本主题介绍了在为 Universal Broker 服务配置双因素身份验证时可采用的简要步骤和最佳做法。

双因素身份验证如何与 Universal Broker 结合使用

默认情况下,Universal Broker 仅通过用户的 Active Directory 用户名和密码对用户进行身份验证。您可以通过指定额外的身份验证方法来实施可选的双因素身份验证服务。Universal Broker 支持以下双因素身份验证服务,具体取决于租户环境中部署的容器类型。

  • 如果您的环境仅包含 Microsoft Azure 中的 Horizon Cloud 容器,那么 Universal Broker 仅支持 Radius 身份验证。
  • 如果您的环境仅包含基于 SDDC 的 VMware 平台上的 Horizon 容器,那么 Universal Broker 同时支持 Radius 和 RSA SecurID 身份验证。
  • 如果您的混合环境同时包含 Microsoft Azure 中的 Horizon Cloud 容器和基于 SDDC 的 VMware 平台上的 Horizon 容器,那么 Universal Broker 仅支持 Radius 身份验证。

Universal Broker 根据每个参与容器内的外部 Unified Access Gateway 实例的配置对网络用户执行双因素身份验证。虽然您也可以配置内部 Unified Access Gateway 实例来处理对内部网络用户的身份验证和路由任务,但 Universal Broker 将根据在外部 Unified Access Gateway 实例上配置的身份验证服务来进行双因素身份验证。

注: 因此,您必须在每个参与容器的外部 Unified Access Gateway 实例上都配置适当的双因素身份验证服务。一个参与容器内的所有外部 Unified Access Gateway 实例的配置必须相互匹配,且必须与其他所有参与容器的外部 Unified Access Gateway 实例的配置相同。否则,对 Universal Broker服务的身份验证将失败。

例如,如果要对配置了 Universal Broker 的 Horizon 容器使用 RADIUS 身份验证,则必须在所有参与的 Horizon 容器内的每个外部 Unified Access Gateway 实例上配置相同的 RADIUS 服务。您不能在一些参与容器上配置 RADIUS,同时在其他参与容器上配置 RSA SecurID。

当您希望同时为位于外部网络和内部网络的用户启用双因素身份验证时

  1. 对于 Universal Broker 环境中的每个容器,至少配置一个外部 Unified Access Gateway 实例。应在所有容器内的每个外部 Unified Access Gateway 实例上配置相同的双因素身份验证服务。

    请遵循适用于您的特定用例的配置准则:

    • 如果您的环境仅包含 Horizon 容器,请在所有容器内的每个外部 Unified Access Gateway 实例上配置 RADIUS 或 RSA SecurID 服务。
    • 如果您的环境中仅包含 Microsoft Azure 中的 Horizon Cloud 容器,请在所有容器内的每个外部 Unified Access Gateway 实例上配置 RADIUS 服务。
    • 如果您的环境是同时包含 Horizon 容器和 Microsoft Azure 中的 Horizon Cloud 容器的混合环境,请在所有容器内的每个外部 Unified Access Gateway 实例上配置 RADIUS 服务。

    对于 Horizon 容器,请参阅 Unified Access Gateway 文档VMware Horizon 文档VMware Horizon 7 文档。对于 Microsoft Azure 中的 Horizon Cloud 容器,请参阅指定 Horizon Cloud 容器的网关配置

  2. (可选)为每个容器配置一个内部 Unified Access Gateway 实例。要将用户流量路由到相应的内部和外部 DNS 服务器,请执行以下任一操作:
    • 为容器中的内部和外部 Unified Access Gateway 实例配置不同的 FQDN。
    • 为容器中的内部和外部 Unified Access Gateway 实例配置相同的 FQDN。然后,为容器负载平衡器的 FQDN 配置拆分 DNS 区域。
  3. (仅限 Horizon 容器)在每个 Unified Access Gateway 实例中配置所需的 JSON Web 令牌设置,以支持 Universal Broker 所需的安全加密链路服务器和协议重定向功能。请参阅Horizon 容器 - 将 Unified Access Gateway 配置为与Universal Broker结合使用
  4. Universal Broker 配置向导的身份验证页面中,指定以下设置:
    1. 启用双因素身份验证选项开关。
    2. 对于类型,请选择您在容器内的所有外部 Unified Access Gateway 实例上配置的身份验证服务。
    3. 跳过双因素身份验证选项开关设置为关闭。

    请参阅配置 Universal Broker 设置

当您希望仅为位于外部网络的用户启用双因素身份验证时

  1. 按上述用例“当您希望同时为位于外部网络和内部网络的用户启用双因素身份验证时”中所述完成步骤 1 至 3。
  2. 代理页面的网络范围选项卡中,定义代表您内部网络的公共 IP 范围。请参阅为 Universal Broker 定义内部网络范围
  3. Universal Broker 配置向导的身份验证页面中,指定以下设置:
    1. 启用双因素身份验证选项开关。
    2. 对于类型,请选择您在容器内的所有外部 Unified Access Gateway 实例上配置的身份验证服务。
    3. 启用跳过双因素身份验证选项开关。

    请参阅配置 Universal Broker 设置