本主题介绍如何在 Horizon 容器中配置 Unified Access Gateway 实例以使用 Universal Broker。按照该流程操作可在每个 Unified Access Gateway 实例中配置所需的 JSON Web 令牌设置,以支持 Universal Broker 所需的安全加密链路服务器和协议重定向功能。

注: 只需对基于 Horizon Connection Server 技术的 Horizon 容器内的 Unified Access Gateway 实例执行以下过程。对于 Microsoft Azure 中的 Horizon Cloud 容器,将在部署容器时自动配置所需的 JSON Web 令牌设置。换言之,对于 Horizon Cloud 容器(不基于 Horizon Connection Server 技术)内的 Unified Access Gateway 实例,您无需对 JSON Web 令牌执行任何其他配置。

按照默认设计,Universal Broker 应对租户容器群中的每个容器使用完全相同的双因素身份验证设置。此外,按照设计,当配置了双因素身份验证设置时,Universal Broker 会构建身份验证请求,并将其传递到外部 Unified Access Gateway 实例,然后该实例将与其设置中配置的身份验证服务器进行通信以处理特定的身份验证操作。接着,Unified Access Gateway 会将身份验证服务的响应传回到 Universal Broker

因此,如果您想要同时使用 Universal Broker 和双因素身份验证,则必须在租户容器群中所有容器内的所有外部 Unified Access Gateway 实例上均配置相同的身份验证服务。当容器群中仅包含 Horizon 容器时,Universal Broker 可以支持在所有 Unified Access Gateway 实例上使用 RADIUS 服务或 RSA SecurID 服务。

但是,请注意,如果您的租户具有同时包含 Horizon 容器和 Horizon Cloud 容器的混合容器群,则可用的选项取决于您的 Horizon Cloud on Microsoft Azure 部署是否满足在其上使用 RSA SecurID 选项的条件。如果所有 Horizon Cloud 容器的清单版本均为 3139.x 或更高版本,并且可在“编辑容器”向导中看到 RSA SecurID 选项,则可以选择将所有容器均配置为使用 RSA SecurID 类型。否则,必须使用 RADIUS 来满足在所有容器群上使用相同身份验证服务的要求。

前提条件

  • 根据要支持的最终用户用例,确认您已在租户容器群中的每个 Horizon 容器上配置了一组相应的 Unified Access Gateway 设备。有关用例的简要说明,请参阅 Horizon 容器的 Universal Broker 系统要求
  • 确保这些 Unified Access Gateway 设备运行的是版本 3.8 或更高版本,并且满足 Horizon 容器的 Universal Broker 系统要求中所述的所有其他相关 Unified Access Gateway 要求。
  • 要验证每个 Unified Access Gateway 实例与其各自的容器之间的配对情况,请直接连接到 Unified Access Gateway 实例,并确认您可以访问虚拟桌面。

过程

  1. 登录到 Unified Access Gateway 管理控制台。
  2. 手动配置部分中,单击选择
  3. 高级设置下,单击 JWT 设置齿轮箱。
  4. 要创建 JWT 配置集,请单击添加
  5. 在“JWT 设置”对话框中指定所需的设置。
    设置 描述
    Name 为配置集输入一个描述性名称。
    Issuer 输入 Horizon Console 中显示的 Horizon 容器的集群名称。

    Horizon Console 中显示的容器的集群名称
    Dynamic Public key URL 输入 https://<Horizon pod FQDN>/broker/publicKey/protocolredirection,其中 <Horizon pod FQDN> 应替换为容器的唯一 FQDN(完全限定域名)。FQDN 的定义通常如下所示:
    • 如果容器具有多个 Unified Access Gateway 实例,请将本地负载均衡器的地址指定为 FQDN。
    • 如果容器只有一个 Unified Access Gateway 实例,请将与该实例配对的连接服务器的地址指定为 FQDN。
    Public key URL thumbprints 要使用公钥 URL 进行身份验证,请输入 Horizon 容器证书的 SHA1 指纹。
    注: 您可以配置 公钥 URL 指纹受信任证书以进行身份验证。您无需同时配置这两个选项。
    Trusted Certificates 要使用 Horizon 容器证书以外的证书进行身份验证,请单击 (+) 图标并添加受信任的证书。
    注: 您可以配置 受信任证书公钥 URL 指纹以进行身份验证。您无需同时配置这两个选项。
    Public key refresh interval 要获得最佳结果,请输入 900。此值会将刷新间隔设置为 900 秒或 15 分钟。
    Static public keys 将此选项保持设置为其默认值。
  6. 单击保存,然后单击关闭
  7. 如果要对 Universal Broker使用双因素身份验证,请为身份验证设置启用显示切换开关。然后,为 Universal Broker 支持的其中一种双因素身份验证服务启用并配置相应的设置。目前,两个受支持的服务是 RADIUS 和 RSA SecurID。
    注: 因此,您必须在每个参与容器的外部 Unified Access Gateway 实例上都配置适当的双因素身份验证服务。一个参与容器内的所有外部 Unified Access Gateway 实例的配置必须相互匹配,且必须与其他所有参与容器的外部 Unified Access Gateway 实例的配置相同。否则,对 Universal Broker服务的身份验证将失败。

    例如,如果要对配置了 Universal Broker 的 Horizon 容器使用 RADIUS 身份验证,则必须在所有参与的 Horizon 容器内的每个外部 Unified Access Gateway 实例上配置相同的 RADIUS 服务。您不能在一些参与容器上配置 RADIUS,同时在其他参与容器上配置 RSA SecurID。