要在已部署容器的网关设置中启用双因素身份验证,请在容器的详细信息页面中使用编辑操作。您的容器上的网关配置使用 Unified Access Gateway 虚拟机,并配置为使最终用户能够访问其桌面和应用程序。您可以将这些双因素身份验证设置添加到容器的现有网关配置中,也可以在添加新网关配置时添加这些设置。您可以使用“编辑容器”工作流将双因素身份验证设置添加到容器的网关配置中。

注: 如果将租户配置为使用 Universal Broker,并且代理设置启用了双因素身份验证,则必须在容器群中所有容器的外部网关上设置相同的双因素身份验证类型。在此场景中,在执行这些步骤以将双因素身份验证添加到外部网关时,用户界面将强制选择与代理设置中设置的双因素身份验证类型相匹配的双因素身份验证类型。

前提条件

对于要在其中添加双因素身份验证的网关,请确认您已在向导中完成了该网关配置的这些字段。在为内部部署身份验证服务器配置双因素身份验证时,您还可以在以下字段中提供信息,以便该网关的 Unified Access Gateway 实例可以解析指向该内部部署服务器的路由。

选项 说明
DNS 地址 指定一个或多个能够解析内部部署身份验证服务器名称的 DNS 服务器的地址。
路由 指定一个或多个自定义路由以允许容器的 Unified Access Gateway 实例解析到内部部署身份验证服务器的网络路由。

例如,如果您的内部部署 RADIUS 服务器使用 10.10.60.20 作为其 IP 地址,则您将需要使用 10.10.60.0/24 和默认路由网关地址作为自定义路由。您可以从用于此环境的 Express Route 或 VPN 配置中获取默认路由网关地址。

以逗号分隔列表的形式指定格式为 ipv4-network-address/bits ipv4-gateway-address 的自定义路由,例如:192.168.1.0/24 192.168.0.1, 192.168.2.0/24 192.168.0.2

确认您在身份验证服务器的配置中使用了以下信息,以便您能够在容器部署向导的相应字段中提供这些信息。如果您正在使用 RADIUS 身份验证服务器,并且同时拥有主服务器和辅助服务器,请分别获取它们各自的信息。

RADIUS

如果要同时配置主和辅助 RADIUS 服务器的设置,请分别获取它们各自的信息。

  • 身份验证服务器的 IP 地址或 DNS 名称
  • 用于在身份验证服务器的协议消息中进行加密和解密的共享密码
  • 身份验证端口号,对于 RADIUS,通常为 1812/UDP。
  • 身份验证协议类型。身份验证类型包括 PAP(密码身份验证协议)、CHAP(质询握手身份验证协议)、MSCHAP1 和 MSCHAP2(Microsoft 质询握手身份验证协议版本 1 和 2)。
    注: 查看 RADIUS 供应商的文档以了解 RADIUS 供应商建议的身份验证协议,并采用指示的协议类型。Unified Access Gateway 实例为容器提供了相应的功能以支持使用 RADIUS 的双因素身份验证,Unified Access Gateway 支持 PAP、CHAP、MSCHAP1 和 MSCHAP2。PAP 通常不如 MSCHAP2 安全。PAP 也是比 MSCHAP2 简单的协议。因此,即使大多数 RADIUS 供应商与更简单的 PAP 协议兼容,但一些 RADIUS 供应商的兼容性也不如更安全的 MSCHAP2 那么高。
RSA SecurID
注: 运行清单 3139.x 或更高版本的 Horizon Cloud on Microsoft Azure 部署支持 RSA SecurID 类型。从 2022 年 3 月中旬开始,“添加容器”和“编辑容器”向导中用于指定 RSA SecurID 类型的 UI 选项将变为可见且可供选择。
  • RSA SecurID Authentication Manager 服务器的访问密钥。
  • RSA SecurID 通信端口号。按照 RSA SecurID 身份验证 API 的 RSA Authentication Manager 系统设置中所设置,通常为 5555。
  • RSA SecurID Authentication Manager 服务器的主机名。
  • RSA SecurID Authentication Manager 服务器的 IP 地址。
  • 如果 RSA SecurID Authentication Manager 服务器或其负载均衡器服务器具有自签名证书,那么您需要在“添加容器”向导中提供 CA 证书。该证书应采用 PEM 格式(文件类型为 .cer .cert.pem

过程

  1. 如果“编辑容器”窗口的网关设置步骤尚未打开,请在容器的详细信息页面中单击编辑,然后单击下一步以移动到网关设置步骤。
  2. 将窗口放置在要启用双因素身份验证的网关类型(外部或内部)上。
  3. 打开启用双因素身份验证选项开关。
    启用该开关后,向导会显示其他配置字段。可使用滚动条访问所有字段。

    以下屏幕截图是在外部 UAG 部分中启用该开关后所显示内容的示例。

    Horizon Cloud on Microsoft Azure:启用此选项开关以启用双因素身份验证后,容器部署向导中处于初始状态的双因素身份验证字段。
  4. 选择双因素身份验证类型:RadiusRSA SecurID
    目前,受支持的类型为 RADIUS 和 RSA SecurID。

    选择类型后,双因素身份验证配置菜单会自动反映您正在添加该选定类型的配置。例如,如果选择了 RSA SecurID 类型,则双因素身份验证配置菜单将显示新建 RSA SecurID

  5. 配置名称字段中,输入此配置的标识名称。
  6. 在“属性”部分中,指定有关最终用户与他们将用来进行访问身份验证的登录屏幕进行交互的详细信息。

    该向导将根据 Horizon Cloud on Microsoft Azure 部署支持与其网关配置配合使用的配置来显示字段。显示的字段因所选的双因素身份验证类型而异。请参阅下表,该表与选定的类型(RADIUS 或 RSA SecurID)相对应。

    RADIUS

    填写这些字段时,需要指定有关主身份验证服务器的详细信息。如果您具有辅助身份验证服务器,请启用辅助服务器选项开关,并指定该服务器的详细信息。

    选项 说明
    显示名称 您可以将此字段保留为空。即使此字段在向导中可见,它也只会设置 Unified Access Gateway 配置中的内部名称。Horizon Client 不会使用此名称。
    显示提示 (可选)输入在最终用户客户端登录屏幕中以消息形式提示用户输入其 RADIUS 用户名和通行码时,向最终用户显示的文本字符串。指定的提示将以“为您的用户名和通行码输入 DisplayHint”(Enter your DisplayHint user name and passcode) 形式显示给最终用户,其中 DisplayHint 是您在此字段中指定的文本。

    此提示有助于指导用户输入正确的 RADIUS 通行码。例如,指定诸如以下示例公司用户名和域密码之类的短语将会向最终用户显示内容为“为您的用户名和通行码输入以下示例公司用户名和域密码”(Enter your Example Company user name and domain password below for user name and passcode) 的提示。

    名称 ID 后缀 此设置用于 SAML 场景中,其中已将您的容器配置为使用 TrueSSO 进行单点登录。(可选)提供一个字符串,系统会将其附加到 SAML 断言用户名后,再在请求中将该用户名发送给容器管理器。例如,如果在登录屏幕上输入的用户名为 user1,并且在此处指定了名称 ID 后缀 @example.com,则系统会在请求中发送 SAML 断言用户名 [email protected]
    迭代次数 输入用户在尝试使用此 RADIUS 系统登录时,所允许的失败身份验证尝试的最大次数。
    维护用户名 启用此选项开关可在客户端、Unified Access Gateway 实例和 RADIUS 服务之间的身份验证流期间保持用户的 Active Directory 用户名不变。启用时:
    • 用户用于 RADIUS 的用户名凭据必须与用于 Active Directory 身份验证的用户名凭据相同。
    • 用户无法更改登录屏幕中的用户名。

    如果关闭此选项开关,用户将能够在登录屏幕中键入不同的用户名。

    注: 有关启用 维护用户名Horizon Cloud 中的域安全性设置之间的关系,请参阅 “常规设置”页面上的域安全性设置主题。
    主机名称/IP 地址 输入身份验证服务器的 DNS 名称或 IP 地址。
    共享密码 输入用来与身份验证服务器进行通信的密码。此值必须与服务器配置的值相同。
    身份验证端口 指定在身份验证服务器上配置的用于发送或接收身份验证流量的 UDP 端口。默认值为 1812。
    记帐端口 (可选)指定在身份验证服务器上配置的用于发送或接收记帐流量的 UDP 端口。默认值为 1813。
    机制 选择受指定的身份验证服务器支持,并且您希望部署的容器使用的身份验证协议。
    服务器超时 指定容器应等待来自身份验证服务器的响应的秒数。此秒数过后,如果服务器未响应,则会发送重试。
    最大重试次数 指定容器在对身份验证服务器的请求失败时应重试的最大次数。
    领域前缀 (可选)提供系统在将用户名发送到身份验证服务器时,将在用户名开头放置的字符串。用户帐户位置称为领域。

    例如,如果在登录屏幕上输入的用户名为 user1,并且在此处指定了领域前缀 DOMAIN-A\,则系统会向身份验证服务器发送 DOMAIN-A\user1。如果不指定领域前缀,则只会发送所输入的用户名。

    领域后缀 (可选)提供系统在将用户名发送到身份验证服务器时,将在用户名后面附加的字符串。例如,如果在登录屏幕上输入的用户名为 user1,并且在此处指定了领域后缀 @example.com,则系统会向身份验证服务器发送 [email protected]
    RSA SecurID
    选项 说明
    访问密钥 键入在系统的 RSA SecurID 身份验证 API 设置中获取的 RSA SecurID 系统访问密钥。
    服务器端口 指定在系统的 RSA SecurID 身份验证 API 设置中配置的通信端口值,默认情况下通常为 5555。
    服务器主机名 输入身份验证服务器的 DNS 名称。
    服务器 IP 地址 输入身份验证服务器的 IP 地址。
    迭代次数 输入用户被锁定一小时之前允许的最大失败身份验证尝试次数。默认为尝试五 (5) 次。
    CA 证书 当 RSA SecurID Authentication Manager 服务器或其负载均衡器使用自签名证书时,需要使用此项。在这种情况下,请复制 CA 证书并将其粘贴到该字段中。如本页上文所述,应提供 PEM 格式的证书信息。

    如果服务器具有由公共证书颁发机构 (CA) 签名的证书,则此字段为可选字段。
    身份验证超时 指定在超时之前可在 Unified Access Gateway 实例和 RSA SecurID 身份验证服务器之间进行身份验证尝试的秒数。默认值为 180 秒。
  7. 完成所需的所有设置后,单击保存并退出
    将显示确认消息,要求您确认启动工作流。
  8. 单击以启动工作流。

结果

在系统将新配置部署到容器之前,添加双因素身份验证的网关的“容器摘要”页面部分将显示挂起状态。

在该工作流完成后,状态将显示为就绪,并在页面中显示该网关的双因素身份验证设置。

注: 在 Microsoft Azure 中国为容器运行该工作流时,该过程可能需要超过一个小时的时间才能完成。该过程受地理网络问题的影响,从云控制平面下载二进制文件时,这些问题可能导致下载速度缓慢。

下一步做什么

重要说明: 您必须先完成以下任务,然后最终用户才能开始对该网关使用双因素身份验证功能。
  • 如果容器的外部网关配置了双因素身份验证,并且无法在部署了网关 Unified Access Gateway 实例的同一 VNet 拓扑中访问双因素身份验证服务器,请将该双因素身份验证服务器配置为允许来自外部网关负载均衡器 IP 地址的通信。

    如果无法在与网关部署相同的 VNet 拓扑中访问双因素身份验证服务器,那么 Unified Access Gateway 实例将尝试使用该负载均衡器地址与该服务器联系。要允许该通信流量,请确保该外部网关资源组中的负载均衡器资源 IP 地址在双因素身份验证服务器配置中指定为客户端或已注册的代理。有关如何允许该通信的具体信息,请参阅双因素身份验证服务器的文档。

  • 如果可以在同一 VNet 拓扑中访问您的双因素身份验证服务器,请将双因素身份验证服务器配置为允许来自为 Microsoft Azure 中的部署 Unified Access Gateway 实例创建的相应网卡的通信。

    您的网络管理员将确定双因素身份验证服务器的网络是否对用于部署的 Azure VNet 拓扑及其子网可见。双因素身份验证服务器必须允许来自 Unified Access Gateway 实例网卡 IP 地址的通信,这些网卡对应于您的网络管理员为双因素身份验证服务器提供网络可见性的子网。

    Microsoft Azure 中的网关资源组具有四个与该子网相对应的网卡:两个活动网卡用于两个 Unified Access Gateway 实例,两个空闲网卡将在容器及其网关经过更新后变为活动网卡。

    当执行日常容器操作时以及在每次容器更新后,要支持网关与双因素身份验证服务器之间的通信流量,请确保在该服务器的配置中将这四个网卡的 IP 地址指定为客户端或已注册的代理。有关如何允许该通信的具体信息,请参阅双因素身份验证服务器的文档。

有关如何获取这些 IP 地址的信息,请参阅使用所需的 Horizon Cloud 容器网关信息更新双因素身份验证系统