Unified Access Gateway se puede implementar con Horizon Cloud with On-Premises Infrastructure y Horizon Air con infraestructura de nube. Para la implementación de Horizon, el dispositivo de Unified Access Gateway sustituye al servidor de seguridad de Horizon.

Requisitos previos

Si desea tener Horizon y una instancia de proxy inverso de web como VMware Identity Manager configurados y habilitados en la misma instancia de Unified Access Gateway, consulte Configuración avanzada del servicio perimetral.

Procedimiento

  1. En la sección Configuración manual de la IU del administrador, haga clic en Seleccionar.
  2. En Configuración general > Configuración de servicio perimetral, haga clic en Mostrar.
  3. Haga clic en el icono de engranaje de Configuración de Horizon.
  4. En la página Configuración de Horizon, cambie de NO a para habilitar Horizon.
  5. Configure los siguientes recursos de las opciones del servicio perimetral de Horizon:

    Opción

    Descripción

    Identificador

    Se establece de forma predeterminada como Horizon. Unified Access Gateway se puede comunicar con servidores que utilizan el protocolo XML de Horizon, como el servidor de conexión de Horizon, Horizon Air y Horizon Cloud with On-Premises Infrastructure.

    URL del servidor de conexión

    Introduzca la dirección del servidor Horizon o del equilibrador de carga. Introdúzcala como https://00.00.00.00.

    Huella digital de URL del servidor de conexión

    Introduzca la lista de huellas digitales del servidor de Horizon.

    Si no proporciona una lista de huellas digitales, asegúrese de que una entidad de certificación de confianza emita los certificados del servidor. Introduzca los dígitos hexadecimales de las huellas digitales. Por ejemplo, sha1= C3 89 A2 19 DC 7A 48 2B 85 1C 81 EC 5E 8F 6A 3C 33 F2 95 C3.

    Habilitar PCOIP

    Cambie de NO a para especificar si la puerta de enlace segura de PCoIP está habilitada.

    Deshabilitar certificado heredado PCOIP

    Cambie de NO a para especificar que se usará el certificado de servidor SSL cargado en lugar del certificado heredado. Los clientes PCoIP heredados no funcionarán si este parámetro se establece en .

    URL externa de PCoIP

    URL utilizada por los clientes de Horizon para establecer la sesión PCoIP de Horizon en este dispositivo de Unified Access Gateway. Debe contener una dirección IPv4 y no un nombre de host. Por ejemplo, 10.1.2.3:4172. El valor predeterminado es la dirección IP de Unified Access Gateway y el puerto 4172.

    Habilitar Blast

    Para utilizar la puerta de enlace segura de Blast, cambie de NO a .

    Modo de IP de servidor de conexión

    En el menú desplegable, seleccione IPv4, IPv6 o IPv4+IPv6. El valor predeterminado es IPv4.

  6. Para configurar la función del método de autenticación y otras opciones avanzadas, haga clic en Más.

    Opción

    Descripción

    Métodos de autenticación

    Seleccione los métodos de autenticación que desea utilizar.

    El método predeterminado es la autenticación pass-through del nombre de usuario y la contraseña. Los métodos de autenticación que configuró en Unified Access Gateway se muestran en los menús desplegables. Actualmente se admiten los métodos de autenticación RSA SecurID y RADIUS.

    Para configurar la autenticación que incluye la aplicación de un segundo método de autenticación si el primer intento de autenticación falla:

    1. Seleccione un método de autenticación en el menú desplegable.

    2. Haga clic en + y seleccione Y u O.

    3. Seleccione el segundo método de autenticación en el tercer menú desplegable.

    Para pedir a los usuarios que se autentiquen a través de dos métodos de autenticación, cambie de O a Y en el menú desplegable.

    Nota:
    • Con la implementación de PowerShell, para la autenticación de RSA SecurID, configure esta opción para utilizar securid-auth AND sp-auth para mostrar la pantalla de código de acceso.

    • Con la implementación de vSphere, para la autenticación de RSA SecurID, configure esta opción para utilizar securid-auth para mostrar la pantalla de código de acceso.

    • Agregue las siguientes líneas a la sección de Horizon del archivo INI.

      authMethods=securid-auth && sp-auth
      matchWindowsUserName=true

      Agregue una nueva sección en la parte inferior del archivo INI.

      [SecurIDAuth]
      serverConfigFile=C:\temp\sdconf.rec
      externalHostName=192.168.0.90
      internalHostName=192.168.0.90

      En ambas direcciones IP se debe establecer la dirección IP de Unified Access Gateway. El archivo sdconf.rec se obtiene de RSA Authentication Manager, que debe estar completamente configurado. Compruebe que está utilizando Access Point 2.5 o una versión posterior (o Unified Access Gateway 3.0 o una versión posterior) y que puede acceder desde Unified Access Gateway al servidor RSA Authentication Manager a través de la red. Vuelva a ejecutar el comando de PowerShell uagdeploy para volver a implementar la Unified Access Gateway configurada para RSA SecurID.

    Ruta de acceso URI de comprobación de estado

    La ruta de acceso URI del servidor de conexión al que se conecta Unified Access Gateway para supervisar el estado.

    URL externa de Blast

    URL utilizada por Horizon Client para establecer la sesión de Horizon Blast o BEAT a este dispositivo de Unified Access Gateway. Por ejemplo, https://uag1.myco.com o https://uag1.myco.com:443.

    Si no se especifica el número de puerto TCP, el puerto TCP predeterminado es el puerto 8443. Si no se especifica el número de puerto UDP, el puerto UDP predeterminado es también el puerto 8443.

    Habilitar servidor del túnel UDP

    Si el ancho de banda es bajo, las conexiones se establecen a través del servidor del túnel UDP.

    Certificado de proxy de Blast

    Certificado de proxy para Blast. Haga clic en Seleccionar para cargar un certificado en formato PEM y agregarlo al almacén de confianza de BLAST. Haga clic en Cambiar para sustituir el certificado existente.

    Si el usuario carga manualmente el mismo certificado para Unified Access Gateway en el equilibrador de carga y necesita utilizar un certificado diferente para Unified Access Gateway y Blast Gateway, el establecimiento de una sesión de escritorio de Blast fallará, ya que la huella digital entre el cliente y Unified Access Gateway no coincide. La introducción de una huella digital personalizada en Unified Access Gateway o Blast Gateway resuelve este problema mediante la retransmisión de la huella digital para establecer la sesión del cliente.

    Habilitar Tunnel

    Si se utiliza el túnel seguro de Horizon, cambie de NO a . El cliente utiliza la URL externa para conexiones de túnel a través de la puerta de enlace segura de Horizon. El túnel se utiliza para RDP, USB y tráfico de redirección multimedia (MMR).

    URL externa de Tunnel

    URL utilizada por los clientes de Horizon para establecer la sesión de Horizon Tunnel en este dispositivo Unified Access Gateway. Por ejemplo, https://uag1.myco.com o https://uag1.myco.com:443.

    Si no se especifica el número de puerto TCP, el puerto TCP predeterminado es el puerto 443.

    Certificado de proxy de Tunnel

    Certificado de proxy para Horizon Tunnel. Haga clic en Seleccionar para cargar un certificado en formato PEM y agregarlo al almacén de confianza de Tunnel. Haga clic en Cambiar para sustituir el certificado existente.

    Si el usuario carga manualmente el mismo certificado para Unified Access Gateway en el equilibrador de carga y necesita utilizar un certificado diferente para Unified Access Gateway y Horizon Tunnel, el establecimiento de una sesión de escritorio de Tunnel fallará, ya que la huella digital entre el cliente y Unified Access Gateway no coincide. La introducción de una huella digital personalizada para Unified Access Gateway u Horizon Tunnel resuelve este problema mediante la retransmisión de la huella digital para establecer la sesión del cliente.

    Proveedor para comprobación de conformidad de endpoints

    Seleccione el proveedor para comprobación de conformidad de endpoints. El valor predeterminado es OPSWAT.

    Patrón de proxy

    Introduzca la expresión regular que coincida con los identificadores URI relacionados con la Horizon Server URL (proxyDestinationUrl). Tiene un valor predeterminado de (/|/view-client(.*)|/portal(.*)|/appblast(.*)).

    SP de SAML

    Introduzca el nombre del proveedor de servicios de SAML del agente XMLAPI de Horizon. Este nombre debe coincidir con el nombre de los metadatos del proveedor de servicios configurado o tener un valor especial de DEMO.

    Coincidir con el nombre de usuario de Windows

    Cambie de NO a para hacer coincidir el nombre de usuario de RSA SecurID y de Windows. Si el valor es , securID-auth se establece en true y se aplicará la coincidencia del nombre de usuario de securID y de Windows.

    Nota:

    En Horizon 7, si habilita las opciones Ocultar la información del servidor en la interfaz de usuario del cliente y Ocultar la lista de dominios en la interfaz de usuario del cliente y selecciona la autenticación de dos fases (RSA SecureID o RADIUS) para la instancia del servidor de conexión, no exija que coincidan los nombres de usuarios de Windows. Exigir que coincidan los nombres de usuario de Windows evita que siempre falle el inicio de sesión si los usuarios escriben la información del dominio en el cuadro de texto de nombre de usuario. Para obtener más información, consulte los temas relacionados con la autenticación de dos factores en el documento Administración de Horizon 7.

    Ubicación de la puerta de enlace

    La ubicación desde la que se origina la solicitud de conexión. El servidor de seguridad y Unified Access Gateway establecen la ubicación de la puerta de enlace. La ubicación puede ser interna o externa.

    Certificados de confianza

    Agregue un certificado de confianza a este servicio perimetral. Haga clic en '+' para seleccionar un certificado en formato PEM y agregarlo al almacén de confianza. Haga clic en '-' para eliminar un certificado del almacén de confianza. De forma predeterminada, el nombre de alias es el nombre de archivo del certificado PEM. Edite el cuadro de texto del alias para proporcionar un nombre diferente.

    Encabezados de seguridad de respuesta

    Haga clic en '+' para agregar un encabezado. Introduzca el nombre del encabezado de seguridad. Introduzca el valor. Haga clic en '-' para quitar un encabezado. Editar un encabezado de seguridad existente para actualizar el nombre y el valor del encabezado.

    Importante:

    Los valores y los nombres de encabezado se guardan solo después de hacer clic en Guardar. Algunos encabezados de seguridad estándar existen de forma predeterminada. Los encabezados configurados se agregan a la respuesta al cliente de Unified Access Gateway solo si los encabezados correspondientes no están presentes en la respuesta del servidor back-end configurado.

    Nota:

    Modifique los encabezados de seguridad de respuesta con precaución. La modificación de estos parámetros puede afectar el funcionamiento seguro de Unified Access Gateway.

    Entradas de host

    Introduzca los detalles que se agregarán en el archivo /etc/hosts. Cada entrada debe incluir una IP, un nombre de host y un alias de nombre de host opcional en este orden y separados por un espacio. Por ejemplo, 10.192.168.1 ejemplo1.com, 10.192.168.2 ejemplo2.com ejemplo-alias. Haga clic en el signo "+" para agregar varias entradas de host.

    Importante:

    Las entradas de host solo se guardan después de hacer clic en Guardar.

    Deshabilitar HTML Access

    Si se establece en SÍ, se deshabilita el acceso web a Horizon. Consulte más información en Comprobaciones de conformidad de endpoints para Horizon.

  7. Haga clic en Guardar.