こんにちは、Yos235です。
WorkspaceONE Access を使用してHorizon Azureに接続したい。
オンプレADとの認証って誰がやるんだろう?という疑問がでてきたので
確認してみた。
techzone.vmware.com
基本的な構成はこんな感じなのですが、

Table 2: Workspace ONE Access Components
Workspace ONE Access Connector
Responsible for directory synchronization and handles some of the authentication methods between on-premises resources such as Active Directory, VMware Horizon, Citrix, and the Workspace ONE Access service.
You deploy the connector by running the Windows-based installer.
VIDMコネクタは、ディレクトリSyncだけを担当していると思ってたら、
handles some of the authentication "一部の" 認証も実行しているようです。
一方、こちらがHorizonAzureのNetoworkDiagram。
techzone.vmware.com
PodManager からKerberos(88)にも行っているし、
WorkspaceONE ComponentからADに行っているし。
個々の認証ってどこがやってるのかな?ってなるのですよね。
https://docs.vmware.com/en/VMware-Horizon-Cloud-Service/services/hzncloudmsazure.getstarted15/GUID-FE6A6C12-2A0A-4C2D-B578-F1D65475801A.html
さらに読み進めていくと、
Manager VM (PodManager)からKerberosには確実に行ってる。
Kerberos services. Target is the server that contains a domain controller role in an Active Directory configuration. Registering the pod with an Active Directory is a requirement.
シングルポッド構成の場合はPodManagerとWS1ComponentのRelationshipが必要。
In a single-pod-broker configured environment, this connection is used to create a trust relationship between the pod and the Workspace ONE Access service, where the Workspace ONE Access Connector is synched with the pod.
ーーー
Workspace ONE Access Architecture | VMware
こちらのドキュメントに戻ると、、
Deploying a Workspace ONE Access Connector provides the following capabilities:
・Workspace ONE Access Connector–based authentication methods such as username and password, certificate, RSA Adaptive Authentication, RSA SecurID, RADIUS, and Active Directory Kerberos authentication for internal users
最後のfor internal usersの意味合いが難しいのだけど、
https://docs.vmware.com/en/VMware-Workspace-ONE-Access/19.03/identitymanager-connector-win/GUID-DB8DE14F-E1C1-4D94-A7FC-DC4B0CC8DB75.html

「接続端末がEnterprise Network 内にいる」場合の話に見えるんですよね。
ま、いずれにしてもVIDMコネクタが認証しているように見えますね。
となると根拠はないが、WS1との統合がない場合とUniversalConnectorの時は
PodManagerからADへの通信を行っているが、SPB構成はコネクタ経由になる
、、、ってことだろうか。うーん、自信がないな…
中途半端ですが、今日はこの辺で。