Você pode usar o fluxo de trabalho Editar Pod para alterar as configurações de autenticação de dois fatores nos gateways do pod ou desativar totalmente a autenticação de dois fatores. Quando você altera as configurações, basicamente digita um novo nome para o conjunto de configurações de autenticação de dois fatores, insere as novas configurações desejadas, garante que o novo nome esteja selecionado para o gateway específico e salva. Use o fluxo de trabalho Editar Pod para alterar as configurações de autenticação de dois fatores.

Pré-requisitos

Se você estiver mantendo a autenticação de dois fatores habilitada para um dos gateways, mas estiver alterando as configurações específicas, verifique se você tem as seguintes informações:

  • Quando o servidor de autenticação de dois fatores estiver no local, verifique se você tem as informações relevantes para os seguintes campos para que as instâncias do Unified Access Gateway desse gateway possam resolver o roteamento para esse servidor.
    Opção Descrição
    Endereços DNS Especifique um ou mais endereços de servidores DNS que podem resolver o nome do seu servidor de autenticação local.
    Rotas Especifique uma ou mais rotas personalizadas que permitem que as instâncias do Unified Access Gateway do pod resolvam o roteamento de rede para seu servidor de autenticação local.

    Por exemplo, se você tiver um servidor RADIUS local que usa 10.10.60.20 como endereço IP, deverá usar 10.10.60.0/24 e seu endereço de gateway de rota padrão como uma rota personalizada. Você obtém seu endereço de gateway de rota padrão na configuração de Express Route ou de VPN que está usando para esse ambiente.

    Especifique as rotas personalizadas como uma lista separada por vírgulas no formato ipv4-network-address/bits ipv4-gateway-address. Por exemplo: 192.168.1.0/24 192.168.0.1, 192.168.2.0/24 192.168.0.2.

  • Verifique se você tem as seguintes informações usadas na configuração do seu servidor de autenticação, para que possa fornecê-las nos campos apropriados do assistente de implantação do pod. Se você tiver um servidor primário e um secundário, obtenha as informações para cada um deles.

    • Endereço IP ou nome DNS do servidor de autenticação
    • O segredo compartilhado que é usado para criptografia e descriptografia em mensagens do protocolo do servidor de autenticação
    • Números de porta de autenticação, geralmente a porta UDP 1812.
    • Tipo de protocolo de autenticação. Os tipos de autenticação incluem PAP (Password Authentication Protocol, Protocolo de autenticação de senha), CHAP (Challenge Handshake Authentication Protocol, Protocolo de autenticação por desafios de identidade), MSCHAP1, MSCHAP2 (Microsoft Challenge Handshake Authentication Protocol, Protocolo de autenticação por desafios de identidade, versões 1 e 2).
      Observação: Verifique a documentação do seu fornecedor RADIUS para o protocolo de autenticação recomendado e siga o tipo de protocolo indicado. A capacidade do pod de oferecer suporte à autenticação de dois fatores com o RADIUS é fornecida pelas instâncias do Unified Access Gateway, e o Unified Access Gateway é compatível com PAP, CHAP, MSCHAP1 e MSCHAP2. Em geral, o PAP é menos seguro que o MSCHAP2. O PAP também é um protocolo mais simples que o MSCHAP2. Como resultado, embora a maioria dos fornecedores RADIUS seja compatível com o protocolo PAP mais simples, alguns não são tão compatíveis com o MSCHAP2 mais seguro.

Procedimento

  1. Abra a janela Editar Pod na página de detalhes do pod clicando em Editar.
  2. Na janela Editar Pod, clique em Avançar para ir para a etapa Configurações do Gateway.
    Essa etapa tem uma seção para a configuração gateway externo e uma seção para a configuração gateway interno. A interface do usuário reflete a configuração atual do pod e as configurações do gateway já existentes.
  3. Posicione a janela no tipo de gateway para o qual você deseja alterar a autenticação de dois fatores, seja externo ou interno.
  4. Para desativar a autenticação de dois fatores no gateway, desative a opção Ativar a Autenticação de 2 Fatores e vá para a Etapa 10 para salvar as alterações.
    Se o outro gateway também tiver a autenticação de dois fatores ativada e você quiser desativá-la, desative a opção de alternância na seção para esse outro gateway.
  5. Para alterar as configurações de autenticação de dois fatores específicas que estão definidas no gateway, continue com as etapas a seguir.
    Você cria um novo nome para o novo conjunto de valores de autenticação de dois fatores e salva a configuração com esse novo nome selecionado para essa seção de gateway na janela.
  6. No campo Nome, digite um nome de identificação para esta configuração.
  7. Na seção Propriedades, especifique os detalhes relacionados à interação dos usuários finais com a tela de logon, que eles usarão para autenticar para obter acesso.
    Opção Descrição
    Nome de Exibição Você pode deixar este campo em branco. Embora esse campo seja visível no assistente, ele define apenas um nome interno no Unified Access Gateway. Esse nome não é usado pelos clientes do Horizon.
    Dica de Exibição Opcionalmente, insira uma cadeia de texto que será exibida para os usuários finais na mensagem na tela de login do cliente final quando solicitar ao usuário o código de acesso e a senha RADIUS. A dica especificada aparece para o usuário final como Enter your DisplayHint user name and passcode, em que DisplayHint é o texto que você especifica neste campo.

    Essa dica pode ajudar a orientar os usuários a inserir o código de acesso correto do RADIUS. Como exemplo, especificando uma frase como Exemplo de nome de usuário e senha de domínio da empresa abaixo resultaria em um aviso para o usuário final que diz Enter your Example Company user name and domain password below for user name and passcode.

    Sufixo da ID do Nome Essa configuração é usada em cenários SAML, onde seu pod está configurado para usar o TrueSSO para Single Sign-on. Opcionalmente, forneça uma cadeia que será anexada ao nome de usuário da declaração SAML enviado na solicitação ao gerenciador de pods. Por exemplo, se o nome de usuário for inserido como user1 na tela de logon e um sufixo de ID de nome de @example.com for especificado aqui, um nome de usuário de declaração SAML de user1@example.com será enviado na solicitação.
    Número de Iterações Insira o número máximo de tentativas de autenticação com falha que um usuário tem permissão ao tentar fazer logon usando o sistema do RADIUS.
    Manter o nome de usuário Ative essa opção para manter o nome de usuário do Active Dirctory durante o fluxo de autenticação que ocorre entre o cliente, a instância do Unified Access Gateway e o serviço RADIUS. Quando ativado:
    • O usuário deve ter as mesmas credenciais de nome de usuário para o RADIUS e para a autenticação do Active Directory.
    • O usuário não pode alterar o nome de usuário na tela de logon.

    Se essa alternância estiver desativada, o usuário poderá digitar outro nome de usuário na tela de logon.

    Observação: Para o relacionamento entre a habilitação de Manter Nome de Usuário e as configurações de segurança do domínio em Horizon Cloud, consulte o tópico Configurações de segurança do domínio na página Configurações Gerais.
  8. Na seção Servidor Primário, especifique os detalhes sobre o servidor de autenticação.
    Opção Descrição
    Nome do host/Endereço IP Insira o nome DNS ou o endereço IP do servidor de autenticação.
    Segredo compartilhado Insira o segredo da comunicação com o servidor de autenticação. O valor deve ser idêntico ao valor configurado do servidor.
    Porta de autenticação Especifique a porta UDP configurada no servidor de autenticação para enviar ou receber tráfego de autenticação. O padrão é 1812.
    Porta de contabilização Opcionalmente, especifique a porta UDP configurada no servidor de autenticação para enviar ou receber tráfego contábil. O padrão é 1813.
    Mecanismo Selecione o protocolo de autenticação que é compatível com o servidor de autenticação especificado e que você deseja que seja usado pelo pod implantado.
    Tempo limite do servidor Especifique o número de segundos durante os quais o pod deverá esperar por uma resposta do servidor de autenticação. Após esse número de segundos, uma nova tentativa será enviada se o servidor não responder.
    Número Máximo de Novas Tentativas Especifique o número máximo de vezes que o pod deve enviar novamente as solicitações com falha para o servidor de autenticação.
    Prefixo do território Opcionalmente, forneça uma cadeia de caracteres que o sistema colocará no começo do nome do usuário quando o nome for enviado ao servidor de autenticação. A localização da conta do usuário é chamada território.

    Por exemplo, se o nome de usuário for inserido como user1 na tela de logon e um prefixo de território de DOMAIN-A\ for especificado aqui, o sistema enviará DOMAIN-A\user1 ao servidor de autenticação. Se você não especificar um prefixo de território, somente o nome de usuário inserido será enviado.

    Sufixo do território Opcionalmente, forneça uma cadeia de caracteres que o sistema anexará ao nome de usuário quando o nome for enviado ao servidor de autenticação. Por exemplo, se o nome de usuário for inserido como user1 na tela de logon e um sufixo de território de @example.com for especificado aqui, o sistema enviará user1@example.com ao servidor de autenticação.
  9. (Opcional) Na seção Servidor Secundário, opcionalmente, especifique detalhes sobre um servidor de autenticação auxiliar.
    Você pode configurar um servidor de autenticação secundário para oferecer alta disponibilidade. Ative a opção de alternância Servidor Auxiliar e preencha os campos conforme descrito na seção Servidor Primário.
  10. Após ter feito todas as configurações desejadas, clique em Salvar e Sair.
    É exibida uma mensagem de confirmação solicitando a confirmação para o início do fluxo de trabalho.
  11. Clique em Sim para iniciar o fluxo de trabalho.

Resultados

Até que o sistema termine a implantação da nova configuração no pod, a seção da página de resumo do pod para o gateway no qual você adicionou a autenticação de dois fatores mostrará o status Pendente.

Quando o fluxo de trabalho for concluído, o status mostrará Pronto, e as configurações de autenticação de dois fatores do gateway serão exibidas na página.

Observação: Ao executar esse fluxo de trabalho para um pod do Microsoft Azure na China, o processo pode demorar mais de uma hora para ser concluído. O processo está sujeito a problemas de rede geográfica que podem fazer com que a velocidade de download fique lenta à medida que os binários são baixados da camada de controle da nuvem.

O que Fazer Depois

Importante: Quando você altera os valores das configurações de autenticação de dois fatores de um gateway para novos valores, antes que seus usuários finais retomem o uso do gateway que tem os novos valores de autenticação de dois fatores, você deve concluir as seguintes tarefas.
  • Se você tiver configurado um gateway externo com configurações RADIUS, e esse servidor RADIUS não estiver acessível na mesma VNet usada pelo pod, ou na topologia VNet emparelhada se você tiver implantando o gateway externo na própria VNet, verifique se o servidor RADIUS especificado na configuração do gateway permite conexões de cliente a partir do endereço IP do balanceador de carga do gateway externo. Em uma configuração gateway externo, as instâncias do Unified Access Gateway tentam entrar em contato com o servidor RADIUS usando esse endereço do balanceador de carga. Para permitir as conexões, verifique se o endereço IP do recurso do balanceador de carga que está no grupo de recursos do gateway externo está especificado como um cliente na configuração do seu servidor RADIUS.
  • Se você tiver configurado um gateway interno ou externo e o servidor RADIUS puder ser acessado na mesma VNet usada pelo pod, verifique se o servidor RADIUS está configurado para permitir conexões dos NICs apropriados que foram criados no grupo de recursos do gateway no Microsoft Azure. O administrador de rede determina a visibilidade da rede do servidor RADIUS para as sub-redes e a rede virtual do Azure do pod. Seu servidor RADIUS deve permitir conexões de cliente a partir dos endereços IP desses NICs de gateway que correspondem à sub-rede para a qual o administrador de rede forneceu visibilidade de rede ao servidor RADIUS. O grupo de recursos do gateway no Microsoft Azure tem quatro NICs que correspondem a essa sub-rede, duas que estão ativas atualmente para as duas instâncias do Unified Access Gateway e duas que estão ociosas e se tornarão as ativas após o pod passar por uma atualização. Para oferecer suporte à conectividade entre o gateway e o servidor RADIUS tanto para operações de pod contínuo quanto após cada atualização de pod, certifique-se de que os endereços IP dessas quatro NICs sejam especificados como clientes na configuração do servidor RADIUS.

Para obter informações sobre como obter esses endereços IP, consulte Atualizar o sistema RADIUS com as informações de gateway de pod do Horizon Cloud necessárias.