Sie können Unified Access Gateway mit Horizon Cloud with On-Premises Infrastructure und der Cloud-InfrastrukturHorizon Air bereitstellen. Für die Bereitstellung von Horizon ersetzt die Appliance Unified Access Gateway den Horizon-Sicherheitsserver.

Bereitstellungsszenario

Unified Access Gateway liefert sicheren Remote-Zugriff auf standortbasierte virtuelle Desktops und Anwendungen in einem Kunden-Datencenter. Dies wird mit einer On-Premises-Bereitstellung von Horizon oder Horizon Air für einheitliches Management betrieben.

Dank Unified Access Gateway kann das Unternehmen die Identität des Benutzers sicherstellen und den Zugriff auf seine zulässigen Desktops und Anwendungen steuern.

Virtuelle Unified Access Gateway-Appliances werden üblicherweise in einer demilitarisierten Netzwerkzone (DMZ) bereitgestellt. Durch die Bereitstellung in einer DMZ wird sichergestellt, dass der gesamte Datenverkehr, der für Desktop- und Anwendungsressourcen in das Datencenter gelangt, Datenverkehr ist, der zu einem sicher authentifizierten Benutzer gehört. Außerdem sorgen virtuelle Unified Access Gateway-Appliances dafür, dass der Datenverkehr für einen authentifizierten Benutzer nur an Desktop- und Anwendungsressourcen geleitet werden kann, für die der Benutzer berechtigt ist. Dieser Grad an Sicherheit erfordert eine genaue Untersuchung der Desktopprotokolle und Koordination von sich potenziell schnell verändernden Richtlinien und Netzwerkadressen, damit der Zugriff genauestens kontrolliert werden kann.

Sie müssen die Anforderungen einer nahtlosen Unified Access Gateway-Bereitstellung mit Horizon erfüllen.

  • Die Unified Access Gateway-Appliance verweist auf einen Load Balancer, der Horizon-Servern vorgelagert ist, und die Auswahl der Serverinstanz erfolgt dynamisch.

  • Unified Access Gateway ersetzt den Horizon-Sicherheitsserver.

  • Standardmäßig muss Port 8443 für Blast TCP/UDP verfügbar sein. Es ist jedoch auch möglich, Port 443 für Blast TCP/UDP zu konfigurieren.

  • Das Blast Secure Gateway und das PCoIP Secure Gateway müssen aktiviert sein, wenn Unified Access Gateway mit Horizon bereitgestellt wird. Dies gewährleistet, dass die Anzeigeprotokolle über Unified Access Gatewayautomatisch als Proxys dienen können. Die Einstellungen BlastExternalURL und PcoipExternalURL geben Verbindungsadressen an, die von den Horizon-Clients verwendet werden, um diese Anzeigeprotokollverbindungen über die entsprechenden Gateways vonUnified Access Gatewayweiterzuleiten. Dadurch wird die Sicherheit verbessert, da diese Gateways sicherstellen, dass der Anzeigeprotokoll-Datenverkehr im Namen eines authentifizierten Benutzers gesteuert wird. Unautorisierter Anzeigeprotokoll-Datenverkehr wird von Unified Access Gateway ignoriert.

  • Deaktivieren Sie die sicheren Gateways (Blast Secure Gateway und PCoIP Secure Gateway) auf Horizon-Verbindungsserver-Instanzen und aktivieren Sie diese Gateways auf den Unified Access Gateway-Appliances.

Ein Horizon-Sicherheitsserver und eine Unified Access Gateway-Appliance unterscheiden sich wie folgt:

  • Sichere Bereitstellung. Unified Access Gateway ist als geschützte, gesperrte, vorkonfigurierte Linux-basierte virtuelle Maschine implementiert.

  • Skalierbar. Sie können Unified Access Gateway mit einem individuellen Horizon-Verbindungsserver verbinden oder Sie können die Verbindung über einen Lastausgleichsdienst herstellen, der mehreren Horizon-Verbindungsservern vorgelagert ist. Auf diese Weise wird verbesserte Hochverfügbarkeit ermöglicht. Die Software fungiert als Ebene zwischen Horizon-Clients Horizon-Back-End-Verbindungsservern. Da die Bereitstellung schnell verläuft, kann sie schnell vergrößert oder verkleinert werden, um die wechselnden Anforderungen dynamischer Unternehmen zu erfüllen.

Abbildung 1. Verweisen der Unified Access Gateway-Appliance auf einen Lastausgleichsdienst

Alternativ dazu können auch eine oder mehrere Unified Access Gateway-Appliances auf eine einzelne Serverinstanz verweisen. Bei beiden Vorgehensweisen verwenden Sie einen den zwei oder mehr Unified Access Gateway-Appliances in der DMZ vorgelagerten Lastausgleichsdienst.

Abbildung 2. Verweisen der Unified Access Gateway-Appliance auf eine Horizon Server-Instanz

Authentifizierung

Die Benutzerauthentifizierung erfolgt ähnlich wie beim View-Sicherheitsserver. Die folgenden Benutzer-Authentifizierungsmethoden werden in Unified Access Gateway unterstützt.

  • Active Directory-Benutzername und -Kennwort

  • Kiosk-Modus. Detaillierte Informationen zum Kiosk-Modus finden Sie in der Horizon-Dokumentation.

  • Zwei-Faktor-Authentifizierung mit RSA SecurID, offiziell zertifiziert durch RSA für SecurID

  • RADIUS über verschiedene Zwei-Faktor-Sicherheitslösungen von Drittanbietern

  • Smartcard, CAC oder PIV X.509-Benutzerzertifikate

  • SAML

Diese Authentifizierungsmethoden werden beim View-Verbindungsserver unterstützt. Unified Access Gateway erfordert keine direkte Kommunikation mit Active Directory. Diese Kommunikation dient als Proxy über den View-Verbindungsserver, der direkt auf Active Directory zugreifen kann. Nach der Authentifizierung der Benutzersitzung entsprechend der Authentifizierungsrichtlinie kann Unified Access Gateway Anforderungen für Berechtigungsinformationen sowie Anforderungen zum Desktop- und Anwendungsstart an View-Verbindungsserver weiterleiten. Unified Access Gateway verwaltet darüber hinaus die zugehörigen Desktop- und Anwendungsprotokoll-Handler, damit diese nur autorisierten Protokolldatenverkehr weiterleiten.

Unified Access Gateway führt die Smartcard-Authentifizierung eigenständig durch. Dazu gehören Optionen für die Kommunikation zwischen Unified Access Gateway und Online Certificate Status Protocol(OCSP)-Servern zur Suche nach entzogenen X.509-Zertifikaten usw.