Um die Verwendung der 2-Faktor-Authentifizierung in den Gateway-Einstellungen eines bereits bereitgestellten Pod zu aktivieren, verwenden Sie die Aktion Bearbeiten auf der Detailseite des Pods. Gateway-Konfigurationen auf Ihrem Pod verwenden Unified Access Gateway-VMs und sind so konfiguriert, dass Sie Ihren Endbenutzern den Zugriff auf Ihre Desktops und Anwendungen ermöglichen. Sie können diese Einstellungen für die 2-Faktor-Authentifizierung zu den vorhandenen Gateway-Konfigurationen des Pods hinzufügen. Alternativ haben Sie die Möglichkeit, sie zur selben Zeit hinzuzufügen wie eine neue Gateway-Konfiguration. Sie verwenden den Workflow „Pod bearbeiten“, um die Einstellungen für die 2-Faktor-Authentifizierung zur Gateway-Konfiguration des Pods hinzuzufügen.

Voraussetzungen

Stellen Sie für das Gateway, auf dem Sie die Zwei-Faktor-Authentifizierung hinzufügen, sicher, dass die Felder für diese Gateway-Konfiguration im Assistenten ausgefüllt hat. Bei der Konfiguration der 2-Faktor-Authentifizierung bei einem lokalen Authentifizierungsserver geben Sie auch die Informationen in den folgenden Feldern an, sodass die Unified Access Gateway-Instanzen für dieses Gateway Routen zu diesem lokalen Server auflösen können.

Option Beschreibung
DNS-Adressen Geben Sie eine oder mehrere DNS-Server-Adressen an, die den Namen Ihres lokalen Authentifizierungsservers auflösen können.
Routen Geben Sie eine oder mehrere weitere benutzerdefinierte Routen an, die es den Unified Access Gateway-Instanzen des Pods ermöglichen, Netzwerkrouten auf Ihrem lokalen Authentifizierungsserver aufzulösen.

Beispiel: Wenn Sie einen lokalen RADIUS-Server haben, der 10.10.60.20 als IP-Adresse verwendet, würden Sie 10.10.60.0/24 und Ihre standardmäßige Route-Gateway-Adresse als benutzerdefinierte Route verwenden. Sie können Ihre standardmäßige Route-Gateway-Adresse über die Express-Route oder VPN-Konfiguration für diese Umgebung ermitteln.

Geben Sie die benutzerdefinierten Routen als eine durch Kommas getrennte Liste in der Form ipv4-network-address/bits ipv4-gateway-address an, z. B.: 192.168.1.0/24 192.168.0.1, 192.168.2.0/24 192.168.0.2.

Stellen Sie sicher, dass Sie über die folgenden bei der Konfiguration Ihres Authentifizierungsservers verwendeten Informationen verfügen, damit Sie diese in den jeweiligen Feldern im Pod-Bereitstellungsassistenten angeben können. Wenn Sie über einen primären und einen sekundären Server verfügen, ermitteln Sie die Informationen für beide Server.

  • IP-Adresse oder DNS-Name des Authentifizierungsservers
  • Der gemeinsame geheime Schlüssel, der für die Ver- und Entschlüsselung der Protokollmeldungen des Authentifizierungsservers verwendet wird
  • Nummer des Authentifizierungsports, in der Regel der UDP-Port 1812.
  • Art des Authentifizierungs-Protokolls. Zu den Authentifizierungstypen zählen PAP (Password Authentication Protocol), CHAP (Challenge Handshake Authentication Protocol), MSCHAP1, MSCHAP2 (Microsoft Challenge Handshake Authentication Protocol, Version 1 und 2).
    Hinweis: Prüfen Sie in der Dokumentation Ihres RADIUS-Anbieters, welches Authentifizierungsprotokoll der RADIUS-Anbieter empfiehlt, und verwenden Sie den angegebenen Protokolltyp. Die Pod-Funktionalität zur Unterstützung der Zwei-Faktor-Authentifizierung mit RADIUS wird von den Unified Access Gateway-Instanzen bereitgestellt. Unified Access Gateway unterstützt PAP, CHAP, MSCHAP1 und MSCHAP2. PAP ist in der Regel weniger sicher als MSCHAP2. PAP ist auch ein einfacheres Protokoll als MSCHAP2. Obwohl die meisten RADIUS-Anbieter mit dem einfacheren PAP-Protokoll kompatibel sind, bieten einige RADIUS-Anbieter daher weniger Kompatibilität mit dem sichereren MSCHAP2.

Prozedur

  1. Wenn der Schritt Gateway-Einstellungen im Fenster „Pod bearbeiten“ nicht bereits geöffnet ist, klicken Sie auf der Detailseite des Pods auf Bearbeiten und dann auf Weiter, um zum Schritt Gateway-Einstellungen zu wechseln.
  2. Positionieren Sie das Fenster bei dem Gateway-Typ, für den Sie die 2-Faktor-Authentifizierung (extern oder intern) aktivieren möchten.
  3. Aktivieren Sie den Schalter 2-Faktor-Authentifizierung aktivieren?.
    Wenn der Schalter aktiviert ist, zeigt der Assistent die zusätzlichen Konfigurationsfelder an. Verwenden Sie die Bildlaufleiste, um auf alle Felder zuzugreifen.

    Der folgende Screenshot zeigt beispielhaft, wie die Anzeige aussieht, nachdem Sie den Schalter im Abschnitt Externes UAG aktiviert haben.

    Horizon Cloud on Microsoft Azure: Felder für 2-Faktor-RADIUS-Authentifizierung des Pod-Bereitstellungsassistenten
  4. Wählen Sie Ihre Zwei-Faktor-Authentifizierungsmethode in der Dropdown-Liste aus.
    In dieser Version wird die RADIUS-Authentifizierung unterstützt.
  5. Geben Sie im Feld Name einen eindeutigen Namen für diese Konfiguration an.
  6. Legen Sie im Abschnitt „Eigenschaften“ Details zur Interaktion der Endbenutzer mit dem Anmeldebildschirm fest, über den sie sich für den Zugriff authentifizieren.
    Option Beschreibung
    Anzeigename Sie können dieses Feld leer lassen. Obwohl dieses Feld im Assistenten angezeigt wird, legt es nur einen internen Namen in Unified Access Gateway fest. Dieser Name wird nicht von Horizon-Clients verwendet.
    Anzeigehinweis Geben Sie optional eine Textzeichenfolge ein, die den Endbenutzern in der Meldung auf dem Anmeldebildschirm für Endbenutzerclients angezeigt wird, wenn der Benutzer zur Eingabe von RADIUS-Benutzername und Kennung aufgefordert wird. Der angegebene Hinweis wird dem Endbenutzer als Enter your DisplayHint user name and passcode angezeigt, wobei DisplayHint der Text ist, den Sie in diesem Feld angeben.

    Dieser Hinweis hilft Benutzern bei der Angabe der richtigen RADIUS-Kennung. Beispiel: Sie geben Benutzername und Domänenkennwort für Beispielunternehmen unten an. In diesem Fall wird dem Endbenutzer die Eingabeaufforderung Enter your Example Company user name and domain password below for user name and passcode angezeigt.

    Suffix für Namens-ID Diese Einstellung wird in SAML-Szenarios verwendet, in denen Ihr Pod für die Verwendung von TrueSSO für Single Sign-On konfiguriert ist. Geben Sie optional eine Zeichenfolge ein, die das System an den SAML-Assertion-Benutzernamen anhängt, der an den Broker gesendet wird. Beispiel: Wenn der Benutzername im Anmeldebildschirm als user1 eingegeben wird und hier ein Suffix für die Namens-ID von @example.com angegeben wurde, sendet das System einen SAML-Assertion-Benutzernamen vonuser1@example.com an den Broker.
    Anzahl an Wiederholungen Geben Sie die maximale Anzahl der fehlgeschlagenen Anmeldeversuche ein, die ein Benutzer hat, wenn er versucht, sich über dieses RADIUS-System anzumelden.
    Benutzernamen beibehalten Aktivieren Sie diesen Schalter, um den RADIUS-Benutzernamen des Benutzers während der Authentifizierung bei Horizon Cloud beizubehalten. Falls aktiviert:
    • muss der Benutzer über dieselben Anmeldedaten für RADIUS wie für die Active Directory-Authentifizierung für Horizon Cloud verfügen.
    • Kann der Benutzer den Benutzernamen auf dem Anmeldebildschirm nicht ändern.

    Wenn diese Umschaltoption deaktiviert wird, kann der Benutzer auf dem Anmeldebildschirm einen anderen Benutzernamen eingeben.

    Hinweis: Informationen zur Beziehung zwischen der Aktivierung von Benutzername beibehalten und den Domänensicherheitseinstellungen in Horizon Cloud finden Sie unter dem Thema Domänensicherheitseinstellungen auf der Seite „Allgemeine Einstellungen“.
  7. Geben Sie im Abschnitt „Primärer Server“ Details zum Authentifizierungsserver an.
    Option Beschreibung
    Hostname/IP-Adresse Geben Sie den DNS-Namen oder die IP-Adresse des Authentifizierungsservers ein.
    Gemeinsamer geheimer Schlüssel Geben Sie den geheimen Schlüssel für die Kommunikation mit dem Authentifizierungsserver ein. Der Wert muss mit dem für den Server konfigurierten Wert übereinstimmen.
    Authentifizierungsport Legen Sie den auf dem Authentifizierungsserver konfigurierten UDP-Port fest, der für das Senden oder Empfangen von Authentifizierungsdatenverkehr verwendet wird. Der Standardwert ist 1812.
    Kontoführungsport Legen Sie optional den auf dem Authentifizierungsserver konfigurierten UDP-Port fest, der für das Senden oder Empfangen von Planungs- und Finanzdatenverkehr verwendet wird. Der Standardwert ist 1813.
    Vorgang Wählen Sie das Authentifizierungsprotokoll, das vom angegebenen Authentifizierungsserver unterstützt wird und das der bereitgestellte Pod verwenden soll.
    Zeitüberschreitung des Servers Geben Sie die Anzahl der Sekunden ein, die der Pod auf eine Antwort vom Authentifizierungsserver warten soll. Wenn diese Sekunden verstrichen sind, wird das Senden wiederholt, wenn keine Antwort durch den Server erfolgte.
    Maximale Anzahl erneuter Versuche Geben Sie die maximale Anzahl der erneuten Versuche bei fehlgeschlagenen Anforderungen an den Authentifizierungsserver an.
    Bereichspräfix Geben Sie optional eine Zeichenfolge ein, die das System am Anfang des Benutzernamens einfügt, wenn der Name an den Authentifizierungsserver gesendet wird. Die Position des Benutzerkontos wird „Realm“ genannt.

    Beispiel: Wenn der Benutzername im Anmeldebildschirm als user1 eingegeben wird und hier ein Bereichspräfix von DOMAIN-A\ angegeben wurde, sendet das System DOMAIN-A\user1 an den Authentifizierungsserver. Wenn Sie keinen Bereichspräfix angeben, wird nur der eingegebene Benutzername gesendet.

    Bereichssuffix Geben Sie optional eine Zeichenfolge ein, die das System an den Benutzernamen anhängt, wenn der Name an den Authentifizierungsserver gesendet wird. Beispiel: Wenn der Benutzername im Anmeldebildschirm als user1 eingegeben wird und hier ein Bereichssuffix von @example.com angegeben wurde, sendet das System user1@example.com an den Authentifizierungsserver.
  8. (Optional) Geben Sie im Abschnitt „Sekundärer Server“ Details zu einem Hilfs-Authentifizierungsserver an.
    Sie können einen sekundären Authentifizierungsserver konfigurieren, um für Hochverfügbarkeit zu sorgen. Aktivieren Sie den Schalter Hilfsserver und füllen Sie die Felder wie im Abschnitt Primärserver beschrieben aus.
  9. Wenn Sie alle gewünschten Einstellungen vorgenommen haben, klicken Sie auf Speichern und Beenden.
    Es erscheint eine Bestätigungsmeldung, in der Sie aufgefordert werden, den Start des Workflows zu bestätigen.
  10. Klicken Sie auf Ja, um den Workflow starten.

Ergebnisse

Bis das System die Bereitstellung der neuen Konfiguration im Pod abgeschlossen hat, zeigt der Abschnitt auf der Pod-Übersichtsseite für das Gateway, auf dem Sie die 2-Faktor-Authentifizierung hinzugefügt haben, den Status Ausstehend an.

Sobald der Workflow abgeschlossen ist, werden der Status Bereit und die Einstellungen für die 2-Faktor-Authentifizierung auf der Seite angezeigt.

Hinweis: Wenn dieser Workflow für einen Pod in Microsoft Azure China ausgeführt wird, kann der Prozess länger als eine Stunde dauern. Der Prozess unterliegt geografischen Netzwerkproblemen, die langsame Download-Geschwindigkeiten verursachen können, wenn die Binärdateien aus der Cloud-Steuerungsebene heruntergeladen werden.

Nächste Maßnahme

Wichtig: Bevor Ihre Endbenutzer das Gateway mit der 2-Faktor-Authentifizierungsfunktion verwenden können, müssen Sie die folgenden Aufgaben ausführen.
  • Wenn Sie ein externes Gateway mit RADIUS-Einstellungen konfiguriert haben und der RADIUS-Server nicht innerhalb desselben VNet erreichbar ist, das vom Pod verwendet wird, oder innerhalb der gepeerten VNet-Topologie, sofern Sie das externe Gateway in einem eigenen VNet bereitgestellt haben, überprüfen Sie, ob der RADIUS-Server Clientverbindungen von der IP-Adresse des Lastausgleichsdiensts des externen Gateways zulässt, und konfigurieren Sie ihn entsprechend. In einer externen Gateway-Konfiguration versuchen die Unified Access Gateway-Instanzen, mithilfe dieser Lastausgleich-Adresse Kontakt mit dem RADIUS-Server herzustellen. Um die Verbindungen zuzulassen, stellen Sie sicher, dass die IP-Adresse der Lastausgleich-Ressource in der Ressourcengruppe des entsprechenden externen Gateways als Client in Ihrer RADIUS-Serverkonfiguration angegeben ist.
  • Wenn Sie ein internes oder externes Gateway konfiguriert haben und Ihr RADIUS-Server innerhalb desselben VNet erreichbar ist, das vom Pod verwendet wird, konfigurieren Sie den RADIUS-Server so, dass Verbindungen von den entsprechenden in der Gateway-Ressourcengruppe in Microsoft Azure erstellten Netzwerkkarten zulässig sind, die mit dem RADIUS-Server kommunizieren müssen. Ihr Netzwerkadministrator bestimmt die Netzwerksichtbarkeit des RADIUS-Servers für das virtuelle Azure-Netzwerk und die Subnetze des Pods. Ihr RADIUS-Server muss Clientverbindungen von den IP-Adressen dieser Gateway-Netzwerkkarten zulassen, die dem Subnetz entsprechen, für das Ihr Netzwerkadministrator dem RADIUS-Server Netzwerksichtbarkeit gewährt hat. Die Ressourcengruppe des Gateways in Microsoft Azure verfügt über vier Netzwerkkarten, die diesem Subnetz entsprechen: zwei, die derzeit für die beiden Unified Access Gateway-Instanzen aktiv sind, und zwei, die sich im Leerlauf befinden und aktiv werden, nachdem der Pod eine Aktualisierung durchlaufen hat. Um die Konnektivität zwischen dem Gateway und dem RADIUS-Server sowohl für laufende Pod-Vorgänge als auch nach jeder Pod-Aktualisierung zu unterstützen, stellen Sie sicher, dass die IP-Adressen dieser vier Netzwerkkarten als Clients in der RADIUS-Serverkonfiguration angegeben werden.

Informationen zum Abrufen dieser IP-Adressen finden Sie unter Aktualisieren Sie Ihr RADIUS-System mit den erforderlichen Horizon Cloud Pod-Gateway-Informationen.