本主题介绍了在为 Universal Broker 服务配置双因素身份验证时可采用的简要步骤和最佳做法。

双因素身份验证如何与 Universal Broker 结合使用

默认情况下,Universal Broker 仅通过用户的 Active Directory 用户名和密码对用户进行身份验证。您可以通过指定额外的身份验证方法来实施可选的双因素身份验证服务。

从服务版本 2203 开始,Universal Broker 支持将以下双因素身份验证服务与 Horizon 部署和 Horizon Cloud on Microsoft Azure 部署结合使用。

  • RADIUS
  • RSA SecurID
注: 为支持将 RSA SecurID 与 Horizon Cloud on Microsoft Azure 部署结合使用,这些容器必须运行清单 3139.x 或更高版本,并且“RSA SecurID”选项可见,以便在这些容器上运行“编辑容器”时可以在“网关设置”中进行选择。

Universal Broker 根据每个参与容器内的外部 Unified Access Gateway 实例的配置对网络用户执行双因素身份验证。虽然您也可以配置内部 Unified Access Gateway 实例来处理对内部网络用户的身份验证和路由任务,但 Universal Broker 将根据在外部 Unified Access Gateway 实例上配置的身份验证服务来进行双因素身份验证。

注: 因此,您必须在每个参与容器的外部 Unified Access Gateway 实例上都配置适当的双因素身份验证服务。一个参与容器内的所有外部 Unified Access Gateway 实例的配置必须相互匹配,且必须与其他所有参与容器的外部 Unified Access Gateway 实例的配置相同。否则,对 Universal Broker服务的身份验证将失败。

例如,如果要对配置了 Universal Broker 的 Horizon 容器使用 RADIUS 身份验证,则必须在所有参与的 Horizon 容器内的每个外部 Unified Access Gateway 实例上配置相同的 RADIUS 服务。您不能在一些参与容器上配置 RADIUS,同时在其他参与容器上配置 RSA SecurID。

当您希望同时为位于外部网络和内部网络的用户启用双因素身份验证时

  1. 对于 Universal Broker 环境中的每个容器,至少配置一个外部 Unified Access Gateway 实例。应在所有容器内的每个外部 Unified Access Gateway 实例上配置相同的双因素身份验证服务。

    请遵循适用于您的特定用例的配置准则。当您的租户容器群:

    仅具有 Horizon 容器
    应在所有容器内的每个外部 Unified Access Gateway 实例上配置 RADIUS 或 RSA SecurID 服务。
    仅具有 Horizon Cloud on Microsoft Azure 部署
    应在所有容器内的每个外部 Unified Access Gateway 实例上配置相同的双因素身份验证服务。如果所有容器的清单版本均为 3139.x 或更高版本,并且在容器上运行“编辑容器”向导时,双因素身份验证设置中显示“RSA SecurID”选项,则可以选择将所有容器配置为使用 RSA SecurID 类型。否则,可使用 RADIUS 类型。
    同时具有 Horizon 容器和 Horizon Cloud on Microsoft Azure 部署
    在混合容器群中,可供您使用的选项取决于您的 Horizon Cloud on Microsoft Azure 部署是否满足在其上使用 RSA SecurID 选项的条件。
    • 如果 Horizon Cloud on Microsoft Azure 部署不满足在其上配置 RSA SecurID 类型的条件,则可以在容器群所有容器中的每个外部 Unified Access Gateway 实例上配置 RADIUS 服务。
    • 如果您的 Horizon Cloud on Microsoft Azure 部署满足在其上配置 RSA SecurID 类型的条件,则可以在容器群所有容器中的每个外部 Unified Access Gateway 实例上配置 RSA SecurID 或 RADIUS。

    对于 Horizon 容器,请参阅 Unified Access Gateway 文档VMware Horizon 文档VMware Horizon 7 文档

    对于 Microsoft Azure 中的 Horizon Cloud 容器,请参阅将网关配置添加到已部署的 Horizon Cloud 容器在 Horizon Cloud 容器的网关上启用双因素身份验证

  2. (可选)为每个容器配置一个内部 Unified Access Gateway 实例。要将用户流量路由到相应的内部和外部 DNS 服务器,请执行以下任一操作:
    • 为容器中的内部和外部 Unified Access Gateway 实例配置不同的 FQDN。
    • 为容器中的内部和外部 Unified Access Gateway 实例配置相同的 FQDN。然后,为容器负载平衡器的 FQDN 配置拆分 DNS 区域。
  3. (仅限 Horizon 容器)在每个 Unified Access Gateway 实例中配置所需的 JSON Web 令牌设置,以支持 Universal Broker 所需的安全加密链路服务器和协议重定向功能。请参阅Horizon 容器 - 将 Unified Access Gateway 配置为与 Universal Broker 结合使用
  4. Universal Broker 配置向导的身份验证页面中,指定以下设置:
    1. 启用双因素身份验证选项开关。
    2. 对于类型,请选择您在容器内的所有外部 Unified Access Gateway 实例上配置的身份验证服务。
    3. 跳过双因素身份验证选项开关设置为关闭。

    请参阅配置 Universal Broker 设置

当您希望仅为位于外部网络的用户启用双因素身份验证时

  1. 按上述用例“当您希望同时为位于外部网络和内部网络的用户启用双因素身份验证时”中所述完成步骤 1 至 3。
  2. 代理页面的网络范围选项卡中,定义代表您内部网络的公共 IP 范围。请参阅为 Universal Broker 定义内部网络范围
  3. Universal Broker 配置向导的身份验证页面中,指定以下设置:
    1. 启用双因素身份验证选项开关。
    2. 对于类型,请选择您在容器内的所有外部 Unified Access Gateway 实例上配置的身份验证服务。
    3. 启用跳过双因素身份验证选项开关。

    请参阅配置 Universal Broker 设置