En el paso del asistente de implementación de pods para especificar las configuraciones de Unified Access Gateway, también puede especificar el uso de la autenticación en dos fases para el acceso de los usuarios finales a los escritorios y las aplicaciones a través de esas configuraciones de puerta de enlace.

Importante: Esta información se aplica únicamente cuando tenga acceso a un entorno de arrendatario de first-gen en el plano de control de first-gen. Como se describe en el artículo 92424 de la base de conocimientos, el plano de control de first-gen ha llegado a la fecha de fin de disponibilidad (EOA). Consulte el artículo para obtener información.

Horizon Cloud on Microsoft Azure: los campos de autenticación en dos fases del asistente de implementación de pods se encuentran en su estado inicial después de activar la opción para habilitar la autenticación en dos fases.

Cuando se especifican detalles de la autenticación en dos fases en el asistente para una configuración de puerta de enlace, durante el proceso de implementación del pod, el implementador de pods configura los dispositivos de Unified Access Gateway implementados correspondientes a la configuración de puerta de enlace con los detalles de la autenticación en dos fases especificados.

Como se describe en la documentación de Unified Access Gateway, cuando los dispositivos de Unified Access Gateway están configurados para la autenticación en dos fases, los dispositivos de Unified Access Gateway autentican las sesiones de usuario entrantes de acuerdo con las directivas de autenticación en dos fases especificadas. Después de que Unified Access Gateway autentique una sesión de usuario de acuerdo con la directiva de autenticación especificada, Unified Access Gateway reenvía esa solicitud de cliente de usuario final para el inicio de un escritorio o una aplicación al administrador de pods implementado para establecer una sesión de conexión entre el cliente y una aplicación o un escritorio disponible.

Importante: Después de implementar el pod, cuando se planea configurar las opciones de Universal Broker del arrendatario para usar la autenticación en dos fases y se implementa el pod con una configuración de puerta de enlace externa y una configuración de puerta de enlace interna, es posible que se requieran pasos adicionales posteriores a la implementación para garantizar que Universal Broker pueda distinguir entre un usuario final externo y un usuario final interno con el fin de aplicar correctamente la configuración de autenticación en dos fases especificada para Universal Broker. Para obtener más información, consulte Prácticas recomendadas al implementar una autenticación en dos fases en un entorno de Universal Broker.

Requisitos previos

Compruebe que cumpla los requisitos descritos en Arrendatarios de first-gen: requisitos previos para ejecutar el asistente de implementación de pods de first-gen.

Para la configuración de Unified Access Gateway externa o interna para la que está especificando los detalles de autenticación en dos fases, compruebe que haya rellenado los campos para la configuración de Unified Access Gateway en el asistente, tal como se describe en Arrendatarios de first-gen: especificar la configuración de puerta de enlace del pod de Horizon Cloud. Al configurar la autenticación en dos fases en un servidor de autenticación local, también se proporciona información en los siguientes campos de modo que las instancias de Unified Access Gateway puedan resolver el enrutamiento a ese servidor local.

Opción Descripción
Direcciones de DNS Especifique una o más direcciones de servidores DNS que puedan resolver el nombre de su servidor de autenticación local.
Rutas Especifique una o varias rutas personalizadas que permitan que las instancias del pod de Unified Access Gateway resuelvan el enrutamiento de red para el servidor de autenticación local.

Por ejemplo, si tiene un servidor RADIUS local que utiliza 10.10.60.20 como dirección IP, use 10.10.60.0/24 y su dirección de puerta de enlace de ruta predeterminada como una ruta personalizada. Obtenga la dirección de puerta de enlace de ruta predeterminada de la configuración de la ruta exprés o de una VPN que utilice para este entorno.

Especifique las rutas personalizadas como una lista separada por comas en el formulario ipv4-network-address/bits ipv4-gateway-address, por ejemplo: 192.168.1.0/24 192.168.0.1, 192.168.2.0/24 192.168.0.2.

Compruebe que ha usado la siguiente información en la configuración del servidor de autenticación, de modo que pueda incluirla en los campos adecuados del asistente de implementación de pods. Si utiliza un servidor de autenticación RADIUS y tiene un servidor principal y uno secundario, obtenga la información de cada uno de ellos.

RADIUS

Si está configurando ajustes para un servidor principal y un servidor auxiliar RADIUS, obtenga la información de cada uno de ellos.

  • La dirección IP o el nombre DNS del servidor de autenticación.
  • El secreto compartido que se utiliza para cifrar y descifrar los mensajes de protocolo del servidor de autenticación.
  • Números de puerto de autenticación, por lo general, 1812/UDP para RADIUS.
  • El tipo de protocolo de autenticación. Entre los tipos de autenticación se encuentran PAP (Protocolo de autenticación de contraseña), CHAP (Protocolo de autenticación por desafío mutuo), MSCHAP1 y MSCHAP2 (Protocolo de autenticación por desafío mutuo de Microsoft, versiones 1 y 2).
    Nota: Compruebe la documentación del proveedor RADIUS para el protocolo de autenticación que el proveedor RADIUS recomiende y siga el tipo de protocolo especificado. Las instancias de Unified Access Gateway le permiten al pod admitir la autenticación en dos fases con RADIUS, y Unified Access Gateway es compatible con PAP, CHAP, MSCHAP1 y MSCHAP2. PAP es generalmente menos seguro que MSCHAP2. PAP también es un protocolo más simple que MSCHAP2. Como consecuencia, aunque la mayoría de los proveedores RADIUS es compatible con el protocolo PAP más simple, algunos proveedores RADIUS no son tan compatibles con MSCHAP2 que es más seguro.
RSA SecurID
Nota: El tipo RSA SecurID es compatible con las implementaciones de Horizon Cloud on Microsoft Azure que ejecutan el manifiesto 3139.x o una versión posterior. La opción de interfaz de usuario para especificar el tipo RSA SecurID en los asistentes Agregar pod y Editar pod estará visible para su selección en los asistentes a partir de mediados de marzo de 2022.
  • La clave de acceso del servidor del administrador de autenticación RSA SecurID.
  • Número de puerto de comunicación de RSA SecurID. Por lo general, es 5555, como se establece en la configuración del sistema RSA Authentication Manager para la API de autenticación de RSA SecurID.
  • Nombre de host del servidor del administrador de autenticación RSA SecurID.
  • Dirección IP de ese servidor del administrador de autenticación RSA SecurID.
  • Si el servidor del administrador de autenticación RSA SecurID o su servidor de equilibrador de carga tiene un certificado autofirmado, necesitará el certificado de CA para proporcionarlo en el asistente Agregar pod. El certificado debe estar en formato PEM (tipos de archivo .cer, .cert o .pem)

Procedimiento

  1. Active la opción Habilitar la autenticación en dos fases.
    Cuando la opción se habilita, el asistente muestra campos de configuración adicionales. Utilice la barra de desplazamiento para acceder a todos los campos.

    La siguiente captura de pantalla es un ejemplo de lo que se muestra después de habilitar la opción en la sección UAG externa.

    Horizon Cloud on Microsoft Azure: los campos de autenticación en dos fases del asistente de implementación de pods se encuentran en su estado inicial después de activar la opción para habilitar la autenticación en dos fases.
  2. Seleccione el tipo de autenticación en dos fases (RADIUS o RSA SecurID).
    Actualmente, los tipos compatibles disponibles son RADIUS y RSA SecurID.

    Después de seleccionar el tipo, el menú Configuración de la autenticación en dos fases refleja automáticamente que está agregando una configuración de ese tipo seleccionado. Por ejemplo, si se selecciona el tipo RSA SecurID, el menú Configuración de la autenticación en dos fases muestra Nuevo RSA SecurID.

  3. En el campo Nombre de la configuración, escriba un nombre identificativo para esta configuración.
  4. En la sección Propiedades, especifique los detalles relacionados con la interacción de los usuarios finales con la pantalla de inicio de sesión que utilizarán para autenticar el acceso.

    El asistente muestra campos en función de la configuración que admite una implementación de Horizon Cloud on Microsoft Azure mediante sus configuraciones de puerta de enlace. Los campos varían según el tipo de autenticación en dos fases seleccionado. Consulte la siguiente tabla, que corresponde al tipo seleccionado, RADIUS o RSA SecurID.

    RADIUS

    A medida que complete los campos, se requerirá especificar los detalles sobre el servidor de autenticación principal. Si tiene un servidor de autenticación secundario, habilite la opción Servidor auxiliar y especifique también los detalles del servidor.

    Opción Descripción
    Nombre para mostrar Puede dejar este campo en blanco. A pesar de que este campo está visible en el asistente, solo establece un nombre interno en la configuración de Unified Access Gateway. Los clientes de Horizon no utilizan este nombre.
    Mostrar sugerencia Si lo desea, escriba una cadena de texto que se mostrará a los usuarios finales en el mensaje en la pantalla de inicio de sesión de cliente de los usuarios finales cuando le solicita al usuario su código de acceso y el nombre de usuario de RADIUS. Aparece la sugerencia especificada para el usuario final como Enter your DisplayHint user name and passcode, donde DisplayHint es el texto que especifique en este campo.

    Esta sugerencia puede servir de orientación a los usuarios para introducir el código de acceso de RADIUS correcto. Por ejemplo, especificar una frase como Nombre de usuario de la empresa y contraseña de dominio de ejemplo a continuación derivaría en una solicitud para el usuario final con el texto Enter your Example Company user name and domain password below for user name and passcode.

    Sufijo de ID de nombre Esta opción se usa en los escenarios de SAML, donde el pod está configurado a fin de usar TrueSSO para Single Sign-On. De forma opcional, proporcione una cadena que se anexará al nombre de usuario de confirmación de SAML que se envía en la solicitud al administrador de pods. Por ejemplo, si el nombre de usuario introducido es user1 en la pantalla de inicio de sesión y se especifica aquí un sufijo de identificador de nombre de @example.com, se envía un nombre de usuario de confirmación de SAML [email protected] en la solicitud.
    Número de iteraciones Introduzca el número máximo de intentos erróneos de autenticación que se permiten para el usuario al intentar iniciar sesión con el sistema RADIUS.
    Mantener nombre de usuario Habilite esta opción para mantener el nombre de usuario de Active Directory del usuario durante el flujo de autenticación que se transmite entre el cliente, la instancia de Unified Access Gateway y el servicio RADIUS. Cuando está habilitada:
    • El usuario debe tener las mismas credenciales de nombre de usuario para RADIUS que para su autenticación Active Directory.
    • El usuario no puede cambiar el nombre de usuario en la pantalla de inicio de sesión.

    Si se desactiva esta opción, el usuario puede escribir otro nombre de usuario en la pantalla de inicio de sesión.

    Nota: Para conocer más sobre la relación entre la habilitación de Mantener nombre de usuario y la configuración de seguridad del dominio en Horizon Cloud, consulte el tema Configuración de seguridad del dominio en la página Configuración general.
    Nombre de host/dirección IP Introduzca el nombre DNS o la dirección IP del servidor de autenticación.
    Secreto compartido Escriba el secreto para la comunicación con el servidor de autenticación. El valor debe ser idéntico al valor configurado por el servidor.
    Puerto de autenticación Especifique el puerto UDP configurado en el servidor de autenticación para enviar o recibir tráfico de autenticación. El valor predeterminado es 1812.
    Puerto de cuentas De forma opcional, especifique el puerto UDP configurado en el servidor de autenticación para enviar o recibir tráfico de contabilidad. El valor predeterminado es 1813.
    Mecanismo Seleccione el protocolo de autenticación compatible con el servidor de autenticación especificado y que desea que use el pod implementado.
    Tiempo de espera del servidor Especifique el número de segundos que el pod debe esperar para recibir una respuesta del servidor de autenticación. Después de este periodo de tiempo, se enviará un reintento si el servidor no responde.
    Número máximo de reintentos Especifique el número máximo de veces que el pod debe volver a reenviar las solicitudes fallidas al servidor de autenticación.
    Prefijo del dominio kerberos De forma opcional, proporcione una cadena que el sistema colocará delante del nombre de usuario cuando este se envíe al servidor de autenticación. La ubicación de la cuenta de usuario se denomina dominio kerberos.

    Por ejemplo, si el nombre de usuario introducido es user1 en la pantalla de inicio de sesión y se ha especificado el prefijo de dominio kerberos DOMAIN-A\ aquí, el sistema enviará DOMAIN-A\user1 al servidor de autenticación. Si no especifica ningún prefijo de dominio kerberos, solo se enviará el nombre de usuario.

    Sufijo del dominio kerberos De forma opcional, proporcione una cadena que el sistema anexará al nombre de usuario cuando este se envíe al servidor de autenticación. Por ejemplo, si el nombre de usuario introducido es user1 en la pantalla de inicio de sesión y se ha especificado el sufijo de dominio kerberos @example.com aquí, el sistema enviará [email protected] al servidor de autenticación.
    RSA SecurID
    Opción Descripción
    Clave de acceso Escriba la clave de acceso del sistema RSA SecurID, obtenida en la configuración de la API de autenticación RSA SecurID del sistema.
    Puerto de servidor Especifique el valor configurado en la configuración de la API de autenticación RSA SecurID del sistema para el puerto de comunicación (por lo general, 5555 de forma predeterminada).
    Nombre de host del servidor Introduzca el nombre DNS del servidor de autenticación.
    Dirección IP del servidor Introduzca la dirección IP del servidor de autenticación.
    Número de iteraciones Introduzca el número máximo de intentos de autenticación fallidos que se permiten a un usuario antes de que se bloquee durante una hora. El valor predeterminado es cinco (5) intentos.
    Certificado de CA Este elemento es necesario cuando el servidor del administrador de autenticación RSA SecurID o su equilibrador de carga utilizan un certificado autofirmado. En este caso, copie el certificado de CA y péguelo en este campo. Como se describió anteriormente en esta página, la información del certificado debe proporcionarse en formato PEM.

    Cuando el servidor tiene un certificado firmado por una entidad de certificación (CA) pública, este campo es opcional.

    Tiempo de espera de autenticación Especifique el número de segundos que desea que el intento de autenticación esté disponible entre las instancias de Unified Access Gateway y el servidor de autenticación RSA SecurID antes de agotarse el tiempo de espera. El valor predeterminado es 180 segundos.