Sie können Unified Access Gateway mit Horizon View und Horizon Cloud mit standortbasierter Infrastruktur bereitstellen. Für die View-Komponente von VMware Horizon spielen Unified Access Gateway-Appliances die gleiche Rolle wie früher View-Sicherheitsserver.

Bereitstellungsszenario

Unified Access Gateway liefert sicheren Remote-Zugriff auf standortbasierte virtuelle Desktops und Anwendungen in einem Kunden-Datencenter. Dies wird mit einer standortbasierten Bereitstellung von Horizon View oder Horizon Cloud für einheitliches Management betrieben.

Dank Unified Access Gateway kann das Unternehmen die Identität des Benutzers sicherstellen und den Zugriff auf seine zulässigen Desktops und Anwendungen steuern.

Virtuelle Unified Access Gateway-Appliances werden üblicherweise in einer demilitarisierten Netzwerkzone (DMZ) bereitgestellt. Durch die Bereitstellung in einer DMZ wird sichergestellt, dass der gesamte Datenverkehr, der für Desktop- und Anwendungsressourcen in das Datencenter gelangt, Datenverkehr ist, der zu einem sicher authentifizierten Benutzer gehört. Außerdem sorgen virtuelle Unified Access Gateway-Appliances dafür, dass der Datenverkehr für einen authentifizierten Benutzer nur an Desktop- und Anwendungsressourcen geleitet werden kann, für die der Benutzer berechtigt ist. Dieser Grad an Sicherheit erfordert eine genaue Untersuchung der Desktopprotokolle und Koordination von sich potenziell schnell verändernden Richtlinien und Netzwerkadressen, damit der Zugriff genauestens kontrolliert werden kann.

Sie müssen die Anforderungen einer nahtlosen Unified Access Gateway-Bereitstellung mit Horizon erfüllen.

  • Die Unified Access Gateway-Appliance verweist auf einen Load Balancer, der Horizon-Servern vorgelagert ist, und die Auswahl der Serverinstanz erfolgt dynamisch.

  • Unified Access Gateway ersetzt den Horizon-Sicherheitsserver.

  • Standardmäßig muss Port 8443 für Blast TCP/UDP verfügbar sein. Es ist jedoch auch möglich, Port 443 für Blast TCP/UDP zu konfigurieren.

  • Das Blast Secure Gateway und PCoIP Secure Gateway müssen aktiviert sein, wenn Unified Access Gateway mit Horizon bereitgestellt wird. So wird sichergestellt, dass die Anzeigeprotokolle automatisch über Unified Access Gateway als Proxys dienen können. Die Einstellungen BlastExternalURL und pcoipExternalURL geben Verbindungsadressen an, mit denen die Horizon-Clients diese Anzeigeprotokollverbindungen über die jeweiligen Gateways bei Unified Access Gateway weiterleiten. Dadurch wird die Sicherheit verbessert, da diese Gateways sicherstellen, dass der Anzeigeprotokoll-Datenverkehr im Namen eines authentifizierten Benutzers gesteuert wird. Unautorisierter Anzeigeprotokoll-Datenverkehr wird von Unified Access Gateway ignoriert.

  • Deaktivieren Sie die sicheren Gateways (Blast Secure Gateway und PCoIP Secure Gateway) auf View Connection Server-Instanzen und aktivieren Sie diese Gateways auf den Unified Access Gateway-Appliances.

Den Hauptunterschied zum View-Sicherheitsserver bilden folgende Eigenschaften von Unified Access Gateway.

  • Sichere Bereitstellung. Unified Access Gateway ist als geschützte, gesperrte, vorkonfigurierte Linux-basierte virtuelle Maschine implementiert.

  • Skalierbar. Sie können Unified Access Gateway mit einem individuellen View-Verbindungsserver verbinden oder eine Verbindung über einen Lastausgleichsdienst, der mehreren View-Verbindungsservern vorgelagert ist, herstellen und so für Hochverfügbarkeit sorgen. Access Point agiert als Ebene zwischen Horizon Clients und Backend-View-Verbindungsservern. Da die Bereitstellung schnell verläuft, kann sie schnell vergrößert oder verkleinert werden, um die wechselnden Anforderungen dynamischer Unternehmen zu erfüllen.

Abbildung 1. Verweisen der Unified Access Gateway-Appliance auf einen Lastausgleichsdienst

Alternativ dazu können auch eine oder mehrere Unified Access Gateway-Appliances auf eine einzelne Serverinstanz verweisen. Bei beiden Vorgehensweisen verwenden Sie einen den zwei oder mehr Unified Access Gateway-Appliances in der DMZ vorgelagerten Lastausgleichsdienst.

Abbildung 2. Verweisen der Unified Access Gateway-Appliance auf eine Horizon Server-Instanz

Authentifizierung

Die Benutzerauthentifizierung erfolgt ähnlich wie beim View-Sicherheitsserver. Die folgenden Benutzer-Authentifizierungsmethoden werden in Unified Access Gateway unterstützt.

  • Active Directory-Benutzername und -Kennwort

  • Kiosk-Modus. Detaillierte Informationen zum Kiosk-Modus finden Sie in der Horizon-Dokumentation.

  • Zwei-Faktor-Authentifizierung mit RSA SecurID, offiziell zertifiziert durch RSA für SecurID

  • RADIUS über verschiedene Zwei-Faktor-Sicherheitslösungen von Drittanbietern

  • Smartcard, CAC oder PIV X.509-Benutzerzertifikate

  • SAML

Diese Authentifizierungsmethoden werden beim View-Verbindungsserver unterstützt. Unified Access Gateway erfordert keine direkte Kommunikation mit Active Directory. Diese Kommunikation dient als Proxy über den View-Verbindungsserver, der direkt auf Active Directory zugreifen kann. Nach der Authentifizierung der Benutzersitzung entsprechend der Authentifizierungsrichtlinie kann Unified Access Gateway Anforderungen für Berechtigungsinformationen sowie Anforderungen zum Desktop- und Anwendungsstart an View-Verbindungsserver weiterleiten. Unified Access Gateway verwaltet darüber hinaus die zugehörigen Desktop- und Anwendungsprotokoll-Handler, damit diese nur autorisierten Protokolldatenverkehr weiterleiten.

Unified Access Gateway führt die Smartcard-Authentifizierung eigenständig durch. Dazu gehören Optionen für die Kommunikation zwischen Unified Access Gateway und Online Certificate Status Protocol(OCSP)-Servern zur Suche nach entzogenen X.509-Zertifikaten usw.