在容器部署向导的有关指定容器的 Unified Access Gateway 配置的步骤中,您还可以指定对通过这些网关配置访问其桌面和应用程序的最终用户使用双因素身份验证。在提供 Unified Access Gateway 配置详细信息后,您可以指定双因素身份验证的相关详细信息。

前提条件

对于要为其输入双因素身份验证详细信息的外部或内部 Unified Access Gateway 配置,请确认您已经按照指定 Horizon Cloud 容器的网关配置中的描述,在向导中完成了 Unified Access Gateway 配置的字段。在为内部部署身份验证服务器配置双因素身份验证时,您还可以在以下字段中提供信息,以便 Unified Access Gateway 实例可以解析指向该内部部署服务器的路由。

选项 说明
DNS 地址 指定一个或多个能够解析内部部署身份验证服务器名称的 DNS 服务器的地址。
路由 指定一个或多个自定义路由以允许容器的 Unified Access Gateway 实例解析到内部部署身份验证服务器的网络路由。

例如,如果您的内部部署 RADIUS 服务器使用 10.10.60.20 作为其 IP 地址,则您将需要使用 10.10.60.0/24 和默认路由网关地址作为自定义路由。您可以从用于此环境的 Express Route 或 VPN 配置中获取默认路由网关地址。

以逗号分隔列表的形式指定格式为 ipv4-network-address/bits ipv4-gateway-address 的自定义路由,例如:192.168.1.0/24 192.168.0.1, 192.168.2.0/24 192.168.0.2

确认您在身份验证服务器的配置中使用了以下信息,以便您能够在容器部署向导的相应字段中提供这些信息。如果您同时拥有主服务器和辅助服务器,请分别获取它们各自的信息。

  • 身份验证服务器的 IP 地址或 DNS 名称
  • 用于在身份验证服务器的协议消息中进行加密和解密的共享密码
  • 身份验证端口号,通常为 1812 UDP 端口。
  • 身份验证协议类型。身份验证类型包括 PAP(密码身份验证协议)、CHAP(质询握手身份验证协议)、MSCHAP1 和 MSCHAP2(Microsoft 质询握手身份验证协议版本 1 和 2)。
    注: 查看 RADIUS 供应商的文档以了解 RADIUS 供应商建议的身份验证协议,并采用指示的协议类型。Unified Access Gateway 实例为容器提供了相应的功能以支持使用 RADIUS 的双因素身份验证,Unified Access Gateway 支持 PAP、CHAP、MSCHAP1 和 MSCHAP2。PAP 通常不如 MSCHAP2 安全。PAP 也是比 MSCHAP2 简单的协议。因此,即使大多数 RADIUS 供应商与更简单的 PAP 协议兼容,但一些 RADIUS 供应商的兼容性也不如更安全的 MSCHAP2 那么高。

过程

  1. 打开启用双因素身份验证开关。
    启用该开关后,向导会显示其他配置字段。可使用滚动条访问所有字段。

    以下屏幕截图是在外部 UAG 部分中启用该开关后所显示内容的示例。

    Horizon Cloud on Microsoft Azure:容器部署向导的双因素 RADIUS 身份验证字段
  2. 在下拉列表中选择双因素身份验证方法。
    在此版本中,支持 RADIUS 身份验证。
  3. 名称字段中,输入此配置的标识名称。
  4. 在“属性”部分中,指定有关最终用户与他们将用来进行访问身份验证的登录屏幕进行交互的详细信息。
    选项 说明
    显示名称 您可以将此字段保留为空。即使此字段在向导中可见,它也只会设置 Unified Access Gateway 中的内部名称。Horizon Client 不会使用此名称。
    显示提示 (可选)输入在最终用户客户端登录屏幕中以消息形式提示用户输入其 RADIUS 用户名和通行码时,向最终用户显示的文本字符串。指定的提示将以“为您的用户名和通行码输入 DisplayHint”(Enter your DisplayHint user name and passcode) 形式显示给最终用户,其中 DisplayHint 是您在此字段中指定的文本。

    此提示有助于指导用户输入正确的 RADIUS 通行码。例如,指定诸如以下示例公司用户名和域密码之类的短语将会向最终用户显示内容为“为您的用户名和通行码输入以下示例公司用户名和域密码”(Enter your Example Company user name and domain password below for user name and passcode) 的提示。

    名称 ID 后缀 此设置用于 SAML 场景中,其中已将您的容器配置为使用 TrueSSO 进行单点登录。(可选)提供一个字符串,系统会将其附加到 SAML 断言用户名后,再将该用户名发送给代理。例如,如果在登录屏幕上输入的用户名为 user1,并且在此处指定了用户名 ID 后缀 @example.com,则系统会向代理发送 SAML 断言用户名 user1@example.com
    迭代次数 输入用户在尝试使用此 RADIUS 系统登录时,所允许的失败身份验证尝试的最大次数。
    维护用户名 启用此开关可在对 Horizon Cloud 进行身份验证期间保留用户的 RADIUS 用户名。启用时:
    • 用户用于 RADIUS 的用户名凭据必须与用于 Active Directory 身份验证(针对 Horizon Cloud)的用户名凭据相同。
    • 用户无法更改登录屏幕中的用户名。

    如果关闭此选项开关,用户将能够在登录屏幕中键入不同的用户名。

    注: 有关启用 维护用户名Horizon Cloud 中的域安全性设置之间的关系,请参阅 “常规设置”页面上的域安全性设置主题。
  5. 在“主服务器”部分中,指定有关身份验证服务器的详细信息。
    选项 说明
    主机名称/IP 地址 输入身份验证服务器的 DNS 名称或 IP 地址。
    共享密码 输入用来与身份验证服务器进行通信的密码。此值必须与服务器配置的值相同。
    身份验证端口 指定在身份验证服务器上配置的用于发送或接收身份验证流量的 UDP 端口。默认值为 1812。
    记帐端口 (可选)指定在身份验证服务器上配置的用于发送或接收记帐流量的 UDP 端口。默认值为 1813。
    机制 选择受指定的身份验证服务器支持,并且您希望部署的容器使用的身份验证协议。
    服务器超时 指定容器应等待来自身份验证服务器的响应的秒数。此秒数过后,如果服务器未响应,则会发送重试。
    最大重试次数 指定容器在对身份验证服务器的请求失败时应重试的最大次数。
    领域前缀 (可选)提供系统在将用户名发送到身份验证服务器时,将在用户名开头放置的字符串。用户帐户位置称为领域。

    例如,如果在登录屏幕上输入的用户名为 user1,并且在此处指定了领域前缀 DOMAIN-A\,则系统会向身份验证服务器发送 DOMAIN-A\user1。如果不指定领域前缀,则只会发送所输入的用户名。

    领域后缀 (可选)提供系统在将用户名发送到身份验证服务器时,将在用户名后面附加的字符串。例如,如果在登录屏幕上输入的用户名为 user1,并且在此处指定了领域后缀 @example.com,则系统会向身份验证服务器发送 user1@example.com
  6. (可选) 在“辅助服务器”部分中,可以选择指定有关辅助身份验证服务器的详细信息。
    您可以配置辅助身份验证服务器以提供高可用性。启用 辅助服务器开关,然后按照 步骤 5中所述填写相应的字段。