要按类别查看资源,请创建并应用类别.
请参阅第35页,"资源类别使用概览".
步骤1登录Workspace管理控制台.
2单击目录选项卡.
Workspace即会列出目录中的所有资源.
3(可选)要更改排序方法,请单击应用程序或应用程序类型.
4(可选)要按特定类型查看资源,请从任意应用程序类型下拉菜单中选择一种资源类型.
未向Workspace添加的应用程序类型不会显示在下拉菜单中.
选项描述任意应用程序类型列出目录中的所有资源.
Web应用程序仅列出目录中的Web应用程序.
Web应用程序包括企业内部管理的SaaS应用程序和Web应用程序.
ThinApp软件包仅列出捕获为ThinApp软件包的Windows应用程序.
如果在访问管理控制台之前,已在配置Workspace时将ThinApp软件包添加到您的部署中,则ThinApp软件包将显示在您的目录中.
View桌面池仅列出View桌面池.
如果在访问Workspace管理控制台之前,已将Workspace与VMwareView进行集成,则View桌面池将显示在您的目录中.
VMwareWorkspacePortal管理员指南36VMware,Inc.
选项描述View托管应用程序仅列出View托管应用程序.
如果在访问管理控制台之前,已将Workspace与View进行集成,则View托管应用程序将显示在您的目录中.
Citrix发布的应用程序仅列出基于Citrix的应用程序.
如果在访问管理控制台之前,已将Workspace与Citrix部署进行集成,则基于Citrix的应用程序将显示在您的目录中.
5(可选)要按特定类别查看资源,请从任何类别下拉菜单中选择一个或多个类别名称.
Workspace即会列出满足选定条件的所有资源.
n如果您选择一个类别,Workspace将列出以此类别标签标记的所有资源.
n如果您选择多个类别,Workspace将仅列出以所有这些类别标签标记的资源.
6单击特定资源的图标可查看有关该资源的详细信息.
向目录添加资源您可以使用Workspace管理控制台的"目录"页面直接向目录添加Web应用程序.
有关向目录添加Web应用程序的详细说明,请参见《VMwareWorkspacePortal指南》中"提供对Web应用程序的访问权限"一章中的"设置资源".
以下说明概述了向目录中添加这些类型的资源所涉及的步骤.
步骤1登录Workspace管理控制台.
2单击目录选项卡.
3单击+添加应用程序.
4根据资源类型和应用程序位置单击选项.
导入Android工作区映像时,您无需在此步骤中单击选项.
链接名称资源类型描述Web应用程序.
.
.
来自云应用程序目录Web应用程序Workspace能够访问云应用程序目录中提供的一些默认Web应用程序,您可以将它们作为资源添加到目录中.
Web应用程序.
.
.
创建新应用程序Web应用程序通过填写相应表单,可以创建您想要作为资源添加到目录中的Web应用程序的应用程序记录.
Web应用程序.
.
.
导入ZIP或JAR文件Web应用程序您可以导入之前在Workspace中配置的Web应用程序.
您可能希望使用此方法将Workspace部署从生产前调试环境投入到生产环境.
在这种情况下,可以将临时部署中的Web应用程序导出为ZIP文件.
然后将ZIP文件导入生产部署.
5按照提示完成向目录中添加资源的过程.
第7章管理Workspace目录VMware,Inc.
37VMwareWorkspacePortal管理员指南38VMware,Inc.
搜索用户、组或目录资源8使用Workspace管理控制台中的搜索文本框在目录中搜索Workspace用户、组或资源.
步骤1登录Workspace管理控制台.
2在搜索文本框中输入字符串.
例如,要搜索电子邮件地址包含mycompany.
com的所有用户,请输入mycompany.
com.
"搜索结果"页面会显示返回的结果,这些结果将按照以下规则列在三个选项卡中.
用户选项卡键入的字符串与Workspace用户的姓氏、名或用户主体名称内任何词的起始字符相匹配.
组选项卡键入的字符串与组名称或描述中任何词的起始字符相匹配.
目录选项卡键入的字符串与目录资源的名称或描述中任何词的起始字符相匹配.
注意每个记录类型最多返回100条结果.
例如,如果有100个以上用户的记录中出现该字符串,用户选项卡上最多列出100条结果.
您无法更改此最大值.
VMware,Inc.
39VMwareWorkspacePortal管理员指南40VMware,Inc.
查看Workspace报告9Workspace会生成几种报告,如用户报告、资源报告和审核事件报告.
您可以在Workspace管理控制台的报告选项卡中查看报告.
您可以使用Workspace生成几种报告.
表91Workspace报告类型Workspace报告描述最近的活动此报告可以列出过去一天、过去一个月或过去的12周内用户在Workspace中执行的操作的类型.
您可以单击显示事件查看活动的日期、时间和用户详细信息.
资源使用情况此报告可以列出所有资源及每项资源的详细信息,如用户和许可证的数量.
资源授权此报告列出指定资源的用户授权.
组成员身份此报告可以列出指定组的成员.
用户此报告列出所有Workspace用户,并提供关于每个用户的详细信息,如用户的电子邮件地址、角色和组关联.
并发用户此报告可显示同时打开的用户会话的数量.
审核事件此报告可以列出与指定搜索内容相关的审核事件,如过去30天内用户的登录情况.
此功能可帮助进行故障排除.
请参阅第41页,"生成审核事件报告".
生成审核事件报告您可以针对指定审核事件生成报告.
审核事件报告可以作为一种故障排除方法,非常有用.
前提条件启用审核.
请参阅第43页,"Workspace管理设置概览".
步骤1登录Workspace管理控制台.
2选择报告>审核事件VMware,Inc.
413选择审核事件条件.
审核事件条件描述用户此文本框可以将审核事件的搜索范围缩小到特定用户生成的事件.
类型此下拉列表可以将审核事件的搜索范围缩小到特定的审核事件类型.
下拉列表不显示所有可能的审核事件类型.
仅显示您部署Workspace时已出现的事件类型.
用大写字母列出的审核事件类型为访问事件,比如LOGIN和LAUNCH,这些事件在数据库中不产生变化.
其他审核事件类型在数据库中会产生变化.
操作此下拉列表可以将搜索范围缩小到特定操作.
列表显示对数据库产生特定变化的事件.
如果您在"类型"下拉列表中选择了一个无操作的访问事件,请不要在"操作"下拉列表中指定操作.
对象此文本框可以将搜索范围缩小到特定对象.
例如对象可以是组、用户和设备.
对象用名称或ID编号识别.
日期范围这些文本框可以将搜索范围缩小到具体的日期范围,格式为"从___天前至___天前".
最大日期范围为30天.
例如,从90天前至60天前是一个有效的范围,而从90天前至45天前是一个无效的范围,因为此范围超出了30天的最大日期范围.
4单击显示.
审核事件报告将根据您指定的条件显示出来.
注意重新启动审核子系统时,"审核事件"页面可能会显示错误消息而不会提交报告.
如果您看到有关无法提交报告的错误消息,请等几分钟后重试.
5有关定审核事件的更多信息,请单击该审核事件的查看详细信息选项.
VMwareWorkspacePortal管理员指南42VMware,Inc.
配置Workspace设置(管理员版)10安装Workspace并进行初始配置后,即可配置一些管理设置.
本章讨论了以下主题:n第43页,"Workspace管理设置概览"n第44页,"自定义Workspace品牌标识"Workspace管理设置概览您可以配置若干Workspace管理设置.
使用Workspace管理控制台访问管理设置.
设置描述VA配置选择设置>VA配置可转至ApplianceConfigurator页面.
在上述页面中,您可以更新和更改Workspace数据库、SSL证书和外部syslog服务器的设置,更改Workspace和系统密码,以及查看日志文件.
许可证选择设置>许可证可输入您的Workspace许可证密钥.
SMTP选择设置>SMTP可输入SMTP设置.
密码恢复选择设置>密码恢复可配置单击"忘记密码"时用户登录页面中显示的"忘记密码"链接的行为.
用户存储选择设置>用户存储可为不具有信任关系的多林ActiveDirectory部署配置用户存储.
请参阅安装和配置Workspace指南中的"管理ActiveDirectory与Workspace的连接"一章.
网络范围选择设置>网络范围可配置组织的网络范围,使您可以将IP地址范围与身份提供程序实例相关联.
请参阅第12页,"添加或编辑网络范围".
身份验证方法选择设置>身份验证方法可配置默认的身份验证方法或添加不受Workspace直接支持但通过第三方身份提供程序间接支持的身份验证方法.
请参阅第13页,"添加或编辑用户身份验证方法".
身份提供程序选择设置>身份提供程序可编辑现有身份提供程序实例或添加新的身份提供程序实例.
Workspace的初始安装包括默认的身份提供程序部署.
根据需要编辑默认的Workspace身份提供程序配置,以选择身份验证方法并添加网络地址范围.
将额外的身份提供程序实例添加到Workspace部署,以实现高可用性.
"身份提供程序"页面列出多个身份提供程序实例时,可以编辑这些实例的顺序.
将IP地址分配给多个身份提供程序实例时此顺序非常重要.
有关添加或编辑身份提供程序实例和有关编辑身份提供程序实例顺序的详细信息,请参阅第14页,"添加和配置身份提供程序实例".
远程应用程序访问选择设置>远程应用程序访问可创建支持在Workspace中注册应用程序的客户端或模板.
SAML证书选择设置>SAML证书可查看SAML签名证书.
如果Web应用程序要求使用SAML断言对用户进行身份验证,则Workspace和Web应用程序均必须在本地拥有同一SAML签名证书的副本.
VMware,Inc.
43设置描述审批选择设置>审批可启用或禁用许可证审批.
可在将许可证管理系统与Workspace集成时启用许可证审批.
审核选择设置>审核以允许或禁止收集审核事件报告的信息,可在报告选项卡中查看该信息.
Citrix发布的应用程序选择设置>Citrix发布的应用程序可为Workspace目录中提供的基于Citrix的应用程序编辑Workspace全局应用程序交付设置.
有关为单个基于Citrix的应用程序编辑设置的说明,请参阅.
自定义品牌标识选择设置>自定义品牌标识可在Workspace界面上自定义品牌标识.
请参阅第44页,"自定义Workspace品牌标识".
自定义Workspace品牌标识您可以自定义在各种界面(例如Workspace管理控制台、用户和管理员登录屏幕、应用程序门户的Web视图以及移动设备上的应用程序门户的Web视图)中显示的徽标、字体、Web剪辑和背景.
您可以自定义在应用程序门户的Web视图以及Workspace管理控制台中使用的品牌标识.
步骤1登录Workspace管理控制台.
2选择设置>自定义品牌标识.
3根据需要编辑表单中的设置.
表101自定义品牌标识配置表单项目描述品牌名称和徽标徽标利用"徽标"选项可更改在用户的应用程序门户和管理控制台中显示的徽标.
建议上载的最小图像大小为350x100像素.
如果上载大于350x100像素的图像,将缩放图像以符合350x100像素的大小.
格式可以为JPEG、PNG或GIF.
单击更改以上载新图像来替换当前徽标.
单击确认后,会立即进行更改.
Favicon利用"Favicon"选项可更改在Web浏览器中使用的Favicon.
此选项适用于桌面和移动设备.
收藏夹图标图像的最大尺寸为16x16像素.
格式可以为JPEG、PNG、GIF或ICO.
单击更改以上载新图像来替换当前的Favicon.
系统提示您确认更改.
如果您单击确认,会立即进行更改.
公司名称"公司名称"选项适用于桌面和移动设备.
利用此选项可更改在Web浏览器屏幕标题中显示的产品名称之前的公司名称.
键入新名称覆盖现有名称以更改名称.
产品名称"产品名称"选项适用于桌面和移动设备.
利用此选项可更改在Web浏览器屏幕标题中显示的公司名称之后的名称.
键入产品公司名称覆盖现有名称以更改名称.
登录屏幕背景颜色为登录屏幕的背景显示的颜色.
键入新的十六进制颜色代码覆盖现有的十六进制颜色代码以更改背景颜色.
选中背景突出显示强调背景颜色.
选中背景图案在背景颜色中设置预先设计的三角形图案.
刊头颜色登录屏幕的标题区域中显示的颜色.
键入新的十六进制颜色代码,覆盖现有的十六进制颜色代码,以更改刊头颜色.
选中刊头图案在刊头颜色中设置预先设计的三角形图案.
图像(可选)要向背景添加图像而非颜色,请上载图像.
图像的最大尺寸为1400x900像素.
格式可以为JPEG、PNG或GIF.
VMwareWorkspacePortal管理员指南44VMware,Inc.
表101自定义品牌标识配置(续)表单项目描述徽标单击上载上载新徽标以替换登录屏幕上的当前徽标.
单击确认后,会立即进行更改.
建议上载的最小图像大小为350x100像素.
如果上载大于350x100像素的图像,将缩放图像以符合350x100像素.
格式可以为JPEG、PNG或GIF.
门户(Web视图)背景颜色为Web门户屏幕的背景显示的颜色.
键入新的十六进制颜色代码覆盖现有的十六进制颜色代码以更改背景颜色.
在您键入新颜色代码时,应用程序门户预览中的背景颜色会发生更改,以展示背景颜色在应用程序门户中的显示方式.
但是,如果选中包括背景图像复选框,在预览中可能不显示背景颜色.
选中背景突出显示强调背景颜色.
选中背景图案在背景颜色中设置预先设计的三角形图案.
名称和图标颜色应用程序门户屏幕中列出的资源名称所使用的字体颜色.
资源名称直接位于资源图标的下方.
键入十六进制颜色代码,覆盖现有的十六进制颜色代码,以更改字体颜色.
在您键入新的颜色代码时,应用程序门户预览中的"应用程序名称"文本会发生更改,以展示文本在应用程序门户中的显示方式.
文字效果选择"我的应用程序"屏幕上的文本所使用的文字类型.
图像(可选)要向应用程序门户屏幕上的背景添加图像而非颜色,请上载图像.
门户(移动和平板电脑视图)背景颜色键入十六进制颜色代码,覆盖现有的十六进制颜色代码,以更改从移动设备看到的"我的应用程序"屏幕的背景颜色.
标题栏颜色键入十六进制颜色代码,覆盖现有的十六进制颜色代码,以更改从移动设备看到的标题栏颜色.
选择标题栏图案在标题栏颜色中设置预先设计的三角形图案.
标题颜色键入十六进制颜色代码,覆盖现有的十六进制颜色代码,以更改标题栏标题中使用的字体颜色.
名称颜色应用程序门户屏幕中列出的资源名称所使用的字体颜色.
资源名称直接位于资源图标的下方.
键入十六进制颜色代码,覆盖现有的十六进制颜色代码,以更改应用程序名称的字体颜色.
文字效果选择"我的应用程序"屏幕上的文本所使用的文字类型.
对启动程序和目录使用相同的值如果要为"应用程序中心"屏幕视图使用移动设备上"我的应用程序"屏幕视图所使用的品牌标识设计,请选中此框.
如果要对"应用程序中心"屏幕进行不同的设计,请不要选中此框,而是配置"应用程序中心"屏幕的背景、标题栏颜色和标题颜色.
首次使用用户教程首次使用用户教程用户首次启动其应用程序门户时,会显示有关Workspace功能的幻灯片.
可移除选中标记以禁用此功能.
移动设备Web剪辑图标用户将应用程序门户URL另存为其移动设备主屏幕的书签时所显示的Workspace图标.
此Web剪辑图标可启动Workspace应用程序门户.
图像的最大尺寸为512x512像素.
格式可以为JPEG或PNG.
单击更改以上载新图像来替换当前Web剪辑图标.
系统提示您确认更改.
如果您单击确认,会立即进行更改.
Web剪辑标题WorkspaceWeb剪辑图标随附的标题.
标题必须少于20个字符.
4单击保存.
会在单击"保存"后5分钟内应用Workspace的自定义品牌标识更新.
下一步检查各界面中品牌标识更改的外观.
第10章配置Workspace设置(管理员版)VMware,Inc.
45VMwareWorkspacePortal管理员指南46VMware,Inc.
索引AActiveDirectory,部署14B版本10报告41CConfiguratorWeb界面,访问43Connector11,14ConnectorWeb界面,URL7D第三方身份提供程序14F访问策略客户端类型18身份验证强度18特定于Web应用程序20–23TTL18–20网络18–20与身份提供程序的关系19,21,22最低身份验证评分19,20访问策略集编辑21创建22门户19,22,23默认18,19,21–23特定于Web应用程序20–23应用23访问事件41附加用户属性29G概念证明14公司徽标43工作区页面29工作区映像33管理设置43管理用户和组30管理员设置43Hhzn-admin工具7IIP范围12J监控工作区运行状况10计划目录同步30禁用帐户30基于Citrix的应用程序43角色29L来宾用户7,25类别创建35删除35移除35应用35M密码恢复,用户43目录查看资源36管理33目录服务器组25P品牌标识44品牌标识元素43SSAML第三方身份提供程序16元数据17证书17SAML证书43设备状态10身份提供程序Connector11第三方11,16,17与访问策略的关系19身份提供程序实例编辑43编辑顺序43添加43选择11VMware,Inc.
47身份提供程序选择,配置14身份验证方法,与访问策略的关系19,21,22审核事件报告41设置,管理43受众5数据库,监控10TThinApp软件包33添加身份提供程序按钮14同步计划30VView桌面池33W网络范围,与访问策略的关系19,21,22Web应用程序33,37Windows应用程序33Workspace,虚拟设备7Workspace组Workspace组25X系统信息10系统诊断仪表板10许可证,审批43虚拟设备,WorkspaceWorkspace7Y仪表板9已登录用户,数量9移动应用程序,资源类型33应用程序Web37移动37应用程序门户,URL7应用程序热门程度9用户ActiveDirectory25查看信息29将同步筛选器更新到ActiveDirectory31属性29搜索39添加到组26Workspace25用户报告41用户存储14,43用户密码,恢复43用户身份验证方法13Z资源类别35所使用资源类型的百分比9资源使用情况报告41资源授权报告41组ActiveDirectory25,26查看信息27成员身份报告41搜索39Workspace25,26修改成员身份规则26组成员身份26组成员身份报告41VMwareWorkspacePortal管理员指南48VMware,Inc.
1在本文档被更新的版本替代之前,本文档支持列出的每个产品的版本和所有后续版本.
要查看本文档的更新版本,请访问http://www.
vmware.
com/cn/support/pubs.
ZH_CN-001537-00VMwareWorkspacePortal管理员指南2VMware,Inc.
最新的技术文档可以从VMware网站下载:http://www.
vmware.
com/cn/support/VMware网站还提供最近的产品更新信息.
您如果对本文档有任何意见或建议,请把反馈信息提交至:docfeedback@vmware.
com版权所有2013,2014VMware,Inc.
保留所有权利.
版权和商标信息.
VMware,Inc.
3401HillviewAve.
PaloAlto,CA94304www.
vmware.
com北京办公室北京市海淀区科学院南路2号融科资讯中心C座南8层www.
vmware.
com/cn上海办公室上海市浦东新区浦东南路999号新梅联合广场23楼www.
vmware.
com/cn广州办公室广州市天河北路233号中信广场7401室www.
vmware.
com/cn目录1关于VMwareWorkspacePortal管理员指南52面向管理员的Workspace简介73使用Workspace管理控制台仪表板来监控用户、资源和设备运行状况9跟踪Workspace中使用的用户和资源9监控Workspace系统信息和运行状况104配置Workspace用户身份验证11Workspace用户身份验证概览11添加或编辑网络范围12添加或编辑用户身份验证方法13添加和配置身份提供程序实例14将Workspace配置为使用第三方身份提供程序实例的概览16获取配置第三方身份提供程序实例所需的WorkspaceSAML信息17编辑默认访问策略集185管理访问策略集19访问策略设置概览19管理特定于Web应用程序的访问策略集20编辑访问策略集21添加特定于Web应用程序的访问策略集22应用特定于Web应用程序的访问策略集236管理用户和组25Workspace用户和组类型25管理Workspace组26修改Workspace组成员身份26Workspace组信息27管理Workspace用户28Workspace用户信息29更改从ActiveDirectory同步的组和用户30更改为Workspace选择用户的设置317管理Workspace目录33Workspace资源类型概述33资源类别使用概览35创建资源类别35对资源应用类别35VMware,Inc.
3移除或删除类别35访问Workspace资源36向目录添加资源378搜索用户、组或目录资源399查看Workspace报告41生成审核事件报告4110配置Workspace设置(管理员版)43Workspace管理设置概览43自定义Workspace品牌标识44索引47VMwareWorkspacePortal管理员指南4VMware,Inc.
关于VMwareWorkspacePortal管理员指南1《VMwareWorkspacePortal管理员指南》提供了有关使用和维护VMwareWorkspacePortal的信息和说明.
借助Workspace,您可以为组织的应用程序自定义一个资源目录,并使用户以安全的方式通过多种设备对这些资源进行受管的访问.
这类资源包括Web应用程序、捕获为ThinApp软件包的Windows应用程序、基于Citrix的应用程序以及View桌面池和应用程序池.
Workspace为用户提供了统一的体验,让您的IT部门可以在多种设备上为所有服务和应用程序实现统一的安全性和管理.
目标受众《VMwareWorkspacePortal管理员指南》专门面向企业管理员.
文档内容专为熟悉虚拟机技术、标识管理、Kerberos和目录服务且经验丰富的Windows和Linux系统管理员编写.
如果您打算实施VMwareThinApp、View、Citrix应用程序虚拟化和RSASecurID等其他功能,了解这些方面的技术十分有用.
《Workspace管理员指南》概览请在安装Workspace后使用《VMwareWorkspacePortal管理员指南》.
对Workspace进行管理时,请使用Workspace管理控制台.
从Workspace管理控制台执行的关键任务是授权用户使用资源.
通过执行其他任务,您可以更详细地控制授权哪些用户在什么条件下使用哪些资源,这些任务对上述关键任务起到辅助支持作用.
以管理员身份执行的任务根据您计划管理的资源类型的不同而有所变化.
您可以管理View桌面池和应用程序池、Windows应用程序(ThinApp软件包)、DaaS桌面、基于Citrix的应用程序以及Web应用程序.
您实际管理的资源类型根据组织需求的不同而有所变化.
要授权用户使用某种资源类型,必须先执行《VMwareWorkspacePortal指南》的"设置资源"中介绍的相应预配置任务.
VMware,Inc.
5VMwareWorkspacePortal管理员指南6VMware,Inc.
面向管理员的Workspace简介2Workspace提供集中式的管理控制台,您可以借助该控制台自定义组织的目录,以及管理对目录中资源的授权.
目录包含组织的应用程序和资源.
Workspace可检测用户的属性,并跨应用程序实施策略.
用户的工作区由他们的一组授权资源组成.
对于每个用户,您可以自定义Windows、Web和软件即服务(Software-as-a-Service,SaaS)应用程序的交付方式和从单个门户访问这些应用程序的能力,同时还能授予用户通过自助服务访问应用程序的权限.
Workspace管理服务管理Workspace用户组和资源管理、身份验证、同步设置以及来自不同Workspace管理服务的数据库连接.
n在"Workspace管理控制台"界面上,设置资源目录并管理您的用户和组、授权以及报告.
您可以查看"用户参与"仪表板和"系统诊断"仪表板来监控用户、资源使用情况和Workspace设备运行状况.
以从ActiveDirectory分配的管理员用户角色登录.
直接登录管理控制台的URL为https://WorkspaceFQDN/SAAS/admin.
n在Connector服务管理员页面上,配置目录、设置authbroker并管理其他企业集成(如虚拟桌面和远程应用程序).
这包括设置与View连接服务器、ThinApp存储库和Citrix已发布应用程序资源的集成.
从这些页面中,您还可以检查目录同步状态和警报.
使用用户名admin和设置Workspace时创建的管理员密码,以Workspace管理员的身份登录.
Connector服务管理员页面的链接可以在以下网址中找到:https://Workspace_FQDN.
com:8443.
n在ApplianceConfigurator页面上,您可以管理Workspace数据库、更新证书、启用Syslog、更改Workspace和系统密码,以及管理其他基础架构功能.
使用在设置Workspace时创建的管理员用户名和管理员密码,以Workspace管理员的身份登录.
ApplianceConfigurator页面的链接可以在以下网址中找到:https://Workspace_FQDN.
com:8443.
您还可以从"Worksapce管理控制台"中的"设置">"VA配置"页面访问ApplianceConfigurator页面.
Workspace最终用户组件用户可以使用WorkspaceAppPortal(无代理客户端)访问授权资源,也可以从适用于Windows的Workspace访问虚拟化的Windows应用程序(以ThinApp软件包的形式捕获).
VMware,Inc.
7表21Workspace用户客户端组件Workspace用户组件描述可用端点WorkspaceAppPortalWorkspace应用程序门户是基于Web的无代理应用程序.
当用户通过浏览器访问并使用其授权工作区资产时,将默认使用该界面.
使用此门户,用户可以访问其View桌面和WorkspaceWeb应用程序.
如果最终用户有权访问ThinApp应用程序,且其使用的Windows系统上已安装适用于Windows的Workspace程序并处于活动状态,则他们可以从此应用程序门户中查看并启动获得授权的ThinApp软件包.
在iOS设备上,用户可以在诸如Safari的浏览器应用程序中打开此门户,然后访问并使用其View桌面、WorkspaceWeb应用程序和基于Citrix的应用程序.
基于Web的应用程序门户在所有受支持的系统端点上均可用,如Windows系统、Mac系统、iOS设备和Android设备.
适用于Windows的Workspace在用户的Windows系统上安装此程序后,用户可以使用其虚拟化的Windows应用程序(以ThinApp软件包的形式捕获).
Windows系统支持Workspace的Web浏览器Workspace管理员控制台是基于Web的应用程序,随Workspace一起安装.
您可以通过以下浏览器访问和使用Workspace管理控制台.
nInternetExplorer10和11(适用于Windows系统)nGoogleChrome34.
0或更高版本(适用于Windows和Mac系统)nMozillaFirefox28或更高版本(适用于Windows和Mac系统)nSafari6.
1.
3及更高版本(适用于Mac系统)最终用户可以通过以下浏览器访问其Workspace应用程序门户.
nMozillaFirefox(最新)nGoogleChrome(最新)nSafari(最新)nInternetExplorer8或更高版本n本地浏览器和GoogleChrome(Android设备上)nSafari(iOS设备上)使用InternetExplorer8查看Workspace页面时,可能无法在页面上正确显示所有元素.
为获得最佳查看效果,用户应升级到更新的版本.
VMwareWorkspacePortal管理员指南8VMware,Inc.
使用Workspace管理控制台仪表板来监控用户、资源和设备运行状况3"Workspace管理控制台"包含"用户参与"仪表板和"系统诊断"仪表板,可帮助您监控用户、资源使用情况以及Workspace设备运行状况.
本章讨论了以下主题:n第9页,"跟踪Workspace中使用的用户和资源"n第10页,"监控Workspace系统信息和运行状况"跟踪Workspace中使用的用户和资源"用户参与"仪表板显示有关用户和资源的信息.
您可以查看已登录的人员、正在使用的应用程序以及应用程序的访问频率.
您可以创建报告来跟踪用户和组的活动以及资源使用情况.
显示在"用户参与"仪表板上的时间基于为浏览器设置的时区.
仪表板每隔一分钟更新一次.
步骤n标题将显示当天登录的唯一用户的数量,还将显示表明七天内每天登录事件数量的时间表.
"今天登录的用户"数量由圆圈包围,显示已登录用户的百分比.
登录滑动图显示一周内的登录事件.
指向图中的一个点可查看当天的登录数量.
n"用户和组"部分显示在Workspace中设置的用户帐户数量和组数量.
将显示最近登录的用户.
可以单击查看完整报告来创建"审核事件"报告,该报告显示在一定日期范围内登录的用户.
n"应用程序热门程度"部分显示在七天时间内应用程序启动次数的柱状图,按应用程序类型分组显示.
指向特定日期可查看显示所使用应用程序的类型以及当天所启动数量的工具提示.
图下方的列表显示特定应用程序的启动次数.
单击右侧的下拉菜单箭头选择查看一天、一周、一个月或12周内的此信息.
可以单击查看完整报告来创建"资源使用情况"报告,该报告显示一定时间范围内的应用程序、资源类型和用户活动数量.
n"应用程序采用"部分将显示一个柱状图,其中显示已打开有权使用的应用程序的人员百分比.
指向应用程序可查看显示采用和授权的实际数量的工具提示.
n"已启动应用程序"饼图显示已启动资源在整体中所占的百分比.
指向饼图中的特定部分可查看按资源类型列出的实际数量.
单击右侧的下拉菜单箭头选择查看一天、一周、一个月或12周内的此信息.
nWorkspaceClient部分显示正在使用的WindowsClientsforWorkspace的数量.
下一步单击"仪表板"下拉菜单可查看"系统诊断"仪表板.
VMware,Inc.
9监控Workspace系统信息和运行状况Workspace系统诊断仪表板显示您的环境中Workspace设备运行状况的详细概览,以及有关Workspace服务的信息.
您可以查看Workspace数据库服务器、workspace-va虚拟机和每个虚拟机上的可用服务的整体运行状况.
在"系统诊断"仪表板中,您可以选择要监控的workspace-va虚拟机,并可以查看该虚拟机上服务的状态,包括已安装的Workspace版本.
如果数据库或虚拟机出现问题,则标题栏会以红色显示计算机状态.
要查看问题,您可选择以红色显示的虚拟机.
步骤n用户密码过期.
将显示Workspace设备root的过期日期和密码的远程日志.
如果密码过期,请转至"设置"页面,然后选择VA配置.
打开系统安全页面以更改密码.
n证书.
将显示证书颁发者、开始日期和结束日期.
要管理证书,请转至"设置"页面,然后选择VA配置.
打开安装证书页面.
nConfigurator-应用程序部署状态.
将显示ApplianceConfigurator服务信息.
"Web服务器状态"将显示Tomcat服务器是否正在运行.
"Web应用程序状态"将显示ApplianceConfigurator页面是否可访问.
"设备版本"将显示已安装的Workspace设备的版本.
nApplicationManager-应用程序部署状态.
将显示Workspace设备连接状态.
nConnector-应用程序部署状态.
将显示Connector服务管理员连接状态.
当显示"连接成功"时,您可以访问Connector服务管理员页面.
nWorkspaceFQDN.
显示用户输入以访问其WorkspaceAppPortal的完全限定域名.
当正在使用负载平衡器时,WorkspaceFQDN将指向该负载平衡器.
nApplicationManager-集成组件.
将显示Workspace数据库连接、审核服务和分析连接信息.
nConnector-集成组件.
将显示有关在"Connector服务管理"页面上管理的服务的信息.
将显示有关ThinApp、View和Citrix发布的应用程序资源的信息.
n模块.
显示在Workspace中启用的资源.
单击启用转至"Connector服务管理"页面以找到该资源.
VMwareWorkspacePortal管理员指南10VMware,Inc.
配置Workspace用户身份验证4Workspace用户身份验证需要使用一个或多个身份提供程序实例.
这可以是Workspace实例(该实例为默认实例),或者第三方身份提供程序实例,或者这两者的组合.
身份提供程序实例在企业网络内使用ActiveDirectory对用户进行身份验证要配置身份提供程序实例并将其添加到Workspace部署,必须执行多个先决条件步骤来确保Workspace可以正确地访问ActiveDirectory部署.
本章讨论了以下主题:n第11页,"Workspace用户身份验证概览"n第12页,"添加或编辑网络范围"n第13页,"添加或编辑用户身份验证方法"n第14页,"添加和配置身份提供程序实例"n第16页,"将Workspace配置为使用第三方身份提供程序实例的概览"n第18页,"编辑默认访问策略集"Workspace用户身份验证概览Workspace尝试基于您配置的身份验证方法、默认访问策略集、网络范围和身份提供程序实例对用户进行身份验证.
用于Workspace的身份提供程序实例将创建一个使用SAML2.
0断言与Workspace进行通信的网内联合身份验证机构.
身份提供程序实例在企业网络内使用ActiveDirectory对用户进行身份验证.
Workspace支持ActiveDirectory密码、Kerberos和RSASecurID用户身份验证方法.
但是,第三方身份提供程序可能支持其他可以用于您的Workspace部署的身份验证方法,例如,基于智能卡的身份验证.
默认支持的Workspace身份验证类型描述密码无任何配置Workspace支持ActiveDirectory密码身份验证.
此方法直接通过ActiveDirectory对用户进行身份验证.
KerberosKerberos身份验证可以为域用户提供Workspace的单点登录访问权限,因此域用户在登录企业网络后无需登录Workspace.
身份提供程序实例使用由密钥分发中心(KDC)分发的Kerberos票证验证用户桌面凭据.
RSASecurIDRSASecurID身份验证要求用户使用基于令牌的身份验证系统.
建议针对从企业网络外部访问Workspace的用户启用RSASecurID身份验证方法.
VMware,Inc.
11要执行Kerberos身份验证或RSASecurID身份验证,您可以使用一个现有身份提供程序实例,也可以部署一个或多个其他的身份提供程序实例,具体取决于您的部署.
当用户尝试登录时,Workspace必须确定用于验证用户身份的身份提供程序实例.
为了确定身份提供程序实例,Workspace会对默认的访问策略集进行评估,选择策略集中要应用的策略.
应用的策略将指定该登录事件所需的最低身份验证评分.
然后,Workspace会根据要求的最低身份验证评分和方法的顺序对可用的身份验证方法进行筛选和排序,您可以根据组织的要求设定最低身份验证评分和方法的顺序.
Workspace选择满足策略的身份验证方法和网络范围要求的第一个身份提供程序实例,然后将用户身份验证请求转发到此实例进行身份验证.
如果身份验证失败,身份验证提供程序选择过程会继续选择列表中的下一个身份提供程序.
重要事项移除或重置身份提供程序实例时,您必须从"身份提供程序"页面中移除相应的身份提供程序名称.
您可以各种方式将Workspace部署为使用身份提供程序选择过程,以下示例总结了其中一种方式.
外部RSASecurID和内部密码身份验证或更高级示例可以使用此方法在同一Workspace部署中将Workspace配置为对内部用户使用ActiveDirectory密码或Kerberos身份验证方法,对外部用户使用RSASecurID身份验证方法.
n内部策略-使用Workspace管理控制台在默认访问策略集中创建一种身份验证评分最低的策略,以接受ActiveDirectory密码作为身份验证方法.
要确保Workspace尝试首先使用Kerberos身份验证对用户进行身份验证,使Kerberos方法的身份验证评分高于密码方法的身份验证评分,并在"身份验证方法"页面上将Kerberos置于列表的顶端.
还要为内部用户分配网络范围.
n外部策略-使用Workspace管理控制台在默认访问策略集中创建一种身份验证评分最低的策略,以确保使用RSASecurID身份验证方法来验证用户的身份.
还要分配一个包括所有可能用户的网络范围(从0.
0.
0.
0到255.
255.
255.
255).
此配置的结果就是尝试从企业网络内部访问Workspace的用户将被定向到提供Kerberos身份验证或密码身份验证的身份提供程序实例,而企业网络外部的用户将被定向到提供RSASecurID身份验证的身份提供程序实例.
内部和外部用户可能被发送到相同的身份提供程序实例或不同的身份提供程序实例,具体取决于您配置身份验证方法的方式.
添加或编辑网络范围您可以添加要定向到特定身份提供程序实例的IP地址的网络范围.
默认的网络范围称为"所有范围",包括Internet上提供的每个IP地址,范围从0.
0.
0.
0到255.
255.
255.
255.
即使您的Workspace部署中只有一个身份提供程序实例,您也可能需要先配置默认范围,然后通过添加其他范围来排除或包含特定的IP地址.
如果部署中有多个采用不同身份验证方法的身份提供程序实例,则必须配置多个网络范围.
请参阅第14页,"添加和配置身份提供程序实例".
注意默认网络范围("所有范围")及其描述("面向所有范围的网络")是可以编辑的.
您可以使用"网络范围"页面上的编辑功能来编辑此名称和描述,包括将文本更改为其他语言.
前提条件执行必要的网络范围规划.
n确定将Workspace与ActiveDirectory进行集成的最佳方式,以满足您组织的需求.
这类规划会影响部署中身份提供程序实例的数量,进而影响所需的网络范围的数量.
n根据网络拓扑,定义Workspace部署的网络范围.
VMwareWorkspacePortal管理员指南12VMware,Inc.
n当启用View模块时,要添加一个网络范围,请记录该网络范围的HorizonClient访问URL和端口号.
更多信息请参阅View文档.
步骤1登录Workspace管理控制台.
2选择设置>网络范围.
3编辑现有网络范围或添加新的网络范围.
选项描述编辑现有范围单击编辑对范围进行编辑.
添加范围单击+网络范围添加新范围.
4完成表单填写.
表单项目描述名称输入网络范围的名称.
描述输入对网络范围的描述.
View容器"View容器"选项仅在启用View模块后显示.
Client访问URL主机.
输入该网络范围的正确HorizonClient访问URL.
Client访问端口.
输入该网络范围的正确HorizonClient访问端口号.
请参见中的"提供对View桌面池和应用程序的访问权限"章节.
IP地址编辑或添加IP范围,直到所有需要和不需要的IP地址都包含在内.
下一步n将每个网络范围关联到身份提供程序实例.
请参阅第14页,"添加和配置身份提供程序实例".
n根据需要将网络范围与访问策略集相关联.
请参阅第19页,第5章"管理访问策略集".
添加或编辑用户身份验证方法您可以编辑现有的用户身份验证方法.
在添加第三方身份提供程序时,您可以配置Workspace不默认支持的用户身份验证方法.
另外,还可以创建访问策略,将身份验证方法与特定的Web应用程序相关联.
Workspace支持ActiveDirectory密码、Kerberos和RSASecurID用户身份验证方法.
通过添加支持其他身份验证方法(如基于智能卡的身份验证)的第三方身份提供程序,可以使Workspace能够强制执行这种身份验证方法.
请参阅第14页,"添加和配置身份提供程序实例".
有关与配置Workspace使用第三方身份提供程序实例相关的任务的完整列表,请参阅第16页,"将Workspace配置为使用第三方身份提供程序实例的概览".
方法的最低身份验证评分和在"身份验证方法"页面上的顺序在Workspace选择身份提供程序实例进行用户身份验证所遵循的过程中十分重要.
要规定用户使用具有指定最低身份验证评分的身份验证方法访问Web应用程序,请参阅第20页,"管理特定于Web应用程序的访问策略集".
Workspace使用给定身份验证方法进行的尝试次数不尽相同.
Workspace只尝试执行一次Kerberos身份验证.
如果用户无法通过Kerberos方法成功登录,将尝试列表中的下一个身份验证方法.
对于ActiveDirectory密码或RSASecurID身份验证,最大的登录尝试失败次数为五次.
用户尝试登录的失败次数达到五次之后,Workspace将尝试使用列表中的下一个身份验证方法使用户登录.
当所有身份验证方法都已用尽时,Workspace会发出一条错误消息.
第4章配置Workspace用户身份验证VMware,Inc.
13前提条件n部署计划要与Workspace集成的身份验证系统.
例如,如果您计划将RSASecurID集成到Workspace部署中,需验证网络上是否已安装并配置了RSASecurID.
n按照自己的标准为计划在Workspace部署中使用的身份验证方法确定安全级别:从1级(安全性最低)到5级(安全性最高).
步骤1登录Workspace管理控制台.
2选择设置>身份验证方法.
3编辑现有身份验证方法或添加新的身份验证方法.
选项描述编辑现有身份验证方法单击编辑对现有身份验证方法进行配置.
添加新的身份验证方法单击+添加身份验证方法添加新的身份验证方法.
例如,当向部署中添加新的第三方身份提供程序实例时.
4编辑身份验证方法的设置.
表单项目描述名称键入此身份提供程序实例的名称.
SAML上下文从下拉菜单中选择适当的SAML上下文.
列表中包含当前按照SAML2.
0规范可支持的SAML身份验证上下文.
身份验证评分为默认访问策略集或特定于Web应用程序的策略集创建访问策略时,需要配置最低身份验证评分.
策略要求用户使用具有指定身份验证评分或更高评分的身份验证方法进行身份验证以访问Workspace(如果是默认访问策略)或Web应用程序(如果是特定于Web应用程序的策略).
根据您为身份验证方法预先确定的安全级别,应用身份验证评分.
默认方法要将身份验证方法设为默认方法,请选择默认方法.
默认方法选项与"SAML上下文"选项相关.
以下示例演示了Workspace使用已被选中作为默认方法的身份验证方法的情形.
添加身份验证方法时,选择SAML上下文.
此后,第三方身份提供程序实例所发送的SAML上下文与您为该身份提供程序实例选择的SAML上下文不匹配,Workspace无法识别所发送的SAML上下文.
Workspace不会停止身份验证尝试,而是尝试使用已被选择作为默认方法的身份验证方法来验证用户的身份.
5单击保存.
下一步n将每种身份验证方法与相应的身份提供程序实例相关联.
请参阅第14页,"添加和配置身份提供程序实例".
n通过为每个访问策略设置相应的最低身份验证评分来将访问策略与身份验证方法相关联.
添加和配置身份提供程序实例通过向Workspace部署中添加和配置身份提供程序实例,可以提供高可用性、支持其他用户身份验证方法,并增加灵活性,可以根据用户IP地址范围管理用户身份验证过程.
将额外的身份提供程序实例添加到Workspace部署,以实现高可用性.
VMwareWorkspacePortal管理员指南14VMware,Inc.
前提条件n执行必要的规划.
n确定将Workspace与ActiveDirectory进行集成的最佳方式,以满足您组织的需求.
您可以配置单域或多域林.
n确定能够满足您组织需求的身份验证类型.
例如,您可以为组织内部用户配置Kerberos身份验证,为组织外部用户配置RSASecurID身份验证.
通过对两种身份验证方法使用一个身份提供程序实例或对每种身份验证方法使用单独的身份提供程序实例,即可设置此类型的配置.
n在部署的概念证明阶段,使用单个ActiveDirectory域部署Workspace.
n为您的Workspace部署准备额外的身份提供程序实例.
n要添加第三方身份提供程序实例,请执行以下任务.
有关与配置Workspace使用第三方身份提供程序实例相关的任务的完整列表,请参阅第16页,"将Workspace配置为使用第三方身份提供程序实例的概览".
n确认第三方实例兼容SAML2.
0,并且Workspace能够访问这些实例.
n确定Workspace从第三方实例获取元数据的方式,复制并保存第三方实例中的相应元数据信息,以便在配置期间粘贴到Workspace管理控制台.
您从第三方实例获取的元数据信息可以是元数据的URL或实际的元数据.
n要使Workspace能够使用其他身份验证方法,请使用管理控制台配置其他身份验证方法.
请参阅第13页,"添加或编辑用户身份验证方法".
n使用管理控制台配置网络范围.
请参阅第12页,"添加或编辑网络范围"步骤1登录Workspace管理控制台.
2选择设置>身份提供程序.
3单击添加身份提供程序.
此选项将提示您输入相关信息,以使Workspace能够注册现有第三方身份提供程序实例.
4编辑身份提供程序实例的设置.
表单项目描述类型为第三方身份提供程序实例选择手动类型.
注意不要选择"自动",除非VMware技术支持人员指示您这样做.
提供程序名称键入此身份提供程序实例的名称.
描述键入此身份提供程序实例的描述.
用户存储"用户存储"文本框列出了Workspace部署中可用的用户存储.
选择所有要与此身份提供程序实例关联的用户存储.
身份验证方法"身份验证方法"文本框列出了Workspace部署中可用的用户身份验证方法.
此列表包括默认身份验证方法和先前添加的用于支持第三方身份提供程序的其他方法.
其他身份验证方法的添加作为此任务的一项先决条件进行说明.
如果您要选择的身份验证方法未在此列表中,请按先决条件中所述添加此身份验证方法.
选择在与此身份提供程序实例关联的用户登录时,Workspace所应用的身份验证方法.
注意验证是否已启用并正确配置所选的身份验证方法.
请参阅安装和配置Workspace.
第4章配置Workspace用户身份验证VMware,Inc.
15表单项目描述配置方式仅在添加第三方身份提供程序实例并选择"手动"作为身份提供程序类型时,才提供"配置方式"选项.
请选择一种URL标识符方法.
n选择"自动发现URL"可使Workspace能够接收第三方身份提供程序实例的元数据来用于注册,在自动发现文本框中键入元数据的URL.
n选择"元数据XML"并从身份提供程序实例中复制XML元数据,然后将其粘贴到元数据XML文本框中.
网络范围"网络范围"文本框列出了Workspace部署中现有的网络范围.
根据用户IP地址,选择要定向到此身份提供程序实例进行身份验证的用户的网络范围.
5单击保存.
6如有必要,更改身份提供程序实例的顺序.
Workspace将在身份提供程序实例列表中从上到下搜索IP地址.
如果一个IP地址被分配给多个身份提供程序实例,Workspace将识别第一个实例,即列表中排位最高的身份提供程序实例.
a单击编辑身份提供程序的顺序.
b使用上下箭头将身份提供程序实例移至适当位置.
c单击保存.
下一步n如果为多林环境配置Workspace,通知各自域的Workspace用户,并向他们说明在登录时必须从下拉菜单中选择一个域.
告知他们可以选中记住此设置复选框,以免每次登录时重复提示.
n如果已添加了第三方身份提供程序实例,复制并保存配置第三方身份提供程序实例所需的Workspace信息.
请参阅第17页,"获取配置第三方身份提供程序实例所需的WorkspaceSAML信息".
将Workspace配置为使用第三方身份提供程序实例的概览要将Workspace配置为使用第三方身份提供程序实例,必须在整个配置过程中执行几个特定步骤.
配置前使用Workspace管理控制台添加第三方身份提供程序实例之前,请完成下列任务.
1确认第三方实例兼容SAML2.
0,并且Workspace能够访问这些实例.
2确定Workspace从第三方实例获取元数据的方式,复制并保存第三方实例中的相应元数据信息,以便在配置期间粘贴到Workspace管理控制台.
您从第三方实例获取的元数据信息可以是元数据的URL或实际的元数据.
3要使Workspace能够使用第三方身份提供程序所支持的身份验证方法,请使用管理控制台配置其他身份验证方法.
请参阅第13页,"添加或编辑用户身份验证方法"4通过选中默认方法复选框来编辑身份验证方法.
此操作允许Workspace在第三方身份验证方法出现问题时使用该身份验证方法.
请参阅第13页,"添加或编辑用户身份验证方法".
配置添加身份提供程序实例时,请执行下列特定于第三方身份提供程序的步骤.
请参阅第14页,"添加和配置身份提供程序实例".
1在管理控制台"设置">"身份提供程序"页面上,单击+添加身份提供程序按钮,并从类型下拉菜单选择手动.
2选择打算与Workspace配合使用的第三方身份提供程序实例所支持的身份验证方法.
VMwareWorkspacePortal管理员指南16VMware,Inc.
3使用配置方式选项选择如何将第三方身份提供程序实例的元数据传输到Workspace,是使用元数据的URL还是通过复制和粘贴元数据的方式.
配置后收集WorkspaceSAML信息并将其应用于第三方身份提供程序实例.
请参阅第17页,"获取配置第三方身份提供程序实例所需的WorkspaceSAML信息".
1使用Workspace管理控制台收集配置第三方身份提供程序实例所需的SAML信息.
2应用从Workspace所收集的SAML信息以配置第三方身份提供程序实例.
获取配置第三方身份提供程序实例所需的WorkspaceSAML信息Workspace与第三方身份提供程序实例集成时,在对Workspace端执行配置之后,您必须复制并准备对第三方身份提供程序端执行配置所需的SAML证书信息.
步骤1登录管理控制台.
2选择设置>SAML证书3复制并保存Workspace中显示的SAML签名证书.
a复制"签名证书"部分中的证书信息.
b将此证书信息保存到一个文本文件中,供以后在配置第三方身份提供程序实例时使用.
4将SAMLSP元数据提供给第三方身份提供程序实例.
a在"下载SAML证书"页面上,单击服务提供程序(SP)元数据.
b使用最适合组织的方法复制并保存显示的信息.
以后配置第三方身份提供程序时将需要使用此复制的信息.
方法描述复制页面的URL复制并保存服务提供程序(SP)元数据页面的URL.
复制页面上的XML复制页面的内容并将其保存到文本文件中.
5确定从第三方身份提供程序实例到Workspace的用户映射.
配置第三方身份提供程序时,在第三方身份提供程序中编辑SAML断言以映射Workspace用户.
NameID格式用户映射urn:oasis:names:tc:SAML:2.
0:nameid-format:emailAddress将SAML断言中的NameID值映射到Workspace中的电子邮件地址属性.
urn:oasis:names:tc:SAML:2.
0nameid-format:unspecified将SAML断言中的NameID值映射到Workspace中的用户名属性.
下一步根据需要,应用在此任务中复制的信息来配置第三方身份提供程序实例.
第4章配置Workspace用户身份验证VMware,Inc.
17编辑默认访问策略集Workspace包括一个默认访问策略集,此策略集控制用户对Workspace应用程序门户的访问权限.
您可以根据需要编辑策略集以更改策略.
默认访问策略集中的每个策略都要求满足一组标准,Workspace才会允许访问应用程序门户.
请参阅第19页,第5章"管理访问策略集".
以下访问策略集示例说明了如何通过配置默认访问策略集来控制对Workspace应用程序门户的访问权限.
请参阅第21页,"编辑访问策略集"了解相关说明.
默认访问策略集示例此示例说明如何编辑默认访问策略集.
策略名称网络最低身份验证评分TTL(小时)内部内部范围18外部所有范围34策略将按照上述顺序接受评估.
您可以上下拖动策略集中的策略来更改评估的优先级.
上述示例策略集适用于以下使用案例.
默认访问策略,浏览器使用案例1n内部.
要从内部(内部范围)网络访问Workspace,Workspace向用户显示ActiveDirectory密码身份验证方法.
要确保Workspace尝试首先使用Kerberos身份验证对用户进行身份验证,使Kerberos方法的身份验证评分高于密码方法的身份验证评分,并在"身份验证方法"页面上将Kerberos置于列表的顶端.
还要为内部用户分配网络范围.
用户使用浏览器进行登录,现在在八小时的会话时间内有权访问用户门户.
n外部.
要从外部(所有范围)网络访问Workspace,用户需要使用SecurID进行登录,对于本示例来说,身份验证评分为3.
用户使用浏览器进行登录,此后在四小时的会话时间内有权访问应用程序门户.
2当用户尝试访问某资源时(由特定于Web应用程序的策略集控制的Web应用程序除外),将应用默认门户访问策略集.
例如,此类资源的生存期(TTL)将与默认门户访问策略集的生存期一致.
如果根据默认门户访问策略集,登录到应用程序门户的用户的TTL为8小时,则当用户在TTL会话期间尝试启动某个资源时,该应用程序将启动而无需用户重新进行身份验证.
VMwareWorkspacePortal管理员指南18VMware,Inc.
管理访问策略集5您可以通过配置默认访问策略集指定用户要访问其WorkspaceAppPortal而必须满足的条件.
还可以通过创建特定于Web应用程序的访问策略集,指定用户要启动指定的Web应用程序而必须满足的条件.
要应用某个访问策略,应将该策略创建为访问策略集的一部分.
访问策略集中的每个策略均可以指定以下信息.
n用户可以从中登录的位置,例如企业网络内部或外部.
n最低身份验证评分,用于定义此策略所允许的身份验证方法.
n为用户提供的访问时间(单位为小时).
注意Workspace访问策略不会控制Web应用程序会话的持续时长.
它们可以控制用户必须启动Web应用程序的时间长度.
Workspace有一个默认访问策略集,您可以对其进行编辑.
此访问策略集从总体上控制对于Workspace的访问权限.
请参阅第18页,"编辑默认访问策略集".
要控制对特定Web应用程序的访问权限,您可以创建额外的访问策略集.
如果您不对Web应用程序应用访问策略集,将应用默认的访问策略集.
本章讨论了以下主题:n第19页,"访问策略设置概览"n第20页,"管理特定于Web应用程序的访问策略集"n第21页,"编辑访问策略集"n第22页,"添加特定于Web应用程序的访问策略集"n第23页,"应用特定于Web应用程序的访问策略集"访问策略设置概览访问策略集包含一个或多个访问策略.
每个访问策略均包含可配置为管理用户对整个WorkspaceAppPortal或对指定Web应用程序的访问权限的设置.
每个访问策略都将一个网络范围与一个最低身份验证评分相连.
用户从已应用策略的指定网络范围内的IP地址登录时,会看到一种等于或高于该策略最低身份验证评分的身份验证方法.
Workspace部署中的每个身份提供程序实例还将网络范围与身份验证方法相连.
当您配置访问策略时,请确保创建的网络范围与身份验证评分配对位于现有身份提供程序实例的覆盖范围内.
创建访问策略时,您可以配置以下设置.
网络对于每个访问策略,您通过指定网络范围来确定用户群.
网络范围由一个或多个IP范围组成.
先从管理控制台中的"网络范围"页面创建网络范围,然后再配置访问策略集.
VMware,Inc.
19最低身份验证评分配置访问策略集之前在管理控制台中配置"身份验证方法"页面时,为每个身份验证方法分配一个身份验证评分.
Workspace默认支持ActiveDirectory密码、Kerberos和RSASecurID身份验证方法.
当您将第三方身份提供程序实例集成到Workspace部署中时,Workspace可以将支持扩展到该第三方身份提供程序支持的额外的身份验证方法.
当用户登录到Workspace时,Workspace会记录身份验证时间和用于身份验证的方法.
用户随后尝试访问已分配了访问策略集的Web应用程序时,Workspace会比较用户当前的身份验证评分和访问Web应用程序所需的身份验证评分.
如果用户当前的身份验证评分低于所请求的应用程序所需的最低身份验证评分,Workspace会将用户重定向到提供更强身份验证的身份提供程序实例.
如果用户的当前身份验证评分等于或高于所请求应用程序需要的最低身份验证评分,Workspace则在验证生存期值之后启动该应用程序.
请参阅后面的生存期解释.
在下列条件下,Workspace将拒绝访问应用程序门户或启动Web应用程序的请求.
n没有为请求定义任何策略.
n没有为最低身份验证评分定义任何用于身份验证的身份提供程序实例.
n用户使用所有身份验证方法进行身份验证均失败.
生存期对于每个访问策略,您会分配一个生存期(TTL)值.
TTL值决定了用户自其上一次身份验证事件以后,在访问Workspace或启动特定Web应用程序前可以等待的最长时间.
例如,如果Web应用程序策略中的TTL值为4,则表示用户将有4个小时可以启动Web应用程序,除非他们启动的另一个身份验证事件延长了TTL值.
管理特定于Web应用程序的访问策略集您可以创建特定于Web应用程序的访问策略.
例如,您可以针对某个Web应用程序创建一个访问策略集,指定哪些IP地址有权访问该应用程序,使用哪些身份验证方法进行访问,以及多久后需要重新进行身份验证.
注意最好将特定于Web应用程序的策略的最低身份验证评分配置为等于或高于默认访问策略集中具有对应网络范围的策略的最低身份验证评分.
以下特定于Web应用程序的访问策略集示例说明了如何通过创建策略集来控制对特定Web应用程序的访问.
请参阅第19页,第5章"管理访问策略集".
示例1特定于Web应用程序的策略集此示例说明了一个您可能会创建并应用于敏感类应用程序的策略集.
策略名称网络最低身份验证评分TTL(小时)内部内部范围18外部所有范围34策略将按照上述顺序接受评估.
您可以上下拖动策略集中的策略来更改评估的优先级.
上述示例策略集适用于以下使用案例.
严格型特定于Web应用程序的访问策略集,浏览器使用案例1要从企业网络外部访问Workspace,用户需要使用RSASecurID进行登录,在本示例中的最低身份验证评分为3.
请参见第18页,"编辑默认访问策略集"中的外部策略示例.
用户使用浏览器进行登录,根据默认的访问策略集,用户现在在四小时的会话时间内有权访问应用程序门户.
VMwareWorkspacePortal管理员指南20VMware,Inc.
2四个小时后,用户尝试启动某个应用了示例1特定于Web应用程序的策略集的Web应用程序.
3Workspace将检查示例1策略集中的策略,并应用具有"所有范围"网络范围的外部策略,这是因为用户请求是来自Web浏览器,并且来自"所有范围"的网络范围.
用户以最低身份验证评分3登录,这对于启动敏感类应用程序而言是一个适当的身份验证评分,但是策略的TTL刚好过期.
因此用户将被重定向,以重新进行身份验证.
重新验证身份后,用户将获得另一个四小时的会话,并将能够启动应用程序.
在接下来的四个小时内,用户可以继续启动应用程序而无需重新进行身份验证.
示例2特定于Web应用程序的策略集此示例说明了一个您可能会创建并应用于特别敏感类应用程序的策略集.
策略名称网络最低身份验证评分TTL(小时)ExtraSensitive所有范围级别31上述示例策略集适用于以下使用案例.
格外严格型特定于Web应用程序的访问策略集使用案例1用户使用密码身份验证方法从企业网络内部登录,在本示例中为级别1.
请参见第18页,"编辑默认访问策略集"中的内部策略示例.
现在,用户在八个小时内有权访问应用程序门户.
2用户随即尝试启动某个应用了示例2策略集的Web应用程序,该策略集要求进行级别3或更高级别的身份验证3用户将被重定向到提供级别3或更高级别身份验证强度的身份提供程序,要求使用RSASecurID身份验证.
4用户成功登录后,Workspace将启动应用程序并保存身份验证事件.
按照策略规定,在不超过1小时的时间内,用户可以继续启动此应用程序,但1小时之后,将要求用户重新进行身份验证,除非用户在启动后1小时内启动了级别3或更高级别的身份验证事件.
编辑访问策略集您可以编辑默认访问策略集,这是一个预先存在的策略集,对用户对Workspace的访问进行整体控制,您也可以编辑先前手动创建的特定于Web应用程序的策略集.
您可以随时移除整个特定于Web应用程序的访问策略集.
默认访问策略集是永久性的.
您可以对其进行编辑,但无法将其移除.
您可以对现有的策略集进行以下编辑,无论是默认访问策略集还是特定于Web应用程序的访问策略集:从策略集中移除现有策略、编辑策略集中的现有策略或将新策略添加到策略集.
有关访问策略集的概览,请参阅第19页,第5章"管理访问策略集".
有关策略集的信息和示例,请参阅相应的主题.
n第18页,"编辑默认访问策略集".
n第20页,"管理特定于Web应用程序的访问策略集".
前提条件n为您的部署配置相应的身份提供程序.
请参阅第14页,"添加和配置身份提供程序实例".
n为您的Workspace部署配置相应的网络范围.
请参阅第12页,"添加或编辑网络范围".
n为您的部署配置相应的身份验证方法.
请参阅第13页,"添加或编辑用户身份验证方法".
第5章管理访问策略集VMware,Inc.
21步骤1登录Workspace管理控制台.
2选择策略>访问策略集.
3(可选)要永久删除特定于Web应用程序的访问策略集,针对此策略集单击移除.
移除选项不适用于默认访问策略集.
无法删除默认访问策略集.
4针对要配置的现有策略集单击编辑.
5(可选)如果适用,在相应的文本框中更改策略集名称和描述.
注意Workspace在"策略集名称"和"描述"文本框中用英语显示文本.
您可以编辑此文本,包括将文本更改为其他语言.
6(可选)如果适用,编辑现有策略、移除现有策略或添加新策略.
最好将特定于Web应用程序的策略的最低身份验证评分配置为等于或高于默认访问策略集中具有对应网络范围的策略的最低身份验证评分.
选项描述编辑现有策略a单击要配置的策略的名称.
b酌情更改策略设置.
c单击应用.
移除现有策略a单击要移除的策略的名称.
b单击移除.
添加新策略a单击+访问策略添加新策略.
b酌情配置策略设置.
c单击添加.
7单击保存.
编辑后的访问策略集将立即生效.
下一步如果策略集是尚未应用的特定于Web应用程序的访问策略集,则将此策略集应用到一个或多个Web应用程序.
添加特定于Web应用程序的访问策略集您可以创建特定于Web应用程序的策略集来管理用户对特定Web应用程序的访问.
有关访问策略集的概览,请参阅第19页,第5章"管理访问策略集".
有关特定于Web应用程序的访问策略集的信息和示例,请参阅第20页,"管理特定于Web应用程序的访问策略集".
前提条件n为您的部署配置相应的身份提供程序.
请参阅第14页,"添加和配置身份提供程序实例".
n为您的Workspace部署配置相应的网络范围.
请参阅第12页,"添加或编辑网络范围".
n为您的部署配置相应的身份验证方法.
请参阅第13页,"添加或编辑用户身份验证方法".
n尤其在最初配置Workspace时,如果您计划编辑默认门户访问策略集(对用户对Workspace的访问进行整体控制),请在创建特定于Web应用程序的策略集之前对其进行配置.
步骤1登录Workspace管理控制台.
VMwareWorkspacePortal管理员指南22VMware,Inc.
2选择策略>访问策略集.
3单击+访问策略集添加新策略集.
4在相应的文本框中添加策略集名称和描述.
5单击+访问策略添加第一个策略.
6酌情配置策略设置.
注意最好将特定于Web应用程序的策略的最低身份验证评分配置为等于或高于默认访问策略集中具有对应网络范围的策略的最低身份验证评分.
7单击添加.
8(可选)重复上述步骤来添加策略,直到策略集满足组织的需要为止.
9单击保存以保存策略集.
下一步将策略集应用到一个或多个Web应用程序.
应用特定于Web应用程序的访问策略集在创建特定于Web应用程序的访问策略集之后,您可以将该策略集应用于特定的Web应用程序,以控制用户对这些应用程序的访问权限.
Workspace将默认访问策略集应用于所有新的Web应用程序.
您必须将特定于Web应用程序的策略集应用于Web应用程序以覆盖默认访问策略集.
前提条件如果尚未创建特定于Web应用程序的访问策略集,应创建一个来控制用户对特定Web应用程序的访问权限.
请参阅第22页,"添加特定于Web应用程序的访问策略集"步骤1单击目录选项卡.
2单击任意应用程序类型>Web应用程序.
3单击要对其应用特定于Web应用程序的访问策略集的Web应用程序.
此时将显示Web应用程序的信息页面,并且默认会选中授权选项卡.
4单击访问策略.
5从"访问策略集"下拉菜单中,选择要应用于该应用程序的特定于Web应用程序的访问策略集.
6单击保存.
现在,访问策略集将控制用户对该应用程序的访问权限.
第5章管理访问策略集VMware,Inc.
23VMwareWorkspacePortal管理员指南24VMware,Inc.
管理用户和组6您可以管理和监控用户和组,其中包括从ActiveDirectory导入的用户和组、来宾用户和Workspace组.
在Workspace管理控制台中,"用户和组"页面提供一个以用户和组为中心的Workspace视图.
例如,在某个用户的"授权"页面中,您可以授权该用户访问某一资源;在某个组的"授权"页面中,您可以授权该组访问某一资源.
或者,您也可以在"目录"页面中查看以资源为中心的Workspace视图.
例如,在某一资源的"授权"页面中,您可以将该资源授权给用户或组.
本章讨论了以下主题:n第25页,"Workspace用户和组类型"n第26页,"管理Workspace组"n第28页,"管理Workspace用户"n第30页,"更改从ActiveDirectory同步的组和用户"Workspace用户和组类型使用Workspace管理控制台,您可以管理用户、来宾用户和组.
用户Workspace用户是从ActiveDirectory中导入的用户.
Workspace用户群根据目录服务器的同步计划进行更新.
组Workspace管理控制台中可以显示的组类型是从目录服务器导入的组和Workspace组(即您使用Workspace自己创建的组).
组类型描述目录服务器组可使用"Connector服务管理员目录同步"、"选择组"页面将组从ActiveDirectory导入到Workspace中.
在管理控制台中,组名称旁边的锁定图标表明该组为目录服务器组.
您不能使用Workspace编辑或删除目录服务器组.
导入的目录服务器组在Workspace中根据目录服务器的同步计划进行更新.
Workspace组您使用Workspace管理控制台创建Workspace组,这些组经过自定义可最适合您企业内部的Workspace使用.
您可以通过添加一组用户和组来创建Workspace组.
添加的组可以是之前已存在的Workspace组,也可以是从目录服务器导入的组.
在管理控制台中,组名称旁边的复选框表明该组为Workspace组.
您可以使用Workspace删除Workspace组或修改组中的用户.
您可以指定组成员有权访问和使用的资源.
除了定义每个单独用户的授权外,还可以给组授权来授权一组用户.
一个用户可以属于多个组.
例如,如果您创建了Sales组和Management组,销售经理则可以属于这两个组.
您可以指定将哪些移动策略设置应用于组成员.
VMware,Inc.
25管理Workspace组在Workspace中,您仅可针对Workspace组执行创建组、修改组的成员身份和删除组的任务.
您可以对Workspace组和ActiveDirectory组执行将组授权到资源的任务.
步骤n要创建Workspace组,请选择用户和组>组,单击创建组,然后提供组的名称和描述.
n要删除一个或多个Workspace组,请选择用户和组>组,选中与要删除的Workspace组对应的复选框,然后单击删除组.
您仅能删除Workspace组.
ActiveDirectory组名称旁边会显示一个锁定图标,表示该组是ActiveDirectory组,您不能使用Workspace进行编辑或删除.
修改Workspace组成员身份您可以修改Workspace组成员身份.
使用组可同时授权多个用户使用同一资源,无需为每个用户单独授权.
可通过组规则来定义哪些用户是某个特定Workspace组的成员.
一个用户可以属于多个组.
例如,如果您创建了销售组和管理组,销售经理则可以同时成为这两个组的成员.
步骤1登录Workspace管理控制台.
2选择用户和组>组.
n组名称旁边的复选框表明该组为Workspace组.
n组名称旁边的锁图标表明该组是一个目录服务器组.
您可在目录服务器中直接管理目录服务器组.
您无法使用Workspace定义目录服务器组的成员身份.
3单击要修改其成员身份的Workspace组的名称.
4单击此组中的用户选项卡.
系统会显示组的当前用户成员列表.
5单击修改此组中的用户.
6从下拉菜单中选择一个选项.
选项操作以下任何只要满足组成员身份的任一条件,就会授予组成员身份.
该选项的工作方式类似于OR条件.
例如,如果针对规则"GroupIsSales"和"GroupIsMarketing"选择以下任何,则会授予销售和营销人员该组的成员身份.
以下所有只有满足组成员身份的所有条件,才会授予组成员身份.
其工作方式类似于AND条件.
例如,如果针对规则"GroupIsSales"和"EmailStartsWith'western_region'"选择以下所有,则只有西部地区的销售人员才会被授予成员身份.
其他地区的销售人员不会被授予成员身份.
VMwareWorkspacePortal管理员指南26VMware,Inc.
7为您的Workspace组配置一个或多个规则.
规则可以嵌套.
选项操作组n选择是可将一个组关联到此Workspace组.
在文本框中键入组名.
在键入时会出现组名列表.
n选择不是可将一个组从此Workspace组中排除.
在文本框中键入组名.
在键入时会出现组名列表.
属性规则下述规则适用于所有属性,包括默认属性和贵企业配置的任何其他自定义属性.
例如属性可以是电子邮件和电话.
注意规则不区分大小写.
n选择匹配为与输入的标准完全匹配的目录服务器条目授予组成员身份.
例如,组织可能设立了一个共用一个电话主机号码的差旅部门.
如果要授权共用该电话号码的所有员工访问旅行预订应用程序,则可以创建规则,如"PhoneMatches(555)555-1000".
n选择不匹配为除了与输入标准匹配的条目之外的所有目录服务器条目授予组成员身份.
例如,如果您的一个部门共用一个主机号码,要禁止该部门访问社交网络应用程序,您可以创建规则,如"PhoneDoesNotMatch(555)555-2000".
使用其他电话号码的目录服务器条目则可以访问该应用程序.
n选择开头是为开头符合输入标准的目录服务器条目授予组成员身份.
例如,组织的电子邮件可能以部门名开头,如sales_username@example.
com.
如果要向每一位销售人员授予应用程序的访问权,则可以创建规则,如"EmailStartsWithsales_".
n选择开头不是为除了开头是输入标准的条目之外的所有目录服务器条目授予组成员身份.
例如,如果人力资源部门的电子邮件地址采用hr_username@example.
com格式,要拒绝此部门人员对应用程序的访问,您可以设置规则,例如"EmailDoesNotStartWithhr_".
使用其他电子邮件地址的目录服务器条目则可以访问该应用程序.
以下任何在此规则下,只要满足组成员身份的任何条件,就会授予组成员身份.
通过这种方法可以嵌套规则.
例如,您可以创建符合以下所有条件的规则:GroupIsSales;GroupisCalifornia.
对于"GroupisCalifornia"要求符合下述条件之一:PhoneStartsWith415;PhoneStartsWith510.
该组员必须属于加利福尼亚销售人员,并且电话号码以415或510开头.
以下所有此规则要求必须满足所有条件.
通过这种方法可以嵌套规则.
例如,您可以创建符合以下任一条件的规则:GroupIsManagers;GroupisCustomerService.
对于"组是客户服务"要求符合下述所有条件:EmailStartsWithcs_;PhoneStartsWith555.
组成员可以是经理或客户服务代表,但客户服务代表的邮箱必须以cs_开头,且电话要以555开头.
8(可选)通过选中相应的复选框并键入用户名,指定要添加到此Workspace组或从该组中排除的用户.
9单击下一步,然后单击保存.
Workspace组信息可使用Workspace管理控制台查看某个组的详细信息,如该组的授权资源、成员身份及其应用的移动策略集.
步骤1登录Workspace管理控制台.
2单击用户和组>组.
页面中显示了您的Workspace部署中所有组的列表以及有关每个组的某些概括信息.
n组名称旁边的复选框表明该组为Workspace组.
您需要在Workspace中定义和管理Workspace组.
n组名称旁边的锁图标表明该组是一个目录服务器组.
您需要在贵组织的目录服务器中管理目录服务器组.
第6章管理用户和组VMware,Inc.
27n该页面将显示以下关于每个组的信息.
信息类型描述用户数量组中的成员数量.
应用程序数量授权给整个组的资源数量.
用户存储与ActiveDirectory组关联的用户存储.
除非在多林ActiveDirectory环境中部署Workspace,否则部署将具有名一个为"默认"的用户存储.
3单击组的名称.
将在页面顶部显示组的详细信息页面,其中包括组名称.
4单击与要查看信息对应的选项卡.
选项描述授权显示组的"授权"页面.
在此页面中,您可以:n查看授权给组用户的资源列表.
n单击添加授权以授权组用户使用目录中的各项可用资源.
n单击列出的某项授权资源的名称以显示该资源的"编辑"页面.
n对于具有编辑按钮的资源类型,您可以单击此按钮授权或取消授权组用户使用该类型的资源,或者自定义各授权资源的选项.
在"授权"页面下,您可以进行以下更改:n对于Web应用程序,单击编辑可更改组对Web应用程序享有的授权或组的授权Web应用程序的部署类型.
选择自动可在用户门户中默认显示该Web应用程序.
选择用户激活可允许用户将其可用的AppCenter应用程序集合中的Web应用程序添加到该用户的"我的应用程序"区域.
n对于View桌面池和应用程序池,您可以查看组对与Workspace系统集成的View池的现有授权.
对View桌面池和应用程序池的授权在与Workspace系统集成的View连接服务器实例中配置.
您无法使用组的"授权"页面更改对View池的授权.
n对于ThinApp软件包,单击编辑更改组对ThinApp软件包享有的授权或组的授权ThinApp软件包的部署类型.
选择自动可在用户门户的"我的应用程序"区域默认显示该ThinApp软件包.
选择用户激活将允许用户手动将ThinApp软件包从"应用程序目录"添加到其"我的应用程序"区域.
n对于Citrix发布的应用程序,您可以查看组对与Workspace系统集成的基于Citrix的应用程序的现有授权.
对基于Citrix的应用程序的授权在与Workspace系统集成的Citrix部署中配置.
您无法使用组的"授权"页面更改对基于Citrix的应用程序的授权.
n对于具有取消授权按钮的资源类型,您可以单击此按钮来移除组对该特定资源的访问权限.
注意"置备状态"列未使用.
默认情况下,对于此页面表中已填入条目的行,"置备状态"栏显示"未启用",您无法更改此值.
此组中的用户显示此组的成员身份页面.
在此页面中,您可以:n查看隶属于该组的用户的名单.
n单击某个用户的名称可显示该用户的详细信息页面.
n单击修改此组中的用户可查看和配置定义Workspace组成员身份的规则.
修改此组中的用户选项可用于Workspace组,但不能用于目录服务器组.
管理Workspace用户您可以使用Workspace管理控制台管理从ActiveDirectory导入的用户.
Workspace中的用户管理包括多项任务,如授权用户使用资源、将用户添加到适当的Workspace组,以及管理用户置备的工作区的状态等.
VMwareWorkspacePortal管理员指南28VMware,Inc.
Workspace用户信息您可以查看用户的详细信息,如用户的授权资源、组关联以及使用Workspace管理控制台置备的桌面系统和移动设备.
用户属性属于您可以查看的用户信息,如数据节点主机名属性,以及在同步过程已配置的Workspace从目录服务器检索的附加属性.
查看单个用户的附加目录服务器属性的作用取决于您在部署中如何使用此类属性.
您可以通过以下方式使用这些附加属性:n修改Workspace组的成员身份.
例如,如果您使用ActiveDirectory中的管理器属性,您可以将管理器属性映射到Workspace.
您可以创建这样一个组,其组规则将成员身份限制为在其Workspace用户记录中具有管理器属性的用户.
n通过特定属性要求允许用户访问Web应用.
例如,金融类应用程序可以限制为仅有Workspace用户记录中具有员工ID属性的用户可以访问.
步骤1登录Workspace管理控制台.
2选择用户和组>用户.
该页面显示了全部Workspace用户的列表.
3单击某个用户名.
将显示用户的详细信息页面.
用户的姓名、电子邮件地址和角色将在页面顶部列出.
4(可选)单击所显示角色的名称、用户或管理员,即可更改用户角色.
您可以将用户升级为管理员角色,从而允许他们访问Workspace管理控制台.
获得管理员角色的个人仍然可以作为用户通过Web访问其应用程序门户.
用于访问管理控制台的URL与访问应用程序门户的URL不同.
请将下列URL中的WorkspaceFQDN占位符替换为实际值.
Web界面所需角色URL示例Workspace管理控制台管理员https://WorkspaceFQDN/adminWorkspaceAppPortal用户https://WorkspaceFQDN/web5(可选)单击显示附加属性查看分配给用户的附加属性,如目录服务器属性.
第6章管理用户和组VMware,Inc.
296单击与要查看信息对应的选项卡.
选项描述授权此时将显示用户的授权页面.
在此页面中,您可以:n查看授权给用户的资源列表.
n单击添加授权授权用户使用目录中的可用资源.
n单击列出的某项授权资源的名称以显示该资源的"编辑"页面.
n对于具有编辑按钮的资源类型,您可以单击此按钮授权或取消授权组用户使用该类型的资源,或者自定义各授权资源的选项.
在"授权"页面下,您可以进行以下更改:n对于Web应用程序,单击编辑可更改用户对Web应用程序享有的授权或每个用户授权Web应用程序的部署类型.
选择自动可在用户门户中默认显示该Web应用程序.
选择用户激活可允许用户将其可用的AppCenter应用程序集合中的Web应用程序添加到该用户的"我的应用程序"区域.
n对于View桌面池和应用程序池,您可以查看用户对与Workspace系统集成的View池的现有授权.
对View桌面池和应用程序池的授权在与Workspace系统集成的View连接服务器实例中配置.
您无法使用用户的"授权"页面更改对View池的授权.
n对于ThinApp软件包,单击编辑更改用户对ThinApp软件包享有的授权或用户的授权ThinApp软件包的部署类型.
选择自动可在用户门户的"我的应用程序"区域默认显示该ThinApp软件包.
选择用户激活将允许用户手动将ThinApp软件包从"应用程序目录"添加到"我的应用程序"区域.
n对于Citrix发布的应用程序,您可以查看用户对与Workspace系统集成的基于Citrix的应用程序的现有授权.
对基于Citrix的应用程序的授权在与Workspace系统集成的Citrix部署中配置.
您无法使用用户的"授权"页面更改对基于Citrix的应用程序的授权.
n对于具有取消授权按钮的资源类型,您可以单击此按钮来移除用户对使用该资源的访问权限.
注意"置备状态"列未使用.
默认情况下,对于此页面表中已填入条目的行,"置备状态"栏显示"未启用",您无法更改此值.
组关联此时将显示用户所在组的列表.
每个组名称代表用户作为成员所属的一个组.
您可以单击组的名称显示该组的详细信息页面.
工作区此时将显示用户的工作区页面.
在此页面中,您可以查看已置备到用户桌面系统中的桌面工作区,包括工作区的当前状态.
n对于桌面系统,您可以单击删除从Workspace中移除对应的系统.
对于已丢失、被盗或不再使用的系统,您最好将其从Workspace中移除.
更改从ActiveDirectory同步的组和用户在Workspace设置期间,您输入了要连接到ActiveDirectory服务器的信息;选择了ActiveDirectory用户属性和筛选器以便指定要在"Workspace目录"中同步哪些用户,以及选择了要添加的ActiveDirectory组.
您可以通过"目录同步"页面的Connector服务管理员更改以上设置.
在下一次目录同步后,这些页面上保存的所做更改会在Workspace中自动更新.
请参阅第31页,"更改为Workspace选择用户的设置"更改"映射用户属性"页面"映射用户属性"页面显示了ActiveDirectory中的属性和Workspace中的属性之间的映射.
如果要包括ActiveDirectory中有关用户的其他信息,您可以将用户属性添加到"映射用户属性"页面.
VMwareWorkspacePortal管理员指南30VMware,Inc.
"映射用户属性"页面中映射的默认用户属性之一是用于禁用帐户的属性.
UserAccountControl属性已映射到Workspace的已禁用属性.
当ActiveDirectoryUserAccountControl属性标记为UF_Account_Disable时,会在Workspace目录中禁用用户.
当帐户处于禁用状态时,用户无法登录以访问其应用程序和资源.
用户有权使用的资源未从帐户中移除,以便从帐户中移除该标记时,用户可以登录并访问其授权的资源更改为Workspace选择用户的设置在Workspace设置期间,指定ActiveDirectory、用户属性和筛选器,以便选择您希望使用Workspace的ActiveDirectory用户.
您可以使用Connector服务管理员页面更新这些设置.
前提条件验证您是否有所需更改的相关信息,例如新的基本DN、要加入的用户属性、要加入的组.
步骤1使用Workspace管理员密码登录Connector服务管理员.
2执行相应的操作.
选项操作更改ActiveDirectory服务器信息,例如服务器主机、端口、基本DN、绑定DN、绑定密码等.
a单击目录.
b进行所需更改.
c单击保存.
更改Workspace用户属性到ActiveDirectory用户属性的映射.
a单击映射用户属性.
b进行所需更改.
c单击保存.
创建筛选器以排除同步到Workspace的特定ActiveDirectory用户,并更新已同步到Workspace的ActiveDirectory组.
a单击目录同步.
b单击编辑目录同步规则.
c根据需要在"选择用户"页面上进行更改,然后单击保存.
d根据需要在"选择组"页面上进行更改,然后单击保存.
e单击推送到Workspace.
f单击保存并继续.
第6章管理用户和组VMware,Inc.
31VMwareWorkspacePortal管理员指南32VMware,Inc.
管理Workspace目录7Workspace目录是包含可授权给用户的所有资源的存储库.
目录中特定类型资源的可用性由Workspace中启用的模块控制.
要显示您的目录,请单击Workspace管理控制台中的目录选项卡.
在"目录"页面上,可执行以下任务:n将新资源添加到目录.
n查看当前可授权给用户的资源.
n访问目录中有关各项资源的信息.
根据资源的类型,某些资源可直接通过"目录"页面添加到目录中.
其他类型的资源则需要您在管理控制台以外进行添加.
有关设置资源的信息,请参阅.
资源如何看到目录中的资源Web应用程序启用Web应用程序模块.
使用管理控制台在"目录"页面上选择Web应用程序应用程序类型.
捕获为ThinApp软件包的虚拟化Windows应用程序将ThinApp软件包从Connector服务管理员"打包的应用程序-ThinApp"页面同步到您的目录中.
使用管理控制台在"目录"页面上选择ThinApp软件包应用程序类型.
View桌面池将View池从Connector服务管理员"View池"页面同步到您的目录中.
使用管理控制台在"目录"页面上选择View桌面池应用程序类型.
View托管应用程序将View托管应用程序从Connector服务管理员"View池"页面同步到您的目录中.
使用管理控制台在"目录"页面上选择View托管应用程序作为应用程序类型.
基于Citrix的应用程序将基于Citrix的应用程序从Connector服务管理员"已发布的应用程序-Citrix"页面同步到您的目录中.
使用管理控制台在"目录"页面上选择Citrix发布的应用程序应用程序类型.
本章讨论了以下主题:n第33页,"Workspace资源类型概述"n第35页,"资源类别使用概览"n第36页,"访问Workspace资源"n第37页,"向目录添加资源"Workspace资源类型概述您可以在目录中定义的用于授权和分发给用户的资源类型包括Web应用程序、捕获为VMwareThinApp软件包的Windows应用程序、基于Citrix的应用程序、VMwareView桌面池以及View托管应用程序.
要将某个特定资源授权给用户,必须先将该资源填充到目录中.
向目录填充资源所使用的方法取决于该资源的类型.
VMware,Inc.
33有关这些资源的信息、要求、安装和配置,请参阅.
Web应用程序您可以直接在Workspace管理控制台的"目录"页面中为目录填充Web应用程序.
单击"目录"页面中显示的Web应用程序时,即会显示有关该应用程序的信息.
在显示的页面中,您可以配置Web应用程序,例如,提供相应的SAML属性以在Workspace与目标Web应用程序之间配置单点登录.
配置Web应用程序后,可以授权用户和组使用该Web应用程序.
请参阅第37页,"向目录添加资源".
ThinApp软件包您可以通过执行以下任务为目录填充捕获为ThinApp软件包的Windows应用程序.
1如果要提供给用户访问的ThinApp软件包尚不存在,请创建与Workspace兼容的ThinApp软件包.
请参阅VMwareThinApp文档.
2创建网络共享并使用兼容的ThinApp软件包填充该网络共享.
3配置Workspace,与网络共享中的软件包进行集成.
执行这些任务后,虚拟化的Windows应用程序,即您添加到网络共享的ThinApp软件包,便会成为目录中的可用资源.
然后您可以授权用户访问这些资源.
要启动和运行由Workspace分发和管理的ThinApp软件包,用户必须在其Windows系统中安装适用于Windows的Workspace.
Citrix发布的应用程序您可以通过执行以下任务为目录填充基于Citrix的应用程序.
1如果尚未部署Citrix服务器,请进行部署,其中包括授权用户使用基于Citrix的应用程序.
请参阅相应的Citrix文档.
2将Workspace部署与Citrix服务器进行集成.
执行这些任务后,您通过Citrix服务器授权给用户的基于Citrix的应用程序便会成为目录中的可用资源.
View桌面池您可以通过执行以下任务为目录填充View桌面池以及相应的View桌面.
1如果尚未部署View桌面池,请在VMwareView中进行部署,其中包括授权用户访问桌面.
请参阅VMwareView文档.
2将Workspace部署与VMwareView集成.
执行这些任务后,您通过VMwareView授权用户访问的View桌面便会成为目录中的可用资源.
View托管应用程序您可以通过执行以下任务为目录填充View应用程序池.
1确保在View中将应用程序池部署为远程桌面服务.
请参阅View文档.
2将Workspace部署与View集成.
执行这些任务后,您通过View授权用户访问的托管应用程序池便会成为目录中的可用资源.
VMwareWorkspacePortal管理员指南34VMware,Inc.
资源类别使用概览搜索目录资源的默认方法是按资源类型进行搜索.
还可以按类别搜索.
要启用按类别搜索Workspace目录资源,创建类别并将它们应用到资源创建资源类别您可以创建一个Workspace资源类别但不立即应用,也可以在创建类别的同时即应用此类别.
步骤1登录Workspace管理控制台.
2单击目录选项卡.
3单击一个或多个资源的复选框.
选中的资源会激活应用类别按钮,创建类别需要此按钮.
要创建类别并同时应用此类别,请单击要应用新类别的所有资源的复选框.
如果要创建类别但不立即应用,选定的资源则无关紧要.
在此情况下,您可以单击目录中任何资源的复选框.
4单击应用类别.
5在搜索类别文本框中键入新类别名称.
6单击添加类别.
.
.
.
Workspace即会创建新类别,但并不应用它.
7(可选)要将该类别应用于选定资源,请单击新类别名称的复选框.
Workspace即会将该类别应用于选定资源.
下一步如果合适,请将类别应用于资源.
请参阅第35页,"对资源应用类别".
对资源应用类别在创建某个类别之后,即可对目录中的任意资源应用此类别前提条件创建一个资源类别.
步骤1登录Workspace管理控制台.
2单击目录选项卡.
3单击要向其应用类别的所有资源的复选框.
4单击应用类别,然后选择要应用的类别的名称.
此类别即应用到所选的资源.
移除或删除类别您可以解除类别与资源的关联,还可以从目录中永久移除类别.
您可以移除类别标签以解除类别与资源的关联.
也可以从目录中永久删除类别.
永久删除某个类别时,该类别将从目录中消失.
它不再出现在任何类别下拉菜单中,也不再作为之前应用此类别的任何资源的标签.
第7章管理Workspace目录VMware,Inc.
35步骤1登录Workspace管理控制台.
2单击目录选项卡.
3单击一个或多个资源的复选框.
选中的资源会激活应用类别按钮,移除和删除类别需要此按钮.
要移除一个或多个资源的类别标签,请单击要从中移除类别标签的所有资源的复选框.
如果要永久删除类别,选定的资源则无关紧要.
在此情况下,您可以单击目录中任何资源的复选框.
4单击应用类别.
选项描述从资源移除类别标签的复选框处于选中状态.
单击此复选框以从选定资源中移除类别标签.
永久删除类别将鼠标悬停在类别上.
将出现x.
单击x以从目录中永久移除类别.
访问Workspace资源可以访问目录查看关于可授权用户使用的资源信息,如WorkspaceWeb应用程序、ThinApp软件包、基于Citrix的应用程序和View桌面池.
可以按应用程序类型或按类别查看资源.
前提条件n启用与要授权给用户的资源类型对应的资源模块.
可用模块包括Web应用程序模块、移动管理模块、View模块、ThinApp软件包模块和Citrix发布的应用程序模块.
n向目录中添加资源以满足企业的需求.
请参阅第33页,第7章"管理Workspace目录".
n要按类别查看资源,请创建并应用类别.
请参阅第35页,"资源类别使用概览".
步骤1登录Workspace管理控制台.
2单击目录选项卡.
Workspace即会列出目录中的所有资源.
3(可选)要更改排序方法,请单击应用程序或应用程序类型.
4(可选)要按特定类型查看资源,请从任意应用程序类型下拉菜单中选择一种资源类型.
未向Workspace添加的应用程序类型不会显示在下拉菜单中.
选项描述任意应用程序类型列出目录中的所有资源.
Web应用程序仅列出目录中的Web应用程序.
Web应用程序包括企业内部管理的SaaS应用程序和Web应用程序.
ThinApp软件包仅列出捕获为ThinApp软件包的Windows应用程序.
如果在访问管理控制台之前,已在配置Workspace时将ThinApp软件包添加到您的部署中,则ThinApp软件包将显示在您的目录中.
View桌面池仅列出View桌面池.
如果在访问Workspace管理控制台之前,已将Workspace与VMwareView进行集成,则View桌面池将显示在您的目录中.
VMwareWorkspacePortal管理员指南36VMware,Inc.
选项描述View托管应用程序仅列出View托管应用程序.
如果在访问管理控制台之前,已将Workspace与View进行集成,则View托管应用程序将显示在您的目录中.
Citrix发布的应用程序仅列出基于Citrix的应用程序.
如果在访问管理控制台之前,已将Workspace与Citrix部署进行集成,则基于Citrix的应用程序将显示在您的目录中.
5(可选)要按特定类别查看资源,请从任何类别下拉菜单中选择一个或多个类别名称.
Workspace即会列出满足选定条件的所有资源.
n如果您选择一个类别,Workspace将列出以此类别标签标记的所有资源.
n如果您选择多个类别,Workspace将仅列出以所有这些类别标签标记的资源.
6单击特定资源的图标可查看有关该资源的详细信息.
向目录添加资源您可以使用Workspace管理控制台的"目录"页面直接向目录添加Web应用程序.
有关向目录添加Web应用程序的详细说明,请参见《VMwareWorkspacePortal指南》中"提供对Web应用程序的访问权限"一章中的"设置资源".
以下说明概述了向目录中添加这些类型的资源所涉及的步骤.
步骤1登录Workspace管理控制台.
2单击目录选项卡.
3单击+添加应用程序.
4根据资源类型和应用程序位置单击选项.
导入Android工作区映像时,您无需在此步骤中单击选项.
链接名称资源类型描述Web应用程序.
.
.
来自云应用程序目录Web应用程序Workspace能够访问云应用程序目录中提供的一些默认Web应用程序,您可以将它们作为资源添加到目录中.
Web应用程序.
.
.
创建新应用程序Web应用程序通过填写相应表单,可以创建您想要作为资源添加到目录中的Web应用程序的应用程序记录.
Web应用程序.
.
.
导入ZIP或JAR文件Web应用程序您可以导入之前在Workspace中配置的Web应用程序.
您可能希望使用此方法将Workspace部署从生产前调试环境投入到生产环境.
在这种情况下,可以将临时部署中的Web应用程序导出为ZIP文件.
然后将ZIP文件导入生产部署.
5按照提示完成向目录中添加资源的过程.
第7章管理Workspace目录VMware,Inc.
37VMwareWorkspacePortal管理员指南38VMware,Inc.
搜索用户、组或目录资源8使用Workspace管理控制台中的搜索文本框在目录中搜索Workspace用户、组或资源.
步骤1登录Workspace管理控制台.
2在搜索文本框中输入字符串.
例如,要搜索电子邮件地址包含mycompany.
com的所有用户,请输入mycompany.
com.
"搜索结果"页面会显示返回的结果,这些结果将按照以下规则列在三个选项卡中.
用户选项卡键入的字符串与Workspace用户的姓氏、名或用户主体名称内任何词的起始字符相匹配.
组选项卡键入的字符串与组名称或描述中任何词的起始字符相匹配.
目录选项卡键入的字符串与目录资源的名称或描述中任何词的起始字符相匹配.
注意每个记录类型最多返回100条结果.
例如,如果有100个以上用户的记录中出现该字符串,用户选项卡上最多列出100条结果.
您无法更改此最大值.
VMware,Inc.
39VMwareWorkspacePortal管理员指南40VMware,Inc.
查看Workspace报告9Workspace会生成几种报告,如用户报告、资源报告和审核事件报告.
您可以在Workspace管理控制台的报告选项卡中查看报告.
您可以使用Workspace生成几种报告.
表91Workspace报告类型Workspace报告描述最近的活动此报告可以列出过去一天、过去一个月或过去的12周内用户在Workspace中执行的操作的类型.
您可以单击显示事件查看活动的日期、时间和用户详细信息.
资源使用情况此报告可以列出所有资源及每项资源的详细信息,如用户和许可证的数量.
资源授权此报告列出指定资源的用户授权.
组成员身份此报告可以列出指定组的成员.
用户此报告列出所有Workspace用户,并提供关于每个用户的详细信息,如用户的电子邮件地址、角色和组关联.
并发用户此报告可显示同时打开的用户会话的数量.
审核事件此报告可以列出与指定搜索内容相关的审核事件,如过去30天内用户的登录情况.
此功能可帮助进行故障排除.
请参阅第41页,"生成审核事件报告".
生成审核事件报告您可以针对指定审核事件生成报告.
审核事件报告可以作为一种故障排除方法,非常有用.
前提条件启用审核.
请参阅第43页,"Workspace管理设置概览".
步骤1登录Workspace管理控制台.
2选择报告>审核事件VMware,Inc.
413选择审核事件条件.
审核事件条件描述用户此文本框可以将审核事件的搜索范围缩小到特定用户生成的事件.
类型此下拉列表可以将审核事件的搜索范围缩小到特定的审核事件类型.
下拉列表不显示所有可能的审核事件类型.
仅显示您部署Workspace时已出现的事件类型.
用大写字母列出的审核事件类型为访问事件,比如LOGIN和LAUNCH,这些事件在数据库中不产生变化.
其他审核事件类型在数据库中会产生变化.
操作此下拉列表可以将搜索范围缩小到特定操作.
列表显示对数据库产生特定变化的事件.
如果您在"类型"下拉列表中选择了一个无操作的访问事件,请不要在"操作"下拉列表中指定操作.
对象此文本框可以将搜索范围缩小到特定对象.
例如对象可以是组、用户和设备.
对象用名称或ID编号识别.
日期范围这些文本框可以将搜索范围缩小到具体的日期范围,格式为"从___天前至___天前".
最大日期范围为30天.
例如,从90天前至60天前是一个有效的范围,而从90天前至45天前是一个无效的范围,因为此范围超出了30天的最大日期范围.
4单击显示.
审核事件报告将根据您指定的条件显示出来.
注意重新启动审核子系统时,"审核事件"页面可能会显示错误消息而不会提交报告.
如果您看到有关无法提交报告的错误消息,请等几分钟后重试.
5有关定审核事件的更多信息,请单击该审核事件的查看详细信息选项.
VMwareWorkspacePortal管理员指南42VMware,Inc.
配置Workspace设置(管理员版)10安装Workspace并进行初始配置后,即可配置一些管理设置.
本章讨论了以下主题:n第43页,"Workspace管理设置概览"n第44页,"自定义Workspace品牌标识"Workspace管理设置概览您可以配置若干Workspace管理设置.
使用Workspace管理控制台访问管理设置.
设置描述VA配置选择设置>VA配置可转至ApplianceConfigurator页面.
在上述页面中,您可以更新和更改Workspace数据库、SSL证书和外部syslog服务器的设置,更改Workspace和系统密码,以及查看日志文件.
许可证选择设置>许可证可输入您的Workspace许可证密钥.
SMTP选择设置>SMTP可输入SMTP设置.
密码恢复选择设置>密码恢复可配置单击"忘记密码"时用户登录页面中显示的"忘记密码"链接的行为.
用户存储选择设置>用户存储可为不具有信任关系的多林ActiveDirectory部署配置用户存储.
请参阅安装和配置Workspace指南中的"管理ActiveDirectory与Workspace的连接"一章.
网络范围选择设置>网络范围可配置组织的网络范围,使您可以将IP地址范围与身份提供程序实例相关联.
请参阅第12页,"添加或编辑网络范围".
身份验证方法选择设置>身份验证方法可配置默认的身份验证方法或添加不受Workspace直接支持但通过第三方身份提供程序间接支持的身份验证方法.
请参阅第13页,"添加或编辑用户身份验证方法".
身份提供程序选择设置>身份提供程序可编辑现有身份提供程序实例或添加新的身份提供程序实例.
Workspace的初始安装包括默认的身份提供程序部署.
根据需要编辑默认的Workspace身份提供程序配置,以选择身份验证方法并添加网络地址范围.
将额外的身份提供程序实例添加到Workspace部署,以实现高可用性.
"身份提供程序"页面列出多个身份提供程序实例时,可以编辑这些实例的顺序.
将IP地址分配给多个身份提供程序实例时此顺序非常重要.
有关添加或编辑身份提供程序实例和有关编辑身份提供程序实例顺序的详细信息,请参阅第14页,"添加和配置身份提供程序实例".
远程应用程序访问选择设置>远程应用程序访问可创建支持在Workspace中注册应用程序的客户端或模板.
SAML证书选择设置>SAML证书可查看SAML签名证书.
如果Web应用程序要求使用SAML断言对用户进行身份验证,则Workspace和Web应用程序均必须在本地拥有同一SAML签名证书的副本.
VMware,Inc.
43设置描述审批选择设置>审批可启用或禁用许可证审批.
可在将许可证管理系统与Workspace集成时启用许可证审批.
审核选择设置>审核以允许或禁止收集审核事件报告的信息,可在报告选项卡中查看该信息.
Citrix发布的应用程序选择设置>Citrix发布的应用程序可为Workspace目录中提供的基于Citrix的应用程序编辑Workspace全局应用程序交付设置.
有关为单个基于Citrix的应用程序编辑设置的说明,请参阅.
自定义品牌标识选择设置>自定义品牌标识可在Workspace界面上自定义品牌标识.
请参阅第44页,"自定义Workspace品牌标识".
自定义Workspace品牌标识您可以自定义在各种界面(例如Workspace管理控制台、用户和管理员登录屏幕、应用程序门户的Web视图以及移动设备上的应用程序门户的Web视图)中显示的徽标、字体、Web剪辑和背景.
您可以自定义在应用程序门户的Web视图以及Workspace管理控制台中使用的品牌标识.
步骤1登录Workspace管理控制台.
2选择设置>自定义品牌标识.
3根据需要编辑表单中的设置.
表101自定义品牌标识配置表单项目描述品牌名称和徽标徽标利用"徽标"选项可更改在用户的应用程序门户和管理控制台中显示的徽标.
建议上载的最小图像大小为350x100像素.
如果上载大于350x100像素的图像,将缩放图像以符合350x100像素的大小.
格式可以为JPEG、PNG或GIF.
单击更改以上载新图像来替换当前徽标.
单击确认后,会立即进行更改.
Favicon利用"Favicon"选项可更改在Web浏览器中使用的Favicon.
此选项适用于桌面和移动设备.
收藏夹图标图像的最大尺寸为16x16像素.
格式可以为JPEG、PNG、GIF或ICO.
单击更改以上载新图像来替换当前的Favicon.
系统提示您确认更改.
如果您单击确认,会立即进行更改.
公司名称"公司名称"选项适用于桌面和移动设备.
利用此选项可更改在Web浏览器屏幕标题中显示的产品名称之前的公司名称.
键入新名称覆盖现有名称以更改名称.
产品名称"产品名称"选项适用于桌面和移动设备.
利用此选项可更改在Web浏览器屏幕标题中显示的公司名称之后的名称.
键入产品公司名称覆盖现有名称以更改名称.
登录屏幕背景颜色为登录屏幕的背景显示的颜色.
键入新的十六进制颜色代码覆盖现有的十六进制颜色代码以更改背景颜色.
选中背景突出显示强调背景颜色.
选中背景图案在背景颜色中设置预先设计的三角形图案.
刊头颜色登录屏幕的标题区域中显示的颜色.
键入新的十六进制颜色代码,覆盖现有的十六进制颜色代码,以更改刊头颜色.
选中刊头图案在刊头颜色中设置预先设计的三角形图案.
图像(可选)要向背景添加图像而非颜色,请上载图像.
图像的最大尺寸为1400x900像素.
格式可以为JPEG、PNG或GIF.
VMwareWorkspacePortal管理员指南44VMware,Inc.
表101自定义品牌标识配置(续)表单项目描述徽标单击上载上载新徽标以替换登录屏幕上的当前徽标.
单击确认后,会立即进行更改.
建议上载的最小图像大小为350x100像素.
如果上载大于350x100像素的图像,将缩放图像以符合350x100像素.
格式可以为JPEG、PNG或GIF.
门户(Web视图)背景颜色为Web门户屏幕的背景显示的颜色.
键入新的十六进制颜色代码覆盖现有的十六进制颜色代码以更改背景颜色.
在您键入新颜色代码时,应用程序门户预览中的背景颜色会发生更改,以展示背景颜色在应用程序门户中的显示方式.
但是,如果选中包括背景图像复选框,在预览中可能不显示背景颜色.
选中背景突出显示强调背景颜色.
选中背景图案在背景颜色中设置预先设计的三角形图案.
名称和图标颜色应用程序门户屏幕中列出的资源名称所使用的字体颜色.
资源名称直接位于资源图标的下方.
键入十六进制颜色代码,覆盖现有的十六进制颜色代码,以更改字体颜色.
在您键入新的颜色代码时,应用程序门户预览中的"应用程序名称"文本会发生更改,以展示文本在应用程序门户中的显示方式.
文字效果选择"我的应用程序"屏幕上的文本所使用的文字类型.
图像(可选)要向应用程序门户屏幕上的背景添加图像而非颜色,请上载图像.
门户(移动和平板电脑视图)背景颜色键入十六进制颜色代码,覆盖现有的十六进制颜色代码,以更改从移动设备看到的"我的应用程序"屏幕的背景颜色.
标题栏颜色键入十六进制颜色代码,覆盖现有的十六进制颜色代码,以更改从移动设备看到的标题栏颜色.
选择标题栏图案在标题栏颜色中设置预先设计的三角形图案.
标题颜色键入十六进制颜色代码,覆盖现有的十六进制颜色代码,以更改标题栏标题中使用的字体颜色.
名称颜色应用程序门户屏幕中列出的资源名称所使用的字体颜色.
资源名称直接位于资源图标的下方.
键入十六进制颜色代码,覆盖现有的十六进制颜色代码,以更改应用程序名称的字体颜色.
文字效果选择"我的应用程序"屏幕上的文本所使用的文字类型.
对启动程序和目录使用相同的值如果要为"应用程序中心"屏幕视图使用移动设备上"我的应用程序"屏幕视图所使用的品牌标识设计,请选中此框.
如果要对"应用程序中心"屏幕进行不同的设计,请不要选中此框,而是配置"应用程序中心"屏幕的背景、标题栏颜色和标题颜色.
首次使用用户教程首次使用用户教程用户首次启动其应用程序门户时,会显示有关Workspace功能的幻灯片.
可移除选中标记以禁用此功能.
移动设备Web剪辑图标用户将应用程序门户URL另存为其移动设备主屏幕的书签时所显示的Workspace图标.
此Web剪辑图标可启动Workspace应用程序门户.
图像的最大尺寸为512x512像素.
格式可以为JPEG或PNG.
单击更改以上载新图像来替换当前Web剪辑图标.
系统提示您确认更改.
如果您单击确认,会立即进行更改.
Web剪辑标题WorkspaceWeb剪辑图标随附的标题.
标题必须少于20个字符.
4单击保存.
会在单击"保存"后5分钟内应用Workspace的自定义品牌标识更新.
下一步检查各界面中品牌标识更改的外观.
第10章配置Workspace设置(管理员版)VMware,Inc.
45VMwareWorkspacePortal管理员指南46VMware,Inc.
索引AActiveDirectory,部署14B版本10报告41CConfiguratorWeb界面,访问43Connector11,14ConnectorWeb界面,URL7D第三方身份提供程序14F访问策略客户端类型18身份验证强度18特定于Web应用程序20–23TTL18–20网络18–20与身份提供程序的关系19,21,22最低身份验证评分19,20访问策略集编辑21创建22门户19,22,23默认18,19,21–23特定于Web应用程序20–23应用23访问事件41附加用户属性29G概念证明14公司徽标43工作区页面29工作区映像33管理设置43管理用户和组30管理员设置43Hhzn-admin工具7IIP范围12J监控工作区运行状况10计划目录同步30禁用帐户30基于Citrix的应用程序43角色29L来宾用户7,25类别创建35删除35移除35应用35M密码恢复,用户43目录查看资源36管理33目录服务器组25P品牌标识44品牌标识元素43SSAML第三方身份提供程序16元数据17证书17SAML证书43设备状态10身份提供程序Connector11第三方11,16,17与访问策略的关系19身份提供程序实例编辑43编辑顺序43添加43选择11VMware,Inc.
47身份提供程序选择,配置14身份验证方法,与访问策略的关系19,21,22审核事件报告41设置,管理43受众5数据库,监控10TThinApp软件包33添加身份提供程序按钮14同步计划30VView桌面池33W网络范围,与访问策略的关系19,21,22Web应用程序33,37Windows应用程序33Workspace,虚拟设备7Workspace组Workspace组25X系统信息10系统诊断仪表板10许可证,审批43虚拟设备,WorkspaceWorkspace7Y仪表板9已登录用户,数量9移动应用程序,资源类型33应用程序Web37移动37应用程序门户,URL7应用程序热门程度9用户ActiveDirectory25查看信息29将同步筛选器更新到ActiveDirectory31属性29搜索39添加到组26Workspace25用户报告41用户存储14,43用户密码,恢复43用户身份验证方法13Z资源类别35所使用资源类型的百分比9资源使用情况报告41资源授权报告41组ActiveDirectory25,26查看信息27成员身份报告41搜索39Workspace25,26修改成员身份规则26组成员身份26组成员身份报告41VMwareWorkspacePortal管理员指南48VMware,Inc.
spinservers($179/月),1Gbps不限流量服务器,双E5-2630Lv3/64GB/1.6T SSD/圣何塞机房
中秋节快到了,spinservers针对中国用户准备了几款圣何塞机房特别独立服务器,大家知道这家服务器都是高配,这次推出的机器除了配置高以外,默认1Gbps不限制流量,解除了常规机器10TB/月的流量限制,价格每月179美元起,机器自动化上架,一般30分钟内,有基本自助管理功能,带IPMI,支持安装Windows或者Linux操作系统。配置一 $179/月CPU:Dual Intel Xeon E...
提速啦母鸡 E5 128G 61IP 1200元
提速啦(www.tisula.com)是赣州王成璟网络科技有限公司旗下云服务器品牌,目前拥有在籍员工40人左右,社保在籍员工30人+,是正规的国内拥有IDC ICP ISP CDN 云牌照资质商家,2018-2021年连续4年获得CTG机房顶级金牌代理商荣誉 2021年赣州市于都县创业大赛三等奖,2020年于都电子商务示范企业,2021年于都县电子商务融合推广大使。资源优势介绍:Ceranetwo...
CloudCone:KVM月付1.99美元起,洛杉矶机房,支持PayPal/支付宝
CloudCone的[2021 Flash Sale]活动仍在继续,针对独立服务器、VPS或者Hosted email,其中VPS主机基于KVM架构,最低每月1.99美元,支持7天退款到账户,可使用PayPal或者支付宝付款,先充值后下单的方式。这是一家成立于2017年的国外VPS主机商,提供独立服务器租用和VPS主机,其中VPS基于KVM架构,多个不同系列,也经常提供一些促销套餐,数据中心在洛杉...
远程桌面服务为你推荐
-
access数据库access数据库主要学什么李子柒年入1.6亿宋朝鼎盛时期 政府财政收入有将近1亿贯铜钱,那么GDP是多少呢?7788k.com以前有个网站是7788MP3.com后来改成KK130现在又改网站域名了。有知道现在是什么域名么?lunwenjiancepaperfree论文检测安全吗javmoo.comjavbus上不去.怎么办haole012.com说在:012qq.com这个网站能免费挂QQ,是真的吗?dadi.tv1223tv影院首页地址是什么?1223tv影院在哪里可以找到?sodu.tw台湾人看小说的网站是www.147qqqcom求女人能满足我的…梦遗姐昨晚和姐姐和她朋友一起吃晚饭,我们都喝了酒,我迷糊着回到家的,早上我回想起我好像发生关系射过,会不会是我姐姐,如果是这样我怎么办