Este tópico descreve as etapas e as boas práticas de alto nível que você pode usar para configurar a autenticação de dois fatores para o serviço de Universal Broker.
Como a autenticação de dois fatores funciona com o Universal Broker
Por padrão, o Universal Broker autentica os usuários exclusivamente por meio do nome de usuário e senha do Active Directory deles. Você pode implementar a autenticação de dois fatores opcional especificando um serviço de autenticação adicional.
A partir da versão de serviço 2203, o Universal Broker oferece suporte aos serviços de autenticação de dois fatores a seguir com implantações do Horizon e do Horizon Cloud on Microsoft Azure.
- RADIUS
- RSA SecurID
O Universal Broker depende da configuração das instâncias externas do Unified Access Gateway em cada pod participante ao executar a autenticação de dois fatores dos usuários da rede. Embora você também possa configurar instâncias internas do Unified Access Gateway para lidar com a autenticação e o roteamento de usuários de rede internos, o Universal Broker baseia sua autenticação de dois fatores no serviço de autenticação que está configurado nas instâncias externas do Unified Access Gateway.
Por exemplo, se quiser usar a autenticação RADIUS para seus pods Horizon configurados com o Universal Broker, você deverá configurar o serviço RADIUS idêntico em cada instância externa do Unified Access Gateway em todos os pods do Horizon participantes. Não é possível configurar o RADIUS em alguns pods participantes e o RSA SecurID em outros pods participantes.
Quando você quiser ativar a autenticação de dois fatores para usuários em ambas as redes externas e internas
- Para cada pod em seu ambiente Universal Broker, configure pelo menos uma instância externa do Unified Access Gateway. Configure o serviço de autenticação de dois fatores idêntico em cada instância externa do Unified Access Gateway em todos os pods.
Siga as diretrizes de configuração para o seu caso de uso específico. Quando a frota de seu tenant tem:
- Somente pods do Horizon
- Configure o serviço RADIUS ou RSA SecurID em cada instância externa do Unified Access Gateway em todos os pods.
- Somente implantações do Horizon Cloud on Microsoft Azure
- Configure o mesmo serviço de autenticação de dois fatores em cada instância externa do Unified Access Gateway em todos os pods. Se todos os pods forem do manifesto 3139.x ou posterior e a opção RSA SecurID estiver disponível nas configurações de autenticação de dois fatores quando você executar o assistente para Editar Pod nos pods, haverá a opção de configurar todos os pods para usar o tipo RSA SecurID. Caso contrário, o tipo RADIUS estará disponível.
- Combinação de pods do Horizon e implantações do Horizon Cloud on Microsoft Azure
-
Em uma frota combinada, as opções disponíveis dependem do fato de suas implantações do
Horizon Cloud on Microsoft Azure atenderem às condições para ter a opção RSA SecurID disponível nelas.
- Se suas implantações do Horizon Cloud on Microsoft Azure não atenderem às condições para ter o tipo RSA SecurID configurado nelas, você poderá configurar o serviço RADIUS em cada instância externa do Unified Access Gateway em todos os pods da frota.
- Se suas implantações do Horizon Cloud on Microsoft Azure atenderem às condições para ter o tipo RSA SecurID configurado nelas, você poderá configurar o RSA SecurID ou o RADIUS em cada instância externa do Unified Access Gateway em todos os pods da frota.
Para pods do Horizon, consulte a documentação do Unified Access Gateway, a documentação do VMware Horizon e a documentação do VMware Horizon 7.
Para pods do Horizon Cloud no Microsoft Azure, consulte Adicionar uma configuração de gateway a um pod implantado do Horizon Cloud e Ativar a autenticação de dois fatores nos gateways do pod do Horizon Cloud.
- Opcionalmente, configure uma instância interna do Unified Access Gateway para cada pod. Para rotear o tráfego do usuário para seus respectivos servidores DNS internos e externos, siga um destes procedimentos:
- Configure FQDNs distintos para as instâncias internas e externas do Unified Access Gateway no pod.
- Configure o mesmo FQDN para as instâncias internas e externas do Unified Access Gateway no pod. Em seguida, configure as zonas DNS divididas para o FQDN do balanceador de carga do pod.
- (Somente pods do Horizon) Defina as configurações de Token Web JSON em cada instância do Unified Access Gateway para oferecer suporte ao servidor de encapsulamento e redirecionamento de protocolo exigidos pelo Universal Broker. Consulte Pods do Horizon - Configure o Unified Access Gateway para uso com o Universal Broker.
- Na página Autenticação do assistente de configuração do Universal Broker, especifique as seguintes configurações:
- Ative a alternância Autenticação de Dois Fatores.
- Para Tipo, selecione o serviço de autenticação que você configurou em todas as instâncias externas do Unified Access Gateway em seus pods.
- Defina a alternância Ignorar a autenticação de dois fatores na posição desativado.
Quando você desejar ativar a autenticação de dois fatores somente para usuários na rede externa
- Conclua as etapas de 1 a 3, conforme descrito no caso de uso anterior, "Quando você desejar ativar a autenticação de dois fatores para usuários em redes externas e internas".
- Na guia Intervalos de rede da página Agente, defina os intervalos de IPs públicos que representam a rede interna. Consulte Definir intervalos de rede interna para o Universal Broker.
- Na página Autenticação do assistente de configuração do Universal Broker, especifique as seguintes configurações:
- Ative a alternância Autenticação de Dois Fatores.
- Para Tipo, selecione o serviço de autenticação que você configurou em todas as instâncias externas do Unified Access Gateway em seus pods.
- Ative a alternância Ignorar autenticação de dois fatores.
