Este tópico explica como configurar as instâncias do Unified Access Gateway nos pods do Horizon para uso com o Universal Broker. Siga o procedimento para definir as configurações de Token Web JSON em cada instância do Unified Access Gateway para oferecer suporte ao servidor de encapsulamento e redirecionamento de protocolo exigidos pelo Universal Broker.

Observação: O procedimento a seguir só é necessário para instâncias do Unified Access Gateway em pods do Horizon com base em uma tecnologia do Horizon Connection Server. Para pods do Horizon Cloud no Microsoft Azure, as configurações do token Web JSON são automaticamente configuradas para você no momento da implantação do pod. Você não precisa realizar nenhuma configuração adicional do Token Web JSON para as instâncias do Unified Access Gateway em pods do Horizon Cloud (não baseadas na tecnologia do Horizon Connection Server).

Por seu design padrão, o Universal Broker espera usar as mesmas configurações de autenticação de dois fatores idênticas com cada pod na frota de pods do tenant. Também por design, quando o Universal Broker é definido com configurações de autenticação de dois fatores, ele forma a solicitação de autenticação e a transmite para uma instância externa do Unified Access Gateway que, em seguida, se comunica com o servidor de autenticação definido nas configurações dessa instância para lidar com a ação de autenticação específica. O Unified Access Gateway então retransmite a resposta do serviço de autenticação de volta para o Universal Broker.

Portanto, quando você deseja o Universal Broker mais a autenticação de dois fatores, deve configurar o mesmo serviço de autenticação idêntico em todas as instâncias externas do Unified Access Gateway em todos os pods na frota de pods do tenant. Para uma frota que consiste exclusivamente em pods do Horizon, o Universal Broker pode oferecer suporte ao uso do serviço RADIUS ou do serviço RSA SecurID em todas as instâncias do Unified Access Gateway.

No entanto, observe que, se o seu tenant tiver uma frota de pods combinada que consiste em pods do Horizon e pods do Horizon Cloud, as opções disponíveis dependerão de suas implantações do Horizon Cloud on Microsoft Azure atenderem às condições para ter a opção RSA SecurID disponível nelas. Se todos os pods do Horizon Cloud forem do manifesto 3139.x ou posterior e, no assistente Editar Pod, você vir a opção RSA SecurID, haverá a opção de configurar todos os pods para usar o tipo RSA SecurID. Caso contrário, você deve usar o RADIUS para satisfazer o requisito de ter o mesmo serviço de autenticação idêntico em toda a frota de pods.

Pré-requisitos

  • Verifique se você configurou o conjunto apropriado de dispositivos do Unified Access Gateway em cada pod do Horizon na sua frota de pods do tenant, de acordo com os casos de uso do usuário final para os quais você deseja oferecer suporte. Para obter uma breve descrição dos casos de uso, consulte Requisitos de sistema do Universal Broker para pods do Horizon.
  • Certifique-se de que esses dispositivos do Unified Access Gateway estejam executando a versão 3.8 ou posterior e atendam a todos os outros requisitos relacionados do Unified Access Gateway descritos em Requisitos de sistema do Universal Broker para pods do Horizon.
  • Para validar o emparelhamento de cada instância do Unified Access Gateway com seu respectivo pod, conecte-se diretamente à instância do Unified Access Gateway e verifique se você consegue acessar áreas de trabalho virtuais.

Procedimento

  1. Faça logon no Console Administrativo do Unified Access Gateway.
  2. Na seção Configurar Manualmente, clique em Selecionar.
  3. Em Configurações Avançadas, clique na engrenagem para as Configurações de JWT.
  4. Depois de clicar na caixa de engrenagem:
    • Se o seu software do Unified Access Gateway for uma versão anterior à versão 2209, clique em Adicionar.
    • Se o seu software do Unified Access Gateway for 2209 ou posterior, clique em Adicionar Consumidor JWT. A UI do Administrador do Unified Access Gateway lançou as alterações em sua versão 2209.
  5. Na caixa de UI que aparece, especifique as configurações.
    Configuração Descrição
    Name Insira um nome descritivo para o conjunto de configurações.
    Issuer Insira o nome do cluster do pod do Horizon, conforme exibido no Horizon Console.
    Cuidado: Este campo diferencia maiúsculas de minúsculas na UI do Administrador do Unified Access Gateway.

    Você deve digitar o nome do cluster com precisão e exatamente como o recuperou do Horizon Console.

    A UI do Unified Access Gateway não fornece nenhum aviso de que seus campos diferenciam maiúsculas de minúsculas e não valida a diferenciação de maiúsculas e minúsculas.

    Essa diferenciação entre maiúsculas e minúsculas também se aplica à palavra Cluster exibida no Horizon Console.

    Se você vir a palavra exibida no Horizon Console com um C maiúsculo e luster minúsculo, deverá corresponder exatamente a esse campo Emissor aqui e digitarCluster neste campo Emissor.

    Se você não garantir que o nome preciso com distinção entre maiúsculas e minúsculas seja digitado neste campo Emissor que corresponde exatamente ao nome que você vê no seu Horizon Console, isso causará problemas com o Universal Broker, no qual seus usuários finais serão incapazes de inicializar suas áreas de trabalho e aplicativos usando o FQDN do Universal Broker .

    Para localizar o nome do cluster do pod no Horizon Console, navegue até a área do Painel no Horizon Console e observe a área vertical superior da UI.

    Veja a seguir uma ilustração da localização do nome do cluster do pod no Horizon Console.

    Observe como a parte do Cluster desse nome exibido é uma combinação de uma letra maiúscula inicial e de letras minúsculas.

    Certifique-se de digitar o nome exibido com precisão no campo Emissor na UI do Administrador do Unified Access Gateway. O campo Emissor tem validação zero para ajudar a garantir que você digitou o nome corretamente.


    Nome do cluster do pod exibido no Horizon Console
    Dynamic Public key URL Você obtém o valor a ser digitado aqui do nome do host do Servidor de Conexão, do FQDN do Servidor de Conexão ou do balanceador de carga local (se o pod tiver várias instâncias de gateway).

    Insira https://<Horizon pod FQDN>/broker/publicKey/protocolredirection, onde <Horizon pod FQDN> é substituído pelo FQDN exclusivo do pod (nome de domínio completo). O FQDN geralmente é definido da seguinte maneira:

    • Se o pod tiver apenas uma instância do Unified Access Gateway, especifique o endereço do Servidor de conexão emparelhado dessa instância como o FQDN.
    • Se o pod tiver várias instâncias do Unified Access Gateway, especifique o endereço do balanceador de carga local como o FQDN.
    Public key URL thumbprints Este campo especifica o uso de uma URL de chave pública para autenticação.

    Para usar o certificado do Servidor de Conexão do pod para autenticação, digite a impressão digital SHA1 do certificado do Servidor de Conexão do pod do Horizon para o Servidor de Conexão que você usou para a URL da Chave Pública Dinâmica anterior.

    Observação: Você pode configurar impressões digitais de URL de Chave Pública ou Certificados Confiáveis para autenticação. Você não precisa configurar as duas opções.
    Trusted Certificates Para usar um certificado diferente do certificado do pod do Horizon para autenticação, clique no ícone (+) e adicione o certificado confiável.
    Observação: Você pode configurar certificados confiáveis ou impressões digitais de URL da Chave Pública para autenticação. Você não precisa configurar as duas opções.
    Public key refresh interval Para obter melhores resultados, insira 900. Esse valor define o intervalo de atualização como 900 segundos ou 15 minutos.
    Static public keys Deixe essa opção definida como o valor padrão.
  6. Clique em Salvar e clique em Fechar.
  7. Se você quiser usar a autenticação de dois fatores para Universal Broker, ative a alternância Exibir para Configurações de Autenticação. Em seguida, ative e defina as configurações para um dos serviços de autenticação de dois fatores compatíveis com o Universal Broker. Atualmente os dois serviços com suporte são RADIUS e RSA SecurID.
    Observação: Você deve configurar o serviço de autenticação de dois fatores apropriado na instância externa do Unified Access Gateway para cada pod participante. As configurações de todas as instâncias externas do Unified Access Gateway dentro de um pod participante devem coincidir entre si e devem ser idênticas às configurações das instâncias externas do Unified Access Gateway em todos os outros pods participantes. Caso contrário, a autenticação no serviço do Universal Broker falhará.

    Por exemplo, se quiser usar a autenticação RADIUS para seus pods Horizon configurados com o Universal Broker, você deverá configurar o serviço RADIUS idêntico em cada instância externa do Unified Access Gateway em todos os pods do Horizon participantes. Não é possível configurar o RADIUS em alguns pods participantes e o RSA SecurID em outros pods participantes.