WorkspaceONE Access と AD連携
こんにちは、Yos235です。
WorkspaceONE Access を使用してHorizon Azureに接続したい。
オンプレADとの認証って誰がやるんだろう?という疑問がでてきたので
確認してみた。
基本的な構成はこんな感じなのですが、
Table 2: Workspace ONE Access Components
Workspace ONE Access Connector
Responsible for directory synchronization and handles some of the authentication methods between on-premises resources such as Active Directory, VMware Horizon, Citrix, and the Workspace ONE Access service.
You deploy the connector by running the Windows-based installer.
VIDMコネクタは、ディレクトリSyncだけを担当していると思ってたら、
handles some of the authentication "一部の" 認証も実行しているようです。
一方、こちらがHorizonAzureのNetoworkDiagram。
PodManager からKerberos(88)にも行っているし、
WorkspaceONE ComponentからADに行っているし。
個々の認証ってどこがやってるのかな?ってなるのですよね。
さらに読み進めていくと、
Manager VM (PodManager)からKerberosには確実に行ってる。
Kerberos services. Target is the server that contains a domain controller role in an Active Directory configuration. Registering the pod with an Active Directory is a requirement.
シングルポッド構成の場合はPodManagerとWS1ComponentのRelationshipが必要。
In a single-pod-broker configured environment, this connection is used to create a trust relationship between the pod and the Workspace ONE Access service, where the Workspace ONE Access Connector is synched with the pod.
ーーー
Workspace ONE Access Architecture | VMware
こちらのドキュメントに戻ると、、
Deploying a Workspace ONE Access Connector provides the following capabilities:
・Workspace ONE Access Connector–based authentication methods such as username and password, certificate, RSA Adaptive Authentication, RSA SecurID, RADIUS, and Active Directory Kerberos authentication for internal users
最後のfor internal usersの意味合いが難しいのだけど、
「接続端末がEnterprise Network 内にいる」場合の話に見えるんですよね。
ま、いずれにしてもVIDMコネクタが認証しているように見えますね。
となると根拠はないが、WS1との統合がない場合とUniversalConnectorの時は
PodManagerからADへの通信を行っているが、SPB構成はコネクタ経由になる
、、、ってことだろうか。うーん、自信がないな…
中途半端ですが、今日はこの辺で。