In diesem Thema wird erläutert, wie Sie die Unified Access Gateway-Instanzen in Ihren Horizon-Pods für die Verwendung mit Universal Broker konfigurieren. Befolgen Sie die Schritte zum Konfigurieren der erforderlichen JWT(JSON Web Token)-Einstellungen in jeder Unified Access Gateway-Instanz, damit die für Universal Broker erforderliche Tunnelserver- und Protokollumleitung unterstützt wird.

Hinweis: Das folgende Verfahren ist nur für Unified Access Gateway-Instanzen innerhalb von Horizon-Pods erforderlich, die auf der Horizon Connection Server-Technologie basieren. Bei Horizon Cloud-Pods in Microsoft Azure werden die Einstellungen des JSON-Web-Tokens zum Zeitpunkt der Bereitstellung des Pods automatisch konfiguriert. Sie müssen keine weitere Konfiguration des JSON-Web-Tokens für die Unified Access Gateway-Instanzen innerhalb von Horizon Cloud-Pods (nicht auf einer Horizon Connection Server-basierten Technologie) durchführen.

Standardmäßig geht Universal Broker davon aus, dass für jeden Pod in der Pod-Flotte des Mandanten dieselben identischen Einstellungen für die Zwei-Faktor-Authentifizierung verwendet werden. Wenn Universal Broker mit Einstellungen für die Zwei-Faktor-Authentifizierung konfiguriert ist, bildet er auch die Authentifizierungsanforderung und leitet sie an eine externe Unified Access Gateway-Instanz weiter, die dann mit dem Authentifizierungsserver kommuniziert, der in den Einstellungen dieser Instanz konfiguriert ist, um die spezifische Authentifizierungsaktion zu verarbeiten. Das Unified Access Gateway gibt dann die Antwort des Authentifizierungsdiensts an den Universal Broker weiter.

Wenn Sie also Universal Broker plus Zwei-Faktor-Authentifizierung wünschen, müssen Sie denselben identischen Authentifizierungsdienst auf allen externen Unified Access Gateway-Instanzen auf allen Pods in der Pod-Flotte des Mandanten konfigurieren. Für eine Flotte, die ausschließlich aus Horizon-Pods besteht, kann der Universal Broker die Verwendung des RADIUS- oder RSA SecurID-Diensts auf allen Unified Access Gateway-Instanzen unterstützen.

Beachten Sie jedoch, dass, wenn Ihr Mandant über eine gemischte Pod-Flotte verfügt, die sowohl aus Horizon-Pods als auch aus Horizon Cloud-Pods besteht, die für Sie verfügbaren Optionen davon abhängen, ob Ihre Horizon Cloud on Microsoft Azure-Bereitstellungen die Bedingungen erfüllen, damit die RSA SecurID-Option verfügbar ist. Wenn alle Horizon Cloud-Pods die Manifestversion 3139.x oder höher aufweisen und im Assistenten „Pod bearbeiten“ die Option „RSA SecurID“ angezeigt wird, haben Sie die Möglichkeit, alle Pods so zu konfigurieren, dass sie den RSA SecurID-Typ verwenden. Andernfalls müssen Sie RADIUS verwenden, um den gleichen identischen Authentifizierungsdienst für die gesamte Pod-Flotte zu erfüllen.

Voraussetzungen

  • Stellen Sie sicher, dass Sie den entsprechenden Satz von Unified Access Gateway-Appliances auf jedem Horizon-Pod in der Pod-Flotte Ihres Mandanten entsprechend den Endbenutzer-Anwendungsfällen konfiguriert haben, die Sie unterstützen möchten. Eine kurze Beschreibung der Anwendungsfälle finden Sie unter Universal Broker Systemanforderungen für Horizon-Pods.
  • Stellen Sie sicher, dass auf diesen Unified Access Gateway-Appliances Version 3.8 oder höher ausgeführt wird und alle anderen in Universal Broker Systemanforderungen für Horizon-Pods beschriebenen Unified Access Gateway-Anforderungen erfüllt sind.
  • Um die Paarbildung jeder Unified Access Gateway-Instanz mit dem entsprechenden Pod zu validieren, stellen Sie eine direkte Verbindung mit der Unified Access Gateway-Instanz her und überprüfen Sie, ob Sie auf virtuelle Desktops zugreifen können.

Prozedur

  1. Melden Sie sich bei der Unified Access Gateway-Verwaltungskonsole an.
  2. Klicken Sie im Abschnitt Manuell konfigurieren auf Auswählen.
  3. Klicken Sie unter Erweiterte Einstellungen auf das Zahnradsymbol für JWT-Einstellungen.
  4. Nach dem Klicken auf das Zahnradsymbol:
    • Wenn Ihre Unified Access Gateway-Software älter als Version 2209 ist, klicken Sie auf Hinzufügen.
    • Wenn Ihre Unified Access Gateway-Software Version 2209 oder höher ist, klicken Sie auf JWT-Verbraucher hinzufügen. Die Unified Access Gateway-Administrator-Benutzeroberfläche wurde in der Version 2209 erstmals geändert.
  5. Geben Sie im angezeigten Feld für die Benutzeroberfläche die Einstellungen an.
    Einstellung Beschreibung
    Name Geben Sie einen beschreibenden Namen für den Konfigurationssatz ein.
    Issuer Geben Sie den Clusternamen des Horizon-Pods so ein, wie er in der Horizon Console angezeigt wird.
    Vorsicht: In diesem Feld wird in der Unified Access Gateway-Administrator-Benutzeroberfläche zwischen Groß- und Kleinschreibung unterschieden.

    Sie müssen den Clusternamen genau so eingeben, wie Sie ihn von Ihrer Horizon Console abrufen.

    Die Unified Access Gateway-Benutzeroberfläche zeigt keine Warnungen an, dass bei den Feldern zwischen Groß- und Kleinschreibung unterschieden wird, und die Groß- und Kleinschreibung wird nicht überprüft.

    Diese Unterscheidung der Groß- und Kleinschreibung gilt auch für das Wort Cluster, das in der Horizon Console angezeigt wird.

    Wenn das Wort in der Horizon Console mit einem großen C und luster in Kleinbuchstaben angezeigt wird, dann müssen Sie das in diesem Feld Issuer genau abgleichen und Cluster in dieses Feld Issuer eingeben.

    Wenn Sie nicht sicherstellen, dass der in diesem Feld Issuer eingegebene Name unter Berücksichtigung der Groß- und Kleinschreibung genau mit dem in der Horizon Console angezeigten Namen übereinstimmt, führt dies zu Problemen mit dem Universal Broker und Ihre Endbenutzer können ihre Desktops und Anwendungen nicht über den FQDN des Universal Broker starten.

    Um den Clusternamen des Pods in Ihrem Horizon Console zu suchen, navigieren Sie zum Bereich Dashboard in Ihrer Horizon Console und sehen Sie sich den oberen vertikalen Bereich der Benutzeroberfläche an.

    Die folgende Abbildung zeigt, wo sich der Name des Pod-Clusters in der Horizon Console befindet.

    Beachten Sie, dass die Cluster-Komponente des angezeigten Namens eine Kombination aus einem großen Anfangsbuchstaben und nachfolgenden Kleinbuchstaben ist.

    Sie müssen sicherstellen, dass Sie den angezeigten Namen genau so in dieses Issuer-Feld in der Unified Access Gateway-Administrator-Benutzeroberfläche eingeben. Beim Feld Issuer gibt es keine Validierung, um sicherzustellen, dass Sie den Namen korrekt eingegeben haben.


    Clustername des Pods in der Horizon Console
    Dynamic Public key URL Den hier einzugebenden Wert erhalten Sie entweder aus dem Hostnamen des Verbindungsservers des Pods, aus dem FQDN des Verbindungsservers oder aus dem lokalen Lastausgleichsdienst (wenn der Pod über mehrere Gateway-Instanzen verfügt).

    Geben Sie https://<Horizon pod FQDN>/broker/publicKey/protocolredirection ein, wobei <Horizon pod FQDN> durch den eindeutigen FQDN (vollqualifizierter Domänenname) des Pods ersetzt wird. Der FQDN ist in der Regel wie folgt definiert:

    • Wenn der Pod nur über eine Unified Access Gateway-Instanz verfügt, geben Sie die Adresse des gekoppelten Verbindungsservers dieser Instanz als FQDN an.
    • Wenn der Pod über mehrere Unified Access Gateway-Instanzen verfügt, geben Sie die Adresse des lokalen Lastausgleichsdienst als FQDN an.
    Public key URL thumbprints Dieses Feld gibt die Verwendung einer öffentlichen Schlüssel-URL für die Authentifizierung an.

    Um das Verbindungsserverzertifikat des Pods für die Authentifizierung zu verwenden, geben Sie den SHA1-Fingerabdruck des Verbindungsserverzertifikats des Horizon-Pods für den Verbindungsserver ein, den Sie für die vorhergehende URL des dynamischen öffentlichen Schlüssels verwendet haben.

    Hinweis: Sie können entweder URL-Fingerabdrücke für den öffentlichen Schlüssel oder Vertrauenswürdige Zertifikate für die Authentifizierung konfigurieren. Sie brauchen nicht beide Optionen zu konfigurieren.
    Trusted Certificates Wenn Sie ein anderes Zertifikat als das Horizon-Pod-Zertifikat für die Authentifizierung verwenden möchten, klicken Sie auf das Symbol (+) und fügen Sie das vertrauenswürdige Zertifikat hinzu.
    Hinweis: Sie können entweder Vertrauenswürdige Zertifikate oder URL-Fingerabdrücke für den öffentlichen Schlüssel für die Authentifizierung konfigurieren. Sie brauchen nicht beide Optionen zu konfigurieren.
    Public key refresh interval Um optimale Ergebnisse zu erzielen, geben Sie 900 ein. Dieser Wert legt das Aktualisierungsintervall auf 900 Sekunden (15 Minuten) fest.
    Static public keys Lassen Sie diese Option auf den Standardwert festgelegt.
  6. Klicken Sie auf Speichern und dann auf Schließen.
  7. Wenn Sie die Zwei-Faktor-Authentifizierung für Universal Broker verwenden möchten, aktivieren Sie die Umschaltoption Einblenden für Authentifizierungseinstellungen. Aktivieren und konfigurieren Sie anschließend die Einstellungen für einen der von Universal Broker unterstützten Zwei-Faktor-Authentifizierungsdienste. Derzeit sind die beiden unterstützten Dienste RADIUS und RSA SecurID.
    Hinweis: Sie müssen den entsprechenden Zwei-Faktor-Authentifizierungsdienst auf der externen Unified Access Gateway-Instanz für jeden teilnehmenden Pod konfigurieren. Die Konfigurationen aller externen Unified Access Gateway-Instanzen innerhalb eines teilnehmenden Pods müssen übereinstimmen und mit den Konfigurationen der externen Unified Access Gateway-Instanzen für alle anderen teilnehmenden Pods identisch sein. Andernfalls schlägt die Authentifizierung beim Universal Broker-Dienst fehl.

    Wenn Sie beispielsweise die RADIUS-Authentifizierung für Ihre mit Universal Broker konfigurierten Horizon-Pods verwenden möchten, müssen Sie den identischen RADIUS-Dienst in jeder externen Unified Access Gateway-Instanz für alle teilnehmenden Horizon-Pods konfigurieren. Sie können nicht RADIUS auf einem Teil der teilnehmenden Pods und RSA SecurID auf dem anderen Teil der teilnehmenden Pods konfigurieren.