Para usar o Universal Broker com os pods do Horizon conectados à nuvem, você deve primeiro substituir o servidor seguro em cada pod por um dispositivo do Unified Access Gateway. Em seguida, você deve definir as configurações de JSON Web Token necessárias em cada instância do Unified Access Gateway para oferecer suporte ao servidor de encapsulamento e redirecionamento de protocolo exigidos pelo Universal Broker.

Se você quiser usar a autenticação de dois fatores para Universal Broker, também deverá configurar o serviço RADIUS ou RSA SecurID apropriado em cada instância do Unified Access Gateway.

Pré-requisitos

  • Instale um dispositivo dedicado do Unified Access Gateway para cada pod do Horizon conectado à nuvem que participa de atribuições de várias nuvens. Certifique-se de instalar a versão 3.8 ou posterior do Unified Access Gateway. Configure cada instância do Unified Access Gateway como o servidor proxy para solicitações de conexão ao Servidor de Conexão emparelhado.

    Para obter mais informações, consulte a Documentação do Unified Access Gateway e a Documentação do VMware Horizon 7.

    Observação: Certifique-se de que cada instância do Unified Access Gateway esteja emparelhada com apenas um pod.
  • Para validar o emparelhamento de cada instância do Unified Access Gateway com seu respectivo Servidor de Conexão, conecte-se diretamente ao Unified Access Gateway e verifique se você consegue acessar áreas de trabalho virtuais.

Procedimento

  1. Faça logon no Console Administrativo do Unified Access Gateway.
  2. Na seção Configurar Manualmente, clique em Selecionar.
  3. Em Configurações Avançadas, clique na engrenagem para as Configurações de JWT.
  4. Para criar um conjunto de configurações de JWT, clique em Adicionar.
  5. Especifique as configurações necessárias na caixa de diálogo Configurações de JWT.
    Configuração Descrição
    Name Insira um nome descritivo para o conjunto de configurações.
    Issuer Insira o nome do cluster do pod do Horizon, conforme exibido no Console do Horizon.

    Nome do cluster do pod exibido no Console do Horizon
    Dynamic Public key URL Insira https://<Horizon pod FQDN>/broker/publicKey/protocolredirection, onde <Horizon pod FQDN> é substituído pelo FQDN exclusivo do pod (nome de domínio completo). O FQDN geralmente é definido da seguinte maneira:
    • Se o pod tiver várias instâncias do Unified Access Gateway, especifique o endereço do balanceador de carga local como o FQDN.
    • Se o pod tiver apenas uma instância do Unified Access Gateway, especifique o endereço do Servidor de conexão emparelhado dessa instância como o FQDN.
    Public key URL thumbprints Para usar uma URL de chave pública para autenticação, insira a impressão digital SHA1 do certificado do pod do Horizon.
    Observação: Você pode configurar impressões digitais de URL de Chave Pública ou Certificados Confiáveis para autenticação. Você não precisa configurar as duas opções.
    Trusted Certificates Para usar um certificado diferente do certificado do pod do Horizon para autenticação, clique no ícone (+) e adicione o certificado confiável.
    Observação: Você pode configurar certificados confiáveis ou impressões digitais de URL da Chave Pública para autenticação. Você não precisa configurar as duas opções.
    Public key refresh interval Para obter melhores resultados, insira 900. Esse valor define o intervalo de atualização como 900 segundos ou 15 minutos.
    Static public keys Deixe essa opção definida como o valor padrão.
  6. Clique em Salvar e clique em Fechar.
  7. Se você quiser usar a autenticação de dois fatores para Universal Broker, ative a alternância Exibir para Configurações de Autenticação. Em seguida, ative e defina as configurações para um dos serviços de segurança compatíveis com Universal Broker: RSA SecurID ou RADIUS.
    Observação: Você deve primeiro configurar o serviço RADIUS ou RSA SecurID apropriado na instância do Unified Access Gateway para cada pod participante. As configurações de todas as instâncias do Unified Access Gateway dentro de um pod participante devem coincidir entre si e devem ser idênticas às configurações das instâncias do Unified Access Gateway em todos os outros pods participantes. Caso contrário, a autenticação no serviço do Universal Broker falhará.

    Por exemplo, se você quiser usar a autenticação RADIUS para seu Universal Broker, deverá configurar o serviço RADIUS idêntico em todas as instâncias do Unified Access Gateway em todos os pods participantes. Não é possível configurar o RADIUS em alguns pods participantes e o RSA SecurID em outros pods participantes.