In diesem Thema wird erläutert, wie Sie die Unified Access Gateway-Instanzen in Ihren Horizon-Pods für die Verwendung mit Universal Broker konfigurieren. Befolgen Sie die Schritte zum Konfigurieren der erforderlichen JWT(JSON Web Token)-Einstellungen in jeder Unified Access Gateway-Instanz, damit die für Universal Broker erforderliche Tunnelserver- und Protokollumleitung unterstützt wird.

Hinweis: Das folgende Verfahren ist nur für Unified Access Gateway-Instanzen innerhalb von Horizon-Pods erforderlich, die auf der Horizon Connection Server-Technologie basieren. Bei Horizon Cloud-Pods in Microsoft Azure werden die Einstellungen des JSON-Web-Tokens zum Zeitpunkt der Bereitstellung des Pods automatisch konfiguriert. Sie müssen keine weitere Konfiguration des JSON-Web-Tokens für die Unified Access Gateway-Instanzen innerhalb von Horizon Cloud-Pods (nicht auf einer Horizon Connection Server-basierten Technologie) durchführen.

Standardmäßig geht Universal Broker davon aus, dass für jeden Pod in der Pod-Flotte des Mandanten dieselben identischen Einstellungen für die Zwei-Faktor-Authentifizierung verwendet werden. Wenn Universal Broker mit Einstellungen für die Zwei-Faktor-Authentifizierung konfiguriert ist, bildet er auch die Authentifizierungsanforderung und leitet sie an eine externe Unified Access Gateway-Instanz weiter, die dann mit dem Authentifizierungsserver kommuniziert, der in den Einstellungen dieser Instanz konfiguriert ist, um die spezifische Authentifizierungsaktion zu verarbeiten. Das Unified Access Gateway gibt dann die Antwort des Authentifizierungsdiensts an den Universal Broker weiter.

Wenn Sie also Universal Broker plus Zwei-Faktor-Authentifizierung wünschen, müssen Sie denselben identischen Authentifizierungsdienst auf allen externen Unified Access Gateway-Instanzen auf allen Pods in der Pod-Flotte des Mandanten konfigurieren. Für eine Flotte, die ausschließlich aus Horizon-Pods besteht, kann der Universal Broker die Verwendung des RADIUS- oder RSA SecurID-Diensts auf allen Unified Access Gateway-Instanzen unterstützen. Beachten Sie jedoch, dass, wenn Ihr Mandant über eine gemischte Pod-Flotte verfügt, die sowohl aus Horizon-Pods als auch aus Horizon Cloud-Pods besteht, nur der RADIUS-Dienst unterstützt werden kann. Der Grund dafür ist, dass derzeit nur der RADIUS-Dienst für die Verwendung mit Horizon Cloud-Pods unterstützt wird. Um die Universal Broker-Anforderung zu erfüllen, denselben identischen Authentifizierungsdienst auf der gesamten Pod-Flotte zu haben, wird daher nur RADIUS für eine gemischte Pod-Flotte unterstützt.

Voraussetzungen

  • Stellen Sie sicher, dass Sie den entsprechenden Satz von Unified Access Gateway-Appliances auf jedem Horizon-Pod in der Pod-Flotte Ihres Mandanten entsprechend den Endbenutzer-Anwendungsfällen konfiguriert haben, die Sie unterstützen möchten. Eine kurze Beschreibung der Anwendungsfälle finden Sie unter Universal Broker Systemanforderungen für Horizon-Pods.
  • Stellen Sie sicher, dass auf diesen Unified Access Gateway-Appliances Version 3.8 oder höher ausgeführt wird und alle anderen in Universal Broker Systemanforderungen für Horizon-Pods beschriebenen Unified Access Gateway-Anforderungen erfüllt sind.
  • Um die Paarbildung jeder Unified Access Gateway-Instanz mit dem entsprechenden Pod zu validieren, stellen Sie eine direkte Verbindung mit der Unified Access Gateway-Instanz her und überprüfen Sie, ob Sie auf virtuelle Desktops zugreifen können.

Prozedur

  1. Melden Sie sich bei der Unified Access Gateway-Verwaltungskonsole an.
  2. Klicken Sie im Abschnitt Manuell konfigurieren auf Auswählen.
  3. Klicken Sie unter Erweiterte Einstellungen auf das Zahnradsymbol für JWT-Einstellungen.
  4. Um einen JWT-Konfigurationssatz zu erstellen, klicken Sie auf Hinzufügen.
  5. Geben Sie die erforderlichen Einstellungen im Dialogfeld „JWT-Einstellungen“ an.
    Einstellung Beschreibung
    Name Geben Sie einen beschreibenden Namen für den Konfigurationssatz ein.
    Issuer Geben Sie den Clusternamen des Horizon-Pods so ein, wie er in der Horizon Console angezeigt wird.

    Clustername des Pods in der Horizon Console
    Dynamic Public key URL Geben Sie https://<Horizon pod FQDN>/broker/publicKey/protocolredirection ein, wobei <Horizon pod FQDN> durch den eindeutigen FQDN (vollqualifizierter Domänenname) des Pods ersetzt wird. Der FQDN ist in der Regel wie folgt definiert:
    • Wenn der Pod über mehrere Unified Access Gateway-Instanzen verfügt, geben Sie die Adresse des lokalen Lastausgleichsdienst als FQDN an.
    • Wenn der Pod nur über eine Unified Access Gateway-Instanz verfügt, geben Sie die Adresse des gekoppelten Verbindungsservers dieser Instanz als FQDN an.
    Public key URL thumbprints Um eine URL für einen öffentlichen Schlüssel zur Authentifizierung zu verwenden, geben Sie den SHA1-Fingerabdruck des Zertifikats des Horizon-Pods ein.
    Hinweis: Sie können entweder URL-Fingerabdrücke für den öffentlichen Schlüssel oder Vertrauenswürdige Zertifikate für die Authentifizierung konfigurieren. Sie brauchen nicht beide Optionen zu konfigurieren.
    Trusted Certificates Wenn Sie ein anderes Zertifikat als das Horizon-Pod-Zertifikat für die Authentifizierung verwenden möchten, klicken Sie auf das Symbol (+) und fügen Sie das vertrauenswürdige Zertifikat hinzu.
    Hinweis: Sie können entweder Vertrauenswürdige Zertifikate oder URL-Fingerabdrücke für den öffentlichen Schlüssel für die Authentifizierung konfigurieren. Sie brauchen nicht beide Optionen zu konfigurieren.
    Public key refresh interval Um optimale Ergebnisse zu erzielen, geben Sie 900 ein. Dieser Wert legt das Aktualisierungsintervall auf 900 Sekunden (15 Minuten) fest.
    Static public keys Lassen Sie diese Option auf den Standardwert festgelegt.
  6. Klicken Sie auf Speichern und dann auf Schließen.
  7. Wenn Sie die Zwei-Faktor-Authentifizierung für Universal Broker verwenden möchten, aktivieren Sie die Umschaltoption Einblenden für Authentifizierungseinstellungen. Aktivieren und konfigurieren Sie dann Einstellungen für einen der von Universal Broker unterstützten Sicherheitsdienste: RSA SecurID (nur für Horizon-Pods verfügbar) oder RADIUS.
    Hinweis: Sie müssen den entsprechenden Zwei-Faktor-Authentifizierungsdienst auf der externen Unified Access Gateway-Instanz für jeden teilnehmenden Pod konfigurieren. Die Konfigurationen aller externen Unified Access Gateway-Instanzen innerhalb eines teilnehmenden Pods müssen übereinstimmen und mit den Konfigurationen der externen Unified Access Gateway-Instanzen für alle anderen teilnehmenden Pods identisch sein. Andernfalls schlägt die Authentifizierung beim Universal Broker-Dienst fehl.

    Wenn Sie beispielsweise die RADIUS-Authentifizierung für Ihre mit Universal Broker konfigurierten Horizon-Pods verwenden möchten, müssen Sie den identischen RADIUS-Dienst in jeder externen Unified Access Gateway-Instanz für alle teilnehmenden Horizon-Pods konfigurieren. Sie können nicht RADIUS auf einem Teil der teilnehmenden Pods und RSA SecurID auf dem anderen Teil der teilnehmenden Pods konfigurieren.