您可以使用 Horizon View 和具有内部部署基础架构的 Horizon Cloud 部署 Unified Access Gateway。对于 VMware Horizon 的 View 组件,Unified Access Gateway 设备担任的角色与 View 安全服务器以前担任的角色相同。

部署方案

通过 Unified Access Gateway,可以从远程安全访问客户数据中心内部部署的虚拟桌面和应用程序。它通过内部部署的 Horizon View 或 Horizon Cloud 实现统一管理。

Unified Access Gateway 为企业提供了强大的用户身份安全保障,并且还能精确控制对他们已获授权的桌面和应用程序的访问。

Unified Access Gateway 虚拟设备通常部署在网络隔离区 (Demilitarized Zone, DMZ) 中。部署在 DMZ 中可以确保进入数据中心并传送到桌面和应用程序资源的流量是经过严格身份验证的用户产生的流量。Unified Access Gateway 虚拟设备还确保可以将经过身份验证的用户产生的流量仅传送到用户有权访问的桌面和应用程序资源。该保护级别包括具体检查桌面协议以及协调可能快速变化的策略和网络地址以准确地控制访问。

您必须验证使用 Horizon 无缝部署 Unified Access Gateway 的要求。

  • Unified Access Gateway 设备指向 Horizon Server 前面的负载平衡器,因此,会动态选择服务器实例。
  • Unified Access Gateway 会替代 Horizon 安全服务器。
  • 默认情况下,端口 8443 必须可用于 Blast TCP/UDP。但是,也可为 Blast TCP/UDP 配置端口 443。
  • 在使用 Horizon 部署 Unified Access Gateway 时,必须启用 Blast 安全网关和 PCoIP 安全网关。这样可以确保显示协议能够自动通过 Unified Access Gateway 作为代理。BlastExternalURL 和 pcoipExternalURL 设置指定 Horizon Client 用于通过 Unified Access Gateway 上的适当网关路由这些显示协议连接的连接地址。由于这些网关可以确保代表经过身份验证的用户对显示协议流量进行控制,因此,提高了安全性。Unified Access Gateway 忽略未授权的显示协议流量。
  • 在 View 连接服务器实例上禁用安全网关(Blast 安全网关和 PCoIP 安全网关),然后在 Unified Access Gateway 设备上启用这些网关。

Unified Access Gateway 与 View 安全服务器的主要差异如下所示。

  • 安全部署。Unified Access Gateway 实施为强化、锁定且预配置的基于 Linux 的虚拟机。
  • 可扩展。您可以将 Unified Access Gateway 连接到单个 View 连接服务器,也可以通过多个 View 连接服务器前的负载平衡器进行连接,从而增强高可用性。它作为 Horizon Client 和后端 View 连接服务器之间的一个层。由于部署速度较快,它可以快速扩展/收缩以满足快速变化的企业的要求。
图 1. 指向负载平衡器的 Unified Access Gateway 设备

或者,也可以将一个或多个 Unified Access Gateway 设备指向单个服务器实例。在这两种方法中,将在 DMZ 中的一个或多个 Unified Access Gateway 设备前面使用负载平衡器。

图 2. 指向 Horizon Server 实例的 Unified Access Gateway 设备

身份验证

用户身份验证类似于 View 安全服务器。在 Unified Access Gateway 中支持的用户身份验证方法包括:

  • Active Directory 用户名和密码
  • Kiosk 模式。有关 Kiosk 模式的详细信息,请参见 Horizon 文档
  • RSA SecurID 双因素身份验证,通过了 RSA for SecurID 正式认证
  • 通过一系列第三方、双因素安全供应商解决方案实现的 RADIUS
  • 智能卡、CAC 或 PIV X.509 用户证书
  • SAML

这些身份验证方法支持与 View 连接服务器一起使用。Unified Access Gateway 不需要直接与 Active Directory 进行通信。该通信作为通过 View 连接服务器的代理,该服务器可以直接访问 Active Directory。在根据身份验证策略对用户会话进行身份验证后,Unified Access Gateway 可以将授权信息请求以及桌面和应用程序启动请求转发到 View 连接服务器。Unified Access Gateway 还管理其桌面和应用程序协议处理程序,以允许它们仅转发授权的协议流量。

Unified Access Gateway 本身可以处理智能卡身份验证。这包括一些选项,Unified Access Gateway 使用这些选项与在线证书状态协议 (Online Certificate Status Protocol, OCSP) 服务器进行通信,以检查 X.509 证书吊销等信息。