Unified Access Gateway se puede implementar con Horizon Cloud with On-Premises Infrastructure y Horizon Air con infraestructura de nube. Para la implementación de Horizon, el dispositivo de Unified Access Gateway sustituye al servidor de seguridad de Horizon.

Requisitos previos

Si desea tener Horizon y una instancia de proxy inverso de web como VMware Identity Manager configurados y habilitados en la misma instancia de Unified Access Gateway, consulte Configuración avanzada del servicio perimetral.

Procedimiento

  1. En la sección Configuración manual de la IU del administrador, haga clic en Seleccionar.
  2. En Configuración general > Configuración de servicio perimetral, haga clic en Mostrar.
  3. Haga clic en el icono de engranaje de Configuración de Horizon.
  4. En la página Configuración de Horizon, cambie de NO a para habilitar Horizon.
  5. Configure los siguientes recursos de las opciones del servicio perimetral de Horizon:
    Opción Descripción
    Identificador Se establece de forma predeterminada como Horizon. Unified Access Gateway se puede comunicar con servidores que utilizan el protocolo XML de Horizon, como el servidor de conexión de Horizon, Horizon Air y Horizon Cloud with On-Premises Infrastructure.
    URL del servidor de conexión Introduzca la dirección del servidor Horizon o del equilibrador de carga. Introdúzcala como https://00.00.00.00.
    Huella digital de URL del servidor de conexión Introduzca la lista de huellas digitales del servidor de Horizon.

    Si no proporciona una lista de huellas digitales, asegúrese de que una entidad de certificación de confianza emita los certificados del servidor. Introduzca los dígitos hexadecimales de las huellas digitales. Por ejemplo, sha1= C3 89 A2 19 DC 7A 48 2B 85 1C 81 EC 5E 8F 6A 3C 33 F2 95 C3.

    Habilitar PCoIP Cambie de NO a para especificar si la puerta de enlace segura de PCoIP está habilitada.
    URL externa de PCoIP

    URL utilizada por los clientes de Horizon para establecer la sesión PCoIP de Horizon en este dispositivo de Unified Access Gateway. Debe contener una dirección IPv4 y no un nombre de host. Por ejemplo, 10.1.2.3:4172. El valor predeterminado es la dirección IP de Unified Access Gateway y el puerto 4172.

    Habilitar Blast Para utilizar la puerta de enlace segura de Blast, cambie de NO a .
    Modo de IP de servidor de conexión En el menú desplegable, seleccione IPv4, IPv6 o IPv4+IPv6. El valor predeterminado es IPv4.
  6. Para configurar la función del método de autenticación y otras opciones avanzadas, haga clic en Más.
    Opción Descripción
    Métodos de autenticación Seleccione los métodos de autenticación que desea utilizar.

    El método predeterminado es la autenticación pass-through del nombre de usuario y la contraseña. Los métodos de autenticación que configuró en Unified Access Gateway se muestran en los menús desplegables. Actualmente se admiten los métodos de autenticación RSA SecurID y RADIUS.

    Para configurar la autenticación que incluye la aplicación de un segundo método de autenticación si el primer intento de autenticación falla:

    1. Seleccione un método de autenticación en el menú desplegable.
    2. Haga clic en + y seleccione Y u O.
    3. Seleccione el segundo método de autenticación en el tercer menú desplegable.

    Para pedir a los usuarios que se autentiquen a través de dos métodos de autenticación, cambie de O a Y en el menú desplegable.

    Nota:
    • Con la implementación de PowerShell, para la autenticación de RSA SecurID, configure esta opción para utilizar securid-auth AND sp-auth para mostrar la pantalla de código de acceso.
    • Con la implementación de vSphere, para la autenticación de RSA SecurID, configure esta opción para utilizar securid-auth para mostrar la pantalla de código de acceso.
    • Agregue las siguientes líneas a la sección de Horizon del archivo INI.
      authMethods=securid-auth && sp-auth
      matchWindowsUserName=true
      Agregue una nueva sección en la parte inferior del archivo INI.
      [SecurIDAuth]
      serverConfigFile=C:\temp\sdconf.rec
      externalHostName=192.168.0.90
      internalHostName=192.168.0.90

      En ambas direcciones IP se debe establecer la dirección IP de Unified Access Gateway. El archivo sdconf.rec se obtiene de RSA Authentication Manager, que debe estar completamente configurado. Compruebe que está utilizando Access Point 2.5 o una versión posterior (o Unified Access Gateway 3.0 o una versión posterior) y que puede acceder desde Unified Access Gateway al servidor RSA Authentication Manager a través de la red. Vuelva a ejecutar el comando de PowerShell uagdeploy para volver a implementar la Unified Access Gateway configurada para RSA SecurID.

    Ruta de acceso URI de comprobación de estado La ruta de acceso URI del servidor de conexión al que se conecta Unified Access Gateway para supervisar el estado.
    URL externa de Blast URL utilizada por Horizon Client para establecer la sesión de Horizon Blast o BEAT a este dispositivo de Unified Access Gateway. Por ejemplo, https://uag1.myco.com o https://uag1.myco.com:443.

    Si no se especifica el número de puerto TCP, el puerto TCP predeterminado es el puerto 8443. Si no se especifica el número de puerto UDP, el puerto UDP predeterminado es también el puerto 8443.

    Habilitar túnel Si se utiliza el túnel seguro de Horizon, cambie de NO a . El cliente utiliza la URL externa para conexiones de túnel a través de la puerta de enlace segura de Horizon. El túnel se utiliza para RDP, USB y tráfico de redirección multimedia (MMR).
    URL externa de túnel URL utilizada por los clientes de Horizon para establecer la sesión de túnel de Horizon en este dispositivo de Unified Access Gateway. Por ejemplo, https://uag1.myco.com o https://uag1.myco.com:443.

    Si no se especifica el número de puerto TCP, el puerto TCP predeterminado es el puerto 443.

    Proveedor para comprobación de conformidad de endpoints Seleccione el proveedor para comprobación de conformidad de endpoints. El valor predeterminado es OPSWAT.
    Patrón de proxy

    Introduzca la expresión regular que coincida con los identificadores URI relacionados con la Horizon Server URL (proxyDestinationUrl). Tiene un valor predeterminado de (/|/view-client(.*)|/portal(.*)|/appblast(.*)).

    SP de SAML Introduzca el nombre del proveedor de servicios de SAML del agente XMLAPI de Horizon. Este nombre debe coincidir con el nombre de los metadatos del proveedor de servicios configurado o tener un valor especial de DEMO.
    Coincidir con el nombre de usuario de Windows Cambie de NO a para hacer coincidir el nombre de usuario de RSA SecurID y de Windows. Si el valor es SÍ, securID-auth se establece en true y se aplicará la coincidencia del nombre de usuario de securID y de Windows.
    Ubicación de la puerta de enlace La ubicación desde la que se origina la solicitud de conexión. El servidor de seguridad y Unified Access Gateway establecen la ubicación de la puerta de enlace. La ubicación puede ser interna o externa.
    Certificados de confianza Agregue un certificado de confianza a este servicio perimetral. Haga clic en '+' para seleccionar un certificado en formato PEM y agregarlo al almacén de confianza. Haga clic en '-' para eliminar un certificado del almacén de confianza. De forma predeterminada, el nombre de alias es el nombre de archivo del certificado PEM. Edite el cuadro de texto del alias para proporcionar un nombre diferente.
    Entradas de host Introduzca los detalles que se agregarán en el archivo /etc/hosts. Cada entrada debe incluir una IP, un nombre de host y un alias de nombre de host opcional en este orden y separados por un espacio. Por ejemplo, 10.192.168.1 ejemplo1.com, 10.192.168.2 ejemplo2.com ejemplo-alias. Haga clic en el signo "+" para agregar varias entradas de host.
    Importante: Las entradas de host solo se guardan después de hacer clic en Guardar.
    Deshabilitar HTML Access Si se establece en SÍ, se deshabilita el acceso web a Horizon. Consulte más información en Comprobaciones de conformidad de endpoints para Horizon.
  7. Haga clic en Guardar.