要将 Universal Broker 与连接到云的 Horizon 容器结合使用,必须先将每个容器中的安全服务器替换为 Unified Access Gateway 设备。然后,必须在每个 Unified Access Gateway 实例中配置所需的 JSON Web 令牌设置,以支持 Universal Broker所需的安全加密链路服务器和协议重定向。

如果要对 Universal Broker使用双因素身份验证,还必须在每个 Unified Access Gateway 实例上配置相应的 RADIUS 或 RSA SecurID 服务。

前提条件

  • 为参与多云分配的每个连接到云的 Horizon 容器安装专用的 Unified Access Gateway 设备。确保安装版本 3.8 或更高版本的 Unified Access Gateway。将每个 Unified Access Gateway 实例配置为代理服务器,用于处理向与其配对的连接服务器发出的连接请求。

    有关更多信息,请参阅 Unified Access Gateway 文档VMware Horizon 7 文档

    注: 确保每个 Unified Access Gateway 实例仅与一个容器配对。
  • 要验证每个 Unified Access Gateway 实例与其各自的连接服务器之间的配对情况,请直接连接到 Unified Access Gateway,并确认您可以访问虚拟桌面。

过程

  1. 登录到 Unified Access Gateway 管理控制台。
  2. 手动配置部分中,单击选择
  3. 高级设置下,单击 JWT 设置齿轮箱。
  4. 要创建 JWT 配置集,请单击添加
  5. 在“JWT 设置”对话框中指定所需的设置。
    设置 描述
    Name 为配置集输入一个描述性名称。
    Issuer 输入 Horizon Console 中显示的 Horizon 容器的群集名称。

    Horizon Console 中显示的容器的群集名称
    Dynamic Public key URL 输入 https://<Horizon pod FQDN>/broker/publicKey/protocolredirection,其中 <Horizon pod FQDN> 应替换为容器的唯一 FQDN(完全限定域名)。FQDN 的定义通常如下所示:
    • 如果容器具有多个 Unified Access Gateway 实例,请将本地负载均衡器的地址指定为 FQDN。
    • 如果容器只有一个 Unified Access Gateway 实例,请将与该实例配对的连接服务器的地址指定为 FQDN。
    Public key URL thumbprints 要使用公钥 URL 进行身份验证,请输入 Horizon 容器证书的 SHA1 指纹。
    注: 您可以配置 公钥 URL 指纹受信任证书以进行身份验证。您无需同时配置这两个选项。
    Trusted Certificates 要使用 Horizon 容器证书以外的证书进行身份验证,请单击 (+) 图标并添加受信任的证书。
    注: 您可以配置 受信任证书公钥 URL 指纹以进行身份验证。您无需同时配置这两个选项。
    Public key refresh interval 要获得最佳结果,请输入 900。此值会将刷新间隔设置为 900 秒或 15 分钟。
    Static public keys 将此选项保持设置为其默认值。
  6. 单击保存,然后单击关闭
  7. 如果要对 Universal Broker使用双因素身份验证,请为身份验证设置启用显示切换开关。然后,启用并配置 Universal Broker支持的以下某个安全服务的设置:RSA SecurIDRADIUS
    注: 您必须在每个参与容器的 Unified Access Gateway 实例上配置相应的 RADIUS 或 RSA SecurID 服务。一个参与容器内的所有 Unified Access Gateway 实例配置必须相互匹配,且必须与其他所有参与容器的 Unified Access Gateway 实例配置相同。否则,对 Universal Broker服务的身份验证将失败。

    例如,如果要对 Universal Broker使用 RADIUS 身份验证,则必须在所有参与容器间的每个 Unified Access Gateway 实例上配置相同的 RADIUS 服务。您不能在一些参与容器上配置 RADIUS,同时在其他参与容器上配置 RSA SecurID。