In diesem Thema wird erläutert, wie Sie die Unified Access Gateway-Instanzen in Ihren Horizon-Pods für die Verwendung mit Universal Broker vorbereiten. Befolgen Sie die Schritte zum Konfigurieren der erforderlichen JWT(JSON Web Token)-Einstellungen in jeder Unified Access Gateway-Instanz, damit die für Universal Broker erforderliche Tunnelserver- und Protokollumleitung unterstützt wird.
Hinweis: Das folgende Verfahren ist nur bei
Unified Access Gateway-Instanzen innerhalb von Horizon-Pods erforderlich. Bei Pods in Microsoft Azure werden die JSON Web Token-Einstellungen zum Zeitpunkt der Bereitstellung des Pods automatisch für Sie konfiguriert. Sie müssen keine weitere Konfiguration des JSON Web Token für die
Unified Access Gateway-Instanzen innerhalb von Pods in Microsoft Azure (nicht in einem von VMware unterstützten SDDC) durchführen.
Wenn Ihr Mandant für Universal Broker konfiguriert ist und Ihre externen Endbenutzer eine Zwei-Faktor-Authentifizierung verwenden sollen, müssen Sie auch den entsprechenden RADIUS-Dienst bzw. RSA SecurID-Dienst (nur für Horizon-Pods verfügbar) auf allen externen Unified Access Gateway-Instanzen im Pod konfigurieren.
Voraussetzungen
- Stellen Sie sicher, dass Sie eine externe Unified Access Gateway-Instanz, eine interne Unified Access Gateway-Instanz oder beides für jeden Pod in ihrer Universal Broker-Umgebung konfiguriert haben.
- Stellen Sie sicher, dass Sie Version 3.8 oder höher von Unified Access Gateway ausführen und alle anderen Unified Access Gateway-Anforderungen unter Systemanforderungen für Universal Brokererfüllt sind.
- Um die Paarbildung jeder Unified Access Gateway-Instanz mit dem entsprechenden Pod zu validieren, stellen Sie eine direkte Verbindung mit der Unified Access Gateway-Instanz her und überprüfen Sie, ob Sie auf virtuelle Desktops zugreifen können.
Prozedur
- Melden Sie sich bei der Unified Access Gateway-Verwaltungskonsole an.
- Klicken Sie im Abschnitt Manuell konfigurieren auf Auswählen.
- Klicken Sie unter Erweiterte Einstellungen auf das Zahnradsymbol für JWT-Einstellungen.
- Um einen JWT-Konfigurationssatz zu erstellen, klicken Sie auf Hinzufügen.
- Geben Sie die erforderlichen Einstellungen im Dialogfeld „JWT-Einstellungen“ an.
Einstellung |
Beschreibung |
Name |
Geben Sie einen beschreibenden Namen für den Konfigurationssatz ein. |
Issuer |
Geben Sie den Clusternamen des Horizon-Pods so ein, wie er in der Horizon Console angezeigt wird.
|
Dynamic Public key URL |
Geben Sie https://<Horizon pod FQDN>/broker/publicKey/protocolredirection ein, wobei <Horizon pod FQDN> durch den eindeutigen FQDN (vollqualifizierter Domänenname) des Pods ersetzt wird. Der FQDN ist in der Regel wie folgt definiert:
- Wenn der Pod über mehrere Unified Access Gateway-Instanzen verfügt, geben Sie die Adresse des lokalen Lastausgleichsdienst als FQDN an.
- Wenn der Pod nur über eine Unified Access Gateway-Instanz verfügt, geben Sie die Adresse des gekoppelten Verbindungsservers dieser Instanz als FQDN an.
|
Public key URL thumbprints |
Um eine URL für einen öffentlichen Schlüssel zur Authentifizierung zu verwenden, geben Sie den SHA1-Fingerabdruck des Zertifikats des Horizon-Pods ein.
Hinweis: Sie können entweder
URL-Fingerabdrücke für den öffentlichen Schlüssel oder
Vertrauenswürdige Zertifikate für die Authentifizierung konfigurieren. Sie brauchen nicht beide Optionen zu konfigurieren.
|
Trusted Certificates |
Wenn Sie ein anderes Zertifikat als das Horizon-Pod-Zertifikat für die Authentifizierung verwenden möchten, klicken Sie auf das Symbol (+) und fügen Sie das vertrauenswürdige Zertifikat hinzu.
Hinweis: Sie können entweder
Vertrauenswürdige Zertifikate oder
URL-Fingerabdrücke für den öffentlichen Schlüssel für die Authentifizierung konfigurieren. Sie brauchen nicht beide Optionen zu konfigurieren.
|
Public key refresh interval |
Um optimale Ergebnisse zu erzielen, geben Sie 900 ein. Dieser Wert legt das Aktualisierungsintervall auf 900 Sekunden (15 Minuten) fest. |
Static public keys |
Lassen Sie diese Option auf den Standardwert festgelegt. |
- Klicken Sie auf Speichern und dann auf Schließen.
- Wenn Sie die Zwei-Faktor-Authentifizierung für Universal Broker verwenden möchten, aktivieren Sie die Umschaltoption Einblenden für Authentifizierungseinstellungen. Aktivieren und konfigurieren Sie dann Einstellungen für einen der von Universal Broker unterstützten Sicherheitsdienste: RSA SecurID (nur für Horizon-Pods verfügbar) oder RADIUS.
Hinweis: Sie müssen den entsprechenden Zwei-Faktor-Authentifizierungsdienst auf der externen
Unified Access Gateway-Instanz für jeden teilnehmenden Pod konfigurieren. Die Konfigurationen aller externen
Unified Access Gateway-Instanzen innerhalb eines teilnehmenden Pods müssen übereinstimmen und mit den Konfigurationen der externen
Unified Access Gateway-Instanzen für alle anderen teilnehmenden Pods identisch sein. Andernfalls schlägt die Authentifizierung beim
Universal Broker-Dienst fehl.
Wenn Sie beispielsweise die RADIUS-Authentifizierung für Ihre mit Universal Broker konfigurierten Horizon-Pods verwenden möchten, müssen Sie den identischen RADIUS-Dienst in jeder externen Unified Access Gateway-Instanz für alle teilnehmenden Horizon-Pods konfigurieren. Sie können nicht RADIUS auf einem Teil der teilnehmenden Pods und RSA SecurID auf dem anderen Teil der teilnehmenden Pods konfigurieren.