Sie können Unified Access Gateway mit Horizon 8 bereitstellen.
Voraussetzungen
Wenn sowohl Horizon als auch eine Web-Reverse-Proxy-Instanz wie Workspace ONE Access auf der gleichen Unified Access Gateway-Instanz konfiguriert und aktiviert werden sollen, finden Sie entsprechende Informationen unter Erweiterte Einstellungen für Edge-Dienst.
Prozedur
- Klicken Sie auf der Admin-UI im Bereich Manuell konfigurieren auf Auswählen.
- Aktivieren Sie unter Allgemeine Einstellungen die Umschaltoption Einstellungen für Edge-Dienst.
- Klicken Sie auf das Zahnradsymbol für die Horizon-Einstellungen.
- Aktivieren Sie auf der Seite „Horizon-Einstellungen“ die Umschaltoption Horizon aktivieren, um die Horizon-Einstellungen zu aktivieren.
- Konfigurieren Sie die folgenden Edge-Diensteinstellungen für Horizon:
Option
Beschreibung
Bezeichner
Standardmäßig ist hier Horizon eingestellt. Unified Access Gateway kann mit Servern kommunizieren, die das XML-Protokoll von Horizon verwenden, etwa dem Horizon-Verbindungsserver.
Verbindungsserver-URL
Geben Sie die Adresse des Horizon Servers ein. Zum Beispiel: https://00.00.00.00.
Stellen Sie zur Aufrechterhaltung der Hochverfügbarkeit sicher, dass Sie über mindestens zwei Unified Access Gateways verfügen und verschiedene Verbindungsserver als Ziele für die Verbindungsserver-URL angeben. Unified Access Gateway erkennt, wenn der Zielverbindungsserver nicht antwortet und benachrichtigt den externen Lastausgleichsdienst, dass er keine neuen Verbindungen mehr verarbeiten kann.
Weitere Informationen finden Sie unter Load Balancing Connection Servers (Lastausgleich für Verbindungsserver) in VMware Tech Zone.
Fingerabdruck der Verbindungsserver-URL
Hinweis: Sie müssen einen Fingerabdruck nur dann angeben, wenn das SSL-Serverzertifikat des Verbindungsservers nicht von einer vertrauenswürdigen Zertifizierungsstelle ausgestellt wurde. Beispielsweise ein selbstsigniertes Zertifikat oder ein von einer internen Zertifizierungsstelle ausgestelltes Zertifikat.Geben Sie die Liste der Horizon Server-Fingerabdrücke im Hexadezimalformat ein.
Ein Fingerabdruck hat das Format[alg=]xx:xx
... wobeialg
sha1 (Standardwert), sha256, sha384 und sha512 oder md5 sein kann und diexx
hexadezimale Ziffern sind. Der Hash-Algorithmus muss die für die Mindesthash-Größe festgelegten Anforderungen erfüllen. Wenn mehrere Fingerabdrücke hinzugefügt werden, sollten sie durch Kommata getrennt werden. Das Trennzeichen kann ein Leerzeichen, ein Doppelpunkt (:) oder kein Trennzeichen sein.Beispiel: sha1=C3 89 A2 19 DC 7A 48 2B 85 1C 81 EC 5E 8F 6A 3C 33 F2 95 C3, sha256=ad:5c:f1:48:47:94:7e:80:82:73:13:6c:83:52:b:e:78:ed:ff:50:23:56:a8:42:8a:d9:30:fc:3a:33:d6:c6:db, sha512=2221B24DC78018A8FAFF81B7AD348722390793DE8C0E5E5AA1D622BCC951D4DA5DBB1C76C79A258A7AFBD1727447151C90E1733E7E83A7D1D46ADF1A31C78496.
Fingerabdrücke für Zertifikate können für die Zertifikatvalidierung für das Serverzertifikat konfiguriert werden, das bei der Kommunikation zwischen Unified Access Gateway und Horizon Connection Server zurückgegeben wird.
Diese Option kann während der PowerShell-Bereitstellung konfiguriert werden, indem der Parameter proxyDestinationUrlThumbprints im [Horizon]-Abschnitt in der ini-Datei hinzugefügt wird. Siehe Ausführen eines PowerShell-Skripts zur Bereitstellung von Unified Access Gateway.
Verbindungsserver-Umleitung berücksichtigen
Wenn der Horizon-Broker einen HTTP-Redirect 307-Antwortcode sendet und die Umschaltoption Verbindungsserver-Umleitung berücksichtigen aktiviert ist, kommuniziert Unified Access Gateway mit der im 307-Antwort-Header angegebenen URL für die aktuellen und zukünftigen Anfragen in der Sitzung.
Wenn das Kontrollkästchen Hostumleitung aktivieren auf dem Verbindungsserver aktiviert ist, stellen Sie sicher, dass Sie die Umschaltoption Verbindungsserver-Umleitung berücksichtigen auf Unified Access Gateway aktivieren. Weitere Informationen finden Sie unter Hostumleitung aktivieren im Handbuch Horizon-Installation und -Upgrade. unter VMware Docs.
PCOIP aktivieren
Aktivieren Sie diese Umschaltoption, um festzulegen, dass das PCoIP Secure Gateway aktiviert ist.
PCOIP-Legacy-Zertifikat deaktivieren
Aktivieren Sie diese Umschaltoption, damit das hochgeladene SSL-Serverzertifikat anstelle des Legacy-Zertifikats verwendet wird. Legacy-PCoIP-Clients funktionieren nicht, wenn diese Umschaltoption aktiviert ist.
Externe PCoIP-URL
Die von Horizon Clients verwendete URL für die Herstellung der Horizon-PCoIP-Sitzung auf dieser Unified Access Gateway-Appliance. Sie muss eine IPv4-Adresse und keinen Hostnamen enthalten. Beispielsweise 10.1.2.3:4172. Standardmäßig sind die Unified Access Gateway-IP-Adresse und Port 4172 angegeben.
Blast aktivieren
Aktivieren Sie diese Umschaltoption, um das Blast Secure Gateway zu verwenden.
Externe Blast-URL Die von Horizon Clients verwendete URL für die Herstellung der Horizon-Blast- oder BEAT-Sitzung auf dieser Unified Access Gateway-Appliance. Z. B. https://uag1.myco.com oder https://uag1.myco.com:443.
Wenn die TCP-Portnummer nicht angegeben wird, ist der Standard-TCP-Port 8443. Wenn die UDP-Portnummer nicht angegeben wird, ist der Standard-UDP-Port auch 8443.
Blast Reverse-Verbindung aktiviert
Aktivieren Sie diese Umschaltoption, um die Blast Reverse-Verbindung zu aktivieren.
Einschränkung: Diese Umschaltoption wurde für einen zukünftigen Anwendungsfall hinzugefügt.IP-Modus für Verbindungsserver
Gibt den IP-Modus eines Horizon Connection Server an.
Dieses Feld kann folgende Werte aufweisen:
IPv4
,IPv6
undIPv4+IPv6
.Der Standardwert lautet
IPv4
.-
Wenn sich alle Netzwerkkarten in der Unified Access Gateway-Appliance im IPv4-Modus befinden (kein IPv6-Modus), kann dieses Feld einen der folgenden Werte aufweisen:
IPv4
oderIPv4+IPv6
(gemischter Modus). -
Wenn sich alle Netzwerkkarten in der Unified Access Gateway-Appliance im IPv6-Modus befinden (kein IPv4-Modus), kann dieses Feld einen der folgenden Werte aufweisen:
IPv6
oderIPv4+IPv6
(gemischter Modus).
Clientverschlüsselungsmodus
Gibt den Verschlüsselungsmodus für die Kommunikation zwischen Horizon Client, Unified Access Gateway und Horizon Connection Server an.
Die Werte für diese Option lauten
DISABLED
,ALLOWED
undREQUIRED
. Der Standardwert lautetALLOWED
.-
DISABLED
– Client Encryption Mode-Option ist deaktiviert.Wenn diese Funktion deaktiviert ist, wird das bisherige Verhalten beibehalten. In Unified Access Gateway-Versionen vor 2111 ist die nicht verschlüsselte Kommunikation zwischen Horizon Client, Unified Access Gateway und Horizon Connection Server zulässig.
-
ALLOWED
– Mit Horizon Client 2111 oder höher lässt Unified Access Gateway nur verschlüsselte Kommunikation mit Horizon Client und Horizon Connection Server zu.Bei früheren Versionen von Horizon Client ist die nicht verschlüsselte Kommunikation zulässig. Dieses Verhalten ähnelt dem, wenn die Funktion deaktiviert ist.
-
REQUIRED
– Nur verschlüsselte Kommunikation zwischen den drei Komponenten ist zulässig.Hinweis: Wenn eine frühere Version von Horizon Client in diesem verschlüsselten Modus verwendet wird, schlägt die nicht verschlüsselte Kommunikation fehl und der Endbenutzer kann die Horizon-Desktops und -Anwendungen nicht starten.
XML-Signatur aktivieren
Gibt den Modus der XML-Signatur an. Die Werte für diese Option lautenAUTO
,ON
undOFF
. Standardmäßig ist die XML-Signatur deaktiviert.Einschränkung: Diese Umschaltoption wurde für einen zukünftigen Anwendungsfall hinzugefügt.Ursprünglichen Header erneut schreiben
Wenn eine eingehende Anforderung an Unified Access Gateway den Header Origin enthält und die Umschaltoption Ursprünglichen Header erneut schreiben aktiviert ist, schreibt Unified Access Gateway den Header Origin mit der Verbindungsserver-URL neu.
Die Umschaltoption Ursprünglichen Header erneut schreiben arbeitet mit der CORS-Eigenschaft checkOrigin von Horizon Connection Server zusammen. Wenn dieses Feld aktiviert ist, kann der Horizon-Administrator die Notwendigkeit zur Angabe von Unified Access Gateway-IP-Adressen in der Datei locked.properties umgehen.
Informationen zur Herkunftsüberprüfung finden Sie in der Dokumentation zu Horizon-Sicherheit.
-
- Klicken Sie auf Mehr, um die Authentifizierungsmethodenregel und andere erweiterte Einstellungen zu konfigurieren.
Option
Beschreibung
Authentifizierungsmethoden
Standardmäßig wird die Passthrough-Authentifizierung des Benutzernamens und des Kennworts verwendet.
Die folgenden Authentifizierungsmethoden werden unterstützt:
Passthrough
,SAML
,SAML and Passthrough
,SAML and Unauthenticated
,SecurID
,SecurID and Unauthenticated
,X.509 Certificate
,X.509 Certificate and Passthrough
,Device X.509 Certificate and Passthrough
,RADIUS
,RADIUS and Unauthenticated
undX.509 Certificate or RADIUS
.Wichtig:Wenn Sie eine der
Unauthenticated
-Methoden als Authentifizierungsmethode ausgewählt haben, stellen Sie sicher, dass Sie für die Anmeldungsverzögerungsstufe im Horizon Connection Server die EinstellungLow
festlegen. Diese Konfiguration ist erforderlich, um eine lange Anmeldungsverzögerung für Endpoints beim Zugriff auf den Remote-Desktop oder die Remoteanwendung zu vermeiden.Weitere Informationen zur Konfiguration von Anmeldungsverzögerungsstufe finden Sie unter Konfigurieren der Anmeldungsverzögerung bei nicht authentifiziertem Zugriff auf veröffentlichte Anwendungen im Administratorhandbuch für Horizon unter VMware Docs.
Windows-SSO aktivieren
Diese Umschaltoption kann verwendet werden, wenn die Authentifizierungsmethoden auf RADIUS festgelegt sind und wenn der RADIUS-Passcode mit dem Kennwort der Windows-Domäne identisch ist.
Aktivieren Sie diese Umschaltoption, damit der RADIUS-Benutzername und der RADIUS-Passcode für die Anmeldedaten der Windows-Domäne verwendet werden, um zu vermeiden, dass der Benutzer erneut aufgefordert werden muss.
Wenn Horizon in einer Umgebung mit mehreren Domänen eingerichtet ist und der angegebene Benutzername keinen Domänennamen enthält, wird der Domänenname nicht an CS gesendet.
Wenn das Suffix für die Namens-ID konfiguriert ist und der angegebene Benutzername keinen Domänennamen enthält, wird der Wert für die Konfiguration des Suffix für die Namens-ID an den Benutzernamen angehängt. Wenn beispielsweise ein Benutzer „jdoe“ als Benutzernamen angegeben hat und „NameIDSuffix“ auf @north.int festgelegt ist, lautet der gesendete Benutzername [email protected].
Wenn das Suffix für die Namens-ID konfiguriert ist und der angegebene Benutzername im UPN-Format vorliegt, wird das Suffix für die Namens-ID ignoriert. Wenn beispielsweise ein Benutzer [email protected], und für „NameIDSuffix“ @south.int angegeben hat, lautet der Benutzername [email protected].
Wenn der angegebene Benutzername im Format <DomainName\username> vorliegt, z. B. NORTH\jdoe, sendet Unified Access Gateway den Benutzernamen und den Domänennamen separat an CS.
RADIUS-Klassenattribute
Dieses Feld wird aktiviert, wenn für die Authentifizierungsmethoden RADIUS festgelegt wird. Klicken Sie auf „+“, um einen Wert für das Klassenattribut hinzuzufügen. Geben Sie den Namen des Klassenattributs ein, das für die Benutzerauthentifizierung verwendet werden soll. Klicken Sie auf „-“, um ein Klassenattribut zu entfernen.
Hinweis:Wenn dieses Feld leer bleibt, wird keine zusätzliche Autorisierung durchgeführt.
Text des Haftungsausschlusses
Der Text der Haftungsausschluss-Meldung von Horizon, der dem Benutzer angezeigt wird und von ihm akzeptiert werden muss, wenn Authentifizierungsmethode konfiguriert ist.
Aufforderung für Smart Card-Hinweis
Aktivieren Sie diese Umschaltoption, um den Kennworthinweis für die Zertifikatauthentifizierung zu aktivieren.
URI-Pfad für Integritätsprüfung
Der für die Integritätsstatusüberwachung benötigte URI-Pfad für den Verbindungsserver, mit dem Unified Access Gateway sich verbindet.
UDP-Server aktivieren
Verbindungen werden über den UDP-Tunnel-Server eingerichtet, wenn die Netzwerkverbindung schlecht ist.
Wenn Horizon Client Anforderungen über UDP sendet, empfängt Unified Access Gateway die Quell-IP-Adresse dieser Anforderungen als
127.0.0.1
. Unified Access Gateway sendet dieselbe Quell-IP-Adresse an Horizon Connection Server.Um sicherzustellen, dass der Verbindungsserver die tatsächliche Quell-IP-Adresse der Anforderung erhält, müssen Sie diese Option (UDP-Server aktivieren) in der Unified Access Gateway-Administrator-Benutzeroberfläche deaktivieren.
Blast-Proxy-Zertifikat
Proxy-Zertifikat für Blast. Klicken Sie auf Auswählen, um ein Zertifikat im PEM-Format hochzuladen und dem BLAST Trust Store hinzuzufügen. Klicken Sie auf Ändern, um das vorhandene Zertifikat zu ersetzen.
Wenn der Benutzer manuell dasselbe Zertifikat für Unified Access Gateway in den Lastausgleichsdienst hochlädt und ein anderes Zertifikat für Unified Access Gateway und Blast Gateway verwenden muss, tritt beim Erstellen einer Blast-Desktop-Sitzung ein Fehler auf, da der Fingerabdruck zwischen dem Client und Unified Access Gateway nicht übereinstimmt. Die Eingabe eines benutzerdefinierten Fingerabdrucks für Unified Access Gateway oder Blast Gateway löst dieses Problem, indem der Fingerabdruck weitergegeben wird, um die Client-Sitzung herzustellen.
Zulässige Host-Header-Werte für Blast
Geben Sie eine IP-Adresse oder einen Hostnamen ein.
Durch die Angabe eines Host-Header-Werts lässt BSG (Blast Secure Gateway) nur die Anforderungen zu, die den angegebenen Host-Header-Wert enthalten.
Eine Liste mit durch Kommas getrennten Werten im Format
host[:port]
kann angegeben werden. Der Wert kann eine IP-Adresse, ein Hostname oder ein FQDN-Name sein.Der Host-Header in der eingehenden Verbindungsanforderung für Blast-TCP-Port 8443 an Blast Secure Gateway muss mit einem der im Feld angegebenen Werte übereinstimmen.
Um eine Anforderung zuzulassen, die keinen Hostnamen oder keine IP-Adresse im Host-Header enthält, verwenden Sie
_empty_
.Wenn kein Wert angegeben ist, wird jeder von Horizon Client gesendete Host-Header akzeptiert.
Tunnel aktivieren
Aktivieren Sie diese Umschaltoption, wenn der sichere Horizon-Tunnel verwendet wird. Der Client verwendet die externe URL für Tunnelverbindungen über das Horizon Secure Gateway. Der Tunnel wird für den Verkehr von RDP, USB und MMR (Multimedia-Umleitung) benutzt.
Externe Tunnel-URL
Die von Horizon Clients verwendete URL für die Herstellung der Horizon Tunnel-Sitzung auf dieser Unified Access Gateway-Appliance. Z. B. https://uag1.myco.com oder https://uag1.myco.com:443.
Wenn die TCP-Portnummer nicht angegeben wird, ist der Standard-TCP-Port 443.
Tunnel-Proxy-Zertifikat
Das Proxy-Zertifikat für Horizon Tunnel. Klicken Sie auf Auswählen, um ein Zertifikat im PEM-Format hochzuladen und dem Tunnel Trust Store hinzuzufügen. Klicken Sie auf Ändern, um das vorhandene Zertifikat zu ersetzen.
Wenn der Benutzer manuell dasselbe Zertifikat für Unified Access Gateway in den Lastausgleichsdienst hochlädt und ein anderes Zertifikat für Unified Access Gateway und Horizon Tunnel verwenden muss, tritt beim Erstellen einer Tunnel-Sitzung ein Fehler auf, da der Fingerabdruck zwischen dem Client und Unified Access Gateway nicht übereinstimmt. Die Eingabe eines benutzerdefinierten Fingerabdrucks für Unified Access Gateway oder Horizon Tunnel löst dieses Problem, da der Fingerabdruck weitergegeben wird, um die Client-Sitzung herzustellen.
Anbieter zur Überprüfung der Endpunktübereinstimmung
Wählen Sie den Anbieter zur Überprüfung der Endpunktübereinstimmung.
Der Standardwert lautet
None
.Hinweis:Nur wenn die Anbietereinstellungen zur Überprüfung der Übereinstimmung in der Verwaltungsoberfläche konfiguriert sind, können Sie die zur Auswahl stehenden Optionen sehen. Weitere Informationen zu den Anbietern zur Überprüfung der Endpoint-Übereinstimmung und deren Konfiguration finden Sie unter Überprüfung der Endpoint-Konformität für Horizon.
Compliance-Prüfung zur Authentifizierung
Option zum Deaktivieren oder Aktivieren der Überprüfung der Endpoint-Übereinstimmung bei der Benutzerauthentifizierung.
Die Übereinstimmung wird immer geprüft, wenn ein Benutzer eine Desktop- oder Anwendungssitzung startet. Wenn diese Option aktiviert ist, wird die Übereinstimmung auch nach erfolgreicher Authentifizierung des Benutzers geprüft. Wenn diese Option aktiviert ist und die Prüfung der Übereinstimmung zum Zeitpunkt der Authentifizierung fehlschlägt, wird die Benutzersitzung nicht fortgesetzt.
Wenn die Option deaktiviert ist, prüft Unified Access Gateway die Übereinstimmung nur, wenn ein Benutzer eine Desktop- oder Anwendungssitzung startet.
Diese Option ist nur verfügbar, wenn ein Anbieter zur Überprüfung der Endpoint-Übereinstimmung ausgewählt ist. Standardmäßig ist diese Option aktiviert.
Achtung:Wenn Sie die Option Anfängliche Verzögerung für Compliance-Prüfung auf der Seite Anbietereinstellungen zur Überprüfung der Endpoint-Übereinstimmung konfiguriert haben, ist die Option Compliance-Prüfung zur Authentifizierung automatisch deaktiviert. Unified Access Gateway überprüft die Compliance bei der Authentifizierung nicht. Weitere Informationen zum Zeitintervall und zum Verhalten von Unified Access Gateway, wenn dieses Zeitintervall konfiguriert ist, finden Sie unter Zeitintervall für die Verzögerung der Compliance-Prüfung.
Diese Option ist auch als Parameter im Abschnitt [Horizon] in der .ini-Datei vorhanden und kann während der Bereitstellung mit PowerShell konfiguriert werden. Informationen zum Parameternamen finden Sie unter Ausführen eines PowerShell-Skripts zur Bereitstellung von Unified Access Gateway.
Proxy-Muster
Geben Sie den regulären Ausdruck ein, mit dem die URLs, die mit der Horizon Server-URL verbunden sind (proxyDestinationUrl), abgeglichen werden. Der Standardwert ist
(/|/view-client(.*)|/portal(.*)|/appblast(.*))
.Hinweis:Das Muster kann auch verwendet werden, um bestimmte URLs auszuschließen. Um beispielsweise alle URLs zuzulassen, aber „/admin“ zu blockieren, können Sie den folgenden Ausdruck verwenden.
^/(?!admin(.*))(.*)
SAML SP
Geben Sie den Namen des SAML-Dienstanbieters für den Horizon XMLAPI-Broker ein. Dieser Name muss entweder mit dem Namen in den Metadaten eines konfigurierten Dienstanbieters übereinstimmen oder der spezielle Wert DEMO sein.
Kanonische Übereinstimmung für Proxy-Muster aktivieren
Aktivieren Sie diese Umschaltoption, um die kanonische Übereinstimmung für Horizon zu aktivieren. Zur Normalisierung der URL führt Unified Access Gateway das Äquivalent zu
C RealPath()
aus, indem Zeichenfolgen wie%2E
konvertiert und die..
-Sequenzen entfernt werden, um einen absoluten Pfad zu erstellen. Die Proxy-Musterprüfung wird dann auf den absoluten Pfad angewendet.Standardmäßig ist diese Umschaltoption für Horizon Edge-Dienste aktiviert.
Hinweis:Standardmäßig ist diese Umschaltoption für Web-Reverse-Proxy-Dienste deaktiviert.
Abmelden beim Entfernen des Zertifikats
Hinweis:Diese Option ist verfügbar, wenn eine der Authentifizierungsmethoden für die Smartcard als Authentifizierungsmethode ausgewählt ist.
Wenn diese Umschaltoption aktiviert ist und die Smartcard entfernt wird, muss sich der Endbenutzer von einer Unified Access Gateway-Sitzung abmelden.
Benutzernamenbezeichnung für RADIUS
Geben Sie Text ein, um die Benutzernamenbezeichnung im Horizon Client anzupassen. Beispiel:
Domain Username
Die RADIUS-Authentifizierungsmethode muss aktiviert sein. Informationen zum Aktivieren von RADIUS finden Sie unter Konfigurieren der RADIUS-Authentifizierung.
Der Standardbezeichnungsname lautet
Username
.Die maximale Länge des Bezeichnungsnamens beträgt 20 Zeichen.
Kennungsbezeichnung für RADIUS
Geben Sie einen Namen ein, um die Kennungsbezeichnung im Horizon Client anzupassen. Beispiel:
Password
Die RADIUS-Authentifizierungsmethode muss aktiviert sein. Informationen zum Aktivieren von RADIUS finden Sie unter Konfigurieren der RADIUS-Authentifizierung.
Der Standardbezeichnungsname lautet
Passcode
.Die maximale Länge des Bezeichnungsnamens beträgt 20 Zeichen.
Übereinstimmung mit Windows-Benutzername
Aktivieren Sie diese Umschaltoption, damit RSA SecurID und der Windows-Benutzername übereinstimmen. Wenn diese Umschaltoption aktiviert ist, wird securID-auth auf „wahr“ festgelegt, und die Übereinstimmung von securID mit dem Windows-Benutzernamen wird erzwungen.
Wenn Horizon in einer Umgebung mit mehreren Domänen eingerichtet ist und der angegebene Benutzername keinen Domänennamen enthält, wird der Domänenname nicht an CS gesendet.
Wenn das Suffix für die Namens-ID konfiguriert ist und der angegebene Benutzername keinen Domänennamen enthält, wird der Wert für die Konfiguration des Suffix für die Namens-ID an den Benutzernamen angehängt. Wenn ein Benutzer beispielsweise jdoe als Benutzernamen angegeben hat und „NameIDSuffix“ auf @north.int festgelegt ist, lautet der gesendete Benutzername [email protected].
Wenn das Suffix für die Namens-ID konfiguriert ist und der angegebene Benutzername im UPN-Format vorliegt, wird das Suffix für die Namens-ID ignoriert. Wenn beispielsweise ein Benutzer [email protected], und für „NameIDSuffix“ @south.int angegeben hat, lautet der Benutzername [email protected].
Wenn der angegebene Benutzername im Format <DomainName\username> vorliegt, z. B. NORTH\jdoe, sendet Unified Access Gateway den Benutzernamen und den Domänennamen separat an CS.
Hinweis:Wenn Sie in Horizon 7 die Einstellungen Serverinformationen in der Kunden-Benutzeroberfläche ausblenden und Domänenliste in der Kunden-Benutzeroberfläche ausblenden aktivieren und die zweistufige Authentifizierung (RSA SecureID oder RADIUS) für die Verbindungsserverinstanz auswählen, dürfen Sie nicht die Windows-Benutzernamenübereinstimmung erzwingen. Wenn Sie die Windows-Benutzernamenübereinstimmung erzwingen, werden Benutzer daran gehindert, Domäneninformationen im Textfeld „Benutzername“ einzugeben, und die Anmeldung schlägt immer fehl. Weitere Informationen finden Sie in den Themen zur zweistufigen Authentifizierung im Dokument „Horizon 7-Verwaltung“.
Gateway-Standort
Der Standort, von dem die Verbindungsanforderung stammt. Der Sicherheitsserver und Unified Access Gateway legen den Gateway-Standort fest. Der Standort kann
External
oderInternal
sein.Wichtig:Der Speicherort muss auf
Internal
festgelegt werden, wenn eine der folgenden Authentifizierungsmethoden ausgewählt wird:SAML and Unauthenticated
,SecurID and Unauthenticated
oderRADIUS and Unauthenticated
.Meldung vor der Anmeldung beim Verbindungsserver anzeigen Aktivieren Sie diese Umschaltoption, um dem Benutzer eine Meldung vor der Anmeldung des Verbindungsservers anzuzeigen, die auf dem Verbindungsserver während des primären XML-API-Protokollflusses konfiguriert wurde. Standardmäßig ist diese Umschaltoption für Horizon Edge-Dienste aktiviert. Bei dieser Umschaltoption wird dem Benutzer die auf dem Verbindungsserver konfigurierte Nachricht vor der Anmeldung nicht angezeigt.
JWT-Hersteller
Wählen Sie einen konfigurierten JWT-Hersteller aus dem Dropdown-Menü.
Hinweis: Stellen Sie sicher, dass das Feld Name im Abschnitt „JWT-Herstellereinstellungen“ der erweiterten Einstellungen konfiguriert ist.JWT-Zielgruppen
Optionale Liste der beabsichtigten Empfänger des für die SAML-Artefaktvalidierung von Workspace ONE Access Horizon verwendeten JWT.
Damit die JWT-Validierung erfolgreich ist, muss mindestens einer der Empfänger in dieser Liste mit einer der in der Workspace ONE Access Horizon-Konfiguration angegebenen Zielgruppen übereinstimmen. Wenn keine JWT-Zielgruppen angegeben werden, werden bei der JWT-Validierung keine Zielgruppen berücksichtigt.
JWT-Verbraucher
Wählen Sie den Namen des JWT-Verbrauchers aus einer der konfigurierten JWT-Einstellungen.
Hinweis: Stellen Sie für die JWT SAML-Artefaktvalidierung von Workspace ONE Access sicher, dass das Feld Name im Abschnitt „JWT-Verbrauchereinstellungen“ unter „Erweiterte Einstellungen“ konfiguriert ist.Vertrauenswürdige Zertifikate
Klicken Sie auf +, um ein Zertifikat im PEM-Format auszuwählen und es zum Trust Store hinzuzufügen.
Um einen anderen Namen anzugeben, bearbeiten Sie das Textfeld „Alias“.
Standardmäßig ist der Aliasname der Dateiname des PEM-Zertifikats.
Klicken Sie auf -, um ein Zertifikat aus dem Trust Store zu entfernen.
Sicherheitsheader der Antwort
Um eine Kopfzeile hinzuzufügen, klicken Sie auf +. Geben Sie den Namen der Sicherheitskopfzeile ein. Geben Sie den Wert ein.
Um eine Kopfzeile zu entfernen, klicken Sie auf -. Bearbeiten Sie eine vorhandene Sicherheitskopfzeile, um den Namen und den Wert der Kopfzeile zu aktualisieren.
Wichtig:Die Kopfzeilennamen und -werte werden erst gespeichert, nachdem Sie auf Speichern geklickt haben. Einige Sicherheitskopfzeilen sind standardmäßig vorhanden. Die konfigurierten Kopfzeilen werden der Unified Access Gateway-Antwort an den Client nur dann hinzugefügt, wenn die entsprechenden Kopfzeilen in der Antwort vom konfigurierten Backend-Server nicht vorhanden sind.
Hinweis:Gehen Sie vorsichtig beim Ändern von Sicherheitsantwortkopfzeilen vor. Eine Änderung dieser Parameter kann die sichere Funktion von Unified Access Gateway beeinträchtigen.
Benutzerdefinierte ausführbare Clientdateien
In diesem Dropdown-Feld sind die benutzerdefinierten ausführbaren Dateien aufgeführt, die im Unified Access Gateway konfiguriert sind.
Benutzerdefinierte ausführbare Dateien werden als Teil der erweiterten Einstellungen konfiguriert. Eine ausführbare Datei kann für mehr als einen Betriebssystemtyp konfiguriert werden. Wenn die ausführbare Datei zu den Horizon-Einstellungen hinzugefügt wird, werden auch alle Betriebssystemtypen der ausführbaren Datei einbezogen. Die ausführbare Datei steht dann für den Horizon Client zum Herunterladen und Ausführen auf dem Endgerät nach erfolgreicher Benutzerauthentifizierung zur Verfügung.
Informationen zum Konfigurieren von benutzerdefinierten ausführbaren Dateien finden Sie unter Konfigurieren der benutzerdefinierten ausführbaren Clientdateien in Unified Access Gateway.
Host-Portumleitungszuordnungen
Informationen dazu, wie Unified Access Gateway die HTTP-Hostumleitungsfunktion unterstützt, und bestimmte Überlegungen, die für die Verwendung dieser Funktion erforderlich sind, finden Sie unter Unified Access Gateway-Unterstützung für die HTTP-Hostumleitung.
Hinweis:Der Quellhost und der Umleitungshost unterstützen optionale Ports, die durch Doppelpunkte getrennt sind. Die Standardportnummer ist
443
.Quellhost:Port
Geben Sie den Hostnamen der Quelle (Host-Header-Wert) ein.
Host umleiten:Port
Geben Sie den Hostnamen der entsprechenden Unified Access Gateway-Appliance ein, deren Affinität mit dem Horizon Client aufrechterhalten werden muss.
Hosteinträge
Geben Sie die Details ein, die der Datei /etc/hosts hinzugefügt werden sollen. Jeder Eintrag muss eine IP, einen Hostnamen und einen optionalen Hostnamensalias (in dieser Reihenfolge) enthalten, die durch ein Leerzeichen voneinander getrennt sind. Beispiel: 10.192.168.1 example1.com, 10.192.168.2 example2.com example-alias. Klicken Sie auf das Pluszeichen, um mehrere Hosteinträge hinzuzufügen.
Wichtig:Die Hosteinträge werden erst gespeichert, nachdem Sie auf Speichern geklickt haben.
SAML-Zielgruppen
Stellen Sie sicher, dass entweder eine SAML- oder eine SAML- und Passthrough-Authentifizierungsmethode ausgewählt ist.
Geben Sie die Zielgruppen-URL ein.
Hinweis:Wenn das Textfeld leer bleibt, sind die Zielgruppen nicht eingeschränkt.
Informationen zur Unified Access Gateway-Unterstützung bei SAML-Zielgruppen finden Sie unter SAML-Zielgruppen.
SAML-Attribut für nicht authentifizierten Benutzernamen
Geben Sie den Namen des benutzerdefinierten Attributs ein.
Hinweis:Dieses Feld ist nur verfügbar, wenn als Wert für Authentifizierungsmethoden
SAML and Unauthenticated
festgelegt ist.Wenn Unified Access Gateway die SAML-Assertion validiert und der in diesem Feld angegebene Attributname in der Assertion vorhanden ist, ermöglicht Unified Access Gateway einen nicht authentifizierten Zugriff für den Benutzernamen, der für das Attribut im Identitätsanbieter konfiguriert ist.
Weitere Informationen über die Methode
SAML and Unauthenticated
finden Sie unter Authentifizierungsmethoden für die Integration von Unified Access Gateway und externen Identitätsanbietern.Nicht authentifizierter Standardbenutzername
Geben Sie den Standardbenutzernamen ein, der für den nicht authentifizierten Zugriff verwendet werden muss.
Dieses Feld ist in der Verwaltungsoberfläche verfügbar, wenn eine der folgenden Authentifizierungsmethoden ausgewählt ist:
SAML and Unauthenticated
,SecurID and Unauthenticated
undRADIUS and Unauthenticated
.Hinweis:Für die Authentifizierungsmethode
SAML and Unauthenticated
wird der Standardbenutzername für den nicht authentifizierten Zugriff nur verwendet, wenn das Feld SAML-Attribut für nicht authentifizierten Benutzernamen leer ist oder der in diesem Feld angegebene Attributname in der SAML-Assertion fehlt.HTML Access deaktivieren
Wenn diese Umschaltoption aktiviert ist, ist der Webzugriff auf Horizon deaktiviert. Weitere Informationen dazu finden Sie unter Konfigurieren von OPSWAT als Anbieter zur Überprüfung der Endpoint-Übereinstimmung für Horizon.
- (Optional) Konfigurieren Sie die Liste der BSG-Funktionen entweder über den JSON-Import auf der Admin-Benutzeroberfläche oder die INI-Konfigurationsdatei über die PowerShell-Bereitstellung.
Zwei Arten von Listen werden unterstützt.
- Liste der Standardfunktionen – enthält die folgende Liste der Standardfunktionen.
Benutzerfreundlicher Name Name der Standardfunktion Zwischenablagenumleitung MKSCchan
HTML5/GeoLocation-Umleitung html5mmr
RdeServer VMwareRde;UNITY_UPDATE_CHA
TSMMR tsmmr
Umleitung für serielle Ports/Scanner NLR3hv;NLW3hv
Druckerumleitung PrintRedir
CDR tsdr
USB-Umleitung UsbRedirection
Umleitung des Speicherlaufwerks SDRTrans
TlmStat-Telemetrie TlmStat
Scanner anzeigen VMWscan
FIDO2-Umleitung fido2
- Liste der benutzerdefinierten Funktionen – Freitext, der mehrere Funktionen enthalten kann. Unterstützt Sonderzeichen und nicht-englische Zeichen.
Hinweis:Diese Funktion gilt nur für Windows Horizon-Agenten. Standardmäßig ist die Liste der BSG-Funktionen nicht konfiguriert und alle Remote-Experience-Funktionen sind zulässig. Wenn die Liste der BSG-Funktionen konfiguriert ist, sind nur die in der Liste angegebenen Remote-Experience-Funktionen zulässig und alle anderen Funktionen sind blockiert.
Verwenden Sie zur Konfiguration der Liste der BSG-Funktionen eine der folgenden Methoden.
Option Beschreibung INI-Datei Fügen Sie die folgende Konfiguration in der
[Horizon/Blast]
-Einstellung hinzu.standardFeature1=PrintRedir standardFeature2=UsbRedirection customFeature1=acme_desktop1 customFeature2=acme_desktop2
JSON-Datei Öffnen Sie die vorhandene JSON-Datei und fügen Sie den neuen Knoten blastSettings ähnlich dem folgenden Beispiel hinzu.
“blastExternalUrl”: “https://example.com/”, “blastSettings”: { “blastStandardFeatures”: [ “PrintRedir”, “UsbRedirection” ], “blastCustomFeatures”: [ “acme_desktop1”, “acme_desktop2” ] },
- Liste der Standardfunktionen – enthält die folgende Liste der Standardfunktionen.
- Klicken Sie auf Speichern.