部署方案

通过 Access Point，可以从远程安全访问客户数据中心内部部署的虚拟桌面和应用程序。它通过内部部署的 Horizon View 或 Horizon Air Hybrid-Mode 以实现统一管理。

Access Point 为企业提供了强大的用户身份安全保障，并且还能精确控制对他们已获授权的桌面和应用程序的访问。

Access Point 虚拟设备通常部署在网络隔离区 (DMZ) 中。部署在 DMZ 中可以确保进入数据中心并传送到桌面和应用程序资源的流量是经过严格身份验证的用户产生的流量。Access Point 虚拟设备还确保可以将经过身份验证的用户产生的流量仅传送到用户有权访问的桌面和应用程序资源。该保护级别包括具体检查桌面协议以及协调可能快速变化的策略和网络地址以准确地控制访问。

您必须验证使用 Horizon 无缝部署 Access Point 的要求。

• Access Point 设备指向 Horizon Server 前面的负载平衡器，因此，会动态选择服务器实例。

• Access Point 会替代 Horizon 安全服务器。

• 端口 443 必须可用于 Blast TCP/UDP。

• 在使用 Horizon 部署 Access Point 时，必须启用 Blast 安全网关和 PCoIP 安全网关。这样可以确保显示协议能够自动通过 Access Point 作为代理。BlastExternalURL 和 pcoipExternalURL 设置指定 Horizon Client 用于通过 Access Point 上的适当网关路由这些显示协议连接的连接地址。由于这些网关可以确保代表经过身份验证的用户对显示协议流量进行控制，因此，提高了安全性。Access Point 忽略未授权的显示协议流量。

• 在 View 连接服务器实例上禁用安全网关，并在 Access Point 设备上启用这些网关。

Access Point 与 View 安全服务器的主要差异如下所示。

• 安全部署。Access Point 实施为强化、锁定且预配置的基于 Linux 的虚拟机。

• 可扩展。您可以将 Access Point 连接到单个 View 连接服务器，也可以通过多个 View 连接服务器前的负载平衡器进行连接，从而提高了可用性。它作为 Horizon Client 和后端 View 连接服务器之间的一个层。由于部署速度较快，它可以快速扩展/收缩以满足快速变化的企业的要求。

或者，也可以将一个或多个 Access Point 设备指向单个服务器实例。在这两种方法中，在 DMZ 中的一个或多个 Access Point 设备前面使用负载平衡器。

身份验证

用户身份验证非常类似于 View 安全服务器。在 Access Point 中支持的用户身份验证方法包括：

• Active Directory 用户名和密码

• Kiosk 模式。有关 Kiosk 模式的详细信息，请参阅 Horizon 文档。

• RSA SecurID 双因素身份验证，通过了 RSA for SecurID 正式认证

• 通过一系列第三方、双因素安全供应商解决方案实现的 RADIUS

• 智能卡、CAC 或 PIV X.509 用户证书

• SAML

这些身份验证方法支持与 View 连接服务器一起使用。Access Point 不需要直接与 Active Directory 进行通信。该通信作为通过 View 连接服务器的代理，该服务器可以直接访问 Active Directory。在根据身份验证策略对用户会话进行身份验证后，Access Point 可以将授权信息请求以及桌面和应用程序启动请求转发到 View 连接服务器。Access Point 还管理其桌面和应用程序协议处理程序，以允许它们仅转发授权的协议流量。

Access Point 本身可以处理智能卡身份验证。这包括以下选项：Access Point 与在线证书状态协议 (Online Certificate Status Protocol, OCSP) 服务器进行通信，以检查 X.509 证书吊销等信息。