“SAML”、“SAML 和直通”以及“SAML 和未验证”是受支持的身份验证方法,可用于将 UAG (Unified Access Gateway) 与第三方身份提供程序集成,以控制对 Horizon 桌面和应用程序的访问。身份验证方法可确定对 Horizon 用户进行身份验证的方式。

在 UAG 中配置 Horizon 设置时,您必须选择一种身份验证方法。

SAML

在 SAML 身份验证方法中,UAG 首先验证 SAML 断言。如果 SAML 断言有效,UAG 会将 SAML 断言传递到 Horizon Connection Server。要使 Horizon Connection Server 接受断言,必须使用身份提供程序的元数据配置该连接服务器。用户访问 Horizon Client 时,系统会向用户提供授权,而不会提示用户提供 Active Directory 凭据。

注: 如果在 Horizon Connection Server 上启用了 TrueSSO 设置,则必须使用 SAML 身份验证方法。

SAML 和直通

在“SAML 和直通”身份验证方法中,UAG 会验证 SAML 断言。如果 SAML 断言有效,则在访问 Horizon Client 时,系统会提示用户提供 Active Directory 身份验证凭据。在此身份验证方法中,UAG 不会将 SAML 断言传递到 Horizon Connection Server

SAML 和未验证

在“SAML 和未验证”方法中,Unified Access Gateway 会将 SAML 用户身份验证与 Horizon 的未验证访问功能结合使用。如果 SAML 断言有效,则用户可以访问 RDS 托管的应用程序,而无需进行进一步身份验证。在 Horizon 未验证访问功能中,会将基于角色的用户别名与 Horizon 结合使用以确定应用程序授权。用户别名可由 Horizon 用作默认别名。此别名还可以在 Unified Access Gateway 配置(默认未验证用户名)中指定为默认值,或者作为在身份提供程序所发送 SAML 断言中作为声明提供的命名 SAML 属性的值。

Unified Access Gateway 管理 UI 具有两个可用于指定用户别名的文本框:SAML 未验证用户名属性默认未验证用户名。当身份验证方法为“SAML 和未验证”时,这些文本框会显示在管理 UI 上。

在管理 UI 中设置 SAML 未验证用户名属性文本框后,当 Unified Access Gateway 验证 SAML 断言时,如果 SAML 断言中存在该名称,则 Unified Access Gateway 会使用该值作为 Horizon 的未验证访问用户别名。

SAML 未验证用户名属性文本框为空,或者 SAML 断言中缺少此文本框中指定的属性名称时,Unified Access Gateway 会将在默认未验证用户名文本框中配置的默认用户名用作 Horizon 的未验证访问用户别名。

如果未使用 SAML 未验证用户名属性,并且默认未验证用户名文本框为空,则 Unified Access Gateway 将使用在 Horizon 中配置的默认用户别名。

有关为未验证访问用户设置配置的详细信息,请参阅位于 VMware 文档《Horizon 管理指南》中的为已发布的应用程序提供未验证访问和相关信息。

有关向未验证访问用户提供授权(已发布的应用程序)的详细信息,请参阅位于 VMware 文档《Horizon 管理指南》中的授权未验证访问用户访问已发布的应用程序和相关信息。