Esse tópico explica como configurar as instâncias do Unified Access Gateway em pods do Horizon em uma plataforma baseada em VMware SDDC para uso com o Universal Broker. Siga o procedimento para definir as configurações de Token Web JSON em cada instância do Unified Access Gateway para oferecer suporte ao servidor de encapsulamento e redirecionamento de protocolo exigidos pelo Universal Broker.

Observação: O procedimento a seguir só é necessário para instâncias do Unified Access Gateway em pods do Horizon em uma plataforma baseada em VMware SDDC. Para pods do Horizon Cloud no Microsoft Azure, as configurações do token Web JSON são automaticamente configuradas para você no momento da implantação do pod. Você não precisa realizar nenhuma configuração adicional do token Web JSON para as instâncias do Unified Access Gateway em pods do Horizon Cloud no Microsoft Azure (não em uma plataforma baseada em VMware SDDC).

Quando seu tenant está configurado para o Universal Broker e você deseja que os usuários finais externos usem a autenticação de dois fatores, também deve configurar o serviço de RADIUS apropriado ou o serviço de RSA SecurID (disponível apenas para pods do Horizon) em todas as instâncias externas do Unified Access Gateway no pod.

Pré-requisitos

  • Verifique se você configurou uma instância externa do Unified Access Gateway, uma instância interna do Unified Access Gateway ou ambas para cada pod no seu ambiente do Universal Broker.
  • Verifique se você está executando a versão 3.8 ou posterior do Unified Access Gateway e se atendeu a todos os outros requisitos do Unified Access Gateway descritos em Requisitos do sistema para o Universal Broker.
  • Para validar o emparelhamento de cada instância do Unified Access Gateway com seu respectivo pod, conecte-se diretamente à instância do Unified Access Gateway e verifique se você consegue acessar áreas de trabalho virtuais.

Procedimento

  1. Faça logon no Console Administrativo do Unified Access Gateway.
  2. Na seção Configurar Manualmente, clique em Selecionar.
  3. Em Configurações Avançadas, clique na engrenagem para as Configurações de JWT.
  4. Para criar um conjunto de configurações de JWT, clique em Adicionar.
  5. Especifique as configurações necessárias na caixa de diálogo Configurações de JWT.
    Configuração Descrição
    Name Insira um nome descritivo para o conjunto de configurações.
    Issuer Insira o nome do cluster do pod do Horizon, conforme exibido no Horizon Console.

    Nome do cluster do pod exibido no Horizon Console
    Dynamic Public key URL Insira https://<Horizon pod FQDN>/broker/publicKey/protocolredirection, onde <Horizon pod FQDN> é substituído pelo FQDN exclusivo do pod (nome de domínio completo). O FQDN geralmente é definido da seguinte maneira:
    • Se o pod tiver várias instâncias do Unified Access Gateway, especifique o endereço do balanceador de carga local como o FQDN.
    • Se o pod tiver apenas uma instância do Unified Access Gateway, especifique o endereço do Servidor de conexão emparelhado dessa instância como o FQDN.
    Public key URL thumbprints Para usar uma URL de chave pública para autenticação, insira a impressão digital SHA1 do certificado do pod do Horizon.
    Observação: Você pode configurar impressões digitais de URL de Chave Pública ou Certificados Confiáveis para autenticação. Você não precisa configurar as duas opções.
    Trusted Certificates Para usar um certificado diferente do certificado do pod do Horizon para autenticação, clique no ícone (+) e adicione o certificado confiável.
    Observação: Você pode configurar certificados confiáveis ou impressões digitais de URL da Chave Pública para autenticação. Você não precisa configurar as duas opções.
    Public key refresh interval Para obter melhores resultados, insira 900. Esse valor define o intervalo de atualização como 900 segundos ou 15 minutos.
    Static public keys Deixe essa opção definida como o valor padrão.
  6. Clique em Salvar e clique em Fechar.
  7. Se você quiser usar a autenticação de dois fatores para Universal Broker, ative a alternância Exibir para Configurações de Autenticação. Em seguida, ative e defina as configurações para um dos serviços de segurança compatíveis com Universal Broker: RSA SecurID (disponível apenas para pods do Horizon) ou RADIUS.
    Observação: Você deve configurar o serviço de autenticação de dois fatores apropriado na instância externa do Unified Access Gateway para cada pod participante. As configurações de todas as instâncias externas do Unified Access Gateway dentro de um pod participante devem coincidir entre si e devem ser idênticas às configurações das instâncias externas do Unified Access Gateway em todos os outros pods participantes. Caso contrário, a autenticação no serviço do Universal Broker falhará.

    Por exemplo, se quiser usar a autenticação RADIUS para seus pods Horizon configurados com o Universal Broker, você deverá configurar o serviço RADIUS idêntico em cada instância externa do Unified Access Gateway em todos os pods do Horizon participantes. Não é possível configurar o RADIUS em alguns pods participantes e o RSA SecurID em outros pods participantes.