In diesem Thema werden die allgemeinen Schritte und Best Practices beschrieben, die Sie zum Konfigurieren der Zwei-Faktor-Authentifizierung für den Universal Broker-Dienst verwenden können.

Funktionsweise der Zwei-Faktor-Authentifizierung für Universal Broker

Standardmäßig authentifiziert Universal Broker Benutzer ausschließlich über ihren Active Directory-Benutzernamen und das zugehörige Kennwort. Sie können die optionale Zwei-Faktor-Authentifizierung implementieren, indem Sie einen zusätzlichen Authentifizierungsdienst angeben. Universal Broker unterstützt die folgenden Zwei-Faktor-Authentifizierungsdienste, abhängig von den Pod-Typen, die Sie in Ihrer Mandantenumgebung bereitgestellt haben.

  • Wenn Ihre Umgebung nur Horizon Cloud-Pods in Microsoft Azure enthält, unterstützt Universal Broker nur die Radius-Authentifizierung.
  • Wenn Ihre Umgebung nur Horizon-Pods auf einer VMware SDDC-basierten Plattform enthält, unterstützt Universal Broker sowohl Radius- als auch RSA SecurID-Authentifizierung.
  • Wenn Sie eine gemischte Umgebung haben, die sowohl Horizon Cloud-Pods in Microsoft Azure als auch Horizon-Pods auf einer VMware SDDC-basierten Plattform enthält, unterstützt Universal Broker nur die Radius-Authentifizierung.

Universal Broker stützt sich auf die Konfiguration der externen Unified Access Gateway-Instanzen innerhalb jedes teilnehmenden Pods, wenn eine Zwei-Faktor-Authentifizierung von Netzwerkbenutzern durchgeführt wird. Sie können zwar auch interne Unified Access Gateway-Instanzen für die Handhabung der Authentifizierung und Weiterleitung interner Netzwerkbenutzer konfigurieren, Universal Broker basiert seine Zwei-Faktor-Authentifizierung jedoch auf den Authentifizierungsdienst, der auf den externen Unified Access Gateway-Instanzen konfiguriert ist.

Hinweis: Sie müssen den entsprechenden Zwei-Faktor-Authentifizierungsdienst auf der externen Unified Access Gateway-Instanz für jeden teilnehmenden Pod konfigurieren. Die Konfigurationen aller externen Unified Access Gateway-Instanzen innerhalb eines teilnehmenden Pods müssen übereinstimmen und mit den Konfigurationen der externen Unified Access Gateway-Instanzen für alle anderen teilnehmenden Pods identisch sein. Andernfalls schlägt die Authentifizierung beim Universal Broker-Dienst fehl.

Wenn Sie beispielsweise die RADIUS-Authentifizierung für Ihre mit Universal Broker konfigurierten Horizon-Pods verwenden möchten, müssen Sie den identischen RADIUS-Dienst in jeder externen Unified Access Gateway-Instanz für alle teilnehmenden Horizon-Pods konfigurieren. Sie können nicht RADIUS auf einem Teil der teilnehmenden Pods und RSA SecurID auf dem anderen Teil der teilnehmenden Pods konfigurieren.

Aktiveren der Zwei-Faktor-Authentifizierung für Benutzer sowohl im externen als auch im internen Netzwerk

  1. Konfigurieren Sie für jeden Pod in Ihrer Universal Broker-Umgebung mindestens eine externe Unified Access Gateway-Instanz. Konfigurieren Sie den identischen Zwei-Faktor-Authentifizierungsdienst auf jeder externen Unified Access Gateway-Instanz über alle Pods hinweg.

    Befolgen Sie die Konfigurationsrichtlinien für Ihren spezifischen Anwendungsfall:

    • Wenn Ihre Umgebung nur aus Horizon-Pods besteht, konfigurieren Sie entweder den RADIUS- oder RSA SecurID-Dienst für jede externe Unified Access Gateway-Instanz über alle Pods hinweg.
    • Wenn Ihre Umgebung nur aus Horizon Cloud-Pods in Microsoft Azure besteht, konfigurieren Sie den RADIUS-Dienst auf jeder externen Unified Access Gateway-Instanz über alle Pods hinweg.
    • Konfigurieren Sie in einer Hybridumgebung, die eine Kombination aus Horizon-Pods und Horizon Cloud-Pods in Microsoft Azure enthält, den RADIUS-Dienst auf jeder externen Unified Access Gateway-Instanz über alle Pods hinweg.

    Informationen zu Horizon-Pods finden Sie in der Dokumentation zu Unified Access Gateway, der Dokumentation zu VMware Horizon und der Dokumentation zu VMware Horizon 7. Informationen zu Horizon Cloud-Pods in Microsoft Azure finden Sie unter Angeben der Horizon Cloud-Pod-Gateway-Konfiguration.

  2. Konfigurieren Sie optional eine interne Unified Access Gateway-Instanz für jeden Pod. Um den Benutzerdatenverkehr an ihre internen bzw. externen DNS-Server weiterzuleiten, gehen Sie wie folgt vor:
    • Konfigurieren Sie eindeutige FQDNs für die internen und externen Unified Access Gateway-Instanzen im Pod.
    • Konfigurieren Sie denselben FQDN für die internen und externen Unified Access Gateway-Instanzen im Pod. Konfigurieren Sie dann geteilte DNS-Zonen für den FQDN des Lastausgleichsdiensts des Pods.
  3. (Nur Horizon-Pods) Konfigurieren Sie die erforderlichen JWT(JSON Web Token)-Einstellungen in jeder Unified Access Gateway-Instanz, damit die für Universal Broker erforderliche Tunnelserver- und Protokollumleitung unterstützt wird. Siehe Horizon-Pods – Konfigurieren von Unified Access Gateway für die Verwendung mit Universal Broker.
  4. Nehmen Sie auf der Seite Authentifizierung des Assistenten für die Universal Broker-Konfiguration die folgenden Einstellungen vor:
    1. Aktivieren Sie den Schalter Zwei-Faktor-Authentifizierung.
    2. Wählen Sie für Typ den Authentifizierungsdienst aus, den Sie auf allen externen Unified Access Gateway-Instanzen über Ihre Pods hinweg konfiguriert haben.
    3. Deaktivieren Sie den Schalter Zwei-Faktor-Authentifizierung überspringen.

    Siehe Konfigurieren der Universal Broker-Einstellungen.

Aktiveren der Zwei-Faktor-Authentifizierung nur für Benutzer im externen Netzwerk

  1. Führen Sie die Schritte 1 bis 3 wie im vorherigen Anwendungsfall „Aktiveren der Zwei-Faktor-Authentifizierung für Benutzer sowohl im externen als auch im internen Netzwerk“ beschrieben aus.
  2. Definieren Sie auf der Registerkarte Netzwerkbereiche auf der Seite Broker die öffentlichen IP-Adressen, die Ihr internes Netzwerk repräsentieren. Siehe Definieren interner Netzwerkbereiche für Universal Broker.
  3. Nehmen Sie auf der Seite Authentifizierung des Assistenten für die Universal Broker-Konfiguration die folgenden Einstellungen vor:
    1. Aktivieren Sie den Schalter Zwei-Faktor-Authentifizierung.
    2. Wählen Sie für Typ den Authentifizierungsdienst aus, den Sie auf allen externen Unified Access Gateway-Instanzen über Ihre Pods hinweg konfiguriert haben.
    3. Aktivieren Sie den Schalter Zwei-Faktor-Authentifizierung überspringen.

    Siehe Konfigurieren der Universal Broker-Einstellungen.