Vous pouvez déployer Unified Access Gateway avec Horizon Cloud with On-Premises Infrastructure et l'infrastructure du Cloud Horizon Air.

Conditions préalables

Si vous souhaitez que Horizon et une instance de proxy inverse Web telle que Workspace ONE Access soient tous deux configurés et activés sur la même instance d'Unified Access Gateway, reportez-vous à la section Paramètres avancés des services Edge.

Procédure

  1. Dans la section Configurer manuellement de l'interface utilisateur d'administration, cliquez sur Sélectionner.
  2. Dans Paramètres généraux, activez l'option Paramètres du service Edge.
  3. Cliquez sur l'icône d'engrenage Paramètres d'Horizon.
  4. Sur la page Paramètres d'Horizon, activez l'option Activer Horizon pour activer les paramètres d'Horizon.
  5. Configurez les ressources des paramètres du service Edge suivantes pour Horizon :

    Option

    Description

    Identifiant

    Définissez par défaut sur Horizon. Unified Access Gateway peut communiquer avec des serveurs qui utilisent le protocole Horizon XML, tels que le Serveur de connexion Horizon, Horizon Air et Horizon Cloud with On-Premises Infrastructure.

    URL du Serveur de connexion

    Entrez l'adresse du serveur Horizon Server. Par exemple, https://00.00.00.00.

    Pour maintenir la haute disponibilité, assurez-vous que vous disposez d'au moins deux instances d'Unified Access Gateway, puis spécifiez différents Serveurs de connexion comme cibles pour l'URL du Serveur de connexion. L'instance d'Unified Access Gateway est en mesure de détecter si son Serveur de connexion cible ne répond pas et informe l'équilibrage de charge externe qu'elle ne peut plus gérer de nouvelles connexions.

    Pour plus d'informations, reportez-vous à la section Équilibrage de charge des Serveurs de connexion dans Zone Tech VMware.

    Empreinte numérique de l'URL du Serveur de connexion

    Note : Vous devez spécifier une empreinte numérique uniquement si le certificat du serveur SSL du Serveur de connexion n'est pas émis par une autorité de certification approuvée. Par exemple, un certificat auto-signé ou un certificat émis par une autorité de certification interne.

    Entrez la liste des empreintes numériques d'Horizon Server au format de chiffres hexadécimaux.

    Une empreinte numérique est au format [alg=]xx:xx… où alg peut être sha1 (valeur par défaut), sha256, sha384, et sha512 ou md5, et xx sont des chiffres hexadécimaux. L'algorithme de hachage doit répondre aux exigences spécifiées pour la taille de hachage minimale. En cas d'ajout de plusieurs empreintes numériques, elles doivent être séparées par des virgules. Le séparateur peut être un espace, deux-points (:) ou aucun séparateur.

    Par exemple, sha1=C3 89 A2 19 DC 7A 48 2B 85 1C 81 EC 5E 8F 6A 3C 33 F2 95 C3, sha256=ad:5c:f1:48:47:94:7e:80:82:73:13:6c:83:52:b:e:78:ed:ff:50:23:56:a8:42:8a:d9:30:fc:3a:33:d6:c6:db, sha512=2221B24DC78018A8FAFF81B7AD348722390793DE8C0E5E5AA1D622BCC951D4DA5DBB1C76C79A258A7AFBD1727447151C90E1733E7E83A7D1D46ADF1A31C78496.

    Les empreintes numériques de certificat peuvent être configurées pour la validation du certificat de serveur renvoyé dans la communication entre Unified Access Gateway et Horizon Connection Server.

    Cette option peut être configurée lors du déploiement de PowerShell en ajoutant le paramètre proxyDestinationUrlThumbprints à la section [Horizon] du fichier ini. Reportez-vous à la section Utilisation de PowerShell pour déployer le dispositif Unified Access Gateway.

    Respecter la redirection du Serveur de connexion

    Lorsque le broker Horizon envoie un code de réponse 307 de redirection HTTP et que l'option Redirection du Serveur de connexion Honor est activée, Unified Access Gateway communique avec l'URL spécifiée dans l'en-tête de l'emplacement de la réponse 307 pour les demandes actuelles et futures dans la session.

    Si la case Activer la redirection de l'hôte est cochée sur le Serveur de connexion, assurez-vous d'activer l'option Redirection du Serveur de connexion sur Unified Access Gateway. Pour plus d'informations, reportez-vous à la section Activer la redirection de l'hôte dans le Guide d'installation et de mise à niveau d'Horizon sur VMware Docs.

    Activer PCOIP

    Activez cette option pour spécifier si PCoIP Secure Gateway est activé.

    Désactiver le certificat hérité PCOIP

    Activez cette option pour utiliser le certificat du serveur SSL téléchargé plutôt que le certificat hérité. Les clients PCoIP hérités ne fonctionneront pas si cette option est activée.

    URL externe PCoIP

    URL utilisée par les clients Horizon pour établir la session PCoIP Horizon avec ce dispositif Unified Access Gateway. Cette URL doit contenir une adresse IPv4 et non un nom d'hôte. Par exemple, 10.1.2.3:4172. La valeur par défaut est l'adresse IP d'Unified Access Gateway et le port 4172.

    Activer Blast

    Activez cette option pour utiliser Blast Secure Gateway.

    URL externe Blast

    URL utilisée par les clients Horizon pour établir la session Horizon Blast ou BEAT avec ce dispositif Unified Access Gateway. Par exemple, https://uag1.myco.com ou https://uag1.myco.com:443.

    Si le numéro de port TCP n'est pas spécifié, le port TCP par défaut est 8443. Si le numéro de port UDP n'est pas spécifié, le port UDP par défaut est également 8443.

    Connexion Blast inversée activée

    Activez cette option pour activer la correspondance Blast inversée.

    Restriction : Cette option est ajoutée pour un cas d'utilisation ultérieur.

    Mode IP du Serveur de connexion

    Indique le mode IP d'un Horizon Connection Server.

    Ce champ peut comporter les valeurs suivantes : IPv4, IPv6 et IPv4+IPv6.

    La valeur par défaut est IPv4.

    • Si toutes les cartes réseau du dispositif Unified Access Gateway sont en mode IPv4 (et non en mode IPv6), ce champ peut comporter l'une des valeurs suivantes : IPv4 ou IPv4+IPv6 (mode mixte).

    • Si toutes les cartes réseau dans le dispositif Unified Access Gateway sont en mode IPv6 (et non pas en mode IPv4), ce champ peut comporter l'une des valeurs suivantes : IPv6 ou IPv4+IPv6 (mode mixte).

    Mode de chiffrement du client

    Indique le mode de chiffrement pour les communications entre Horizon Client, Unified Access Gateway et Horizon Connection Server.

    Les valeurs de cette option sont DISABLED, ALLOWED et REQUIRED. La valeur par défaut est ALLOWED.

    • DISABLED : l'option Client Encryption Mode est désactivée.

      Lorsqu'elle est désactivée, le comportement existant se poursuit. Dans les versions d'Unified Access Gateway antérieures à la version 2111, la communication non chiffrée est autorisée entre Horizon Client, Unified Access Gateway et Horizon Connection Server.

    • ALLOWED : avec Horizon Client 2111 ou version ultérieure, Unified Access Gateway autorise uniquement les communications chiffrées avec Horizon Client et Horizon Connection Server.

      Avec les versions antérieures d'Horizon Client, les communications non chiffrées sont autorisées. Ce comportement est semblable à celui observé lorsque la fonctionnalité est désactivée.

    • REQUIRED : seule la communication chiffrée est autorisée entre les trois composants.

      Note : Si une version antérieure d' Horizon Client est utilisée dans ce mode chiffré, la communication non chiffrée échoue et l'utilisateur final ne peut pas lancer les postes de travail et les applications Horizon.

    Activer la signature XML

    Indique le mode de signature XML. Les valeurs de cette option sont AUTO, ON et OFF. Par défaut, la signature XML est désactivée.
    Restriction : Cette option est ajoutée pour un cas d'utilisation ultérieur.

    Réécrire l'en-tête d'origine

    Si une demande entrante envoyée à Unified Access Gateway dispose de l'en-tête Origin et que l'option Réécrire l'en-tête d'origine est activée, Unified Access Gateway réécrit l'en-tête Origin avec l'URL du Serveur de connexion.

    L'option Réécrire l'en-tête d'origine fonctionne avec la propriété CORS checkOrigin d'Horizon Connection Server. Lorsque ce champ est activé, il n'est pas nécessaire que l'administrateur Horizon spécifie les adresses IP Unified Access Gateway dans le fichier locked.properties.

    Pour plus d'informations sur la vérification de l'origine, reportez-vous à la documentation Sécurité d'Horizon.

  6. Pour configurer la règle de la méthode d'authentification et les autres paramètres avancés, cliquez sur Autres.

    Option

    Description

    Méthodes d'authentification

    La méthode par défaut est l'utilisation d'une authentification directe du nom d'utilisateur et du mot de passe.

    Les méthodes d'authentification suivantes sont prises en charge : Passthrough, SAML, SAML and Passthrough, SAML and Unauthenticated, SecurID, SecurID and Unauthenticated, X.509 Certificate, X.509 Certificate and Passthrough, Device X.509 Certificate and Passthrough, RADIUS, RADIUS and Unauthenticated et X.509 Certificate or RADIUS.

    Important :

    Si vous avez choisi l'une des méthodes Unauthenticated comme méthode d'authentification, veillez à configurer le Niveau de ralentissement de la connexion dans le Horizon Connection Server sur Low. Cette configuration est nécessaire pour éviter un long retard du délai de connexion pour les points de terminaison lors de l'accès à l'application ou au poste de travail distant.

    Pour plus d'informations sur la configuration du Niveau de ralentissement de la connexion, reportez-vous à la section Configurer le ralentissement de la connexion pour l'accès non authentifié à des applications publiées dans le Guide d'administration d'Horizon sur le site VMware Docs.

    Activer Windows SSO

    Cette option être utilisée lorsque le champ Méthodes d'authentification est défini sur RADIUS et lorsque le code secret RADIUS est le même que le mot de passe du domaine Windows.

    Activez cette option pour utiliser le nom d'utilisateur et le code secret RADIUS pour les informations d'identification de connexion au domaine Windows afin d'éviter de devoir inviter à nouveau l'utilisateur.

    Si Horizon est configuré sur un environnement à domaines multiples, le domaine ne sera pas envoyé à CS si le nom d'utilisateur fourni ne contient pas de nom de domaine.

    Si le suffixe NameID est configuré et si le nom d'utilisateur fourni ne contient pas de nom de domaine, la valeur de configuration du suffixe NameID sera ajoutée au nom d'utilisateur. Par exemple, si un utilisateur a fourni jdoe comme nom d'utilisateur et que NameIDSuffix est défini sur @north.int, le nom d'utilisateur envoyé est jdoe@north.int.

    Si le suffixe NameID est configuré et si le nom d'utilisateur fourni est au format UPN, le suffixe NameID sera ignoré. Par exemple, si un utilisateur a fourni jdoe@north.int, NameIDSuffix - @south.int, le nom d'utilisateur est jdoe@north.int

    Si le nom d'utilisateur fourni est au format <DomainName\username>, par exemple NORTH\jdoe, Unified Access Gateway envoie le nom d'utilisateur et le nom de domaine séparément à CS.

    Attributs de classe RADIUS

    Ce champ est activé lorsque le champ Méthodes d'authentification doit être définie sur RADIUS. Cliquez sur « + » pour ajouter une valeur pour l'attribut de classe. Entrez le nom de l'attribut de classe à utiliser pour l'authentification utilisateur. Cliquez sur « - » pour supprimer un attribut de classe.

    Note :

    Si ce champ reste vide, l'autorisation supplémentaire n'est pas effectuée.

    Texte de clause de non-responsabilité

    Texte du message de clause de non-responsabilité d'Horizon affiché que l'utilisateur doit accepter dans les cas où une méthode d'authentification est configurée.

    Invite de conseil de carte à puce

    Activez cette option pour activer l'indication de mot de passe de l'authentification du certificat.

    Chemin d'accès à l'URI de contrôle de santé

    Chemin d'accès à l'URI du serveur de connexion auquel se connecte Unified Access Gateway pour contrôler l'état de santé.

    Activer le serveur UDP

    Les connexions sont établies au moyen de l'UDP du serveur Tunnel si la bande passante est faible.

    Lorsqu'Horizon Client envoie des demandes au moyen du protocole UDP, Unified Access Gateway reçoit l'adresse IP source de ces demandes comme 127.0.0.1. Unified Access Gateway envoie la même adresse IP source à Horizon Connection Server.

    Pour vous assurer que le Serveur de connexion reçoit l'adresse IP source réelle de la demande, vous devez désactiver cette option (Activer l'UDP du serveur) dans l'interface utilisateur d'administration d'Unified Access Gateway.

    Certificat de proxy Blast

    Certificat de proxy pour Blast. Cliquez sur Sélectionner pour télécharger un certificat au format PEM et l'ajouter au magasin des approbations BLAST. Cliquez sur Modifier pour remplacer le certificat existant.

    Si l'utilisateur télécharge manuellement le même certificat pour Unified Access Gateway dans l'équilibrage de charge et qu'il doit utiliser un certificat différent pour Unified Access Gateway et pour Blast Gateway, l'établissement d'une session de poste de travail Blast échoue, car l'empreinte numérique entre le client et Unified Access Gateway ne correspond pas. L'entrée de l'empreinte numérique personnalisée dans Unified Access Gateway ou dans Blast Gateway résout le problème en relayant l'empreinte numérique afin d'établir la session client.

    Valeurs d'en-tête d'hôte autorisées de Blast

    Entrer une adresse IP ou un nom d'hôte

    En spécifiant une valeur d'en-tête d'hôte, BSG (Blast Secure Gateway) autorise uniquement les demandes qui contiennent la valeur d'en-tête d'hôte spécifiée.

    Une liste de valeurs séparées par des virgules au format host[:port] peut être spécifiée. La valeur peut être une adresse IP, un nom d'hôte ou un nom de domaine complet.

    L'en-tête de l'hôte dans la demande de connexion entrante de Blast TCP au port 8443 à Blast Secure Gateway doit correspondre à l'une des valeurs fournies dans le champ.

    Pour autoriser une demande sans nom d'hôte ni adresse IP dans l'en-tête de l'hôte, utilisez _empty_.

    Si aucune valeur n'est spécifiée, tout en-tête d'hôte envoyé par Horizon Client est accepté.

    Activer le tunnel

    Activez cette option si le tunnel sécurisé Horizon est utilisé. Le client utilise l'URL externe pour les connexions par tunnel via Horizon Secure Gateway. Le tunnel est utilisé pour le trafic RDP, USB et de redirection multimédia (MMR).

    URL externe de tunnel

    URL utilisée par les clients Horizon pour établir la session Horizon Tunnel avec ce dispositif Unified Access Gateway. Par exemple, https://uag1.myco.com ou https://uag1.myco.com:443.

    Si le numéro de port TCP n'est pas spécifié, le port TCP par défaut est 443.

    Certificat du proxy de Tunnel

    Certificat du proxy pour Horizon Tunnel. Cliquez sur Sélectionner pour télécharger un certificat au format PEM et l'ajouter au magasin des approbations Tunnel. Cliquez sur Modifier pour remplacer le certificat existant.

    Si l'utilisateur télécharge manuellement le même certificat pour Unified Access Gateway dans l'équilibrage de charge et qu'il doit utiliser un certificat différent pour Unified Access Gateway et pour Horizon Tunnel, l'établissement d'une session Tunnel échoue, car l'empreinte numérique entre le client et Unified Access Gateway ne correspond pas. L'entrée de l'empreinte numérique personnalisée dans Unified Access Gateway ou dans Horizon Tunnel résout le problème en relayant l'empreinte numérique afin d'établir la session client.

    Fournisseur de vérification de la conformité du point de terminaison

    Sélectionnez le fournisseur de vérification de la conformité du point de terminaison.

    La valeur par défaut est None.

    Note :

    Ce n'est que lors de la configuration des paramètres du fournisseur de vérification de la conformité dans l'interface utilisateur d'administration que vous pouvez consulter les options disponibles pour la sélection. Pour plus d'informations sur les fournisseurs de vérification de la conformité du point de terminaison et leur configuration, reportez-vous à la section Vérifications de la conformité du point de terminaison pour Horizon.

    Vérification de la conformité lors de l'authentification

    Option permettant de désactiver ou d'activer la vérification de la conformité du point de terminaison lors de l'authentification utilisateur.

    La conformité est toujours vérifiée lorsqu'un utilisateur démarre une session de poste de travail ou d'application. Lorsque cette option est activée, la conformité est également vérifiée après l'authentification utilisateur réussie. Si cette option est activée et que la vérification de la conformité échoue lors de l'authentification, la session utilisateur s'arrête.

    Si l'option est désactivée, Unified Access Gateway vérifie uniquement la conformité lorsqu'un utilisateur démarre une session de poste de travail ou d'application.

    Cette option n'est disponible que lorsqu'un fournisseur de vérification de la conformité du point de terminaison est sélectionné. Par défaut, cette option est activée.

    Attention :

    Si vous avez configuré l'option Délai initial de vérification de la conformité sur la page Paramètres du fournisseur de vérification de la conformité du point de terminaison, l'option Vérification de la conformité lors de l'authentification est automatiquement désactivée. Unified Access Gateway ne vérifie pas la conformité lors de l'authentification. Pour plus d'informations sur l'intervalle de temps et le comportement d'Unified Access Gateway lorsque cet intervalle de temps est configuré, reportez-vous à la section Intervalle de temps pour retarder la vérification de la conformité.

    Cette option est également disponible sous forme de paramètre dans la section [Horizon] du fichier .ini et peut être configurée lors du déploiement à l'aide de PowerShell. Pour obtenir le nom du paramètre, reportez-vous à la section Utilisation de PowerShell pour déployer le dispositif Unified Access Gateway.

    Modèle de proxy

    Entrez l'expression régulière qui correspond aux URL associées à l'URL d'Horizon Server (proxyDestinationUrl). Sa valeur par défaut est (/|/view-client(.*)|/portal(.*)|/appblast(.*)).

    Note :

    Le modèle peut également être utilisé pour exclure certaines URL. Par exemple, pour autoriser toutes les URL mais bloquer /admin, vous pouvez utiliser l'expression suivante.^/(?!admin(.*))(.*)

    SP SAML

    Entrez le nom du fournisseur de services SAML pour le broker Horizon XMLAPI. Ce nom doit correspondre à celui des métadonnées du fournisseur de services configuré ou à la valeur spéciale DEMO.

    Activer la correspondance canonique du modèle de proxy

    Activez cette option pour activer la correspondance canonique d'Horizon. Unified Access Gateway effectue l'équivalent de C RealPath() pour normaliser l'URL en convertissant les séquences de caractères telles que %2E et en supprimant les séquences .. pour créer un chemin d'accès absolu. La vérification du modèle de proxy est ensuite appliquée au chemin d'accès absolu.

    Par défaut, cette option est activée pour les services Horizon Edge.

    Note :

    Par défaut, cette option est désactivée pour les services de proxy inverse Web.

    Déconnexion lors de la suppression du certificat

    Note :

    Cette option est disponible lorsque l'une des méthodes d'authentification par carte à puce est sélectionnée comme méthode d'authentification.

    Si cette option est activée et que la carte à puce est supprimée, l'utilisateur final est obligé de se déconnecter d'une session Unified Access Gateway.

    Étiquette du nom d'utilisateur pour RADIUS

    Entrez du texte pour personnaliser l'étiquette du nom d'utilisateur dans Horizon Client. Par exemple, Domain Username

    La méthode d'authentification RADIUS doit être activée. Pour activer RADIUS, reportez-vous à la section Configuration de l'authentification RADIUS.

    Le nom d'étiquette par défaut est Username.

    Le nom de l'étiquette ne doit pas dépasser 20 caractères.

    Étiquette de code secret pour RADIUS

    Entrez un nom pour personnaliser l'étiquette du code secret dans Horizon Client. Par exemple, Password

    La méthode d'authentification RADIUS doit être activée. Pour activer RADIUS, reportez-vous à la section Configuration de l'authentification RADIUS.

    Le nom d'étiquette par défaut est Passcode.

    Le nom de l'étiquette ne doit pas dépasser 20 caractères.

    Faire correspondre au nom d'utilisateur Windows

    Activez cette option pour faire correspondre RSA SecurID et le nom d'utilisateur Windows. Lorsque cette option est activée, securID-auth est défini sur true et la correspondance de securID et du nom d'utilisateur Windows est appliquée.

    Si Horizon est configuré sur un environnement à domaines multiples, le domaine ne sera pas envoyé à CS si le nom d'utilisateur fourni ne contient pas de nom de domaine.

    Si le suffixe NameID est configuré et si le nom d'utilisateur fourni ne contient pas de nom de domaine, la valeur de configuration du suffixe NameID sera ajoutée au nom d'utilisateur. Par exemple, si un utilisateur a fourni jdoe comme nom d'utilisateur et que NameIDSuffix est défini sur @north.int, le nom d'utilisateur envoyé est jdoe@north.int.

    Si le suffixe NameID est configuré et si le nom d'utilisateur fourni est au format UPN, le suffixe NameID sera ignoré. Par exemple, si un utilisateur a fourni jdoe@north.int, NameIDSuffix - @south.int, le nom d'utilisateur serait jdoe@north.int

    Si le nom d'utilisateur fourni est au format <DomainName\username>, par exemple NORTH\jdoe, Unified Access Gateway envoie le nom d'utilisateur et le nom de domaine séparément à CS.

    Note :

    Dans Horizon 7, si vous activez les paramètres Masquer les informations de serveur dans l'interface utilisateur client et Masquer la liste de domaines dans l'interface utilisateur client et que vous sélectionnez l'authentification à deux facteurs (RSA SecureID ou RADIUS) pour l'instance du Serveur de connexion, n'appliquez pas la correspondance des noms d'utilisateur Windows. L'application de la correspondance des noms d'utilisateur Windows empêche les utilisateurs d'entrer des informations de domaine dans la zone de texte Nom d'utilisateur, et la connexion échoue toujours. Pour plus d'informations, reportez-vous aux rubriques concernant l'authentification à deux facteurs dans le document Administration d'Horizon 7.

    Emplacement de la passerelle

    Emplacement d'origine de la demande de connexion. Le serveur de sécurité et Unified Access Gateway définissent l'emplacement de la passerelle. L'emplacement peut être External ou Internal.

    Important :

    L'emplacement doit être défini sur Internal lorsque l'une des méthodes d'authentification suivantes est sélectionnée : SAML and Unauthenticated, SecurID and Unauthenticated ou RADIUS and Unauthenticated.

    Afficher le message de préouverture de session du Serveur de connexion Activez cette option pour afficher à l'utilisateur tout message de préouverture de session du Serveur de connexion configuré sur celui-ci lors des flux de protocoles principaux XML-API. Par défaut, cette option est activée pour les services Horizon Edge.

    Lorsque cette option est désactivée, l'utilisateur ne distingue pas le message de préouverture de session configuré sur le Serveur de connexion.

    Producteur JWT

    Sélectionnez un producteur JWT configuré dans le menu déroulant.

    Note : Assurez-vous que le champ Nom est configuré dans la section Paramètres du producteur JWT des paramètres avancés.

    Publics JWT

    Liste facultative des destinataires prévus du JWT utilisé pour la validation de l'artefact SAML de Workspace ONE Access Horizon.

    Pour que la validation JWT réussisse, au moins un des destinataires de cette liste doit correspondre à l'un des publics spécifiés dans la configuration de Workspace ONE Access Horizon. Si aucun public JWT n'est spécifié, la validation JWT ne tient pas compte des publics.

    Consommateur JWT

    Sélectionnez le nom du consommateur JWT de l'un des paramètres JWT configurés.

    Note : Pour la validation de l'artefact SAML du jeton JWT de Workspace ONE Access, assurez-vous que le champ Nom est configuré dans la section Paramètres du consommateur JWT de Paramètres avancés.

    Certificats approuvés

    • Pour sélectionner un certificat au format PEM et l'ajouter au magasin d'approbations, cliquez sur le signe +.

    • Pour fournir un nom différent, modifiez la zone de texte de l'alias.

      Par défaut, le nom d'alias est le nom de fichier du certificat PEM.

    • Pour supprimer un certificat du magasin d'approbations, cliquez sur le signe -.

    En-têtes de sécurité de réponse

    Pour ajouter un en-tête, cliquez sur +. Entrez le nom de l'en-tête de sécurité. Entrez la valeur.

    Pour supprimer un en-tête, cliquez sur -. Modifiez un en-tête de sécurité existant pour mettre à jour le nom et la valeur de l'en-tête.

    Important :

    Les noms et valeurs d'en-têtes ne sont enregistrés qu'après avoir cliqué sur Enregistrer. Certains en-têtes de sécurité standard sont présents par défaut. Les en-têtes configurés sont ajoutés à la réponse d'Unified Access Gateway au client uniquement si les en-têtes correspondants sont absents dans la réponse du serveur principal configuré.

    Note :

    Modifiez les en-têtes de réponse de sécurité avec précaution. La modification de ces paramètres peut avoir une incidence sur le fonctionnement sécurisé d'Unified Access Gateway.

    Exécutables personnalisés du client

    Cette zone de liste déroulante répertorie les exécutables personnalisés configurés dans Unified Access Gateway.

    Les exécutables personnalisés sont configurés dans le cadre des paramètres avancés. Un exécutable peut être configuré pour plusieurs types de systèmes d'exploitation. Si l'exécutable est ajouté aux paramètres d'Horizon, tous les types de systèmes d'exploitation de l'exécutable sont également inclus. L'exécutable est alors disponible pour qu'Horizon Client le télécharge et le lance sur le périphérique de point de terminaison après une authentification utilisateur réussie.

    Pour plus d'informations sur la configuration des exécutables personnalisés, reportez-vous à la section Configurer les exécutables personnalisés du client sur Unified Access Gateway.

    Mappages de redirection de port d'hôte

    Pour plus d'informations sur la prise en charge de la capacité de redirection d'hôte HTTP par Unified Access Gateway et certaines considérations requises pour l'utilisation de cette capacité, reportez-vous à la section Prise en charge par Unified Access Gateway de la redirection d'hôte HTTP.

    Note :

    L'hôte source et l'hôte de redirection prennent en charge le port facultatif, séparé par deux points. Le numéro de port par défaut est 443.

    • Port:d'hôte source

      Entrez le nom d'hôte de la source (valeur d'en-tête de l'hôte).

    • Redirection de port:d'hôte

      Entrez le nom d'hôte du dispositif Unified Access Gateway individuel dont l'affinité doit être maintenue avec Horizon Client.

    Entrées de l'hôte

    Entrez les détails qui doivent être ajoutés au fichier /etc/hosts. Chaque entrée inclut une adresse IP, un nom d'hôte et un alias de nom d'hôte facultatif dans cet ordre, séparés par un espace. Par exemple, 10.192.168.1 example1.com, 10.192.168.2 example2.com example-alias. pour ajouter plusieurs entrées de l'hôte, cliquez sur le signe « + ».

    Important :

    Les entrées de l'hôte sont enregistrées uniquement après avoir cliqué sur Enregistrer.

    Publics SAML

    Assurez-vous que la méthode d'authentification SAML, ou SAML et relais, est choisie.

    Entrez l'URL du public.

    Note :

    Si la zone de texte reste vide, les publics ne sont pas restreints.

    Pour comprendre comment Unified Access Gateway prend en charge les publics SAML, reportez-vous à la section Publics SAML.

    Attribut de nom d'utilisateur non authentifié SAML

    Entrer le nom de l'attribut personnalisé

    Note :

    Ce champ n'est disponible que lorsque la valeur des Méthodes d'authentification est SAML and Unauthenticated.

    Lorsqu'Unified Access Gateway valide l'assertion SAML, si le nom d'attribut spécifié dans ce champ est présent dans l'assertion, Unified Access Gateway fournit l'accès non authentifié au nom d'utilisateur configuré pour l'attribut dans le fournisseur d'identité.

    Pour plus d'informations sur la méthode SAML and Unauthenticated, reportez-vous à la section Méthodes d'authentification pour l'intégration d'Unified Access Gateway et du fournisseur d'identité tiers.

    Nom d'utilisateur non authentifié par défaut

    Entrer le nom d'utilisateur par défaut qui doit être utilisé pour l'accès non authentifié

    Ce champ est disponible dans l'interface utilisateur d'administration lorsque l'une des Méthodes d'authentification suivantes est sélectionnée : SAML and Unauthenticated, SecurID and Unauthenticated et RADIUS and Unauthenticated.

    Note :

    Pour la méthode d'authentification SAML and Unauthenticated, le nom d'utilisateur par défaut pour l'accès non authentifié n'est utilisé que lorsque le champ Attribut de nom d'utilisateur non authentifié SAML est vide ou que le nom d'attribut spécifié dans ce champ est manquant dans l'assertion SAML.

    Désactiver HTML Access

    Si cette option est activée, l'accès Web à Horizon est désactivé. Reportez-vous à la section Configurez OPSWAT comme fournisseur de vérification de la conformité du point de terminaison pour Horizon pour plus d'informations.

  7. (Facultatif) Configurez la liste de fonctionnalités BSG à l'aide de l'importation JSON sur l'interface utilisateur d'administration ou le fichier de configuration INI via le déploiement de PowerShell.
    Deux types de listes sont pris en charge.
    • Liste de fonctionnalités standard : contient la liste suivante de fonctionnalités standard.
      Nom convivial Nom de la fonctionnalité standard
      Redirection du Presse-papiers MKSCchan
      Redirection HTML5/de géolocalisation html5mmr
      Serveur RDE VMwareRde;UNITY_UPDATE_CHA
      TSMMR tsmmr
      Redirection de port série/scanner NLR3hv;NLW3hv
      Redirection d'imprimante PrintRedir
      CDR tsdr
      Redirection USB UsbRedirection
      Redirection de lecteur de stockage SDRTrans
      Télémétrie TlmStat TlmStat
      Afficher le scanner VMWscan
      Redirection FIDO2 fido2
    • Liste de fonctionnalités personnalisées : texte libre qui peut contenir plusieurs fonctionnalités. Prend en charge les caractères spéciaux et non anglais.
    Note :

    Cette fonctionnalité ne s'applique qu'aux instances de Windows Horizon Agent. Par défaut, la liste de fonctionnalités BSG n'est pas configurée et toutes les fonctionnalités d'expérience à distance sont autorisées. Si la liste de fonctionnalités BSG est configurée, seules les fonctionnalités d'expérience à distance spécifiées dans la liste sont autorisées et toutes les autres fonctionnalités sont bloquées.

    Configurez la liste de fonctionnalités BSG à l'aide de l'une des méthodes suivantes.

    Option Description
    Fichier INI

    Ajoutez la configuration suivante dans le paramètre [Horizon/Blast] .

    standardFeature1=PrintRedir
    standardFeature2=UsbRedirection 
    customFeature1=acme_desktop1
    customFeature2=acme_desktop2
    Fichier JSON

    Ouvrez le fichier JSON existant et ajoutez le nouveau nœud blastSettings semblable à l'exemple suivante.

    “blastExternalUrl”: “https://example.com/”,
     “blastSettings”: {
    “blastStandardFeatures”: [
     “PrintRedir”,
    “UsbRedirection”
    ],
     “blastCustomFeatures”: [
     “acme_desktop1”,
     “acme_desktop2”
     ]
        },
  8. Cliquez sur Enregistrer.