En este tema se describen los pasos de nivel general y las prácticas recomendadas que se pueden usar para configurar la autenticación en dos fases del servicio de Universal Broker.

Cómo funciona la autenticación en dos fases con Universal Broker

De forma predeterminada, Universal Broker autentica a los usuarios únicamente a través de su nombre de usuario y contraseña de Active Directory. Si lo desea, puede implementar la autenticación en dos fases opcional especificando un servicio de autenticación adicional. Universal Broker admite los siguientes servicios de autenticación en dos fases, según los tipos de pod que haya implementado en el entorno de arrendatario.

  • Si el entorno solo contiene pods de Horizon Cloud en Microsoft Azure, Universal Broker solo admite la autenticación Radius.
  • Si el entorno contiene solo pods de Horizon en una plataforma basada en VMware SDDC, Universal Broker admite la autenticación Radius y RSA SecurID.
  • Si tiene un entorno mixto que contiene pods de Horizon Cloud en Microsoft Azure y pods de Horizon en una plataforma basada en VMware SDDC, Universal Broker solo admite la autenticación Radius.

Universal Broker se basa en la configuración de las instancias externas de Unified Access Gateway dentro de cada pod participante al realizar una autenticación en dos fases de los usuarios de la red. Aunque también es posible configurar instancias internas de Unified Access Gateway para controlar la autenticación y el enrutamiento de usuarios de la red interna, Universal Broker basa su autenticación en dos fases en el servicio de autenticación que está configurado en las instancias externas de Unified Access Gateway.

Nota: Debe configurar el servicio de autenticación en dos fases adecuado en la instancia externa de Unified Access Gateway para cada pod participante. Las configuraciones de todas las instancias externas de Unified Access Gateway dentro de un pod participante deben coincidir entre sí y deben ser idénticas a las configuraciones de las instancias externas de Unified Access Gateway en todos los demás pods participantes. De lo contrario, se produce un error en la autenticación para el servicio Universal Broker.

Por ejemplo, si desea utilizar la autenticación RADIUS para sus pods de Horizon configurados con Universal Broker, debe configurar el mismo servicio RADIUS en todas las instancias externas de Unified Access Gateway de todos los pods de Horizon participantes. No se puede configurar RADIUS en algunos pods participantes y RSA SecurID en otros pods participantes.

Cuando desea habilitar la autenticación en dos fases para usuarios en redes externas e internas

  1. Para cada pod en el entorno de Universal Broker, configure al menos una instancia externa de Unified Access Gateway. Configure el mismo servicio de autenticación en dos factores en cada instancia externa de Unified Access Gateway en todos los pods.

    Siga las directrices de configuración de su caso práctico específico:

    • Si su entorno consta únicamente de pods de Horizon, configure el servicio RADIUS o RSA SecurID en cada instancia externa de Unified Access Gateway en todos los pods.
    • Si su entorno consta únicamente de pods de Horizon Cloud en Microsoft Azure, configure el servicio RADIUS en cada instancia externa de Unified Access Gateway en todos los pods.
    • Si tiene un entorno híbrido que contiene una combinación de pods de Horizon y pods de Horizon Cloud en Microsoft Azure, configure el servicio RADIUS en cada instancia externa de Unified Access Gateway en todos los pods.

    En relación con los pods de Horizon, consulte la documentación de Unified Access Gateway, la documentación de VMware Horizon y la documentación de VMware Horizon 7. Para los pods de Horizon Cloud en Microsoft Azure, consulte Especificar la configuración de puerta de enlace del pod de Horizon Cloud.

  2. De forma opcional, configure una instancia interna de Unified Access Gateway para cada pod. Para enrutar el tráfico de usuario a los servidores DNS internos y externos, realice una de las siguientes acciones:
    • Configure FQDN distintos para las instancias internas y externas de Unified Access Gateway en el pod.
    • Configure el mismo FQDN para las instancias internas y externas de Unified Access Gateway en el pod. A continuación, configure zonas de DNS divididas para el FQDN del equilibrador de carga del pod.
  3. (Solo para pods de Horizon) Configure los ajustes de token web JSON en cada instancia de Unified Access Gateway para admitir el redireccionamiento del protocolo y el servidor del túnel que requiere Universal Broker. Consulte Pods de Horizon: configurar Unified Access Gateway para su uso con Universal Broker.
  4. En la página Autenticación del asistente de configuración de Universal Broker, especifique la siguiente configuración:
    1. Habilite la opción Autenticación en dos fases.
    2. Para Tipo, seleccione el servicio de autenticación que configuró en todas las instancias externas de Unified Access Gateway en los pods.
    3. Establezca la opción Autenticación en dos fases en la posición desactivada.

    Consulte Configurar los ajustes de Universal Broker.

Cuando desea habilitar la autenticación en dos fases solo para los usuarios de la red externa

  1. Complete los pasos 1 al 3 como se describe en el caso práctico anterior, "Cuando desea habilitar la autenticación en dos fases para usuarios en redes externas e internas".
  2. En la pestaña Rangos de redes de la página Agente, defina los rangos de IP públicas que representan la red interna. Consulte Definir rangos de redes internas para Universal Broker.
  3. En la página Autenticación del asistente de configuración de Universal Broker, especifique la siguiente configuración:
    1. Habilite la opción Autenticación en dos fases.
    2. Para Tipo, seleccione el servicio de autenticación que configuró en todas las instancias externas de Unified Access Gateway en los pods.
    3. Habilite la opción Omitir autenticación en dos fases.

    Consulte Configurar los ajustes de Universal Broker.