Para utilizar Agente universal con los pods de Horizon conectados a la nube, primero debe reemplazar el servidor de seguridad en cada pod con un dispositivo de Unified Access Gateway. A continuación, debe configurar los ajustes de token web JSON requeridos en cada instancia de Unified Access Gateway para admitir el redireccionamiento del protocolo y el servidor del túnel que requiere Agente universal.

Si desea utilizar la autenticación en dos fases para Agente universal, también debe configurar el servicio RADIUS o RSA SecurID adecuado en cada instancia de Unified Access Gateway.

Requisitos previos

  • Instale un dispositivo de Unified Access Gateway dedicado para cada pod de Horizon conectado a la nube que participe en asignaciones de varias nubes. Asegúrese de instalar la versión 3.8 o una versión posterior de Unified Access Gateway. Configure cada instancia de Unified Access Gateway como el servidor proxy para las solicitudes de conexión al servidor de conexión emparejado.

    Para obtener más información, consulte la documentación de Unified Access Gateway y la documentación de VMware Horizon 7.

    Nota: Asegúrese de que cada instancia de Unified Access Gateway esté emparejada con solo un pod.
  • Para validar el emparejamiento de cada instancia de Unified Access Gateway con su servidor de conexión respectivo, conéctese directamente con Unified Access Gateway y compruebe que pueda acceder a los escritorios virtuales.

Procedimiento

  1. Inicie sesión en la consola de administración de Unified Access Gateway.
  2. En la sección Configuración manual, haga clic en Seleccionar.
  3. En Configuración avanzada, haga clic en la rueda de engranajes para ver Configuración de JWT.
  4. Para crear un conjunto de configuración de JWT, haga clic en Agregar.
  5. Especifique la configuración requerida en el cuadro de diálogo Configuración de JWT.
    Configuración Descripción
    Name Introduzca un nombre descriptivo para el conjunto de configuración.
    Issuer Introduzca el nombre de clúster del pod de Horizon, como se muestra en Horizon Console.

    Nombre de clúster del pod que se muestra en Horizon Console
    Dynamic Public key URL Introduzca https://<FQDN del pod de Horizon>/broker/publicKey/protocolredirection, donde <FQDN del pod de Horizon> se reemplaza por el FQDN único del pod (nombre de dominio completo). Por lo general, el FQDN se define de la siguiente manera:
    • Si el pod tiene varias instancias de Unified Access Gateway, especifique la dirección del equilibrador de carga local como el FQDN.
    • Si el pod solo tiene una instancia de Unified Access Gateway, especifique la dirección del servidor de conexión emparejado de la instancia como el FQDN.
    Public key URL thumbprints Para utilizar una URL de clave pública para la autenticación, introduzca la huella digital SHA1 del certificado del pod de Horizon.
    Nota: Puede configurar la opción Huellas digitales de URL de clave pública o Certificados de confianza para la autenticación. No tiene que configurar ambas opciones.
    Trusted Certificates Para utilizar un certificado diferente del certificado del pod de Horizon para la autenticación, haga clic en el icono (+) y agregue el certificado de confianza.
    Nota: Puede configurar la opción Certificados de confianza o Huellas digitales de URL de clave pública para la autenticación. No tiene que configurar ambas opciones.
    Public key refresh interval Para obtener mejores resultados, introduzca 900. Este valor establece el intervalo de actualización en 900 segundos o 15 minutos.
    Static public keys Deje esta opción establecida en su valor predeterminado.
  6. Haga clic en Guardar y, a continuación, en Cerrar.
  7. Si desea utilizar la autenticación en dos fases para Agente universal, habilite la opción Mostrar para Configuración de autenticación. A continuación, habilite y configure los ajustes para uno de los servicios de seguridad que admite Agente universal: RSA SecurID o RADIUS.
    Nota: Debe configurar el servicio RADIUS o RSA SecurID adecuado en la instancia de Unified Access Gateway para cada pod participante. Las configuraciones de todas las instancias de Unified Access Gateway dentro de un pod participante deben coincidir entre sí y deben ser idénticas a las configuraciones de las instancias de Unified Access Gateway en todos los demás pods participantes. De lo contrario, se produce un error en la autenticación para el servicio Agente universal.

    Por ejemplo, si desea utilizar la autenticación RADIUS para Agente universal, debe configurar el mismo servicio RADIUS en todas las instancias de Unified Access Gateway de todos los pods participantes. No se puede configurar RADIUS en algunos pods participantes y RSA SecurID en otros pods participantes.