Im Assistenten für die Pod-Bereitstellung können Sie im Schritt zur Angabe der Unified Access Gateway-Konfigurationen für den Zugriff Ihrer Endbenutzer auf ihre Desktops und Anwendungen über diese Gateway-Konfigurationen auch die Verwendung der Zwei-Faktor-Authentifizierung festlegen. Sie können die Details der Zwei-Faktor-Authentifizierung festlegen, nachdem Sie die Details für die Unified Access Gateway-Konfiguration angegeben haben.

Wenn im Assistenten Details für die Zwei-Faktor-Authentifizierung für eine Gateway-Konfiguration angegeben werden, konfiguriert der Pod-Bereitsteller während des Pod-Bereitstellungsvorgangs die entsprechenden bereitgestellten Unified Access Gateway-Appliances der Gateway-Konfiguration mit den angegebenen Informationen für die Zwei-Faktor-Authentifizierung. Wie in der Dokumentation zu Unified Access Gateway beschrieben, authentifizieren die Unified Access Gateway-Appliances, wenn die Unified Access Gateway-Appliances für die Zwei-Faktor-Authentifizierung konfiguriert sind, die eingehenden Benutzersitzungen gemäß den von Ihnen festgelegten Richtlinien für die Zwei-Faktor-Authentifizierung. Nach der Authentifizierung einer Benutzersitzung durch Unified Access Gateway gemäß der von Ihnen festgelegten Authentifizierungsrichtlinie leitet Unified Access Gateway die Anforderung des Endbenutzer-Clients zum Starten eines Desktops oder einer Anwendung an die bereitgestellten Pod-Manager-VMs weiter, um einen verfügbaren Desktop oder eine Anwendung an den Client zu vermitteln.
Wichtig: Wenn Sie nach der Bereitstellung des Pods planen, Ihren Mandanten für die Verwendung von Universal Broker zu konfigurieren, und Sie den Pod mit einer externen Gateway-Konfiguration mit Einstellungen für die Zwei-Faktor-Authentifizierung bereitgestellt haben und Sie außerdem den Pod mit einer internen Gateway-Konfiguration bereitgestellt haben, sind möglicherweise zusätzliche Schritte nach der Bereitstellung erforderlich, um sicherzustellen, dass Universal Broker zwischen einem externen Endbenutzer und einem internen Endbenutzer unterscheiden kann, damit Ihre Einstellungen für die Zwei-Faktor-Authentifizierung ordnungsgemäß angewendet werden können. Weitere Informationen finden Sie unter Best Practices bei der Implementierung der Zwei-Faktor-Authentifizierung in einer Universal Broker-Umgebung.

Voraussetzungen

Vergewissern Sie sich, dass die in Voraussetzungen für das Ausführen des Pod-Bereitstellungsassistenten beschriebenen Voraussetzungen erfüllt sind.

Stellen Sie für die externe oder interne Unified Access Gateway-Konfiguration, für die Sie die Details der Zwei-Faktor-Authentifizierung eingeben, sicher, dass Sie im Assistenten die Felder für die Unified Access Gateway-Konfiguration wie unter Angeben der Horizon Cloud-Pod-Gateway-Konfiguration beschrieben ausgefüllt haben. Bei der Konfiguration der Zwei-Faktor-Authentifizierung bei einem lokalen Authentifizierungsserver geben Sie auch die Informationen in den folgenden Feldern an, sodass die Unified Access Gateway-Instanzen Routen zu diesem lokalen Server auflösen können.

Option Beschreibung
DNS-Adressen Geben Sie eine oder mehrere DNS-Server-Adressen an, die den Namen Ihres lokalen Authentifizierungsservers auflösen können.
Routen Geben Sie eine oder mehrere weitere benutzerdefinierte Routen an, die es den Unified Access Gateway-Instanzen des Pods ermöglichen, Netzwerkrouten auf Ihrem lokalen Authentifizierungsserver aufzulösen.

Beispiel: Wenn Sie einen lokalen RADIUS-Server haben, der 10.10.60.20 als IP-Adresse verwendet, würden Sie 10.10.60.0/24 und Ihre standardmäßige Route-Gateway-Adresse als benutzerdefinierte Route verwenden. Sie können Ihre standardmäßige Route-Gateway-Adresse über die Express-Route oder VPN-Konfiguration für diese Umgebung ermitteln.

Geben Sie die benutzerdefinierten Routen als eine durch Kommas getrennte Liste in der Form ipv4-network-address/bits ipv4-gateway-address an, z. B.: 192.168.1.0/24 192.168.0.1, 192.168.2.0/24 192.168.0.2.

Stellen Sie sicher, dass Sie über die folgenden bei der Konfiguration Ihres Authentifizierungsservers verwendeten Informationen verfügen, damit Sie diese in den jeweiligen Feldern im Pod-Bereitstellungsassistenten angeben können. Wenn Sie über einen primären und einen sekundären Server verfügen, ermitteln Sie die Informationen für beide Server.

  • IP-Adresse oder DNS-Name des Authentifizierungsservers
  • Der gemeinsame geheime Schlüssel, der für die Ver- und Entschlüsselung der Protokollmeldungen des Authentifizierungsservers verwendet wird
  • Nummer des Authentifizierungsports, in der Regel der UDP-Port 1812.
  • Art des Authentifizierungs-Protokolls. Zu den Authentifizierungstypen zählen PAP (Password Authentication Protocol), CHAP (Challenge Handshake Authentication Protocol), MSCHAP1, MSCHAP2 (Microsoft Challenge Handshake Authentication Protocol, Version 1 und 2).
    Hinweis: Prüfen Sie in der Dokumentation Ihres RADIUS-Anbieters, welches Authentifizierungsprotokoll der RADIUS-Anbieter empfiehlt, und verwenden Sie den angegebenen Protokolltyp. Die Pod-Funktionalität zur Unterstützung der Zwei-Faktor-Authentifizierung mit RADIUS wird von den Unified Access Gateway-Instanzen bereitgestellt. Unified Access Gateway unterstützt PAP, CHAP, MSCHAP1 und MSCHAP2. PAP ist in der Regel weniger sicher als MSCHAP2. PAP ist auch ein einfacheres Protokoll als MSCHAP2. Obwohl die meisten RADIUS-Anbieter mit dem einfacheren PAP-Protokoll kompatibel sind, bieten einige RADIUS-Anbieter daher weniger Kompatibilität mit dem sichereren MSCHAP2.

Prozedur

  1. Aktivieren Sie den Schalter 2-Faktor-Authentifizierung aktivieren?.
    Wenn der Schalter aktiviert ist, zeigt der Assistent die zusätzlichen Konfigurationsfelder an. Verwenden Sie die Bildlaufleiste, um auf alle Felder zuzugreifen.

    Der folgende Screenshot zeigt beispielhaft, wie die Anzeige aussieht, nachdem Sie den Schalter im Abschnitt Externes UAG aktiviert haben.

    Horizon Cloud on Microsoft Azure: Felder für 2-Faktor-RADIUS-Authentifizierung des Pod-Bereitstellungsassistenten
  2. Wählen Sie Ihre Zwei-Faktor-Authentifizierungsmethode in der Dropdown-Liste aus.
    In dieser Version wird die RADIUS-Authentifizierung unterstützt.
  3. Geben Sie im Feld Name einen eindeutigen Namen für diese Konfiguration an.
  4. Legen Sie im Abschnitt „Eigenschaften“ Details zur Interaktion der Endbenutzer mit dem Anmeldebildschirm fest, über den sie sich für den Zugriff authentifizieren.
    Option Beschreibung
    Anzeigename Sie können dieses Feld leer lassen. Obwohl dieses Feld im Assistenten angezeigt wird, legt es nur einen internen Namen in Unified Access Gateway fest. Dieser Name wird nicht von Horizon-Clients verwendet.
    Anzeigehinweis Geben Sie optional eine Textzeichenfolge ein, die den Endbenutzern in der Meldung auf dem Anmeldebildschirm für Endbenutzerclients angezeigt wird, wenn der Benutzer zur Eingabe von RADIUS-Benutzername und Kennung aufgefordert wird. Der angegebene Hinweis wird dem Endbenutzer als Enter your DisplayHint user name and passcode angezeigt, wobei DisplayHint der Text ist, den Sie in diesem Feld angeben.

    Dieser Hinweis hilft Benutzern bei der Angabe der richtigen RADIUS-Kennung. Beispiel: Sie geben Benutzername und Domänenkennwort für Beispielunternehmen unten an. In diesem Fall wird dem Endbenutzer die Eingabeaufforderung Enter your Example Company user name and domain password below for user name and passcode angezeigt.

    Suffix für Namens-ID Diese Einstellung wird in SAML-Szenarios verwendet, in denen Ihr Pod für die Verwendung von TrueSSO für Single Sign-On konfiguriert ist. Geben Sie optional eine Zeichenfolge ein, die das System an den SAML-Assertion-Benutzernamen anhängt, der an den Broker gesendet wird. Beispiel: Wenn der Benutzername im Anmeldebildschirm als user1 eingegeben wird und hier ein Suffix für die Namens-ID von @example.com angegeben wurde, sendet das System einen SAML-Assertion-Benutzernamen vonuser1@example.com an den Broker.
    Anzahl an Wiederholungen Geben Sie die maximale Anzahl der fehlgeschlagenen Anmeldeversuche ein, die ein Benutzer hat, wenn er versucht, sich über dieses RADIUS-System anzumelden.
    Benutzernamen beibehalten Aktivieren Sie diesen Schalter, um den RADIUS-Benutzernamen des Benutzers während der Authentifizierung bei Horizon Cloud beizubehalten. Falls aktiviert:
    • muss der Benutzer über dieselben Anmeldedaten für RADIUS wie für die Active Directory-Authentifizierung für Horizon Cloud verfügen.
    • Kann der Benutzer den Benutzernamen auf dem Anmeldebildschirm nicht ändern.

    Wenn diese Umschaltoption deaktiviert wird, kann der Benutzer auf dem Anmeldebildschirm einen anderen Benutzernamen eingeben.

    Hinweis: Informationen zur Beziehung zwischen der Aktivierung von Benutzername beibehalten und den Domänensicherheitseinstellungen in Horizon Cloud finden Sie unter dem Thema Domänensicherheitseinstellungen auf der Seite „Allgemeine Einstellungen“ im Horizon Cloud-Administratorhandbuch.
  5. Geben Sie im Abschnitt „Primärer Server“ Details zum Authentifizierungsserver an.
    Option Beschreibung
    Hostname/IP-Adresse Geben Sie den DNS-Namen oder die IP-Adresse des Authentifizierungsservers ein.
    Gemeinsamer geheimer Schlüssel Geben Sie den geheimen Schlüssel für die Kommunikation mit dem Authentifizierungsserver ein. Der Wert muss mit dem für den Server konfigurierten Wert übereinstimmen.
    Authentifizierungsport Legen Sie den auf dem Authentifizierungsserver konfigurierten UDP-Port fest, der für das Senden oder Empfangen von Authentifizierungsdatenverkehr verwendet wird. Der Standardwert ist 1812.
    Kontoführungsport Legen Sie optional den auf dem Authentifizierungsserver konfigurierten UDP-Port fest, der für das Senden oder Empfangen von Planungs- und Finanzdatenverkehr verwendet wird. Der Standardwert ist 1813.
    Vorgang Wählen Sie das Authentifizierungsprotokoll, das vom angegebenen Authentifizierungsserver unterstützt wird und das der bereitgestellte Pod verwenden soll.
    Zeitüberschreitung des Servers Geben Sie die Anzahl der Sekunden ein, die der Pod auf eine Antwort vom Authentifizierungsserver warten soll. Wenn diese Sekunden verstrichen sind, wird das Senden wiederholt, wenn keine Antwort durch den Server erfolgte.
    Maximale Anzahl erneuter Versuche Geben Sie die maximale Anzahl der erneuten Versuche bei fehlgeschlagenen Anforderungen an den Authentifizierungsserver an.
    Bereichspräfix Geben Sie optional eine Zeichenfolge ein, die das System am Anfang des Benutzernamens einfügt, wenn der Name an den Authentifizierungsserver gesendet wird. Die Position des Benutzerkontos wird „Realm“ genannt.

    Beispiel: Wenn der Benutzername im Anmeldebildschirm als user1 eingegeben wird und hier ein Bereichspräfix von DOMAIN-A\ angegeben wurde, sendet das System DOMAIN-A\user1 an den Authentifizierungsserver. Wenn Sie keinen Bereichspräfix angeben, wird nur der eingegebene Benutzername gesendet.

    Bereichssuffix Geben Sie optional eine Zeichenfolge ein, die das System an den Benutzernamen anhängt, wenn der Name an den Authentifizierungsserver gesendet wird. Beispiel: Wenn der Benutzername im Anmeldebildschirm als user1 eingegeben wird und hier ein Bereichssuffix von @example.com angegeben wurde, sendet das System user1@example.com an den Authentifizierungsserver.
  6. (Optional) Geben Sie im Abschnitt „Sekundärer Server“ Details zu einem Hilfs-Authentifizierungsserver an.
    Sie können einen sekundären Authentifizierungsserver konfigurieren, um für Hochverfügbarkeit zu sorgen. Aktivieren Sie den Schalter Hilfsserver und füllen Sie die Felder wie im Abschnitt Schritt 5 beschrieben aus.