Unified Access Gateway se puede implementar con Horizon 8.
Requisitos previos
Si desea tener Horizon y una instancia de proxy inverso de web como Workspace ONE Access configurados y habilitados en la misma instancia de Unified Access Gateway, consulte Configuración avanzada del servicio perimetral.
Procedimiento
- En la sección Configuración manual de la IU del administrador, haga clic en Seleccionar.
- En Configuración general, active la opción Configuración del servicio perimetral.
- Haga clic en el icono de engranaje de Configuración de Horizon.
- En la página Configuración de Horizon, active la opción Habilitar Horizon para habilitar la configuración de Horizon.
- Configure los siguientes recursos de las opciones del servicio perimetral de Horizon:
Opción
Descripción
Identificador
Se establece de forma predeterminada como Horizon. Unified Access Gateway se puede comunicar con servidores que utilizan el protocolo XML de Horizon, como el servidor de conexión de Horizon.
URL del servidor de conexión
Introduzca la dirección del servidor de Horizon. Por ejemplo, https://00.00.00.00.
Para mantener la alta disponibilidad, asegúrese de tener al menos dos instancias de Unified Access Gateway y especifique servidores de conexión diferentes como destinos para la URL del servidor de conexión. Unified Access Gateway puede detectar si su servidor de conexión de destino no responde y notifica al equilibrador de carga externo que ya no puede controlar nuevas conexiones.
Para obtener más información, consulte Servidores de conexión de equilibrio de carga en VMware Tech Zone.
Tamaño mínimo de hash SHA
Configure el algoritmo hash de huella digital mínimo admitido para las validaciones de certificados durante las conexiones de Horizon.El valor configurado es el valor SHA mínimo utilizado en la comunicación XML-API entre Horizon Client, Horizon Connection Server y Unified Access Gateway.
Los valores de tamaño de hash SHA admitidos son:
SHA-1
,SHA-256
,SHA-384
ySHA-512
.El parámetro Connection Server URL Thumbprint se configura en función del tamaño mínimo de hash SHA seleccionado. Si desea obtener más información, consulte Huellas digitales de certificado compatibles con Horizon Connection ServerEsta opción se puede configurar durante la implementación de PowerShell agregando el parámetro minSHAHashSize en la sección [Horizon] del archivo ini. Consulte Ejecutar un script de PowerShell para implementar.
Nota: Si la configuración de minHashSize difiere entre la configuración de Horizon y la configuración del sistema, el valor minhashsize configurado en los ajustes de Horizon tendrá prioridad.Huella digital de URL del servidor de conexión
Nota: Debe especificar una huella digital solo si el certificado de servidor SSL del servidor de conexión no lo emite una CA de confianza. Por ejemplo, un certificado autofirmado o un certificado emitido por una CA interna.Introduzca la lista de huellas digitales del servidor de Horizon en formato de dígitos hexadecimales.
Una huella digital tiene el formato[alg=]xx:xx
... dondealg
puede ser sha1, sha256 (valor predeterminado), sha384 y sha512, yxx
son dígitos hexadecimales. El algoritmo hash debe cumplir los requisitos especificados para el tamaño de hash mínimo. Si se agregan varias huellas digitales, deben estar separadas por comas. El separador puede ser un espacio, dos puntos (:) o ningún separador.Por ejemplo, sha1=C3 89 A2 19 DC 7A 48 2B 85 1C 81 EC 5E 8F 6A 3C 33 F2 95 C3, sha256=ad:5c:f1:48:47:94:7e:80:82:73:13:6c:83:52:b:e:78:ed:ff:50:23:56:a8:42:8a:d9:30:fc:3a:33:d6:c6:db, sha512=2221B24DC78018A8FAFF81B7AD348722390793DE8C0E5E5AA1D622BCC951D4DA5DBB1C76C79A258A7AFBD1727447151C90E1733E7E83A7D1D46ADF1A31C78496.
Las huellas digitales del certificado se pueden configurar para la validación del certificado del servidor devuelto en la comunicación entre Unified Access Gateway y Horizon Connection Server.
Esta opción se puede configurar durante la implementación de PowerShell agregando el parámetro proxyDestinationUrlThumbprints en la sección [Horizon] del archivo ini. Consulte Ejecutar un script de PowerShell para implementar.
Respetar el redireccionamiento de Connection Server
Cuando el agente de Horizon envía un código de respuesta de redireccionamiento HTTP 307 y la opción Respetar el redireccionamiento de Connection Server está activada, Unified Access Gateway se comunica con la URL especificada en el encabezado de ubicación de respuesta 307 para las solicitudes actuales y futuras de la sesión.
Si la casilla de verificación Habilitar redireccionamiento de host está seleccionada en Connection Server, asegúrese de activar la opción Respetar el redireccionamiento de Connection Server en Unified Access Gateway. Para obtener más información, consulte Habilitar redireccionamiento de host en la guía de Instalación y actualización de Horizon en VMware Docs.
Habilitar PCOIP
Active esta opción para especificar si la puerta de enlace segura de PCoIP está habilitada.
Deshabilitar certificado heredado PCOIP
Active esta opción para especificar que se usará el certificado de servidor SSL cargado en lugar del certificado heredado. Los clientes PCoIP heredados no funcionarán si esta opción está activada.
URL externa de PCoIP
URL utilizada por los clientes de Horizon para establecer la sesión PCoIP de Horizon en este dispositivo de Unified Access Gateway. Debe contener una dirección IPv4 y no un nombre de host. Por ejemplo, 10.1.2.3:4172. El valor predeterminado es la dirección IP de Unified Access Gateway y el puerto 4172.
Habilitar Blast
Active esta opción para utilizar la puerta de enlace segura de Blast.
URL externa de Blast URL utilizada por Horizon Client para establecer la sesión de Horizon Blast o BEAT a este dispositivo de Unified Access Gateway. Por ejemplo, https://uag1.myco.com o https://uag1.myco.com:443.
Si no se especifica el número de puerto TCP, el puerto TCP predeterminado es el puerto 8443. Si no se especifica el número de puerto UDP, el puerto UDP predeterminado es también el puerto 8443.
Conexión inversa de Blast habilitada
Active esta opción para habilitar la conexión inversa de Blast.
Restricción: Esta opción se agrega para un caso práctico futuro.Modo de IP de servidor de conexión
Indica el modo IP de una instancia de Horizon Connection Server.
Este campo puede tener los siguientes valores:
IPv4
,IPv6
yIPv4+IPv6
.El valor predeterminado es
IPv4
.-
Si todas las NIC del dispositivo de Unified Access Gateway están en modo IPv4 (no en modo IPv6), este campo puede tener uno de los siguientes valores:
IPv4
oIPv4+IPv6
(modo mixto). -
Si todas las NIC del dispositivo de Unified Access Gateway están en modo IPv6 (no en modo IPv4), este campo puede tener uno de los siguientes valores:
IPv6
oIPv4+IPv6
(modo mixto).
Modo de cifrado de cliente
Indica el modo de cifrado para las comunicaciones entre Horizon Client, Unified Access Gateway y Horizon Connection Server.
Los valores de esta opción son
DISABLED
,ALLOWED
yREQUIRED
. El valor predeterminado esALLOWED
.-
DISABLED
: la opción Client Encryption Mode está deshabilitada.Cuando se deshabilita, el comportamiento existente continúa. En las versiones de Unified Access Gateway anteriores a la 2111, se permite la comunicación no cifrada entre Horizon Client, Unified Access Gateway y Horizon Connection Server.
-
ALLOWED
: con Horizon Client 2111 o una versión posterior, Unified Access Gateway solo permite la comunicación cifrada con Horizon Client y Horizon Connection Server.Con las versiones anteriores de Horizon Client, se permite la comunicación no cifrada. Este comportamiento es similar a cuando la función está deshabilitada.
-
REQUIRED
: solo se permite la comunicación cifrada entre los tres componentes.Nota: Si se utiliza una versión anterior de Horizon Client en este modo cifrado, se produce un error en la comunicación no cifrada y el usuario final no puede iniciar las aplicaciones y los escritorios de Horizon.
Habilitar firma XML
Indica el modo de firma de XML. Los valores de esta opción sonAUTO
,ON
yOFF
. De forma predeterminada, la firma XML está desactivada.Restricción: Esta opción se agrega para un caso práctico futuro.Encabezado de origen de reescritura
Si una solicitud entrante a Unified Access Gateway tiene el encabezado Origin y la opción Encabezado de origen de reescritura está activada, Unified Access Gateway vuelve a escribir el encabezado Origin con la URL del servidor de conexión.
La opción Encabezado de origen de reescritura funciona junto con la propiedad checkOrigin CORS de Horizon Connection Server. Cuando este campo está habilitado, el administrador de Horizon puede omitir la necesidad de especificar direcciones IP de Unified Access Gateway en el archivo locked.properties.
Para obtener información sobre la comprobación de origen, consulte la documentación de Seguridad de Horizon.
-
- Para configurar la función del método de autenticación y otras opciones avanzadas, haga clic en Más.
Opción
Descripción
Métodos de autenticación
El método predeterminado es la autenticación pass-through del nombre de usuario y la contraseña.
Se admiten los siguientes métodos de autenticación:
Passthrough
,SAML
,SAML and Passthrough
,SAML and Unauthenticated
,SecurID
,SecurID and Unauthenticated
,X.509 Certificate
,X.509 Certificate and Passthrough
,Device X.509 Certificate and Passthrough
,RADIUS
,RADIUS and Unauthenticated
yX.509 Certificate or RADIUS
.Importante:Si ha elegido cualquiera de los métodos de
Unauthenticated
como método de autenticación, asegúrese de configurar el Nivel de ralentización de inicio de sesión de Horizon Connection Server enLow
. Esta configuración es necesaria para evitar un retraso prolongado en el tiempo de inicio de sesión de los endpoints al acceder a la aplicación o al escritorio remotos.Para obtener más información sobre cómo configurar el Nivel de ralentización de inicio de sesión, consulte Configurar la ralentización del inicio de sesión del acceso no autenticado a las aplicaciones publicadas en la guía de Administración de Horizon en VMware Docs.
Habilitar SSO de Windows
Esta opción se puede utilizar cuando Métodos de autenticación se establece en RADIUS y cuando el código de acceso de RADIUS es el mismo que la contraseña de dominio de Windows.
Active la opción para utilizar el nombre de usuario y el código de acceso de RADIUS para las credenciales de inicio de sesión del dominio de Windows a fin de evitar tener que volver a preguntar al usuario.
Si Horizon se configura en un entorno de varios dominios, si el nombre de usuario proporcionado no contiene un nombre de dominio, el dominio no se enviará a CS.
Si el sufijo NameID está configurado y el nombre de usuario proporcionado no contiene un nombre de dominio, el valor del sufijo NameID de la configuración se anexará al nombre de usuario. Por ejemplo, si un usuario proporcionó jdoe como nombre de usuario y NameIDSuffix está establecido en @north.int, el nombre de usuario enviado será [email protected].
Si el sufijo NameID está configurado y si el nombre de usuario proporcionado tiene el formato UPN, se omitirá el sufijo NameID. Por ejemplo, si un usuario proporcionó [email protected], NameIDSuffix-@south.int, el nombre de usuario será [email protected]
Si el nombre de usuario proporcionado tiene el formato <DomainName\username>, por ejemplo, NORTH\jdoe, Unified Access Gateway envía el nombre de usuario y el nombre de dominio por separado a CS.
Atributos de clase de RADIUS
Este campo está habilitado cuando los métodos de autenticación se establecen en RADIUS. Haga clic en "+" para agregar un valor para el atributo de clase. Introduzca el nombre del atributo de clase que se utilizará para la autenticación de usuario. Haga clic en "-" para eliminar un atributo de clase.
Nota:Si este campo se deja en blanco, no se realizará la autorización adicional.
Texto de renuncia de responsabilidad
El texto del mensaje de exención de responsabilidades de Horizon que se muestra al usuario y que acepta el usuario en caso de que se configure el Método de autenticación.
Solicitud de la sugerencia de tarjeta inteligente
Active esta opción para habilitar la sugerencia de contraseña para la autenticación del certificado.
Ruta de acceso URI de comprobación de estado
La ruta de acceso URI del servidor de conexión al que se conecta Unified Access Gateway para supervisar el estado.
Habilitar servidor UDP
Si la red es pobre, las conexiones se establecen a través del servidor del túnel UDP.
Cuando Horizon Client envía solicitudes a través de UDP, Unified Access Gateway recibe la dirección IP de origen de estas solicitudes como
127.0.0.1
. Unified Access Gateway envía la misma dirección IP de origen a Horizon Connection Server.Para asegurarse de que el servidor de conexión reciba la dirección IP de origen real de la solicitud, debe deshabilitar esta opción (Habilitar servidor UDP) en la interfaz de usuario del administrador de Unified Access Gateway.
Certificado de proxy de Blast
Certificado de proxy para Blast. Haga clic en Seleccionar para cargar un certificado en formato PEM y agregarlo al almacén de confianza de BLAST. Haga clic en Cambiar para sustituir el certificado existente.
Si el usuario carga manualmente el mismo certificado para Unified Access Gateway en el equilibrador de carga y necesita utilizar un certificado diferente para Unified Access Gateway y Blast Gateway, el establecimiento de una sesión de escritorio de Blast fallará, ya que la huella digital entre el cliente y Unified Access Gateway no coincide. La introducción de una huella digital personalizada en Unified Access Gateway o Blast Gateway resuelve este problema mediante la retransmisión de la huella digital para establecer la sesión del cliente.
Valores de encabezado de host permitidos por Blast
Introduzca una dirección IP o un nombre de host
Al especificar un valor de encabezado de host, BSG (puerta de enlace segura de Blast) solo permite las solicitudes que contienen el valor de encabezado de host especificado.
Se puede especificar una lista de valores separados por comas en el formato
host[:port]
. El valor puede ser una dirección IP, un nombre de host o un nombre de FQDN.El encabezado del host en la solicitud de conexión del puerto TCP 8443 de Blast a la puerta de enlace segura de Blast debe coincidir con uno de los valores proporcionados en el campo.
Para permitir una solicitud que no tenga un nombre de host o una dirección IP en el encabezado del host, utilice
_empty_
.Si no se especifica ningún valor, se aceptará cualquier encabezado de host enviado por Horizon Client.
Habilitar túnel
Si se utiliza el túnel seguro de Horizon, active esta opción. El cliente utiliza la URL externa para conexiones de túnel a través de la puerta de enlace segura de Horizon. El túnel se utiliza para RDP, USB y tráfico de redirección multimedia (MMR).
URL externa de túnel
URL utilizada por los clientes de Horizon para establecer la sesión de Horizon Tunnel en este dispositivo Unified Access Gateway. Por ejemplo, https://uag1.myco.com o https://uag1.myco.com:443.
Si no se especifica el número de puerto TCP, el puerto TCP predeterminado es el puerto 443.
Certificado de proxy de Tunnel
Certificado de proxy para Horizon Tunnel. Haga clic en Seleccionar para cargar un certificado en formato PEM y agregarlo al almacén de confianza de Tunnel. Haga clic en Cambiar para sustituir el certificado existente.
Si el usuario carga manualmente el mismo certificado para Unified Access Gateway en el equilibrador de carga y necesita utilizar un certificado diferente para Unified Access Gateway y Horizon Tunnel, el establecimiento de una sesión de escritorio de Tunnel fallará, ya que la huella digital entre el cliente y Unified Access Gateway no coincide. La introducción de una huella digital personalizada para Unified Access Gateway u Horizon Tunnel resuelve este problema mediante la retransmisión de la huella digital para establecer la sesión del cliente.
Proveedor para comprobación de conformidad de endpoints
Seleccione el proveedor de comprobación de conformidad de endpoints.
El valor predeterminado es
None
.Nota:Solo cuando los ajustes del proveedor de comprobación de conformidad están configurados en la interfaz de usuario del administrador, puede ver las opciones disponibles para su selección. Para obtener más información sobre los proveedores de comprobación de conformidad de endpoints y su configuración, consulte Comprobaciones de conformidad de endpoints para Horizon.
Comprobación de conformidad en la autenticación
Opción para deshabilitar o habilitar la comprobación de conformidad de endpoints en la autenticación del usuario.
La conformidad siempre se comprueba cuando un usuario inicia una sesión de aplicación o escritorio. Cuando esta opción está habilitada, la conformidad también se comprueba después de que el usuario se autentique correctamente. Si esta opción está habilitada y se produce un error en la comprobación de conformidad en el momento de la autenticación, la sesión del usuario no continúa.
Si la opción está deshabilitada, Unified Access Gateway solo comprueba la conformidad cuando un usuario inicia una sesión de aplicación o escritorio.
Esta opción solo está disponible cuando se selecciona un proveedor de comprobación de conformidad de endpoints. De forma predeterminada, esta opción está habilitada.
Atención:Si configuró la opción Retraso inicial de comprobación de conformidad en la página Configuración de proveedor para comprobación de conformidad de endpoints, Comprobación de conformidad en la autenticación se deshabilita automáticamente. Unified Access Gateway no comprueba la conformidad de la autenticación. Para obtener más información sobre el intervalo de tiempo y el comportamiento de Unified Access Gateway cuando se configura este intervalo de tiempo, consulte Intervalo de tiempo para retrasar la comprobación de conformidad.
Esta opción también está presente como un parámetro en la sección [Horizon] del archivo .ini y se puede configurar durante la implementación con PowerShell. Para el nombre del parámetro, consulte Ejecutar un script de PowerShell para implementar.
Patrón de proxy
Introduzca la expresión regular que coincida con las URL relacionadas con la URL de Horizon Server (proxyDestinationUrl). Tiene un valor predeterminado de
(/|/view-client(.*)|/portal(.*)|/appblast(.*))
.Nota:El patrón también se puede utilizar para excluir determinadas URL. Por ejemplo, para permitir el paso de todas las URL pero bloquear /admin, puede utilizar la siguiente expresión.
^/(?!admin(.*))(.*)
SP de SAML
Introduzca el nombre del proveedor de servicios de SAML del agente XMLAPI de Horizon. Este nombre debe coincidir con el nombre de los metadatos del proveedor de servicios configurado o tener un valor especial de DEMO.
Habilitar coincidencia canónica de patrón de proxy
Active esta opción para habilitar la coincidencia canónica de Horizon. Unified Access Gateway realiza el equivalente de
C RealPath()
para normalizar las secuencias de caracteres de conversión de URL, como%2E
y eliminar las secuencias de..
para crear una ruta de acceso absoluta. A continuación, se aplica la comprobación de patrones de proxy en la ruta de acceso absoluta.De forma predeterminada, esta opción está activada para los servicios de Horizon Edge.
Nota:De forma predeterminada, esta opción está desactivada para los servicios de proxy inverso de web.
Cerrar sesión al eliminar certificado
Nota:Esta opción está disponible cuando se selecciona cualquiera de los métodos de autenticación de tarjeta inteligente como Método de autenticación.
Si esta opción está activada y se elimina la tarjeta inteligente, se fuerza al usuario final a cerrar una sesión de Unified Access Gateway.
Etiqueta de nombre de usuario para RADIUS
Introduzca texto para personalizar la etiqueta de nombre de usuario en Horizon Client. Por ejemplo,
Domain Username
El método de autenticación RADIUS debe estar habilitado. Para habilitar RADIUS, consulte Configurar autenticación RADIUS.
El nombre predeterminado de la etiqueta es
Username
.La longitud máxima del nombre de la etiqueta es de 20 caracteres.
Etiqueta de código de acceso para RADIUS
Introduzca un nombre para personalizar la etiqueta de código de acceso en Horizon Client. Por ejemplo,
Password
El método de autenticación RADIUS debe estar habilitado. Para habilitar RADIUS, consulte Configurar autenticación RADIUS.
El nombre predeterminado de la etiqueta es
Passcode
.La longitud máxima del nombre de la etiqueta es de 20 caracteres.
Coincidir con el nombre de usuario de Windows
Active esta opción para hacer coincidir el nombre de usuario de RSA SecurID y de Windows. Cuando está activado, securID-auth se establece en true y se aplicará la coincidencia del nombre de usuario de securID y de Windows.
Si Horizon se configura en un entorno de varios dominios, si el nombre de usuario proporcionado no contiene un nombre de dominio, el dominio no se enviará a CS.
Si el sufijo NameID está configurado y el nombre de usuario proporcionado no contiene un nombre de dominio, el valor del sufijo NameID de la configuración se anexará al nombre de usuario. Por ejemplo, si un usuario proporcionó jdoe como nombre de usuario y NameIDSuffix está establecido en @north.int, el nombre de usuario enviado será [email protected].
Si el sufijo NameID está configurado y si el nombre de usuario proporcionado tiene el formato UPN, se omitirá el sufijo NameID. Por ejemplo, si un usuario proporcionó [email protected], NameIDSuffix-@south.int, el nombre de usuario será [email protected]
Si el nombre de usuario proporcionado tiene el formato <DomainName\username>, por ejemplo, NORTH\jdoe, Unified Access Gateway envía el nombre de usuario y el nombre de dominio por separado a CS.
Nota:En Horizon 7, si habilita las opciones Ocultar la información del servidor en la interfaz de usuario del cliente y Ocultar la lista de dominios en la interfaz de usuario del cliente y selecciona la autenticación de dos fases (RSA SecureID o RADIUS) para la instancia del servidor de conexión, no exija que coincidan los nombres de usuarios de Windows. Exigir que coincidan los nombres de usuario de Windows evita que siempre falle el inicio de sesión si los usuarios escriben la información del dominio en el cuadro de texto de nombre de usuario. Para obtener más información, consulte los temas relacionados con la autenticación de dos factores en el documento Administración de Horizon 7.
Ubicación de la puerta de enlace
La ubicación desde la que se origina la solicitud de conexión. El servidor de seguridad y Unified Access Gateway establecen la ubicación de la puerta de enlace. La ubicación puede ser
External
oInternal
.Importante:La ubicación debe establecerse en
Internal
cuando se selecciona cualquiera de los siguientes métodos de autenticación:SAML and Unauthenticated
,SecurID and Unauthenticated
oRADIUS and Unauthenticated
.Mostrar mensaje previo al inicio de sesión del servidor de conexión Active esta opción para mostrar al usuario cualquier mensaje previo al inicio de sesión del servidor de conexión configurado en el servidor de conexión durante los flujos de protocolo principal XML-API. De forma predeterminada, esta opción está activada para los servicios de Horizon Edge. Cuando esta opción está desactivada, el usuario no ve el mensaje previo al inicio de sesión configurado en el servidor de conexión.
Productor de JWT
Seleccione un productor de JWT configurado en el menú desplegable.
Nota: Asegúrese de que el campo Nombre esté configurado en la sección Configuración de productor de JWT de la Configuración avanzada.Destinatarios de JWT
Lista opcional de destinatarios previstos de la instancia de JWT utilizada para la validación de artefactos SAML de Horizon de Workspace ONE Access.
Para que la validación de JWT se realice correctamente, al menos uno de los destinatarios de esta lista debe coincidir con uno de los destinatarios especificados en la configuración de Horizon de Workspace ONE Access. Si no se especifican destinatarios de JWT, la validación de JWT no tiene en cuenta los destinatarios.
Consumidor de JWT
Seleccione el nombre del consumidor de JWT de uno de los ajustes de JWT configurados.
Nota: Para la validación del artefacto SAML de JWT de Workspace ONE Access, asegúrese de que el campo Nombre está configurado en la sección Configuración de consumidor de JWT de la Configuración avanzada.Certificados de confianza
Para seleccionar un certificado en formato PEM y agregarlo al almacén de confianza, haga clic en +.
Para proporcionar un nombre diferente, edite el cuadro de texto del alias.
De forma predeterminada, el nombre de alias es el nombre de archivo del certificado PEM.
Para eliminar un certificado del almacén de confianza, haga clic en -.
Encabezados de seguridad de respuesta
Para agregar un encabezado, haga clic en +. Introduzca el nombre del encabezado de seguridad. Introduzca el valor.
Para eliminar un encabezado, haga clic en -. Editar un encabezado de seguridad existente para actualizar el nombre y el valor del encabezado.
Importante:Los valores y los nombres de encabezado se guardan solo después de hacer clic en Guardar. Algunos encabezados de seguridad estándar existen de forma predeterminada. Los encabezados configurados se agregan a la respuesta al cliente de Unified Access Gateway solo si los encabezados correspondientes no están presentes en la respuesta del servidor back-end configurado.
Nota:Modifique los encabezados de seguridad de respuesta con precaución. La modificación de estos parámetros puede afectar el funcionamiento seguro de Unified Access Gateway.
Ejecutables personalizados de cliente
Este cuadro desplegable enumera los archivos ejecutables personalizados que están configurados en Unified Access Gateway.
Los ejecutables personalizados se configuran como parte de los ajustes avanzados. Se puede configurar un ejecutable para más de un tipo de sistema operativo. Si el ejecutable se agrega a los ajustes de Horizon, también se incluyen todos los tipos de sistema operativo del ejecutable. A continuación, el ejecutable estará disponible para que Horizon Client lo descargue y se ejecute en el dispositivo endpoint después de la autenticación correcta del usuario.
Para obtener más información sobre cómo configurar ejecutables personalizados, consulte Ejecutables personalizados de cliente.
Asignaciones de redireccionamiento de puerto de host
Para obtener información sobre cómo Unified Access Gateway admite la capacidad de redireccionamiento de host HTTP y algunas consideraciones necesarias para usar esta capacidad, consulte Compatibilidad de Unified Access Gateway con el redireccionamiento de host HTTP.
Nota:El host de origen y el host de redireccionamiento admiten un puerto opcional, separado por dos puntos. El número de puerto predeterminado es
443
.Host de origen:Puerto
Introduzca el nombre de host del origen (valor de encabezado del host).
Host de redireccionamiento:Puerto
Introduzca el nombre de host del dispositivo individual de Unified Access Gateway, cuya afinidad debe mantenerse con Horizon Client.
Entradas de host
Introduzca los detalles que se agregarán en el archivo /etc/hosts. Cada entrada debe incluir una IP, un nombre de host y un alias de nombre de host opcional en este orden y separados por un espacio. Por ejemplo, 10.192.168.1 ejemplo1.com, 10.192.168.2 ejemplo2.com ejemplo-alias. Haga clic en el signo "+" para agregar varias entradas de host.
Importante:Las entradas de host solo se guardan después de hacer clic en Guardar.
Destinatarios de SAML
Asegúrese de que se haya seleccionado un método de autenticación SAML o SAML y Pass-Through.
Introduzca la URL de los destinatarios.
Nota:Si el cuadro de texto se deja en blanco, no se restringirán los destinatarios de forma alguna.
Para comprender cómo Unified Access Gateway admite los destinatarios de SAML, consulte Destinatarios de SAML.
Atributo de nombre de usuario sin autenticar SAML
Introduzca el nombre del atributo personalizado
Nota:Este campo solo está disponible cuando el valor de Métodos de autenticación es
SAML and Unauthenticated
.Cuando Unified Access Gateway valida la aserción de SAML, si el nombre de atributo especificado en este campo está presente en la aserción, Unified Access Gateway proporciona acceso sin autenticar al nombre de usuario configurado para el atributo en el proveedor de identidad.
Para obtener más información sobre el método
SAML and Unauthenticated
, consulte Métodos de autenticación para la integración de Unified Access Gateway y proveedores de identidades de terceros.Nombre de usuario sin autenticar predeterminado
Introduzca el nombre de usuario predeterminado que se debe utilizar para el acceso sin autenticar
Este campo está disponible en la interfaz de usuario del administrador cuando se selecciona uno de los siguientes Métodos de autenticación:
SAML and Unauthenticated
,SecurID and Unauthenticated
yRADIUS and Unauthenticated
.Nota:Para el método de autenticación
SAML and Unauthenticated
, el nombre de usuario predeterminado para el acceso sin autenticar solo se utiliza cuando el campo Atributo de nombre de usuario sin autenticar SAML está vacío o cuando falta el nombre de atributo especificado en este campo en la aserción de SAML.Deshabilitar HTML Access
Si esta opción está activada, se deshabilita el acceso web a Horizon. Consulte más información en Configurar OPSWAT como proveedor de comprobación de conformidad de endpoints para Horizon.
- (Opcional) Configure la lista de funciones de BSG mediante la importación JSON en la interfaz de usuario de administrador o el archivo de configuración INI a través de la implementación de PowerShell.
Se admiten dos tipos de listas.
- Lista de funciones estándar: contiene la siguiente lista de funciones estándar.
Nombre descriptivo Nombre de función estándar Redireccionamiento del portapapeles MKSCchan
Redireccionamiento HTML5/Geolocalización html5mmr
Servidor RDE VMwareRde;UNITY_UPDATE_CHA
TSMMR tsmmr
Redireccionamiento de puerto serie/escáner NLR3hv;NLW3hv
Redireccionamiento de impresora PrintRedir
CDR tsdr
Redireccionamiento USB UsbRedirection
Redireccionamiento de unidades de almacenamiento SDRTrans
Telemetría de TlmStat TlmStat
Ver escáner VMWscan
Redireccionamiento de FIDO2 fido2
- Lista de funciones personalizadas: texto libre que puede contener varias funciones. Admite caracteres especiales y no ingleses.
Nota:Esta función solo se aplica a Horizon Agent para Windows. De forma predeterminada, la lista de funciones de BSG no está configurada, y se permiten todas las funciones de experiencia remota. Si la lista de funciones de BSG está configurada, solo se permiten las funciones de experiencia remotas especificadas en la lista y todas las demás funciones se bloquean.
Utilice uno de los siguientes métodos para configurar la lista de funciones de BSG.
Opción Descripción Archivo INI Agregue la siguiente configuración en el ajuste
[Horizon/Blast]
.standardFeature1=PrintRedir standardFeature2=UsbRedirection customFeature1=acme_desktop1 customFeature2=acme_desktop2
Archivo JSON Abra el archivo JSON existente y agregue el nuevo nodo blastSettings similar al siguiente ejemplo.
“blastExternalUrl”: “https://example.com/”, “blastSettings”: { “blastStandardFeatures”: [ “PrintRedir”, “UsbRedirection” ], “blastCustomFeatures”: [ “acme_desktop1”, “acme_desktop2” ] },
- Lista de funciones estándar: contiene la siguiente lista de funciones estándar.
- Haga clic en Guardar.