Unified Access Gateway | 2020 年 3 月 17 日发行

请查看本发行说明以了解新增内容及更新。

发行说明内容

本发行说明包含以下主题:

此版本的新增功能

VMware Unified Access Gateway 3.9 提供了以下新功能和增强功能:

  • 添加了对以下功能的支持:将 Horizon 第三方 SAML 身份验证与 Horizon 7 及更高版本结合使用,以实现未验证访问功能。
    此选项允许使用 Active Directory 中基于角色的简单用户别名,根据授权从 Horizon Client 或基于浏览器的 HTML Access 对 RDSH 发布的应用程序进行单点登录远程访问。将使用 SAML 身份提供程序 (IdP) 中的单个用户帐户,并且用户必须在 IdP 中成功进行身份验证。对于此功能,只需在 Horizon 中具备基于角色的用户别名帐户。支持通过将 RADIUS 和 SecurID 未验证方法与 Horizon 7 及更高版本结合使用来实现未验证访问功能。
  • 扩展了对 OPSWAT 端点合规性检查集成的支持 
    • 允许管理员在 Unified Access Gateway 上选择性地上载适用于 Windows 和 macOS 的 OPSWAT MetaAccess 按需代理可执行文件。然后,Windows 和 macOS Horizon Client 会根据需要自动下载并运行这些可执行文件。此选项是使用持续运行的 OPSWAT MetaAccess 永久代理的替代方法,不要求最终用户必须在其客户端设备上手动安装按需代理。 
    • 允许配置在经过身份验证的 Horizon 用户会话期间由 Unified Access Gateway 对 Horizon Client 执行的定期端点合规性检查。这些定期检查是可选的,是在启动桌面或应用程序会话时执行的初始合规性检查之外增加的检查。
  • 添加了对以下功能的支持:在 Horizon 连接服务器上同时配置了登录前消息时,组合使用 Horizon 智能卡证书或直通身份验证。
  • 添加了对用于身份验证的智能卡 X.509 证书中包含的非 ASCII 字符的支持。
  • 添加了对以下功能的支持:通过 PAC 文件路径或 .ini 文件中的 URL 配置 VMware Tunnel 代理,.ini 文件在部署期间通过 PowerShell 进行配置。
  • 可为 Horizon 和 Web 反向代理 Edge 服务的前端 Unified Access Gateway 中使用的 AVI 网络负载平衡器提供支持。
  • 添加了对允许在部署期间配置 SSH 选项的支持,该操作可以通过 OVF 模板或在 .ini 文件中完成,.ini 文件在部署期间通过 PowerShell 进行配置。
  • 为 Unified Access Gateway 添加了对以下功能的支持:当通过 Workspace ONE UEM Console 将 VMware Tunnel 和 Content Gateway 服务的自定义设置配置为键值对时,使用这些自定义设置。
  • 在 Unified Access Gateway 管理 UI 中添加了一个用于设置每个会话最大 TCP 连接数的选项。
  • 将默认禁用 TLS 1.1。将不再使用“遵循密码顺序”设置,因为系统会自动为 Horizon 和 Web 反向代理 Edge 服务启用此设置。

有关这些功能的更多信息,请参阅文档中心

国际化

Unified Access Gateway 用户界面、联机帮助和产品文档提供日语、法语、德语、西班牙语、巴西葡萄牙语、简体中文、繁体中文和韩语版本。有关完整文档,请转到文档中心

兼容性说明

有关《VMware 产品互操作性列表》的更多信息,请转到 http://www.vmware.com/resources/compatibility/sim/interop_matrix.php

UAG 生命周期支持策略

有关 UAG 生命周期支持策略的信息,请转到 https://kb.vmware.com/s/article/2147313

安装和升级

要下载 Unified Access Gateway,请参阅产品下载页面。

已解决的问题

  • 如果生成的 Unified Access Gateway 的内部版本超过一年,则 root 用户无法使用此内部版本登录到新部署的 UAG 设备。

  • 如果为 UAG 配置了第三方 SAML 身份提供程序身份验证,并从 URI 或 CLI 启动了 Horizon Client,则在某些情况下,以前版本的 Unified Access Gateway 无法使用参数对 URL 进行正确编码。

已知问题

  • 设置 UAG 以进行 Horizon SAML 2.0 身份验证时,某些版本的适用于 Windows 的 Horizon Client 会在桌面或应用程序打开后隐藏客户端 UI。这样将无法打开后续的桌面或应用程序。但是,用于通过 UAG 访问 Horizon 的 URL 可以指定单个桌面或 RDSH 应用程序。

    解决方法:升级到适用于 Windows 的 VMware Horizon Client 版本 5.4 或更高版本。

  • 将 Horizon SAML 2.0 与 Horizon True SSO 结合使用以避免初始 AD 密码提示时,如果会话被手动锁定或由于不活动而自行锁定,用户必须输入其 AD 密码才能解锁会话,或者关闭客户端并重新连接。Horizon True SSO 解锁机制当前依赖于 Workspace ONE 访问。

  • 使用本地主机名的 UAG RADIUS 设置有时会失败。

    解决方法:使用 DNS 或 IP 地址中的主机名。

  • 将 Horizon SAML IdP 身份验证与 Microsoft ADFS 结合使用时,用户收到“HTTP 错误 500 (HTTP ERROR 500)”。

    SAML 元数据 XML 文件用于在 UAG 上配置 SAML 信任。此文件从 Microsoft ADFS 中获取。XML 文件可能包含 SPSSODescriptor 部分。此部分不是 UAG 所必需的,并且会导致“HTTP 错误 500 (HTTP ERROR 500)”。
    UAG esmanager.log 中显示 Error on validating assertion 以及 ClassCastException,如下所示:

    java.lang.ClassCastException: 
    org.opensaml.saml.saml2.metadata.impl.SPSSODescriptorImpl cannot be cast to
    org.opensaml.saml.saml2.metadata.IDPSSODescriptor

     

    解决方法:在将身份提供程序的 SAML 元数据上载到 UAG 之前,编辑 XML 文件以移除 SPSSODescriptor 部分。此部分以“<SPSSODescriptor>”标记开头,以“</SPSSODescriptor>”标记结尾  。

  • Unified Access Gateway 上的身份验证超时可能对 Horizon HTML Access 客户端不起作用。

    即使用户在身份验证超时间隔后输入用户名和密码并单击“登录”,用户仍然可以登录到 Horizon Client。此问题会间歇性出现。

    解决方法:

  • 在 Unified Access Gateway 管理 UI 中,IE 和 Edge 浏览器中可能不显示“身份验证方法”下拉框。
    “身份验证方法”是 Horizon“设置”页面中的一个字段。

    解决方法:

check-circle-line exclamation-circle-line close-line
Scroll to top icon