Para usar o Universal Broker para alocar recursos de atribuições de várias nuvens, você deve definir determinadas configurações. Essas configurações incluem o nome de domínio completo (FQDN) para o serviço do Universal Broker e a autenticação de dois fatores opcional. Você também pode configurar valores de tempo limite de sessão e acesso de usuário a certos recursos do Horizon.

O assistente de configuração para Universal Broker é aberto automaticamente depois que você seleciona o Universal Broker como seu método de intermediação para todo o tenant. Você também pode abrir o assistente de configuração manualmente.

Pré-requisitos

Prepare os componentes do sistema necessários de acordo com o seu tipo de pod.

Pods do Horizon implantados no local ou no VMware Cloud on AWS:

Pods no Microsoft Azure:

Importante: Verifique se todos os pods no Microsoft Azure estão online, íntegros e prontos. O serviço Universal Broker precisa se comunicar com os pods e realizar algumas etapas de configuração neles para concluir o processo de configuração. Se qualquer um dos pods estiver offline ou indisponível, haverá falha na instalação do Universal Broker.

Procedimento

  1. Se necessário, abra o assistente de configuração para configurar o Universal Broker.
    • Na página Introdução, acesse Configuração Geral > Agente e clique em Ir. Em seguida, clique em Configurar para especificar uma nova configuração ou clique no ícone de lápis para editar uma configuração existente.
    • Selecione Configurações > Agente. Em seguida, clique em Configurar para especificar uma nova configuração ou clique no ícone de lápis para editar uma configuração existente.
    O assistente de configuração para o Universal Broker é exibido.
  2. Na página FQDN do assistente, defina as configurações para o FQDN de conexão de intermediação. Essas configurações definem o endereço de conexão dedicado que seus usuários finais usarão para acessar os recursos alocados pelo Universal Broker.
    Observação: Quando você modifica uma configuração de subdomínio ou de FQDN, pode levar algum tempo para a alteração entrar em vigor em todos os servidores DNS.
    1. Para Tipo, selecione um nome de domínio completo (FQDN) Fornecido pela VMware ou Personalizado.
    2. Especifique configurações adicionais para o tipo de FQDN selecionado.
      • Se você tiver selecionado o tipo Fornecido pela VMware, especifique as configurações da seguinte maneira.
        Configuração Descrição
        Sub Domain Insira o nome DNS exclusivo de um subdomínio válido na sua configuração de rede que representa sua empresa ou organização. Esse subdomínio é prefixado no domínio fornecido pela VMware para formar o FQDN de intermediação.
        Brokering FQDN Esse campo somente leitura exibe o FQDN configurado. O FQDN usa o formato https://<seu subdomínio>vmwarehorizon.com.

        Forneça esse FQDN aos seus usuários finais para permitir que eles se conectem ao serviço Universal Broker usando o Horizon Client.

        O Universal Broker gerencia a validação de DNS e SSL desse FQDN.

        A seguinte captura de tela mostra um exemplo do assistente de configuração com as configurações do FQDN fornecido pela VMware preenchidas.


        Assistente de configuração do Universal Broker com as configurações de FQDN fornecidas pela VMware preenchidas
      • Se você tiver selecionado o tipo Personalizado, especifique as configurações da seguinte maneira.
        Configuração Descrição
        Brokering FQDN Insira o FQDN personalizado que os usuários finais usarão para acessar o serviço do Universal Broker. Seu FQDN personalizado funciona como um alias para o FQDN fornecido pela VMware gerado automaticamente que realiza a conexão com o serviço.

        Você deve ser o proprietário do nome de domínio especificado no seu FQDN personalizado e fornecer um certificado que possa validar esse domínio.

        Observação: Seu FQDN personalizado, também conhecido como URL de conexão, representa sua empresa ou organização. Certifique-se de ter autorização apropriada para usar esse FQDN personalizado.
        Importante: Você deve criar um registro CNAME no servidor DNS que mapeia seu FQDN personalizado para o FQDN fornecido pela VMware representando o endereço de conexão interna do serviço do Universal Broker. Por exemplo, o registro pode mapear vdi.examplecompany.com para <cadeia de caracteres gerada automaticamente>.vmwarehorizon.com.
        Certificate Clique em Procurar e carregue o certificado (no formato PFX protegido por senha) que valida seu FQDN de intermediação. O certificado deve ser assinado por uma autoridade de certificação confiável e o nome alternativo da entidade (SAN) do certificado deve corresponder ao FQDN.

        O arquivo PFX deve conter a cadeia de certificados inteira e a chave privada: certificado de domínio, certificados intermediários, certificado da CA raiz, chave privada.

        O serviço Universal Broker usa esse certificado para estabelecer sessões de conexão confiáveis com clientes.

        Password Insira a senha para o arquivo de certificado PFX.
        VMware Provided FQDN Esse campo somente leitura exibe o FQDN fornecido pela VMware que é criado automaticamente para o serviço de intermediação. O FQDN obtém o formato https://<cadeia de caracteres gerada automaticamente>.vmwarehorizon.com.

        O FQDN fornecido pela VMware não é visível para os usuários finais e representa o endereço de conexão interna do serviço Universal Broker. Seu FQDN personalizado funciona como um alias para o FQDN fornecido pela VMware.

        Importante: Você deve configurar uma associação de alias criando um registro CNAME no servidor DNS que mapeia seu FQDN personalizado para o FQDN fornecido pela VMware. Por exemplo, o registro pode mapear vdi.examplecompany.com para <cadeia de caracteres gerada automaticamente>.vmwarehorizon.com.

        A seguinte captura de tela mostra um exemplo do assistente de configuração com as configurações do FQDN personalizado preenchidas.


        Assistente de configuração do Universal Broker com as configurações do FQDN personalizadas preenchidas
    3. Quando você terminar de definir as configurações de FQDN, clique em Avançar para ir para a próxima página do assistente.
  3. (Opcional) Na página Autenticação do assistente, configure a autenticação de dois fatores.
    Por padrão, o Universal Broker autentica os usuários exclusivamente por meio do nome de usuário e senha do Active Directory deles. Você pode implementar a autenticação de dois fatores especificando um método de autenticação adicional.
    Importante: Para usar a autenticação de dois fatores para o Universal Broker, você deve primeiro configurar o serviço de autenticação apropriado em cada instância do Unified Access Gateway para cada pod participante. As configurações de instâncias do Unified Access Gateway devem ser idênticas dentro dos pods participantes e entre eles.

    Por exemplo, se você quiser usar a autenticação RADIUS, deverá configurar o serviço RADIUS em cada instância do Unified Access Gateway em todos os pods e pods do Horizon participantes no Microsoft Azure.

    Não exclua nenhuma instância do Unified Access Gateway dentro dos pods participantes. Como o Universal Broker depende do Unified Access Gateway para o tráfego de protocolos entre o Horizon Client e os recursos virtuais, os usuários não poderão acessar recursos provisionados de um pod participante se você excluir a instância do Unified Access Gateway desse pod.

    Configuração Descrição
    2 Factor Authentication

    Para usar a autenticação de dois fatores, ative essa alternância.

    Quando você ativa a alternância, aparecem opções adicionais para configurar a autenticação de dois fatores.

    Type

    Especifique o método de autenticação que deseja usar além do nome de usuário e senha do Active Directory.

    • Para usar a autenticação de dois fatores em seus pods e pods do Horizon no Microsoft Azure, selecione RADIUS.
    • Para usar a autenticação de dois fatores apenas para os pods do Horizon, selecione RSA SecurID.
    Observação: Nesta versão, o RSA SecurID é compatível com os pods do Horizon, mas não com os pods no Microsoft Azure. Se você selecionar RSA SecurID, serão feitas tentativas de solicitações de autenticação RSA dos usuários apenas por meio das instâncias do Unified Access Gateway dos seus pods do Horizon. As tentativas de solicitações de autenticação com nome de usuário e senha do Active Directory serão feitas por meio das instâncias do Unified Access Gateway de pods do Horizon ou do Microsoft Azure.
    Maintain User Name Ative essa alternância para manter o nome de usuário do Active Directory do usuário durante a autenticação no Universal Broker. Quando ativado:
    • O usuário deve ter as mesmas credenciais de nome de usuário para o método de autenticação adicional que para a autenticação do Active Directory no Universal Broker.
    • O usuário não pode alterar o nome de usuário na tela de logon do cliente.

    Se esse botão de alternância estiver desativado, o usuário poderá digitar outro nome de usuário na tela de logon.

    Show Hint Text Habilite essa opção para configurar uma cadeia de caracteres de texto exibida na tela de login do cliente para ajudar a solicitar ao usuário as credenciais para o método de autenticação adicional.
    Custom Hint Text Insira a cadeia de texto que você deseja exibir na tela de logon do cliente. A dica especificada aparece para o usuário final como Enter your DisplayHint user name and password, em que DisplayHint é a cadeia de caracteres de texto que você especifica nessa caixa de texto.

    Essa dica pode ajudar a orientar os usuários a inserir as credenciais corretas. Por exemplo, especificar a frase Nome de usuário e senha de domínio da empresa abaixo para resultaria em um aviso para o usuário final que diz: Enter your Company user name and domain password below for user name and password.

    A captura de tela a seguir mostra um exemplo do assistente de configuração com as configurações de autenticação de dois fatores preenchidas.

    Assistente de configuração do Universal Broker com as configurações de autenticação de dois fatores preenchidas
    Quando você terminar de configurar a autenticação de dois fatores, clique em Avançar para prosseguir para a próxima página do assistente.
  4. Na página Configurações do assistente de configuração, configure Durações para Horizon Client.
    Essas configurações de tempo limite se aplicam à sessão de conexão entre o Horizon Client e a área de trabalho atribuída alocada pelo Universal Broker. Essas configurações não se aplicam à sessão de logon do usuário para o sistema operacional convidado da área de trabalho atribuída. Quando o Universal Broker detecta as condições de tempo limite especificadas por essas configurações, ele fecha a sessão de conexão do Horizon Client do usuário.
    Configuração Descrição
    Client Heartbeat Interval Controla o intervalo, em minutos, entre as heartbeats do Horizon Client e o estado da conexão do usuário para o Universal Broker. Essas heartbeats relatam para o Universal Broker quanto tempo ocioso passou durante a sessão de conexão do Horizon Client.

    O tempo ocioso é medido quando não ocorre nenhuma interação com o dispositivo de endpoint que executa o Horizon Client. Esse tempo ocioso não é afetado pela inatividade na sessão de logon para o sistema operacional convidado que se baseia na área de trabalho atribuída do usuário.

    Em implantações de área de trabalho grandes, aumentar o Intervalo de Pulsação do Cliente pode reduzir o tráfego de rede e melhorar o desempenho.

    Client Idle User Tempo ocioso máximo, em minutos, permitido durante uma sessão de conexão entre o Horizon Client e o Universal Broker.

    Quando o tempo máximo é atingido, o período de autenticação do usuário expira, e o Universal Broker fecha todas as sessões ativas do Horizon Client. Para reabrir uma sessão de conexão, o usuário deve inserir novamente as credenciais de autenticação na tela de logon do Universal Broker.

    Observação: Para evitar a desconexão inesperada de usuários de suas áreas de trabalho atribuídas, defina o tempo limite Usuário Ocioso do Cliente como um valor que tenha pelo menos o dobro do Intervalo de Pulsação do Cliente.
    Client Broker Session O tempo máximo, em minutos, permitido para uma sessão de conexão do Horizon Client antes que a autenticação do usuário expire. A hora começa quando o usuário é autenticado no Universal Broker. Quando o tempo limite da sessão é atingido, o usuário pode continuar a trabalhar na área de trabalho atribuída. No entanto, se ele executar uma ação, como alterar alguma configuração, que exige comunicação com o Universal Broker, o Horizon Client solicitará que ele insira novamente as credenciais do Universal Broker.
    Observação: O tempo limite da Sessão do Agente do Cliente deve ser maior ou igual à soma do valor do Intervalo de Pulsação do Cliente e do tempo limite do Usuário Ocioso do Cliente.
    Client Credential Cache Controla se as credenciais de logon do usuário devem ser armazenadas no cache do sistema do cliente. Insira 1 para armazenar as credenciais do usuário no cache. Insira 0 se você não quiser armazenar as credenciais do usuário no cache.
  5. Na página Configurações do assistente de configuração, configure Detalhes da Política.
    Os Detalhes da Política controlam se os usuários finais podem acessar determinados recursos do Horizon, desde que os recursos estejam disponíveis na área de trabalho e no cliente.
    Configuração Descrição
    Multimedia Redirection (MMR) Habilite essa alternância para permitir que os usuários finais acessem o recurso de redirecionamento de multimídia, se o recurso estiver disponível na área de trabalho e no cliente.
    USB Access Habilite essa alternância para permitir aos usuários finais o recurso de redirecionamento USB, se o recurso estiver disponível na área de trabalho e no cliente.
    Clean Up HTML Access Credentials When Tab is Closed

    Ativar essa configuração remove as credenciais de um usuário do cache quando um usuário fecha uma guia que se conecta a uma área de trabalho remota ou fecha uma guia que se conecta à página de seleção da área de trabalho, no cliente do HTML Access.

    Quando essa configuração está habilitada, as credenciais também são removidas do cache nos seguintes cenários de cliente HTML Access:

    • Um usuário atualiza a página de seleção da área de trabalho ou a página de sessão remota.
    • O servidor apresenta um certificado autoassinado, um usuário inicia uma área de trabalho remota, e o usuário aceita o certificado quando o aviso de segurança é exibido.
    • Um usuário executa um comando URI na guia que contém a sessão remota.

    Quando essa configuração está desativada, as credenciais permanecem em cache.

    Allow Client to Wait for Powered-Off VM A ativação dessa configuração permite que o Horizon Client repita as solicitações de conexão para uma área de trabalho remota que não está disponível no momento.

    Por exemplo, um usuário cliente pode solicitar uma área de trabalho que está atualmente desligada. Com essa configuração habilitada, o Horizon Client poderá reenviar a solicitação de conexão e estabelecer uma sessão de conexão quando a área de trabalho estiver ligada e disponível.

    Quando terminar de configurar os Detalhes da Política, clique em Avançar para prosseguir para a próxima etapa do assistente.
  6. Reveja as configurações na página Resumo e, em seguida, clique em Concluir para salvar e aplicar a configuração.
    Normalmente, leva alguns segundos para que as definições de configuração tenham efeito total no serviço Universal Broker, já que os registros de DNS são propagados nos servidores DNS em todas as regiões globais. No entanto, dependendo das condições do sistema e da rede, esse processo pode levar até 30 minutos para ser concluído. Durante esse tempo, o serviço Universal Broker não estará disponível. Quando a configuração é concluída, a seção Agente na página Introdução mostra Concluído, e a página Configurações > Agente mostra o status Ativado com um ponto verde.
    Importante: Se houver falha na configuração do Universal Broker, a página Configurações > Agente mostrará o status Erro com um ícone de alerta vermelho. Para corrigir a falha de configuração e configurar o serviço Universal Broker, entre em contato com o Suporte da VMware, conforme descrito no Artigo 2006985 da Base de Dados de Conhecimento (Knowledge Base, KB) da VMware.

O que Fazer Depois