Unified Access Gateway se puede implementar con Horizon Cloud with On-Premises Infrastructure y Horizon Air con infraestructura de nube. Para la implementación de Horizon, el dispositivo de Unified Access Gateway sustituye al servidor de seguridad de Horizon.

Requisitos previos

Si desea tener Horizon y una instancia de proxy inverso de web como Workspace ONE Access configurados y habilitados en la misma instancia de Unified Access Gateway, consulte Configuración avanzada del servicio perimetral.

Procedimiento

  1. En la sección Configuración manual de la IU del administrador, haga clic en Seleccionar.
  2. En Configuración general > Configuración de servicio perimetral, haga clic en Mostrar.
  3. Haga clic en el icono de engranaje de Configuración de Horizon.
  4. En la página Configuración de Horizon, cambie de NO a para habilitar Horizon.
  5. Configure los siguientes recursos de las opciones del servicio perimetral de Horizon:
    Opción Descripción
    Identificador Se establece de forma predeterminada como Horizon. Unified Access Gateway se puede comunicar con servidores que utilizan el protocolo XML de Horizon, como el servidor de conexión de Horizon, Horizon Air y Horizon Cloud with On-Premises Infrastructure.
    URL del servidor de conexión Introduzca la dirección del servidor Horizon o del equilibrador de carga. Introdúzcala como https://00.00.00.00.
    Huella digital de URL del servidor de conexión Introduzca la lista de huellas digitales del servidor de Horizon.

    Si no proporciona una lista de huellas digitales, asegúrese de que una entidad de certificación de confianza emita los certificados del servidor. Introduzca los dígitos hexadecimales de las huellas digitales. Por ejemplo, sha1= C3 89 A2 19 DC 7A 48 2B 85 1C 81 EC 5E 8F 6A 3C 33 F2 95 C3.

    Habilitar PCOIP Cambie de NO a para especificar si la puerta de enlace segura de PCoIP está habilitada.
    Deshabilitar certificado heredado PCOIP Cambie de NO a para especificar que se usará el certificado de servidor SSL cargado en lugar del certificado heredado. Los clientes PCoIP heredados no funcionarán si este parámetro se establece en .
    URL externa de PCoIP

    URL utilizada por los clientes de Horizon para establecer la sesión PCoIP de Horizon en este dispositivo de Unified Access Gateway. Debe contener una dirección IPv4 y no un nombre de host. Por ejemplo, 10.1.2.3:4172. El valor predeterminado es la dirección IP de Unified Access Gateway y el puerto 4172.

    Habilitar Blast Para utilizar la puerta de enlace segura de Blast, cambie de NO a .
    Modo de IP de servidor de conexión Indica el modo IP de una instancia de Horizon Connection Server

    Este campo puede tener los siguientes valores: IPv4, IPv6 y IPv4+IPv6.

    El valor predeterminado es IPv4.

    • Si todas las NIC del dispositivo Unified Access Gateway están en modo IPv4 (no en modo IPv6), este campo puede tener uno de los siguientes valores: IPv4 o IPv4+IPv6 (modo mixto).
    • Si todas las NIC del dispositivo Unified Access Gateway están en modo IPv6 (no en modo IPv4), este campo puede tener uno de los siguientes valores: IPv6 o IPv4+IPv6 (modo mixto).
    Encabezado de origen de reescritura Si una solicitud entrante a Unified Access Gateway tiene el encabezado Origin y el campo Encabezado de origen de reescritura está habilitado, Unified Access Gateway vuelve a escribir el encabezado Origin con la URL del servidor de conexión.

    El campo Encabezado de origen de reescritura funciona junto con la propiedad checkOrigin CORS de Horizon Connection Server. Cuando este campo está habilitado, el administrador de Horizon puede omitir la necesidad de especificar direcciones IP de Unified Access Gateway en el archivo locked.properties.

    Para obtener información sobre la comprobación de origen, consulte la documentación de Seguridad de Horizon 7.

  6. Para configurar la función del método de autenticación y otras opciones avanzadas, haga clic en Más.
    Opción Descripción
    Métodos de autenticación El método predeterminado es la autenticación Pass-Through del nombre de usuario y la contraseña.

    Se admiten los siguientes métodos de autenticación: SAML, SAML and Unauthenticated, RSA SecurID, SecurID and Unauthenticated, RADIUS, RADIUS and Unauthenticated y Device Certificate.

    Importante: Si ha elegido cualquiera de los métodos de Unauthenticated como método de autenticación, asegúrese de configurar el Nivel de ralentización de inicio de sesión de Horizon Connection Server en Low. Esta configuración es necesaria para evitar un retraso prolongado en el tiempo de inicio de sesión de los endpoints al acceder a la aplicación o al escritorio remotos.

    Para obtener más información sobre cómo configurar el Nivel de ralentización de inicio de sesión, consulte la documentación de Administración de Horizon en VMware Docs.

    Habilitar SSO de Windows Esto se puede habilitar cuando los métodos de autenticación se establecen en RADIUS y cuando el código de acceso de RADIUS es el mismo que la contraseña de dominio de Windows. Cambie NO a para utilizar el nombre de usuario y el código de acceso de RADIUS para las credenciales de inicio de sesión del dominio de Windows a fin de evitar tener que volver a preguntar al usuario.

    Si Horizon se configura en un entorno de varios dominios, si el nombre de usuario proporcionado no contiene un nombre de dominio, el dominio no se enviará a CS.

    Si el sufijo NameID está configurado y el nombre de usuario proporcionado no contiene un nombre de dominio, el valor del sufijo NameID de la configuración se anexará al nombre de usuario. Por ejemplo, si un usuario proporcionó jdoe como nombre de usuario y NameIDSuffix está establecido en @north.int, el nombre de usuario enviado será [email protected].

    Si el sufijo NameID está configurado y si el nombre de usuario proporcionado tiene el formato UPN, se omitirá el sufijo NameID. Por ejemplo, si un usuario proporcionó [email protected], NameIDSuffix-@south.int, el nombre de usuario será [email protected]

    Si el nombre de usuario proporcionado tiene el formato <DomainName\username>, por ejemplo, NORTH\jdoe, Unified Access Gateway envía el nombre de usuario y el nombre de dominio por separado a CS.

    Atributos de clase de RADIUS Esta opción está habilitada cuando los métodos de autenticación se establecen en RADIUS. Haga clic en "+" para agregar un valor para el atributo de clase. Introduzca el nombre del atributo de clase que se utilizará para la autenticación de usuario. Haga clic en "-" para eliminar un atributo de clase.
    Nota: Si este campo se deja en blanco, no se realizará la autorización adicional.
    Texto de renuncia de responsabilidad

    El texto del mensaje de exención de responsabilidades de Horizon que se muestra al usuario y que acepta el usuario en caso de que se configure el Método de autenticación.

    Solicitud de la sugerencia de tarjeta inteligente Cambie de NO a para habilitar la sugerencia de contraseña para la autenticación del certificado.
    Ruta de acceso URI de comprobación de estado La ruta de acceso URI del servidor de conexión al que se conecta Unified Access Gateway para supervisar el estado.
    URL externa de Blast URL utilizada por Horizon Client para establecer la sesión de Horizon Blast o BEAT a este dispositivo de Unified Access Gateway. Por ejemplo, https://uag1.myco.com o https://uag1.myco.com:443.

    Si no se especifica el número de puerto TCP, el puerto TCP predeterminado es el puerto 8443. Si no se especifica el número de puerto UDP, el puerto UDP predeterminado es también el puerto 8443.

    Habilitar servidor del túnel UDP Si el ancho de banda es bajo, las conexiones se establecen a través del servidor del túnel UDP.
    Certificado de proxy de Blast

    Certificado de proxy para Blast. Haga clic en Seleccionar para cargar un certificado en formato PEM y agregarlo al almacén de confianza de BLAST. Haga clic en Cambiar para sustituir el certificado existente.

    Si el usuario carga manualmente el mismo certificado para Unified Access Gateway en el equilibrador de carga y necesita utilizar un certificado diferente para Unified Access Gateway y Blast Gateway, el establecimiento de una sesión de escritorio de Blast fallará, ya que la huella digital entre el cliente y Unified Access Gateway no coincide. La introducción de una huella digital personalizada en Unified Access Gateway o Blast Gateway resuelve este problema mediante la retransmisión de la huella digital para establecer la sesión del cliente.

    Habilitar Tunnel Si se utiliza el túnel seguro de Horizon, cambie de NO a . El cliente utiliza la URL externa para conexiones de túnel a través de la puerta de enlace segura de Horizon. El túnel se utiliza para RDP, USB y tráfico de redirección multimedia (MMR).
    URL externa de Tunnel URL utilizada por los clientes de Horizon para establecer la sesión de Horizon Tunnel en este dispositivo Unified Access Gateway. Por ejemplo, https://uag1.myco.com o https://uag1.myco.com:443.

    Si no se especifica el número de puerto TCP, el puerto TCP predeterminado es el puerto 443.

    Certificado de proxy de Tunnel

    Certificado de proxy para Horizon Tunnel. Haga clic en Seleccionar para cargar un certificado en formato PEM y agregarlo al almacén de confianza de Tunnel. Haga clic en Cambiar para sustituir el certificado existente.

    Si el usuario carga manualmente el mismo certificado para Unified Access Gateway en el equilibrador de carga y necesita utilizar un certificado diferente para Unified Access Gateway y Horizon Tunnel, el establecimiento de una sesión de escritorio de Tunnel fallará, ya que la huella digital entre el cliente y Unified Access Gateway no coincide. La introducción de una huella digital personalizada para Unified Access Gateway u Horizon Tunnel resuelve este problema mediante la retransmisión de la huella digital para establecer la sesión del cliente.

    Proveedor para comprobación de conformidad de endpoints Seleccione el proveedor para comprobación de conformidad de endpoints.

    El valor predeterminado es OPSWAT.

    Patrón de proxy
    Introduzca la expresión regular que coincida con los identificadores URI relacionados con la Horizon Server URL (proxyDestinationUrl). Tiene un valor predeterminado de (/|/view-client(.*)|/portal(.*)|/appblast(.*)).
    Nota: El patrón también se puede utilizar para excluir determinadas URL. Por ejemplo, para permitir el paso de todas las URL pero bloquear /admin, puede utilizar la siguiente expresión. ^/(?!admin(.*))(.*)
    SP de SAML Introduzca el nombre del proveedor de servicios de SAML del agente XMLAPI de Horizon. Este nombre debe coincidir con el nombre de los metadatos del proveedor de servicios configurado o tener un valor especial de DEMO.
    Cerrar sesión al eliminar certificado
    Nota: Esta opción está disponible cuando se selecciona cualquiera de los métodos de autenticación de tarjeta inteligente como Método de autenticación.

    Si esta opción está establecida en YES y se elimina la tarjeta inteligente, se fuerza al usuario final a cerrar la sesión de Unified Access Gateway.

    Etiqueta de nombre de usuario para RADIUS Introduzca texto para personalizar la etiqueta del nombre de usuario en Horizon Client. Por ejemplo, Domain Username

    El método de autenticación RADIUS debe estar habilitado. Para habilitar RADIUS, consulte Configurar autenticación RADIUS.

    El nombre predeterminado de la etiqueta es Username.

    La longitud máxima del nombre de la etiqueta es de 20 caracteres.

    Etiqueta de código de acceso para RADIUS Introduzca un nombre para personalizar la etiqueta de código de acceso en Horizon Client. Por ejemplo, Password

    El método de autenticación RADIUS debe estar habilitado. Para habilitar RADIUS, consulte Configurar autenticación RADIUS.

    El nombre predeterminado de la etiqueta es Passcode.

    La longitud máxima del nombre de la etiqueta es de 20 caracteres.

    Coincidir con el nombre de usuario de Windows Cambie de NO a para hacer coincidir el nombre de usuario de RSA SecurID y de Windows. Si el valor es , securID-auth se establece en true y se aplicará la coincidencia del nombre de usuario de securID y de Windows.

    Si Horizon se configura en un entorno de varios dominios, si el nombre de usuario proporcionado no contiene un nombre de dominio, el dominio no se enviará a CS.

    Si el sufijo NameID está configurado y el nombre de usuario proporcionado no contiene un nombre de dominio, el valor del sufijo NameID de la configuración se anexará al nombre de usuario. Por ejemplo, si un usuario proporcionó jdoe como nombre de usuario y NameIDSuffix está establecido en @north.int, el nombre de usuario enviado será [email protected].

    Si el sufijo NameID está configurado y si el nombre de usuario proporcionado tiene el formato UPN, se omitirá el sufijo NameID. Por ejemplo, si un usuario proporcionó [email protected], NameIDSuffix-@south.int, el nombre de usuario será [email protected]

    Si el nombre de usuario proporcionado tiene el formato <DomainName\username>, por ejemplo, NORTH\jdoe, Unified Access Gateway envía el nombre de usuario y el nombre de dominio por separado a CS.

    Nota: En Horizon 7, si habilita las opciones Ocultar la información del servidor en la interfaz de usuario del cliente y Ocultar la lista de dominios en la interfaz de usuario del cliente y selecciona la autenticación de dos fases (RSA SecureID o RADIUS) para la instancia del servidor de conexión, no exija que coincidan los nombres de usuarios de Windows. Exigir que coincidan los nombres de usuario de Windows evita que siempre falle el inicio de sesión si los usuarios escriben la información del dominio en el cuadro de texto de nombre de usuario. Para obtener más información, consulte los temas relacionados con la autenticación de dos factores en el documento Administración de Horizon 7.
    Ubicación de la puerta de enlace La ubicación desde la que se origina la solicitud de conexión. El servidor de seguridad y Unified Access Gateway establecen la ubicación de la puerta de enlace. La ubicación puede ser External o Internal.
    Importante: La ubicación debe establecerse en Internal cuando se selecciona cualquiera de los siguientes métodos de autenticación: SAML and Unauthenticated, SecurID and Unauthenticated o RADIUS and Unauthenticated.
    Configuración de JWT
    Nota: Para la validación del artefacto SAML de JWT de Workspace ONE Access, asegúrese de que el campo Nombre está configurado en la sección Configuración de JWT de la Configuración avanzada.
    Seleccione el nombre de uno de los ajustes de Configuración de JWT.
    Destinatarios de JWT Lista opcional de destinatarios previstos de la instancia de JWT utilizada para la validación de artefactos SAML de Horizon de Workspace ONE Access.

    Para que la validación de JWT se realice correctamente, al menos uno de los destinatarios de esta lista debe coincidir con uno de los destinatarios especificados en la configuración de Horizon de Workspace ONE Access. Si no se especifican destinatarios de JWT, la validación de JWT no tiene en cuenta los destinatarios.

    Certificados de confianza Agregue un certificado de confianza a este servicio perimetral. Haga clic en '+' para seleccionar un certificado en formato PEM y agregarlo al almacén de confianza. Haga clic en '-' para eliminar un certificado del almacén de confianza. De forma predeterminada, el nombre de alias es el nombre de archivo del certificado PEM. Edite el cuadro de texto del alias para proporcionar un nombre diferente.
    Encabezados de seguridad de respuesta Haga clic en '+' para agregar un encabezado. Introduzca el nombre del encabezado de seguridad. Introduzca el valor. Haga clic en '-' para quitar un encabezado. Editar un encabezado de seguridad existente para actualizar el nombre y el valor del encabezado.
    Importante: Los valores y los nombres de encabezado se guardan solo después de hacer clic en Guardar. Algunos encabezados de seguridad estándar existen de forma predeterminada. Los encabezados configurados se agregan a la respuesta al cliente de Unified Access Gateway solo si los encabezados correspondientes no están presentes en la respuesta del servidor back-end configurado.
    Nota: Modifique los encabezados de seguridad de respuesta con precaución. La modificación de estos parámetros puede afectar el funcionamiento seguro de Unified Access Gateway.
    Asignaciones de redireccionamiento de host

    Para obtener información sobre cómo UAG admite la capacidad de redireccionamiento de host HTTP y algunas consideraciones necesarias para usar esta capacidad, consulte Compatibilidad de Unified Access Gateway con el redireccionamiento de host HTTP.

    • Host de origen

      Introduzca el nombre de host del origen (equilibrador de carga).

    • Host de redireccionamiento

      Introduzca el nombre de host del dispositivo de UAG (Unified Access Gateway), cuya afinidad debe mantenerse con Horizon Client.

    Entradas de host Introduzca los detalles que se agregarán en el archivo /etc/hosts. Cada entrada debe incluir una IP, un nombre de host y un alias de nombre de host opcional en este orden y separados por un espacio. Por ejemplo, 10.192.168.1 ejemplo1.com, 10.192.168.2 ejemplo2.com ejemplo-alias. Haga clic en el signo "+" para agregar varias entradas de host.
    Importante: Las entradas de host solo se guardan después de hacer clic en Guardar.
    Destinatarios de SAML

    Asegúrese de que se haya seleccionado un método de autenticación SAML o SAML y Pass-Through.

    Introduzca la URL de los destinatarios.
    Nota: Si el cuadro de texto se deja en blanco, no se restringirán los destinatarios de forma alguna.

    Para comprender cómo admite UAG los destinatarios de SAML, consulte Destinatarios de SAML.

    Atributo de nombre de usuario sin autenticar SAML Introduzca el nombre del atributo personalizado
    Nota: Este campo solo está disponible cuando el valor de Métodos de autenticación es SAML and Unauthenticated.
    Cuando UAG valida la aserción de SAML, si el nombre de atributo especificado en este campo está presente en la aserción, UAG proporciona acceso sin autenticar al nombre de usuario configurado para el atributo en el proveedor de identidad.

    Para obtener más información sobre el método SAML and Unauthenticated, consulte Métodos de autenticación para la integración de Unified Access Gateway y proveedores de identidades de terceros.

    Nombre de usuario sin autenticar predeterminado Introduzca el nombre de usuario predeterminado que se debe usar para el acceso sin autenticar

    Este campo está disponible en la IU de administrador cuando se selecciona uno de los siguientes Métodos de autenticación: SAML and Unauthenticated, SecurID and Unauthenticated y RADIUS and Unauthenticated.

    Nota: Para el método de autenticación SAML and Unauthenticated, el nombre de usuario predeterminado para el acceso sin autenticar se utiliza solo cuando el campo Atributo de nombre de usuario sin autenticar SAML está vacío o cuando falta el nombre de atributo especificado en este campo en la aserción de SAML.
    Deshabilitar HTML Access Si se establece en SÍ, se deshabilita el acceso web a Horizon. Consulte más información en Configurar los ajustes de proveedor para comprobación de conformidad de endpoints para Horizon.
  7. Haga clic en Guardar.