您可以使用Horizon Cloud with On-Premises InfrastructureHorizon Air 云基础架构来部署 Unified Access Gateway。对于 Horizon 部署,Unified Access Gateway 设备将替代 Horizon 安全服务器。

前提条件

如果您想要在同一 Unified Access Gateway 实例上配置并启用 Horizon 和 Web 反向代理实例(例如 Workspace ONE Access),请参阅高级 Edge 服务设置

过程

  1. 在管理 UI 的手动配置部分中,单击选择
  2. 常规设置 > Edge 服务设置中,单击显示
  3. 单击 Horizon 设置齿轮箱图标。
  4. 在“Horizon 设置”页中,将“否”更改为以启用 Horizon。
  5. 为 Horizon 配置以下 Edge 服务设置资源:
    选项 说明
    标识符 默认情况下,设置为 HorizonUnified Access Gateway 可与使用 Horizon XML 协议的服务器进行通信,例如,Horizon 连接服务器、Horizon AirHorizon Cloud with On-Premises Infrastructure
    连接服务器 URL 输入 Horizon Server 或负载平衡器的地址。输入为 https://00.00.00.00
    连接服务器 URL 指纹 输入 Horizon Server 指纹列表。

    如果未提供指纹列表,请确保受信任的 CA 颁发了服务器证书。输入十六进制指纹数字。例如,sha1= C3 89 A2 19 DC 7A 48 2B 85 1C 81 EC 5E 8F 6A 3C 33 F2 95 C3。

    启用 PCOIP 将“否”更改为以指定是否启用 PCoIP 安全网关。
    禁用 PCOIP 旧版证书 更改为可指定使用所上载的 SSL 服务器证书(而不是旧版证书)。如果此参数设置为,旧版 PCoIP 客户端将无法运行。
    PCOIP 外部 URL

    Horizon Client 与该 Unified Access Gateway 设备建立 Horizon PCoIP 会话时使用的 URL。它必须包含一个 IPv4 地址(而不是主机名)。例如,10.1.2.3:4172。默认值为 Unified Access Gateway IP 地址和端口 4172。

    启用 Blast 要使用 Blast 安全网关,请将“否”更改为
    连接服务器 IP 模式 表示 Horizon Connection Server 的 IP 模式

    此字段可以具有以下值:IPv4IPv6IPv4+IPv6

    默认设置为 IPv4

    • 如果 Unified Access Gateway 设备中的所有网卡均采用 IPv4 模式(无 IPv6 模式),则此字段可以具有以下值之一:IPv4IPv4+IPv6(混合模式)。
    • 如果 Unified Access Gateway 设备中的所有网卡均采用 IPv6 模式(无 IPv4 模式),则此字段可以具有以下值之一:IPv6IPv4+IPv6(混合模式)。
    重写来源标头 如果 Unified Access Gateway 的入站请求具有 Origin 标头,并且重写来源标头字段处于启用状态,则 Unified Access Gateway 会使用连接服务器 URL 重写 Origin 标头。

    重写来源标头字段与 Horizon Connection ServercheckOrigin CORS 属性一起使用。启用此字段后,Horizon 管理员无需在 locked.properties 文件中指定 Unified Access Gateway IP 地址。

    有关来源检查的信息,请参阅《Horizon 7 安全指南》文档。

  6. 要配置身份验证方法规则和其他高级设置,请单击更多
    选项 说明
    身份验证方法 默认设置是使用用户名和密码的直通身份验证。

    支持以下身份验证方法:SAMLSAML and UnauthenticatedRSA SecurIDSecurID and UnauthenticatedRADIUSRADIUS and Unauthenticated 以及 Device Certificate

    重要说明: 如果选择了任何 Unauthenticated 方法作为身份验证方法,请确保将 Horizon Connection Server 中的 登录减速级别配置为 Low。访问远程桌面或应用程序时,需要进行此配置以避免端点登录长时间延迟。

    有关如何配置登录减速级别的详细信息,请参阅位于 VMware Docs《Horizon 管理指南》文档。

    启用 Windows SSO 当“身份验证方法”设置为 RADIUS,并且 RADIUS 密码与 Windows 域密码相同时,可以启用此设置。将更改为可使用 Windows 域登录凭据的 RADIUS 用户名和密码,而不必再次提示用户输入用户名和密码。

    如果在多域环境中设置了 Horizon,并且提供的用户名不包含域名,则不会将域发送到 CS。

    如果配置了 NameID 后缀,并且提供的用户名不包含域名,则会将所配置的 NameID 后缀值附加到用户名上。例如,如果用户提供了 jdoe 作为用户名,并且 NameIDSuffix 设置为 @north.int,则发送的用户名将为 [email protected]

    如果配置了 NameID 后缀,并且提供的用户名为 UPN 格式,则将忽略 NameID 后缀。例如,如果用户提供了 [email protected],并且 NameIDSuffix 为 @south.int,则用户名将为 [email protected]

    如果提供的用户名格式为 <DomainName\username>(例如 NORTH\jdoe),则 Unified Access Gateway 会将用户名和域名分别发送到 CS。

    RADIUS 类属性 当“身份验证方法”设置为 RADIUS 时,会启用此设置。单击“+”可为类属性添加值。输入要用于用户身份验证的类属性的名称。单击“-”可移除类属性。
    注: 如果将此字段留空,则不会执行其他授权。
    免责声明文本

    要在配置了身份验证方法的情况下显示给用户并要求用户接受的 Horizon 免责声明消息。

    智能卡提示 将“否”更改为可为证书身份验证启用密码提示。
    运行状况检查 URI 路径 Unified Access Gateway 为监控运行状况而连接的连接服务器的 URI 路径。
    Blast 外部 URL Horizon Client 与该 Unified Access Gateway 设备建立 Horizon Blast 或 BEAT 会话时使用的 URL。例如,https://uag1.myco.comhttps://uag1.myco.com:443

    如果未指定 TCP 端口号,则默认 TCP 端口为 8443。如果未指定 UDP 端口号,则默认 UDP 端口也是 8443。

    启用 UDP 服务器 带宽较低时,可通过 UDP 隧道服务器建立连接。
    Blast 代理证书

    Blast 的代理证书。单击选择可上载 PEM 格式的证书并将其添加到 BLAST 信任存储中。单击更改可替换现有证书。

    如果用户手动将 Unified Access Gateway 的相同证书上载到负载均衡器,并且 Unified Access Gateway 和 Blast 网关需要使用不同的证书,则建立 Blast 桌面会话会失败,因为客户端与 Unified Access Gateway 之间的指纹不匹配。可为 Unified Access Gateway 或 Blast 网关输入自定义指纹,这样通过中继用于建立客户端会话的指纹即可解决该问题。

    启用隧道 如果使用了 Horizon 安全隧道,请将“否”更改为。客户端使用外部 URL 以通过 Horizon 安全网关建立隧道连接。隧道用于传输 RDP、USB 和多媒体重定向 (Multimedia Redirection, MMR) 流量。
    隧道外部 URL Horizon Client 与该 Unified Access Gateway 设备建立 Horizon 隧道会话时使用的 URL。例如,https://uag1.myco.comhttps://uag1.myco.com:443

    如果未指定 TCP 端口号,则默认 TCP 端口为 443。

    隧道代理证书

    Horizon 隧道的代理证书。单击选择可上载 PEM 格式的证书并将其添加到隧道信任存储中。单击更改可替换现有证书。

    如果用户手动将 Unified Access Gateway 的相同证书上载到负载均衡器,并且 Unified Access Gateway 和 Horizon 隧道需要使用不同的证书,则建立隧道会话会失败,因为客户端与 Unified Access Gateway 之间的指纹不匹配。可为 Unified Access Gateway 或 Horizon 隧道输入自定义指纹,这样通过中继用于建立客户端会话的指纹即可解决该问题。

    端点合规性检查提供程序 选择端点合规性检查提供程序。

    默认设置为 OPSWAT

    代理模式
    输入可匹配与 Horizon Server URL (proxyDestinationUrl) 相关的 URI 的正则表达式。其默认值为 (/|/view-client(.*)|/portal(.*)|/appblast(.*))
    注: 该模式还可用于排除某些 URL。例如,如果要允许所有 URL 都通过但会阻止 /admin,则可以使用以下表达式。 ^/(?!admin(.*))(.*)
    SAML SP 输入 Horizon XMLAPI 代理的 SAML 服务提供程序名称。该名称必须与配置的服务提供程序元数据的名称相匹配,或者是特殊值 DEMO。
    移除证书时注销
    注: 当选择任何智能卡身份验证方法作为 身份验证方法时,此选项可用。

    如果将此选项设置为 YES 并移除智能卡,则会强制最终用户从 Unified Access Gateway 会话中注销。

    RADIUS 用户名标签 在 Horizon Client 中输入用于自定义用户名标签的文本。例如,Domain Username

    必须启用 RADIUS 身份验证方法。要启用 RADIUS,请参阅配置 RADIUS 身份验证

    默认标签名称为 Username

    标签名称的最大长度为 20 个字符。

    RADIUS 通行码标签 输入名称以在 Horizon Client 中自定义通行码标签。例如,Password

    必须启用 RADIUS 身份验证方法。要启用 RADIUS,请参阅配置 RADIUS 身份验证

    默认标签名称为 Passcode

    标签名称的最大长度为 20 个字符。

    匹配 Windows 用户名 更改为以与 RSA SecurID 和 Windows 用户名相匹配。如果设置为,请将 securID-auth 设置为 true 并强制实施 securID 和 Windows 用户名匹配。

    如果在多域环境中设置了 Horizon,并且提供的用户名不包含域名,则不会将域发送到 CS。

    如果配置了 NameID 后缀,并且提供的用户名不包含域名,则会将所配置的 NameID 后缀值附加到用户名上。例如,如果用户提供了 jdoe 作为用户名,并且 NameIDSuffix 设置为 @north.int,则发送的用户名将为 [email protected]

    如果配置了 NameID 后缀,并且提供的用户名为 UPN 格式,则将忽略 NameID 后缀。例如,如果用户提供了 [email protected],并且 NameIDSuffix 为 @south.int,则用户名将为 [email protected]

    如果提供的用户名格式为 <DomainName\username>(例如 NORTH\jdoe),则 Unified Access Gateway 会将用户名和域名分别发送到 CS。

    注: 在 Horizon 7 中,如果启用 在客户端用户界面中隐藏服务器信息在客户端用户界面中隐藏域列表设置,并为连接服务器实例选择双因素身份验证(RSA SecurID 或 RADIUS),请不要强制实施 Windows 用户名匹配。实施 Windows 用户名匹配将禁止用户在用户名文本框中输入域信息,登录将始终失败。有关更多信息,请参阅《Horizon 7 管理指南》文档中关于双因素身份验证的主题。
    网关位置 发出连接请求的位置。网关位置是由安全服务器和 Unified Access Gateway 设置的。位置可以是 ExternalInternal
    重要说明: 如果选择了以下任意身份验证方法,必须将位置设置为 InternalSAML and UnauthenticatedSecurID and UnauthenticatedRADIUS and Unauthenticated
    JWT 设置
    注: 对于 Workspace ONE Access JWT SAML 项目验证,请确保在 高级设置JWT 设置部分中配置 名称字段。
    选择一个已配置的 JWT 设置的名称。
    JWT 受众 可选的 JWT 预期收件人列表,用于 Workspace ONE Access Horizon SAML 项目验证。

    要使 JWT 验证成功,此列表中必须至少有一个收件人与 Workspace ONE Access Horizon 配置中指定的某个受众匹配。如果未指定任何 JWT 受众,则 JWT 验证不会考虑受众。

    受信任的证书 将受信任的证书添加到该 Edge 服务中。单击“+”可选择 PEM 格式的证书并将其添加到信任存储中。单击“-”可从信任存储中移除证书。默认情况下,别名是 PEM 证书的文件名。可以编辑别名文本框以提供不同的名称。
    响应安全标头 单击“+”可添加标头。输入安全标头的名称。输入值。单击“-”可移除标头。编辑现有安全标头可更新标头的名称和值。
    重要说明: 只有在单击 保存后,才会保存标头的名称和值。 默认情况下会显示一些标准安全标头。仅当来自所配置的后端服务器的响应中未提供所配置的标头时,才会将相应标头添加到对客户端的 Unified Access Gateway 响应中。
    注: 修改安全响应标头时应小心谨慎。修改这些参数可能会影响 Unified Access Gateway 的安全功能。
    主机重定向映射

    有关 UAG 如何支持 HTTP 主机重定向功能以及使用此功能所需的某些注意事项的信息,请参阅Unified Access Gateway 的 HTTP 主机重定向支持

    • 源主机

      输入源(负载均衡器)的主机名。

    • 重定向主机

      输入需要维护其与 Horizon Client 关联性的 UAG (Unified Access Gateway) 设备的主机名。

    主机条目 输入要添加到 /etc/hosts 文件中的详细信息。每个条目均应按顺序包含一个 IP、一个主机名和一个可选主机名别名,并且以空格分隔。例如,10.192.168.1 example1.com, 10.192.168.2 example2.com example-alias。单击“+”号可添加多个主机条目。
    重要说明: 只有在您单击 保存后,才会保存主机条目。
    SAML 受众

    确保选择 SAML 或 SAML 和直通身份验证方法。

    输入受众 URL。
    注: 如果将此文本框留空,受众将不受限制。

    要了解 UAG 支持 SAML 受众的方式,请参阅SAML 受众

    SAML 未验证用户名属性 输入自定义属性名称
    注: 仅当 身份验证方法的值为 SAML and Unauthenticated 时,此字段才可用。
    在 UAG 验证 SAML 断言时,如果断言中存在此字段中指定的属性名称,则 UAG 会向为身份提供程序中的属性配置的用户名提供未验证访问。

    有关 SAML and Unauthenticated 方法的详细信息,请参阅Unified Access Gateway 和第三方身份提供程序集成的身份验证方法

    默认未验证用户名 输入必须用于未验证访问的默认用户名

    如果选择了以下任一身份验证方法,则可在管理 UI 中使用此字段:SAML and UnauthenticatedSecurID and Unauthenticated 以及 RADIUS and Unauthenticated

    注: 对于 SAML and Unauthenticated 身份验证方法,仅当 SAML 未验证用户名属性字段为空或 SAML 断言中缺少此字段中指定的属性名称时,才会使用用于未验证访问的默认用户名。
    禁用 HTML Access 如果设置为“是”,将禁止对 Horizon 进行 Web 访问。有关详细信息,请参阅为 Horizon 配置端点合规性检查提供程序设置
  7. 单击保存