Você pode implantar o Unified Access Gateway com a infraestrutura em nuvem do Horizon Cloud with On-Premises Infrastructure e do Horizon Air. Para a implantação do Horizon, o appliance do Unified Access Gateway substitui o servidor seguro do Horizon.

Pré-requisitos

Se você deseja configurar e ativar o Horizon e uma instância de proxy reverso da Web, como Workspace ONE Access, na mesma instância do Unified Access Gateway, consulte Configurações avançadas do serviço de borda.

Procedimento

  1. Na seção Configurar Manualmente da IU do administrador, clique em Selecionar.
  2. Nas Configurações Gerais > Configurações do Serviço de Borda, clique em Mostrar.
  3. Clique no ícone de engrenagem Configurações do Horizon.
  4. Na página Configurações do Horizon, altere o NÃO para SIM para ativar o Horizon.
  5. Defina os seguintes recursos de configurações do serviço de borda para o Horizon:
    Opção Descrição
    Identificador Definido por padrão para o Horizon. O Unified Access Gateway pode se comunicar com os servidores que usam o protocolo XML do Horizon, como o servidor de conexão do Horizon, o Horizon Air e o Horizon Cloud with On-Premises Infrastructure.
    URL do Servidor de Conexão Insira o endereço do servidor Horizon ou do balanceador de carga. Insira-o como https://00.00.00.00.
    Miniatura da URL do Servidor de Conexão Insira a lista de impressões digitais do servidor do Horizon

    Se você não fornecer uma lista das impressões digitais, garanta que os certificados do servidor sejam emitidos por uma CA confiável. Insira os dígitos da impressão digital hexadecimal. Por exemplo, sha1= C3 89 A2 19 DC 7A 48 2B 85 1C 81 EC 5E 8F 6A 3C 33 F2 95 C3.

    Ativar PCOIP Altere NÃO para SIM para especificar se o gateway seguro PCoIP está habilitado.
    Desativar Certificado do PCOIP Herdado Altere NÃO para SIM para especificar o uso do certificado de servidor SSL carregado em vez do certificado herdado. Os clientes PCoIP herdados não funcionarão se esse parâmetro for definido como SIM.
    URL Externa de PCOIP

    A URL usada pelos clientes do Horizon para estabelecer a sessão PCoIP do Horizon a esse appliance do Unified Access Gateway. Ela deve conter um endereço IPv4 e não um nome de host. Por exemplo, 10.1.2.3:4172. O padrão é o endereço IP do Unified Access Gateway e a porta 4172.

    Ativar Blast Para usar o Gateway seguro Blast, altere o NÃO para SIM.
    Modo do IP do Servidor de Conexão Indica o modo de IP de um Horizon Connection Server

    Esse campo pode ter os seguintes valores: IPv4, IPv6 e IPv4+IPv6.

    O padrão é IPv4.

    • Se todas as NICs no dispositivo do Unified Access Gateway estiverem no modo IPv4 (sem modo IPv6), esse campo poderá ter um dos seguintes valores: IPv4 ou IPv4+IPv6 (modo misto).
    • Se todas as NICs no dispositivo do Unified Access Gateway estiverem no modo IPv6 (sem modo IPv4), esse campo poderá ter um dos seguintes valores: IPv6 ou IPv4+IPv6 (modo misto).
    Regravar o Cabeçalho de Origem Se uma solicitação de entrada para o Unified Access Gateway tiver o cabeçalho Origin e o campo Regravar o Cabeçalho de Origem estiver habilitado, o Unified Access Gateway regravará o cabeçalho Origin com a URL do Servidor de Conexão.

    O campo Regravar o Cabeçalho de Origem funciona junto com a propriedade checkOrigin CORS do Horizon Connection Server. Quando esse campo está ativado, o administrador do Horizon pode ignorar a necessidade de especificar endereços IP do Unified Access Gateway no arquivo locked.properties.

    Para obter informações sobre a Verificação de Origem, consulte a documentação do Horizon 7 Security.

  6. Para configurar a regra do método de autenticação e outras configurações avançadas, clique em Mais.
    Opção Descrição
    Métodos de Autenticação O padrão é utilizar a autenticação de passagem do nome de usuário e senha.

    Há suporte para os seguintes métodos de autenticação: SAML, SAML and Unauthenticated, RSA SecurID, SecurID and Unauthenticated, RADIUS, RADIUS and Unauthenticated e Device Certificate.

    Importante: Se você tiver escolhido qualquer um dos métodos Unauthenticated como o método de autenticação, certifique-se de configurar o Nível de Desaceleração de Login no Horizon Connection Server como Low. Essa configuração é necessária para evitar um longo atraso na hora do login para os endpoints enquanto acessa a área de trabalho ou o aplicativo remoto.

    Para obter mais informações sobre como configurar o Nível de Desaceleração de Login, consulte a documentação de Administração do Horizon no VMware Docs.

    Ativar SSO do Windows Isso pode ser habilitado quando os Métodos de Autenticação são definidos como RADIUS e quando o código de acesso RADIUS é igual à senha do domínio do Windows. Altere NÃO para SIM para usar o nome de usuário e o código de acesso RADIUS para as credenciais de login do domínio do Windows para evitar a necessidade de solicitar o usuário novamente.

    Se o Horizon estiver configurado em um ambiente de vários domínios, se o nome de usuário fornecido não contiver um nome de domínio, o domínio não será enviado ao CS.

    Se o sufixo NameID estiver configurado e se o nome de usuário fornecido não contiver um nome de domínio, o valor de sufixo NameID configurado será anexado ao nome de usuário. Por exemplo, se um usuário tiver fornecido jdoe como o nome de usuário e NameIDSuffix tiver sido definido como @north.int, o Nome de Usuário enviado será [email protected].

    Se o sufixo NameID estiver configurado e se o nome de usuário fornecido estiver no formato UPN, o sufixo NameID será ignorado. Por exemplo, se um usuário forneceu [email protected], NameIDSuffix - @south.int, o Nome de Usuário seria [email protected]

    Se o nome de usuário fornecido estiver no formato <DomainName\username>, por exemplo, NORTH\jdoe, o Unified Access Gateway enviará o nome de usuário e o nome de domínio separadamente para o CS.

    Atributos de Classe do RADIUS Isso é ativado quando Métodos de Autenticação estão definidos como RADIUS. Clique em '+' para adicionar um valor para o atributo de classe. Insira o nome do atributo de classe a ser usado para autenticação de usuário. Clique em '-' para remover um atributo de classe.
    Observação: Se esse campo for deixado em branco, a autorização adicional não será realizada.
    Texto de Isenção de Responsabilidade

    O texto da mensagem de isenção de responsabilidade do Horizon a ser mostrado para o usuário e aceito pelo usuário nos casos em que qualquer Método de Autenticação é configurado.

    Aviso de dica do cartão inteligente Altere NÃO para SIM para ativar a dica de senha para a autenticação do certificado.
    Caminho de URI para Verificação de Integridade O caminho de URI para o servidor de conexão com o qual o Unified Access Gateway se conecta, para monitoramento do status de integridade.
    URL Externa de Blast A URL usada pelos clientes do Horizon para estabelecer a sessão Blast ou BEAT do Horizon a esse appliance do Unified Access Gateway. Por exemplo, https://uag1.myco.com ou https://uag1.myco.com:443.

    Se o número da porta TCP não for especificado, a porta TCP padrão será 8443. Se o número da porta UDP não for especificado, a porta UDP padrão será 8443.

    Ativar Servidor do UDP As conexões são estabelecidas por meio do servidor Tunnel UDP, se houver uma largura de banda baixa.
    Certificado de Proxy do Blast

    Certificado de proxy para o Blast. Clique em Selecionar para carregar um certificado no formato PEM e adicionar ao armazenamento de confiança do BLAST. Clique em Alterar para substituir o certificado existente.

    Se o usuário carregar manualmente o mesmo certificado para o Unified Access Gateway para o balanceador de carga e precisar usar um certificado diferente para o Unified Access Gateway e o Blast Gateway, o estabelecimento de uma sessão de área de trabalho do Blast falharia, pois a impressão digital entre o cliente e o Unified Access Gateway não corresponde. A entrada de impressão digital personalizada para o Unified Access Gateway ou Blast Gateway resolve isso ao retransmitir a impressão digital para estabelecer a sessão do cliente.

    Ativar Tunnel Se o túnel seguro do Horizon for utilizado, altere NÃO para SIM. O client utiliza a URL externa para conexões de túnel através do Gateway seguro do Horizon. O túnel é utilizado para tráfego RDP, USB e de redirecionamento de multimídia (multimedia redirection, MMR).
    URL Externa do Tunnel A URL usada pelos clientes do Horizon para estabelecer a sessão do Horizon Tunnel com esse appliance do Unified Access Gateway. Por exemplo, https://uag1.myco.com ou https://uag1.myco.com:443.

    Se o número da porta TCP não for especificado, a porta TCP padrão será 443.

    Certificado de Proxy do Tunnel

    Certificado de proxy do Horizon Tunnel. Clique em Selecionar para carregar um certificado no formato PEM e adicionar ao armazenamento de confiança do Tunnel. Clique em Alterar para substituir o certificado existente.

    Se o usuário carregasse manualmente o mesmo certificado para o Unified Access Gateway para o balanceador de carga e precisar usar um certificado diferente para o Unified Access Gateway e o Horizon Tunnel, o estabelecimento de uma sessão do Tunnel falharia, pois a impressão digital entre o cliente e o Unified Access Gateway não seria correspondente. A entrada de impressão digital personalizada para o Unified Access Gateway ou o Horizon Tunnel resolve isso ao retransmitir a impressão digital para estabelecer a sessão do cliente.

    Provedor de Verificação de Conformidade de Endpoint Selecione o provedor de verificação de conformidade de endpoint.

    O padrão é OPSWAT.

    Padrão de Proxy
    Insira a expressão regular que corresponde aos URIs que estão relacionados à URL do servidor Horizon (proxyDestinationUrl). Ela tem um valor padrão de (/|/view-client(.*)|/portal(.*)|/appblast(.*)).
    Observação: O padrão também pode ser usado para excluir determinadas URLs. Por exemplo, para permitir todas as URLs, mas bloquear /admin, você pode usar a expressão a seguir. ^/(?!admin(.*))(.*)
    SAML SP Insira o nome do provedor de serviços SAML para o agente XMLAPI do Horizon. Esse nome deve corresponder ao nome de um metadado de um provedor de serviços configurado ou ser o valor especial DEMO.
    Fazer Logout da Remoção do Certificado
    Observação: Essa opção está disponível quando qualquer um dos métodos de autenticação de cartão inteligente é selecionado como um Método de Autenticação.

    Se essa opção estiver definida como YES e o cartão inteligente for removido, o usuário final será forçado a fazer logout de uma sessão do Unified Access Gateway.

    Rótulo de nome de usuário para RADIUS Insira o texto para personalizar o rótulo de nome de usuário no Horizon Client. Por exemplo, Domain Username

    O método de autenticação RADIUS deve ser ativado. Para ativar o RADIUS, consulte Configurar a autenticação RADIUS.

    O nome do rótulo padrão é Username.

    O comprimento máximo do nome do rótulo é de 20 caracteres.

    Rótulo de código de acesso para RADIUS Insira um nome para personalizar o rótulo de código de acesso no Horizon Client. Por exemplo, Password

    O método de autenticação RADIUS deve ser ativado. Para ativar o RADIUS, consulte Configurar a autenticação RADIUS.

    O nome do rótulo padrão é Passcode.

    O comprimento máximo do nome do rótulo é de 20 caracteres.

    Corresponder Nome de Usuário do Windows Mude NÃO para SIM para corresponder ao RSA SecurID e ao nome de usuário do Windows. Quando definido como SIM, o securID-auth é definido como verdadeiro e a correspondência de securID e de nome de usuário do Windows é aplicada.

    Se o Horizon estiver configurado em um ambiente de vários domínios, se o nome de usuário fornecido não contiver um nome de domínio, o domínio não será enviado ao CS.

    Se o sufixo NameID estiver configurado e se o nome de usuário fornecido não contiver um nome de domínio, o valor de sufixo NameID configurado será anexado ao nome de usuário. Por exemplo, se um usuário tiver fornecido jdoe como o nome de usuário e NameIDSuffix tiver sido definido como @north.int, o Nome de Usuário enviado será [email protected].

    Se o sufixo NameID estiver configurado e se o nome de usuário fornecido estiver no formato UPN, o sufixo NameID será ignorado. Por exemplo, se um usuário forneceu [email protected], NameIDSuffix - @south.int, o Nome de Usuário seria [email protected]

    Se o nome de usuário fornecido estiver no formato <DomainName\username>, por exemplo, NORTH\jdoe, o Unified Access Gateway enviará o nome de usuário e o nome de domínio separadamente para o CS.

    Observação: No Horizon 7, se você habilitar Ocultar informações do servidor na interface do usuário do cliente e Ocultar lista de domínio nas configurações da interface de usuário do cliente e selecionar a autenticação de dois fatores (RSA SecureID ou RADIUS) para a instância do servidor de conexão, não aplique a correspondência de nome de usuário do Windows. Aplicar a correspondência de nome de usuário do Windows impede que os usuários insiram as informações de domínio na caixa de texto nome de usuário e o login sempre falhará. Para obter mais informações, consulte os tópicos sobre a autenticação de dois fatores no documento de administração do Horizon 7.
    Localização do Gateway O local de onde a solicitação de conexão se origina. O servidor de segurança e o Unified Access Gateway definem a localização do gateway. O local pode ser External ou Internal.
    Importante: O local deve ser definido como Internal quando qualquer um dos seguintes métodos de autenticação é selecionado: SAML and Unauthenticated, SecurID and Unauthenticated ou RADIUS and Unauthenticated.
    Configurações JWT
    Observação: Para a validação de artefato SAML do JWT do Workspace ONE Access, certifique-se de que o campo Nome esteja configurado na seção Configurações JWT das Configurações Avançadas.
    Selecione o nome de uma das Configurações JWT definidas.
    Públicos JWT Lista opcional de destinatários pretendidos do JWT usados para a validação de Artefato SAML do Horizon do Workspace ONE Access.

    Para que a validação de JWT seja bem-sucedida, pelo menos um dos destinatários nesta lista deve corresponder a um dos públicos especificados na configuração do Horizon do Workspace ONE Access. Se nenhum Público JWT for especificado, a validação do JWT não considerará os públicos.

    Certificados Confiáveis Adicione um certificado confiável para este serviço de borda. Clique em '+' para selecionar um certificado no formato PEM e adicionar ao armazenamento de confiança. Clique em "-" para remover um certificado do armazenamento de confiança. Por padrão, o nome do alias é o nome do arquivo do certificado PEM. Edite a caixa de texto do alias para fornecer um nome diferente.
    Cabeçalhos de Segurança de Resposta Clique em '+' para adicionar um cabeçalho. Insira o nome do cabeçalho de segurança. Insira o valor. Clique em '-' para remover um cabeçalho. Edite um cabeçalho de segurança existente para atualizar o nome e o valor do cabeçalho.
    Importante: Os nomes e valores do cabeçalho só são salvos após você clicar em Salvar. Alguns cabeçalhos de segurança padrão estão presentes por padrão. Os cabeçalhos configurados serão adicionados à resposta do Unified Access Gateway ao cliente somente se os cabeçalhos correspondentes estiverem ausentes na resposta do servidor de back-end configurado.
    Observação: Modifique os cabeçalhos de resposta de segurança com cuidado. Modificar esses parâmetros pode afetar o funcionamento seguro do Unified Access Gateway.
    Mapeamentos de Redirecionamento de Host

    Para obter informações sobre como o UAG é compatível com o recurso de Redirecionamento de Host HTTP e determinadas considerações necessárias para usar esse recurso, consulte Suporte do Unified Access Gateway ao Redirecionamento de Host HTTP.

    • Host de Origem

      Insira o nome do host da origem (balanceador de carga).

    • Host de Redirecionamento

      Insira o nome do host do dispositivo do UAG (Unified Access Gateway) cuja afinidade precisa ser mantida com o Horizon Client.

    Entradas de host Insira os detalhes a serem adicionados no arquivo /etc/hosts. Cada entrada deve incluir um IP, um nome de host e um pseudônimo de nome de host opcional nesta ordem, separados por um espaço. Por exemplo, 10.192.168.1 example1.com, 10.192.168.2 example2.com example-alias. Clique no sinal de " +" para adicionar várias entradas de host.
    Importante: As entradas de host são salvas somente depois que você clicar em Salvar.
    Públicos-Alvo de SAML

    Certifique-se de que o método de autenticação SAML ou SAML e Passagem seja escolhido.

    Insira a URL do público-alvo.
    Observação: Se a caixa de texto for deixada vazia, os públicos-alvo não serão restritos.

    Para compreender como o UAG oferece suporte a Públicos-Alvo de SAML, consulte Públicos-Alvo de SAML.

    Atributo de Nome de Usuário Não Autenticado SAML Insira o nome do atributo personalizado
    Observação: Este campo estará disponível somente quando o valor dos Métodos de Autenticação for SAML and Unauthenticated.
    Quando o UAG valida a asserção SAML, se o nome do atributo especificado nesse campo estiver presente na asserção, o UAG fornecerá acesso não autenticado ao nome de usuário configurado para o atributo no Provedor de Identidade.

    Para obter mais informações sobre o método SAML and Unauthenticated, consulte Métodos de autenticação para o Unified Access Gateway e a integração do provedor de identidade de terceiros.

    Nome de Usuário Não Autenticado Padrão Insira o nome de usuário padrão que deve ser usado para acesso não autenticado

    Esse campo está disponível na IU do Administrador quando um dos seguintes Métodos de Autenticação está selecionado: SAML and Unauthenticated, SecurID and Unauthenticated e RADIUS and Unauthenticated.

    Observação: Para o método de autenticação SAML and Unauthenticated, o nome de usuário padrão para acesso não autenticado é usado somente quando o campo Atributo de Nome de Usuário Não Autenticado SAML está vazio ou o nome de atributo especificado nesse campo está ausente na asserção SAML.
    Desativar HTML Access Se definido como SIM, desativa o acesso via Web ao Horizon. Consulte Configurar as definições do provedor de verificação de conformidade de endpoint para o Horizon para obter mais detalhes.
  7. Clique em Salvar.