Unified Access Gateway se puede implementar con Horizon Cloud with On-Premises Infrastructure y Horizon Air con infraestructura de nube.

Caso de implementación

Unified Access Gateway ofrece acceso remoto seguro a aplicaciones y escritorios virtuales locales de un centro de datos del cliente. Esto funciona con una implementación local de Horizon u Horizon Air para tener administración unificada.

Unified Access Gateway ofrece a la empresa una gran seguridad con respecto a la identidad del usuario y controla de forma precisa el acceso a sus aplicaciones y escritorios autorizados.

Los dispositivos virtuales de Unified Access Gateway se suelen implementar en una zona desmilitarizada de red (DMZ). La implementación en la DMZ garantiza que todo el tráfico que entra al centro de datos para recursos de escritorios y aplicaciones es tráfico que está controlado en nombre de usuarios con autenticación sólida. Los dispositivos virtuales de Unified Access Gateway también garantizan que el tráfico de un usuario autenticado se pueda dirigir solo a los recursos de escritorios y aplicaciones para los que dicho usuario tenga autorización. Este nivel de protección implica la inspección específica de protocolos de escritorio y la coordinación de las direcciones de red y las directivas que pueden cambiar con rapidez, para poder controlar con precisión el acceso.

La figura siguiente muestra un ejemplo de configuración que incluye firewall de front-end y de back-end.

Figura 1. Unified Access Gateway en la topología DMZ

Debe comprobar los requisitos para poder implementar Unified Access Gateway correctamente con Horizon.

  • Cuando el dispositivo de Unified Access Gateway se dirige a un equilibrador de carga que lidera a los servidores de Horizon, la selección de la instancia del servidor será dinámica.
  • De forma predeterminada, el puerto 8443 debe estar disponible para TCP/UDP de Blast. Sin embargo, el puerto 443 también debe estar configurado para TCP/UDP de Blast.
    Nota: Si configura Unified Access Gateway para usar ambos modos IPv4 e IPv6, el valor de TCP/UDP de Blast debe establecerse en el puerto 443. Puede habilitar Unified Access Gateway para que actúe como puente para los clientes de Horizon IPv6 para conectarse a un entorno de agente o un servidor de conexión de back-end IPv4. Consulte Compatibilidad con el modo dual de IPv4 e IPv6 para la infraestructura de Horizon.
  • La puerta de enlace segura de Blast y la puerta de enlace segura PCoIP deben estar habilitadas al implementar Unified Access Gateway con Horizon. Esto garantiza que los protocolos de visualización puedan utilizarse como proxy automáticamente mediante Unified Access Gateway. La opciones BlastExternalURL y pcoipExternalURL especifican las direcciones de conexión utilizadas por los Horizon Client para dirigir estas conexiones de protocolo de visualización a través de las puertas de enlace correspondientes en Unified Access Gateway. Esto proporciona una mayor seguridad, ya que estas puertas de enlace garantizan que el tráfico de los protocolos de visualización esté controlado en nombre de un usuario autenticado. Unified Access Gateway omite el tráfico de los protocolos de visualización sin autorización.
  • Deshabilite las puertas de enlace seguras (puertas de enlaces seguras de Blast y PCoIP) en instancias del servidor de conexión de Horizon y habilite estas puertas de enlace en los dispositivos de Unified Access Gateway.

Se recomienda que los usuarios que implementan Horizon 7 utilicen un dispositivo de Unified Access Gateway en lugar del servidor de seguridad de Horizon.

Nota: Horizon Connection Server no funciona con un proxy inverso de web habilitado cuando hay una superposición en el patrón de proxy. Por lo tanto, si Horizon y una instancia de proxy inverso de web están configurados y habilitados con los patrones de proxy en la misma instancia de Unified Access Gateway, elimine el patrón de proxy '/' de la configuración de Horizon y conserve el patrón en el proxy inverso de web para evitar la superposición. Retener el patrón de proxy '/' en la instancia de proxy inverso de web garantiza que, cuando un usuario hace clic en la dirección URL de Unified Access Gateway, se muestra la página de proxy inverso de web correcta. Si solo configura las opciones de Horizon, no es necesario el cambio indicado anteriormente.

Estas son las diferencias entre el servidor de seguridad de Horizon y el dispositivo de Unified Access Gateway.

  • Implementación segura. Unified Access Gateway se implementa como una máquina virtual basada en Linux reforzada, bloqueada y preconfigurada.
  • Escalable. Puede conectar Unified Access Gateway a un servidor de conexión de Horizon individual, o también puede conectarlo a través de un equilibrador de carga delante de varios servidores de conexión de Horizon, lo que ofrece una mayor disponibilidad. Actúa como una capa entre los clientes de Horizon y los servidores de conexión de Horizon de back-end. Dado que la implementación es rápida, se puede ampliar o reducir de forma inmediata para satisfacer las necesidades de las empresas en constante cambio.
Figura 2. Dispositivo de Unified Access Gateway que se dirige a un equilibrador de carga

También puede tener uno o varios dispositivos de Unified Access Gateway que se dirijan a una instancia individual del servidor. En ambos casos, utilice un equilibrador de carga que lidere a dos o más dispositivos de Unified Access Gateway en la DMZ.

Figura 3. Dispositivo de Unified Access Gateway que se dirige a una instancia del servidor de Horizon

Autenticación

La autenticación de usuario es similar al servidor de seguridad de Horizon. Entre los métodos de autenticación de usuario que se admiten en Unified Access Gateway se incluyen los siguientes:

  • Nombre de usuario y contraseña de Active Directory.
  • Pantalla completa. Si desea obtener información sobre la pantalla completa, consulte la documentación de Horizon.
  • Autenticación en dos fases RSA SecurID, certificada formalmente por RSA para SecurID.
  • RADIUS a través de varias soluciones externas de proveedores de seguridad en dos fases.
  • Certificados de usuario PIV X.509, CAC o tarjeta inteligente.
  • SAML.

Estos métodos de autenticación son compatibles con Horizon Connection Server. Unified Access Gateway no necesita comunicarse directamente con Active Directory. Esta comunicación funciona como proxy a través de Horizon Connection Server, que puede acceder directamente a Active Directory. Una vez que la sesión de usuario se autentique de conformidad con la directiva de autenticación, Unified Access Gateway puede reenviar solicitudes a Horizon Connection Server para pedir información de autorización, así como solicitudes de inicio de aplicaciones y escritorios. Unified Access Gateway también administra los controladores de protocolos de aplicaciones y escritorios para permitirles reenviar solo el tráfico de protocolos autorizado.

Unified Access Gateway gestiona por sí mismo la autenticación con tarjeta inteligente. Esto incluye opciones para que Unified Access Gateway se comunique con los servidores del Protocolo de estado de certificados en línea (OCSP) con el fin de comprobar la revocación del certificado X.509, entre otras cuestiones.