In diesem Thema werden die allgemeinen Schritte und Best Practices beschrieben, die Sie zum Konfigurieren der Zwei-Faktor-Authentifizierung für den Universal Broker-Dienst verwenden können.
Funktionsweise der Zwei-Faktor-Authentifizierung für Universal Broker
Standardmäßig authentifiziert Universal Broker Benutzer ausschließlich über ihren Active Directory-Benutzernamen und das zugehörige Kennwort. Sie können eine optionale Zwei-Faktoren-Authentifizierung implementieren, indem Sie einen zusätzlichen Authentifizierungsdienst angeben.
Ab Dienstversion 2203 unterstützt Universal Broker die folgenden Zwei-Faktor-Authentifizierungsdienste sowohl bei Horizon-Bereitstellungen als auch bei Horizon Cloud on Microsoft Azure-Bereitstellungen.
- RADIUS
- RSA SecurID
Universal Broker stützt sich auf die Konfiguration der externen Unified Access Gateway-Instanzen innerhalb jedes teilnehmenden Pods, wenn eine Zwei-Faktor-Authentifizierung von Netzwerkbenutzern durchgeführt wird. Sie können zwar auch interne Unified Access Gateway-Instanzen für die Handhabung der Authentifizierung und Weiterleitung interner Netzwerkbenutzer konfigurieren, Universal Broker basiert seine Zwei-Faktor-Authentifizierung jedoch auf den Authentifizierungsdienst, der auf den externen Unified Access Gateway-Instanzen konfiguriert ist.
Wenn Sie beispielsweise die RADIUS-Authentifizierung für Ihre mit Universal Broker konfigurierten Horizon-Pods verwenden möchten, müssen Sie den identischen RADIUS-Dienst in jeder externen Unified Access Gateway-Instanz für alle teilnehmenden Horizon-Pods konfigurieren. Sie können nicht RADIUS auf einem Teil der teilnehmenden Pods und RSA SecurID auf dem anderen Teil der teilnehmenden Pods konfigurieren.
Aktiveren der Zwei-Faktor-Authentifizierung für Benutzer sowohl im externen als auch im internen Netzwerk
- Konfigurieren Sie für jeden Pod in Ihrer Universal Broker-Umgebung mindestens eine externe Unified Access Gateway-Instanz. Konfigurieren Sie den identischen Zwei-Faktor-Authentifizierungsdienst auf jeder externen Unified Access Gateway-Instanz über alle Pods hinweg.
Befolgen Sie die Konfigurationsrichtlinien für Ihren spezifischen Anwendungsfall. Wenn die Flotte Ihres Mandanten über Folgendes verfügt:
- Nur Horizon-Pods
- Konfigurieren Sie entweder den RADIUS- oder den RSA SecurID-Dienst auf jeder externen Unified Access Gateway-Instanz in allen Pods.
- Nur Horizon Cloud on Microsoft Azure-Bereitstellungen
- Konfigurieren Sie denselben Zwei-Faktor-Authentifizierungsdienst auf jeder externen Unified Access Gateway-Instanz für alle Pods. Wenn alle Pods das Manifest 3139.x oder höher aufweisen und die Option „RSA SecurID“ in den Einstellungen für die Zwei-Faktor-Authentifizierung verfügbar ist, können Sie bei Ausführung des Assistenten „Pod bearbeiten“ auf den Pods alle Pods so konfigurieren, dass sie den RSA SecurID verwenden. Andernfalls ist RADIUS-Typ verfügbar.
- Mischung aus Horizon-Pods und Horizon Cloud on Microsoft Azure-Bereitstellungen
-
In einer gemischten Flotte hängen die für Sie verfügbaren Optionen davon ab, ob Ihre
Horizon Cloud on Microsoft Azure-Bereitstellungen die Bedingungen erfüllen, damit die Option „RSA SecurID“ für sie verfügbar ist.
- Wenn Ihre Horizon Cloud on Microsoft Azure-Bereitstellungen die Bedingungen für die Konfiguration des RSA SecurID-Typs nicht erfüllen, können Sie den RADIUS-Dienst auf jeder externen Unified Access Gateway-Instanz für alle Pods in der Flotte konfigurieren.
- Wenn Ihre Horizon Cloud on Microsoft Azure-Bereitstellungen die Bedingungen für die Konfiguration des RSA SecurID-Typs erfüllen, können Sie entweder RSA SecurID oder RADIUS auf jeder externen Unified Access Gateway-Instanz für alle Pods in der Flotte konfigurieren.
Informationen zu Horizon-Pods finden Sie in der Dokumentation zu Unified Access Gateway, der Dokumentation zu VMware Horizon und der Dokumentation zu VMware Horizon 7.
Informationen zu Horizon Cloud-Pods in Microsoft Azure finden Sie unter Hinzufügen einer Gateway-Konfiguration zu einem bereitgestellten Horizon Cloud-Pod und Aktivieren der Zwei-Faktor-Authentifizierung auf den Gateways eines Horizon Cloud-Pods.
- Konfigurieren Sie optional eine interne Unified Access Gateway-Instanz für jeden Pod. Um den Benutzerdatenverkehr an ihre internen bzw. externen DNS-Server weiterzuleiten, gehen Sie wie folgt vor:
- Konfigurieren Sie eindeutige FQDNs für die internen und externen Unified Access Gateway-Instanzen im Pod.
- Konfigurieren Sie denselben FQDN für die internen und externen Unified Access Gateway-Instanzen im Pod. Konfigurieren Sie dann geteilte DNS-Zonen für den FQDN des Lastausgleichsdiensts des Pods.
- (Nur Horizon-Pods) Konfigurieren Sie die erforderlichen JWT(JSON Web Token)-Einstellungen in jeder Unified Access Gateway-Instanz, damit die für Universal Broker erforderliche Tunnelserver- und Protokollumleitung unterstützt wird. Siehe Horizon-Pods – Konfigurieren von Unified Access Gateway für die Verwendung mit Universal Broker.
- Nehmen Sie auf der Seite Authentifizierung des Assistenten für die Universal Broker-Konfiguration die folgenden Einstellungen vor:
- Aktivieren Sie die Umschaltfläche Zwei-Faktor-Authentifizierung.
- Wählen Sie für Typ den Authentifizierungsdienst aus, den Sie auf allen externen Unified Access Gateway-Instanzen über Ihre Pods hinweg konfiguriert haben.
- Deaktivieren Sie den Schalter Zwei-Faktor-Authentifizierung überspringen.
Aktiveren der Zwei-Faktor-Authentifizierung nur für Benutzer im externen Netzwerk
- Führen Sie die Schritte 1 bis 3 wie im vorherigen Anwendungsfall „Aktiveren der Zwei-Faktor-Authentifizierung für Benutzer sowohl im externen als auch im internen Netzwerk“ beschrieben aus.
- Definieren Sie auf der Registerkarte Netzwerkbereiche auf der Seite Broker die öffentlichen IP-Adressen, die Ihr internes Netzwerk repräsentieren. Siehe Definieren interner Netzwerkbereiche für Universal Broker.
- Nehmen Sie auf der Seite Authentifizierung des Assistenten für die Universal Broker-Konfiguration die folgenden Einstellungen vor:
- Aktivieren Sie die Umschaltfläche Zwei-Faktor-Authentifizierung.
- Wählen Sie für Typ den Authentifizierungsdienst aus, den Sie auf allen externen Unified Access Gateway-Instanzen über Ihre Pods hinweg konfiguriert haben.
- Aktivieren Sie den Schalter Zwei-Faktor-Authentifizierung überspringen.