Sie können den Workflow „Pod bearbeiten“ verwenden, um die Einstellungen für die Zwei-Faktor-Authentifizierung auf den Gateways des Pods zu ändern oder die Zwei-Faktor-Authentifizierung vollständig zu deaktivieren. Wenn Sie die Einstellungen ändern, geben Sie im Grunde einen neuen Namen für die Einstellungen für die 2-Faktor-Authentifizierung sowie die gewünschten neuen Einstellungen ein, woraufhin Sie sicherstellen, dass der neue Name für das jeweilige Gateway ausgewählt ist. Dann speichern Sie die Änderungen. Sie verwenden den Workflow „Pod bearbeiten“, um die Einstellungen für die 2-Faktor-Authentifizierung zu ändern.

Voraussetzungen

Wenn Sie die 2-Faktor-Authentifizierung für eines der Gateways aktiviert haben, aber die spezifischen Einstellungen ändern, stellen Sie sicher, dass Sie über die folgenden Informationen verfügen:

  • Wenn der für die 2-Faktor-Authentifizierung verwendete Server lokal ist, stellen Sie sicher, dass Sie über die relevanten Informationen für die folgenden Felder verfügen, damit die Unified Access Gateway-Instanzen für dieses Gateway das Routing zu diesem Server auflösen können.
    Option Beschreibung
    DNS-Adressen Geben Sie eine oder mehrere DNS-Server-Adressen an, die den Namen Ihres lokalen Authentifizierungsservers auflösen können.
    Routen Geben Sie eine oder mehrere weitere benutzerdefinierte Routen an, die es den Unified Access Gateway-Instanzen des Pods ermöglichen, Netzwerkrouten auf Ihrem lokalen Authentifizierungsserver aufzulösen.

    Beispiel: Wenn Sie einen lokalen RADIUS-Server haben, der 10.10.60.20 als IP-Adresse verwendet, würden Sie 10.10.60.0/24 und Ihre standardmäßige Route-Gateway-Adresse als benutzerdefinierte Route verwenden. Sie können Ihre standardmäßige Route-Gateway-Adresse über die Express-Route oder VPN-Konfiguration für diese Umgebung ermitteln.

    Geben Sie die benutzerdefinierten Routen als eine durch Kommas getrennte Liste in der Form ipv4-network-address/bits ipv4-gateway-address an, z. B.: 192.168.1.0/24 192.168.0.1, 192.168.2.0/24 192.168.0.2.

  • Stellen Sie sicher, dass Sie über die folgenden bei der Konfiguration Ihres Authentifizierungsservers verwendeten Informationen verfügen, damit Sie diese in den jeweiligen Feldern im Pod-Bereitstellungsassistenten angeben können. Wenn Sie über einen primären und einen sekundären Server verfügen, ermitteln Sie die Informationen für beide Server.

    • IP-Adresse oder DNS-Name des Authentifizierungsservers
    • Der gemeinsame geheime Schlüssel, der für die Ver- und Entschlüsselung der Protokollmeldungen des Authentifizierungsservers verwendet wird
    • Nummer des Authentifizierungsports, in der Regel der UDP-Port 1812.
    • Art des Authentifizierungs-Protokolls. Zu den Authentifizierungstypen zählen PAP (Password Authentication Protocol), CHAP (Challenge Handshake Authentication Protocol), MSCHAP1, MSCHAP2 (Microsoft Challenge Handshake Authentication Protocol, Version 1 und 2).
      Hinweis: Prüfen Sie in der Dokumentation Ihres RADIUS-Anbieters, welches Authentifizierungsprotokoll der RADIUS-Anbieter empfiehlt, und verwenden Sie den angegebenen Protokolltyp. Die Pod-Funktionalität zur Unterstützung der Zwei-Faktor-Authentifizierung mit RADIUS wird von den Unified Access Gateway-Instanzen bereitgestellt. Unified Access Gateway unterstützt PAP, CHAP, MSCHAP1 und MSCHAP2. PAP ist in der Regel weniger sicher als MSCHAP2. PAP ist auch ein einfacheres Protokoll als MSCHAP2. Obwohl die meisten RADIUS-Anbieter mit dem einfacheren PAP-Protokoll kompatibel sind, bieten einige RADIUS-Anbieter daher weniger Kompatibilität mit dem sichereren MSCHAP2.

Prozedur

  1. Öffnen Sie das Fenster „Pod bearbeiten“ auf der Detailseite des Pods, indem Sie auf Bearbeiten klicken.
  2. Klicken Sie im Fenster „Pod bearbeiten“ auf Weiter, um mit dem Schritt Gateway-Einstellungen fortzufahren.
    Dieser Schritt enthält einen Abschnitt für die Konfiguration des externen Gateways und einen Abschnitt für die Konfiguration des internen Gateways. Die Benutzeroberfläche gibt die aktuelle Konfiguration des Pods und die Gateway-Einstellungen wieder, über die er bereits verfügt.
  3. Positionieren Sie das Fenster bei dem Gateway-Typ, für den Sie die 2-Faktor-Authentifizierung (extern oder intern) ändern möchten.
  4. Um die Zwei-Faktor-Authentifizierung auf dem Gateway zu deaktivieren, deaktivieren Sie die Option Zwei-Faktor-Authentifizierung aktivieren? und wechseln Sie dann zu Schritt 10, um die Änderungen zu speichern.
    Wenn für das andere Gateway ebenfalls die Zwei-Faktor-Authentifizierung aktiviert ist, Sie sie jedoch deaktivieren möchten, deaktivieren Sie den Schalter im Abschnitt für dieses andere Gateway.
  5. Um die spezifischen Einstellungen für die 2-Faktor-Authentifizierung zu ändern, die auf dem Gateway festgelegt sind, fahren Sie mit den folgenden Schritten fort.
    Sie erstellen einen neuen Namen für den neuen Satz Werten für die 2-Faktor-Authentifizierung und speichern die Konfiguration mit diesem neuen Namen, der für den entsprechenden Gateway-Abschnitt im Fenster ausgewählt wurde.
  6. Geben Sie im Feld Name einen eindeutigen Namen für diese Konfiguration an.
  7. Legen Sie im Abschnitt „Eigenschaften“ Details zur Interaktion der Endbenutzer mit dem Anmeldebildschirm fest, über den sie sich für den Zugriff authentifizieren.
    Option Beschreibung
    Anzeigename Sie können dieses Feld leer lassen. Obwohl dieses Feld im Assistenten angezeigt wird, legt es nur einen internen Namen in Unified Access Gateway fest. Dieser Name wird nicht von Horizon-Clients verwendet.
    Anzeigehinweis Geben Sie optional eine Textzeichenfolge ein, die den Endbenutzern in der Meldung auf dem Anmeldebildschirm für Endbenutzerclients angezeigt wird, wenn der Benutzer zur Eingabe von RADIUS-Benutzername und Kennung aufgefordert wird. Der angegebene Hinweis wird dem Endbenutzer als Enter your DisplayHint user name and passcode angezeigt, wobei DisplayHint der Text ist, den Sie in diesem Feld angeben.

    Dieser Hinweis hilft Benutzern bei der Angabe der richtigen RADIUS-Kennung. Beispiel: Sie geben Benutzername und Domänenkennwort für Beispielunternehmen unten an. In diesem Fall wird dem Endbenutzer die Eingabeaufforderung Enter your Example Company user name and domain password below for user name and passcode angezeigt.

    Suffix für Namens-ID Diese Einstellung wird in SAML-Szenarios verwendet, in denen Ihr Pod für die Verwendung von TrueSSO für Single Sign-On konfiguriert ist. Geben Sie optional eine Zeichenfolge ein, die das System an den SAML-Assertion-Benutzernamen anhängt, der an den Broker gesendet wird. Beispiel: Wenn der Benutzername im Anmeldebildschirm als user1 eingegeben wird und hier ein Suffix für die Namens-ID von @example.com angegeben wurde, sendet das System einen SAML-Assertion-Benutzernamen vonuser1@example.com an den Broker.
    Anzahl an Wiederholungen Geben Sie die maximale Anzahl der fehlgeschlagenen Anmeldeversuche ein, die ein Benutzer hat, wenn er versucht, sich über dieses RADIUS-System anzumelden.
    Benutzernamen beibehalten Aktivieren Sie diesen Schalter, um den RADIUS-Benutzernamen des Benutzers während der Authentifizierung bei Horizon Cloud beizubehalten. Falls aktiviert:
    • muss der Benutzer über dieselben Anmeldedaten für RADIUS wie für die Active Directory-Authentifizierung für Horizon Cloud verfügen.
    • Kann der Benutzer den Benutzernamen auf dem Anmeldebildschirm nicht ändern.

    Wenn diese Umschaltoption deaktiviert wird, kann der Benutzer auf dem Anmeldebildschirm einen anderen Benutzernamen eingeben.

    Hinweis: Informationen zur Beziehung zwischen der Aktivierung von Benutzername beibehalten und den Domänensicherheitseinstellungen in Horizon Cloud finden Sie unter dem Thema Domänensicherheitseinstellungen auf der Seite „Allgemeine Einstellungen“.
  8. Geben Sie im Abschnitt „Primärer Server“ Details zum Authentifizierungsserver an.
    Option Beschreibung
    Hostname/IP-Adresse Geben Sie den DNS-Namen oder die IP-Adresse des Authentifizierungsservers ein.
    Gemeinsamer geheimer Schlüssel Geben Sie den geheimen Schlüssel für die Kommunikation mit dem Authentifizierungsserver ein. Der Wert muss mit dem für den Server konfigurierten Wert übereinstimmen.
    Authentifizierungsport Legen Sie den auf dem Authentifizierungsserver konfigurierten UDP-Port fest, der für das Senden oder Empfangen von Authentifizierungsdatenverkehr verwendet wird. Der Standardwert ist 1812.
    Kontoführungsport Legen Sie optional den auf dem Authentifizierungsserver konfigurierten UDP-Port fest, der für das Senden oder Empfangen von Planungs- und Finanzdatenverkehr verwendet wird. Der Standardwert ist 1813.
    Vorgang Wählen Sie das Authentifizierungsprotokoll, das vom angegebenen Authentifizierungsserver unterstützt wird und das der bereitgestellte Pod verwenden soll.
    Zeitüberschreitung des Servers Geben Sie die Anzahl der Sekunden ein, die der Pod auf eine Antwort vom Authentifizierungsserver warten soll. Wenn diese Sekunden verstrichen sind, wird das Senden wiederholt, wenn keine Antwort durch den Server erfolgte.
    Maximale Anzahl erneuter Versuche Geben Sie die maximale Anzahl der erneuten Versuche bei fehlgeschlagenen Anforderungen an den Authentifizierungsserver an.
    Bereichspräfix Geben Sie optional eine Zeichenfolge ein, die das System am Anfang des Benutzernamens einfügt, wenn der Name an den Authentifizierungsserver gesendet wird. Die Position des Benutzerkontos wird „Realm“ genannt.

    Beispiel: Wenn der Benutzername im Anmeldebildschirm als user1 eingegeben wird und hier ein Bereichspräfix von DOMAIN-A\ angegeben wurde, sendet das System DOMAIN-A\user1 an den Authentifizierungsserver. Wenn Sie keinen Bereichspräfix angeben, wird nur der eingegebene Benutzername gesendet.

    Bereichssuffix Geben Sie optional eine Zeichenfolge ein, die das System an den Benutzernamen anhängt, wenn der Name an den Authentifizierungsserver gesendet wird. Beispiel: Wenn der Benutzername im Anmeldebildschirm als user1 eingegeben wird und hier ein Bereichssuffix von @example.com angegeben wurde, sendet das System user1@example.com an den Authentifizierungsserver.
  9. (Optional) Geben Sie im Abschnitt „Sekundärer Server“ Details zu einem Hilfs-Authentifizierungsserver an.
    Sie können einen sekundären Authentifizierungsserver konfigurieren, um für Hochverfügbarkeit zu sorgen. Aktivieren Sie den Schalter Hilfsserver und füllen Sie die Felder wie im Abschnitt Primärserver beschrieben aus.
  10. Wenn Sie alle gewünschten Einstellungen vorgenommen haben, klicken Sie auf Speichern und Beenden.
    Es erscheint eine Bestätigungsmeldung, in der Sie aufgefordert werden, den Start des Workflows zu bestätigen.
  11. Klicken Sie auf Ja, um den Workflow starten.

Ergebnisse

Bis das System die Bereitstellung der neuen Konfiguration im Pod abgeschlossen hat, zeigt der Abschnitt auf der Pod-Übersichtsseite für das Gateway, auf dem Sie die 2-Faktor-Authentifizierung hinzugefügt haben, den Status Ausstehend an.

Sobald der Workflow abgeschlossen ist, werden der Status Bereit und die Einstellungen für die 2-Faktor-Authentifizierung auf der Seite angezeigt.

Hinweis: Wenn dieser Workflow für einen Pod in Microsoft Azure China ausgeführt wird, kann der Prozess länger als eine Stunde dauern. Der Prozess unterliegt geografischen Netzwerkproblemen, die langsame Download-Geschwindigkeiten verursachen können, wenn die Binärdateien aus der Cloud-Steuerungsebene heruntergeladen werden.

Nächste Maßnahme

Wichtig: Wenn Sie die Werte der Einstellungen für die 2-Faktor-Authentifizierung eines Gateways durch neue Werte ersetzen, müssen Sie die folgenden Aufgaben ausführen, bevor Ihre Endbenutzer das Gateway mit den neuen Werten für die 2-Faktor-Authentifizierung fortsetzen.
  • Wenn Sie ein externes Gateway mit RADIUS-Einstellungen konfiguriert haben und der RADIUS-Server nicht innerhalb desselben VNet erreichbar ist, das vom Pod verwendet wird, oder innerhalb der gepeerten VNet-Topologie, sofern Sie das externe Gateway in einem eigenen VNet bereitgestellt haben, überprüfen Sie, ob der in der Gateway-Konfiguration angegebene RADIUS-Server Clientverbindungen über die IP-Adresse des Lastausgleichs des externen Gateways ermöglicht. In einer externen Gateway-Konfiguration versuchen die Unified Access Gateway-Instanzen, mithilfe dieser Lastausgleich-Adresse Kontakt mit dem RADIUS-Server herzustellen. Um die Verbindungen zuzulassen, stellen Sie sicher, dass die IP-Adresse der Lastausgleich-Ressource in der Ressourcengruppe des entsprechenden externen Gateways als Client in Ihrer RADIUS-Serverkonfiguration angegeben ist.
  • Wenn Sie ein internes oder externes Gateway konfiguriert haben und Ihr RADIUS-Server innerhalb desselben VNet erreichbar ist, das vom Pod verwendet wird, stellen Sie sicher, dass der RADIUS-Server so konfiguriert ist, dass Verbindungen von den entsprechenden in der Gateway-Ressourcengruppe in Microsoft Azure erstellten Netzwerkkarten zulässig sind. Ihr Netzwerkadministrator bestimmt die Netzwerksichtbarkeit des RADIUS-Servers für das virtuelle Azure-Netzwerk und die Subnetze des Pods. Ihr RADIUS-Server muss Clientverbindungen von den IP-Adressen dieser Gateway-Netzwerkkarten zulassen, die dem Subnetz entsprechen, für das Ihr Netzwerkadministrator dem RADIUS-Server Netzwerksichtbarkeit gewährt hat. Die Ressourcengruppe des Gateways in Microsoft Azure verfügt über vier Netzwerkkarten, die diesem Subnetz entsprechen: zwei, die derzeit für die beiden Unified Access Gateway-Instanzen aktiv sind, und zwei, die sich im Leerlauf befinden und aktiv werden, nachdem der Pod eine Aktualisierung durchlaufen hat. Um die Konnektivität zwischen dem Gateway und dem RADIUS-Server sowohl für laufende Pod-Vorgänge als auch nach jeder Pod-Aktualisierung zu unterstützen, stellen Sie sicher, dass die IP-Adressen dieser vier Netzwerkkarten als Clients in der RADIUS-Serverkonfiguration angegeben werden.

Informationen zum Abrufen dieser IP-Adressen finden Sie unter Aktualisieren Sie Ihr RADIUS-System mit den erforderlichen Horizon Cloud Pod-Gateway-Informationen.