Para utilizar Universal Broker para el brokering de recursos de las asignaciones de usuario final, primero debe configurar algunas opciones. Este artículo proporciona instrucciones detalladas paso a paso para configurar las opciones de Universal Broker, incluidos el FQDN o la URL de la conexión, la autenticación en dos fases, los tiempos de espera de sesión y las directivas de funciones de Horizon.

El asistente de configuración del Universal Broker se abre automáticamente cuando se selecciona el Universal Broker como agente de conexión para todo el arrendatario por primera vez. También puede abrir el asistente de configuración de forma manual.

Requisitos previos

Prepare los componentes del sistema necesarios para el tipo de pod específico.

Pods de Horizon en una plataforma basada en VMware SDDC:

Pods de Horizon Cloud en Microsoft Azure:

Importante: Asegúrese de que todos los pods de Horizon Cloud en Microsoft Azure estén en línea y en un estado correcto y listo. El servicio de Universal Broker debe comunicarse con los pods y realizar algunos pasos de configuración en los pods para completar el proceso de configuración. Si alguno de los pods está sin conexión o no está disponible, se produce un error en la configuración de Universal Broker.

Procedimiento

  1. Si es necesario, abra el asistente de configuración para configurar el Universal Broker.
    • En la página Introducción, vaya a Configuración general > Agente y haga clic en Ir. A continuación, haga clic en Configurar para especificar una nueva configuración o en el icono de lápiz para editar una configuración.
    • Seleccione Configuración > Agente. A continuación, haga clic en Configurar para especificar una nueva configuración o en el icono de lápiz para editar una configuración.
    Al realizar esta acción, aparece el asistente de configuración para el Universal Broker.
  2. En la página FQDN del asistente, configure las opciones del nombre de dominio completo (FQDN) del servicio de Universal Broker. Esta configuración define la URL o la dirección de la conexión dedicada que utilizan los usuarios finales para acceder a los recursos con brokering de Universal Broker.
    Nota: Cuando se modifica la configuración de un subdominio o FQDN, es posible que el cambio demore algún tiempo en aplicarse a todos los servidores DNS.
    1. Para Tipo, seleccione una de las siguientes opciones para el nombre de dominio completo (FQDN): Proporcionado por VMware o Personalizado.
    2. Especifique la configuración adicional para el tipo de FQDN seleccionado.
      • Si seleccionó el tipo Proporcionado por VMware, especifique la configuración de la siguiente manera.
        Configuración Descripción
        Sub Domain Introduzca el nombre DNS único de un subdominio válido en la configuración de red que representa a su empresa u organización. Este subdominio se antepone al dominio proporcionado por VMware para formar el FQDN de brokering.
        Nota: Algunas cadenas no están permitidas o están reservadas por el sistema. Esta categoría de cadenas incluye palabras genéricas como book, términos conocidos que son propiedad de una empresa, como gmail, y términos relacionados con protocolos, codificación y código abierto como php y sql. El sistema tampoco permite una categoría de patrones de estas cadenas, como mail0, mail1, mail2, etc.

        Sin embargo, cuando escribe un nombre no permitido en este campo, el sistema no valida la entrada en ese momento. Solo cuando llegue al paso de resumen final del asistente, el sistema validará el nombre que ha introducido aquí y mostrará un error si la entrada coincide con uno de los nombres no permitidos. Si esto ocurre, introduzca un nombre diferente y más exclusivo aquí.

        Brokering FQDN Este campo de solo lectura muestra el FQDN configurado. El FQDN utiliza el formato https://<your sub-domain>vmwarehorizon.com.

        Proporcione este FQDN a los usuarios finales para permitir que se conecten al servicio de Universal Broker con Horizon Client.

        Universal Broker administra la validación de DNS y SSL de este FQDN.

        En la siguiente captura de pantalla se muestra un ejemplo del asistente de configuración con los ajustes del FQDN proporcionado por VMware introducidos.


        Asistente de configuración del Universal Broker, con los ajustes del FQDN proporcionado por VMware introducidos.
      • Si seleccionó el tipo Personalizado, especifique los ajustes de la siguiente manera.
        Configuración Descripción
        Brokering FQDN Introduzca el FQDN personalizado que utilizarán los usuarios finales para acceder al servicio de Universal Broker. El FQDN personalizado funciona como un alias para el FQDN proporcionado por VMware generado automáticamente que completa la conexión al servicio.

        Debe ser el propietario del nombre de dominio especificado en el FQDN personalizado y proporcionar un certificado que pueda validar ese dominio.

        Nota: El FQDN personalizado, también conocido como URL de conexión, representa a su empresa u organización. Asegúrese de contar con la autorización adecuada para utilizar este FQDN personalizado.
        Nota: El FQDN personalizado debe ser único y distinto de los FQDN de todas las instancias de Unified Access Gateway dentro de los pods.
        Importante: Debe crear un registro CNAME en el servidor DNS que asigne el FQDN personalizado al FQDN proporcionado por VMware que representa la dirección de conexión interna del servicio de Universal Broker. Por ejemplo, el registro puede asignar vdi.examplecompany.com a <cadena generada automáticamente>.vmwarehorizon.com.
        Certificate

        Haga clic en Examinar y cargue el certificado (en formato PFX protegido con contraseña) que valide el FQDN de gestión de agente. El certificado debe cumplir con todos los siguientes criterios:

        • El certificado debe ser válido durante al menos 90 días
        • El certificado debe estar firmado por una entidad de certificación de confianza
        • El nombre común (CN) del certificado o cualquiera de sus nombres alternativos del sujeto (SAN) deben coincidir con el FQDN
        • El contenido del certificado debe tener el formato X.509 estándar

        El archivo PFX debe contener la cadena de certificados completa y la clave privada: el certificado del dominio, los certificados intermedios, el certificado de CA raíz y la clave privada.

        El servicio de Universal Broker utiliza este certificado para establecer sesiones de conexión de confianza con los clientes.

        Nota: El certificado puede contener un FQDN comodín en el campo de CN o SAN. Si el carácter comodín es el único carácter en el subdominio situado más a la izquierda del identificador de referencia, el certificado solo valida los FQDN que coincidan con ese subdominio. Por ejemplo, si el certificado contiene el FQDN comodín *.mycompany.com, la regla de coincidencia permite vdi.mycompany.com como un FQDN de brokering válido. Sin embargo, test.vdi.mycompany.com no coincide con el identificador de referencia y no está permitido.
        Password Introduzca la contraseña para el archivo de certificado PFX.
        VMware Provided FQDN Este campo de solo lectura muestra el FQDN proporcionado por VMware que se genera automáticamente para el servicio de brokering. El FQDN adopta el formato https://<cadena generada automáticamente>.vmwarehorizon.com.

        El FQDN proporcionado por VMware no resulta visible para los usuarios finales y representa la dirección de conexión interna del servicio del Universal Broker. El FQDN personalizado funciona como un alias para el FQDN proporcionado por VMware.

        Importante: Debe configurar una asociación de alias mediante la creación de un registro CNAME en el servidor DNS que asigne el FQDN personalizado al FQDN proporcionado por VMware. Por ejemplo, el registro puede asignar vdi.examplecompany.com a <cadena generada automáticamente>.vmwarehorizon.com.

        En la siguiente captura de pantalla se muestra un ejemplo del asistente de configuración con los ajustes del FQDN personalizado introducidos.


        Asistente de configuración de Universal Broker con los ajustes del FQDN personalizado introducidos
    3. Una vez configurados los ajustes del FQDN, haga clic en Siguiente para avanzar una página en el asistente.
  3. (Opcional) En la página Autenticación del asistente, configure la autenticación en dos fases.
    De forma predeterminada, Universal Broker autentica a los usuarios únicamente a través de su nombre de usuario y contraseña de Active Directory. Si lo desea, puede implementar la autenticación en dos fases especificando un método de autenticación adicional. Para obtener más información, consulte Prácticas recomendadas para implementar una autenticación en dos fases en un entorno de Universal Broker.
    Importante: Para utilizar la autenticación en dos fases con el Universal Broker, en primer lugar debe configurar el servicio de autenticación adecuado en las distintas instancias externas de Unified Access Gateway para cada pod participante. Las configuraciones de las instancias externas de Unified Access Gateway deben ser idénticas dentro de los pods participantes y entre ellos.

    Por ejemplo, si desea utilizar la autenticación RADIUS, debe configurar el servicio RADIUS en todas las instancias externas de Unified Access Gateway para todos los pods de Horizon y Microsoft Azure participantes.

    No elimine ninguna instancia de Unified Access Gateway en los pods participantes. Dado que Universal Broker se basa en Unified Access Gateway para el tráfico de protocolo entre Horizon Client y los recursos virtuales, los usuarios no podrán acceder a los recursos aprovisionados desde un pod participante si elimina la instancia de Unified Access Gateway en ese pod.

    Configuración Descripción
    2 Factor Authentication

    Para utilizar la autenticación en dos fases, habilite esta función.

    Cuando se habilita esta función, se presentan opciones adicionales para configurar la autenticación de dos factores.

    Maintain User Name Habilite esta opción para mantener el nombre de usuario de Active Directory del usuario durante la autenticación en Universal Broker. Cuando está habilitada:
    • En el caso del Universal Broker, el usuario debe tener las mismas credenciales de nombre de usuario para la autenticación de Active Directory y para el método de autenticación adicional.
    • El usuario no puede cambiar el nombre de usuario en la pantalla de inicio de sesión del cliente.

    Si se desactiva esta opción, el usuario puede escribir otro nombre de usuario en la pantalla de inicio de sesión.

    Type

    Especifique el método de autenticación que desea utilizar, además del nombre de usuario y la contraseña de Active Directory.

    • Para utilizar la autenticación en dos fases tanto en los pods de Horizon como los de Microsoft Azure, seleccione RADIUS.
    • Para utilizar la autenticación en dos fases solo en los pods de Horizon, seleccione RSA SecurID.
    Nota: En esta versión, RSA SecurID es compatible con los pods de Horizon, pero no con los de Microsoft Azure. Si selecciona RSA SecurID, las solicitudes de autenticación RSA de los usuarios se intentan a través de las instancias de Unified Access Gateway únicamente en sus pods de Horizon. Las solicitudes de autenticación de nombre de usuario y contraseña de Active Directory se intentan a través de las instancias de Unified Access Gateway en pods de Horizon o de Microsoft Azure.
    Show Hint Text Habilite esta opción para configurar una cadena de texto que se muestre en la pantalla de inicio de sesión del cliente para facilitar la solicitud de las credenciales del usuario correspondientes al método de autenticación adicional.
    Custom Hint Text

    Introduzca la cadena de texto que desea mostrar en la pantalla de inicio de sesión del cliente. Aparece la sugerencia especificada para el usuario final como Enter your DisplayHint user name and password, donde DisplayHint es la cadena de texto que introduce en el cuadro de texto.

    Nota: Universal Broker no permite los siguientes caracteres en el texto de sugerencia personalizado: & < > ' "

    Si incluye alguno de estos caracteres no permitidos en el texto de sugerencia, se producirá un error en las conexiones del usuario al FQDN de Universal Broker.

    Esta sugerencia puede servir de orientación a los usuarios para introducir las credenciales correctas. Por ejemplo, introducir la frase Nombre de usuario de la empresa y contraseña de dominio a continuación para derivará en una solicitud para el usuario final que indica: Enter your Company user name and domain password below for user name and password.

    Skip Two-Factor Authentication

    Habilite esta opción para omitir la autenticación en dos fases para los usuarios de red internos que se conectan al servicio de Universal Broker. Asegúrese de que especificó los rangos de IP públicas pertenecientes a la red interna, tal como se describe en Definir rangos de redes internas para Universal Broker.

    • Cuando esta opción está habilitada, los usuarios internos deben introducir solo sus credenciales de Active Directory para autenticarse en el servicio de Universal Broker. Los usuarios externos deben introducir las credenciales de Active Directory y sus credenciales para el servicio de autenticación adicional.
    • Cuando esta opción está desactivada, los usuarios internos y externos deben introducir sus credenciales de Active Directory y sus credenciales para el servicio de autenticación adicional.
    Public IP Ranges

    Este campo de solo lectura enumera los rangos de IP públicas que representan la red interna. Universal Broker considera que los usuarios que se conectan desde una dirección IP dentro de uno de estos rangos son usuarios internos.

    Para obtener más información, consulte Definir rangos de redes internas para Universal Broker.

    En la siguiente captura de pantalla se muestra un ejemplo del asistente de configuración con los ajustes de la autenticación en dos fases introducidos.

    Asistente de configuración del Universal Broker con los ajustes de la autenticación en dos fases introducidos.
    Una vez configurada la autenticación en dos fases, haga clic en Siguiente para avanzar una página en el asistente.
  4. En la página Configuración del asistente de configuración, especifique los ajustes de Duraciones para Horizon Client.
    Esta configuración de tiempo de espera se aplica a la sesión de conexión entre Horizon Client y el escritorio asignado por Universal Broker. Esta configuración no se aplica a la sesión de inicio de sesión del usuario en el sistema operativo invitado del escritorio asignado. Cuando Universal Broker detecta las condiciones de tiempo de espera especificadas por esta configuración, cierra la sesión de conexión de Horizon Client del usuario.
    Configuración Descripción
    Client Heartbeat Interval Controla el intervalo en minutos, entre latidos de Horizon Client y el estado de conexión del usuario con Universal Broker. Estos latidos informan a Universal Broker sobre la cantidad de tiempo de inactividad transcurrido durante la sesión de conexión de Horizon Client.

    El tiempo de inactividad se mide cuando no se produce ninguna interacción con el dispositivo endpoint que ejecuta Horizon Client. Este tiempo de inactividad no se ve afectado por la inactividad en la sesión de inicio de sesión en el sistema operativo invitado que subyace al escritorio asignado del usuario.

    En implementaciones de escritorios de gran tamaño, aumentar la opción Intervalo de latidos de Client puede reducir el tráfico de red y mejorar el rendimiento.

    Client Idle User Tiempo de inactividad máximo, en minutos, permitido durante una sesión de conexión entre Horizon Client y Universal Broker.

    Cuando se alcanza el tiempo máximo, el período de autenticación del usuario caduca, y Universal Broker cierra todas las sesiones activas de Horizon Client. Para volver a abrir una sesión de conexión, los usuarios deben volver a introducir sus credenciales de autenticación en la pantalla de inicio de sesión de Universal Broker.

    Nota: Para evitar desconectar usuarios de forma inesperada de sus escritorios asignados, establezca el tiempo de espera de Usuario en espera de Client en un valor que sea al menos el doble del que aparece en Intervalo de latidos de Client.
    Client Broker Session Tiempo máximo, en minutos, permitido para una sesión de conexión de Horizon Client antes de que caduque la autenticación del usuario. El tiempo comienza cuando el usuario realiza la autenticación en Universal Broker. Cuando se agota el tiempo de espera de la sesión, los usuarios pueden seguir trabajando en el escritorio asignado. Sin embargo, si realizan una acción (como cambiar la configuración), que requiere comunicación con Universal Broker, Horizon Client les solicita que vuelvan a introducir sus credenciales de Universal Broker.
    Nota: El tiempo de espera de la Sesión de agente de Client debe ser mayor o igual a la suma del valor Intervalo de latidos de Client y el tiempo de espera del Usuario en espera de Client.
    Client Credential Cache Controla si se deben almacenar las credenciales de inicio de sesión del usuario en la memoria caché del sistema cliente. Introduzca 1 para almacenar las credenciales de usuario en la memoria caché. Introduzca 0 si no desea almacenar las credenciales de usuario en la memoria caché.
  5. En la página Configuración del asistente de configuración, especifique los ajustes de Detalles de directiva.
    Estos valores controlan si los usuarios finales pueden acceder a ciertas funciones de Horizon, si estas se encuentran disponibles en el escritorio y el cliente.
    Configuración Descripción
    Multimedia Redirection (MMR) Habilite esta opción para permitir que los usuarios finales accedan a la función de redireccionamiento multimedia, si la función está disponible en el escritorio y en el cliente.
    USB Access Habilite esta opción para permitir a los usuarios finales la función de redireccionamiento USB, si la función está disponible en el escritorio y en el cliente.
    Clean Up HTML Access Credentials When Tab is Closed

    Si se elimina este ajuste, se eliminan de la caché las credenciales de un usuario cuando este cierra una pestaña que establezca la conexión a un escritorio remoto o cuando cierra una pestaña que se conecte a la página de selección de escritorios, en el cliente HTML Access.

    Cuando este ajuste está habilitado, también elimina las credenciales de la caché en los siguientes escenarios cliente de HTML Access:

    • Un usuario actualiza la página de selección de escritorios o la página de la sesión remota.
    • El servidor presenta un certificado autofirmado, un usuario inicia un escritorio remoto y el usuario acepta el certificado cuando la advertencia de seguridad aparece.
    • Un usuario ejecuta un comando URI en la pestaña que contiene la sesión remota.

    Cuando este ajuste está desactivado, las credenciales se mantienen en la caché.

    Allow Client to Wait for Powered-Off VM Habilite este ajuste si desea que Horizon Client vuelva a intentar las solicitudes de conexión con los escritorios remotos que no están disponibles en un momento determinado.

    Por ejemplo, si un usuario cliente solicita un escritorio que está desconectado en ese momento y este ajuste está habilitado, Horizon Client puede volver a enviar la solicitud y establecer una sesión de conexión cuando el escritorio esté conectado y disponible.

    Una vez configurados los detalles de directiva, haga clic en Siguiente para avanzar un paso en el asistente.
  6. Revise la configuración en la página Resumen y haga clic en Finalizar para guardar y aplicar los ajustes.
    Según las condiciones del sistema y de la red, por lo general, la configuración tarda al menos unos minutos y hasta media hora en surtir efecto en el servicio de Universal Broker, ya que los registros de DNS se propagan en todos los servidores DNS en todas las regiones globales. Durante este tiempo, el servicio Universal Broker no está disponible. Cuando la instalación se haya completado correctamente, la sección Agente de la página de introducción aparece como Completado y la página Configuración > Agente muestra el estado Habilitado con un punto verde.

    Página del agente con Universal Broker habilitado
    Importante: Si se produce un error en la configuración de la Universal Broker, la página Configuración > Agente muestra el estado Error con un icono de alerta de color rojo. Para corregir el error de configuración y configurar el servicio de Universal Broker, póngase en contacto con el Soporte de VMware, como se describe en el artículo 2006985 de la base de conocimientos (KB) de VMware.

Qué hacer a continuación