Unified Access Gateway | 发行日期:2019 年 12 月 12 日

请查看本发行说明以了解新增内容及更新。

发行说明内容

本发行说明包含以下主题:

此版本的新增功能

VMware Unified Access Gateway 3.8 提供了以下新功能和增强功能:

  • 为 Horizon 用户身份验证添加了对 SAML 2.0 第三方身份提供程序集成的支持
    可以配置此功能进行 Horizon SAML 身份验证和 Active Directory 密码身份验证,或针对 Horizon True SSO 的 SAML 身份验证。Horizon Client 和基于浏览器的 HTML Access 支持此功能。所使用的第三方身份提供程序可以是 Okta、Ping Identity 和 Microsoft Azure Active Directory
  • 添加了对基于 JWT(JSON Web 令牌)声明的 Horizon 协议重定向的支持。
    此功能与即将推出的 Horizon Universal Broker 一起使用,支持优化的体系结构,可通过 Horizon 协议访问与 Horizon 代理位于不同位置的桌面和 RDS 托管应用程序。
  • 添加了对设置主机重定向映射的支持。
    • 可以使用 HTTP 主机重定向功能来简化某些多 VIP UAG 环境中的 Horizon 负载平衡关联性要求。负载平衡器选择 UAG 设备后,将返回 HTTP 重定向,以便 Horizon Client 直接连接到选定的 UAG 设备,而不再需要负载平衡器关联性。
    • 在 UAG 管理 UI 中向“Horizon 设置”添加了主机重定向映射文本框。
  • 在 UAG 管理 UI 和 REST API 中添加了插入新字段支持,该字段可提供到管理员密码过期日期为止的倒计时天数。
    密码到期时间 (天数) 显示在 UAG 管理 UI 的  “帐户设置” 页面中。
  • 在 Horizon 的 OPSWAT 端点合规性检查中添加了为多种错误类别定义允许或拒绝控制的支持。
    在 UAG 管理 UI 中的“端点合规性检查提供程序设置”页面中添加了显示允许的状态代码字段。
  • 添加了针对 iOS 版本 5.3 上的 Horizon Client 执行 OPSWAT 端点合规性检查的支持。
    此项支持是对 Windows 和 macOS 客户端现有 UAG OPSWAT 支持的补充。
  • 为 RADIUS 身份验证方法用户提示添加了对可提高可用性的新自定义标签以的支持。
    可在 UAG 上配置 Horizon RADIUS 身份验证提示用户名通行码标签文本。
  • 添加了从管理 UI 显示 UAG SEG (Secure Email Gateway) 运行状况和诊断的支持
    在“Edge 服务会话统计信息”部分下为 SEG 提供了运行状况和诊断屏幕。
  • 如果为 SEG 配置了本地 SSL 证书,则相应的证书指纹将显示在 SEG Edge 服务设置下。
  • 添加了对通过 PowerShell 配置 OCSP 的支持 
  • 在 Horizon Edge 服务中添加了对 JWT 受众限制的支持。
    JWT 受众限制是由 UAG 为这些 Edge 服务提供的一项安全功能。UAG 管理员可以对访问 Horizon 和后端应用程序的 JWT 受众进行限制。
  • 在 UAG 管理 UI 中对 Horizon 和 Web 反向代理(已启用身份桥接)Edge 服务设置添加了 SAML 受众设置。

有关这些功能的更多信息,请参阅文档中心

国际化

Unified Access Gateway 用户界面、联机帮助和产品文档提供日语、法语、德语、西班牙语、巴西葡萄牙语、简体中文、繁体中文和韩语版本。有关完整文档,请转到文档中心

兼容性说明

有关《VMware 产品互操作性列表》的更多信息,请转到 http://www.vmware.com/resources/compatibility/sim/interop_matrix.php

UAG 生命周期支持策略

有关 UAG 生命周期支持策略的信息,请转到 https://kb.vmware.com/s/article/2147313

安装和升级

要下载 Unified Access Gateway,请参阅产品下载页面。

已解决的问题

  • 通过使用 PowerShell 改进了应用初始配置设置的验证过程。

  • 如果 UAG 管理 UI 中 SEG (Secure Email Gateway) 的主机名不能解析,服务将失败。

  • 使用 UAG 管理 UI 设置网络路由的方法,不适用于在所用位数不能被 8 整除时指定的网络。

  • 评估处于挂起状态时,UAG OPSWAT 设备策略检查错误地授予访问权限。
    在 UAG 3.8 中,可以配置允许或拒绝所有错误类别的策略。

  • 从 UAG 管理 UI 下载的 .iniJSON 文件不包含 UAG XL(超大型)部署信息。

  • 不支持导入具有客户端证书和密钥的 rsyslog 设置

  • 从 UAG 下载的 .ini 文件中的指纹包含冒号 (:)PowerShell 不支持冒号分隔符。

  • Apple macOS 10.15、iOS 13 和 Chrome OS 76 上运行的 Chrome 浏览器、Safari 浏览器或 VMware Horizon Client 无法使用在 UAG 上生成的默认自签名 TLS 服务器证书。此问题是在 Apple 更改要求后出现的。

  • 有关 UAG 3.7 和 3.7.1 的“网关”用户密码过期的问题已得以解决。此问题会影响 Workspace ONE UEM Edge 服务和 HA 配置。

    有关此问题的更多详细信息,请参阅知识库文章 https://kb.vmware.com/s/article/76424

已知问题

  • 设置 UAG 以进行 Horizon SAML 2.0 身份验证时,某些版本的适用于 Windows 的 Horizon Client 会在桌面或应用程序打开后隐藏客户端 UI。这样将无法打开后续的桌面或应用程序。但是,用于通过 UAG 访问 Horizon 的 URL 可以指定单个桌面或 RDSH 应用程序。

    解决方法:管理员可以在 Horizon Server 上创建快捷方式,并在第一次连接时将其推送到端点。

  • 将 Horizon SAML 2.0 与 Horizon True SSO 结合使用以避免初始 AD 密码提示时,如果会话被手动锁定或由于不活动而自行锁定,用户必须输入其 AD 密码才能解锁会话,或者关闭客户端并重新连接。Horizon True SSO 解锁机制当前依赖于 Workspace ONE 访问。

  • 使用本地主机名的 UAG RADIUS 设置有时会失败。

    解决方法:使用 DNS 或 IP 地址中的主机名。

  • 如果 x.509 证书字段中存在非 ASCII 字符,Horizon 智能卡身份验证会失败。

    解决方法:使用包含 ASCII 字符的智能卡证书。

  • 当通过桌面快捷方式,或通过命令行界面使用经过编码的 filePathargs 参数启动应用程序时,应用程序启动将失败。当 UAG 与第三方 SAML 身份提供程序集成时,会出现此问题。

check-circle-line exclamation-circle-line close-line
Scroll to top icon