Você pode implantar o Unified Access Gateway com o Horizon 8.
Pré-requisitos
Se você deseja configurar e ativar o Horizon e uma instância de proxy reverso da Web, como Workspace ONE Access, na mesma instância do Unified Access Gateway, consulte Configurações avançadas do serviço de borda.
Procedimento
- Na seção Configurar Manualmente da IU do administrador, clique em Selecionar.
- Em Configurações Gerais, ative a opção Configurações do Serviço de Borda.
- Clique no ícone de engrenagem Configurações do Horizon.
- Na página Configurações do Horizon, ative a opção Ativar o Horizon para ativar as configurações do Horizon.
- Defina os seguintes recursos de configurações do serviço de borda para o Horizon:
Opção
Descrição
Identificador
Definido por padrão para o Horizon. O Unified Access Gateway pode se comunicar com os servidores que usam o protocolo XML do Horizon, como o servidor de conexão do Horizon.
URL do servidor de conexão
Insira o endereço do servidor Horizon. Por exemplo, https://00.00.00.00.
Para manter a alta disponibilidade; certifique-se de ter pelo menos dois Unified Access Gateways e especifique diferentes Servidores de Conexão como destinos para a URL do Servidor de Conexão. O Unified Access Gateway é capaz de detectar se seu Servidor de Conexão de Destino não está respondendo e notifica o balanceador de carga externo de que não pode mais lidar com novas conexões.
Para obter mais informações, consulte Servidores de Conexão de Balanceamento de Carga no VMware Tech Zone.
Tamanho mínimo do hash SHA
Configure o algoritmo de hash de impressão digital mínimo com suporte para validações de certificado durante conexões do Horizon.O valor configurado é o valor mínimo de SHA usado na comunicação XML-API entre o Horizon Client, o Horizon Connection Server e o Unified Access Gateway.
Os valores de tamanho de hash SHA com suporte são:
SHA-1
,SHA-256
,SHA-384
eSHA-512
.O parâmetro Connection Server URL Thumbprint é configurado dependendo do tamanho mínimo do hash SHA selecionado. Para obter mais informações, consulte Impressões digitais de certificado com suporte para o Horizon Connection Server.Essa opção pode ser configurada durante a implantação do PowerShell adicionando o parâmetro minSHAHashSize na seção do [Horizon] no arquivo ini. Consulte Executar o script do PowerShell para implantar.
Observação: Se a configuração de minHashSize for diferente entre as configurações do Horizon e as configurações do sistema, o valor de minhashsize definido nas configurações do Horizon terá precedência.Miniatura da URL do servidor de conexão
Observação: Você deverá especificar uma impressão digital somente se o certificado do servidor SSL do servidor de conexão não for emitido por uma CA confiável. Por exemplo, um certificado autoassinado ou um certificado emitido por uma CA interna.Insira a lista de impressões digitais do servidor Horizon no formato de dígitos hexadecimais.
Uma impressão digital tem o formato[alg=]xx:xx
... em quealg
pode ser sha1, sha256 (valor padrão), sha384 e sha512 exx
são dígitos hexadecimais. O algoritmo de hash deve atender aos requisitos especificados para o tamanho mínimo de hash. Se várias impressões digitais forem adicionadas, elas deverão ser separadas por vírgulas. O separador pode ser um espaço, dois pontos (:) ou nenhum separador.Por exemplo, sha1=C3 89 A2 19 DC 7A 48 2B 85 1C 81 EC 5E 8F 6A 3C 33 F2 95 C3, sha256=ad:5c:f1:48:47:94:7e:80:82:73:13:6c:83:52:b:e:78:ed:ff:50:23:56:a8:42:8a:d9:30:fc:3a:33:d6:c6:db, sha512=2221B24DC78018A8FAFF81B7AD348722390793DE8C0E5E5AA1D622BCC951D4DA5DBB1C76C79A258A7AFBD1727447151C90E1733E7E83A7D1D46ADF1A31C78496.
As impressões digitais de certificado podem ser configuradas para validação de certificado para o certificado do servidor retornado na comunicação entre o Unified Access Gateway e o Horizon Connection Server.
Essa opção pode ser configurada durante a implantação do PowerShell adicionando o parâmetro proxyDestinationUrlThumbprints na seção do [Horizon] no arquivo ini. Consulte Executar o script do PowerShell para implantar.
Respeitar redirecionamento do Servidor de Conexão
Quando o agente do Horizon envia um código de resposta de redirecionamento HTTP 307, e a opção redirecionamento do servidor de conexão Respeitar redirecionamento do Servidor de Conexão está ativada, o Unified Access Gateway se comunica com a URL especificada no cabeçalho de localização de resposta 307 para as solicitações atuais e futuras na sessão.
Se a caixa de seleção Habilitar Redirecionamento de Host estiver marcada no Servidor de Conexão, certifique-se de ativar a opção Respeitar redirecionamento do Servidor de Conexão no Unified Access Gateway. Para obter mais informações, consulte Habilitar Redirecionamento de Host no Guia de Instalação e Upgrade do Horizon, em VMware Docs.
Ativar PCOIP
Ative essa opção para especificar se o PCoIP Secure Gateway será ativado.
Desativar Certificado do PCOIP Herdado
Ative essa opção para usar o certificado do servidor SSL carregado em vez do certificado Herdado. Os clientes PCoIP herdados não funcionarão se essa opção estiver ativada.
URL externa de PCOIP
A URL usada pelos clientes do Horizon para estabelecer a sessão PCoIP do Horizon a esse appliance do Unified Access Gateway. Ela deve conter um endereço IPv4 e não um nome de host. Por exemplo, 10.1.2.3:4172. O padrão é o endereço IP do Unified Access Gateway e a porta 4172.
Ativar Blast
Ative essa opção para usar o Blast Secure Gateway.
URL externa de Blast A URL usada pelos clientes do Horizon para estabelecer a sessão Blast ou BEAT do Horizon a esse appliance do Unified Access Gateway. Por exemplo, https://uag1.myco.com ou https://uag1.myco.com:443.
Se o número da porta TCP não for especificado, a porta TCP padrão será 8443. Se o número da porta UDP não for especificado, a porta UDP padrão será 8443.
Conexão Inversa de Blast Ativada
Ative essa opção para habilitar a Conexão Inversa de Blast.
Restrição: Essa opção é adicionada para um caso de uso futuro.Modo do IP do Servidor de Conexão
Indica o modo de IP de um Horizon Connection Server.
Esse campo pode ter os seguintes valores:
IPv4
,IPv6
eIPv4+IPv6
.O padrão é
IPv4
.-
Se todas as NICs no dispositivo do Unified Access Gateway estiverem no modo IPv4 (sem modo IPv6), esse campo poderá ter um dos seguintes valores:
IPv4
ouIPv4+IPv6
(modo misto). -
Se todas as NICs no dispositivo do Unified Access Gateway estiverem no modo IPv6 (sem modo IPv4), esse campo poderá ter um dos seguintes valores:
IPv6
ouIPv4+IPv6
(modo misto).
Modo de criptografia do cliente
Indica o modo de criptografia para comunicações entre o Horizon Client, o Unified Access Gateway e o Horizon Connection Server.
Os valores para essa opção são
DISABLED
,ALLOWED
eREQUIRED
. O valor padrão éALLOWED
.-
A opção
DISABLED
- Client Encryption Mode está desativada.Quando desativado, o comportamento existente continua. Nas versões do Unified Access Gateway anteriores à 2111, a comunicação não criptografada é permitida entre o Horizon Client, o Unified Access Gateway e o Horizon Connection Server.
-
ALLOWED
- Com o Horizon Client 2111 ou posterior, o Unified Access Gateway permite apenas a comunicação criptografada com o Horizon Client e o Horizon Connection Server.Com versões anteriores do Horizon Client, a comunicação não criptografada é permitida. Esse comportamento é semelhante a quando o recurso está desativado.
-
REQUIRED
- Somente a comunicação criptografada é permitida entre os três componentes.Observação: Se uma versão anterior do Horizon Client for usada nesse modo criptografado, a comunicação não criptografada falhará e o usuário final não poderá iniciar os desktops e os aplicativos do Horizon.
Ativar Assinatura XML
Indica o modo de assinatura XML. Os valores para essa opção sãoAUTO
,ON
eOFF
. Por padrão, a assinatura XML está desativada.Restrição: Essa opção é adicionada para um caso de uso futuro.Regravar o Cabeçalho de Origem
Se uma solicitação de entrada para o Unified Access Gateway tiver o cabeçalho Origin e a opção Regravar o Cabeçalho de Origem estiver ativada, o Unified Access Gateway regravará o cabeçalho Origin com a URL do Servidor de Conexão.
A opção Regravar o Cabeçalho de Origem funciona junto com a propriedade checkOrigin CORS do Horizon Connection Server. Quando esse campo está ativado, o administrador do Horizon pode ignorar a necessidade de especificar endereços IP do Unified Access Gateway no arquivo locked.properties.
Para obter informações sobre a Verificação de Origem, consulte a documentação do Horizon Security.
-
- Para configurar a regra do método de autenticação e outras configurações avançadas, clique em Mais.
Opção
Descrição
Métodos de autenticação
O padrão é utilizar a autenticação de passagem do nome de usuário e senha.
Há suporte para os seguintes métodos de autenticação:
Passthrough
,SAML
,SAML and Passthrough
,SAML and Unauthenticated
,SecurID
,SecurID and Unauthenticated
,X.509 Certificate
,X.509 Certificate and Passthrough
,Device X.509 Certificate and Passthrough
,RADIUS
,RADIUS and Unauthenticated
eX.509 Certificate or RADIUS
.Importante:Se você tiver escolhido qualquer um dos métodos
Unauthenticated
como o método de autenticação, certifique-se de configurar o Nível de Desaceleração de Login no Horizon Connection Server comoLow
. Essa configuração é necessária para evitar um longo atraso na hora do login para os endpoints enquanto acessa a área de trabalho ou o aplicativo remoto.Para obter mais informações sobre como configurar o Nível de Desaceleração do Login, consulte Configurar a Desaceleração de Login para acesso não autenticado a aplicativos publicados no Guia de Administração do Horizon em VMware Docs.
Ativar SSO do Windows
Essa opção pode ser ativada quando Métodos de Autenticação é definido como RADIUS e quando o código de acesso RADIUS é igual à senha do domínio do Windows.
Ative essa opção para usar o nome de usuário e a senha RADIUS para as credenciais de login do domínio do Windows a fim de evitar a necessidade de avisar o usuário novamente.
"O Horizon estiver configurado em um ambiente de vários domínios, se o nome de usuário fornecido não contiver um nome de domínio, o domínio não será enviado ao CS."
"O sufixo NameID estiver configurado, se o nome de usuário fornecido não contiver um nome de domínio, o valor de sufixo NameID configurado será anexado ao nome de usuário." Por exemplo, se um usuário tiver fornecido jdoe como o nome de usuário e NameIDSuffix tiver sido definido como @north.int, o Nome de Usuário enviado será [email protected].
Se o sufixo NameID estiver configurado e se o nome de usuário fornecido estiver no formato UPN, o sufixo NameID será ignorado. Por exemplo, se um usuário tiver fornecido [email protected], NameIDSuffix - @south.int, o Nome de Usuário será [email protected]
Se o nome de usuário fornecido estiver no formato <DomainName\username>, por exemplo, NORTH\jdoe, o Unified Access Gateway enviará o nome de usuário e o nome de domínio separadamente para o CS.
Atributos de Classe do RADIUS
Esse campo é ativado quando Métodos de Autenticação é definido como RADIUS. Clique em '+' para adicionar um valor para o atributo de classe. Insira o nome do atributo de classe a ser usado para autenticação de usuário. Clique em '-' para remover um atributo de classe.
Observação:Se esse campo for deixado em branco, a autorização adicional não será realizada.
Texto de Isenção de Responsabilidade
O texto da mensagem de isenção de responsabilidade do Horizon a ser mostrado para o usuário e aceito pelo usuário nos casos em que qualquer Método de Autenticação é configurado.
Aviso de dica do cartão inteligente
Ative essa opção a fim de ativar a dica de senha para autenticação de certificado.
Caminho de URI para verificação de integridade
O caminho de URI para o servidor de conexão com o qual o Unified Access Gateway se conecta, para monitoramento do status de integridade.
Ativar Servidor do UDP
As conexões são estabelecidas por meio do servidor do Túnel UDP se houver uma rede deficiente.
Quando o Horizon Client envia solicitações por meio do UDP, o Unified Access Gateway recebe o endereço IP de origem dessas solicitações como
127.0.0.1
. O Unified Access Gateway envia o mesmo endereço IP de origem para o Horizon Connection Server.Para garantir que o Servidor de Conexão receba o endereço IP de origem real da solicitação, você deve desativar essa opção (Ativar Servidor UDP) na UI do administrador do Unified Access Gateway.
Certificado de Proxy do Blast
Certificado de proxy para o Blast. Clique em Selecionar para carregar um certificado no formato PEM e adicionar ao armazenamento de confiança do BLAST. Clique em Alterar para substituir o certificado existente.
Se o usuário carregar manualmente o mesmo certificado para o Unified Access Gateway para o balanceador de carga e precisar usar um certificado diferente para o Unified Access Gateway e o Blast Gateway, o estabelecimento de uma sessão de área de trabalho do Blast falharia, pois a impressão digital entre o cliente e o Unified Access Gateway não corresponde. A entrada de impressão digital personalizada para o Unified Access Gateway ou Blast Gateway resolve isso ao retransmitir a impressão digital para estabelecer a sessão do cliente.
Valores de cabeçalho de host permitidos para Blast
Digite um endereço IP ou um nome de host
Ao especificar um valor de cabeçalho de host, o BSG (Blast Secure Gateway) permite apenas as solicitações que contêm o valor de cabeçalho de host especificado.
Uma lista de valores separados por vírgula no formato
host[:port]
pode ser especificada. O valor pode ser um endereço IP, nome do host ou um nome FQDN.O cabeçalho do host na solicitação de conexão da porta Blast TCP 8443 para o Blast Secure Gateway deve corresponder a um dos valores fornecidos no campo.
Para permitir uma solicitação que não tenha nome de host ou endereço IP no cabeçalho do host, use
_empty_
.Se nenhum valor for especificado, qualquer cabeçalho de host enviado pelo Horizon Client será aceito.
Ativar túnel
Se o túnel seguro do Horizon for usado, ative essa opção. O client utiliza a URL externa para conexões de túnel através do Gateway seguro do Horizon. O túnel é utilizado para tráfego RDP, USB e de redirecionamento de multimídia (multimedia redirection, MMR).
URL externa do túnel
A URL usada pelos clientes do Horizon para estabelecer a sessão do Horizon Tunnel com esse appliance do Unified Access Gateway. Por exemplo, https://uag1.myco.com ou https://uag1.myco.com:443.
Se o número da porta TCP não for especificado, a porta TCP padrão será 443.
Certificado de Proxy do Tunnel
Certificado de proxy do Horizon Tunnel. Clique em Selecionar para carregar um certificado no formato PEM e adicionar ao armazenamento de confiança do Tunnel. Clique em Alterar para substituir o certificado existente.
Se o usuário carregasse manualmente o mesmo certificado para o Unified Access Gateway para o balanceador de carga e precisar usar um certificado diferente para o Unified Access Gateway e o Horizon Tunnel, o estabelecimento de uma sessão do Tunnel falharia, pois a impressão digital entre o cliente e o Unified Access Gateway não seria correspondente. A entrada de impressão digital personalizada para o Unified Access Gateway ou o Horizon Tunnel resolve isso ao retransmitir a impressão digital para estabelecer a sessão do cliente.
Provedor de verificação de conformidade de endpoint
Selecione o provedor de verificação de conformidade de endpoint.
O padrão é
None
.Observação:Só é possível ver as opções disponíveis para seleção quando as configurações do provedor de verificação de conformidade estão configuradas na UI do administrador. Para obter mais informações sobre os provedores de verificação de conformidade de endpoint e suas configurações, consulte Verificações de conformidade de endpoint para o Horizon.
Verificação de Conformidade na Autenticação
Opção para desativar ou ativar a verificação de conformidade de endpoint na autenticação do usuário.
A conformidade sempre é verificada quando um usuário inicia uma sessão de área de trabalho ou de aplicativo. Quando essa opção está ativada, a conformidade também é verificada após a autenticação bem-sucedida do usuário. Se essa opção estiver ativada e a verificação de conformidade falhar no momento da autenticação, a sessão do usuário não continuará.
Se a opção estiver desativada, o Unified Access Gateway só verificará a conformidade quando um usuário iniciar uma sessão de área de trabalho ou de aplicativo.
Essa opção está disponível somente quando um provedor de verificação de conformidade de endpoint é selecionado. Por padrão, essa opção está ativada.
Atenção:Se você tiver configurado a opção Atraso Inicial da Verificação de Conformidade na página Configurações do Provedor de Verificação de Conformidade de Endpoint, a opção Verificação de Conformidade na Autenticação será desativada automaticamente. O Unified Access Gateway não verifica a conformidade na autenticação. Para obter mais informações sobre o intervalo de tempo e o comportamento do Unified Access Gateway quando esse intervalo de tempo é configurado, consulte Intervalo de tempo para atrasar a verificação de conformidade.
Essa opção também está presente como um parâmetro na seção [Horizon] do arquivo .ini e pode ser configurada durante a implantação usando o PowerShell. Para o nome do parâmetro, consulte Executar o script do PowerShell para implantar.
Padrão de proxy
Insira a expressão regular que corresponde aos URLs que estão relacionados à URL do servidor Horizon (proxyDestinationUrl). Ela tem um valor padrão de
(/|/view-client(.*)|/portal(.*)|/appblast(.*))
.Observação:O padrão também pode ser usado para excluir determinadas URLs. Por exemplo, para permitir todas as URLs, mas bloquear /admin, você pode usar a expressão a seguir.
^/(?!admin(.*))(.*)
SAML SP
Insira o nome do provedor de serviços SAML para o agente XMLAPI do Horizon. Esse nome deve corresponder ao nome de um metadado de um provedor de serviços configurado ou ser o valor especial DEMO.
Ativar correspondência canônica do padrão de proxy
Ative essa opção para ativar a correspondência canônica do Horizon. O Unified Access Gateway executa o equivalente ao
C RealPath()
para normalizar as sequências de caracteres de conversão de URL, como%2E
, e remover as sequências do..
para criar um caminho absoluto. A verificação de padrão de proxy é aplicada ao caminho absoluto.Por padrão, essa opção está ativada para serviços de borda do Horizon.
Observação:Por padrão, essa opção está desativada para os serviços de Proxy Reverso da Web.
Fazer Logout da Remoção do Certificado
Observação:Essa opção está disponível quando qualquer um dos métodos de autenticação de cartão inteligente é selecionado como um Método de Autenticação.
Se essa opção estiver ativada e o cartão inteligente for removido, o usuário final será forçado a fazer logout de uma sessão do Unified Access Gateway.
Rótulo de nome de usuário para RADIUS
Insira o texto para personalizar o rótulo de nome de usuário no Horizon Client. Por exemplo,
Domain Username
O método de autenticação RADIUS deve ser ativado. Para ativar o RADIUS, consulte Configurar a autenticação RADIUS.
O nome do rótulo padrão é
Username
.O comprimento máximo do nome do rótulo é de 20 caracteres.
Rótulo de código de acesso para RADIUS
Insira um nome para personalizar o rótulo de código de acesso no Horizon Client. Por exemplo,
Password
O método de autenticação RADIUS deve ser ativado. Para ativar o RADIUS, consulte Configurar a autenticação RADIUS.
O nome do rótulo padrão é
Passcode
.O comprimento máximo do nome do rótulo é de 20 caracteres.
Corresponder nome do usuário do Windows
Ative essa opção para corresponder o RSA SecurID ao nome de usuário do Windows. Quando ativada, securID-auth é definido como true e a correspondência do securID ao nome de usuário do Windows é aplicada.
Se o Horizon estiver configurado em um ambiente de vários domínios, se o nome de usuário fornecido não contiver um nome de domínio, o domínio não será enviado ao CS.
Se o sufixo NameID estiver configurado e se o nome de usuário fornecido não contiver um nome de domínio, o valor de sufixo NameID configurado será anexado ao nome de usuário. Por exemplo, se um usuário tiver fornecido jdoe como o nome de usuário e NameIDSuffix tiver sido definido como @north.int, o Nome de Usuário enviado será [email protected].
Se o sufixo NameID estiver configurado e se o nome de usuário fornecido estiver no formato UPN, o sufixo NameID será ignorado. Por exemplo, se um usuário forneceu [email protected], NameIDSuffix - @south.int, o Nome de Usuário seria [email protected]
Se o nome de usuário fornecido estiver no formato <DomainName\username>, por exemplo, NORTH\jdoe, o Unified Access Gateway enviará o nome de usuário e o nome de domínio separadamente para o CS.
Observação:No Horizon 7, se você habilitar Ocultar informações do servidor na interface do usuário do cliente e Ocultar lista de domínio nas configurações da interface de usuário do cliente e selecionar a autenticação de dois fatores (RSA SecureID ou RADIUS) para a instância do servidor de conexão, não aplique a correspondência de nome de usuário do Windows. Aplicar a correspondência de nome de usuário do Windows impede que os usuários insiram as informações de domínio na caixa de texto nome de usuário e o login sempre falhará. Para obter mais informações, consulte os tópicos sobre a autenticação de dois fatores no documento de administração do Horizon 7.
Localização do gateway
O local de onde a solicitação de conexão se origina. O servidor de segurança e o Unified Access Gateway definem a localização do gateway. O local pode ser
External
ouInternal
.Importante:O local deve ser definido como
Internal
quando qualquer um dos seguintes métodos de autenticação é selecionado:SAML and Unauthenticated
,SecurID and Unauthenticated
ouRADIUS and Unauthenticated
.Mostrar mensagem de Pré-login do Servidor de Conexão Ative essa opção para mostrar ao usuário qualquer mensagem de pré-login do servidor de conexão configurada no servidor de conexão durante os fluxos de protocolo primário de XML-API. Por padrão, essa opção está ativada para serviços de borda do Horizon. Quando essa opção está desativada, o usuário não vê a mensagem de pré-login configurada no servidor de conexão.
Produtor JWT
Selecione um produtor JWT configurado no menu suspenso.
Observação: Verifique se o campo Nome está configurado na seção Configurações do Produto JWT das Configurações Avançadas.Públicos JWT
Lista opcional de destinatários pretendidos do JWT usados para a validação de Artefato SAML do Horizon do Workspace ONE Access.
Para que a validação de JWT seja bem-sucedida, pelo menos um dos destinatários nesta lista deve corresponder a um dos públicos especificados na configuração do Horizon do Workspace ONE Access. Se nenhum Público JWT for especificado, a validação do JWT não considerará os públicos.
Consumidor JWT
Selecione o nome de consumidor JWT de uma das configurações JWT definidas.
Observação: Para a validação de artefato SAML do JWT do Workspace ONE Access, certifique-se de que o campo Nome esteja configurado na seção Configurações de Consumidor JWT das Configurações Avançadas.Certificados confiáveis
Para selecionar um certificado no formato PEM e adicionar ao armazenamento de confiança, clique em +.
Para fornecer um nome diferente, edite a caixa de texto do alias.
Por padrão, o nome do alias é o nome do arquivo do certificado PEM.
Para remover um certificado do armazenamento de confiança, clique em -.
Cabeçalhos de Segurança de Resposta
Para adicionar um cabeçalho, clique em + . Digite o nome do cabeçalho de segurança. Digite o valor.
Para remover um cabeçalho, clique em . Edite um cabeçalho de segurança existente para atualizar o nome e o valor do cabeçalho.
Importante:Os nomes e valores do cabeçalho só são salvos após você clicar em Salvar. Alguns cabeçalhos de segurança padrão estão presentes por padrão. Os cabeçalhos configurados serão adicionados à resposta do Unified Access Gateway ao cliente somente se os cabeçalhos correspondentes estiverem ausentes na resposta do servidor de back-end configurado.
Observação:Modifique os cabeçalhos de resposta de segurança com cuidado. Modificar esses parâmetros pode afetar o funcionamento seguro do Unified Access Gateway.
Executáveis Personalizados do Cliente
Essa caixa suspensa lista os executáveis personalizados que são configurados no Unified Access Gateway.
Executáveis personalizados são configurados como parte das configurações avançadas. Um executável pode ser configurado para mais de um tipo de sistema operacional. Se o executável for adicionado às configurações do Horizon, todos os tipos de SO do executável também serão incluídos. O executável fica disponível para que o Horizon Client baixe e execute no dispositivo do endpoint após a autenticação bem-sucedida do usuário.
Para obter informações sobre como configurar executáveis personalizados, consulte Executáveis personalizados do cliente.
Mapeamentos de redirecionamento de porta de host
Para obter informações sobre como o Unified Access Gateway é compatível com o recurso de Redirecionamento de Host HTTP e determinadas considerações necessárias para usar esse recurso, consulte Suporte do Unified Access Gateway ao Redirecionamento de Host HTTP.
Observação:O Host de Origem e o Host de Redirecionamento oferecem suporte à porta opcional, separada por dois-pontos. O número da porta padrão é
443
.Host de Origem: Porta
Insira o nome do host da origem (valor do cabeçalho do host).
Host de Redirecionamento: Porta
Insira o nome do host do dispositivo individual do Unified Access Gateway cuja afinidade deve ser mantida com o Horizon Client.
Entradas de host
Insira os detalhes a serem adicionados no arquivo /etc/hosts. Cada entrada deve incluir um IP, um nome de host e um pseudônimo de nome de host opcional nesta ordem, separados por um espaço. Por exemplo, 10.192.168.1 example1.com, 10.192.168.2 example2.com example-alias. Clique no sinal de " +" para adicionar várias entradas de host.
Importante:As entradas de host são salvas somente depois que você clicar em Salvar.
Públicos-Alvo de SAML
Certifique-se de que o método de autenticação SAML ou SAML e Passagem seja escolhido.
Insira a URL do público-alvo.
Observação:Se a caixa de texto for deixada vazia, os públicos-alvo não serão restritos.
Para compreender como o Unified Access Gateway oferece suporte a Públicos-Alvo de SAML, consulte Públicos-Alvo de SAML.
Atributo de Nome de Usuário Não Autenticado SAML
Digite o nome do atributo personalizado
Observação:Este campo estará disponível somente quando o valor dos Métodos de Autenticação for
SAML and Unauthenticated
.Quando o Unified Access Gateway valida a asserção SAML, se o nome do atributo especificado nesse campo estiver presente na asserção, o Unified Access Gateway fornecerá acesso não autenticado ao nome de usuário configurado para o atributo no Provedor de Identidade.
Para obter mais informações sobre o método
SAML and Unauthenticated
, consulte Métodos de autenticação para o Unified Access Gateway e a integração do provedor de identidade de terceiros.Nome de Usuário Não Autenticado Padrão
Insira o nome de usuário padrão que deve ser usado para acesso não autenticado
Esse campo está disponível na IU do Administrador quando um dos seguintes Métodos de Autenticação está selecionado:
SAML and Unauthenticated
,SecurID and Unauthenticated
eRADIUS and Unauthenticated
.Observação:Para o método de autenticação
SAML and Unauthenticated
, o nome de usuário padrão para acesso não autenticado é usado somente quando o campo Atributo de Nome de Usuário Não Autenticado SAML está vazio ou o nome de atributo especificado nesse campo está ausente na asserção SAML.Desativar HTML Access
Se essa opção estiver ativada, o acesso à Web ao Horizon será desativado. Consulte Configurar o OPSWAT como o provedor de verificação de conformidade de endpoint para Horizon para obter mais detalhes.
- (Opcional) Configure a lista de recursos do BSG usando a importação JSON na IU do administrador ou o arquivo de configuração INI por meio da implantação do PowerShell.
Há suporte para dois tipos de listas.
- Lista de recursos padrão: contém a seguinte lista de recursos padrão.
Nome amigável Nome de Recurso Padrão Redirecionamento da área de transferência MKSCchan
Redirecionamento HTML5/Geolocalização html5mmr
RdeServer VMwareRde;UNITY_UPDATE_CHA
TSMMR tsmmr
Redirecionamento de porta serial/Scanner NLR3hv;NLW3hv
Redirecionamento de impressora PrintRedir
CDR tsdr
Redirecionamento USB UsbRedirection
Redirecionamento de Unidade de Armazenamento SDRTrans
Telemetria TlmStat TlmStat
Exibir Scanner VMWscan
Redirecionamento FIDO2 fido2
- Lista de recursos personalizados: texto livre que pode conter vários recursos. Oferece suporte a caracteres especiais e não ingleses.
Observação:Esse recurso é aplicável apenas em agentes do Windows Horizon. Por padrão, a lista de recursos BSG não está configurada, e todos os recursos de Experiência Remota são permitidos. Se a lista de recursos BSG estiver configurada, apenas os recursos de experiência remota especificados na lista serão permitidos, e todos os outros recursos serão bloqueados.
Use um dos seguintes métodos para configurar a lista de recursos BSG.
Opção Descrição Arquivo INI Adicione a configuração a seguir à configuração
[Horizon/Blast]
.standardFeature1=PrintRedir standardFeature2=UsbRedirection customFeature1=acme_desktop1 customFeature2=acme_desktop2
Arquivo JSON Abra o arquivo JSON existente e adicione o novo nó blastSettings semelhante ao exemplo a seguir.
“blastExternalUrl”: “https://example.com/”, “blastSettings”: { “blastStandardFeatures”: [ “PrintRedir”, “UsbRedirection” ], “blastCustomFeatures”: [ “acme_desktop1”, “acme_desktop2” ] },
- Lista de recursos padrão: contém a seguinte lista de recursos padrão.
- Clique em Salvar.