Standardmäßig ist hier Horizon eingestellt. Unified Access Gateway kann mit Servern kommunizieren, die das XML-Protokoll von Horizon verwenden, etwa dem Horizon-Verbindungsserver.

Geben Sie die Adresse des Horizon Servers ein. Zum Beispiel: https://00.00.00.00.

Stellen Sie zur Aufrechterhaltung der Hochverfügbarkeit sicher, dass Sie über mindestens zwei Unified Access Gateways verfügen und verschiedene Verbindungsserver als Ziele für die Verbindungsserver-URL angeben. Unified Access Gateway erkennt, wenn der Zielverbindungsserver nicht antwortet und benachrichtigt den externen Lastausgleichsdienst, dass er keine neuen Verbindungen mehr verarbeiten kann.

Weitere Informationen finden Sie unter Load Balancing Connection Servers (Lastausgleich für Verbindungsserver) in VMware Tech Zone.

Geben Sie die Liste der Horizon Server-Fingerabdrücke im Hexadezimalformat ein.

Beispiel: sha1=C3 89 A2 19 DC 7A 48 2B 85 1C 81 EC 5E 8F 6A 3C 33 F2 95 C3, sha256=ad:5c:f1:48:47:94:7e:80:82:73:13:6c:83:52:b:e:78:ed:ff:50:23:56:a8:42:8a:d9:30:fc:3a:33:d6:c6:db, sha512=2221B24DC78018A8FAFF81B7AD348722390793DE8C0E5E5AA1D622BCC951D4DA5DBB1C76C79A258A7AFBD1727447151C90E1733E7E83A7D1D46ADF1A31C78496.

Fingerabdrücke für Zertifikate können für die Zertifikatvalidierung für das Serverzertifikat konfiguriert werden, das bei der Kommunikation zwischen Unified Access Gateway und Horizon Connection Server zurückgegeben wird.

Diese Option kann während der PowerShell-Bereitstellung konfiguriert werden, indem der Parameter proxyDestinationUrlThumbprints im [Horizon]-Abschnitt in der ini-Datei hinzugefügt wird. Siehe Ausführen eines PowerShell-Skripts zur Bereitstellung von Unified Access Gateway.

Wenn der Horizon-Broker einen HTTP-Redirect 307-Antwortcode sendet und die Umschaltoption Verbindungsserver-Umleitung berücksichtigen aktiviert ist, kommuniziert Unified Access Gateway mit der im 307-Antwort-Header angegebenen URL für die aktuellen und zukünftigen Anfragen in der Sitzung.

Wenn das Kontrollkästchen Hostumleitung aktivieren auf dem Verbindungsserver aktiviert ist, stellen Sie sicher, dass Sie die Umschaltoption Verbindungsserver-Umleitung berücksichtigen auf Unified Access Gateway aktivieren. Weitere Informationen finden Sie unter Hostumleitung aktivieren im Handbuch Horizon-Installation und -Upgrade. unter VMware Docs.

Aktivieren Sie diese Umschaltoption, um festzulegen, dass das PCoIP Secure Gateway aktiviert ist.

Aktivieren Sie diese Umschaltoption, damit das hochgeladene SSL-Serverzertifikat anstelle des Legacy-Zertifikats verwendet wird. Legacy-PCoIP-Clients funktionieren nicht, wenn diese Umschaltoption aktiviert ist.

Die von Horizon Clients verwendete URL für die Herstellung der Horizon-PCoIP-Sitzung auf dieser Unified Access Gateway-Appliance. Sie muss eine IPv4-Adresse und keinen Hostnamen enthalten. Beispielsweise 10.1.2.3:4172. Standardmäßig sind die Unified Access Gateway-IP-Adresse und Port 4172 angegeben.

Aktivieren Sie diese Umschaltoption, um das Blast Secure Gateway zu verwenden.

Die von Horizon Clients verwendete URL für die Herstellung der Horizon-Blast- oder BEAT-Sitzung auf dieser Unified Access Gateway-Appliance. Z. B. https://uag1.myco.com oder https://uag1.myco.com:443.

Wenn die TCP-Portnummer nicht angegeben wird, ist der Standard-TCP-Port 8443. Wenn die UDP-Portnummer nicht angegeben wird, ist der Standard-UDP-Port auch 8443.

Aktivieren Sie diese Umschaltoption, um die Blast Reverse-Verbindung zu aktivieren.

Gibt den IP-Modus eines Horizon Connection Server an.

Dieses Feld kann folgende Werte aufweisen: IPv4, IPv6 und IPv4+IPv6.

Der Standardwert lautet IPv4.

• Wenn sich alle Netzwerkkarten in der Unified Access Gateway-Appliance im IPv4-Modus befinden (kein IPv6-Modus), kann dieses Feld einen der folgenden Werte aufweisen: IPv4 oder IPv4+IPv6 (gemischter Modus).

• Wenn sich alle Netzwerkkarten in der Unified Access Gateway-Appliance im IPv6-Modus befinden (kein IPv4-Modus), kann dieses Feld einen der folgenden Werte aufweisen: IPv6 oder IPv4+IPv6 (gemischter Modus).

Gibt den Verschlüsselungsmodus für die Kommunikation zwischen Horizon Client, Unified Access Gateway und Horizon Connection Server an.

Die Werte für diese Option lauten DISABLED, ALLOWED und REQUIRED. Der Standardwert lautet ALLOWED.

• DISABLED – Client Encryption Mode-Option ist deaktiviert.

  Wenn diese Funktion deaktiviert ist, wird das bisherige Verhalten beibehalten. In Unified Access Gateway-Versionen vor 2111 ist die nicht verschlüsselte Kommunikation zwischen Horizon Client, Unified Access Gateway und Horizon Connection Server zulässig.

• ALLOWED – Mit Horizon Client 2111 oder höher lässt Unified Access Gateway nur verschlüsselte Kommunikation mit Horizon Client und Horizon Connection Server zu.

  Bei früheren Versionen von Horizon Client ist die nicht verschlüsselte Kommunikation zulässig. Dieses Verhalten ähnelt dem, wenn die Funktion deaktiviert ist.

• REQUIRED – Nur verschlüsselte Kommunikation zwischen den drei Komponenten ist zulässig.

  Hinweis: Wenn eine frühere Version von Horizon Client in diesem verschlüsselten Modus verwendet wird, schlägt die nicht verschlüsselte Kommunikation fehl und der Endbenutzer kann die Horizon-Desktops und -Anwendungen nicht starten.

Wenn eine eingehende Anforderung an Unified Access Gateway den Header Origin enthält und die Umschaltoption Ursprünglichen Header erneut schreiben aktiviert ist, schreibt Unified Access Gateway den Header Origin mit der Verbindungsserver-URL neu.

Die Umschaltoption Ursprünglichen Header erneut schreiben arbeitet mit der CORS-Eigenschaft checkOrigin von Horizon Connection Server zusammen. Wenn dieses Feld aktiviert ist, kann der Horizon-Administrator die Notwendigkeit zur Angabe von Unified Access Gateway-IP-Adressen in der Datei locked.properties umgehen.

Informationen zur Herkunftsüberprüfung finden Sie in der Dokumentation zu Horizon-Sicherheit.

Standardmäßig wird die Passthrough-Authentifizierung des Benutzernamens und des Kennworts verwendet.

Die folgenden Authentifizierungsmethoden werden unterstützt: Passthrough, SAML, SAML and Passthrough, SAML and Unauthenticated, SecurID, SecurID and Unauthenticated, X.509 Certificate, X.509 Certificate and Passthrough, Device X.509 Certificate and Passthrough, RADIUS, RADIUS and Unauthenticated und X.509 Certificate or RADIUS.

Diese Umschaltoption kann verwendet werden, wenn die Authentifizierungsmethoden auf RADIUS festgelegt sind und wenn der RADIUS-Passcode mit dem Kennwort der Windows-Domäne identisch ist.

Aktivieren Sie diese Umschaltoption, damit der RADIUS-Benutzername und der RADIUS-Passcode für die Anmeldedaten der Windows-Domäne verwendet werden, um zu vermeiden, dass der Benutzer erneut aufgefordert werden muss.

Wenn Horizon in einer Umgebung mit mehreren Domänen eingerichtet ist und der angegebene Benutzername keinen Domänennamen enthält, wird der Domänenname nicht an CS gesendet.

Wenn das Suffix für die Namens-ID konfiguriert ist und der angegebene Benutzername keinen Domänennamen enthält, wird der Wert für die Konfiguration des Suffix für die Namens-ID an den Benutzernamen angehängt. Wenn beispielsweise ein Benutzer „jdoe“ als Benutzernamen angegeben hat und „NameIDSuffix“ auf @north.int festgelegt ist, lautet der gesendete Benutzername [email protected].

Wenn das Suffix für die Namens-ID konfiguriert ist und der angegebene Benutzername im UPN-Format vorliegt, wird das Suffix für die Namens-ID ignoriert. Wenn beispielsweise ein Benutzer [email protected], und für „NameIDSuffix“ @south.int angegeben hat, lautet der Benutzername [email protected].

Wenn der angegebene Benutzername im Format <DomainName\username> vorliegt, z. B. NORTH\jdoe, sendet Unified Access Gateway den Benutzernamen und den Domänennamen separat an CS.

Dieses Feld wird aktiviert, wenn für die Authentifizierungsmethoden RADIUS festgelegt wird. Klicken Sie auf „+“, um einen Wert für das Klassenattribut hinzuzufügen. Geben Sie den Namen des Klassenattributs ein, das für die Benutzerauthentifizierung verwendet werden soll. Klicken Sie auf „-“, um ein Klassenattribut zu entfernen.

Der Text der Haftungsausschluss-Meldung von Horizon, der dem Benutzer angezeigt wird und von ihm akzeptiert werden muss, wenn Authentifizierungsmethode konfiguriert ist.

Aktivieren Sie diese Umschaltoption, um den Kennworthinweis für die Zertifikatauthentifizierung zu aktivieren.

Der für die Integritätsstatusüberwachung benötigte URI-Pfad für den Verbindungsserver, mit dem Unified Access Gateway sich verbindet.

Verbindungen werden über den UDP-Tunnel-Server eingerichtet, wenn die Netzwerkverbindung schlecht ist.

Wenn Horizon Client Anforderungen über UDP sendet, empfängt Unified Access Gateway die Quell-IP-Adresse dieser Anforderungen als 127.0.0.1. Unified Access Gateway sendet dieselbe Quell-IP-Adresse an Horizon Connection Server.

Um sicherzustellen, dass der Verbindungsserver die tatsächliche Quell-IP-Adresse der Anforderung erhält, müssen Sie diese Option (UDP-Server aktivieren) in der Unified Access Gateway-Administrator-Benutzeroberfläche deaktivieren.

Proxy-Zertifikat für Blast. Klicken Sie auf Auswählen, um ein Zertifikat im PEM-Format hochzuladen und dem BLAST Trust Store hinzuzufügen. Klicken Sie auf Ändern, um das vorhandene Zertifikat zu ersetzen.

Wenn der Benutzer manuell dasselbe Zertifikat für Unified Access Gateway in den Lastausgleichsdienst hochlädt und ein anderes Zertifikat für Unified Access Gateway und Blast Gateway verwenden muss, tritt beim Erstellen einer Blast-Desktop-Sitzung ein Fehler auf, da der Fingerabdruck zwischen dem Client und Unified Access Gateway nicht übereinstimmt. Die Eingabe eines benutzerdefinierten Fingerabdrucks für Unified Access Gateway oder Blast Gateway löst dieses Problem, indem der Fingerabdruck weitergegeben wird, um die Client-Sitzung herzustellen.

Geben Sie eine IP-Adresse oder einen Hostnamen ein.

Durch die Angabe eines Host-Header-Werts lässt BSG (Blast Secure Gateway) nur die Anforderungen zu, die den angegebenen Host-Header-Wert enthalten.

Eine Liste mit durch Kommas getrennten Werten im Format host[:port] kann angegeben werden. Der Wert kann eine IP-Adresse, ein Hostname oder ein FQDN-Name sein.

Der Host-Header in der eingehenden Verbindungsanforderung für Blast-TCP-Port 8443 an Blast Secure Gateway muss mit einem der im Feld angegebenen Werte übereinstimmen.

Um eine Anforderung zuzulassen, die keinen Hostnamen oder keine IP-Adresse im Host-Header enthält, verwenden Sie _empty_.

Wenn kein Wert angegeben ist, wird jeder von Horizon Client gesendete Host-Header akzeptiert.

Aktivieren Sie diese Umschaltoption, wenn der sichere Horizon-Tunnel verwendet wird. Der Client verwendet die externe URL für Tunnelverbindungen über das Horizon Secure Gateway. Der Tunnel wird für den Verkehr von RDP, USB und MMR (Multimedia-Umleitung) benutzt.

Die von Horizon Clients verwendete URL für die Herstellung der Horizon Tunnel-Sitzung auf dieser Unified Access Gateway-Appliance. Z. B. https://uag1.myco.com oder https://uag1.myco.com:443.

Wenn die TCP-Portnummer nicht angegeben wird, ist der Standard-TCP-Port 443.

Das Proxy-Zertifikat für Horizon Tunnel. Klicken Sie auf Auswählen, um ein Zertifikat im PEM-Format hochzuladen und dem Tunnel Trust Store hinzuzufügen. Klicken Sie auf Ändern, um das vorhandene Zertifikat zu ersetzen.

Wenn der Benutzer manuell dasselbe Zertifikat für Unified Access Gateway in den Lastausgleichsdienst hochlädt und ein anderes Zertifikat für Unified Access Gateway und Horizon Tunnel verwenden muss, tritt beim Erstellen einer Tunnel-Sitzung ein Fehler auf, da der Fingerabdruck zwischen dem Client und Unified Access Gateway nicht übereinstimmt. Die Eingabe eines benutzerdefinierten Fingerabdrucks für Unified Access Gateway oder Horizon Tunnel löst dieses Problem, da der Fingerabdruck weitergegeben wird, um die Client-Sitzung herzustellen.

Wählen Sie den Anbieter zur Überprüfung der Endpunktübereinstimmung.

Der Standardwert lautet None.

Option zum Deaktivieren oder Aktivieren der Überprüfung der Endpoint-Übereinstimmung bei der Benutzerauthentifizierung.

Die Übereinstimmung wird immer geprüft, wenn ein Benutzer eine Desktop- oder Anwendungssitzung startet. Wenn diese Option aktiviert ist, wird die Übereinstimmung auch nach erfolgreicher Authentifizierung des Benutzers geprüft. Wenn diese Option aktiviert ist und die Prüfung der Übereinstimmung zum Zeitpunkt der Authentifizierung fehlschlägt, wird die Benutzersitzung nicht fortgesetzt.

Wenn die Option deaktiviert ist, prüft Unified Access Gateway die Übereinstimmung nur, wenn ein Benutzer eine Desktop- oder Anwendungssitzung startet.

Diese Option ist nur verfügbar, wenn ein Anbieter zur Überprüfung der Endpoint-Übereinstimmung ausgewählt ist. Standardmäßig ist diese Option aktiviert.

Diese Option ist auch als Parameter im Abschnitt [Horizon] in der .ini-Datei vorhanden und kann während der Bereitstellung mit PowerShell konfiguriert werden. Informationen zum Parameternamen finden Sie unter Ausführen eines PowerShell-Skripts zur Bereitstellung von Unified Access Gateway.

Geben Sie den regulären Ausdruck ein, mit dem die URLs, die mit der Horizon Server-URL verbunden sind (proxyDestinationUrl), abgeglichen werden. Der Standardwert ist (/|/view-client(.*)|/portal(.*)|/appblast(.*)).

Geben Sie den Namen des SAML-Dienstanbieters für den Horizon XMLAPI-Broker ein. Dieser Name muss entweder mit dem Namen in den Metadaten eines konfigurierten Dienstanbieters übereinstimmen oder der spezielle Wert DEMO sein.

Aktivieren Sie diese Umschaltoption, um die kanonische Übereinstimmung für Horizon zu aktivieren. Zur Normalisierung der URL führt Unified Access Gateway das Äquivalent zu C RealPath() aus, indem Zeichenfolgen wie %2E konvertiert und die ..-Sequenzen entfernt werden, um einen absoluten Pfad zu erstellen. Die Proxy-Musterprüfung wird dann auf den absoluten Pfad angewendet.

Standardmäßig ist diese Umschaltoption für Horizon Edge-Dienste aktiviert.

Wenn diese Umschaltoption aktiviert ist und die Smartcard entfernt wird, muss sich der Endbenutzer von einer Unified Access Gateway-Sitzung abmelden.

Geben Sie Text ein, um die Benutzernamenbezeichnung im Horizon Client anzupassen. Beispiel: Domain Username

Die RADIUS-Authentifizierungsmethode muss aktiviert sein. Informationen zum Aktivieren von RADIUS finden Sie unter Konfigurieren der RADIUS-Authentifizierung.

Der Standardbezeichnungsname lautet Username.

Die maximale Länge des Bezeichnungsnamens beträgt 20 Zeichen.

Geben Sie einen Namen ein, um die Kennungsbezeichnung im Horizon Client anzupassen. Beispiel: Password

Die RADIUS-Authentifizierungsmethode muss aktiviert sein. Informationen zum Aktivieren von RADIUS finden Sie unter Konfigurieren der RADIUS-Authentifizierung.

Der Standardbezeichnungsname lautet Passcode.

Die maximale Länge des Bezeichnungsnamens beträgt 20 Zeichen.

Aktivieren Sie diese Umschaltoption, damit RSA SecurID und der Windows-Benutzername übereinstimmen. Wenn diese Umschaltoption aktiviert ist, wird securID-auth auf „wahr“ festgelegt, und die Übereinstimmung von securID mit dem Windows-Benutzernamen wird erzwungen.

Wenn Horizon in einer Umgebung mit mehreren Domänen eingerichtet ist und der angegebene Benutzername keinen Domänennamen enthält, wird der Domänenname nicht an CS gesendet.

Wenn das Suffix für die Namens-ID konfiguriert ist und der angegebene Benutzername keinen Domänennamen enthält, wird der Wert für die Konfiguration des Suffix für die Namens-ID an den Benutzernamen angehängt. Wenn ein Benutzer beispielsweise jdoe als Benutzernamen angegeben hat und „NameIDSuffix“ auf @north.int festgelegt ist, lautet der gesendete Benutzername [email protected].

Wenn das Suffix für die Namens-ID konfiguriert ist und der angegebene Benutzername im UPN-Format vorliegt, wird das Suffix für die Namens-ID ignoriert. Wenn beispielsweise ein Benutzer [email protected], und für „NameIDSuffix“ @south.int angegeben hat, lautet der Benutzername [email protected].

Wenn der angegebene Benutzername im Format <DomainName\username> vorliegt, z. B. NORTH\jdoe, sendet Unified Access Gateway den Benutzernamen und den Domänennamen separat an CS.

Der Standort, von dem die Verbindungsanforderung stammt. Der Sicherheitsserver und Unified Access Gateway legen den Gateway-Standort fest. Der Standort kann External oder Internal sein.

Bei dieser Umschaltoption wird dem Benutzer die auf dem Verbindungsserver konfigurierte Nachricht vor der Anmeldung nicht angezeigt.

Wählen Sie einen konfigurierten JWT-Hersteller aus dem Dropdown-Menü.

Optionale Liste der beabsichtigten Empfänger des für die SAML-Artefaktvalidierung von Workspace ONE Access Horizon verwendeten JWT.

Damit die JWT-Validierung erfolgreich ist, muss mindestens einer der Empfänger in dieser Liste mit einer der in der Workspace ONE Access Horizon-Konfiguration angegebenen Zielgruppen übereinstimmen. Wenn keine JWT-Zielgruppen angegeben werden, werden bei der JWT-Validierung keine Zielgruppen berücksichtigt.

Wählen Sie den Namen des JWT-Verbrauchers aus einer der konfigurierten JWT-Einstellungen.

• Klicken Sie auf +, um ein Zertifikat im PEM-Format auszuwählen und es zum Trust Store hinzuzufügen.

• Um einen anderen Namen anzugeben, bearbeiten Sie das Textfeld „Alias“.

  Standardmäßig ist der Aliasname der Dateiname des PEM-Zertifikats.

• Klicken Sie auf -, um ein Zertifikat aus dem Trust Store zu entfernen.

Um eine Kopfzeile hinzuzufügen, klicken Sie auf +. Geben Sie den Namen der Sicherheitskopfzeile ein. Geben Sie den Wert ein.

Um eine Kopfzeile zu entfernen, klicken Sie auf -. Bearbeiten Sie eine vorhandene Sicherheitskopfzeile, um den Namen und den Wert der Kopfzeile zu aktualisieren.

In diesem Dropdown-Feld sind die benutzerdefinierten ausführbaren Dateien aufgeführt, die im Unified Access Gateway konfiguriert sind.

Benutzerdefinierte ausführbare Dateien werden als Teil der erweiterten Einstellungen konfiguriert. Eine ausführbare Datei kann für mehr als einen Betriebssystemtyp konfiguriert werden. Wenn die ausführbare Datei zu den Horizon-Einstellungen hinzugefügt wird, werden auch alle Betriebssystemtypen der ausführbaren Datei einbezogen. Die ausführbare Datei steht dann für den Horizon Client zum Herunterladen und Ausführen auf dem Endgerät nach erfolgreicher Benutzerauthentifizierung zur Verfügung.

Informationen zum Konfigurieren von benutzerdefinierten ausführbaren Dateien finden Sie unter Konfigurieren der benutzerdefinierten ausführbaren Clientdateien in Unified Access Gateway.

Informationen dazu, wie Unified Access Gateway die HTTP-Hostumleitungsfunktion unterstützt, und bestimmte Überlegungen, die für die Verwendung dieser Funktion erforderlich sind, finden Sie unter Unified Access Gateway-Unterstützung für die HTTP-Hostumleitung.

• Quellhost:Port

  Geben Sie den Hostnamen der Quelle (Host-Header-Wert) ein.

• Host umleiten:Port

  Geben Sie den Hostnamen der entsprechenden Unified Access Gateway-Appliance ein, deren Affinität mit dem Horizon Client aufrechterhalten werden muss.

Geben Sie die Details ein, die der Datei /etc/hosts hinzugefügt werden sollen. Jeder Eintrag muss eine IP, einen Hostnamen und einen optionalen Hostnamensalias (in dieser Reihenfolge) enthalten, die durch ein Leerzeichen voneinander getrennt sind. Beispiel: 10.192.168.1 example1.com, 10.192.168.2 example2.com example-alias. Klicken Sie auf das Pluszeichen, um mehrere Hosteinträge hinzuzufügen.

Stellen Sie sicher, dass entweder eine SAML- oder eine SAML- und Passthrough-Authentifizierungsmethode ausgewählt ist.

Geben Sie die Zielgruppen-URL ein.

Informationen zur Unified Access Gateway-Unterstützung bei SAML-Zielgruppen finden Sie unter SAML-Zielgruppen.

Geben Sie den Namen des benutzerdefinierten Attributs ein.

Wenn Unified Access Gateway die SAML-Assertion validiert und der in diesem Feld angegebene Attributname in der Assertion vorhanden ist, ermöglicht Unified Access Gateway einen nicht authentifizierten Zugriff für den Benutzernamen, der für das Attribut im Identitätsanbieter konfiguriert ist.

Weitere Informationen über die Methode SAML and Unauthenticated finden Sie unter Authentifizierungsmethoden für die Integration von Unified Access Gateway und externen Identitätsanbietern.

Geben Sie den Standardbenutzernamen ein, der für den nicht authentifizierten Zugriff verwendet werden muss.

Dieses Feld ist in der Verwaltungsoberfläche verfügbar, wenn eine der folgenden Authentifizierungsmethoden ausgewählt ist: SAML and Unauthenticated, SecurID and Unauthenticated und RADIUS and Unauthenticated.

Wenn diese Umschaltoption aktiviert ist, ist der Webzugriff auf Horizon deaktiviert. Weitere Informationen dazu finden Sie unter Konfigurieren von OPSWAT als Anbieter zur Überprüfung der Endpoint-Übereinstimmung für Horizon.

Fügen Sie die folgende Konfiguration in der [Horizon/Blast] -Einstellung hinzu.

standardFeature1=PrintRedir
standardFeature2=UsbRedirection 
customFeature1=acme_desktop1
customFeature2=acme_desktop2

Öffnen Sie die vorhandene JSON-Datei und fügen Sie den neuen Knoten blastSettings ähnlich dem folgenden Beispiel hinzu.

“blastExternalUrl”: “https://example.com/”,
 “blastSettings”: {
“blastStandardFeatures”: [
 “PrintRedir”,
“UsbRedirection”
],
 “blastCustomFeatures”: [
 “acme_desktop1”,
 “acme_desktop2”
 ]
    },