Unified Access Gateway se puede implementar con Horizon 8.

Requisitos previos

Si desea tener Horizon y una instancia de proxy inverso de web como Workspace ONE Access configurados y habilitados en la misma instancia de Unified Access Gateway, consulte Configuración avanzada del servicio perimetral.

Procedimiento

  1. En la sección Configuración manual de la IU del administrador, haga clic en Seleccionar.
  2. En Configuración general, active la opción Configuración del servicio perimetral.
  3. Haga clic en el icono de engranaje de Configuración de Horizon.
  4. En la página Configuración de Horizon, active la opción Habilitar Horizon para habilitar la configuración de Horizon.
  5. Configure los siguientes recursos de las opciones del servicio perimetral de Horizon:

    Opción

    Descripción

    Identificador

    Se establece de forma predeterminada como Horizon. Unified Access Gateway se puede comunicar con servidores que utilizan el protocolo XML de Horizon, como el servidor de conexión de Horizon.

    URL del servidor de conexión

    Introduzca la dirección del servidor de Horizon. Por ejemplo, https://00.00.00.00.

    Para mantener la alta disponibilidad, asegúrese de tener al menos dos instancias de Unified Access Gateway y especifique servidores de conexión diferentes como destinos para la URL del servidor de conexión. Unified Access Gateway puede detectar si su servidor de conexión de destino no responde y notifica al equilibrador de carga externo que ya no puede controlar nuevas conexiones.

    Para obtener más información, consulte Servidores de conexión de equilibrio de carga en VMware Tech Zone.

    Huella digital de URL del servidor de conexión

    Nota: Debe especificar una huella digital solo si el certificado de servidor SSL del servidor de conexión no lo emite una CA de confianza. Por ejemplo, un certificado autofirmado o un certificado emitido por una CA interna.

    Introduzca la lista de huellas digitales del servidor de Horizon en formato de dígitos hexadecimales.

    Una huella digital tiene el formato [alg=]xx:xx... donde alg puede ser sha1 (valor predeterminado), sha256, sha384 y sha512 o md5, y xx son dígitos hexadecimales. El algoritmo hash debe cumplir los requisitos especificados para el tamaño de hash mínimo. Si se agregan varias huellas digitales, deben estar separadas por comas. El separador puede ser un espacio, dos puntos (:) o ningún separador.

    Por ejemplo, sha1=C3 89 A2 19 DC 7A 48 2B 85 1C 81 EC 5E 8F 6A 3C 33 F2 95 C3, sha256=ad:5c:f1:48:47:94:7e:80:82:73:13:6c:83:52:b:e:78:ed:ff:50:23:56:a8:42:8a:d9:30:fc:3a:33:d6:c6:db, sha512=2221B24DC78018A8FAFF81B7AD348722390793DE8C0E5E5AA1D622BCC951D4DA5DBB1C76C79A258A7AFBD1727447151C90E1733E7E83A7D1D46ADF1A31C78496.

    Las huellas digitales del certificado se pueden configurar para la validación del certificado del servidor devuelto en la comunicación entre Unified Access Gateway y Horizon Connection Server.

    Esta opción se puede configurar durante la implementación de PowerShell agregando el parámetro proxyDestinationUrlThumbprints en la sección [Horizon] del archivo ini. Consulte Ejecutar un script de PowerShell para implementar Unified Access Gateway.

    Respetar el redireccionamiento de Connection Server

    Cuando el agente de Horizon envía un código de respuesta de redireccionamiento HTTP 307 y la opción Respetar el redireccionamiento de Connection Server está activada, Unified Access Gateway se comunica con la URL especificada en el encabezado de ubicación de respuesta 307 para las solicitudes actuales y futuras de la sesión.

    Si la casilla de verificación Habilitar redireccionamiento de host está seleccionada en Connection Server, asegúrese de activar la opción Respetar el redireccionamiento de Connection Server en Unified Access Gateway. Para obtener más información, consulte Habilitar redireccionamiento de host en la guía de Instalación y actualización de Horizon en VMware Docs.

    Habilitar PCOIP

    Active esta opción para especificar si la puerta de enlace segura de PCoIP está habilitada.

    Deshabilitar certificado heredado PCOIP

    Active esta opción para especificar que se usará el certificado de servidor SSL cargado en lugar del certificado heredado. Los clientes PCoIP heredados no funcionarán si esta opción está activada.

    URL externa de PCoIP

    URL utilizada por los clientes de Horizon para establecer la sesión PCoIP de Horizon en este dispositivo de Unified Access Gateway. Debe contener una dirección IPv4 y no un nombre de host. Por ejemplo, 10.1.2.3:4172. El valor predeterminado es la dirección IP de Unified Access Gateway y el puerto 4172.

    Habilitar Blast

    Active esta opción para utilizar la puerta de enlace segura de Blast.

    URL externa de Blast

    URL utilizada por Horizon Client para establecer la sesión de Horizon Blast o BEAT a este dispositivo de Unified Access Gateway. Por ejemplo, https://uag1.myco.com o https://uag1.myco.com:443.

    Si no se especifica el número de puerto TCP, el puerto TCP predeterminado es el puerto 8443. Si no se especifica el número de puerto UDP, el puerto UDP predeterminado es también el puerto 8443.

    Conexión inversa de Blast habilitada

    Active esta opción para habilitar la conexión inversa de Blast.

    Restricción: Esta opción se agrega para un caso práctico futuro.

    Modo de IP de servidor de conexión

    Indica el modo IP de una instancia de Horizon Connection Server.

    Este campo puede tener los siguientes valores: IPv4, IPv6 y IPv4+IPv6.

    El valor predeterminado es IPv4.

    • Si todas las NIC del dispositivo Unified Access Gateway están en modo IPv4 (no en modo IPv6), este campo puede tener uno de los siguientes valores: IPv4 o IPv4+IPv6 (modo mixto).

    • Si todas las NIC del dispositivo Unified Access Gateway están en modo IPv6 (no en modo IPv4), este campo puede tener uno de los siguientes valores: IPv6 o IPv4+IPv6 (modo mixto).

    Modo de cifrado de cliente

    Indica el modo de cifrado para las comunicaciones entre Horizon Client, Unified Access Gateway y Horizon Connection Server.

    Los valores de esta opción son DISABLED, ALLOWED y REQUIRED. El valor predeterminado es ALLOWED.

    • DISABLED: la opción Client Encryption Mode está deshabilitada.

      Cuando se deshabilita, el comportamiento existente continúa. En las versiones de Unified Access Gateway anteriores a la 2111, se permite la comunicación no cifrada entre Horizon Client, Unified Access Gateway y Horizon Connection Server.

    • ALLOWED: con Horizon Client 2111 o una versión posterior, Unified Access Gateway solo permite la comunicación cifrada con Horizon Client y Horizon Connection Server.

      Con las versiones anteriores de Horizon Client, se permite la comunicación no cifrada. Este comportamiento es similar a cuando la función está deshabilitada.

    • REQUIRED: solo se permite la comunicación cifrada entre los tres componentes.

      Nota: Si se utiliza una versión anterior de Horizon Client en este modo cifrado, se produce un error en la comunicación no cifrada y el usuario final no puede iniciar las aplicaciones y los escritorios de Horizon.

    Habilitar firma XML

    Indica el modo de firma de XML. Los valores de esta opción son AUTO, ON y OFF. De forma predeterminada, la firma XML está desactivada.
    Restricción: Esta opción se agrega para un caso práctico futuro.

    Encabezado de origen de reescritura

    Si una solicitud entrante a Unified Access Gateway tiene el encabezado Origin y la opción Encabezado de origen de reescritura está activada, Unified Access Gateway vuelve a escribir el encabezado Origin con la URL del servidor de conexión.

    La opción Encabezado de origen de reescritura funciona junto con la propiedad checkOrigin CORS de Horizon Connection Server. Cuando este campo está habilitado, el administrador de Horizon puede omitir la necesidad de especificar direcciones IP de Unified Access Gateway en el archivo locked.properties.

    Para obtener información sobre la comprobación de origen, consulte la documentación de Seguridad de Horizon.

  6. Para configurar la función del método de autenticación y otras opciones avanzadas, haga clic en Más.

    Opción

    Descripción

    Métodos de autenticación

    El método predeterminado es la autenticación pass-through del nombre de usuario y la contraseña.

    Se admiten los siguientes métodos de autenticación: Passthrough, SAML, SAML and Passthrough, SAML and Unauthenticated, SecurID, SecurID and Unauthenticated, X.509 Certificate, X.509 Certificate and Passthrough, Device X.509 Certificate and Passthrough, RADIUS, RADIUS and Unauthenticated y X.509 Certificate or RADIUS.

    Importante:

    Si ha elegido cualquiera de los métodos de Unauthenticated como método de autenticación, asegúrese de configurar el Nivel de ralentización de inicio de sesión de Horizon Connection Server en Low. Esta configuración es necesaria para evitar un retraso prolongado en el tiempo de inicio de sesión de los endpoints al acceder a la aplicación o al escritorio remotos.

    Para obtener más información sobre cómo configurar el Nivel de ralentización de inicio de sesión, consulte Configurar la ralentización del inicio de sesión del acceso no autenticado a las aplicaciones publicadas en la guía de Administración de Horizon en VMware Docs.

    Habilitar SSO de Windows

    Esta opción se puede utilizar cuando Métodos de autenticación se establece en RADIUS y cuando el código de acceso de RADIUS es el mismo que la contraseña de dominio de Windows.

    Active la opción para utilizar el nombre de usuario y el código de acceso de RADIUS para las credenciales de inicio de sesión del dominio de Windows a fin de evitar tener que volver a preguntar al usuario.

    Si Horizon se configura en un entorno de varios dominios, si el nombre de usuario proporcionado no contiene un nombre de dominio, el dominio no se enviará a CS.

    Si el sufijo NameID está configurado y el nombre de usuario proporcionado no contiene un nombre de dominio, el valor del sufijo NameID de la configuración se anexará al nombre de usuario. Por ejemplo, si un usuario proporcionó jdoe como nombre de usuario y NameIDSuffix está establecido en @north.int, el nombre de usuario enviado será jdoe@north.int.

    Si el sufijo NameID está configurado y si el nombre de usuario proporcionado tiene el formato UPN, se omitirá el sufijo NameID. Por ejemplo, si un usuario proporcionó jdoe@north.int, NameIDSuffix-@south.int, el nombre de usuario será jdoe@north.int

    Si el nombre de usuario proporcionado tiene el formato <DomainName\username>, por ejemplo, NORTH\jdoe, Unified Access Gateway envía el nombre de usuario y el nombre de dominio por separado a CS.

    Atributos de clase de RADIUS

    Este campo está habilitado cuando los métodos de autenticación se establecen en RADIUS. Haga clic en "+" para agregar un valor para el atributo de clase. Introduzca el nombre del atributo de clase que se utilizará para la autenticación de usuario. Haga clic en "-" para eliminar un atributo de clase.

    Nota:

    Si este campo se deja en blanco, no se realizará la autorización adicional.

    Texto de renuncia de responsabilidad

    El texto del mensaje de exención de responsabilidades de Horizon que se muestra al usuario y que acepta el usuario en caso de que se configure el Método de autenticación.

    Solicitud de la sugerencia de tarjeta inteligente

    Active esta opción para habilitar la sugerencia de contraseña para la autenticación del certificado.

    Ruta de acceso URI de comprobación de estado

    La ruta de acceso URI del servidor de conexión al que se conecta Unified Access Gateway para supervisar el estado.

    Habilitar servidor UDP

    Si la red es pobre, las conexiones se establecen a través del servidor del túnel UDP.

    Cuando Horizon Client envía solicitudes a través de UDP, Unified Access Gateway recibe la dirección IP de origen de estas solicitudes como 127.0.0.1. Unified Access Gateway envía la misma dirección IP de origen a Horizon Connection Server.

    Para asegurarse de que el servidor de conexión reciba la dirección IP de origen real de la solicitud, debe deshabilitar esta opción (Habilitar servidor UDP) en la interfaz de usuario del administrador de Unified Access Gateway.

    Certificado de proxy de Blast

    Certificado de proxy para Blast. Haga clic en Seleccionar para cargar un certificado en formato PEM y agregarlo al almacén de confianza de BLAST. Haga clic en Cambiar para sustituir el certificado existente.

    Si el usuario carga manualmente el mismo certificado para Unified Access Gateway en el equilibrador de carga y necesita utilizar un certificado diferente para Unified Access Gateway y Blast Gateway, el establecimiento de una sesión de escritorio de Blast fallará, ya que la huella digital entre el cliente y Unified Access Gateway no coincide. La introducción de una huella digital personalizada en Unified Access Gateway o Blast Gateway resuelve este problema mediante la retransmisión de la huella digital para establecer la sesión del cliente.

    Valores de encabezado de host permitidos por Blast

    Introduzca una dirección IP o un nombre de host

    Al especificar un valor de encabezado de host, BSG (puerta de enlace segura de Blast) solo permite las solicitudes que contienen el valor de encabezado de host especificado.

    Se puede especificar una lista de valores separados por comas en el formato host[:port]. El valor puede ser una dirección IP, un nombre de host o un nombre de FQDN.

    El encabezado del host en la solicitud de conexión del puerto TCP 8443 de Blast a la puerta de enlace segura de Blast debe coincidir con uno de los valores proporcionados en el campo.

    Para permitir una solicitud que no tenga un nombre de host o una dirección IP en el encabezado del host, utilice _empty_.

    Si no se especifica ningún valor, se aceptará cualquier encabezado de host enviado por Horizon Client.

    Habilitar túnel

    Si se utiliza el túnel seguro de Horizon, active esta opción. El cliente utiliza la URL externa para conexiones de túnel a través de la puerta de enlace segura de Horizon. El túnel se utiliza para RDP, USB y tráfico de redirección multimedia (MMR).

    URL externa de túnel

    URL utilizada por los clientes de Horizon para establecer la sesión de Horizon Tunnel en este dispositivo Unified Access Gateway. Por ejemplo, https://uag1.myco.com o https://uag1.myco.com:443.

    Si no se especifica el número de puerto TCP, el puerto TCP predeterminado es el puerto 443.

    Certificado de proxy de Tunnel

    Certificado de proxy para Horizon Tunnel. Haga clic en Seleccionar para cargar un certificado en formato PEM y agregarlo al almacén de confianza de Tunnel. Haga clic en Cambiar para sustituir el certificado existente.

    Si el usuario carga manualmente el mismo certificado para Unified Access Gateway en el equilibrador de carga y necesita utilizar un certificado diferente para Unified Access Gateway y Horizon Tunnel, el establecimiento de una sesión de escritorio de Tunnel fallará, ya que la huella digital entre el cliente y Unified Access Gateway no coincide. La introducción de una huella digital personalizada para Unified Access Gateway u Horizon Tunnel resuelve este problema mediante la retransmisión de la huella digital para establecer la sesión del cliente.

    Proveedor para comprobación de conformidad de endpoints

    Seleccione el proveedor de comprobación de conformidad de endpoints.

    El valor predeterminado es None.

    Nota:

    Solo cuando los ajustes del proveedor de comprobación de conformidad están configurados en la interfaz de usuario del administrador, puede ver las opciones disponibles para su selección. Para obtener más información sobre los proveedores de comprobación de conformidad de endpoints y su configuración, consulte Comprobaciones de conformidad de endpoints para Horizon.

    Comprobación de conformidad en la autenticación

    Opción para deshabilitar o habilitar la comprobación de conformidad de endpoints en la autenticación del usuario.

    La conformidad siempre se comprueba cuando un usuario inicia una sesión de aplicación o escritorio. Cuando esta opción está habilitada, la conformidad también se comprueba después de que el usuario se autentique correctamente. Si esta opción está habilitada y se produce un error en la comprobación de conformidad en el momento de la autenticación, la sesión del usuario no continúa.

    Si la opción está deshabilitada, Unified Access Gateway solo comprueba la conformidad cuando un usuario inicia una sesión de aplicación o escritorio.

    Esta opción solo está disponible cuando se selecciona un proveedor de comprobación de conformidad de endpoints. De forma predeterminada, esta opción está habilitada.

    Atención:

    Si configuró la opción Retraso inicial de comprobación de conformidad en la página Configuración de proveedor para comprobación de conformidad de endpoints, Comprobación de conformidad en la autenticación se deshabilita automáticamente. Unified Access Gateway no comprueba la conformidad de la autenticación. Para obtener más información sobre el intervalo de tiempo y el comportamiento de Unified Access Gateway cuando se configura este intervalo de tiempo, consulte Intervalo de tiempo para retrasar la comprobación de conformidad.

    Esta opción también está presente como un parámetro en la sección [Horizon] del archivo .ini y se puede configurar durante la implementación con PowerShell. Para el nombre del parámetro, consulte Ejecutar un script de PowerShell para implementar Unified Access Gateway.

    Patrón de proxy

    Introduzca la expresión regular que coincida con las URL relacionadas con la URL de Horizon Server (proxyDestinationUrl). Tiene un valor predeterminado de (/|/view-client(.*)|/portal(.*)|/appblast(.*)).

    Nota:

    El patrón también se puede utilizar para excluir determinadas URL. Por ejemplo, para permitir el paso de todas las URL pero bloquear /admin, puede utilizar la siguiente expresión.^/(?!admin(.*))(.*)

    SP de SAML

    Introduzca el nombre del proveedor de servicios de SAML del agente XMLAPI de Horizon. Este nombre debe coincidir con el nombre de los metadatos del proveedor de servicios configurado o tener un valor especial de DEMO.

    Habilitar coincidencia canónica de patrón de proxy

    Active esta opción para habilitar la coincidencia canónica de Horizon. Unified Access Gateway realiza el equivalente de C RealPath() para normalizar las secuencias de caracteres de conversión de URL, como %2E y eliminar las secuencias de .. para crear una ruta de acceso absoluta. A continuación, se aplica la comprobación de patrones de proxy en la ruta de acceso absoluta.

    De forma predeterminada, esta opción está activada para los servicios de Horizon Edge.

    Nota:

    De forma predeterminada, esta opción está desactivada para los servicios de proxy inverso de web.

    Cerrar sesión al eliminar certificado

    Nota:

    Esta opción está disponible cuando se selecciona cualquiera de los métodos de autenticación de tarjeta inteligente como Método de autenticación.

    Si esta opción está activada y se elimina la tarjeta inteligente, se fuerza al usuario final a cerrar una sesión de Unified Access Gateway.

    Etiqueta de nombre de usuario para RADIUS

    Introduzca texto para personalizar la etiqueta de nombre de usuario en Horizon Client. Por ejemplo, Domain Username

    El método de autenticación RADIUS debe estar habilitado. Para habilitar RADIUS, consulte Configurar autenticación RADIUS.

    El nombre predeterminado de la etiqueta es Username.

    La longitud máxima del nombre de la etiqueta es de 20 caracteres.

    Etiqueta de código de acceso para RADIUS

    Introduzca un nombre para personalizar la etiqueta de código de acceso en Horizon Client. Por ejemplo, Password

    El método de autenticación RADIUS debe estar habilitado. Para habilitar RADIUS, consulte Configurar autenticación RADIUS.

    El nombre predeterminado de la etiqueta es Passcode.

    La longitud máxima del nombre de la etiqueta es de 20 caracteres.

    Coincidir con el nombre de usuario de Windows

    Active esta opción para hacer coincidir el nombre de usuario de RSA SecurID y de Windows. Cuando está activado, securID-auth se establece en true y se aplicará la coincidencia del nombre de usuario de securID y de Windows.

    Si Horizon se configura en un entorno de varios dominios, si el nombre de usuario proporcionado no contiene un nombre de dominio, el dominio no se enviará a CS.

    Si el sufijo NameID está configurado y el nombre de usuario proporcionado no contiene un nombre de dominio, el valor del sufijo NameID de la configuración se anexará al nombre de usuario. Por ejemplo, si un usuario proporcionó jdoe como nombre de usuario y NameIDSuffix está establecido en @north.int, el nombre de usuario enviado será jdoe@north.int.

    Si el sufijo NameID está configurado y si el nombre de usuario proporcionado tiene el formato UPN, se omitirá el sufijo NameID. Por ejemplo, si un usuario proporcionó jdoe@north.int, NameIDSuffix-@south.int, el nombre de usuario será jdoe@north.int

    Si el nombre de usuario proporcionado tiene el formato <DomainName\username>, por ejemplo, NORTH\jdoe, Unified Access Gateway envía el nombre de usuario y el nombre de dominio por separado a CS.

    Nota:

    En Horizon 7, si habilita las opciones Ocultar la información del servidor en la interfaz de usuario del cliente y Ocultar la lista de dominios en la interfaz de usuario del cliente y selecciona la autenticación de dos fases (RSA SecureID o RADIUS) para la instancia del servidor de conexión, no exija que coincidan los nombres de usuarios de Windows. Exigir que coincidan los nombres de usuario de Windows evita que siempre falle el inicio de sesión si los usuarios escriben la información del dominio en el cuadro de texto de nombre de usuario. Para obtener más información, consulte los temas relacionados con la autenticación de dos factores en el documento Administración de Horizon 7.

    Ubicación de la puerta de enlace

    La ubicación desde la que se origina la solicitud de conexión. El servidor de seguridad y Unified Access Gateway establecen la ubicación de la puerta de enlace. La ubicación puede ser External o Internal.

    Importante:

    La ubicación debe establecerse en Internal cuando se selecciona cualquiera de los siguientes métodos de autenticación: SAML and Unauthenticated, SecurID and Unauthenticated o RADIUS and Unauthenticated.

    Mostrar mensaje previo al inicio de sesión del servidor de conexión Active esta opción para mostrar al usuario cualquier mensaje previo al inicio de sesión del servidor de conexión configurado en el servidor de conexión durante los flujos de protocolo principal XML-API. De forma predeterminada, esta opción está activada para los servicios de Horizon Edge.

    Cuando esta opción está desactivada, el usuario no ve el mensaje previo al inicio de sesión configurado en el servidor de conexión.

    Productor de JWT

    Seleccione un productor de JWT configurado en el menú desplegable.

    Nota: Asegúrese de que el campo Nombre esté configurado en la sección Configuración de productor de JWT de la Configuración avanzada.

    Destinatarios de JWT

    Lista opcional de destinatarios previstos de la instancia de JWT utilizada para la validación de artefactos SAML de Horizon de Workspace ONE Access.

    Para que la validación de JWT se realice correctamente, al menos uno de los destinatarios de esta lista debe coincidir con uno de los destinatarios especificados en la configuración de Horizon de Workspace ONE Access. Si no se especifican destinatarios de JWT, la validación de JWT no tiene en cuenta los destinatarios.

    Consumidor de JWT

    Seleccione el nombre del consumidor de JWT de uno de los ajustes de JWT configurados.

    Nota: Para la validación del artefacto SAML de JWT de Workspace ONE Access, asegúrese de que el campo Nombre está configurado en la sección Configuración de consumidor de JWT de la Configuración avanzada.

    Certificados de confianza

    • Para seleccionar un certificado en formato PEM y agregarlo al almacén de confianza, haga clic en +.

    • Para proporcionar un nombre diferente, edite el cuadro de texto del alias.

      De forma predeterminada, el nombre de alias es el nombre de archivo del certificado PEM.

    • Para eliminar un certificado del almacén de confianza, haga clic en -.

    Encabezados de seguridad de respuesta

    Para agregar un encabezado, haga clic en +. Introduzca el nombre del encabezado de seguridad. Introduzca el valor.

    Para eliminar un encabezado, haga clic en -. Editar un encabezado de seguridad existente para actualizar el nombre y el valor del encabezado.

    Importante:

    Los valores y los nombres de encabezado se guardan solo después de hacer clic en Guardar. Algunos encabezados de seguridad estándar existen de forma predeterminada. Los encabezados configurados se agregan a la respuesta al cliente de Unified Access Gateway solo si los encabezados correspondientes no están presentes en la respuesta del servidor back-end configurado.

    Nota:

    Modifique los encabezados de seguridad de respuesta con precaución. La modificación de estos parámetros puede afectar el funcionamiento seguro de Unified Access Gateway.

    Ejecutables personalizados de cliente

    Este cuadro desplegable enumera los archivos ejecutables personalizados que están configurados en Unified Access Gateway.

    Los ejecutables personalizados se configuran como parte de los ajustes avanzados. Se puede configurar un ejecutable para más de un tipo de sistema operativo. Si el ejecutable se agrega a los ajustes de Horizon, también se incluyen todos los tipos de sistema operativo del ejecutable. A continuación, el ejecutable estará disponible para que Horizon Client lo descargue y se ejecute en el dispositivo endpoint después de la autenticación correcta del usuario.

    Para obtener más información sobre cómo configurar ejecutables personalizados, consulte Configurar ejecutables personalizados del cliente en Unified Access Gateway.

    Asignaciones de redireccionamiento de puerto de host

    Para obtener información sobre cómo Unified Access Gateway admite la capacidad de redireccionamiento de host HTTP y algunas consideraciones necesarias para usar esta capacidad, consulte Compatibilidad de Unified Access Gateway con el redireccionamiento de host HTTP.

    Nota:

    El host de origen y el host de redireccionamiento admiten un puerto opcional, separado por dos puntos. El número de puerto predeterminado es 443.

    • Host de origen:Puerto

      Introduzca el nombre de host del origen (valor de encabezado del host).

    • Host de redireccionamiento:Puerto

      Introduzca el nombre de host del dispositivo individual de Unified Access Gateway, cuya afinidad debe mantenerse con Horizon Client.

    Entradas de host

    Introduzca los detalles que se agregarán en el archivo /etc/hosts. Cada entrada debe incluir una IP, un nombre de host y un alias de nombre de host opcional en este orden y separados por un espacio. Por ejemplo, 10.192.168.1 ejemplo1.com, 10.192.168.2 ejemplo2.com ejemplo-alias. Haga clic en el signo "+" para agregar varias entradas de host.

    Importante:

    Las entradas de host solo se guardan después de hacer clic en Guardar.

    Destinatarios de SAML

    Asegúrese de que se haya seleccionado un método de autenticación SAML o SAML y Pass-Through.

    Introduzca la URL de los destinatarios.

    Nota:

    Si el cuadro de texto se deja en blanco, no se restringirán los destinatarios de forma alguna.

    Para comprender cómo Unified Access Gateway admite los destinatarios de SAML, consulte Destinatarios de SAML.

    Atributo de nombre de usuario sin autenticar SAML

    Introduzca el nombre del atributo personalizado

    Nota:

    Este campo solo está disponible cuando el valor de Métodos de autenticación es SAML and Unauthenticated.

    Cuando Unified Access Gateway valida la aserción de SAML, si el nombre de atributo especificado en este campo está presente en la aserción, Unified Access Gateway proporciona acceso sin autenticar al nombre de usuario configurado para el atributo en el proveedor de identidad.

    Para obtener más información sobre el método SAML and Unauthenticated, consulte Métodos de autenticación para la integración de Unified Access Gateway y proveedores de identidades de terceros.

    Nombre de usuario sin autenticar predeterminado

    Introduzca el nombre de usuario predeterminado que se debe utilizar para el acceso sin autenticar

    Este campo está disponible en la interfaz de usuario del administrador cuando se selecciona uno de los siguientes Métodos de autenticación: SAML and Unauthenticated, SecurID and Unauthenticated y RADIUS and Unauthenticated.

    Nota:

    Para el método de autenticación SAML and Unauthenticated, el nombre de usuario predeterminado para el acceso sin autenticar solo se utiliza cuando el campo Atributo de nombre de usuario sin autenticar SAML está vacío o cuando falta el nombre de atributo especificado en este campo en la aserción de SAML.

    Deshabilitar HTML Access

    Si esta opción está activada, se deshabilita el acceso web a Horizon. Consulte más información en Configurar OPSWAT como proveedor de comprobación de conformidad de endpoints para Horizon.

  7. (Opcional) Configure la lista de funciones de BSG mediante la importación JSON en la interfaz de usuario de administrador o el archivo de configuración INI a través de la implementación de PowerShell.
    Se admiten dos tipos de listas.
    • Lista de funciones estándar: contiene la siguiente lista de funciones estándar.
      Nombre descriptivo Nombre de función estándar
      Redireccionamiento del portapapeles MKSCchan
      Redireccionamiento HTML5/Geolocalización html5mmr
      Servidor RDE VMwareRde;UNITY_UPDATE_CHA
      TSMMR tsmmr
      Redireccionamiento de puerto serie/escáner NLR3hv;NLW3hv
      Redireccionamiento de impresora PrintRedir
      CDR tsdr
      Redireccionamiento USB UsbRedirection
      Redireccionamiento de unidades de almacenamiento SDRTrans
      Telemetría de TlmStat TlmStat
      Ver escáner VMWscan
      Redireccionamiento de FIDO2 fido2
    • Lista de funciones personalizadas: texto libre que puede contener varias funciones. Admite caracteres especiales y no ingleses.
    Nota:

    Esta función solo se aplica a Horizon Agent para Windows. De forma predeterminada, la lista de funciones de BSG no está configurada, y se permiten todas las funciones de experiencia remota. Si la lista de funciones de BSG está configurada, solo se permiten las funciones de experiencia remotas especificadas en la lista y todas las demás funciones se bloquean.

    Utilice uno de los siguientes métodos para configurar la lista de funciones de BSG.

    Opción Descripción
    Archivo INI

    Agregue la siguiente configuración en el ajuste [Horizon/Blast] .

    standardFeature1=PrintRedir
    standardFeature2=UsbRedirection 
    customFeature1=acme_desktop1
    customFeature2=acme_desktop2
    Archivo JSON

    Abra el archivo JSON existente y agregue el nuevo nodo blastSettings similar al siguiente ejemplo.

    “blastExternalUrl”: “https://example.com/”,
     “blastSettings”: {
    “blastStandardFeatures”: [
     “PrintRedir”,
    “UsbRedirection”
    ],
     “blastCustomFeatures”: [
     “acme_desktop1”,
     “acme_desktop2”
     ]
        },
  8. Haga clic en Guardar.