Você pode implantar o Unified Access Gateway com a infraestrutura em nuvem do Horizon Cloud with On-Premises Infrastructure e do Horizon Air. Para a implantação do Horizon, o appliance do Unified Access Gateway substitui o servidor seguro do Horizon.

Pré-requisitos

Se você deseja configurar e ativar o Horizon e uma instância de proxy reverso da Web, como VMware Identity Manager, na mesma instância do Unified Access Gateway, consulte Configurações avançadas do serviço de borda.

Procedimento

  1. Na seção Configurar Manualmente da IU do administrador, clique em Selecionar.
  2. Nas Configurações Gerais > Configurações do Serviço de Borda, clique em Mostrar.
  3. Clique no ícone de engrenagem Configurações do Horizon.
  4. Na página Configurações do Horizon, altere o NÃO para SIM para ativar o Horizon.
  5. Defina os seguintes recursos de configurações do serviço de borda para o Horizon:

    Opção

    Descrição

    Identificador

    Definido por padrão para o Horizon. O Unified Access Gateway pode se comunicar com os servidores que usam o protocolo XML do Horizon, como o servidor de conexão do Horizon, o Horizon Air e o Horizon Cloud with On-Premises Infrastructure.

    URL do Servidor de Conexão

    Insira o endereço do servidor Horizon ou do balanceador de carga. Insira-o como https://00.00.00.00.

    Miniatura da URL do Servidor de Conexão

    Insira a lista de impressões digitais do servidor do Horizon

    Se você não fornecer uma lista das impressões digitais, garanta que os certificados do servidor sejam emitidos por uma CA confiável. Insira os dígitos da impressão digital hexadecimal. Por exemplo, sha1= C3 89 A2 19 DC 7A 48 2B 85 1C 81 EC 5E 8F 6A 3C 33 F2 95 C3.

    Ativar PCOIP

    Altere NÃO para SIM para especificar se o gateway seguro PCoIP está habilitado.

    Desativar Certificado do PCOIP Herdado

    Altere NÃO para SIM para especificar o uso do certificado de servidor SSL carregado em vez do certificado herdado. Os clientes PCoIP herdados não funcionarão se esse parâmetro for definido como SIM.

    URL Externa de PCOIP

    A URL usada pelos clientes do Horizon para estabelecer a sessão PCoIP do Horizon a esse appliance do Unified Access Gateway. Ela deve conter um endereço IPv4 e não um nome de host. Por exemplo, 10.1.2.3:4172. O padrão é o endereço IP do Unified Access Gateway e a porta 4172.

    Ativar Blast

    Para usar o Gateway seguro Blast, altere o NÃO para SIM.

    Modo do IP do Servidor de Conexão

    Selecione IPv4, IPv6 ou IPv4+IPv6 no menu suspenso. O padrão é IPv4.

  6. Para configurar a regra do método de autenticação e outras configurações avançadas, clique em Mais.

    Opção

    Descrição

    Métodos de Autenticação

    Selecione os métodos de autenticação a serem utilizados.

    O padrão é utilizar a autenticação de passagem do nome de usuário e senha. Os métodos de autenticação configurados no Unified Access Gateway estão listados nos menus suspensos. Atualmente, os métodos de autenticação do RSA SecureID e RADIUS são compatíveis.

    Para configurar uma autenticação que inclui aplicar um segundo método de autenticação caso a primeira tentativa de autenticação não seja bem-sucedida.

    1. Selecione um método de autenticação no primeiro menu suspenso.

    2. Clique no + e selecione E ou OU.

    3. Selecione o segundo método de autenticação no terceiro menu suspenso.

    Para exigir que os usuários façam a autenticação através de dois métodos de autenticação, altere OU para E no menu suspenso.

    Observação:
    • Com a implantação do PowerShell, para a autenticação RSA SecurID, configure essa opção para usar securid-auth AND sp-auth para exibir a tela de código de acesso.

    • Com a implantação do vSphere, para a autenticação RSA SecurID, configure essa opção para usar securid-auth para exibir a tela de código de acesso.

    • Adicione as seguintes linhas à seção do Horizon do arquivo INI.

      authMethods=securid-auth && sp-auth
      matchWindowsUserName=true

      Adicione uma nova seção no final do seu arquivo INI.

      [SecurIDAuth]
      serverConfigFile=C:\temp\sdconf.rec
      externalHostName=192.168.0.90
      internalHostName=192.168.0.90

      Os endereços IP devem ser configurados com o endereço IP do Unified Access Gateway. O arquivo sdconf.rec é obtido a partir de um Gerenciador de Autenticações RSA que deve estar totalmente configurado. Verifique se você está usando o Access Point 2.5 ou posterior (ou o Unified Access Gateway 3.0 ou posterior) e se o servidor do Gerenciador de Autenticação RSA é acessível na rede do Unified Access Gateway. Execute novamente o comando uagdeploy do Powershell para reimplantar o Unified Access Gateway configurado para RSA SecurID.

    Caminho de URI para Verificação de Integridade

    O caminho de URI para o servidor de conexão com o qual o Unified Access Gateway se conecta, para monitoramento do status de integridade.

    URL Externa de Blast

    A URL usada pelos clientes do Horizon para estabelecer a sessão Blast ou BEAT do Horizon a esse appliance do Unified Access Gateway. Por exemplo, https://uag1.myco.com ou https://uag1.myco.com:443.

    Se o número da porta TCP não for especificado, a porta TCP padrão será 8443. Se o número da porta UDP não for especificado, a porta UDP padrão será 8443.

    Ativar Servidor do UDP

    As conexões são estabelecidas por meio do servidor Tunnel UDP, se houver uma largura de banda baixa.

    Certificado de Proxy do Blast

    Certificado de proxy para o Blast. Clique em Selecionar para carregar um certificado no formato PEM e adicionar ao armazenamento de confiança do BLAST. Clique em Alterar para substituir o certificado existente.

    Se o usuário carregar manualmente o mesmo certificado para o Unified Access Gateway para o balanceador de carga e precisar usar um certificado diferente para o Unified Access Gateway e o Blast Gateway, o estabelecimento de uma sessão de área de trabalho do Blast falharia, pois a impressão digital entre o cliente e o Unified Access Gateway não corresponde. A entrada de impressão digital personalizada para o Unified Access Gateway ou Blast Gateway resolve isso ao retransmitir a impressão digital para estabelecer a sessão do cliente.

    Ativar Tunnel

    Se o túnel seguro do Horizon for utilizado, altere NÃO para SIM. O client utiliza a URL externa para conexões de túnel através do Gateway seguro do Horizon. O túnel é utilizado para tráfego RDP, USB e de redirecionamento de multimídia (multimedia redirection, MMR).

    URL Externa do Tunnel

    A URL usada pelos clientes do Horizon para estabelecer a sessão do Horizon Tunnel com esse appliance do Unified Access Gateway. Por exemplo, https://uag1.myco.com ou https://uag1.myco.com:443.

    Se o número da porta TCP não for especificado, a porta TCP padrão será 443.

    Certificado de Proxy do Tunnel

    Certificado de proxy do Horizon Tunnel. Clique em Selecionar para carregar um certificado no formato PEM e adicionar ao armazenamento de confiança do Tunnel. Clique em Alterar para substituir o certificado existente.

    Se o usuário carregasse manualmente o mesmo certificado para o Unified Access Gateway para o balanceador de carga e precisar usar um certificado diferente para o Unified Access Gateway e o Horizon Tunnel, o estabelecimento de uma sessão do Tunnel falharia, pois a impressão digital entre o cliente e o Unified Access Gateway não seria correspondente. A entrada de impressão digital personalizada para o Unified Access Gateway ou o Horizon Tunnel resolve isso ao retransmitir a impressão digital para estabelecer a sessão do cliente.

    Provedor de Verificação de Conformidade de Endpoint

    Selecione o provedor de verificação de conformidade de endpoint. O padrão é OPSWAT.

    Padrão de Proxy

    Insira a expressão regular que corresponde aos URIs que estão relacionados à URL do servidor Horizon (proxyDestinationUrl). Ela tem um valor padrão de (/|/view-client(.*)|/portal(.*)|/appblast(.*)).

    SAML SP

    Insira o nome do provedor de serviços SAML para o agente XMLAPI do Horizon. Esse nome deve corresponder ao nome de um metadado de um provedor de serviços configurado ou ser o valor especial DEMO.

    Corresponder Nome de Usuário do Windows

    Mude NÃO para SIM para corresponder ao RSA SecurID e ao nome de usuário do Windows. Quando definido como SIM, o securID-auth é definido como verdadeiro e a correspondência de securID e de nome de usuário do Windows é aplicada.

    Observação:

    No Horizon 7, se você habilitar Ocultar informações do servidor na interface do usuário do cliente e Ocultar lista de domínio nas configurações da interface de usuário do cliente e selecionar a autenticação de dois fatores (RSA SecureID ou RADIUS) para a instância do servidor de conexão, não aplique a correspondência de nome de usuário do Windows. Aplicar a correspondência de nome de usuário do Windows impede que os usuários insiram as informações de domínio na caixa de texto nome de usuário e o login sempre falhará. Para obter mais informações, consulte os tópicos sobre a autenticação de dois fatores no documento de administração do Horizon 7.

    Localização do Gateway

    O local de onde a solicitação de conexão se origina. O servidor de segurança e o Unified Access Gateway definem a localização do gateway. O local pode ser externo ou interno.

    Certificados Confiáveis

    Adicione um certificado confiável para este serviço de borda. Clique em '+' para selecionar um certificado no formato PEM e adicionar ao armazenamento de confiança. Clique em "-" para remover um certificado do armazenamento de confiança. Por padrão, o nome do alias é o nome do arquivo do certificado PEM. Edite a caixa de texto do alias para fornecer um nome diferente.

    Cabeçalhos de Segurança de Resposta

    Clique em '+' para adicionar um cabeçalho. Insira o nome do cabeçalho de segurança. Insira o valor. Clique em '-' para remover um cabeçalho. Edite um cabeçalho de segurança existente para atualizar o nome e o valor do cabeçalho.

    Importante:

    Os nomes e valores do cabeçalho só são salvos após você clicar em Salvar. Alguns cabeçalhos de segurança padrão estão presentes por padrão. Os cabeçalhos configurados serão adicionados à resposta do Unified Access Gateway ao cliente somente se os cabeçalhos correspondentes estiverem ausentes na resposta do servidor de back-end configurado.

    Observação:

    Modifique os cabeçalhos de resposta de segurança com cuidado. Modificar esses parâmetros pode afetar o funcionamento seguro do Unified Access Gateway.

    Entradas de host

    Insira os detalhes a serem adicionados no arquivo /etc/hosts. Cada entrada deve incluir um IP, um nome de host e um pseudônimo de nome de host opcional nesta ordem, separados por um espaço. Por exemplo, 10.192.168.1 example1.com, 10.192.168.2 example2.com example-alias. Clique no sinal de " +" para adicionar várias entradas de host.

    Importante:

    As entradas de host são salvas somente depois que você clicar em Salvar.

    Desativar HTML Access

    Se definido como SIM, desativa o acesso via Web ao Horizon. Consulte Verificações de conformidade de endpoint do Horizon para obter mais detalhes.

  7. Clique em Salvar.