Se establece de forma predeterminada como Horizon. Unified Access Gateway se puede comunicar con servidores que utilizan el protocolo XML de Horizon, como el servidor de conexión de Horizon.

Introduzca la dirección del servidor de Horizon. Por ejemplo, https://00.00.00.00.

Para mantener la alta disponibilidad, asegúrese de tener al menos dos instancias de Unified Access Gateway y especifique servidores de conexión diferentes como destinos para la URL del servidor de conexión. Unified Access Gateway puede detectar si su servidor de conexión de destino no responde y notifica al equilibrador de carga externo que ya no puede controlar nuevas conexiones.

Para obtener más información, consulte Servidores de conexión de equilibrio de carga en VMware Tech Zone.

Introduzca la lista de huellas digitales del servidor de Horizon en formato de dígitos hexadecimales.

Por ejemplo, sha1=C3 89 A2 19 DC 7A 48 2B 85 1C 81 EC 5E 8F 6A 3C 33 F2 95 C3, sha256=ad:5c:f1:48:47:94:7e:80:82:73:13:6c:83:52:b:e:78:ed:ff:50:23:56:a8:42:8a:d9:30:fc:3a:33:d6:c6:db, sha512=2221B24DC78018A8FAFF81B7AD348722390793DE8C0E5E5AA1D622BCC951D4DA5DBB1C76C79A258A7AFBD1727447151C90E1733E7E83A7D1D46ADF1A31C78496.

Las huellas digitales del certificado se pueden configurar para la validación del certificado del servidor devuelto en la comunicación entre Unified Access Gateway y Horizon Connection Server.

Esta opción se puede configurar durante la implementación de PowerShell agregando el parámetro proxyDestinationUrlThumbprints en la sección [Horizon] del archivo ini. Consulte Ejecutar un script de PowerShell para implementar Unified Access Gateway.

Cuando el agente de Horizon envía un código de respuesta de redireccionamiento HTTP 307 y la opción Respetar el redireccionamiento de Connection Server está activada, Unified Access Gateway se comunica con la URL especificada en el encabezado de ubicación de respuesta 307 para las solicitudes actuales y futuras de la sesión.

Si la casilla de verificación Habilitar redireccionamiento de host está seleccionada en Connection Server, asegúrese de activar la opción Respetar el redireccionamiento de Connection Server en Unified Access Gateway. Para obtener más información, consulte Habilitar redireccionamiento de host en la guía de Instalación y actualización de Horizon en VMware Docs.

Active esta opción para especificar si la puerta de enlace segura de PCoIP está habilitada.

Active esta opción para especificar que se usará el certificado de servidor SSL cargado en lugar del certificado heredado. Los clientes PCoIP heredados no funcionarán si esta opción está activada.

URL utilizada por los clientes de Horizon para establecer la sesión PCoIP de Horizon en este dispositivo de Unified Access Gateway. Debe contener una dirección IPv4 y no un nombre de host. Por ejemplo, 10.1.2.3:4172. El valor predeterminado es la dirección IP de Unified Access Gateway y el puerto 4172.

Active esta opción para utilizar la puerta de enlace segura de Blast.

URL utilizada por Horizon Client para establecer la sesión de Horizon Blast o BEAT a este dispositivo de Unified Access Gateway. Por ejemplo, https://uag1.myco.com o https://uag1.myco.com:443.

Si no se especifica el número de puerto TCP, el puerto TCP predeterminado es el puerto 8443. Si no se especifica el número de puerto UDP, el puerto UDP predeterminado es también el puerto 8443.

Active esta opción para habilitar la conexión inversa de Blast.

Indica el modo IP de una instancia de Horizon Connection Server.

Este campo puede tener los siguientes valores: IPv4, IPv6 y IPv4+IPv6.

El valor predeterminado es IPv4.

• Si todas las NIC del dispositivo Unified Access Gateway están en modo IPv4 (no en modo IPv6), este campo puede tener uno de los siguientes valores: IPv4 o IPv4+IPv6 (modo mixto).

• Si todas las NIC del dispositivo Unified Access Gateway están en modo IPv6 (no en modo IPv4), este campo puede tener uno de los siguientes valores: IPv6 o IPv4+IPv6 (modo mixto).

Indica el modo de cifrado para las comunicaciones entre Horizon Client, Unified Access Gateway y Horizon Connection Server.

Los valores de esta opción son DISABLED, ALLOWED y REQUIRED. El valor predeterminado es ALLOWED.

• DISABLED: la opción Client Encryption Mode está deshabilitada.

  Cuando se deshabilita, el comportamiento existente continúa. En las versiones de Unified Access Gateway anteriores a la 2111, se permite la comunicación no cifrada entre Horizon Client, Unified Access Gateway y Horizon Connection Server.

• ALLOWED: con Horizon Client 2111 o una versión posterior, Unified Access Gateway solo permite la comunicación cifrada con Horizon Client y Horizon Connection Server.

  Con las versiones anteriores de Horizon Client, se permite la comunicación no cifrada. Este comportamiento es similar a cuando la función está deshabilitada.

• REQUIRED: solo se permite la comunicación cifrada entre los tres componentes.

  Nota: Si se utiliza una versión anterior de Horizon Client en este modo cifrado, se produce un error en la comunicación no cifrada y el usuario final no puede iniciar las aplicaciones y los escritorios de Horizon.

Si una solicitud entrante a Unified Access Gateway tiene el encabezado Origin y la opción Encabezado de origen de reescritura está activada, Unified Access Gateway vuelve a escribir el encabezado Origin con la URL del servidor de conexión.

La opción Encabezado de origen de reescritura funciona junto con la propiedad checkOrigin CORS de Horizon Connection Server. Cuando este campo está habilitado, el administrador de Horizon puede omitir la necesidad de especificar direcciones IP de Unified Access Gateway en el archivo locked.properties.

Para obtener información sobre la comprobación de origen, consulte la documentación de Seguridad de Horizon.

El método predeterminado es la autenticación pass-through del nombre de usuario y la contraseña.

Se admiten los siguientes métodos de autenticación: Passthrough, SAML, SAML and Passthrough, SAML and Unauthenticated, SecurID, SecurID and Unauthenticated, X.509 Certificate, X.509 Certificate and Passthrough, Device X.509 Certificate and Passthrough, RADIUS, RADIUS and Unauthenticated y X.509 Certificate or RADIUS.

Esta opción se puede utilizar cuando Métodos de autenticación se establece en RADIUS y cuando el código de acceso de RADIUS es el mismo que la contraseña de dominio de Windows.

Active la opción para utilizar el nombre de usuario y el código de acceso de RADIUS para las credenciales de inicio de sesión del dominio de Windows a fin de evitar tener que volver a preguntar al usuario.

Si Horizon se configura en un entorno de varios dominios, si el nombre de usuario proporcionado no contiene un nombre de dominio, el dominio no se enviará a CS.

Si el sufijo NameID está configurado y el nombre de usuario proporcionado no contiene un nombre de dominio, el valor del sufijo NameID de la configuración se anexará al nombre de usuario. Por ejemplo, si un usuario proporcionó jdoe como nombre de usuario y NameIDSuffix está establecido en @north.int, el nombre de usuario enviado será [email protected].

Si el sufijo NameID está configurado y si el nombre de usuario proporcionado tiene el formato UPN, se omitirá el sufijo NameID. Por ejemplo, si un usuario proporcionó [email protected], NameIDSuffix-@south.int, el nombre de usuario será [email protected]

Si el nombre de usuario proporcionado tiene el formato <DomainName\username>, por ejemplo, NORTH\jdoe, Unified Access Gateway envía el nombre de usuario y el nombre de dominio por separado a CS.

Este campo está habilitado cuando los métodos de autenticación se establecen en RADIUS. Haga clic en "+" para agregar un valor para el atributo de clase. Introduzca el nombre del atributo de clase que se utilizará para la autenticación de usuario. Haga clic en "-" para eliminar un atributo de clase.

El texto del mensaje de exención de responsabilidades de Horizon que se muestra al usuario y que acepta el usuario en caso de que se configure el Método de autenticación.

Active esta opción para habilitar la sugerencia de contraseña para la autenticación del certificado.

La ruta de acceso URI del servidor de conexión al que se conecta Unified Access Gateway para supervisar el estado.

Si la red es pobre, las conexiones se establecen a través del servidor del túnel UDP.

Cuando Horizon Client envía solicitudes a través de UDP, Unified Access Gateway recibe la dirección IP de origen de estas solicitudes como 127.0.0.1. Unified Access Gateway envía la misma dirección IP de origen a Horizon Connection Server.

Para asegurarse de que el servidor de conexión reciba la dirección IP de origen real de la solicitud, debe deshabilitar esta opción (Habilitar servidor UDP) en la interfaz de usuario del administrador de Unified Access Gateway.

Certificado de proxy para Blast. Haga clic en Seleccionar para cargar un certificado en formato PEM y agregarlo al almacén de confianza de BLAST. Haga clic en Cambiar para sustituir el certificado existente.

Si el usuario carga manualmente el mismo certificado para Unified Access Gateway en el equilibrador de carga y necesita utilizar un certificado diferente para Unified Access Gateway y Blast Gateway, el establecimiento de una sesión de escritorio de Blast fallará, ya que la huella digital entre el cliente y Unified Access Gateway no coincide. La introducción de una huella digital personalizada en Unified Access Gateway o Blast Gateway resuelve este problema mediante la retransmisión de la huella digital para establecer la sesión del cliente.

Introduzca una dirección IP o un nombre de host

Al especificar un valor de encabezado de host, BSG (puerta de enlace segura de Blast) solo permite las solicitudes que contienen el valor de encabezado de host especificado.

Se puede especificar una lista de valores separados por comas en el formato host[:port]. El valor puede ser una dirección IP, un nombre de host o un nombre de FQDN.

El encabezado del host en la solicitud de conexión del puerto TCP 8443 de Blast a la puerta de enlace segura de Blast debe coincidir con uno de los valores proporcionados en el campo.

Para permitir una solicitud que no tenga un nombre de host o una dirección IP en el encabezado del host, utilice _empty_.

Si no se especifica ningún valor, se aceptará cualquier encabezado de host enviado por Horizon Client.

Si se utiliza el túnel seguro de Horizon, active esta opción. El cliente utiliza la URL externa para conexiones de túnel a través de la puerta de enlace segura de Horizon. El túnel se utiliza para RDP, USB y tráfico de redirección multimedia (MMR).

URL utilizada por los clientes de Horizon para establecer la sesión de Horizon Tunnel en este dispositivo Unified Access Gateway. Por ejemplo, https://uag1.myco.com o https://uag1.myco.com:443.

Si no se especifica el número de puerto TCP, el puerto TCP predeterminado es el puerto 443.

Certificado de proxy para Horizon Tunnel. Haga clic en Seleccionar para cargar un certificado en formato PEM y agregarlo al almacén de confianza de Tunnel. Haga clic en Cambiar para sustituir el certificado existente.

Si el usuario carga manualmente el mismo certificado para Unified Access Gateway en el equilibrador de carga y necesita utilizar un certificado diferente para Unified Access Gateway y Horizon Tunnel, el establecimiento de una sesión de escritorio de Tunnel fallará, ya que la huella digital entre el cliente y Unified Access Gateway no coincide. La introducción de una huella digital personalizada para Unified Access Gateway u Horizon Tunnel resuelve este problema mediante la retransmisión de la huella digital para establecer la sesión del cliente.

Seleccione el proveedor de comprobación de conformidad de endpoints.

El valor predeterminado es None.

Opción para deshabilitar o habilitar la comprobación de conformidad de endpoints en la autenticación del usuario.

La conformidad siempre se comprueba cuando un usuario inicia una sesión de aplicación o escritorio. Cuando esta opción está habilitada, la conformidad también se comprueba después de que el usuario se autentique correctamente. Si esta opción está habilitada y se produce un error en la comprobación de conformidad en el momento de la autenticación, la sesión del usuario no continúa.

Si la opción está deshabilitada, Unified Access Gateway solo comprueba la conformidad cuando un usuario inicia una sesión de aplicación o escritorio.

Esta opción solo está disponible cuando se selecciona un proveedor de comprobación de conformidad de endpoints. De forma predeterminada, esta opción está habilitada.

Esta opción también está presente como un parámetro en la sección [Horizon] del archivo .ini y se puede configurar durante la implementación con PowerShell. Para el nombre del parámetro, consulte Ejecutar un script de PowerShell para implementar Unified Access Gateway.

Introduzca la expresión regular que coincida con las URL relacionadas con la URL de Horizon Server (proxyDestinationUrl). Tiene un valor predeterminado de (/|/view-client(.*)|/portal(.*)|/appblast(.*)).

Introduzca el nombre del proveedor de servicios de SAML del agente XMLAPI de Horizon. Este nombre debe coincidir con el nombre de los metadatos del proveedor de servicios configurado o tener un valor especial de DEMO.

Active esta opción para habilitar la coincidencia canónica de Horizon. Unified Access Gateway realiza el equivalente de C RealPath() para normalizar las secuencias de caracteres de conversión de URL, como %2E y eliminar las secuencias de .. para crear una ruta de acceso absoluta. A continuación, se aplica la comprobación de patrones de proxy en la ruta de acceso absoluta.

De forma predeterminada, esta opción está activada para los servicios de Horizon Edge.

Si esta opción está activada y se elimina la tarjeta inteligente, se fuerza al usuario final a cerrar una sesión de Unified Access Gateway.

Introduzca texto para personalizar la etiqueta de nombre de usuario en Horizon Client. Por ejemplo, Domain Username

El método de autenticación RADIUS debe estar habilitado. Para habilitar RADIUS, consulte Configurar autenticación RADIUS.

El nombre predeterminado de la etiqueta es Username.

La longitud máxima del nombre de la etiqueta es de 20 caracteres.

Introduzca un nombre para personalizar la etiqueta de código de acceso en Horizon Client. Por ejemplo, Password

El método de autenticación RADIUS debe estar habilitado. Para habilitar RADIUS, consulte Configurar autenticación RADIUS.

El nombre predeterminado de la etiqueta es Passcode.

La longitud máxima del nombre de la etiqueta es de 20 caracteres.

Active esta opción para hacer coincidir el nombre de usuario de RSA SecurID y de Windows. Cuando está activado, securID-auth se establece en true y se aplicará la coincidencia del nombre de usuario de securID y de Windows.

Si Horizon se configura en un entorno de varios dominios, si el nombre de usuario proporcionado no contiene un nombre de dominio, el dominio no se enviará a CS.

Si el sufijo NameID está configurado y el nombre de usuario proporcionado no contiene un nombre de dominio, el valor del sufijo NameID de la configuración se anexará al nombre de usuario. Por ejemplo, si un usuario proporcionó jdoe como nombre de usuario y NameIDSuffix está establecido en @north.int, el nombre de usuario enviado será [email protected].

Si el sufijo NameID está configurado y si el nombre de usuario proporcionado tiene el formato UPN, se omitirá el sufijo NameID. Por ejemplo, si un usuario proporcionó [email protected], NameIDSuffix-@south.int, el nombre de usuario será [email protected]

Si el nombre de usuario proporcionado tiene el formato <DomainName\username>, por ejemplo, NORTH\jdoe, Unified Access Gateway envía el nombre de usuario y el nombre de dominio por separado a CS.

La ubicación desde la que se origina la solicitud de conexión. El servidor de seguridad y Unified Access Gateway establecen la ubicación de la puerta de enlace. La ubicación puede ser External o Internal.

Cuando esta opción está desactivada, el usuario no ve el mensaje previo al inicio de sesión configurado en el servidor de conexión.

Seleccione un productor de JWT configurado en el menú desplegable.

Lista opcional de destinatarios previstos de la instancia de JWT utilizada para la validación de artefactos SAML de Horizon de Workspace ONE Access.

Para que la validación de JWT se realice correctamente, al menos uno de los destinatarios de esta lista debe coincidir con uno de los destinatarios especificados en la configuración de Horizon de Workspace ONE Access. Si no se especifican destinatarios de JWT, la validación de JWT no tiene en cuenta los destinatarios.

Seleccione el nombre del consumidor de JWT de uno de los ajustes de JWT configurados.

• Para seleccionar un certificado en formato PEM y agregarlo al almacén de confianza, haga clic en +.

• Para proporcionar un nombre diferente, edite el cuadro de texto del alias.

  De forma predeterminada, el nombre de alias es el nombre de archivo del certificado PEM.

• Para eliminar un certificado del almacén de confianza, haga clic en -.

Para agregar un encabezado, haga clic en +. Introduzca el nombre del encabezado de seguridad. Introduzca el valor.

Para eliminar un encabezado, haga clic en -. Editar un encabezado de seguridad existente para actualizar el nombre y el valor del encabezado.

Este cuadro desplegable enumera los archivos ejecutables personalizados que están configurados en Unified Access Gateway.

Los ejecutables personalizados se configuran como parte de los ajustes avanzados. Se puede configurar un ejecutable para más de un tipo de sistema operativo. Si el ejecutable se agrega a los ajustes de Horizon, también se incluyen todos los tipos de sistema operativo del ejecutable. A continuación, el ejecutable estará disponible para que Horizon Client lo descargue y se ejecute en el dispositivo endpoint después de la autenticación correcta del usuario.

Para obtener más información sobre cómo configurar ejecutables personalizados, consulte Configurar ejecutables personalizados del cliente en Unified Access Gateway.

Para obtener información sobre cómo Unified Access Gateway admite la capacidad de redireccionamiento de host HTTP y algunas consideraciones necesarias para usar esta capacidad, consulte Compatibilidad de Unified Access Gateway con el redireccionamiento de host HTTP.

• Host de origen:Puerto

  Introduzca el nombre de host del origen (valor de encabezado del host).

• Host de redireccionamiento:Puerto

  Introduzca el nombre de host del dispositivo individual de Unified Access Gateway, cuya afinidad debe mantenerse con Horizon Client.

Introduzca los detalles que se agregarán en el archivo /etc/hosts. Cada entrada debe incluir una IP, un nombre de host y un alias de nombre de host opcional en este orden y separados por un espacio. Por ejemplo, 10.192.168.1 ejemplo1.com, 10.192.168.2 ejemplo2.com ejemplo-alias. Haga clic en el signo "+" para agregar varias entradas de host.

Asegúrese de que se haya seleccionado un método de autenticación SAML o SAML y Pass-Through.

Introduzca la URL de los destinatarios.

Para comprender cómo Unified Access Gateway admite los destinatarios de SAML, consulte Destinatarios de SAML.

Introduzca el nombre del atributo personalizado

Cuando Unified Access Gateway valida la aserción de SAML, si el nombre de atributo especificado en este campo está presente en la aserción, Unified Access Gateway proporciona acceso sin autenticar al nombre de usuario configurado para el atributo en el proveedor de identidad.

Para obtener más información sobre el método SAML and Unauthenticated, consulte Métodos de autenticación para la integración de Unified Access Gateway y proveedores de identidades de terceros.

Introduzca el nombre de usuario predeterminado que se debe utilizar para el acceso sin autenticar

Este campo está disponible en la interfaz de usuario del administrador cuando se selecciona uno de los siguientes Métodos de autenticación: SAML and Unauthenticated, SecurID and Unauthenticated y RADIUS and Unauthenticated.

Si esta opción está activada, se deshabilita el acceso web a Horizon. Consulte más información en Configurar OPSWAT como proveedor de comprobación de conformidad de endpoints para Horizon.

Agregue la siguiente configuración en el ajuste [Horizon/Blast] .

standardFeature1=PrintRedir
standardFeature2=UsbRedirection 
customFeature1=acme_desktop1
customFeature2=acme_desktop2

Abra el archivo JSON existente y agregue el nuevo nodo blastSettings similar al siguiente ejemplo.

“blastExternalUrl”: “https://example.com/”,
 “blastSettings”: {
“blastStandardFeatures”: [
 “PrintRedir”,
“UsbRedirection”
],
 “blastCustomFeatures”: [
 “acme_desktop1”,
 “acme_desktop2”
 ]
    },