Este tópico descreve as etapas e as boas práticas de alto nível que você pode usar para configurar a autenticação de dois fatores para o serviço de Universal Broker.

Como a autenticação de dois fatores funciona com o Universal Broker

Por padrão, o Universal Broker autentica os usuários exclusivamente por meio do nome de usuário e senha do Active Directory deles. Você pode implementar a autenticação de dois fatores opcional especificando um serviço de autenticação adicional. O Universal Broker dá suporte aos serviços de autenticação de dois fatores a seguir, dependendo dos tipos de pod que você implantou em seu ambiente de tenant.

  • Se o seu ambiente contiver apenas pods do Horizon Cloud no Microsoft Azure, o Universal Broker será compatível somente com a autenticação Radius.
  • Se o seu ambiente contiver apenas pods do Horizon em uma plataforma baseada em VMware SDDC , o Universal Broker será compatível somente com autenticação Radius e RSA SecurID.
  • Se você tiver um ambiente misto contendo pods do Horizon Cloud no Microsoft Azure e pods do Horizon em uma plataforma baseada em VMware SDDC, o Universal Broker será compatível somente com a autenticação Radius.

O Universal Broker depende da configuração das instâncias externas do Unified Access Gateway em cada pod participante ao executar a autenticação de dois fatores dos usuários da rede. Embora você também possa configurar instâncias internas do Unified Access Gateway para lidar com a autenticação e o roteamento de usuários de rede internos, o Universal Broker baseia sua autenticação de dois fatores no serviço de autenticação que está configurado nas instâncias externas do Unified Access Gateway.

Observação: Você deve configurar o serviço de autenticação de dois fatores apropriado na instância externa do Unified Access Gateway para cada pod participante. As configurações de todas as instâncias externas do Unified Access Gateway dentro de um pod participante devem coincidir entre si e devem ser idênticas às configurações das instâncias externas do Unified Access Gateway em todos os outros pods participantes. Caso contrário, a autenticação no serviço do Universal Broker falhará.

Por exemplo, se quiser usar a autenticação RADIUS para seus pods Horizon configurados com o Universal Broker, você deverá configurar o serviço RADIUS idêntico em cada instância externa do Unified Access Gateway em todos os pods do Horizon participantes. Não é possível configurar o RADIUS em alguns pods participantes e o RSA SecurID em outros pods participantes.

Quando você quiser ativar a autenticação de dois fatores para usuários em ambas as redes externas e internas

  1. Para cada pod em seu ambiente Universal Broker, configure pelo menos uma instância externa do Unified Access Gateway. Configure o serviço de autenticação de dois fatores idêntico em cada instância externa do Unified Access Gateway em todos os pods.

    Siga as diretrizes de configuração para seu caso de uso específico:

    • Se o seu ambiente consistir apenas em pods do Horizon, configure o serviço RADIUS ou RSA SecurID em cada instância externa do Unified Access Gateway em todos os pods.
    • Se o seu ambiente consistir apenas nos pods do Horizon Cloud no Microsoft Azure, configure o serviço RADIUS em cada instância externa do Unified Access Gateway em todos os pods.
    • Se você tiver um ambiente híbrido que contenha um misto de pods do Horizon e pods do Horizon Cloud no Microsoft Azure, configure o serviço RADIUS em cada instância externa do Unified Access Gateway em todos os pods.

    Para pods do Horizon, consulte a documentação do Unified Access Gateway, a documentação do VMware Horizon e a documentação do VMware Horizon 7. Para pods do Horizon Cloud no Microsoft Azure, consulte Especificar a configuração de gateway de pod do Horizon Cloud.

  2. Opcionalmente, configure uma instância interna do Unified Access Gateway para cada pod. Para rotear o tráfego do usuário para seus respectivos servidores DNS internos e externos, siga um destes procedimentos:
    • Configure FQDNs distintos para as instâncias internas e externas do Unified Access Gateway no pod.
    • Configure o mesmo FQDN para as instâncias internas e externas do Unified Access Gateway no pod. Em seguida, configure as zonas DNS divididas para o FQDN do balanceador de carga do pod.
  3. (Somente pods do Horizon) Defina as configurações de Token Web JSON em cada instância do Unified Access Gateway para oferecer suporte ao servidor de encapsulamento e redirecionamento de protocolo exigidos pelo Universal Broker. Consulte Pods do Horizon - Configure o Unified Access Gateway para uso com o Universal Broker.
  4. Na página Autenticação do assistente de configuração do Universal Broker, especifique as seguintes configurações:
    1. Ative a alternância Autenticação de dois fatores.
    2. Para Tipo, selecione o serviço de autenticação que você configurou em todas as instâncias externas do Unified Access Gateway em seus pods.
    3. Defina a alternância Ignorar a autenticação de dois fatores na posição desativado.

    Consulte Definição das configurações do Universal Broker.

Quando você desejar ativar a autenticação de dois fatores somente para usuários na rede externa

  1. Conclua as etapas de 1 a 3, conforme descrito no caso de uso anterior, "Quando você desejar ativar a autenticação de dois fatores para usuários em redes externas e internas".
  2. Na guia Intervalos de rede da página Agente, defina os intervalos de IPs públicos que representam a rede interna. Consulte Definir intervalos de rede interna para o Universal Broker.
  3. Na página Autenticação do assistente de configuração do Universal Broker, especifique as seguintes configurações:
    1. Ative a alternância Autenticação de dois fatores.
    2. Para Tipo, selecione o serviço de autenticação que você configurou em todas as instâncias externas do Unified Access Gateway em seus pods.
    3. Ative a alternância Ignorar autenticação de dois fatores.

    Consulte Definição das configurações do Universal Broker.