Im Assistenten für die Pod-Bereitstellung können Sie im Schritt zur Angabe der Unified Access Gateway-Konfigurationen für den Zugriff Ihrer Endbenutzer auf ihre Desktops und Anwendungen über diese Gateway-Konfigurationen auch die Verwendung der Zwei-Faktor-Authentifizierung festlegen.

Wichtig: Diese Informationen gelten nur, wenn Sie auf eine First-Gen-Mandantenumgebung in der First-Gen-Steuerungsebene zugreifen können. Wie im KB-Artikel 92424 beschrieben, hat die First-Gen-Steuerungsebene das Ende der Verfügbarkeit (End of Availability, EOA) erreicht. Weitere Informationen finden Sie in diesem Artikel.

Horizon Cloud on Microsoft Azure: Felder für die Zwei-Faktor-Authentifizierung des Pod-Bereitstellungsassistenten befinden sich in ihrem anfänglichen Zustand, nachdem die Umschaltfläche aktiviert wurde, um die Zwei-Faktor-Authentifizierung zu aktivieren.

Wenn im Assistenten Details für die Zwei-Faktor-Authentifizierung für eine Gateway-Konfiguration angegeben werden, konfiguriert der Pod-Bereitsteller während des Pod-Bereitstellungsvorgangs die entsprechenden bereitgestellten Unified Access Gateway-Appliances der Gateway-Konfiguration mit den angegebenen Informationen für die Zwei-Faktor-Authentifizierung.

Wie in der Dokumentation zu Unified Access Gateway beschrieben, authentifizieren die Unified Access Gateway-Appliances, wenn die Unified Access Gateway-Appliances für die Zwei-Faktor-Authentifizierung konfiguriert sind, die eingehenden Benutzersitzungen gemäß den von Ihnen festgelegten Richtlinien für die Zwei-Faktor-Authentifizierung. Nach der Authentifizierung einer Benutzersitzung durch Unified Access Gateway gemäß der von Ihnen festgelegten Authentifizierungsrichtlinie leitet Unified Access Gateway die Anforderung des Endbenutzer-Clients zum Starten eines Desktops oder einer Anwendung an den bereitgestellten Pod-Manager weiter, um eine Verbindungssitzung zwischen dem Client und einem verfügbaren Desktop oder einer verfügbaren Anwendung einzurichten.

Wichtig: Wenn Sie nach der Bereitstellung des Pods planen, die Universal Broker-Einstellungen Ihres Mandanten für die Verwendung der Zwei-Faktor-Authentifizierung zu konfigurieren, und Sie den Pod sowohl mit einer externen Gateway-Konfiguration als auch mit einer internen Gateway-Konfiguration bereitgestellt haben, sind möglicherweise zusätzliche Schritte nach der Bereitstellung erforderlich, um sicherzustellen, dass Universal Broker zwischen einem externen Endbenutzer und einem internen Endbenutzer unterscheiden kann, um die für Universal Broker angegebenen Einstellungen für die Zwei-Faktor-Authentifizierung ordnungsgemäß anzuwenden. Weitere Informationen finden Sie unter Best Practices bei der Implementierung der Zwei-Faktor-Authentifizierung in einer Universal Broker-Umgebung.

Voraussetzungen

Stellen Sie für die externe oder interne Unified Access Gateway-Konfiguration, für die Sie die Details der Zwei-Faktor-Authentifizierung eingeben, sicher, dass Sie im Assistenten die Felder für die Unified Access Gateway-Konfiguration wie unter First-Gen-Mandanten – Angeben der Gateway-Konfiguration des Horizon Cloud-Pods beschrieben ausgefüllt haben. Bei der Konfiguration der Zwei-Faktor-Authentifizierung bei einem lokalen Authentifizierungsserver geben Sie auch die Informationen in den folgenden Feldern an, sodass die Unified Access Gateway-Instanzen Routen zu diesem lokalen Server auflösen können.

Option Beschreibung
DNS-Adressen Geben Sie eine oder mehrere DNS-Server-Adressen an, die den Namen Ihres lokalen Authentifizierungsservers auflösen können.
Routen Geben Sie eine oder mehrere benutzerdefinierte Routen an, die es den Unified Access Gateway-Instanzen des Pods ermöglichen, Netzwerkrouten auf Ihrem lokalen Authentifizierungsserver aufzulösen.

Beispiel: Wenn Sie einen lokalen RADIUS-Server haben, der 10.10.60.20 als IP-Adresse verwendet, würden Sie 10.10.60.0/24 und Ihre standardmäßige Route-Gateway-Adresse als benutzerdefinierte Route verwenden. Sie können Ihre standardmäßige Route-Gateway-Adresse über die Express-Route oder VPN-Konfiguration für diese Umgebung ermitteln.

Geben Sie die benutzerdefinierten Routen als eine durch Kommas getrennte Liste in der Form ipv4-network-address/bits ipv4-gateway-address an, z. B.: 192.168.1.0/24 192.168.0.1, 192.168.2.0/24 192.168.0.2.

Stellen Sie sicher, dass Sie über die folgenden bei der Konfiguration Ihres Authentifizierungsservers verwendeten Informationen verfügen, damit Sie diese in den jeweiligen Feldern im Pod-Bereitstellungsassistenten angeben können. Wenn Sie einen RADIUS-Authentifizierungsserver verwenden und sowohl über einen primären als auch einen sekundären Server verfügen, rufen Sie die Informationen für jede dieser Server ab.

RADIUS

Wenn Sie Einstellungen sowohl für einen primären als auch für einen zusätzlichen RADIUS-Server konfigurieren, müssen Sie die Informationen für jeden dieser Server abrufen.

  • IP-Adresse oder DNS-Name des Authentifizierungsservers
  • Der gemeinsame geheime Schlüssel, der für die Ver- und Entschlüsselung der Protokollmeldungen des Authentifizierungsservers verwendet wird
  • Authentifizierungsportnummern, in der Regel 1812/UDP für RADIUS.
  • Art des Authentifizierungs-Protokolls. Zu den Authentifizierungstypen zählen PAP (Password Authentication Protocol), CHAP (Challenge Handshake Authentication Protocol), MSCHAP1, MSCHAP2 (Microsoft Challenge Handshake Authentication Protocol, Version 1 und 2).
    Hinweis: Prüfen Sie in der Dokumentation Ihres RADIUS-Anbieters, welches Authentifizierungsprotokoll der RADIUS-Anbieter empfiehlt, und verwenden Sie den angegebenen Protokolltyp. Die Pod-Funktionalität zur Unterstützung der Zwei-Faktor-Authentifizierung mit RADIUS wird von den Unified Access Gateway-Instanzen bereitgestellt. Unified Access Gateway unterstützt PAP, CHAP, MSCHAP1 und MSCHAP2. PAP ist in der Regel weniger sicher als MSCHAP2. PAP ist auch ein einfacheres Protokoll als MSCHAP2. Obwohl die meisten RADIUS-Anbieter mit dem einfacheren PAP-Protokoll kompatibel sind, bieten einige RADIUS-Anbieter daher weniger Kompatibilität mit dem sichereren MSCHAP2.
RSA SecurID
Hinweis: Der RSA SecurID-Typ wird von Horizon Cloud on Microsoft Azure-Bereitstellungen unterstützt, auf denen Manifest 3139.x oder höher ausgeführt wird. Die Benutzeroberflächenoption zur Angabe des RSA SecurID-Typs in den Assistenten „Pod hinzufügen“ und „Pod bearbeiten“ wird ab Mitte März 2022 in den Assistenten zur Auswahl angezeigt.
  • Zugriffsschlüssel vom RSA SecurID Authentication Manager-Server.
  • RSA SecurID-Kommunikationsportnummer. In der Regel 5555 wie in den RSA Authentication Manager-Systemeinstellungen für RSA SecurID-Authentifizierungs-API festgelegt.
  • Hostname des RSA SecurID-Authentifizierungsmanager-Servers.
  • IP-Adresse dieses RSA SecurID Authentication Manager-Servers.
  • Wenn der RSA SecurID Authentication Manager-Server oder dessen Lastausgleichsserver über ein selbstsigniertes Zertifikat verfügt, benötigen Sie das CA-Zertifikat, das im Assistenten „Pod hinzufügen“ bereitgestellt werden muss. Das Zertifikat muss im PEM-Format vorliegen (Dateitypen .cer oder .cert oder .pem)

Prozedur

  1. Aktivieren Sie die Umschaltfläche Zwei-Faktor-Authentifizierung aktivieren.
    Wenn der Schalter aktiviert ist, zeigt der Assistent die zusätzlichen Konfigurationsfelder an. Verwenden Sie die Bildlaufleiste, um auf alle Felder zuzugreifen.

    Der folgende Screenshot zeigt beispielhaft, wie die Anzeige aussieht, nachdem Sie den Schalter im Abschnitt Externes UAG aktiviert haben.

    Horizon Cloud on Microsoft Azure: Felder für die Zwei-Faktor-Authentifizierung des Pod-Bereitstellungsassistenten in ihrem anfänglichen Zustand, nachdem die Umschaltfläche aktiviert wurde, um die Zwei-Faktor-Authentifizierung zu aktivieren.
  2. Wählen Sie den Zwei-Faktor-Authentifizierungstyp Radius oder RSA SecurID aus.
    Derzeit sind die verfügbaren unterstützten Typen RADIUS und RSA SecurID.

    Nach der Auswahl des Typs wird im Menü Konfiguration der Zwei-Faktor-Authentifizierung automatisch angezeigt, dass Sie eine Konfiguration dieses ausgewählten Typs hinzufügen. Wenn beispielsweise der Typ RSA SecurID ausgewählt ist, wird im Menü Konfiguration der Zwei-Faktor-Authentifizierung die Option Neue RSA SecurID angezeigt.

  3. Geben Sie im Feld Konfigurationsname einen eindeutigen Namen für diese Konfiguration an.
  4. Legen Sie im Abschnitt „Eigenschaften“ Details zur Interaktion der Endbenutzer mit dem Anmeldebildschirm fest, über den sie sich für den Zugriff authentifizieren.

    Der Assistent zeigt Felder basierend auf der Konfiguration an, die eine Horizon Cloud on Microsoft Azure-Bereitstellung mithilfe ihrer Gateway-Konfigurationen unterstützt. Die Felder variieren je nach ausgewähltem Zwei-Faktor-Authentifizierungstyp. In der folgenden Tabelle finden Sie Informationen zu Ihrem ausgewählten Typ, RADIUS oder RSA SecurID.

    RADIUS

    Wenn Sie die Felder ausfüllen, müssen Details zum primären Authentifizierungsserver angegeben werden. Wenn Sie über einen sekundären Authentifizierungsserver verfügen, aktivieren Sie die Umschaltoption Hilfsserver und geben Sie auch die Details für diesen Server an.

    Option Beschreibung
    Anzeigename Sie können dieses Feld leer lassen. Obwohl dieses Feld im Assistenten angezeigt wird, legt es nur einen internen Namen in der Unified Access Gateway-Konfiguration fest. Dieser Name wird nicht von Horizon-Clients verwendet.
    Anzeigehinweis Geben Sie optional eine Textzeichenfolge ein, die den Endbenutzern in der Meldung auf dem Anmeldebildschirm für Endbenutzerclients angezeigt wird, wenn der Benutzer zur Eingabe von RADIUS-Benutzername und Kennung aufgefordert wird. Der angegebene Hinweis wird dem Endbenutzer als Enter your DisplayHint user name and passcode angezeigt, wobei DisplayHint der Text ist, den Sie in diesem Feld angeben.

    Dieser Hinweis hilft Benutzern bei der Angabe der richtigen RADIUS-Kennung. Beispiel: Sie geben Benutzername und Domänenkennwort für Beispielunternehmen unten an. In diesem Fall wird dem Endbenutzer die Eingabeaufforderung Enter your Example Company user name and domain password below for user name and passcode angezeigt.

    Suffix für Namens-ID Diese Einstellung wird in SAML-Szenarios verwendet, in denen Ihr Pod für die Verwendung von TrueSSO für Single Sign-On konfiguriert ist. Stellen Sie optional eine Zeichenfolge bereit, die an den Benutzernamen der SAML-Assertion angehängt wird, der in einer Anforderung an den Pod-Manager gesendet wird. Beispiel: Wenn der Benutzername im Anmeldebildschirm als user1 eingegeben wird und hier ein Suffix für die Namens-ID von @example.com angegeben wurde, wird der Benutzername [email protected] einer SAML-Assertion in der Anforderung gesendet.
    Anzahl an Wiederholungen Geben Sie die maximale Anzahl der fehlgeschlagenen Anmeldeversuche ein, die ein Benutzer hat, wenn er versucht, sich über dieses RADIUS-System anzumelden.
    Benutzernamen beibehalten Aktivieren Sie diese Umschaltoption, um den Active Directory-Benutzernamen des Benutzers während der Authentifizierung beizubehalten, der zwischen dem Client, der Unified Access Gateway-Instanz und dem RADIUS-Dienst übertragen wird. Falls aktiviert:
    • Der Benutzer muss über dieselben Anmeldedaten für RADIUS wie für die Active Directory-Authentifizierung verfügen.
    • Kann der Benutzer den Benutzernamen auf dem Anmeldebildschirm nicht ändern.

    Wenn diese Umschaltoption deaktiviert wird, kann der Benutzer auf dem Anmeldebildschirm einen anderen Benutzernamen eingeben.

    Hinweis: Informationen zur Beziehung zwischen der Aktivierung von Benutzername beibehalten und den Domänensicherheitseinstellungen in Horizon Cloud finden Sie unter dem Thema Domänensicherheitseinstellungen auf der Seite „Allgemeine Einstellungen“.
    Hostname/IP-Adresse Geben Sie den DNS-Namen oder die IP-Adresse des Authentifizierungsservers ein.
    Gemeinsamer geheimer Schlüssel Geben Sie den geheimen Schlüssel für die Kommunikation mit dem Authentifizierungsserver ein. Der Wert muss mit dem für den Server konfigurierten Wert übereinstimmen.
    Authentifizierungsport Legen Sie den auf dem Authentifizierungsserver konfigurierten UDP-Port fest, der für das Senden oder Empfangen von Authentifizierungsdatenverkehr verwendet wird. Der Standardwert ist 1812.
    Kontoführungsport Legen Sie optional den auf dem Authentifizierungsserver konfigurierten UDP-Port fest, der für das Senden oder Empfangen von Planungs- und Finanzdatenverkehr verwendet wird. Der Standardwert ist 1813.
    Vorgang Wählen Sie das Authentifizierungsprotokoll, das vom angegebenen Authentifizierungsserver unterstützt wird und das der bereitgestellte Pod verwenden soll.
    Zeitüberschreitung des Servers Geben Sie die Anzahl der Sekunden ein, die der Pod auf eine Antwort vom Authentifizierungsserver warten soll. Wenn diese Sekunden verstrichen sind, wird das Senden wiederholt, wenn keine Antwort durch den Server erfolgte.
    Maximale Anzahl erneuter Versuche Geben Sie die maximale Anzahl der erneuten Versuche bei fehlgeschlagenen Anforderungen an den Authentifizierungsserver an.
    Bereichspräfix Geben Sie optional eine Zeichenfolge ein, die das System am Anfang des Benutzernamens einfügt, wenn der Name an den Authentifizierungsserver gesendet wird. Die Position des Benutzerkontos wird „Realm“ genannt.

    Beispiel: Wenn der Benutzername im Anmeldebildschirm als user1 eingegeben wird und hier ein Bereichspräfix von DOMAIN-A\ angegeben wurde, sendet das System DOMAIN-A\user1 an den Authentifizierungsserver. Wenn Sie keinen Bereichspräfix angeben, wird nur der eingegebene Benutzername gesendet.

    Bereichssuffix Geben Sie optional eine Zeichenfolge ein, die das System an den Benutzernamen anhängt, wenn der Name an den Authentifizierungsserver gesendet wird. Beispiel: Wenn der Benutzername im Anmeldebildschirm als user1 eingegeben wird und hier ein Bereichssuffix von @example.com angegeben wurde, sendet das System [email protected] an den Authentifizierungsserver.
    RSA SecurID
    Option Beschreibung
    Zugriffsschlüssel Geben Sie den Zugriffsschlüssel für Ihr RSA SecurID-System ein, der in den RSA SecurID-Authentifizierungs-API-Einstellungen des Systems abgerufen wurde.
    Serverport Geben Sie den Wert an, der in den Einstellungen der RSA SecurID-Authentifizierungs-API Ihres Systems für den Kommunikationsport konfiguriert ist, standardmäßig 5555.
    Server-Hostname Geben Sie den DNS-Namen des Authentifizierungsservers ein.
    Server-IP-Adresse Geben Sie die IP-Adresse des Authentifizierungsservers ein.
    Anzahl an Wiederholungen Geben Sie die maximale Anzahl fehlgeschlagener Authentifizierungsversuche ein, die einem Benutzer erlaubt sind, bevor er eine Stunde gesperrt wird. Die Standardeinstellung lautet fünf (5) Versuche.
    CA-Zertifikat Dieses Element ist erforderlich, wenn Ihr RSA SecurID Authentication Manager-Server oder dessen Lastausgleichsdienst ein selbstsigniertes Zertifikat verwendet. Kopieren Sie in diesem Fall das CA-Zertifikat und fügen Sie es in dieses Feld ein. Wie oben auf dieser Seite beschrieben, müssen die Zertifikatsinformationen im PEM-Format bereitgestellt werden.

    Wenn der Server über ein von einer öffentlichen Zertifizierungsstelle (CA) signiertes Zertifikat verfügt, ist dieses Feld optional.
    Zeitüberschreitung für die Authentifizierung Geben Sie an, wie viele Sekunden der Authentifizierungsversuch zwischen den Unified Access Gateway-Instanzen und dem RSA SecurID-Authentifizierungsserver verfügbar sein soll, bevor eine Zeitüberschreitung eintritt. Der Standardwert beträgt 180 Sekunden.