Você pode implementar o Access Point com o Horizon View e o Modo Híbrido do Horizon Air. Para o componente View do VMware Horizon, os appliances do Access Point cumprem a mesma função que foi anteriormente desempenhada pelos servidores de segurança do View.

Cenário de implementação

O Access Point fornece acesso remoto seguro a áreas de trabalho e aplicativos virtuais no local em um centro de dados do cliente. Isso funciona com uma implementação local do Horizon View ou Horizon Air Hybrid-Mode para o gerenciamento unificado.

O Access Point fornece à empresa uma garantia de preservação da identidade do usuário e controla de forma precisa o acesso às áreas de trabalho e aplicativos autorizados.

Os appliances virtuais do Access Point são implementados, geralmente, em uma zona desmilitarizada (DMZ) da rede. A implementação na DMZ assegura que todo o tráfego entrando no centro de dados para os recursos da área de trabalho e do aplicativo é tráfego em nome de um usuário fortemente autenticado. Os appliances virtuais do Access Point também garantem que o tráfego de um usuário autenticado possa ser direcionado somente para os recursos da área de trabalho e de aplicativos para os quais o usuário estiver autorizado. Esse nível de proteção envolve a inspeção específica de protocolos de área de trabalho e a coordenação de potenciais endereços de rede e políticas de mudança rápida para controlar o acesso de maneira precisa.

Você deve verificar os requisitos para a implementação contínua do Access Point com o Horizon.

  • Se o appliance do Access Point apontar para um balanceador de carga na parte frontal dos servidores Horizon, a seleção da instância do servidor será dinâmica.

  • O Access Point substitui o servidor de segurança Horizon.

  • A Porta 443 deve estar disponível para Blast TCP/UDP.

  • O Gateway seguro Blast e o Gateway seguro PCoIP devem ser habilitados quando o Access Point estiver implementado com o Horizon. Isso garante que os protocolos de exibição possam servir como proxies automaticamente por meio do Access Point. As configurações do BlastExternalURL e pcoipExternalURL especificam endereços de conexão usados pelos clientes do Horizon para encaminhar essas conexões de protocolo de exibição por meio dos gateways apropriados no Access Point. Isso oferece uma segurança melhorada, tendo em vista que esses gateways garantem que o tráfego do protocolo de exibição seja controlado em nome de um usuário autenticado. O tráfego do protocolo de exibição não autorizado é desconsiderado pelo Access Point.

  • Desabilite os gateways seguros nas instâncias do Servidor de Conexão do View e habilite estes gateways nos appliances do Access Point.

A principal diferença do servidor de segurança do View é que o Access Point apresenta-se como segue.

  • Implementação segura. O Access Point é implementado como uma máquina virtual pré-configurada, protegida e bloqueada, baseada em Linux.

  • Escalável. Você pode conectar o Access Point com um Servidor de Conexão do View individual, ou você pode conectá-lo por meio de um balanceador de carga na frente de vários Servidores de Conexão do View, oferecendo alta disponibilidade aprimorada. Ele age como uma camada entre o Horizon Clients e os Servidores de Conexão do View de back-end. Como a implementação é rápida, ele pode rapidamente ser ampliado ou reduzido para atender as demandas de empresas em constante mudança.

Figura 1. Appliance do Access Point apontando para um balanceador de carga

De modo alternativo, é possível ter um ou mais appliances do Access Point apontando para uma instância do servidor individual. Em ambas as abordagens, utilize um balanceador de carga na frente de dois ou mais appliances do Access Point no DMZ.

Figura 2. Appliance do Access Point apontando para uma instância do servidor Horizon

Autenticação

A autenticação do usuário é muito similar ao servidor de segurança View. Os métodos compatíveis de autenticação do usuário no Access Point incluem o seguinte.

  • O nome de usuário e a senha do Active Directory

  • Modo Kiosk. Para obter mais detalhes sobre o modo Kiosk, consulte a documentação do Horizon.

  • Autenticação de dois fatores do RSA SecurID, formalmente certificada pela RSA para SecurID

  • RADIUS por meio de várias soluções de fornecedores de segurança de dois fatores e de terceiros

  • Cartão inteligente, CAC ou certificados de usuário PIV X.509

  • SAML

Esses métodos de autenticação são compatíveis em combinação com o Servidor de Conexão do View. Não é obrigatório que o Access Point tenha comunicação direta com o Active Directory. Essa comunicação serve como um proxy por meio do Servidor de Conexão do View, que pode acessar diretamente o Active Directory. Após a sessão do usuário ser autenticada de acordo com a política de autenticação, o Access Point pode encaminhar as solicitações para informações de qualificação, e a área de trabalho e o aplicativo iniciam solicitações para o Servidor de Conexão do View. O Access Point também gerencia a área de trabalho e os manipuladores do protocolo de aplicação para permitir que encaminhem somente tráfego de protocolo autorizado.

O Access Point manipula sozinho a autenticação do cartão inteligente. Isso inclui opções para que o Access Point se comunique com os servidores do Protocolo de Status do Certificado On-Line (OCSP) e para verificar a revogação do certificado X.509, e assim por diante.