En este tema se describen los pasos de nivel general y las prácticas recomendadas que se pueden usar para configurar la autenticación en dos fases del servicio de Universal Broker.

Cómo funciona la autenticación en dos fases con Universal Broker

De forma predeterminada, Universal Broker autentica a los usuarios únicamente a través de su nombre de usuario y contraseña de Active Directory. Si lo desea, puede implementar la autenticación en dos fases opcional especificando un servicio de autenticación adicional.

A partir de la versión de servicio 2203, Universal Broker admite los siguientes servicios de autenticación en dos fases con implementaciones de Horizon e implementaciones de Horizon Cloud on Microsoft Azure.

  • RADIUS
  • RSA SecurID
Nota: Para la compatibilidad de RSA SecurID con implementaciones de Horizon Cloud on Microsoft Azure, los pods deben ejecutar el manifiesto 3139.x o una versión posterior y la opción RSA SecurID debe estar visible para seleccionarse en la configuración de puerta de enlace cuando se ejecuta Editar pod en esos pods.

Universal Broker se basa en la configuración de las instancias externas de Unified Access Gateway dentro de cada pod participante al realizar una autenticación en dos fases de los usuarios de la red. Aunque también es posible configurar instancias internas de Unified Access Gateway para controlar la autenticación y el enrutamiento de usuarios de la red interna, Universal Broker basa su autenticación en dos fases en el servicio de autenticación que está configurado en las instancias externas de Unified Access Gateway.

Nota: Debe configurar el servicio de autenticación en dos fases adecuado en la instancia externa de Unified Access Gateway para cada pod participante. Las configuraciones de todas las instancias externas de Unified Access Gateway dentro de un pod participante deben coincidir entre sí y deben ser idénticas a las configuraciones de las instancias externas de Unified Access Gateway en todos los demás pods participantes. De lo contrario, se produce un error en la autenticación para el servicio Universal Broker.

Por ejemplo, si desea utilizar la autenticación RADIUS para sus pods de Horizon configurados con Universal Broker, debe configurar el mismo servicio RADIUS en todas las instancias externas de Unified Access Gateway de todos los pods de Horizon participantes. No se puede configurar RADIUS en algunos pods participantes y RSA SecurID en otros pods participantes.

Cuando desea habilitar la autenticación en dos fases para usuarios en redes externas e internas

  1. Para cada pod en el entorno de Universal Broker, configure al menos una instancia externa de Unified Access Gateway. Configure el mismo servicio de autenticación en dos factores en cada instancia externa de Unified Access Gateway en todos los pods.

    Siga las directrices de configuración de su caso práctico específico. Cuando el grupo del arrendatario tiene:

    Solo pods de Horizon
    Configure el servicio RADIUS o RSA SecurID en cada instancia externa de Unified Access Gateway en todos los pods.
    Solo implementaciones de Horizon Cloud on Microsoft Azure
    Configure el mismo servicio de autenticación en dos fases en cada instancia externa de Unified Access Gateway en todos los pods. Si todos los pods son del manifiesto 3139.x o una versión posterior y observa que la opción RSA SecurID está disponible en la configuración de autenticación en dos fases cuando ejecuta el asistente Editar pod en los pods, tiene la opción de configurar todos los pods para que usen el tipo RSA SecurID. De lo contrario, el tipo RADIUS está disponible.
    Combinación de pods de Horizon e implementaciones de Horizon Cloud on Microsoft Azure
    En un grupo combinado, las opciones disponibles dependen de si las implementaciones de Horizon Cloud on Microsoft Azure cumplen las condiciones para tener la opción RSA SecurID disponible en ellas.
    • Si las implementaciones de Horizon Cloud on Microsoft Azure no cumplen las condiciones para tener el tipo RSA SecurID configurado en ellas, puede configurar el servicio RADIUS en cada instancia de Unified Access Gateway externa de todos los pods del grupo.
    • Si las implementaciones de Horizon Cloud on Microsoft Azure cumplen las condiciones para tener el tipo RSA SecurID configurado en ellas, puede configurar RSA SecurID o RADIUS en cada instancia de Unified Access Gateway externa de todos los pods del grupo.

    En relación con los pods de Horizon, consulte la documentación de Unified Access Gateway, la documentación de VMware Horizon y la documentación de VMware Horizon 7.

    Para pods de Horizon Cloud en Microsoft Azure, consulte Agregar una configuración de puerta de enlace a un pod de Horizon Cloud implementado y Habilitar la autenticación en dos fases en las puertas de enlace de un pod de Horizon Cloud.

  2. De forma opcional, configure una instancia interna de Unified Access Gateway para cada pod. Para enrutar el tráfico de usuario a los servidores DNS internos y externos, realice una de las siguientes acciones:
    • Configure FQDN distintos para las instancias internas y externas de Unified Access Gateway en el pod.
    • Configure el mismo FQDN para las instancias internas y externas de Unified Access Gateway en el pod. A continuación, configure zonas de DNS divididas para el FQDN del equilibrador de carga del pod.
  3. (Solo para pods de Horizon) Configure los ajustes de token web JSON en cada instancia de Unified Access Gateway para admitir el redireccionamiento del protocolo y el servidor del túnel que requiere Universal Broker. Consulte Pods de Horizon: configurar Unified Access Gateway para su uso con Universal Broker.
  4. En la página Autenticación del asistente de configuración de Universal Broker, especifique la siguiente configuración:
    1. Habilite la opción Autenticación en dos fases.
    2. Para Tipo, seleccione el servicio de autenticación que configuró en todas las instancias externas de Unified Access Gateway en los pods.
    3. Establezca la opción Autenticación en dos fases en la posición desactivada.

    Consulte Configurar los parámetros de Universal Broker.

Cuando desea habilitar la autenticación en dos fases solo para los usuarios de la red externa

  1. Complete los pasos 1 al 3 como se describe en el caso práctico anterior, "Cuando desea habilitar la autenticación en dos fases para usuarios en redes externas e internas".
  2. En la pestaña Rangos de redes de la página Agente, defina los rangos de IP públicas que representan la red interna. Consulte Definir rangos de redes internas para Universal Broker.
  3. En la página Autenticación del asistente de configuración de Universal Broker, especifique la siguiente configuración:
    1. Habilite la opción Autenticación en dos fases.
    2. Para Tipo, seleccione el servicio de autenticación que configuró en todas las instancias externas de Unified Access Gateway en los pods.
    3. Habilite la opción Omitir autenticación en dos fases.

    Consulte Configurar los parámetros de Universal Broker.