In diesem Thema werden die allgemeinen Schritte und Best Practices beschrieben, die Sie zum Konfigurieren der Zwei-Faktor-Authentifizierung für den Universal Broker-Dienst verwenden können.

Funktionsweise der Zwei-Faktor-Authentifizierung für Universal Broker

Standardmäßig authentifiziert Universal Broker Benutzer ausschließlich über ihren Active Directory-Benutzernamen und das zugehörige Kennwort. Sie können eine optionale Zwei-Faktoren-Authentifizierung implementieren, indem Sie einen zusätzlichen Authentifizierungsdienst angeben.

Ab Dienstversion 2203 unterstützt Universal Broker die folgenden Zwei-Faktor-Authentifizierungsdienste sowohl bei Horizon-Bereitstellungen als auch bei Horizon Cloud on Microsoft Azure-Bereitstellungen.

  • RADIUS
  • RSA SecurID
Hinweis: Wenn die RSA SecurID-Unterstützung mit Horizon Cloud on Microsoft Azure-Bereitstellungen unterstützt wird, muss auf diesen Pods das Manifest 3139.x oder höher ausgeführt werden. Die RSA SecurID-Option ist dann sichtbar, um sie in den Gateway-Einstellungen auszuwählen, wenn Sie „Pod bearbeiten“ auf diesen Pods ausführen.

Universal Broker stützt sich auf die Konfiguration der externen Unified Access Gateway-Instanzen innerhalb jedes teilnehmenden Pods, wenn eine Zwei-Faktor-Authentifizierung von Netzwerkbenutzern durchgeführt wird. Sie können zwar auch interne Unified Access Gateway-Instanzen für die Handhabung der Authentifizierung und Weiterleitung interner Netzwerkbenutzer konfigurieren, Universal Broker basiert seine Zwei-Faktor-Authentifizierung jedoch auf den Authentifizierungsdienst, der auf den externen Unified Access Gateway-Instanzen konfiguriert ist.

Hinweis: Sie müssen den entsprechenden Zwei-Faktor-Authentifizierungsdienst auf der externen Unified Access Gateway-Instanz für jeden teilnehmenden Pod konfigurieren. Die Konfigurationen aller externen Unified Access Gateway-Instanzen innerhalb eines teilnehmenden Pods müssen übereinstimmen und mit den Konfigurationen der externen Unified Access Gateway-Instanzen für alle anderen teilnehmenden Pods identisch sein. Andernfalls schlägt die Authentifizierung beim Universal Broker-Dienst fehl.

Wenn Sie beispielsweise die RADIUS-Authentifizierung für Ihre mit Universal Broker konfigurierten Horizon-Pods verwenden möchten, müssen Sie den identischen RADIUS-Dienst in jeder externen Unified Access Gateway-Instanz für alle teilnehmenden Horizon-Pods konfigurieren. Sie können nicht RADIUS auf einem Teil der teilnehmenden Pods und RSA SecurID auf dem anderen Teil der teilnehmenden Pods konfigurieren.

Aktiveren der Zwei-Faktor-Authentifizierung für Benutzer sowohl im externen als auch im internen Netzwerk

  1. Konfigurieren Sie für jeden Pod in Ihrer Universal Broker-Umgebung mindestens eine externe Unified Access Gateway-Instanz. Konfigurieren Sie den identischen Zwei-Faktor-Authentifizierungsdienst auf jeder externen Unified Access Gateway-Instanz über alle Pods hinweg.

    Befolgen Sie die Konfigurationsrichtlinien für Ihren spezifischen Anwendungsfall. Wenn die Flotte Ihres Mandanten über Folgendes verfügt:

    Nur Horizon-Pods
    Konfigurieren Sie entweder den RADIUS- oder den RSA SecurID-Dienst auf jeder externen Unified Access Gateway-Instanz in allen Pods.
    Nur Horizon Cloud on Microsoft Azure-Bereitstellungen
    Konfigurieren Sie denselben Zwei-Faktor-Authentifizierungsdienst auf jeder externen Unified Access Gateway-Instanz für alle Pods. Wenn alle Pods das Manifest 3139.x oder höher aufweisen und die Option „RSA SecurID“ in den Einstellungen für die Zwei-Faktor-Authentifizierung verfügbar ist, können Sie bei Ausführung des Assistenten „Pod bearbeiten“ auf den Pods alle Pods so konfigurieren, dass sie den RSA SecurID verwenden. Andernfalls ist RADIUS-Typ verfügbar.
    Mischung aus Horizon-Pods und Horizon Cloud on Microsoft Azure-Bereitstellungen
    In einer gemischten Flotte hängen die für Sie verfügbaren Optionen davon ab, ob Ihre Horizon Cloud on Microsoft Azure-Bereitstellungen die Bedingungen erfüllen, damit die Option „RSA SecurID“ für sie verfügbar ist.
    • Wenn Ihre Horizon Cloud on Microsoft Azure-Bereitstellungen die Bedingungen für die Konfiguration des RSA SecurID-Typs nicht erfüllen, können Sie den RADIUS-Dienst auf jeder externen Unified Access Gateway-Instanz für alle Pods in der Flotte konfigurieren.
    • Wenn Ihre Horizon Cloud on Microsoft Azure-Bereitstellungen die Bedingungen für die Konfiguration des RSA SecurID-Typs erfüllen, können Sie entweder RSA SecurID oder RADIUS auf jeder externen Unified Access Gateway-Instanz für alle Pods in der Flotte konfigurieren.

    Informationen zu Horizon-Pods finden Sie in der Dokumentation zu Unified Access Gateway, der Dokumentation zu VMware Horizon und der Dokumentation zu VMware Horizon 7.

    Informationen zu Horizon Cloud-Pods in Microsoft Azure finden Sie unter Hinzufügen einer Gateway-Konfiguration zu einem bereitgestellten Horizon Cloud-Pod und Aktivieren der Zwei-Faktor-Authentifizierung auf den Gateways eines Horizon Cloud-Pods.

  2. Konfigurieren Sie optional eine interne Unified Access Gateway-Instanz für jeden Pod. Um den Benutzerdatenverkehr an ihre internen bzw. externen DNS-Server weiterzuleiten, gehen Sie wie folgt vor:
    • Konfigurieren Sie eindeutige FQDNs für die internen und externen Unified Access Gateway-Instanzen im Pod.
    • Konfigurieren Sie denselben FQDN für die internen und externen Unified Access Gateway-Instanzen im Pod. Konfigurieren Sie dann geteilte DNS-Zonen für den FQDN des Lastausgleichsdiensts des Pods.
  3. (Nur Horizon-Pods) Konfigurieren Sie die erforderlichen JWT(JSON Web Token)-Einstellungen in jeder Unified Access Gateway-Instanz, damit die für Universal Broker erforderliche Tunnelserver- und Protokollumleitung unterstützt wird. Siehe Horizon-Pods – Konfigurieren von Unified Access Gateway für die Verwendung mit Universal Broker.
  4. Nehmen Sie auf der Seite Authentifizierung des Assistenten für die Universal Broker-Konfiguration die folgenden Einstellungen vor:
    1. Aktivieren Sie die Umschaltfläche Zwei-Faktor-Authentifizierung.
    2. Wählen Sie für Typ den Authentifizierungsdienst aus, den Sie auf allen externen Unified Access Gateway-Instanzen über Ihre Pods hinweg konfiguriert haben.
    3. Deaktivieren Sie den Schalter Zwei-Faktor-Authentifizierung überspringen.

    Siehe Konfigurieren von Universal Broker-Einstellungen.

Aktiveren der Zwei-Faktor-Authentifizierung nur für Benutzer im externen Netzwerk

  1. Führen Sie die Schritte 1 bis 3 wie im vorherigen Anwendungsfall „Aktiveren der Zwei-Faktor-Authentifizierung für Benutzer sowohl im externen als auch im internen Netzwerk“ beschrieben aus.
  2. Definieren Sie auf der Registerkarte Netzwerkbereiche auf der Seite Broker die öffentlichen IP-Adressen, die Ihr internes Netzwerk repräsentieren. Siehe Definieren interner Netzwerkbereiche für Universal Broker.
  3. Nehmen Sie auf der Seite Authentifizierung des Assistenten für die Universal Broker-Konfiguration die folgenden Einstellungen vor:
    1. Aktivieren Sie die Umschaltfläche Zwei-Faktor-Authentifizierung.
    2. Wählen Sie für Typ den Authentifizierungsdienst aus, den Sie auf allen externen Unified Access Gateway-Instanzen über Ihre Pods hinweg konfiguriert haben.
    3. Aktivieren Sie den Schalter Zwei-Faktor-Authentifizierung überspringen.

    Siehe Konfigurieren von Universal Broker-Einstellungen.