本主题介绍如何将基于 VMware SDDC 的平台上的 Horizon 容器内的 Unified Access Gateway 实例配置为与 Universal Broker 结合使用。按照该流程操作可在每个 Unified Access Gateway 实例中配置所需的 JSON Web 令牌设置,以支持 Universal Broker 所需的安全加密链路服务器和协议重定向功能。

注: 只需对基于 VMware SDDC 的平台上的 Horizon 容器内的 Unified Access Gateway 实例执行以下过程。对于 Microsoft Azure 中的 Horizon Cloud 容器,将在部署容器时自动配置所需的 JSON Web 令牌设置。换言之,对于 Microsoft Azure 中的 Horizon Cloud 容器(而不是基于 VMware SDDC 的平台上的容器)内的 Unified Access Gateway 实例,您无需对 JSON Web 令牌执行任何其他配置。

为您的租户配置 Universal Broker 时,如果您希望外部最终用户使用双因素身份验证,则还必须在容器内的所有外部 Unified Access Gateway 实例上配置相应的 RADIUS 服务或 RSA SecurID 服务(仅适用于 Horizon 容器)。

前提条件

  • 确认已为 Universal Broker 环境中的每个容器配置了外部 Unified Access Gateway 实例和/或内部 Unified Access Gateway 实例。
  • 确保您运行的是 Unified Access Gateway 版本 3.8 或更高版本,并满足 Universal Broker的系统要求中列出的所有其他 Unified Access Gateway 要求。
  • 要验证每个 Unified Access Gateway 实例与其各自的容器之间的配对情况,请直接连接到 Unified Access Gateway 实例,并确认您可以访问虚拟桌面。

过程

  1. 登录到 Unified Access Gateway 管理控制台。
  2. 手动配置部分中,单击选择
  3. 高级设置下,单击 JWT 设置齿轮箱。
  4. 要创建 JWT 配置集,请单击添加
  5. 在“JWT 设置”对话框中指定所需的设置。
    设置 描述
    Name 为配置集输入一个描述性名称。
    Issuer 输入 Horizon Console 中显示的 Horizon 容器的集群名称。

    Horizon Console 中显示的容器的集群名称
    Dynamic Public key URL 输入 https://<Horizon pod FQDN>/broker/publicKey/protocolredirection,其中 <Horizon pod FQDN> 应替换为容器的唯一 FQDN(完全限定域名)。FQDN 的定义通常如下所示:
    • 如果容器具有多个 Unified Access Gateway 实例,请将本地负载均衡器的地址指定为 FQDN。
    • 如果容器只有一个 Unified Access Gateway 实例,请将与该实例配对的连接服务器的地址指定为 FQDN。
    Public key URL thumbprints 要使用公钥 URL 进行身份验证,请输入 Horizon 容器证书的 SHA1 指纹。
    注: 您可以配置 公钥 URL 指纹受信任证书以进行身份验证。您无需同时配置这两个选项。
    Trusted Certificates 要使用 Horizon 容器证书以外的证书进行身份验证,请单击 (+) 图标并添加受信任的证书。
    注: 您可以配置 受信任证书公钥 URL 指纹以进行身份验证。您无需同时配置这两个选项。
    Public key refresh interval 要获得最佳结果,请输入 900。此值会将刷新间隔设置为 900 秒或 15 分钟。
    Static public keys 将此选项保持设置为其默认值。
  6. 单击保存,然后单击关闭
  7. 如果要对 Universal Broker使用双因素身份验证,请为身份验证设置启用显示切换开关。然后,启用并配置 Universal Broker 支持的以下某个安全服务的设置:RSA SecurID(仅适用于 Horizon 容器)或 RADIUS
    注: 因此,您必须在每个参与容器的外部 Unified Access Gateway 实例上都配置适当的双因素身份验证服务。一个参与容器内的所有外部 Unified Access Gateway 实例的配置必须相互匹配,且必须与其他所有参与容器的外部 Unified Access Gateway 实例的配置相同。否则,对 Universal Broker服务的身份验证将失败。

    例如,如果要对配置了 Universal Broker 的 Horizon 容器使用 RADIUS 身份验证,则必须在所有参与的 Horizon 容器内的每个外部 Unified Access Gateway 实例上配置相同的 RADIUS 服务。您不能在一些参与容器上配置 RADIUS,同时在其他参与容器上配置 RSA SecurID。