In diesem Thema wird erläutert, wie Sie die Unified Access Gateway-Instanzen in Ihren Horizon-Pods für die Verwendung mit Universal Broker vorbereiten. Befolgen Sie die Schritte zum Konfigurieren der erforderlichen JWT(JSON Web Token)-Einstellungen in jeder Unified Access Gateway-Instanz, damit die für Universal Broker erforderliche Tunnelserver- und Protokollumleitung unterstützt wird.

Hinweis: Das folgende Verfahren ist nur bei Unified Access Gateway-Instanzen innerhalb von Horizon-Pods erforderlich. Bei Pods in Microsoft Azure werden die JSON Web Token-Einstellungen zum Zeitpunkt der Bereitstellung des Pods automatisch für Sie konfiguriert. Sie müssen keine weitere Konfiguration des JSON Web Token für die Unified Access Gateway-Instanzen innerhalb von Pods in Microsoft Azure (nicht in einem von VMware unterstützten SDDC) durchführen.

Wenn Ihr Mandant für Universal Broker konfiguriert ist und Ihre externen Endbenutzer eine Zwei-Faktor-Authentifizierung verwenden sollen, müssen Sie auch den entsprechenden RADIUS-Dienst bzw. RSA SecurID-Dienst (nur für Horizon-Pods verfügbar) auf allen externen Unified Access Gateway-Instanzen im Pod konfigurieren.

Voraussetzungen

  • Stellen Sie sicher, dass Sie eine externe Unified Access Gateway-Instanz, eine interne Unified Access Gateway-Instanz oder beides für jeden Pod in ihrer Universal Broker-Umgebung konfiguriert haben.
  • Stellen Sie sicher, dass Sie Version 3.8 oder höher von Unified Access Gateway ausführen und alle anderen Unified Access Gateway-Anforderungen unter Systemanforderungen für Universal Brokererfüllt sind.
  • Um die Paarbildung jeder Unified Access Gateway-Instanz mit dem entsprechenden Pod zu validieren, stellen Sie eine direkte Verbindung mit der Unified Access Gateway-Instanz her und überprüfen Sie, ob Sie auf virtuelle Desktops zugreifen können.

Prozedur

  1. Melden Sie sich bei der Unified Access Gateway-Verwaltungskonsole an.
  2. Klicken Sie im Abschnitt Manuell konfigurieren auf Auswählen.
  3. Klicken Sie unter Erweiterte Einstellungen auf das Zahnradsymbol für JWT-Einstellungen.
  4. Um einen JWT-Konfigurationssatz zu erstellen, klicken Sie auf Hinzufügen.
  5. Geben Sie die erforderlichen Einstellungen im Dialogfeld „JWT-Einstellungen“ an.
    Einstellung Beschreibung
    Name Geben Sie einen beschreibenden Namen für den Konfigurationssatz ein.
    Issuer Geben Sie den Clusternamen des Horizon-Pods so ein, wie er in der Horizon Console angezeigt wird.

    Clustername des Pods in der Horizon Console
    Dynamic Public key URL Geben Sie https://<Horizon pod FQDN>/broker/publicKey/protocolredirection ein, wobei <Horizon pod FQDN> durch den eindeutigen FQDN (vollqualifizierter Domänenname) des Pods ersetzt wird. Der FQDN ist in der Regel wie folgt definiert:
    • Wenn der Pod über mehrere Unified Access Gateway-Instanzen verfügt, geben Sie die Adresse des lokalen Lastausgleichsdienst als FQDN an.
    • Wenn der Pod nur über eine Unified Access Gateway-Instanz verfügt, geben Sie die Adresse des gekoppelten Verbindungsservers dieser Instanz als FQDN an.
    Public key URL thumbprints Um eine URL für einen öffentlichen Schlüssel zur Authentifizierung zu verwenden, geben Sie den SHA1-Fingerabdruck des Zertifikats des Horizon-Pods ein.
    Hinweis: Sie können entweder URL-Fingerabdrücke für den öffentlichen Schlüssel oder Vertrauenswürdige Zertifikate für die Authentifizierung konfigurieren. Sie brauchen nicht beide Optionen zu konfigurieren.
    Trusted Certificates Wenn Sie ein anderes Zertifikat als das Horizon-Pod-Zertifikat für die Authentifizierung verwenden möchten, klicken Sie auf das Symbol (+) und fügen Sie das vertrauenswürdige Zertifikat hinzu.
    Hinweis: Sie können entweder Vertrauenswürdige Zertifikate oder URL-Fingerabdrücke für den öffentlichen Schlüssel für die Authentifizierung konfigurieren. Sie brauchen nicht beide Optionen zu konfigurieren.
    Public key refresh interval Um optimale Ergebnisse zu erzielen, geben Sie 900 ein. Dieser Wert legt das Aktualisierungsintervall auf 900 Sekunden (15 Minuten) fest.
    Static public keys Lassen Sie diese Option auf den Standardwert festgelegt.
  6. Klicken Sie auf Speichern und dann auf Schließen.
  7. Wenn Sie die Zwei-Faktor-Authentifizierung für Universal Broker verwenden möchten, aktivieren Sie die Umschaltoption Einblenden für Authentifizierungseinstellungen. Aktivieren und konfigurieren Sie dann Einstellungen für einen der von Universal Broker unterstützten Sicherheitsdienste: RSA SecurID (nur für Horizon-Pods verfügbar) oder RADIUS.
    Hinweis: Sie müssen den entsprechenden Zwei-Faktor-Authentifizierungsdienst auf der externen Unified Access Gateway-Instanz für jeden teilnehmenden Pod konfigurieren. Die Konfigurationen aller externen Unified Access Gateway-Instanzen innerhalb eines teilnehmenden Pods müssen übereinstimmen und mit den Konfigurationen der externen Unified Access Gateway-Instanzen für alle anderen teilnehmenden Pods identisch sein. Andernfalls schlägt die Authentifizierung beim Universal Broker-Dienst fehl.

    Wenn Sie beispielsweise die RADIUS-Authentifizierung für Ihre mit Universal Broker konfigurierten Horizon-Pods verwenden möchten, müssen Sie den identischen RADIUS-Dienst in jeder externen Unified Access Gateway-Instanz für alle teilnehmenden Horizon-Pods konfigurieren. Sie können nicht RADIUS auf einem Teil der teilnehmenden Pods und RSA SecurID auf dem anderen Teil der teilnehmenden Pods konfigurieren.