En este tema se explica cómo configurar las instancias de Unified Access Gateway dentro de los pods de Horizon para su uso con Universal Broker. Siga el procedimiento para configurar los ajustes de token web JSON en cada instancia de Unified Access Gateway para admitir el redireccionamiento del protocolo y el servidor del túnel que requiere Universal Broker.

Nota: El siguiente procedimiento solo es necesario para las instancias de Unified Access Gateway dentro de pods de Horizon basados en la tecnología de Horizon Connection Server. Para los pods de Horizon Cloud en Microsoft Azure, la configuración del token web JSON se configura automáticamente en el momento de la implementación del pod. No es necesario realizar ninguna configuración adicional del token web JSON para las instancias de Unified Access Gateway dentro de los pods de Horizon Cloud en (no basados en la tecnología de Horizon Connection Server).

Por su diseño predeterminado, Universal Broker espera utilizar exactamente la misma configuración de autenticación en dos fases con cada pod del grupo de pods del arrendatario. Además, por diseño, cuando Universal Broker se configura con opciones de autenticación en dos fases, forma la solicitud de autenticación y la envía a una instancia externa de Unified Access Gateway que, a continuación, se comunica con el servidor de autenticación configurado en la configuración de esa instancia para controlar la acción de autenticación específica. A continuación, Unified Access Gateway retransmite la respuesta del servicio de autenticación a Universal Broker.

Por lo tanto, cuando desee Universal Broker más la autenticación en dos fases, debe configurar exactamente el mismo servicio de autenticación en todas las instancias externas de Unified Access Gateway en todos los pods del grupo de pods del arrendatario. Para un grupo compuesto únicamente por pods de Horizon, Universal Broker puede admitir el uso del servicio RADIUS o el servicio RSA SecurID en todas las instancias de Unified Access Gateway.

Sin embargo, tenga en cuenta que si el arrendatario tiene un grupo de pods combinado que consta de pods de Horizon y pods de Horizon Cloud, las opciones disponibles dependen de si las implementaciones de Horizon Cloud on Microsoft Azure cumplen las condiciones para tener la opción RSA SecurID disponible en ellos. Si todos los pods de Horizon Cloud son del manifiesto 3139.x o una versión posterior y en el asistente Editar pod observa la opción RSA SecurID, tiene la opción de configurar todos los pods para que usen el tipo RSA SecurID. De lo contrario, debe utilizar RADIUS para cumplir con el requisito de tener el mismo servicio de autenticación en todos los grupos de pods.

Requisitos previos

  • Compruebe que configuró el conjunto adecuado de dispositivos de Unified Access Gateway en cada pod de Horizon del grupo de pods del arrendatario, según los casos prácticos de usuario final que desee admitir. Para obtener una breve descripción de los casos prácticos, consulte Requisitos del sistema de Universal Broker para pods de Horizon.
  • Asegúrese de que los dispositivos de Unified Access Gateway ejecuten la versión 3.8 o posterior y que cumplan todos los demás requisitos de Unified Access Gateway relacionados que se describen en Requisitos del sistema de Universal Broker para pods de Horizon.
  • Para validar el emparejamiento de cada instancia de Unified Access Gateway con su pod respectivo, conéctese directamente con la instancia de Unified Access Gateway y compruebe que pueda acceder a los escritorios virtuales.

Procedimiento

  1. Inicie sesión en la consola de administración de Unified Access Gateway.
  2. En la sección Configuración manual, haga clic en Seleccionar.
  3. En Configuración avanzada, haga clic en la rueda de engranajes para ver Configuración de JWT.
  4. Después de hacer clic en el icono de engranaje:
    • Si el software de Unified Access Gateway es de una versión anterior a la 2209, haga clic en Agregar.
    • Si el software de Unified Access Gateway es 2209 o una versión posterior, haga clic en Agregar consumidor de JWT. La interfaz de usuario del administrador de Unified Access Gateway introdujo cambios en su versión 2209.
  5. En el cuadro de interfaz de usuario que aparece, especifique la configuración.
    Configuración Descripción
    Name Introduzca un nombre descriptivo para el conjunto de configuración.
    Issuer Introduzca el nombre de clúster del pod de Horizon, como se muestra en Horizon Console.
    Precaución: Este campo distingue entre mayúsculas y minúsculas en la interfaz de usuario del administrador de Unified Access Gateway.

    Debe introducir el nombre del clúster de forma precisa y exacta, tal y como se recupera de Horizon Console.

    La interfaz de usuario de Unified Access Gateway no muestra ninguna advertencia de que sus campos distinguen entre mayúsculas y minúsculas y no se valida la distinción de mayúsculas y minúsculas.

    Esta distinción de mayúsculas y minúsculas también se aplica a la palabra Clúster que se muestra en Horizon Console.

    Si observa la palabra en Horizon Console con C en mayúsculas y lúster en minúsculas, deberá hacer coincidir esa palabra exactamente en este campo de Emisor, e introducir Clúster en este campo de Emisor.

    Si no se puede garantizar que se introduzca un nombre con una distinción precisa entre mayúsculas y minúsculas en este campo de Emisor que coincida exactamente con el nombre que se observa en Horizon Console, se desencadenarán problemas posteriores con Universal Broker, ya que los usuarios finales no podrán iniciar sus escritorios y aplicaciones mediante el FQDN de Universal Broker .

    Para encontrar el nombre del clúster del pod en Horizon Console, desplácese hasta el área Panel en Horizon Console y observe el área vertical superior de la interfaz de usuario.

    A continuación, se muestra una ilustración de la ubicación del nombre del clúster del pod en Horizon Console.

    Observe cómo la parte Clúster de ese nombre que se muestra es una combinación de una letra mayúscula inicial y el resto de letras minúsculas.

    Debe asegurarse de introducir el nombre que se muestra exactamente en este campo de Emisor en la interfaz de usuario del administrador de Unified Access Gateway. El campo de Emisor tiene una validación cero para garantizar que ha introducido el nombre correctamente.


    Nombre de clúster del pod que se muestra en Horizon Console
    Dynamic Public key URL Puede obtener el valor que se debe introducir aquí desde el nombre de host de Connection Server del pod, desde el FQDN de Connection Server o desde el equilibrador de carga local (si el pod tiene varias instancias de puerta de enlace).

    Introduzca https://<FQDN del pod de Horizon>/broker/publicKey/protocolredirection, donde <FQDN del pod de Horizon> se reemplaza por el FQDN único del pod (nombre de dominio completo). Por lo general, el FQDN se define de la siguiente manera:

    • Si el pod solo tiene una instancia de Unified Access Gateway, especifique la dirección de Connection Server emparejado de la instancia como el FQDN.
    • Si el pod tiene varias instancias de Unified Access Gateway, especifique la dirección del equilibrador de carga local como el FQDN.
    Public key URL thumbprints Este campo especifica el uso de una URL de clave pública para la autenticación.

    Para utilizar el certificado de Connection Server del pod para la autenticación, introduzca la huella digital SHA1 del certificado de Connection Server del pod de Horizon para la instancia de Connection Server que utilizó para la URL de clave pública dinámica anterior.

    Nota: Puede configurar la opción Huellas digitales de URL de clave pública o Certificados de confianza para la autenticación. No tiene que configurar ambas opciones.
    Trusted Certificates Para utilizar un certificado diferente del certificado del pod de Horizon para la autenticación, haga clic en el icono (+) y agregue el certificado de confianza.
    Nota: Puede configurar la opción Certificados de confianza o Huellas digitales de URL de clave pública para la autenticación. No tiene que configurar ambas opciones.
    Public key refresh interval Para obtener mejores resultados, introduzca 900. Este valor establece el intervalo de actualización en 900 segundos o 15 minutos.
    Static public keys Deje esta opción establecida en su valor predeterminado.
  6. Haga clic en Guardar y, a continuación, en Cerrar.
  7. Si desea utilizar la autenticación en dos fases para Universal Broker, habilite la opción Mostrar para Configuración de autenticación. A continuación, habilite y configure los ajustes de uno de los servicios de autenticación en dos fases compatibles con Universal Broker. Actualmente, los dos servicios compatibles son RADIUS y RSA SecurID.
    Nota: Debe configurar el servicio de autenticación en dos fases adecuado en la instancia externa de Unified Access Gateway para cada pod participante. Las configuraciones de todas las instancias externas de Unified Access Gateway dentro de un pod participante deben coincidir entre sí y deben ser idénticas a las configuraciones de las instancias externas de Unified Access Gateway en todos los demás pods participantes. De lo contrario, se produce un error en la autenticación para el servicio Universal Broker.

    Por ejemplo, si desea utilizar la autenticación RADIUS para sus pods de Horizon configurados con Universal Broker, debe configurar el mismo servicio RADIUS en todas las instancias externas de Unified Access Gateway de todos los pods de Horizon participantes. No se puede configurar RADIUS en algunos pods participantes y RSA SecurID en otros pods participantes.