在容器部署向导的有关指定容器的 Unified Access Gateway 配置的步骤中,您还可以指定对通过这些网关配置访问其桌面和应用程序的最终用户使用双因素身份验证。

重要说明: 仅当您有权访问第一代控制平面中的第一代租户环境时,此信息才适用。如 知识库文章 92424 中所述,第一代控制平面已终止提供 (EOA)。有关详细信息,请参阅该文章。

Horizon Cloud on Microsoft Azure:启用此选项开关以启用双因素身份验证后,容器部署向导中处于初始状态的双因素身份验证字段。

如果在向导中指定了某个网关配置的双因素身份验证详细信息,则在容器部署过程中,容器部署程序会使用指定的双因素身份验证详细信息配置该网关配置对应的已部署 Unified Access Gateway 设备。

Unified Access Gateway 文档中所述,为 Unified Access Gateway 设备配置双因素身份验证后,Unified Access Gateway 设备将根据您指定的双因素身份验证策略对入站用户会话进行身份验证。在 Unified Access Gateway 根据您指定的身份验证策略对用户会话进行身份验证后,Unified Access Gateway 会将要求启动桌面或应用程序的最终用户客户端请求转发到已部署的容器管理器,以在客户端和可用的桌面或应用程序之间建立连接会话。

重要说明: 部署容器后,如果您计划将租户的 Universal Broker 设置配置为使用双因素身份验证,并且您使用外部网关配置和内部网关配置部署了容器,则可能需要执行额外的部署后步骤,以确保 Universal Broker 能够区分外部最终用户和内部最终用户,从而正确地应用为 Universal Broker 指定的双因素身份验证设置。有关详细信息,请参阅 在 Universal Broker 环境中实施双因素身份验证时的最佳做法

前提条件

对于要为其输入双因素身份验证详细信息的外部或内部 Unified Access Gateway 配置,请确认您已经按照第一代租户 - 指定 Horizon Cloud 容器的网关配置中的描述,在向导中完成了 Unified Access Gateway 配置的字段。在为内部部署身份验证服务器配置双因素身份验证时,您还可以在以下字段中提供信息,以便 Unified Access Gateway 实例可以解析指向该内部部署服务器的路由。

选项 说明
DNS 地址 指定一个或多个能够解析内部部署身份验证服务器名称的 DNS 服务器的地址。
路由 指定一个或多个自定义路由以允许容器的 Unified Access Gateway 实例解析到内部部署身份验证服务器的网络路由。

例如,如果您的内部部署 RADIUS 服务器使用 10.10.60.20 作为其 IP 地址,则您将需要使用 10.10.60.0/24 和默认路由网关地址作为自定义路由。您可以从用于此环境的 Express Route 或 VPN 配置中获取默认路由网关地址。

以逗号分隔列表的形式指定格式为 ipv4-network-address/bits ipv4-gateway-address 的自定义路由,例如:192.168.1.0/24 192.168.0.1, 192.168.2.0/24 192.168.0.2

确认您在身份验证服务器的配置中使用了以下信息,以便您能够在容器部署向导的相应字段中提供这些信息。如果您正在使用 RADIUS 身份验证服务器,并且同时拥有主服务器和辅助服务器,请分别获取它们各自的信息。

RADIUS

如果要同时配置主和辅助 RADIUS 服务器的设置,请分别获取它们各自的信息。

  • 身份验证服务器的 IP 地址或 DNS 名称
  • 用于在身份验证服务器的协议消息中进行加密和解密的共享密码
  • 身份验证端口号,对于 RADIUS,通常为 1812/UDP。
  • 身份验证协议类型。身份验证类型包括 PAP(密码身份验证协议)、CHAP(质询握手身份验证协议)、MSCHAP1 和 MSCHAP2(Microsoft 质询握手身份验证协议版本 1 和 2)。
    注: 查看 RADIUS 供应商的文档以了解 RADIUS 供应商建议的身份验证协议,并采用指示的协议类型。Unified Access Gateway 实例为容器提供了相应的功能以支持使用 RADIUS 的双因素身份验证,Unified Access Gateway 支持 PAP、CHAP、MSCHAP1 和 MSCHAP2。PAP 通常不如 MSCHAP2 安全。PAP 也是比 MSCHAP2 简单的协议。因此,即使大多数 RADIUS 供应商与更简单的 PAP 协议兼容,但一些 RADIUS 供应商的兼容性也不如更安全的 MSCHAP2 那么高。
RSA SecurID
注: 运行清单 3139.x 或更高版本的 Horizon Cloud on Microsoft Azure 部署支持 RSA SecurID 类型。从 2022 年 3 月中旬开始,“添加容器”和“编辑容器”向导中用于指定 RSA SecurID 类型的 UI 选项将变为可见且可供选择。
  • RSA SecurID Authentication Manager 服务器的访问密钥。
  • RSA SecurID 通信端口号。按照 RSA SecurID 身份验证 API 的 RSA Authentication Manager 系统设置中所设置,通常为 5555。
  • RSA SecurID Authentication Manager 服务器的主机名。
  • RSA SecurID Authentication Manager 服务器的 IP 地址。
  • 如果 RSA SecurID Authentication Manager 服务器或其负载均衡器服务器具有自签名证书,那么您需要在“添加容器”向导中提供 CA 证书。该证书应采用 PEM 格式(文件类型为 .cer .cert.pem

过程

  1. 打开启用双因素身份验证选项开关。
    启用该开关后,向导会显示其他配置字段。可使用滚动条访问所有字段。

    以下屏幕截图是在外部 UAG 部分中启用该开关后所显示内容的示例。

    Horizon Cloud on Microsoft Azure:启用此选项开关以启用双因素身份验证后,容器部署向导中处于初始状态的双因素身份验证字段。
  2. 选择双因素身份验证类型:RadiusRSA SecurID
    目前,受支持的类型为 RADIUS 和 RSA SecurID。

    选择类型后,双因素身份验证配置菜单会自动反映您正在添加该选定类型的配置。例如,如果选择了 RSA SecurID 类型,则双因素身份验证配置菜单将显示新建 RSA SecurID

  3. 配置名称字段中,输入此配置的标识名称。
  4. 在“属性”部分中,指定有关最终用户与他们将用来进行访问身份验证的登录屏幕进行交互的详细信息。

    该向导将根据 Horizon Cloud on Microsoft Azure 部署支持与其网关配置配合使用的配置来显示字段。显示的字段因所选的双因素身份验证类型而异。请参阅下表,该表与选定的类型(RADIUS 或 RSA SecurID)相对应。

    RADIUS

    填写这些字段时,需要指定有关主身份验证服务器的详细信息。如果您具有辅助身份验证服务器,请启用辅助服务器选项开关,并指定该服务器的详细信息。

    选项 说明
    显示名称 您可以将此字段保留为空。即使此字段在向导中可见,它也只会设置 Unified Access Gateway 配置中的内部名称。Horizon Client 不会使用此名称。
    显示提示 (可选)输入在最终用户客户端登录屏幕中以消息形式提示用户输入其 RADIUS 用户名和通行码时,向最终用户显示的文本字符串。指定的提示将以“为您的用户名和通行码输入 DisplayHint”(Enter your DisplayHint user name and passcode) 形式显示给最终用户,其中 DisplayHint 是您在此字段中指定的文本。

    此提示有助于指导用户输入正确的 RADIUS 通行码。例如,指定诸如以下示例公司用户名和域密码之类的短语将会向最终用户显示内容为“为您的用户名和通行码输入以下示例公司用户名和域密码”(Enter your Example Company user name and domain password below for user name and passcode) 的提示。

    名称 ID 后缀 此设置用于 SAML 场景中,其中已将您的容器配置为使用 TrueSSO 进行单点登录。(可选)提供一个字符串,系统会将其附加到 SAML 断言用户名后,再在请求中将该用户名发送给容器管理器。例如,如果在登录屏幕上输入的用户名为 user1,并且在此处指定了名称 ID 后缀 @example.com,则系统会在请求中发送 SAML 断言用户名 [email protected]
    迭代次数 输入用户在尝试使用此 RADIUS 系统登录时,所允许的失败身份验证尝试的最大次数。
    维护用户名 启用此选项开关可在客户端、Unified Access Gateway 实例和 RADIUS 服务之间的身份验证流期间保持用户的 Active Directory 用户名不变。启用时:
    • 用户用于 RADIUS 的用户名凭据必须与用于 Active Directory 身份验证的用户名凭据相同。
    • 用户无法更改登录屏幕中的用户名。

    如果关闭此选项开关,用户将能够在登录屏幕中键入不同的用户名。

    注: 有关启用 维护用户名Horizon Cloud 中的域安全性设置之间的关系,请参阅 “常规设置”页面上的域安全性设置主题。
    主机名称/IP 地址 输入身份验证服务器的 DNS 名称或 IP 地址。
    共享密码 输入用来与身份验证服务器进行通信的密码。此值必须与服务器配置的值相同。
    身份验证端口 指定在身份验证服务器上配置的用于发送或接收身份验证流量的 UDP 端口。默认值为 1812。
    记帐端口 (可选)指定在身份验证服务器上配置的用于发送或接收记帐流量的 UDP 端口。默认值为 1813。
    机制 选择受指定的身份验证服务器支持,并且您希望部署的容器使用的身份验证协议。
    服务器超时 指定容器应等待来自身份验证服务器的响应的秒数。此秒数过后,如果服务器未响应,则会发送重试。
    最大重试次数 指定容器在对身份验证服务器的请求失败时应重试的最大次数。
    领域前缀 (可选)提供系统在将用户名发送到身份验证服务器时,将在用户名开头放置的字符串。用户帐户位置称为领域。

    例如,如果在登录屏幕上输入的用户名为 user1,并且在此处指定了领域前缀 DOMAIN-A\,则系统会向身份验证服务器发送 DOMAIN-A\user1。如果不指定领域前缀,则只会发送所输入的用户名。

    领域后缀 (可选)提供系统在将用户名发送到身份验证服务器时,将在用户名后面附加的字符串。例如,如果在登录屏幕上输入的用户名为 user1,并且在此处指定了领域后缀 @example.com,则系统会向身份验证服务器发送 [email protected]
    RSA SecurID
    选项 说明
    访问密钥 键入在系统的 RSA SecurID 身份验证 API 设置中获取的 RSA SecurID 系统访问密钥。
    服务器端口 指定在系统的 RSA SecurID 身份验证 API 设置中配置的通信端口值,默认情况下通常为 5555。
    服务器主机名 输入身份验证服务器的 DNS 名称。
    服务器 IP 地址 输入身份验证服务器的 IP 地址。
    迭代次数 输入用户被锁定一小时之前允许的最大失败身份验证尝试次数。默认为尝试五 (5) 次。
    CA 证书 当 RSA SecurID Authentication Manager 服务器或其负载均衡器使用自签名证书时,需要使用此项。在这种情况下,请复制 CA 证书并将其粘贴到该字段中。如本页上文所述,应提供 PEM 格式的证书信息。

    如果服务器具有由公共证书颁发机构 (CA) 签名的证书,则此字段为可选字段。

    身份验证超时 指定在超时之前可在 Unified Access Gateway 实例和 RSA SecurID 身份验证服务器之间进行身份验证尝试的秒数。默认值为 180 秒。