Unified Access Gateway se puede implementar con Horizon Cloud with On-Premises Infrastructure y Horizon Air con infraestructura de nube. Para la implementación de Horizon, el dispositivo de Unified Access Gateway sustituye al servidor de seguridad de Horizon.

Requisitos previos

Si desea tener Horizon y una instancia de proxy inverso de web como VMware Identity Manager configurados y habilitados en la misma instancia de Unified Access Gateway, consulte Configuración avanzada del servicio perimetral.

Procedimiento

  1. En la sección Configuración manual de la IU del administrador, haga clic en Seleccionar.
  2. En Configuración general > Configuración de servicio perimetral, haga clic en Mostrar.
  3. Haga clic en el icono de engranaje de Configuración de Horizon.
  4. En la página Configuración de Horizon, cambie de NO a para habilitar Horizon.
  5. Configure los siguientes recursos de las opciones del servicio perimetral de Horizon:
    Opción Descripción
    Identificador Se establece de forma predeterminada como Horizon. Unified Access Gateway se puede comunicar con servidores que utilizan el protocolo XML de Horizon, como el servidor de conexión de Horizon, Horizon Air y Horizon Cloud with On-Premises Infrastructure.
    URL del servidor de conexión Introduzca la dirección del servidor Horizon o del equilibrador de carga. Introdúzcala como https://00.00.00.00.
    Huella digital de URL del servidor de conexión Introduzca la lista de huellas digitales del servidor de Horizon.

    Si no proporciona una lista de huellas digitales, asegúrese de que una entidad de certificación de confianza emita los certificados del servidor. Introduzca los dígitos hexadecimales de las huellas digitales. Por ejemplo, sha1= C3 89 A2 19 DC 7A 48 2B 85 1C 81 EC 5E 8F 6A 3C 33 F2 95 C3.

    Habilitar PCOIP Cambie de NO a para especificar si la puerta de enlace segura de PCoIP está habilitada.
    Deshabilitar certificado heredado PCOIP Cambie de NO a para especificar que se usará el certificado de servidor SSL cargado en lugar del certificado heredado. Los clientes PCoIP heredados no funcionarán si este parámetro se establece en .
    URL externa de PCoIP

    URL utilizada por los clientes de Horizon para establecer la sesión PCoIP de Horizon en este dispositivo de Unified Access Gateway. Debe contener una dirección IPv4 y no un nombre de host. Por ejemplo, 10.1.2.3:4172. El valor predeterminado es la dirección IP de Unified Access Gateway y el puerto 4172.

    Habilitar Blast Para utilizar la puerta de enlace segura de Blast, cambie de NO a .
    Modo de IP de servidor de conexión En el menú desplegable, seleccione IPv4, IPv6 o IPv4+IPv6. El valor predeterminado es IPv4.
  6. Para configurar la función del método de autenticación y otras opciones avanzadas, haga clic en Más.
    Opción Descripción
    Métodos de autenticación

    El método predeterminado es la autenticación pass-through del nombre de usuario y la contraseña. Los métodos de autenticación que configuró en Unified Access Gateway se enumeran en los menús desplegables. Se admiten los métodos de autenticación de certificado de dispositivo, RADIUS y RSA SecurID.

    Habilitar SSO de Windows Esto se puede habilitar cuando los métodos de autenticación se establecen en RADIUS y cuando el código de acceso de RADIUS es el mismo que la contraseña de dominio de Windows. Cambie NO a para utilizar el nombre de usuario y el código de acceso de RADIUS para las credenciales de inicio de sesión del dominio de Windows a fin de evitar tener que volver a preguntar al usuario.

    Si Horizon se configura en un entorno de varios dominios, si el nombre de usuario proporcionado no contiene un nombre de dominio, el dominio no se enviará a CS.

    Si el sufijo NameID está configurado y el nombre de usuario proporcionado no contiene un nombre de dominio, el valor del sufijo NameID de la configuración se anexará al nombre de usuario. Por ejemplo, si un usuario proporcionó jdoe como nombre de usuario y NameIDSuffix está establecido en @north.int, el nombre de usuario enviado será [email protected].

    Si el sufijo NameID está configurado y si el nombre de usuario proporcionado tiene el formato UPN, se omitirá el sufijo NameID. Por ejemplo, si un usuario proporcionó [email protected], NameIDSuffix-@south.int, el nombre de usuario será [email protected]

    Si el nombre de usuario proporcionado tiene el formato <DomainName\username>, por ejemplo, NORTH\jdoe, Unified Access Gateway envía el nombre de usuario y el nombre de dominio por separado a CS.

    Atributos de clase de RADIUS Esta opción está habilitada cuando los métodos de autenticación se establecen en RADIUS. Haga clic en "+" para agregar un valor para el atributo de clase. Introduzca el nombre del atributo de clase que se utilizará para la autenticación de usuario. Haga clic en "-" para eliminar un atributo de clase.
    Nota: Si este campo se deja en blanco, no se realizará la autorización adicional.
    Texto de renuncia de responsabilidad

    El texto del mensaje de exención de responsabilidades de Horizon que se muestra al usuario y que acepta el usuario en caso de que se configure el Método de autenticación.

    Solicitud de la sugerencia de tarjeta inteligente Cambie de NO a para habilitar la sugerencia de contraseña para la autenticación del certificado.
    Ruta de acceso URI de comprobación de estado La ruta de acceso URI del servidor de conexión al que se conecta Unified Access Gateway para supervisar el estado.
    URL externa de Blast URL utilizada por Horizon Client para establecer la sesión de Horizon Blast o BEAT a este dispositivo de Unified Access Gateway. Por ejemplo, https://uag1.myco.com o https://uag1.myco.com:443.

    Si no se especifica el número de puerto TCP, el puerto TCP predeterminado es el puerto 8443. Si no se especifica el número de puerto UDP, el puerto UDP predeterminado es también el puerto 8443.

    Habilitar servidor del túnel UDP Si el ancho de banda es bajo, las conexiones se establecen a través del servidor del túnel UDP.
    Certificado de proxy de Blast

    Certificado de proxy para Blast. Haga clic en Seleccionar para cargar un certificado en formato PEM y agregarlo al almacén de confianza de BLAST. Haga clic en Cambiar para sustituir el certificado existente.

    Si el usuario carga manualmente el mismo certificado para Unified Access Gateway en el equilibrador de carga y necesita utilizar un certificado diferente para Unified Access Gateway y Blast Gateway, el establecimiento de una sesión de escritorio de Blast fallará, ya que la huella digital entre el cliente y Unified Access Gateway no coincide. La introducción de una huella digital personalizada en Unified Access Gateway o Blast Gateway resuelve este problema mediante la retransmisión de la huella digital para establecer la sesión del cliente.

    Habilitar Tunnel Si se utiliza el túnel seguro de Horizon, cambie de NO a . El cliente utiliza la URL externa para conexiones de túnel a través de la puerta de enlace segura de Horizon. El túnel se utiliza para RDP, USB y tráfico de redirección multimedia (MMR).
    URL externa de Tunnel URL utilizada por los clientes de Horizon para establecer la sesión de Horizon Tunnel en este dispositivo Unified Access Gateway. Por ejemplo, https://uag1.myco.com o https://uag1.myco.com:443.

    Si no se especifica el número de puerto TCP, el puerto TCP predeterminado es el puerto 443.

    Certificado de proxy de Tunnel

    Certificado de proxy para Horizon Tunnel. Haga clic en Seleccionar para cargar un certificado en formato PEM y agregarlo al almacén de confianza de Tunnel. Haga clic en Cambiar para sustituir el certificado existente.

    Si el usuario carga manualmente el mismo certificado para Unified Access Gateway en el equilibrador de carga y necesita utilizar un certificado diferente para Unified Access Gateway y Horizon Tunnel, el establecimiento de una sesión de escritorio de Tunnel fallará, ya que la huella digital entre el cliente y Unified Access Gateway no coincide. La introducción de una huella digital personalizada para Unified Access Gateway u Horizon Tunnel resuelve este problema mediante la retransmisión de la huella digital para establecer la sesión del cliente.

    Proveedor para comprobación de conformidad de endpoints Seleccione el proveedor para comprobación de conformidad de endpoints. El valor predeterminado es OPSWAT.
    Patrón de proxy
    Introduzca la expresión regular que coincida con los identificadores URI relacionados con la Horizon Server URL (proxyDestinationUrl). Tiene un valor predeterminado de (/|/view-client(.*)|/portal(.*)|/appblast(.*)).
    Nota: El patrón también se puede utilizar para excluir determinadas URL. Por ejemplo, para permitir el paso de todas las URL pero bloquear /admin, puede utilizar la siguiente expresión. ^/(?!admin(.*))(.*)
    SP de SAML Introduzca el nombre del proveedor de servicios de SAML del agente XMLAPI de Horizon. Este nombre debe coincidir con el nombre de los metadatos del proveedor de servicios configurado o tener un valor especial de DEMO.
    Coincidir con el nombre de usuario de Windows Cambie de NO a para hacer coincidir el nombre de usuario de RSA SecurID y de Windows. Si el valor es , securID-auth se establece en true y se aplicará la coincidencia del nombre de usuario de securID y de Windows.

    Si Horizon se configura en un entorno de varios dominios, si el nombre de usuario proporcionado no contiene un nombre de dominio, el dominio no se enviará a CS.

    Si el sufijo NameID está configurado y el nombre de usuario proporcionado no contiene un nombre de dominio, el valor del sufijo NameID de la configuración se anexará al nombre de usuario. Por ejemplo, si un usuario proporcionó jdoe como nombre de usuario y NameIDSuffix está establecido en @north.int, el nombre de usuario enviado será [email protected].

    Si el sufijo NameID está configurado y si el nombre de usuario proporcionado tiene el formato UPN, se omitirá el sufijo NameID. Por ejemplo, si un usuario proporcionó [email protected], NameIDSuffix-@south.int, el nombre de usuario será [email protected]

    Si el nombre de usuario proporcionado tiene el formato <DomainName\username>, por ejemplo, NORTH\jdoe, Unified Access Gateway envía el nombre de usuario y el nombre de dominio por separado a CS.

    Nota: En Horizon 7, si habilita las opciones Ocultar la información del servidor en la interfaz de usuario del cliente y Ocultar la lista de dominios en la interfaz de usuario del cliente y selecciona la autenticación de dos fases (RSA SecureID o RADIUS) para la instancia del servidor de conexión, no exija que coincidan los nombres de usuarios de Windows. Exigir que coincidan los nombres de usuario de Windows evita que siempre falle el inicio de sesión si los usuarios escriben la información del dominio en el cuadro de texto de nombre de usuario. Para obtener más información, consulte los temas relacionados con la autenticación de dos factores en el documento Administración de Horizon 7.
    Ubicación de la puerta de enlace La ubicación desde la que se origina la solicitud de conexión. El servidor de seguridad y Unified Access Gateway establecen la ubicación de la puerta de enlace. La ubicación puede ser interna o externa.
    Certificados de confianza Agregue un certificado de confianza a este servicio perimetral. Haga clic en '+' para seleccionar un certificado en formato PEM y agregarlo al almacén de confianza. Haga clic en '-' para eliminar un certificado del almacén de confianza. De forma predeterminada, el nombre de alias es el nombre de archivo del certificado PEM. Edite el cuadro de texto del alias para proporcionar un nombre diferente.
    Encabezados de seguridad de respuesta Haga clic en '+' para agregar un encabezado. Introduzca el nombre del encabezado de seguridad. Introduzca el valor. Haga clic en '-' para quitar un encabezado. Editar un encabezado de seguridad existente para actualizar el nombre y el valor del encabezado.
    Importante: Los valores y los nombres de encabezado se guardan solo después de hacer clic en Guardar. Algunos encabezados de seguridad estándar existen de forma predeterminada. Los encabezados configurados se agregan a la respuesta al cliente de Unified Access Gateway solo si los encabezados correspondientes no están presentes en la respuesta del servidor back-end configurado.
    Nota: Modifique los encabezados de seguridad de respuesta con precaución. La modificación de estos parámetros puede afectar el funcionamiento seguro de Unified Access Gateway.
    Entradas de host Introduzca los detalles que se agregarán en el archivo /etc/hosts. Cada entrada debe incluir una IP, un nombre de host y un alias de nombre de host opcional en este orden y separados por un espacio. Por ejemplo, 10.192.168.1 ejemplo1.com, 10.192.168.2 ejemplo2.com ejemplo-alias. Haga clic en el signo "+" para agregar varias entradas de host.
    Importante: Las entradas de host solo se guardan después de hacer clic en Guardar.
    Deshabilitar HTML Access Si se establece en SÍ, se deshabilita el acceso web a Horizon. Consulte más información en Comprobaciones de conformidad de endpoints para Horizon.
  7. Haga clic en Guardar.