Sie können Unified Access Gateway mit Horizon Cloud with On-Premises Infrastructure und der Cloud-Infrastruktur Horizon Air bereitstellen. Für die Bereitstellung von Horizon ersetzt die Appliance Unified Access Gateway den Horizon-Sicherheitsserver.

Voraussetzungen

Wenn sowohl Horizon als auch eine Web-Reverse-Proxy-Instanz wie Workspace ONE Access auf der gleichen Unified Access Gateway-Instanz konfiguriert und aktiviert werden sollen, finden Sie entsprechende Informationen unter Erweiterte Einstellungen für Edge-Dienst.

Prozedur

  1. Klicken Sie auf der Admin-UI im Bereich Manuell konfigurieren auf Auswählen.
  2. Klicken Sie unter Allgemeine Einstellungen > Edge-Dienst-Einstellungen auf Anzeigen.
  3. Klicken Sie auf das Zahnradsymbol für die Horizon-Einstellungen.
  4. Ändern Sie auf der Seite der Horizon-Einstellungen NEIN in JA, um Horizon zu aktivieren.
  5. Konfigurieren Sie die folgenden Edge-Diensteinstellungen für Horizon:
    Option Beschreibung
    Bezeichner Standardmäßig ist hier Horizon eingestellt. Unified Access Gateway kann mit Servern kommunizieren, die das XML-Protokoll von Horizon verwenden – etwa dem Horizon-Verbindungsserver, Horizon Air und Horizon Cloud with On-Premises Infrastructure.
    Verbindungsserver-URL Geben Sie die Adresse des Horizon Servers oder des Load Balancers ein. Geben Sie diesen in folgender Form ein: https://00.00.00.00.
    Fingerabdruck der Verbindungsserver-URL Geben Sie die Liste der Horizon Server-Fingerabdrücke ein.

    Wenn Sie keine Fingerabdruckliste zur Verfügung stellen, müssen Sie sicherstellen, dass die Serverzertifikate durch eine vertrauenswürdige Zertifizierungsstelle ausgestellt wurden. Geben Sie die Fingerabdrücke als Hexadezimalzahlen ein. Beispiel: sha1 = C3 89 A2 19 DC 7A 48 2B 85 1C 81 EC 5E 8F 6A 3C 33 F2 95 C3.

    PCOIP aktivieren Ändern Sie NEIN zu JA, um festzulegen, dass PCoIP Secure Gateway aktiviert ist.
    PCOIP-Legacy-Zertifikat deaktivieren Ändern Sie NEIN zu JA, um anzugeben, dass das hochgeladene SSL-Serverzertifikat statt des Legacy-Zertifikats verwendet werden soll. Legacy-PCoIP-Clients funktionieren nicht, wenn dieser Parameter auf JA festgelegt ist.
    Externe PCOIP-URL

    Die von Horizon Clients verwendete URL für die Herstellung der Horizon-PCoIP-Sitzung auf dieser Unified Access Gateway-Appliance. Sie muss eine IPv4-Adresse und keinen Hostnamen enthalten. Beispielsweise 10.1.2.3:4172. Standardmäßig sind die Unified Access Gateway-IP-Adresse und Port 4172 angegeben.

    Blast aktivieren Ändern Sie NEIN in JA, um das Blast Secure Gateway zu verwenden.
    IP-Modus für Verbindungsserver Gibt den IP-Modus eines Horizon Connection Server an

    Dieses Feld kann folgende Werte aufweisen: IPv4, IPv6 und IPv4+IPv6.

    Der Standardwert lautet IPv4.

    • Wenn sich alle Netzwerkkarten in der Unified Access Gateway-Appliance im IPv4-Modus befinden (kein IPv6-Modus), kann dieses Feld einen der folgenden Werte aufweisen: IPv4 oder IPv4+IPv6 (gemischter Modus).
    • Wenn sich alle Netzwerkkarten in der Unified Access Gateway-Appliance im IPv6-Modus befinden (kein IPv4-Modus), kann dieses Feld einen der folgenden Werte aufweisen: IPv6 oder IPv4+IPv6 (gemischter Modus).
    Ursprünglichen Header erneut schreiben Wenn für eine eingehende Anfrage an Unified Access Gateway die Kopfzeile Origin und das Feld Ursprünglichen Header erneut schreiben aktiviert sind, schreibt Unified Access Gateway den Header Origin mit der Verbindungsserver-URL neu.

    Das Feld Ursprünglichen Header erneut schreiben arbeitet mit der CORS-Eigenschaft checkOrigin des Horizon Connection Server zusammen. Wenn dieses Feld aktiviert ist, kann der Horizon-Administrator die Notwendigkeit zur Angabe von Unified Access Gateway-IP-Adressen in der Datei locked.properties umgehen.

    Informationen zur Herkunftsüberprüfung finden Sie in der Dokumentation zu Horizon 7-Sicherheit.

  6. Klicken Sie auf Mehr, um die Authentifizierungsmethodenregel und andere erweiterte Einstellungen zu konfigurieren.
    Option Beschreibung
    Authentifizierungsmethoden Standardmäßig wird die Passthrough-Authentifizierung des Benutzernamens und des Kennworts verwendet.

    Die folgenden Authentifizierungsmethoden werden unterstützt: SAML, SAML and Unauthenticated, RSA SecurID, SecurID and Unauthenticated, RADIUS, RADIUS and Unauthenticated und Device Certificate.

    Wichtig: Wenn Sie eine der Unauthenticated-Methoden als Authentifizierungsmethode ausgewählt haben, stellen Sie sicher, dass Sie für die Anmeldungsverzögerungsstufe im Horizon Connection Server die Einstellung Low festlegen. Diese Konfiguration ist erforderlich, um eine lange Anmeldungsverzögerung für Endpoints beim Zugriff auf den Remote-Desktop oder die Remoteanwendung zu vermeiden.

    Weitere Informationen zum Konfigurieren der Anmeldungsverzögerungsstufe finden Sie in der Dokumentation zur Horizon-Verwaltung unter VMware Docs.

    Windows-SSO aktivieren Diese Option kann aktiviert werden, wenn die Authentifizierungsmethoden auf RADIUS festgelegt sind und wenn der RADIUS-Passcode mit dem Kennwort der Windows-Domäne identisch ist. Ändern Sie NEIN zu JA, um den RADIUS-Benutzernamen und den Passcode für die Anmeldedaten der Windows-Domäne zu verwenden, um zu vermeiden, dass der Benutzer erneut aufgefordert werden muss.

    Wenn Horizon in einer Umgebung mit mehreren Domänen eingerichtet ist und der angegebene Benutzername keinen Domänennamen enthält, wird der Domänenname nicht an CS gesendet.

    Wenn das Suffix für die Namens-ID konfiguriert ist und der angegebene Benutzername keinen Domänennamen enthält, wird der Wert für die Konfiguration des Suffix für die Namens-ID an den Benutzernamen angehängt. Wenn beispielsweise ein Benutzer „jdoe“ als Benutzernamen angegeben hat und „NameIDSuffix“ auf @north.int festgelegt ist, lautet der Benutzername [email protected].

    Wenn das Suffix für die Namens-ID konfiguriert ist und der angegebene Benutzername im UPN-Format vorliegt, wird das Suffix für die Namens-ID ignoriert. Wenn beispielsweise ein Benutzer [email protected], und für „NameIDSuffix“ @south.int angegeben hat, lautet der Benutzername [email protected].

    Wenn der angegebene Benutzername im Format <DomainName\username> vorliegt, z. B. NORTH\jdoe, sendet Unified Access Gateway den Benutzernamen und den Domänennamen separat an CS.

    RADIUS-Klassenattribute Dies wird aktiviert, wenn für die Authentifizierungsmethoden RADIUS festgelegt wird. Klicken Sie auf „+“, um einen Wert für das Klassenattribut hinzuzufügen. Geben Sie den Namen des Klassenattributs ein, das für die Benutzerauthentifizierung verwendet werden soll. Klicken Sie auf „-“, um ein Klassenattribut zu entfernen.
    Hinweis: Wenn dieses Feld leer bleibt, wird keine zusätzliche Autorisierung durchgeführt.
    Text des Haftungsausschlusses

    Der Text der Haftungsausschluss-Meldung von Horizon, der dem Benutzer angezeigt wird und von ihm akzeptiert werden muss, wenn Authentifizierungsmethode konfiguriert ist.

    Aufforderung für Smart Card-Hinweis Ändern Sie NEIN in JA, um den Kennworthinweis für die Zertifikatauthentifizierung zu aktivieren.
    URI-Pfad für Integritätsprüfung Der für die Integritätsstatusüberwachung benötigte URI-Pfad für den Verbindungsserver, mit dem Unified Access Gateway sich verbindet.
    Externe Blast-URL Die von Horizon Clients verwendete URL für die Herstellung der Horizon-Blast- oder BEAT-Sitzung auf dieser Unified Access Gateway-Appliance. Z. B. https://uag1.myco.com oder https://uag1.myco.com:443.

    Wenn die TCP-Portnummer nicht angegeben wird, ist der Standard-TCP-Port 8443. Wenn die UDP-Portnummer nicht angegeben wird, ist der Standard-UDP-Port auch 8443.

    UDP-Server aktivieren Verbindungen werden über den UDP-Tunnel-Server eingerichtet, wenn eine geringe Bandbreite vorhanden ist.
    Blast-Proxy-Zertifikat

    Proxy-Zertifikat für Blast. Klicken Sie auf Auswählen, um ein Zertifikat im PEM-Format hochzuladen und dem BLAST Trust Store hinzuzufügen. Klicken Sie auf Ändern, um das vorhandene Zertifikat zu ersetzen.

    Wenn der Benutzer manuell dasselbe Zertifikat für Unified Access Gateway in den Lastausgleichsdienst hochlädt und ein anderes Zertifikat für Unified Access Gateway und Blast Gateway verwenden muss, tritt beim Erstellen einer Blast-Desktop-Sitzung ein Fehler auf, da der Fingerabdruck zwischen dem Client und Unified Access Gateway nicht übereinstimmt. Die Eingabe eines benutzerdefinierten Fingerabdrucks für Unified Access Gateway oder Blast Gateway löst dieses Problem, indem der Fingerabdruck weitergegeben wird, um die Client-Sitzung herzustellen.

    Tunnel aktivieren Wenn der sichere Horizon-Tunnel verwendet wird, ändern Sie NEIN in JA. Der Client verwendet die externe URL für Tunnelverbindungen über das Horizon Secure Gateway. Der Tunnel wird für den Verkehr von RDP, USB und MMR (Multimedia-Umleitung) benutzt.
    Externe Tunnel-URL Die von Horizon Clients verwendete URL für die Herstellung der Horizon Tunnel-Sitzung auf dieser Unified Access Gateway-Appliance. Z. B. https://uag1.myco.com oder https://uag1.myco.com:443.

    Wenn die TCP-Portnummer nicht angegeben wird, ist der Standard-TCP-Port 443.

    Tunnel-Proxy-Zertifikat

    Das Proxy-Zertifikat für Horizon Tunnel. Klicken Sie auf Auswählen, um ein Zertifikat im PEM-Format hochzuladen und dem Tunnel Trust Store hinzuzufügen. Klicken Sie auf Ändern, um das vorhandene Zertifikat zu ersetzen.

    Wenn der Benutzer manuell dasselbe Zertifikat für Unified Access Gateway in den Lastausgleichsdienst hochlädt und ein anderes Zertifikat für Unified Access Gateway und Horizon Tunnel verwenden muss, tritt beim Erstellen einer Tunnel-Sitzung ein Fehler auf, da der Fingerabdruck zwischen dem Client und Unified Access Gateway nicht übereinstimmt. Die Eingabe eines benutzerdefinierten Fingerabdrucks für Unified Access Gateway oder Horizon Tunnel löst dieses Problem, da der Fingerabdruck weitergegeben wird, um die Client-Sitzung herzustellen.

    Anbieter zur Überprüfung der Endpunktübereinstimmung Wählen Sie den Anbieter zur Überprüfung der Endpunktübereinstimmung.

    Der Standardwert lautet OPSWAT.

    Proxy-Muster
    Geben Sie den regulären Ausdruck ein, mit dem die URIs, die mit der Horizon Server-URL verbunden sind (proxyDestinationUrl), abgeglichen werden. Der Standardwert ist (/|/view-client(.*)|/portal(.*)|/appblast(.*)).
    Hinweis: Das Muster kann auch verwendet werden, um bestimmte URLs auszuschließen. Um beispielsweise alle URLs zuzulassen, aber „/admin“ zu blockieren, können Sie den folgenden Ausdruck verwenden. ^/(?!admin(.*))(.*)
    SAML SP Geben Sie den Namen des SAML-Dienstanbieters für den Horizon XMLAPI-Broker ein. Dieser Name muss entweder mit dem Namen in den Metadaten eines konfigurierten Dienstanbieters übereinstimmen oder der spezielle Wert DEMO sein.
    Abmelden beim Entfernen des Zertifikats
    Hinweis: Diese Option ist verfügbar, wenn eine der Authentifizierungsmethoden für die Smartcard als Authentifizierungsmethode ausgewählt ist.

    Wenn diese Option auf YES gesetzt ist und die Smartcard entfernt wurde, muss sich der Endbenutzer von einer Unified Access Gateway-Sitzung abmelden.

    Benutzernamenbezeichnung für RADIUS Geben Sie Text ein, um die Benutzernamenbezeichnung im Horizon Client anzupassen. Beispiel: Domain Username

    Die RADIUS-Authentifizierungsmethode muss aktiviert sein. Informationen zum Aktivieren von RADIUS finden Sie unter Konfigurieren der RADIUS-Authentifizierung.

    Der Standardbezeichnungsname lautet Username.

    Die maximale Länge des Bezeichnungsnamens beträgt 20 Zeichen.

    Kennungsbezeichnung für RADIUS Geben Sie einen Namen ein, um die Kennungsbezeichnung im Horizon Client anzupassen. Beispiel: Password

    Die RADIUS-Authentifizierungsmethode muss aktiviert sein. Informationen zum Aktivieren von RADIUS finden Sie unter Konfigurieren der RADIUS-Authentifizierung.

    Der Standardbezeichnungsname lautet Passcode.

    Die maximale Länge des Bezeichnungsnamens beträgt 20 Zeichen.

    Übereinstimmung mit Windows-Benutzername Ändern Sie NEIN in JA, damit RSA SecurID und der Windows-Benutzername übereinstimmen. Wenn JA festgelegt ist, wird securID-auth auf „wahr“ gesetzt, und die Übereinstimmung von securID mit dem Windows-Benutzernamen wird erzwungen.

    Wenn Horizon in einer Umgebung mit mehreren Domänen eingerichtet ist und der angegebene Benutzername keinen Domänennamen enthält, wird der Domänenname nicht an CS gesendet.

    Wenn das Suffix für die Namens-ID konfiguriert ist und der angegebene Benutzername keinen Domänennamen enthält, wird der Wert für die Konfiguration des Suffix für die Namens-ID an den Benutzernamen angehängt. Wenn beispielsweise ein Benutzer „jdoe“ als Benutzernamen angegeben hat und „NameIDSuffix“ auf @north.int festgelegt ist, lautet der Benutzername [email protected].

    Wenn das Suffix für die Namens-ID konfiguriert ist und der angegebene Benutzername im UPN-Format vorliegt, wird das Suffix für die Namens-ID ignoriert. Wenn beispielsweise ein Benutzer [email protected], und für „NameIDSuffix“ @south.int angegeben hat, lautet der Benutzername [email protected].

    Wenn der angegebene Benutzername im Format <DomainName\username> vorliegt, z. B. NORTH\jdoe, sendet Unified Access Gateway den Benutzernamen und den Domänennamen separat an CS.

    Hinweis: Wenn Sie in Horizon 7 die Einstellungen Serverinformationen in der Kunden-Benutzeroberfläche ausblenden und Domänenliste in der Kunden-Benutzeroberfläche ausblenden aktivieren und die zweistufige Authentifizierung (RSA SecureID oder RADIUS) für die Verbindungsserverinstanz auswählen, dürfen Sie nicht die Windows-Benutzernamenübereinstimmung erzwingen. Wenn Sie die Windows-Benutzernamenübereinstimmung erzwingen, werden Benutzer daran gehindert, Domäneninformationen im Textfeld „Benutzername“ einzugeben, und die Anmeldung schlägt immer fehl. Weitere Informationen finden Sie in den Themen zur zweistufigen Authentifizierung im Dokument „Horizon 7-Verwaltung“.
    Gateway-Standort Der Standort, von dem die Verbindungsanforderung stammt. Der Sicherheitsserver und Unified Access Gateway legen den Gateway-Standort fest. Der Standort kann External oder Internal sein.
    Wichtig: Der Speicherort muss auf Internal festgelegt werden, wenn eine der folgenden Authentifizierungsmethoden ausgewählt wird: SAML and Unauthenticated, SecurID and Unauthenticated oder RADIUS and Unauthenticated.
    JWT-Einstellungen
    Hinweis: Stellen Sie für die JWT SAML-Artefaktvalidierung von Workspace ONE Access sicher, dass das Feld Name im Abschnitt JWT-Einstellungen unter Erweiterte Einstellungen konfiguriert ist.
    Wählen Sie den Namen einer der konfigurierten JWT-Einstellungen aus.
    JWT-Zielgruppen Optionale Liste der beabsichtigten Empfänger des für die SAML-Artefaktvalidierung von Workspace ONE Access Horizon verwendeten JWT.

    Damit die JWT-Validierung erfolgreich ist, muss mindestens einer der Empfänger in dieser Liste mit einer der in der Workspace ONE Access Horizon-Konfiguration angegebenen Zielgruppen übereinstimmen. Wenn keine JWT-Zielgruppen angegeben werden, werden bei der JWT-Validierung keine Zielgruppen berücksichtigt.

    Vertrauenswürdige Zertifikate Fügen Sie diesem Edge-Dienst ein vertrauenswürdiges Zertifikat hinzu. Klicken Sie auf „+“, wählen Sie ein Zertifikat im PEM-Format und fügen Sie es zum Trust Store hinzu. Klicken Sie auf „-“, um ein Zertifikat aus dem Trust Store zu entfernen. Standardmäßig ist der Aliasname der Dateinamen des PEM-Zertifikats. Bearbeiten Sie das Textfeld „Alias“, um einen anderen Namen anzugeben.
    Sicherheitsheader der Antwort Klicken Sie auf „+“, um eine Kopfzeile hinzuzufügen. Geben Sie den Namen der Sicherheitskopfzeile ein. Geben Sie den Wert ein. Klicken Sie auf „-“, um eine Kopfzeile zu entfernen. Bearbeiten Sie eine vorhandene Sicherheitskopfzeile, um den Namen und den Wert der Kopfzeile zu aktualisieren.
    Wichtig: Die Kopfzeilennamen und -werte werden erst gespeichert, nachdem Sie auf Speichern geklickt haben. Einige Sicherheitskopfzeilen sind standardmäßig vorhanden. Die konfigurierten Kopfzeilen werden der Unified Access Gateway-Antwort an den Client nur dann hinzugefügt, wenn die entsprechenden Kopfzeilen in der Antwort vom konfigurierten Backend-Server nicht vorhanden sind.
    Hinweis: Gehen Sie vorsichtig beim Ändern von Sicherheitsantwortkopfzeilen vor. Eine Änderung dieser Parameter kann die sichere Funktion von Unified Access Gateway beeinträchtigen.
    Hostumleitungszuordnungen

    Informationen dazu, wie UAG die HTTP-Hostumleitungsfunktion unterstützt, und bestimmte Überlegungen, die für die Verwendung dieser Funktion erforderlich sind, finden Sie unter Unified Access Gateway-Unterstützung für die HTTP-Hostumleitung.

    • Quellhost

      Geben Sie den Hostnamen der Quelle (Lastausgleichsdienst) ein.

    • Umleitungshost

      Geben Sie den Hostnamen der UAG-Appliance (Unified Access Gateway) ein, deren Affinität mit dem Horizon Client aufrechterhalten werden muss.

    Hosteinträge Geben Sie die Details ein, die der Datei /etc/hosts hinzugefügt werden sollen. Jeder Eintrag sollte eine IP, einen Hostnamen und einen optionalen Hostnamensalias (in dieser Reihenfolge) enthalten, die durch ein Leerzeichen voneinander getrennt sind. Beispiel: 10.192.168.1 example1.com, 10.192.168.2 example2.com example-alias. Klicken Sie auf das Pluszeichen, um mehrere Hosteinträge hinzuzufügen.
    Wichtig: Die Hosteinträge werden erst gespeichert, nachdem Sie auf Speichern geklickt haben.
    SAML-Zielgruppen

    Stellen Sie sicher, dass entweder eine SAML- oder eine SAML- und Passthrough-Authentifizierungsmethode ausgewählt ist.

    Geben Sie die Zielgruppen-URL ein.
    Hinweis: Wenn das Textfeld leer bleibt, sind die Zielgruppen nicht eingeschränkt.

    Informationen zur UAG-Unterstützung bei SAML-Zielgruppen finden Sie unter SAML-Zielgruppen.

    SAML-Attribut für nicht authentifizierten Benutzernamen Geben Sie den Namen des benutzerdefinierten Attributs ein.
    Hinweis: Dieses Feld ist nur verfügbar, wenn als Wert für Authentifizierungsmethoden SAML and Unauthenticated festgelegt ist.
    Wenn UAG die SAML-Assertion validiert und der in diesem Feld angegebene Attributname in der Assertion vorhanden ist, ermöglicht UAG einen nicht authentifizierten Zugriff für den Benutzernamen, der für das Attribut im Identitätsanbieter konfiguriert ist.

    Weitere Informationen über die Methode SAML and Unauthenticated finden Sie unter Authentifizierungsmethoden für die Integration von Unified Access Gateway und externen Identitätsanbietern.

    Nicht authentifizierter Standardbenutzername Geben Sie den Standardbenutzernamen ein, der für den nicht authentifizierten Zugriff verwendet werden muss.

    Dieses Feld ist in der Verwaltungsoberfläche verfügbar, wenn eine der folgenden Authentifizierungsmethoden ausgewählt ist: SAML and Unauthenticated, SecurID and Unauthenticated und RADIUS and Unauthenticated.

    Hinweis: Für die Authentifizierungsmethode SAML and Unauthenticated wird der Standardbenutzername für den nicht authentifizierten Zugriff nur verwendet, wenn das Feld SAML-Attribut für nicht authentifizierten Benutzernamen leer ist oder der in diesem Feld angegebene Attributname in der SAML-Assertion fehlt.
    HTML Access deaktivieren Mit der Einstellung JA wird der Webzugriff auf Horizon deaktiviert. Weitere Informationen dazu finden Sie unter Konfigurieren der Einstellungen zum Anbieter der Überprüfung der Endpoint-Konformität für Horizon.
  7. Klicken Sie auf Speichern.