Definido por padrão para o Horizon. O Unified Access Gateway pode se comunicar com os servidores que usam o protocolo XML do Horizon, como o servidor de conexão do Horizon.

Insira o endereço do servidor Horizon. Por exemplo, https://00.00.00.00.

Para manter a alta disponibilidade; certifique-se de ter pelo menos dois Unified Access Gateways e especifique diferentes Servidores de Conexão como destinos para a URL do Servidor de Conexão. O Unified Access Gateway é capaz de detectar se seu Servidor de Conexão de Destino não está respondendo e notifica o balanceador de carga externo de que não pode mais lidar com novas conexões.

Para obter mais informações, consulte Servidores de Conexão de Balanceamento de Carga no VMware Tech Zone.

O valor configurado é o valor mínimo de SHA usado na comunicação XML-API entre o Horizon Client, o Horizon Connection Server e o Unified Access Gateway.

Os valores de tamanho de hash SHA com suporte são: SHA-1, SHA-256, SHA-384 e SHA-512.

Essa opção pode ser configurada durante a implantação do PowerShell adicionando o parâmetro minSHAHashSize na seção do [Horizon] no arquivo ini. Consulte Executar o script do PowerShell para implantar.

Insira a lista de impressões digitais do servidor Horizon no formato de dígitos hexadecimais.

Por exemplo, sha1=C3 89 A2 19 DC 7A 48 2B 85 1C 81 EC 5E 8F 6A 3C 33 F2 95 C3, sha256=ad:5c:f1:48:47:94:7e:80:82:73:13:6c:83:52:b:e:78:ed:ff:50:23:56:a8:42:8a:d9:30:fc:3a:33:d6:c6:db, sha512=2221B24DC78018A8FAFF81B7AD348722390793DE8C0E5E5AA1D622BCC951D4DA5DBB1C76C79A258A7AFBD1727447151C90E1733E7E83A7D1D46ADF1A31C78496.

As impressões digitais de certificado podem ser configuradas para validação de certificado para o certificado do servidor retornado na comunicação entre o Unified Access Gateway e o Horizon Connection Server.

Essa opção pode ser configurada durante a implantação do PowerShell adicionando o parâmetro proxyDestinationUrlThumbprints na seção do [Horizon] no arquivo ini. Consulte Executar o script do PowerShell para implantar.

Quando o agente do Horizon envia um código de resposta de redirecionamento HTTP 307, e a opção redirecionamento do servidor de conexão Respeitar redirecionamento do Servidor de Conexão está ativada, o Unified Access Gateway se comunica com a URL especificada no cabeçalho de localização de resposta 307 para as solicitações atuais e futuras na sessão.

Se a caixa de seleção Habilitar Redirecionamento de Host estiver marcada no Servidor de Conexão, certifique-se de ativar a opção Respeitar redirecionamento do Servidor de Conexão no Unified Access Gateway. Para obter mais informações, consulte Habilitar Redirecionamento de Host no Guia de Instalação e Upgrade do Horizon, em VMware Docs.

Ative essa opção para especificar se o PCoIP Secure Gateway será ativado.

Ative essa opção para usar o certificado do servidor SSL carregado em vez do certificado Herdado. Os clientes PCoIP herdados não funcionarão se essa opção estiver ativada.

A URL usada pelos clientes do Horizon para estabelecer a sessão PCoIP do Horizon a esse appliance do Unified Access Gateway. Ela deve conter um endereço IPv4 e não um nome de host. Por exemplo, 10.1.2.3:4172. O padrão é o endereço IP do Unified Access Gateway e a porta 4172.

Ative essa opção para usar o Blast Secure Gateway.

A URL usada pelos clientes do Horizon para estabelecer a sessão Blast ou BEAT do Horizon a esse appliance do Unified Access Gateway. Por exemplo, https://uag1.myco.com ou https://uag1.myco.com:443.

Se o número da porta TCP não for especificado, a porta TCP padrão será 8443. Se o número da porta UDP não for especificado, a porta UDP padrão será 8443.

Ative essa opção para habilitar a Conexão Inversa de Blast.

Indica o modo de IP de um Horizon Connection Server.

Esse campo pode ter os seguintes valores: IPv4, IPv6 e IPv4+IPv6.

O padrão é IPv4.

• Se todas as NICs no dispositivo do Unified Access Gateway estiverem no modo IPv4 (sem modo IPv6), esse campo poderá ter um dos seguintes valores: IPv4 ou IPv4+IPv6 (modo misto).

• Se todas as NICs no dispositivo do Unified Access Gateway estiverem no modo IPv6 (sem modo IPv4), esse campo poderá ter um dos seguintes valores: IPv6 ou IPv4+IPv6 (modo misto).

Indica o modo de criptografia para comunicações entre o Horizon Client, o Unified Access Gateway e o Horizon Connection Server.

Os valores para essa opção são DISABLED, ALLOWED e REQUIRED. O valor padrão é ALLOWED.

• A opção DISABLED - Client Encryption Mode está desativada.

  Quando desativado, o comportamento existente continua. Nas versões do Unified Access Gateway anteriores à 2111, a comunicação não criptografada é permitida entre o Horizon Client, o Unified Access Gateway e o Horizon Connection Server.

• ALLOWED - Com o Horizon Client 2111 ou posterior, o Unified Access Gateway permite apenas a comunicação criptografada com o Horizon Client e o Horizon Connection Server.

  Com versões anteriores do Horizon Client, a comunicação não criptografada é permitida. Esse comportamento é semelhante a quando o recurso está desativado.

• REQUIRED - Somente a comunicação criptografada é permitida entre os três componentes.

  Observação: Se uma versão anterior do Horizon Client for usada nesse modo criptografado, a comunicação não criptografada falhará e o usuário final não poderá iniciar os desktops e os aplicativos do Horizon.

Se uma solicitação de entrada para o Unified Access Gateway tiver o cabeçalho Origin e a opção Regravar o Cabeçalho de Origem estiver ativada, o Unified Access Gateway regravará o cabeçalho Origin com a URL do Servidor de Conexão.

A opção Regravar o Cabeçalho de Origem funciona junto com a propriedade checkOrigin CORS do Horizon Connection Server. Quando esse campo está ativado, o administrador do Horizon pode ignorar a necessidade de especificar endereços IP do Unified Access Gateway no arquivo locked.properties.

Para obter informações sobre a Verificação de Origem, consulte a documentação do Horizon Security.

O padrão é utilizar a autenticação de passagem do nome de usuário e senha.

Há suporte para os seguintes métodos de autenticação: Passthrough, SAML, SAML and Passthrough, SAML and Unauthenticated, SecurID, SecurID and Unauthenticated, X.509 Certificate, X.509 Certificate and Passthrough, Device X.509 Certificate and Passthrough, RADIUS, RADIUS and Unauthenticated e X.509 Certificate or RADIUS.

Essa opção pode ser ativada quando Métodos de Autenticação é definido como RADIUS e quando o código de acesso RADIUS é igual à senha do domínio do Windows.

Ative essa opção para usar o nome de usuário e a senha RADIUS para as credenciais de login do domínio do Windows a fim de evitar a necessidade de avisar o usuário novamente.

"O Horizon estiver configurado em um ambiente de vários domínios, se o nome de usuário fornecido não contiver um nome de domínio, o domínio não será enviado ao CS."

"O sufixo NameID estiver configurado, se o nome de usuário fornecido não contiver um nome de domínio, o valor de sufixo NameID configurado será anexado ao nome de usuário." Por exemplo, se um usuário tiver fornecido jdoe como o nome de usuário e NameIDSuffix tiver sido definido como @north.int, o Nome de Usuário enviado será [email protected].

Se o sufixo NameID estiver configurado e se o nome de usuário fornecido estiver no formato UPN, o sufixo NameID será ignorado. Por exemplo, se um usuário tiver fornecido [email protected], NameIDSuffix - @south.int, o Nome de Usuário será [email protected]

Se o nome de usuário fornecido estiver no formato <DomainName\username>, por exemplo, NORTH\jdoe, o Unified Access Gateway enviará o nome de usuário e o nome de domínio separadamente para o CS.

Esse campo é ativado quando Métodos de Autenticação é definido como RADIUS. Clique em '+' para adicionar um valor para o atributo de classe. Insira o nome do atributo de classe a ser usado para autenticação de usuário. Clique em '-' para remover um atributo de classe.

O texto da mensagem de isenção de responsabilidade do Horizon a ser mostrado para o usuário e aceito pelo usuário nos casos em que qualquer Método de Autenticação é configurado.

Ative essa opção a fim de ativar a dica de senha para autenticação de certificado.

O caminho de URI para o servidor de conexão com o qual o Unified Access Gateway se conecta, para monitoramento do status de integridade.

As conexões são estabelecidas por meio do servidor do Túnel UDP se houver uma rede deficiente.

Quando o Horizon Client envia solicitações por meio do UDP, o Unified Access Gateway recebe o endereço IP de origem dessas solicitações como 127.0.0.1. O Unified Access Gateway envia o mesmo endereço IP de origem para o Horizon Connection Server.

Para garantir que o Servidor de Conexão receba o endereço IP de origem real da solicitação, você deve desativar essa opção (Ativar Servidor UDP) na UI do administrador do Unified Access Gateway.

Certificado de proxy para o Blast. Clique em Selecionar para carregar um certificado no formato PEM e adicionar ao armazenamento de confiança do BLAST. Clique em Alterar para substituir o certificado existente.

Se o usuário carregar manualmente o mesmo certificado para o Unified Access Gateway para o balanceador de carga e precisar usar um certificado diferente para o Unified Access Gateway e o Blast Gateway, o estabelecimento de uma sessão de área de trabalho do Blast falharia, pois a impressão digital entre o cliente e o Unified Access Gateway não corresponde. A entrada de impressão digital personalizada para o Unified Access Gateway ou Blast Gateway resolve isso ao retransmitir a impressão digital para estabelecer a sessão do cliente.

Digite um endereço IP ou um nome de host

Ao especificar um valor de cabeçalho de host, o BSG (Blast Secure Gateway) permite apenas as solicitações que contêm o valor de cabeçalho de host especificado.

Uma lista de valores separados por vírgula no formato host[:port] pode ser especificada. O valor pode ser um endereço IP, nome do host ou um nome FQDN.

O cabeçalho do host na solicitação de conexão da porta Blast TCP 8443 para o Blast Secure Gateway deve corresponder a um dos valores fornecidos no campo.

Para permitir uma solicitação que não tenha nome de host ou endereço IP no cabeçalho do host, use _empty_.

Se nenhum valor for especificado, qualquer cabeçalho de host enviado pelo Horizon Client será aceito.

Se o túnel seguro do Horizon for usado, ative essa opção. O client utiliza a URL externa para conexões de túnel através do Gateway seguro do Horizon. O túnel é utilizado para tráfego RDP, USB e de redirecionamento de multimídia (multimedia redirection, MMR).

A URL usada pelos clientes do Horizon para estabelecer a sessão do Horizon Tunnel com esse appliance do Unified Access Gateway. Por exemplo, https://uag1.myco.com ou https://uag1.myco.com:443.

Se o número da porta TCP não for especificado, a porta TCP padrão será 443.

Certificado de proxy do Horizon Tunnel. Clique em Selecionar para carregar um certificado no formato PEM e adicionar ao armazenamento de confiança do Tunnel. Clique em Alterar para substituir o certificado existente.

Se o usuário carregasse manualmente o mesmo certificado para o Unified Access Gateway para o balanceador de carga e precisar usar um certificado diferente para o Unified Access Gateway e o Horizon Tunnel, o estabelecimento de uma sessão do Tunnel falharia, pois a impressão digital entre o cliente e o Unified Access Gateway não seria correspondente. A entrada de impressão digital personalizada para o Unified Access Gateway ou o Horizon Tunnel resolve isso ao retransmitir a impressão digital para estabelecer a sessão do cliente.

Selecione o provedor de verificação de conformidade de endpoint.

O padrão é None.

Opção para desativar ou ativar a verificação de conformidade de endpoint na autenticação do usuário.

A conformidade sempre é verificada quando um usuário inicia uma sessão de área de trabalho ou de aplicativo. Quando essa opção está ativada, a conformidade também é verificada após a autenticação bem-sucedida do usuário. Se essa opção estiver ativada e a verificação de conformidade falhar no momento da autenticação, a sessão do usuário não continuará.

Se a opção estiver desativada, o Unified Access Gateway só verificará a conformidade quando um usuário iniciar uma sessão de área de trabalho ou de aplicativo.

Essa opção está disponível somente quando um provedor de verificação de conformidade de endpoint é selecionado. Por padrão, essa opção está ativada.

Essa opção também está presente como um parâmetro na seção [Horizon] do arquivo .ini e pode ser configurada durante a implantação usando o PowerShell. Para o nome do parâmetro, consulte Executar o script do PowerShell para implantar.

Insira a expressão regular que corresponde aos URLs que estão relacionados à URL do servidor Horizon (proxyDestinationUrl). Ela tem um valor padrão de (/|/view-client(.*)|/portal(.*)|/appblast(.*)).

Insira o nome do provedor de serviços SAML para o agente XMLAPI do Horizon. Esse nome deve corresponder ao nome de um metadado de um provedor de serviços configurado ou ser o valor especial DEMO.

Ative essa opção para ativar a correspondência canônica do Horizon. O Unified Access Gateway executa o equivalente ao C RealPath() para normalizar as sequências de caracteres de conversão de URL, como %2E, e remover as sequências do .. para criar um caminho absoluto. A verificação de padrão de proxy é aplicada ao caminho absoluto.

Por padrão, essa opção está ativada para serviços de borda do Horizon.

Se essa opção estiver ativada e o cartão inteligente for removido, o usuário final será forçado a fazer logout de uma sessão do Unified Access Gateway.

Insira o texto para personalizar o rótulo de nome de usuário no Horizon Client. Por exemplo, Domain Username

O método de autenticação RADIUS deve ser ativado. Para ativar o RADIUS, consulte Configurar a autenticação RADIUS.

O nome do rótulo padrão é Username.

O comprimento máximo do nome do rótulo é de 20 caracteres.

Insira um nome para personalizar o rótulo de código de acesso no Horizon Client. Por exemplo, Password

O método de autenticação RADIUS deve ser ativado. Para ativar o RADIUS, consulte Configurar a autenticação RADIUS.

O nome do rótulo padrão é Passcode.

O comprimento máximo do nome do rótulo é de 20 caracteres.

Ative essa opção para corresponder o RSA SecurID ao nome de usuário do Windows. Quando ativada, securID-auth é definido como true e a correspondência do securID ao nome de usuário do Windows é aplicada.

Se o Horizon estiver configurado em um ambiente de vários domínios, se o nome de usuário fornecido não contiver um nome de domínio, o domínio não será enviado ao CS.

Se o sufixo NameID estiver configurado e se o nome de usuário fornecido não contiver um nome de domínio, o valor de sufixo NameID configurado será anexado ao nome de usuário. Por exemplo, se um usuário tiver fornecido jdoe como o nome de usuário e NameIDSuffix tiver sido definido como @north.int, o Nome de Usuário enviado será [email protected].

Se o sufixo NameID estiver configurado e se o nome de usuário fornecido estiver no formato UPN, o sufixo NameID será ignorado. Por exemplo, se um usuário forneceu [email protected], NameIDSuffix - @south.int, o Nome de Usuário seria [email protected]

Se o nome de usuário fornecido estiver no formato <DomainName\username>, por exemplo, NORTH\jdoe, o Unified Access Gateway enviará o nome de usuário e o nome de domínio separadamente para o CS.

O local de onde a solicitação de conexão se origina. O servidor de segurança e o Unified Access Gateway definem a localização do gateway. O local pode ser External ou Internal.

Quando essa opção está desativada, o usuário não vê a mensagem de pré-login configurada no servidor de conexão.

Selecione um produtor JWT configurado no menu suspenso.

Lista opcional de destinatários pretendidos do JWT usados para a validação de Artefato SAML do Horizon do Workspace ONE Access.

Para que a validação de JWT seja bem-sucedida, pelo menos um dos destinatários nesta lista deve corresponder a um dos públicos especificados na configuração do Horizon do Workspace ONE Access. Se nenhum Público JWT for especificado, a validação do JWT não considerará os públicos.

Selecione o nome de consumidor JWT de uma das configurações JWT definidas.

• Para selecionar um certificado no formato PEM e adicionar ao armazenamento de confiança, clique em +.

• Para fornecer um nome diferente, edite a caixa de texto do alias.

  Por padrão, o nome do alias é o nome do arquivo do certificado PEM.

• Para remover um certificado do armazenamento de confiança, clique em -.

Para adicionar um cabeçalho, clique em + . Digite o nome do cabeçalho de segurança. Digite o valor.

Para remover um cabeçalho, clique em . Edite um cabeçalho de segurança existente para atualizar o nome e o valor do cabeçalho.

Essa caixa suspensa lista os executáveis personalizados que são configurados no Unified Access Gateway.

Executáveis personalizados são configurados como parte das configurações avançadas. Um executável pode ser configurado para mais de um tipo de sistema operacional. Se o executável for adicionado às configurações do Horizon, todos os tipos de SO do executável também serão incluídos. O executável fica disponível para que o Horizon Client baixe e execute no dispositivo do endpoint após a autenticação bem-sucedida do usuário.

Para obter informações sobre como configurar executáveis personalizados, consulte Executáveis personalizados do cliente.

Para obter informações sobre como o Unified Access Gateway é compatível com o recurso de Redirecionamento de Host HTTP e determinadas considerações necessárias para usar esse recurso, consulte Suporte do Unified Access Gateway ao Redirecionamento de Host HTTP.

• Host de Origem: Porta

  Insira o nome do host da origem (valor do cabeçalho do host).

• Host de Redirecionamento: Porta

  Insira o nome do host do dispositivo individual do Unified Access Gateway cuja afinidade deve ser mantida com o Horizon Client.

Insira os detalhes a serem adicionados no arquivo /etc/hosts. Cada entrada deve incluir um IP, um nome de host e um pseudônimo de nome de host opcional nesta ordem, separados por um espaço. Por exemplo, 10.192.168.1 example1.com, 10.192.168.2 example2.com example-alias. Clique no sinal de " +" para adicionar várias entradas de host.

Certifique-se de que o método de autenticação SAML ou SAML e Passagem seja escolhido.

Insira a URL do público-alvo.

Para compreender como o Unified Access Gateway oferece suporte a Públicos-Alvo de SAML, consulte Públicos-Alvo de SAML.

Digite o nome do atributo personalizado

Quando o Unified Access Gateway valida a asserção SAML, se o nome do atributo especificado nesse campo estiver presente na asserção, o Unified Access Gateway fornecerá acesso não autenticado ao nome de usuário configurado para o atributo no Provedor de Identidade.

Para obter mais informações sobre o método SAML and Unauthenticated, consulte Métodos de autenticação para o Unified Access Gateway e a integração do provedor de identidade de terceiros.

Insira o nome de usuário padrão que deve ser usado para acesso não autenticado

Esse campo está disponível na IU do Administrador quando um dos seguintes Métodos de Autenticação está selecionado: SAML and Unauthenticated, SecurID and Unauthenticated e RADIUS and Unauthenticated.

Se essa opção estiver ativada, o acesso à Web ao Horizon será desativado. Consulte Configurar o OPSWAT como o provedor de verificação de conformidade de endpoint para Horizon para obter mais detalhes.

Adicione a configuração a seguir à configuração [Horizon/Blast] .

standardFeature1=PrintRedir
standardFeature2=UsbRedirection 
customFeature1=acme_desktop1
customFeature2=acme_desktop2

Abra o arquivo JSON existente e adicione o novo nó blastSettings semelhante ao exemplo a seguir.

“blastExternalUrl”: “https://example.com/”,
 “blastSettings”: {
“blastStandardFeatures”: [
 “PrintRedir”,
“UsbRedirection”
],
 “blastCustomFeatures”: [
 “acme_desktop1”,
 “acme_desktop2”
 ]
    },