本主题介绍如何在 Horizon 容器中配置 Unified Access Gateway 实例以使用 Universal Broker。按照该流程操作可在每个 Unified Access Gateway 实例中配置所需的 JSON Web 令牌设置,以支持 Universal Broker 所需的安全加密链路服务器和协议重定向功能。

注: 只需对基于 Horizon Connection Server 技术的 Horizon 容器内的 Unified Access Gateway 实例执行以下过程。对于 Microsoft Azure 中的 Horizon Cloud 容器,将在部署容器时自动配置所需的 JSON Web 令牌设置。换言之,对于 Horizon Cloud 容器(不基于 Horizon Connection Server 技术)内的 Unified Access Gateway 实例,您无需对 JSON Web 令牌执行任何其他配置。

按照默认设计,Universal Broker 应对租户容器群中的每个容器使用完全相同的双因素身份验证设置。此外,按照设计,当配置了双因素身份验证设置时,Universal Broker 会构建身份验证请求,并将其传递到外部 Unified Access Gateway 实例,然后该实例将与其设置中配置的身份验证服务器进行通信以处理特定的身份验证操作。接着,Unified Access Gateway 会将身份验证服务的响应传回到 Universal Broker

因此,如果您想要同时使用 Universal Broker 和双因素身份验证,则必须在租户容器群中所有容器内的所有外部 Unified Access Gateway 实例上均配置相同的身份验证服务。当容器群中仅包含 Horizon 容器时,Universal Broker 可以支持在所有 Unified Access Gateway 实例上使用 RADIUS 服务或 RSA SecurID 服务。

但是,请注意,如果您的租户具有同时包含 Horizon 容器和 Horizon Cloud 容器的混合容器群,则可用的选项取决于您的 Horizon Cloud on Microsoft Azure 部署是否满足在其上使用 RSA SecurID 选项的条件。如果所有 Horizon Cloud 容器的清单版本均为 3139.x 或更高版本,并且可在“编辑容器”向导中看到 RSA SecurID 选项,则可以选择将所有容器均配置为使用 RSA SecurID 类型。否则,必须使用 RADIUS 来满足在所有容器群上使用相同身份验证服务的要求。

前提条件

  • 根据要支持的最终用户用例,确认您已在租户容器群中的每个 Horizon 容器上配置了一组相应的 Unified Access Gateway 设备。有关用例的简要说明,请参阅 Horizon 容器的 Universal Broker 系统要求
  • 确保这些 Unified Access Gateway 设备运行的是版本 3.8 或更高版本,并且满足 Horizon 容器的 Universal Broker 系统要求中所述的所有其他相关 Unified Access Gateway 要求。
  • 要验证每个 Unified Access Gateway 实例与其各自的容器之间的配对情况,请直接连接到 Unified Access Gateway 实例,并确认您可以访问虚拟桌面。

过程

  1. 登录到 Unified Access Gateway 管理控制台。
  2. 手动配置部分中,单击选择
  3. 高级设置下,单击 JWT 设置齿轮箱。
  4. 单击齿轮箱后:
    • 如果 Unified Access Gateway 软件的版本低于 2209 版,单击添加
    • 如果 Unified Access Gateway 软件为 2209 版或更高版本,单击添加 JWT 使用者Unified Access Gateway 管理 UI 在其版本 2209 中首次发布了更改。
  5. 在显示的 UI 框中,指定设置。
    设置 描述
    Name 为配置集输入一个描述性名称。
    Issuer 输入 Horizon Console 中显示的 Horizon 容器的集群名称。
    小心: 此字段在 Unified Access Gateway 管理 UI 中区分大小写。

    必须准确地输入集群名称,并且完全按照从 Horizon Console 检索时的名称输入。

    Unified Access Gateway UI 不提供其字段区分大小写的警告,并且不对是否区分大小写进行验证。

    这种区分大小写也适用于 Horizon Console 中显示的 Cluster 一词。

    如果您看到 Horizon Console 中显示的该词首字母为大写的 C、其余为小写的 luster,则必须在此颁发者字段中精确匹配该词,以及在此颁发者字段中输入 Cluster

    如果您无法确保在此颁发者字段中输入准确的区分大小写的名称,该名称与您在 Horizon Console 中看到的名称完全匹配,这会导致 Universal Broker 下游出现问题,最终用户将无法使用 Universal Broker FQDN 启动其桌面和应用程序。

    要在 Horizon Console 中找到容器的集群名称,请导航到 Horizon Console 中的仪表板区域,然后查看 UI 的上部垂直区域。

    以下是 Horizon Console 中容器的集群名称位置示意图。

    请注意,所显示名称的 Cluster 部分是首字母大写,其余字母小写。

    您必须确保在 管理 UI 的颁发者Unified Access Gateway字段中准确输入显示的名称。颁发者字段不提供帮助确保您输入的名称正确无误的验证。


    Horizon Console 中显示的容器的集群名称
    Dynamic Public key URL 您可以从容器的连接服务器主机名、连接服务器 FQDN 或本地负载均衡器(如果容器具有多个网关实例)获取要在此处输入的值。

    输入 https://<Horizon pod FQDN>/broker/publicKey/protocolredirection,其中 <Horizon pod FQDN> 应替换为容器的唯一 FQDN(完全限定域名)。FQDN 的定义通常如下所示:

    • 如果容器只有一个 Unified Access Gateway 实例,请将与该实例配对的连接服务器的地址指定为 FQDN。
    • 如果容器具有多个 Unified Access Gateway 实例,请将本地负载均衡器的地址指定为 FQDN。
    Public key URL thumbprints 此字段指定使用公钥 URL 进行身份验证。

    要使用容器的连接服务器证书进行身份验证,请为用于上述Horizon动态公钥 URL 的连接服务器输入 容器连接服务器证书的 SHA1 指纹。

    注: 您可以配置 公钥 URL 指纹受信任证书以进行身份验证。您无需同时配置这两个选项。
    Trusted Certificates 要使用 Horizon 容器证书以外的证书进行身份验证,请单击 (+) 图标并添加受信任的证书。
    注: 您可以配置 受信任证书公钥 URL 指纹以进行身份验证。您无需同时配置这两个选项。
    Public key refresh interval 要获得最佳结果,请输入 900。此值会将刷新间隔设置为 900 秒或 15 分钟。
    Static public keys 将此选项保持设置为其默认值。
  6. 单击保存,然后单击关闭
  7. 如果要对 Universal Broker使用双因素身份验证,请为身份验证设置启用显示切换开关。然后,为 Universal Broker 支持的其中一种双因素身份验证服务启用并配置相应的设置。目前,两个受支持的服务是 RADIUS 和 RSA SecurID。
    注: 因此,您必须在每个参与容器的外部 Unified Access Gateway 实例上都配置适当的双因素身份验证服务。一个参与容器内的所有外部 Unified Access Gateway 实例的配置必须相互匹配,且必须与其他所有参与容器的外部 Unified Access Gateway 实例的配置相同。否则,对 Universal Broker服务的身份验证将失败。

    例如,如果要对配置了 Universal Broker 的 Horizon 容器使用 RADIUS 身份验证,则必须在所有参与的 Horizon 容器内的每个外部 Unified Access Gateway 实例上配置相同的 RADIUS 服务。您不能在一些参与容器上配置 RADIUS,同时在其他参与容器上配置 RSA SecurID。