Funktionsweise der Zwei-Faktor-Authentifizierung für Universal Broker

Standardmäßig authentifiziert Universal Broker Benutzer ausschließlich über ihren Active Directory-Benutzernamen und das zugehörige Kennwort. Sie können eine optionale Zwei-Faktoren-Authentifizierung implementieren, indem Sie einen zusätzlichen Authentifizierungsdienst angeben.

Ab Dienstversion 2203 unterstützt Universal Broker die folgenden Zwei-Faktor-Authentifizierungsdienste sowohl bei Horizon-Bereitstellungen als auch bei Horizon Cloud on Microsoft Azure-Bereitstellungen.

• RADIUS
• RSA SecurID

Universal Broker stützt sich auf die Konfiguration der externen Unified Access Gateway-Instanzen innerhalb jedes teilnehmenden Pods, wenn eine Zwei-Faktor-Authentifizierung von Netzwerkbenutzern durchgeführt wird. Sie können zwar auch interne Unified Access Gateway-Instanzen für die Handhabung der Authentifizierung und Weiterleitung interner Netzwerkbenutzer konfigurieren, Universal Broker basiert seine Zwei-Faktor-Authentifizierung jedoch auf den Authentifizierungsdienst, der auf den externen Unified Access Gateway-Instanzen konfiguriert ist.

Aktiveren der Zwei-Faktor-Authentifizierung für Benutzer sowohl im externen als auch im internen Netzwerk

1. Konfigurieren Sie für jeden Pod in Ihrer Universal Broker-Umgebung mindestens eine externe Unified Access Gateway-Instanz. Konfigurieren Sie den identischen Zwei-Faktor-Authentifizierungsdienst auf jeder externen Unified Access Gateway-Instanz über alle Pods hinweg.

   Befolgen Sie die Konfigurationsrichtlinien für Ihren spezifischen Anwendungsfall. Wenn die Flotte Ihres Mandanten über Folgendes verfügt:

   Nur Horizon-Pods

   Konfigurieren Sie entweder den RADIUS- oder den RSA SecurID-Dienst auf jeder externen Unified Access Gateway-Instanz in allen Pods.

   Nur Horizon Cloud on Microsoft Azure-Bereitstellungen

   Konfigurieren Sie denselben Zwei-Faktor-Authentifizierungsdienst auf jeder externen Unified Access Gateway-Instanz für alle Pods. Wenn alle Pods das Manifest 3139.x oder höher aufweisen und die Option „RSA SecurID“ in den Einstellungen für die Zwei-Faktor-Authentifizierung verfügbar ist, können Sie bei Ausführung des Assistenten „Pod bearbeiten“ auf den Pods alle Pods so konfigurieren, dass sie den RSA SecurID verwenden. Andernfalls ist RADIUS-Typ verfügbar.

   Mischung aus Horizon-Pods und Horizon Cloud on Microsoft Azure-Bereitstellungen

   In einer gemischten Flotte hängen die für Sie verfügbaren Optionen davon ab, ob Ihre Horizon Cloud on Microsoft Azure-Bereitstellungen die Bedingungen erfüllen, damit die Option „RSA SecurID“ für sie verfügbar ist.

   • Wenn Ihre Horizon Cloud on Microsoft Azure-Bereitstellungen die Bedingungen für die Konfiguration des RSA SecurID-Typs nicht erfüllen, können Sie den RADIUS-Dienst auf jeder externen Unified Access Gateway-Instanz für alle Pods in der Flotte konfigurieren.
   • Wenn Ihre Horizon Cloud on Microsoft Azure-Bereitstellungen die Bedingungen für die Konfiguration des RSA SecurID-Typs erfüllen, können Sie entweder RSA SecurID oder RADIUS auf jeder externen Unified Access Gateway-Instanz für alle Pods in der Flotte konfigurieren.

   Informationen zu Horizon-Pods finden Sie in der Dokumentation zu Unified Access Gateway, der Dokumentation zu VMware Horizon und der Dokumentation zu VMware Horizon 7.

   Informationen zu Horizon Cloud-Pods in Microsoft Azure finden Sie unter Hinzufügen einer Gateway-Konfiguration zu einem bereitgestellten Horizon Cloud-Pod und Aktivieren der Zwei-Faktor-Authentifizierung auf den Gateways eines Horizon Cloud-Pods.

2. Konfigurieren Sie optional eine interne Unified Access Gateway-Instanz für jeden Pod. Um den Benutzerdatenverkehr an ihre internen bzw. externen DNS-Server weiterzuleiten, gehen Sie wie folgt vor:
   • Konfigurieren Sie eindeutige FQDNs für die internen und externen Unified Access Gateway-Instanzen im Pod.
   • Konfigurieren Sie denselben FQDN für die internen und externen Unified Access Gateway-Instanzen im Pod. Konfigurieren Sie dann geteilte DNS-Zonen für den FQDN des Lastausgleichsdiensts des Pods.
3. (Nur Horizon-Pods) Konfigurieren Sie die erforderlichen JWT(JSON Web Token)-Einstellungen in jeder Unified Access Gateway-Instanz, damit die für Universal Broker erforderliche Tunnelserver- und Protokollumleitung unterstützt wird. Siehe Horizon-Pods – Konfigurieren von Unified Access Gateway für die Verwendung mit Universal Broker.
4. Nehmen Sie auf der Seite Authentifizierung des Assistenten für die Universal Broker-Konfiguration die folgenden Einstellungen vor:
   1. Aktivieren Sie die Umschaltfläche Zwei-Faktor-Authentifizierung.
   2. Wählen Sie für Typ den Authentifizierungsdienst aus, den Sie auf allen externen Unified Access Gateway-Instanzen über Ihre Pods hinweg konfiguriert haben.
   3. Deaktivieren Sie den Schalter Zwei-Faktor-Authentifizierung überspringen.

   Siehe Konfigurieren von Universal Broker-Einstellungen.

Aktiveren der Zwei-Faktor-Authentifizierung nur für Benutzer im externen Netzwerk

1. Führen Sie die Schritte 1 bis 3 wie im vorherigen Anwendungsfall „Aktiveren der Zwei-Faktor-Authentifizierung für Benutzer sowohl im externen als auch im internen Netzwerk“ beschrieben aus.
2. Definieren Sie auf der Registerkarte Netzwerkbereiche auf der Seite Broker die öffentlichen IP-Adressen, die Ihr internes Netzwerk repräsentieren. Siehe Definieren interner Netzwerkbereiche für Universal Broker.
3. Nehmen Sie auf der Seite Authentifizierung des Assistenten für die Universal Broker-Konfiguration die folgenden Einstellungen vor:
   1. Aktivieren Sie die Umschaltfläche Zwei-Faktor-Authentifizierung.
   2. Wählen Sie für Typ den Authentifizierungsdienst aus, den Sie auf allen externen Unified Access Gateway-Instanzen über Ihre Pods hinweg konfiguriert haben.
   3. Aktivieren Sie den Schalter Zwei-Faktor-Authentifizierung überspringen.

   Siehe Konfigurieren von Universal Broker-Einstellungen.