您可以使用Horizon Cloud with On-Premises Infrastructure 和 Horizon Air 云基础架构来部署 Unified Access Gateway。对于 Horizon 部署,Unified Access Gateway 设备将替代 Horizon 安全服务器。
前提条件
如果您想要在同一 Unified Access Gateway 实例上配置并启用 Horizon 和 Web 反向代理实例(例如 Workspace ONE Access),请参阅高级 Edge 服务设置。
过程
- 在管理 UI 的手动配置部分中,单击选择。
- 在常规设置中,打开 Edge 服务设置切换开关。
- 单击 Horizon 设置齿轮箱图标。
- 在“Horizon 设置”页面中,打开启用 Horizon 切换开关以启用 Horizon 设置。
- 为 Horizon 配置以下 Edge 服务设置资源:
选项
说明
标识符
默认情况下,设置为 Horizon。Unified Access Gateway 可与使用 Horizon XML 协议的服务器进行通信,例如,Horizon 连接服务器、Horizon Air 和Horizon Cloud with On-Premises Infrastructure。
连接服务器 URL
输入 Horizon Server 或负载均衡器的地址。输入为 https://00.00.00.00。
连接服务器 URL 指纹
注:仅当连接服务器 SSL 服务器证书不是由受信任的 CA 颁发时,才必须指定指纹。例如,自签名证书或内部 CA 颁发的证书。
以十六进制数字格式输入 Horizon Server 指纹列表。
指纹的格式为[alg=]xx:xx
...,其中alg
可以是 sha1(默认值)、sha256、sha384 和 sha512 或 md5,xx
是十六进制数字。哈希算法必须满足为最小哈希大小指定的要求。如果添加了多个指纹,则应以逗号分隔。分隔符可以是空格、冒号 (:) 或无分隔符。例如,sha1=C3 89 A2 19 DC 7A 48 2B 85 1C 81 EC 5E 8F 6A 3C 33 F2 95 C3、sha256=ad:5c:f1:48:47:94:7e:80:82:73:13:6c:83:52:b:e:78:ed:ff:50:23:56:a8:42:8a:d9:30:fc:3a:33:d6:c6:db、sha512=2221B24DC78018A8FAFF81B7AD348722390793DE8C0E5E5AA1D622BCC951D4DA5DBB1C76C79A258A7AFBD1727447151C90E1733E7E83A7D1D46ADF1A31C78496。
可以将证书指纹配置为用于对 Unified Access Gateway 与 Horizon Connection Server 之间的通信中返回的服务器证书进行证书验证。
可通过在 ini 文件的 [Horizon] 部分中添加 proxyDestinationUrlThumbprints 参数来在 PowerShell 部署期间配置此选项。请参阅使用 PowerShell 部署 Unified Access Gateway 设备。
遵循连接服务器重定向
当 Horizon 代理发送 HTTP 重定向 307 响应代码并打开了遵循连接服务器重定向切换开关时,对于会话中的当前和将来请求,Unified Access Gateway 将与 307 响应位置标头中指定的 URL 进行通信。
如果在连接服务器上选中启用主机重定向复选框,请确保在 Unified Access Gateway 上打开遵循连接服务器重定向切换开关。有关更多信息,请参阅 VMware Docs 上的《Horizon 安装和升级》指南中的启用主机重定向。
启用 PCOIP
打开此切换开关可指定是否启用 PCoIP 安全网关。
禁用 PCOIP 旧版证书
打开此切换开关可使用所上载的 SSL 服务器证书(而不是旧版证书)。如果打开此切换开关,旧版 PCoIP 客户端将无法运行。
PCOIP 外部 URL
Horizon Client 与该 Unified Access Gateway 设备建立 Horizon PCoIP 会话时使用的 URL。它必须包含一个 IPv4 地址(而不是主机名)。例如,10.1.2.3:4172。默认值为 Unified Access Gateway IP 地址和端口 4172。
启用 Blast
打开此切换开关可使用 Blast 安全网关。
Blast 外部 URL Horizon Client 与该 Unified Access Gateway 设备建立 Horizon Blast 或 BEAT 会话时使用的 URL。例如,https://uag1.myco.com 或 https://uag1.myco.com:443。
如果未指定 TCP 端口号,则默认 TCP 端口为 8443。如果未指定 UDP 端口号,则默认 UDP 端口也是 8443。
已启用 Blast 反向连接
打开此切换开关可启用 Blast 反向连接。
限制: 将为以后的用例添加此切换开关。连接服务器 IP 模式
指示 Horizon Connection Server 的 IP 模式。
此字段可以具有以下值:
IPv4
、IPv6
和IPv4+IPv6
。默认设置为
IPv4
。如果 Unified Access Gateway 设备中的所有网卡均采用 IPv4 模式(无 IPv6 模式),则此字段可以具有以下值之一:
IPv4
或IPv4+IPv6
(混合模式)。如果 Unified Access Gateway 设备中的所有网卡均采用 IPv6 模式(无 IPv4 模式),则此字段可以具有以下值之一:
IPv6
或IPv4+IPv6
(混合模式)。
客户端加密模式
指示 Horizon Client、Unified Access Gateway 和 Horizon Connection Server 之间通信的加密模式。
此选项的值为
DISABLED
、ALLOWED
和REQUIRED
。默认值为ALLOWED
。DISABLED
- Client Encryption Mode 选项已禁用。如果禁用,将继续使用现有行为。在低于 2111 的 Unified Access Gateway 版本中,允许在 Horizon Client、Unified Access Gateway 和 Horizon Connection Server 之间进行未加密的通信。
ALLOWED
- 在 Horizon Client 2111 或更高版本中,Unified Access Gateway 仅允许与 Horizon Client 和 Horizon Connection Server 进行加密的通信。在早期版本的 Horizon Client 中,允许进行未加密的通信。此行为与禁用该功能时的行为类似。
REQUIRED
- 仅允许在三个组件之间进行加密的通信。注: 如果在此加密模式下使用早期版本的 Horizon Client,则未加密的通信将失败,并且最终用户将无法启动 Horizon 桌面和应用程序。
启用 XML 签名
指示 XML 签名模式。此选项的值为AUTO
、ON
和OFF
。默认情况下,将关闭 XML 签名。限制: 将为以后的用例添加此切换开关。重写来源标头
如果 Unified Access Gateway 的入站请求具有 Origin 标头,并且重写来源标头切换开关处于打开状态,则 Unified Access Gateway 会使用连接服务器 URL 重写 Origin 标头。
重写来源标头切换开关与 Horizon Connection Server 的 checkOrigin CORS 属性一起使用。启用此字段后,Horizon 管理员无需在 locked.properties 文件中指定 Unified Access Gateway IP 地址。
有关来源检查的信息,请参阅《Horizon 安全指南》文档。
- 要配置身份验证方法规则和其他高级设置,请单击更多。
选项
说明
身份验证方法
默认设置是使用用户名和密码的直通身份验证。
支持以下身份验证方法:
Passthrough
、SAML
、SAML and Passthrough
、SAML and Unauthenticated
、SecurID
、SecurID and Unauthenticated
、X.509 Certificate
、X.509 Certificate and Passthrough
、Device X.509 Certificate and Passthrough
、RADIUS
、RADIUS and Unauthenticated
和X.509 Certificate or RADIUS
。重要说明:如果选择了任何
Unauthenticated
方法作为身份验证方法,请确保将 Horizon Connection Server 中的登录减速级别配置为Low
。访问远程桌面或应用程序时,需要进行此配置以避免端点登录长时间延迟。有关如何配置登录减速级别的更多信息,请参阅 VMware Docs 上的《Horizon 管理指南》中的配置登录减速以对已发布应用程序进行未验证访问。
启用 Windows SSO
当身份验证方法设置为 RADIUS,并且 RADIUS 密码与 Windows 域密码相同时,可以使用此切换开关。
打开此切换开关可使用 Windows 域登录凭据的 RADIUS 用户名和密码,而不必再次提示用户输入用户名和密码。
如果在多域环境中设置了 Horizon,并且提供的用户名不包含域名,则不会将域发送到 CS。
如果配置了 NameID 后缀,并且提供的用户名不包含域名,则会将所配置的 NameID 后缀值附加到用户名上。例如,如果用户提供了 jdoe 作为用户名,并且 NameIDSuffix 设置为 @north.int,则发送的用户名为 [email protected]。
如果配置了 NameID 后缀,并且提供的用户名为 UPN 格式,则将忽略 NameID 后缀。例如,如果用户提供了 [email protected],并且 NameIDSuffix 为 @south.int,则用户名为 [email protected]
如果提供的用户名格式为 <DomainName\username>(例如 NORTH\jdoe),则 Unified Access Gateway 会将用户名和域名分别发送到 CS。
RADIUS 类属性
当“身份验证方法”设置为 RADIUS 时,会启用此字段。单击“+”可为类属性添加值。输入要用于用户身份验证的类属性的名称。单击“-”可移除类属性。
注:如果将此字段留空,则不会执行其他授权。
免责声明文本
要在配置了身份验证方法的情况下显示给用户并要求用户接受的 Horizon 免责声明消息。
智能卡提示
打开此切换开关可为证书身份验证启用密码提示。
运行状况检查 URI 路径
Unified Access Gateway 为监控运行状况而连接的连接服务器的 URI 路径。
启用 UDP 服务器
网络条件较差时,可通过 UDP 隧道服务器建立连接。
当 Horizon Client 通过 UDP 发送请求时,Unified Access Gateway 收到的这些请求的源 IP 地址为
127.0.0.1
。Unified Access Gateway 会将相同的源 IP 地址发送到 Horizon Connection Server。要确保连接服务器收到请求的实际源 IP 地址,您必须在 Unified Access Gateway 管理 UI 中禁用该选项(启用 UDP 服务器)。
Blast 代理证书
Blast 的代理证书。单击选择可上载 PEM 格式的证书并将其添加到 BLAST 信任存储中。单击更改可替换现有证书。
如果用户手动将 Unified Access Gateway 的相同证书上载到负载均衡器,并且 Unified Access Gateway 和 Blast 网关需要使用不同的证书,则建立 Blast 桌面会话会失败,因为客户端与 Unified Access Gateway 之间的指纹不匹配。可为 Unified Access Gateway 或 Blast 网关输入自定义指纹,这样通过中继用于建立客户端会话的指纹即可解决该问题。
Blast 允许的主机标头值
输入 IP 地址或主机名
通过指定主机标头值,BSG(Blast 安全网关)仅允许那些包含指定主机标头值的请求。
可以指定以逗号分隔的
host[:port]
格式值列表。该值可以是 IP 地址、主机名或 FQDN 名称。到 Blast 安全网关的入站 Blast TCP 端口 8443 连接请求中的主机标头必须与字段中提供的其中一个值匹配。
要允许主机标头中不包含主机名或 IP 地址的请求,请使用
_empty_
。如果未指定任何值,则会接受 Horizon Client 发送的任何主机标头。
启用隧道
如果使用了 Horizon 安全隧道,请打开此切换开关。客户端使用外部 URL 以通过 Horizon 安全网关建立隧道连接。隧道用于传输 RDP、USB 和多媒体重定向 (Multimedia Redirection, MMR) 流量。
隧道外部 URL
Horizon Client 与该 Unified Access Gateway 设备建立 Horizon 隧道会话时使用的 URL。例如,https://uag1.myco.com 或 https://uag1.myco.com:443。
如果未指定 TCP 端口号,则默认 TCP 端口为 443。
隧道代理证书
Horizon 隧道的代理证书。单击选择可上载 PEM 格式的证书并将其添加到隧道信任存储中。单击更改可替换现有证书。
如果用户手动将 Unified Access Gateway 的相同证书上载到负载均衡器,并且 Unified Access Gateway 和 Horizon 隧道需要使用不同的证书,则建立隧道会话会失败,因为客户端与 Unified Access Gateway 之间的指纹不匹配。可为 Unified Access Gateway 或 Horizon 隧道输入自定义指纹,这样通过中继用于建立客户端会话的指纹即可解决该问题。
端点合规性检查提供程序
选择端点合规性检查提供程序。
默认设置为
None
。注:只有在管理 UI 中配置了合规性检查提供程序设置后,才能看到可供选择的选项。有关端点合规性检查提供程序及其配置的更多信息,请参阅Horizon 端点合规性检查。
身份验证合规性检查
用于在用户身份验证时禁用或启用端点合规性检查的选项。
在用户启动桌面或应用程序会话时,始终会检查合规性。启用此选项后,还会在用户成功通过身份验证后检查合规性。如果启用此选项,且合规性检查在身份验证时失败,则用户会话不会继续。
如果禁用此选项,则 Unified Access Gateway 只会在用户启动桌面或应用程序会话时检查合规性。
只有在选择了端点合规性检查提供程序后,此选项才可用。默认情况下,将启用此选项。
注意:如果在端点合规性检查提供程序设置页面上配置了合规性检查初始延迟选项,则会自动禁用身份验证合规性检查。Unified Access Gateway 不会检查身份验证合规性。有关时间间隔及配置此时间间隔后 Unified Access Gateway 行为的更多信息,请参阅延迟合规性检查的时间间隔。
此选项也作为一个参数存在于 .ini 文件的 [Horizon] 部分中,并且可以在使用 PowerShell 部署期间进行配置。有关参数名称,请参阅使用 PowerShell 部署 Unified Access Gateway 设备。
代理模式
输入可匹配与 Horizon Server URL (proxyDestinationUrl) 相关的 URI 的正则表达式。其默认值为
(/|/view-client(.*)|/portal(.*)|/appblast(.*))
。注:该模式还可用于排除某些 URL。例如,如果要允许所有 URL 都通过但会阻止 /admin,则可以使用以下表达式。
^/(?!admin(.*))(.*)
SAML SP
输入 Horizon XMLAPI 代理的 SAML 服务提供程序名称。该名称必须与配置的服务提供程序元数据的名称相匹配,或者是特殊值 DEMO。
启用代理模式规范匹配
打开此切换开关可启用 Horizon 规范匹配。Unified Access Gateway 将执行与
C RealPath()
等效的功能来标准化 URL 转换字符序列(例如%2E
)和移除..
序列以创建绝对路径。然后,对绝对路径应用代理模式检查。默认情况下,将为 Horizon Edge 服务打开此选项开关。
注:默认情况下,将为 Web 反向代理服务关闭此切换开关。
移除证书时注销
注:当选择任何智能卡身份验证方法作为身份验证方法时,此选项可用。
如果打开此切换开关并移除智能卡,则会强制最终用户从 Unified Access Gateway 会话中注销。
RADIUS 用户名标签
在 Horizon Client 中输入用于自定义用户名标签的文本。例如,
Domain Username
必须启用 RADIUS 身份验证方法。要启用 RADIUS,请参阅配置 RADIUS 身份验证。
默认标签名称为
Username
。标签名称的最大长度为 20 个字符。
RADIUS 通行码标签
输入名称以在 Horizon Client 中自定义通行码标签。例如,
Password
必须启用 RADIUS 身份验证方法。要启用 RADIUS,请参阅配置 RADIUS 身份验证。
默认标签名称为
Passcode
。标签名称的最大长度为 20 个字符。
匹配 Windows 用户名
打开此切换开关可与 RSA SecurID 和 Windows 用户名相匹配。如果打开此切换开关,则会将 securID-auth 设置为 true 并强制实施 securID 和 Windows 用户名匹配。
如果在多域环境中设置了 Horizon,并且提供的用户名不包含域名,则不会将域发送到 CS。
如果配置了 NameID 后缀,并且提供的用户名不包含域名,则会将所配置的 NameID 后缀值附加到用户名上。例如,如果用户提供了 jdoe 作为用户名,并且 NameIDSuffix 设置为 @north.int,则发送的用户名将为 [email protected]。
如果配置了 NameID 后缀,并且提供的用户名为 UPN 格式,则将忽略 NameID 后缀。例如,如果用户提供了 [email protected],并且 NameIDSuffix 为 @south.int,则用户名将为 [email protected]
如果提供的用户名格式为 <DomainName\username>(例如 NORTH\jdoe),则 Unified Access Gateway 会将用户名和域名分别发送到 CS。
注:在 Horizon 7 中,如果启用在客户端用户界面中隐藏服务器信息和在客户端用户界面中隐藏域列表设置,并为连接服务器实例选择双因素身份验证(RSA SecurID 或 RADIUS),请不要强制实施 Windows 用户名匹配。实施 Windows 用户名匹配将禁止用户在用户名文本框中输入域信息,登录将始终失败。有关更多信息,请参阅《Horizon 7 管理指南》文档中关于双因素身份验证的主题。
网关位置
发出连接请求的位置。网关位置是由安全服务器和 Unified Access Gateway 设置的。位置可以是
External
或Internal
。重要说明:如果选择了以下任意身份验证方法,必须将位置设置为
Internal
:SAML and Unauthenticated
、SecurID and Unauthenticated
或RADIUS and Unauthenticated
。显示连接服务器登录前消息 打开此选项开关可向用户显示在 XML-API 主协议运行期间在连接服务器上配置的任何连接服务器登录前消息。默认情况下,将为 Horizon Edge 服务打开此选项开关。 关闭此选项开关后,用户将看不到在连接服务器上配置的登录前消息。
JWT 生成者
从下拉菜单中选择已配置的 JWT 创建者。
注: 确保在“高级设置”的“JWT 生成者设置”部分中配置 名称字段。JWT 受众
可选的 JWT 预期收件人列表,用于 Workspace ONE Access Horizon SAML 项目验证。
要使 JWT 验证成功,此列表中必须至少有一个收件人与 Workspace ONE Access Horizon 配置中指定的某个受众匹配。如果未指定任何 JWT 受众,则 JWT 验证不会考虑受众。
JWT 使用者
选择已配置的 JWT 设置之一的 JWT 使用者名称。
注: 对于 Workspace ONE Access JWT SAML 项目验证,请确保在“高级设置”的“JWT 使用者设置”部分中配置 名称字段。受信任证书
单击 + 可选择 PEM 格式的证书并将其添加到信任存储中。
要提供其他名称,请编辑别名文本框。
默认情况下,别名是 PEM 证书的文件名。
单击 - 可从信任存储中移除证书。
响应安全标头
要添加标头,请单击 +。输入安全标头的名称。输入值。
要移除标头,请单击 -。编辑现有安全标头可更新标头的名称和值。
重要说明:只有在单击保存后,才会保存标头的名称和值。默认情况下会显示一些标准安全标头。仅当来自所配置的后端服务器的响应中未提供所配置的标头时,才会将相应标头添加到对客户端的 Unified Access Gateway 响应中。
注:修改安全响应标头时应小心谨慎。修改这些参数可能会影响 Unified Access Gateway 的安全功能。
客户端自定义可执行文件
此下拉框列出在 Unified Access Gateway 中配置的自定义可执行文件。
自定义可执行文件作为高级设置的一部分进行配置。可以为多个操作系统类型配置一个可执行文件。如果将可执行文件添加到 Horizon 设置,则还会包含该可执行文件的所有操作系统类型。之后,该可执行文件便可供 Horizon Client 在用户成功通过身份验证后自动在端点设备上下载并运行。
有关配置自定义可执行文件的信息,请参阅在 Unified Access Gateway 上配置客户端自定义可执行文件。
主机端口重定向映射
有关 Unified Access Gateway 如何支持 HTTP 主机重定向功能,以及使用此功能所需的某些注意事项的信息,请参阅Unified Access Gateway 的 HTTP 主机重定向支持。
注:源主机和重定向主机支持可选端口(以冒号分隔)。默认端口号为
443
。源主机:端口
输入源的主机名(主机标头值)。
重定向主机:端口
输入必须维护其与 Horizon Client 关联性的单个 Unified Access Gateway 设备的主机名。
主机条目
输入要添加到 /etc/hosts 文件中的详细信息。每个条目均应按顺序包含一个 IP、一个主机名和一个可选主机名别名,并且以空格分隔。例如,10.192.168.1 example1.com, 10.192.168.2 example2.com example-alias。单击“+”号可添加多个主机条目。
重要说明:只有在您单击保存后,才会保存主机条目。
SAML 受众
确保选择 SAML 或 SAML 和直通身份验证方法。
输入受众 URL。
注:如果将此文本框留空,受众将不受限制。
要了解 Unified Access Gateway 支持 SAML 受众的方式,请参阅SAML 受众。
SAML 未验证用户名属性
输入自定义属性名称
注:仅当身份验证方法的值为
SAML and Unauthenticated
时,此字段才可用。在 Unified Access Gateway 验证 SAML 断言时,如果断言中存在此字段中指定的属性名称,则 Unified Access Gateway 会向为身份提供程序中的属性配置的用户名提供未验证访问。
有关
SAML and Unauthenticated
方法的详细信息,请参阅Unified Access Gateway 和第三方身份提供程序集成的身份验证方法。默认未验证用户名
输入必须用于未验证访问的默认用户名
如果选择了以下任一身份验证方法,则可在管理 UI 中使用此字段:
SAML and Unauthenticated
、SecurID and Unauthenticated
以及RADIUS and Unauthenticated
。注:对于
SAML and Unauthenticated
身份验证方法,仅当 SAML 未验证用户名属性字段为空或 SAML 断言中缺少此字段中指定的属性名称时,才会使用用于未验证访问的默认用户名。禁用 HTML Access
如果打开此切换开关,将禁用对 Horizon 的 Web 访问。有关详细信息,请参阅将 OPSWAT 配置为 Horizon 的端点合规性检查提供程序。
- 单击保存。