En este tema se explica cómo configurar las instancias de Unified Access Gateway dentro de pods de Horizon en una plataforma basada en VMware SDDC para su uso con Universal Broker. Siga el procedimiento para configurar los ajustes de token web JSON en cada instancia de Unified Access Gateway para admitir el redireccionamiento del protocolo y el servidor del túnel que requiere Universal Broker.

Nota: El siguiente procedimiento solo es necesario para las instancias de Unified Access Gateway dentro de pods de Horizon en una plataforma basada en VMware SDDC. Para los pods de Horizon Cloud en Microsoft Azure, la configuración del token web JSON se configura automáticamente en el momento de la implementación del pod. No es necesario realizar ninguna configuración adicional del token web JSON para las instancias de Unified Access Gateway dentro de los pods de Horizon Cloud en Microsoft Azure (no en una plataforma compatible con VMware SDDC).

Cuando el arrendatario está configurado para Universal Broker y desea que los usuarios finales externos utilicen la autenticación en dos fases, también debe configurar el servicio RADIUS o el servicio RSA SecurID adecuado (disponible solo para pods de Horizon) en todas las instancias de Unified Access Gateway externas del pod.

Requisitos previos

  • Compruebe que configuró una instancia externa de Unified Access Gateway, una instancia interna de Unified Access Gateway o ambas para cada pod en el entorno de Universal Broker.
  • Asegúrese de que está ejecutando la versión 3.8 o una versión posterior de Unified Access Gateway y que cumple los otros requisitos de Unified Access Gateway descritos en Requisitos del sistema para Universal Broker.
  • Para validar el emparejamiento de cada instancia de Unified Access Gateway con su pod respectivo, conéctese directamente con la instancia de Unified Access Gateway y compruebe que pueda acceder a los escritorios virtuales.

Procedimiento

  1. Inicie sesión en la consola de administración de Unified Access Gateway.
  2. En la sección Configuración manual, haga clic en Seleccionar.
  3. En Configuración avanzada, haga clic en la rueda de engranajes para ver Configuración de JWT.
  4. Para crear un conjunto de configuración de JWT, haga clic en Agregar.
  5. Especifique la configuración requerida en el cuadro de diálogo Configuración de JWT.
    Configuración Descripción
    Name Introduzca un nombre descriptivo para el conjunto de configuración.
    Issuer Introduzca el nombre de clúster del pod de Horizon, como se muestra en Horizon Console.

    Nombre de clúster del pod que se muestra en Horizon Console
    Dynamic Public key URL Introduzca https://<FQDN del pod de Horizon>/broker/publicKey/protocolredirection, donde <FQDN del pod de Horizon> se reemplaza por el FQDN único del pod (nombre de dominio completo). Por lo general, el FQDN se define de la siguiente manera:
    • Si el pod tiene varias instancias de Unified Access Gateway, especifique la dirección del equilibrador de carga local como el FQDN.
    • Si el pod solo tiene una instancia de Unified Access Gateway, especifique la dirección de Connection Server emparejado de la instancia como el FQDN.
    Public key URL thumbprints Para utilizar una URL de clave pública para la autenticación, introduzca la huella digital SHA1 del certificado del pod de Horizon.
    Nota: Puede configurar la opción Huellas digitales de URL de clave pública o Certificados de confianza para la autenticación. No tiene que configurar ambas opciones.
    Trusted Certificates Para utilizar un certificado diferente del certificado del pod de Horizon para la autenticación, haga clic en el icono (+) y agregue el certificado de confianza.
    Nota: Puede configurar la opción Certificados de confianza o Huellas digitales de URL de clave pública para la autenticación. No tiene que configurar ambas opciones.
    Public key refresh interval Para obtener mejores resultados, introduzca 900. Este valor establece el intervalo de actualización en 900 segundos o 15 minutos.
    Static public keys Deje esta opción establecida en su valor predeterminado.
  6. Haga clic en Guardar y, a continuación, en Cerrar.
  7. Si desea utilizar la autenticación en dos fases para Universal Broker, habilite la opción Mostrar para Configuración de autenticación. A continuación, habilite y configure los ajustes para uno de los servicios de seguridad que admite Universal Broker: RSA SecurID (solo disponible para pods de Horizon) o RADIUS.
    Nota: Debe configurar el servicio de autenticación en dos fases adecuado en la instancia externa de Unified Access Gateway para cada pod participante. Las configuraciones de todas las instancias externas de Unified Access Gateway dentro de un pod participante deben coincidir entre sí y deben ser idénticas a las configuraciones de las instancias externas de Unified Access Gateway en todos los demás pods participantes. De lo contrario, se produce un error en la autenticación para el servicio Universal Broker.

    Por ejemplo, si desea utilizar la autenticación RADIUS para sus pods de Horizon configurados con Universal Broker, debe configurar el mismo servicio RADIUS en todas las instancias externas de Unified Access Gateway de todos los pods de Horizon participantes. No se puede configurar RADIUS en algunos pods participantes y RSA SecurID en otros pods participantes.