您可以使用“编辑容器”工作流更改容器网关上的双因素身份验证设置,或者完全停用双因素身份验证。更改这些设置时,您需要为这一组双因素身份验证设置键入一个新名称,输入所需的新设置,确保已为该特定网关选择了新名称,然后再进行保存。您可以使用“编辑容器”工作流更改双因素身份验证设置。

注: 如果将租户配置为使用 Universal Broker,并且代理设置启用了双因素身份验证,则必须在容器群中所有容器的外部网关上设置相同的双因素身份验证类型。在此场景中,在执行这些步骤以将双因素身份验证添加到外部网关时,用户界面将强制选择与代理设置中设置的双因素身份验证类型相匹配的双因素身份验证类型。

前提条件

如果要继续为其中一个网关启用双因素身份验证,但要更改特定设置,请确认您具有以下信息:

  • 当双因素身份验证服务器为内部部署时,请确认您拥有以下字段的相关信息,以便该网关的 Unified Access Gateway 实例可以解析到该服务器的路由。
    选项 说明
    DNS 地址 指定一个或多个能够解析内部部署身份验证服务器名称的 DNS 服务器的地址。
    路由 指定一个或多个自定义路由以允许容器的 Unified Access Gateway 实例解析到内部部署身份验证服务器的网络路由。

    例如,如果您的内部部署 RADIUS 服务器使用 10.10.60.20 作为其 IP 地址,则您将需要使用 10.10.60.0/24 和默认路由网关地址作为自定义路由。您可以从用于此环境的 Express Route 或 VPN 配置中获取默认路由网关地址。

    以逗号分隔列表的形式指定格式为 ipv4-network-address/bits ipv4-gateway-address 的自定义路由,例如:192.168.1.0/24 192.168.0.1, 192.168.2.0/24 192.168.0.2

  • 确认您在身份验证服务器的配置中使用了以下信息,以便您能够在容器部署向导的相应字段中提供这些信息。如果您正在使用 RADIUS 身份验证服务器,并且同时拥有主服务器和辅助服务器,请分别获取它们各自的信息。

    RADIUS

    如果要同时配置主和辅助 RADIUS 服务器的设置,请分别获取它们各自的信息。

    • 身份验证服务器的 IP 地址或 DNS 名称
    • 用于在身份验证服务器的协议消息中进行加密和解密的共享密码
    • 身份验证端口号,对于 RADIUS,通常为 1812/UDP。
    • 身份验证协议类型。身份验证类型包括 PAP(密码身份验证协议)、CHAP(质询握手身份验证协议)、MSCHAP1 和 MSCHAP2(Microsoft 质询握手身份验证协议版本 1 和 2)。
      注: 查看 RADIUS 供应商的文档以了解 RADIUS 供应商建议的身份验证协议,并采用指示的协议类型。Unified Access Gateway 实例为容器提供了相应的功能以支持使用 RADIUS 的双因素身份验证,Unified Access Gateway 支持 PAP、CHAP、MSCHAP1 和 MSCHAP2。PAP 通常不如 MSCHAP2 安全。PAP 也是比 MSCHAP2 简单的协议。因此,即使大多数 RADIUS 供应商与更简单的 PAP 协议兼容,但一些 RADIUS 供应商的兼容性也不如更安全的 MSCHAP2 那么高。
    RSA SecurID
    注: 运行清单 3139.x 或更高版本的 Horizon Cloud on Microsoft Azure 部署支持 RSA SecurID 类型。从 2022 年 3 月中旬开始,“添加容器”和“编辑容器”向导中用于指定 RSA SecurID 类型的 UI 选项将变为可见且可供选择。
    • RSA SecurID Authentication Manager 服务器的访问密钥。
    • RSA SecurID 通信端口号。按照 RSA SecurID 身份验证 API 的 RSA Authentication Manager 系统设置中所设置,通常为 5555。
    • RSA SecurID Authentication Manager 服务器的主机名。
    • RSA SecurID Authentication Manager 服务器的 IP 地址。
    • 如果 RSA SecurID Authentication Manager 服务器或其负载均衡器服务器具有自签名证书,那么您需要在“添加容器”向导中提供 CA 证书。该证书应采用 PEM 格式(文件类型为 .cer .cert.pem

过程

  1. 通过单击编辑,从容器的详细信息页面中打开“编辑容器”窗口。
  2. 在“编辑容器”窗口中,单击下一步以转到网关设置步骤。
    此步骤有一部分是适用于外部网关配置,还有一部分是适用于内部网关配置。用户界面中会反映容器的当前配置以及它已具有的网关设置。
  3. 将窗口放置在要更改双因素身份验证的网关类型(外部或内部)上。
  4. 要在网关上停用双因素身份验证,请关闭启用双因素身份验证选项开关,然后转到步骤 8以保存更改。
    如果另一个网关也启用了双因素身份验证,并且您希望停用该设置,请在该网关的同一部分中关闭该选项开关。
  5. 要更改在网关上设置的特定双因素身份验证设置,请继续执行以下步骤。
    为新设置的双因素身份验证值创建新名称,并使用在该窗口中为该网关部分选择的新名称来保存配置。
  6. 配置名称字段中,输入此配置的标识名称。
  7. 在“属性”部分中,指定有关最终用户与他们将用来进行访问身份验证的登录屏幕进行交互的详细信息。

    该向导将根据 Horizon Cloud on Microsoft Azure 部署支持与其网关配置配合使用的配置来显示字段。显示的字段因所选的双因素身份验证类型而异。请参阅下表,该表与选定的类型(RADIUS 或 RSA SecurID)相对应。

    RADIUS

    填写这些字段时,需要指定有关主身份验证服务器的详细信息。如果您具有辅助身份验证服务器,请启用辅助服务器选项开关,并指定该服务器的详细信息。

    选项 说明
    显示名称 您可以将此字段保留为空。即使此字段在向导中可见,它也只会设置 Unified Access Gateway 配置中的内部名称。Horizon Client 不会使用此名称。
    显示提示 (可选)输入在最终用户客户端登录屏幕中以消息形式提示用户输入其 RADIUS 用户名和通行码时,向最终用户显示的文本字符串。指定的提示将以“为您的用户名和通行码输入 DisplayHint”(Enter your DisplayHint user name and passcode) 形式显示给最终用户,其中 DisplayHint 是您在此字段中指定的文本。

    此提示有助于指导用户输入正确的 RADIUS 通行码。例如,指定诸如以下示例公司用户名和域密码之类的短语将会向最终用户显示内容为“为您的用户名和通行码输入以下示例公司用户名和域密码”(Enter your Example Company user name and domain password below for user name and passcode) 的提示。

    名称 ID 后缀 此设置用于 SAML 场景中,其中已将您的容器配置为使用 TrueSSO 进行单点登录。(可选)提供一个字符串,系统会将其附加到 SAML 断言用户名后,再在请求中将该用户名发送给容器管理器。例如,如果在登录屏幕上输入的用户名为 user1,并且在此处指定了名称 ID 后缀 @example.com,则系统会在请求中发送 SAML 断言用户名 [email protected]
    迭代次数 输入用户在尝试使用此 RADIUS 系统登录时,所允许的失败身份验证尝试的最大次数。
    维护用户名 启用此选项开关可在客户端、Unified Access Gateway 实例和 RADIUS 服务之间的身份验证流期间保持用户的 Active Directory 用户名不变。启用时:
    • 用户用于 RADIUS 的用户名凭据必须与用于 Active Directory 身份验证的用户名凭据相同。
    • 用户无法更改登录屏幕中的用户名。

    如果关闭此选项开关,用户将能够在登录屏幕中键入不同的用户名。

    注: 有关启用 维护用户名Horizon Cloud 中的域安全性设置之间的关系,请参阅 “常规设置”页面上的域安全性设置主题。
    主机名称/IP 地址 输入身份验证服务器的 DNS 名称或 IP 地址。
    共享密码 输入用来与身份验证服务器进行通信的密码。此值必须与服务器配置的值相同。
    身份验证端口 指定在身份验证服务器上配置的用于发送或接收身份验证流量的 UDP 端口。默认值为 1812。
    记帐端口 (可选)指定在身份验证服务器上配置的用于发送或接收记帐流量的 UDP 端口。默认值为 1813。
    机制 选择受指定的身份验证服务器支持,并且您希望部署的容器使用的身份验证协议。
    服务器超时 指定容器应等待来自身份验证服务器的响应的秒数。此秒数过后,如果服务器未响应,则会发送重试。
    最大重试次数 指定容器在对身份验证服务器的请求失败时应重试的最大次数。
    领域前缀 (可选)提供系统在将用户名发送到身份验证服务器时,将在用户名开头放置的字符串。用户帐户位置称为领域。

    例如,如果在登录屏幕上输入的用户名为 user1,并且在此处指定了领域前缀 DOMAIN-A\,则系统会向身份验证服务器发送 DOMAIN-A\user1。如果不指定领域前缀,则只会发送所输入的用户名。

    领域后缀 (可选)提供系统在将用户名发送到身份验证服务器时,将在用户名后面附加的字符串。例如,如果在登录屏幕上输入的用户名为 user1,并且在此处指定了领域后缀 @example.com,则系统会向身份验证服务器发送 [email protected]
    RSA SecurID
    选项 说明
    访问密钥 键入在系统的 RSA SecurID 身份验证 API 设置中获取的 RSA SecurID 系统访问密钥。
    服务器端口 指定在系统的 RSA SecurID 身份验证 API 设置中配置的通信端口值,默认情况下通常为 5555。
    服务器主机名 输入身份验证服务器的 DNS 名称。
    服务器 IP 地址 输入身份验证服务器的 IP 地址。
    迭代次数 输入用户被锁定一小时之前允许的最大失败身份验证尝试次数。默认为尝试五 (5) 次。
    CA 证书 当 RSA SecurID Authentication Manager 服务器或其负载均衡器使用自签名证书时,需要使用此项。在这种情况下,请复制 CA 证书并将其粘贴到该字段中。如本页上文所述,应提供 PEM 格式的证书信息。

    如果服务器具有由公共证书颁发机构 (CA) 签名的证书,则此字段为可选字段。
    身份验证超时 指定在超时之前可在 Unified Access Gateway 实例和 RSA SecurID 身份验证服务器之间进行身份验证尝试的秒数。默认值为 180 秒。
  8. 完成所需的所有设置后,单击保存并退出
    将显示确认消息,要求您确认启动工作流。
  9. 单击以启动工作流。

结果

在系统将新配置部署到容器之前,添加双因素身份验证的网关的“容器摘要”页面部分将显示挂起状态。

在该工作流完成后,状态将显示为就绪,并在页面中显示该网关的双因素身份验证设置。

注: 在 Microsoft Azure 中国为容器运行该工作流时,该过程可能需要超过一个小时的时间才能完成。该过程受地理网络问题的影响,从云控制平面下载二进制文件时,这些问题可能导致下载速度缓慢。

下一步做什么

重要说明: 当将网关的双因素身份验证设置的值更改为新值时,在最终用户继续使用具有新双因素身份验证值的网关之前,您必须完成以下任务。
  • 如果容器的外部网关配置了双因素身份验证,并且无法在部署了网关 Unified Access Gateway 实例的同一 VNet 拓扑中访问双因素身份验证服务器,请确认您在网关配置中指定的双因素身份验证服务器允许来自外部网关负载均衡器 IP 地址的通信。

    如果无法在与网关部署相同的 VNet 拓扑中访问双因素身份验证服务器,那么 Unified Access Gateway 实例将尝试使用该负载均衡器地址与该服务器联系。要允许该通信流量,请确保该外部网关资源组中的负载均衡器资源 IP 地址在双因素身份验证服务器配置中指定为允许的客户端或已注册的代理。有关如何允许该通信的具体信息,请参阅双因素身份验证服务器的文档。

  • 如果可以在同一 VNet 拓扑中访问您的双因素身份验证服务器,请确认双因素身份验证服务器已配置为允许来自为 Microsoft Azure 中的部署 Unified Access Gateway 实例创建的相应网卡的通信。

    您的网络管理员将确定双因素身份验证服务器的网络是否对用于部署的 Azure VNet 拓扑及其子网可见。双因素身份验证服务器必须允许来自 Unified Access Gateway 实例网卡 IP 地址的通信,这些网卡对应于您的网络管理员为双因素身份验证服务器提供网络可见性的子网。

    Microsoft Azure 中的网关资源组具有四个与该子网相对应的网卡:两个活动网卡用于两个 Unified Access Gateway 实例,两个空闲网卡将在容器及其网关经过更新后变为活动网卡。

    当执行日常容器操作时以及在每次容器更新后,要支持网关与双因素身份验证服务器之间的通信流量,请确保在该服务器的配置中将这四个网卡的 IP 地址指定为允许的客户端或已注册的代理。有关如何允许该通信的具体信息,请参阅双因素身份验证服务器的文档。

有关如何获取这些 IP 地址的信息,请参阅使用所需的 Horizon Cloud 容器网关信息更新双因素身份验证系统