Définissez par défaut sur Horizon. Unified Access Gateway peut communiquer avec des serveurs qui utilisent le protocole Horizon XML, tel que le Serveur de connexion Horizon.

Entrez l'adresse du serveur Horizon Server. Par exemple, https://00.00.00.00.

Pour maintenir la haute disponibilité, assurez-vous que vous disposez d'au moins deux instances d'Unified Access Gateway, puis spécifiez différents Serveurs de connexion comme cibles pour l'URL du Serveur de connexion. L'instance d'Unified Access Gateway est en mesure de détecter si son Serveur de connexion cible ne répond pas et informe l'équilibrage de charge externe qu'elle ne peut plus gérer de nouvelles connexions.

Pour plus d'informations, reportez-vous à la section Équilibrage de charge des Serveurs de connexion dans Zone Tech VMware.

Entrez la liste des empreintes numériques d'Horizon Server au format de chiffres hexadécimaux.

Par exemple, sha1=C3 89 A2 19 DC 7A 48 2B 85 1C 81 EC 5E 8F 6A 3C 33 F2 95 C3, sha256=ad:5c:f1:48:47:94:7e:80:82:73:13:6c:83:52:b:e:78:ed:ff:50:23:56:a8:42:8a:d9:30:fc:3a:33:d6:c6:db, sha512=2221B24DC78018A8FAFF81B7AD348722390793DE8C0E5E5AA1D622BCC951D4DA5DBB1C76C79A258A7AFBD1727447151C90E1733E7E83A7D1D46ADF1A31C78496.

Les empreintes numériques de certificat peuvent être configurées pour la validation du certificat de serveur renvoyé dans la communication entre Unified Access Gateway et Horizon Connection Server.

Cette option peut être configurée lors du déploiement de PowerShell en ajoutant le paramètre proxyDestinationUrlThumbprints à la section [Horizon] du fichier ini. Reportez-vous à la section Exécuter un script PowerShell pour déployer Unified Access Gateway.

Lorsque le broker Horizon envoie un code de réponse 307 de redirection HTTP et que l'option Redirection du Serveur de connexion Honor est activée, Unified Access Gateway communique avec l'URL spécifiée dans l'en-tête de l'emplacement de la réponse 307 pour les demandes actuelles et futures dans la session.

Si la case Activer la redirection de l'hôte est cochée sur le Serveur de connexion, assurez-vous d'activer l'option Redirection du Serveur de connexion sur Unified Access Gateway. Pour plus d'informations, reportez-vous à la section Activer la redirection de l'hôte dans le Guide d'installation et de mise à niveau d'Horizon sur VMware Docs.

Activez cette option pour spécifier si PCoIP Secure Gateway est activé.

Activez cette option pour utiliser le certificat du serveur SSL téléchargé plutôt que le certificat hérité. Les clients PCoIP hérités ne fonctionneront pas si cette option est activée.

URL utilisée par les clients Horizon pour établir la session PCoIP Horizon avec ce dispositif Unified Access Gateway. Cette URL doit contenir une adresse IPv4 et non un nom d'hôte. Par exemple, 10.1.2.3:4172. La valeur par défaut est l'adresse IP d'Unified Access Gateway et le port 4172.

Activez cette option pour utiliser Blast Secure Gateway.

URL utilisée par les clients Horizon pour établir la session Horizon Blast ou BEAT avec ce dispositif Unified Access Gateway. Par exemple, https://uag1.myco.com ou https://uag1.myco.com:443.

Si le numéro de port TCP n'est pas spécifié, le port TCP par défaut est 8443. Si le numéro de port UDP n'est pas spécifié, le port UDP par défaut est également 8443.

Activez cette option pour activer la correspondance Blast inversée.

Indique le mode IP d'un Horizon Connection Server.

Ce champ peut comporter les valeurs suivantes : IPv4, IPv6 et IPv4+IPv6.

La valeur par défaut est IPv4.

• Si toutes les cartes réseau du dispositif Unified Access Gateway sont en mode IPv4 (et non en mode IPv6), ce champ peut comporter l'une des valeurs suivantes : IPv4 ou IPv4+IPv6 (mode mixte).

• Si toutes les cartes réseau dans le dispositif Unified Access Gateway sont en mode IPv6 (et non pas en mode IPv4), ce champ peut comporter l'une des valeurs suivantes : IPv6 ou IPv4+IPv6 (mode mixte).

Indique le mode de chiffrement pour les communications entre Horizon Client, Unified Access Gateway et Horizon Connection Server.

Les valeurs de cette option sont DISABLED, ALLOWED et REQUIRED. La valeur par défaut est ALLOWED.

• DISABLED : l'option Client Encryption Mode est désactivée.

  Lorsqu'elle est désactivée, le comportement existant se poursuit. Dans les versions d'Unified Access Gateway antérieures à la version 2111, la communication non chiffrée est autorisée entre Horizon Client, Unified Access Gateway et Horizon Connection Server.

• ALLOWED : avec Horizon Client 2111 ou version ultérieure, Unified Access Gateway autorise uniquement les communications chiffrées avec Horizon Client et Horizon Connection Server.

  Avec les versions antérieures d'Horizon Client, les communications non chiffrées sont autorisées. Ce comportement est semblable à celui observé lorsque la fonctionnalité est désactivée.

• REQUIRED : seule la communication chiffrée est autorisée entre les trois composants.

  Note : Si une version antérieure d' Horizon Client est utilisée dans ce mode chiffré, la communication non chiffrée échoue et l'utilisateur final ne peut pas lancer les postes de travail et les applications Horizon.

Si une demande entrante envoyée à Unified Access Gateway dispose de l'en-tête Origin et que l'option Réécrire l'en-tête d'origine est activée, Unified Access Gateway réécrit l'en-tête Origin avec l'URL du Serveur de connexion.

L'option Réécrire l'en-tête d'origine fonctionne avec la propriété CORS checkOrigin d'Horizon Connection Server. Lorsque ce champ est activé, il n'est pas nécessaire que l'administrateur Horizon spécifie les adresses IP Unified Access Gateway dans le fichier locked.properties.

Pour plus d'informations sur la vérification de l'origine, reportez-vous à la documentation Sécurité d'Horizon.

La méthode par défaut est l'utilisation d'une authentification directe du nom d'utilisateur et du mot de passe.

Les méthodes d'authentification suivantes sont prises en charge : Passthrough, SAML, SAML and Passthrough, SAML and Unauthenticated, SecurID, SecurID and Unauthenticated, X.509 Certificate, X.509 Certificate and Passthrough, Device X.509 Certificate and Passthrough, RADIUS, RADIUS and Unauthenticated et X.509 Certificate or RADIUS.

Cette option être utilisée lorsque le champ Méthodes d'authentification est défini sur RADIUS et lorsque le code secret RADIUS est le même que le mot de passe du domaine Windows.

Activez cette option pour utiliser le nom d'utilisateur et le code secret RADIUS pour les informations d'identification de connexion au domaine Windows afin d'éviter de devoir inviter à nouveau l'utilisateur.

Si Horizon est configuré sur un environnement à domaines multiples, le domaine ne sera pas envoyé à CS si le nom d'utilisateur fourni ne contient pas de nom de domaine.

Si le suffixe NameID est configuré et si le nom d'utilisateur fourni ne contient pas de nom de domaine, la valeur de configuration du suffixe NameID sera ajoutée au nom d'utilisateur. Par exemple, si un utilisateur a fourni jdoe comme nom d'utilisateur et que NameIDSuffix est défini sur @north.int, le nom d'utilisateur envoyé est [email protected].

Si le suffixe NameID est configuré et si le nom d'utilisateur fourni est au format UPN, le suffixe NameID sera ignoré. Par exemple, si un utilisateur a fourni [email protected], NameIDSuffix - @south.int, le nom d'utilisateur est [email protected]

Si le nom d'utilisateur fourni est au format <DomainName\username>, par exemple NORTH\jdoe, Unified Access Gateway envoie le nom d'utilisateur et le nom de domaine séparément à CS.

Ce champ est activé lorsque le champ Méthodes d'authentification doit être définie sur RADIUS. Cliquez sur « + » pour ajouter une valeur pour l'attribut de classe. Entrez le nom de l'attribut de classe à utiliser pour l'authentification utilisateur. Cliquez sur « - » pour supprimer un attribut de classe.

Texte du message de clause de non-responsabilité d'Horizon affiché que l'utilisateur doit accepter dans les cas où une méthode d'authentification est configurée.

Activez cette option pour activer l'indication de mot de passe de l'authentification du certificat.

Chemin d'accès à l'URI du serveur de connexion auquel se connecte Unified Access Gateway pour contrôler l'état de santé.

Les connexions sont établies au moyen de l'UDP du serveur Tunnel si la bande passante est faible.

Lorsqu'Horizon Client envoie des demandes au moyen du protocole UDP, Unified Access Gateway reçoit l'adresse IP source de ces demandes comme 127.0.0.1. Unified Access Gateway envoie la même adresse IP source à Horizon Connection Server.

Pour vous assurer que le Serveur de connexion reçoit l'adresse IP source réelle de la demande, vous devez désactiver cette option (Activer l'UDP du serveur) dans l'interface utilisateur d'administration d'Unified Access Gateway.

Certificat de proxy pour Blast. Cliquez sur Sélectionner pour télécharger un certificat au format PEM et l'ajouter au magasin des approbations BLAST. Cliquez sur Modifier pour remplacer le certificat existant.

Si l'utilisateur télécharge manuellement le même certificat pour Unified Access Gateway dans l'équilibrage de charge et qu'il doit utiliser un certificat différent pour Unified Access Gateway et pour Blast Gateway, l'établissement d'une session de poste de travail Blast échoue, car l'empreinte numérique entre le client et Unified Access Gateway ne correspond pas. L'entrée de l'empreinte numérique personnalisée dans Unified Access Gateway ou dans Blast Gateway résout le problème en relayant l'empreinte numérique afin d'établir la session client.

Entrer une adresse IP ou un nom d'hôte

En spécifiant une valeur d'en-tête d'hôte, BSG (Blast Secure Gateway) autorise uniquement les demandes qui contiennent la valeur d'en-tête d'hôte spécifiée.

Une liste de valeurs séparées par des virgules au format host[:port] peut être spécifiée. La valeur peut être une adresse IP, un nom d'hôte ou un nom de domaine complet.

L'en-tête de l'hôte dans la demande de connexion entrante de Blast TCP au port 8443 à Blast Secure Gateway doit correspondre à l'une des valeurs fournies dans le champ.

Pour autoriser une demande sans nom d'hôte ni adresse IP dans l'en-tête de l'hôte, utilisez _empty_.

Si aucune valeur n'est spécifiée, tout en-tête d'hôte envoyé par Horizon Client est accepté.

Activez cette option si le tunnel sécurisé Horizon est utilisé. Le client utilise l'URL externe pour les connexions par tunnel via Horizon Secure Gateway. Le tunnel est utilisé pour le trafic RDP, USB et de redirection multimédia (MMR).

URL utilisée par les clients Horizon pour établir la session Horizon Tunnel avec ce dispositif Unified Access Gateway. Par exemple, https://uag1.myco.com ou https://uag1.myco.com:443.

Si le numéro de port TCP n'est pas spécifié, le port TCP par défaut est 443.

Certificat du proxy pour Horizon Tunnel. Cliquez sur Sélectionner pour télécharger un certificat au format PEM et l'ajouter au magasin des approbations Tunnel. Cliquez sur Modifier pour remplacer le certificat existant.

Si l'utilisateur télécharge manuellement le même certificat pour Unified Access Gateway dans l'équilibrage de charge et qu'il doit utiliser un certificat différent pour Unified Access Gateway et pour Horizon Tunnel, l'établissement d'une session Tunnel échoue, car l'empreinte numérique entre le client et Unified Access Gateway ne correspond pas. L'entrée de l'empreinte numérique personnalisée dans Unified Access Gateway ou dans Horizon Tunnel résout le problème en relayant l'empreinte numérique afin d'établir la session client.

Sélectionnez le fournisseur de vérification de la conformité du point de terminaison.

La valeur par défaut est None.

Option permettant de désactiver ou d'activer la vérification de la conformité du point de terminaison lors de l'authentification utilisateur.

La conformité est toujours vérifiée lorsqu'un utilisateur démarre une session de poste de travail ou d'application. Lorsque cette option est activée, la conformité est également vérifiée après l'authentification utilisateur réussie. Si cette option est activée et que la vérification de la conformité échoue lors de l'authentification, la session utilisateur s'arrête.

Si l'option est désactivée, Unified Access Gateway vérifie uniquement la conformité lorsqu'un utilisateur démarre une session de poste de travail ou d'application.

Cette option n'est disponible que lorsqu'un fournisseur de vérification de la conformité du point de terminaison est sélectionné. Par défaut, cette option est activée.

Cette option est également disponible sous forme de paramètre dans la section [Horizon] du fichier .ini et peut être configurée lors du déploiement à l'aide de PowerShell. Pour obtenir le nom du paramètre, reportez-vous à la section Exécuter un script PowerShell pour déployer Unified Access Gateway.

Entrez l'expression régulière qui correspond aux URL associées à l'URL d'Horizon Server (proxyDestinationUrl). Sa valeur par défaut est (/|/view-client(.*)|/portal(.*)|/appblast(.*)).

Entrez le nom du fournisseur de services SAML pour le broker Horizon XMLAPI. Ce nom doit correspondre à celui des métadonnées du fournisseur de services configuré ou à la valeur spéciale DEMO.

Activez cette option pour activer la correspondance canonique d'Horizon. Unified Access Gateway effectue l'équivalent de C RealPath() pour normaliser l'URL en convertissant les séquences de caractères telles que %2E et en supprimant les séquences .. pour créer un chemin d'accès absolu. La vérification du modèle de proxy est ensuite appliquée au chemin d'accès absolu.

Par défaut, cette option est activée pour les services Horizon Edge.

Si cette option est activée et que la carte à puce est supprimée, l'utilisateur final est obligé de se déconnecter d'une session Unified Access Gateway.

Entrez du texte pour personnaliser l'étiquette du nom d'utilisateur dans Horizon Client. Par exemple, Domain Username

La méthode d'authentification RADIUS doit être activée. Pour activer RADIUS, reportez-vous à la section Configuration de l'authentification RADIUS.

Le nom d'étiquette par défaut est Username.

Le nom de l'étiquette ne doit pas dépasser 20 caractères.

Entrez un nom pour personnaliser l'étiquette du code secret dans Horizon Client. Par exemple, Password

La méthode d'authentification RADIUS doit être activée. Pour activer RADIUS, reportez-vous à la section Configuration de l'authentification RADIUS.

Le nom d'étiquette par défaut est Passcode.

Le nom de l'étiquette ne doit pas dépasser 20 caractères.

Activez cette option pour faire correspondre RSA SecurID et le nom d'utilisateur Windows. Lorsque cette option est activée, securID-auth est défini sur true et la correspondance de securID et du nom d'utilisateur Windows est appliquée.

Si Horizon est configuré sur un environnement à domaines multiples, le domaine ne sera pas envoyé à CS si le nom d'utilisateur fourni ne contient pas de nom de domaine.

Si le suffixe NameID est configuré et si le nom d'utilisateur fourni ne contient pas de nom de domaine, la valeur de configuration du suffixe NameID sera ajoutée au nom d'utilisateur. Par exemple, si un utilisateur a fourni jdoe comme nom d'utilisateur et que NameIDSuffix est défini sur @north.int, le nom d'utilisateur envoyé est [email protected].

Si le suffixe NameID est configuré et si le nom d'utilisateur fourni est au format UPN, le suffixe NameID sera ignoré. Par exemple, si un utilisateur a fourni [email protected], NameIDSuffix - @south.int, le nom d'utilisateur serait [email protected]

Si le nom d'utilisateur fourni est au format <DomainName\username>, par exemple NORTH\jdoe, Unified Access Gateway envoie le nom d'utilisateur et le nom de domaine séparément à CS.

Emplacement d'origine de la demande de connexion. Le serveur de sécurité et Unified Access Gateway définissent l'emplacement de la passerelle. L'emplacement peut être External ou Internal.

Lorsque cette option est désactivée, l'utilisateur ne distingue pas le message de préouverture de session configuré sur le Serveur de connexion.

Sélectionnez un producteur JWT configuré dans le menu déroulant.

Liste facultative des destinataires prévus du JWT utilisé pour la validation de l'artefact SAML de Workspace ONE Access Horizon.

Pour que la validation JWT réussisse, au moins un des destinataires de cette liste doit correspondre à l'un des publics spécifiés dans la configuration de Workspace ONE Access Horizon. Si aucun public JWT n'est spécifié, la validation JWT ne tient pas compte des publics.

Sélectionnez le nom du consommateur JWT de l'un des paramètres JWT configurés.

• Pour sélectionner un certificat au format PEM et l'ajouter au magasin d'approbations, cliquez sur le signe +.

• Pour fournir un nom différent, modifiez la zone de texte de l'alias.

  Par défaut, le nom d'alias est le nom de fichier du certificat PEM.

• Pour supprimer un certificat du magasin d'approbations, cliquez sur le signe -.

Pour ajouter un en-tête, cliquez sur +. Entrez le nom de l'en-tête de sécurité. Entrez la valeur.

Pour supprimer un en-tête, cliquez sur -. Modifiez un en-tête de sécurité existant pour mettre à jour le nom et la valeur de l'en-tête.

Cette zone de liste déroulante répertorie les exécutables personnalisés configurés dans Unified Access Gateway.

Les exécutables personnalisés sont configurés dans le cadre des paramètres avancés. Un exécutable peut être configuré pour plusieurs types de systèmes d'exploitation. Si l'exécutable est ajouté aux paramètres d'Horizon, tous les types de systèmes d'exploitation de l'exécutable sont également inclus. L'exécutable est alors disponible pour qu'Horizon Client le télécharge et le lance sur le périphérique de point de terminaison après une authentification utilisateur réussie.

Pour plus d'informations sur la configuration des exécutables personnalisés, reportez-vous à la section Configurer les exécutables personnalisés du client sur Unified Access Gateway.

Pour plus d'informations sur la prise en charge de la capacité de redirection d'hôte HTTP par Unified Access Gateway et certaines considérations requises pour l'utilisation de cette capacité, reportez-vous à la section Prise en charge par Unified Access Gateway de la redirection d'hôte HTTP.

• Port:d'hôte source

  Entrez le nom d'hôte de la source (valeur d'en-tête de l'hôte).

• Redirection de port:d'hôte

  Entrez le nom d'hôte du dispositif Unified Access Gateway individuel dont l'affinité doit être maintenue avec Horizon Client.

Entrez les détails qui doivent être ajoutés au fichier /etc/hosts. Chaque entrée inclut une adresse IP, un nom d'hôte et un alias de nom d'hôte facultatif dans cet ordre, séparés par un espace. Par exemple, 10.192.168.1 example1.com, 10.192.168.2 example2.com example-alias. pour ajouter plusieurs entrées de l'hôte, cliquez sur le signe « + ».

Assurez-vous que la méthode d'authentification SAML, ou SAML et relais, est choisie.

Entrez l'URL du public.

Pour comprendre comment Unified Access Gateway prend en charge les publics SAML, reportez-vous à la section Publics SAML.

Entrer le nom de l'attribut personnalisé

Lorsqu'Unified Access Gateway valide l'assertion SAML, si le nom d'attribut spécifié dans ce champ est présent dans l'assertion, Unified Access Gateway fournit l'accès non authentifié au nom d'utilisateur configuré pour l'attribut dans le fournisseur d'identité.

Pour plus d'informations sur la méthode SAML and Unauthenticated, reportez-vous à la section Méthodes d'authentification pour l'intégration d'Unified Access Gateway et du fournisseur d'identité tiers.

Entrer le nom d'utilisateur par défaut qui doit être utilisé pour l'accès non authentifié

Ce champ est disponible dans l'interface utilisateur d'administration lorsque l'une des Méthodes d'authentification suivantes est sélectionnée : SAML and Unauthenticated, SecurID and Unauthenticated et RADIUS and Unauthenticated.

Si cette option est activée, l'accès Web à Horizon est désactivé. Reportez-vous à la section Configurez OPSWAT comme fournisseur de vérification de la conformité du point de terminaison pour Horizon pour plus d'informations.

Ajoutez la configuration suivante dans le paramètre [Horizon/Blast] .

standardFeature1=PrintRedir
standardFeature2=UsbRedirection 
customFeature1=acme_desktop1
customFeature2=acme_desktop2

Ouvrez le fichier JSON existant et ajoutez le nouveau nœud blastSettings semblable à l'exemple suivante.

“blastExternalUrl”: “https://example.com/”,
 “blastSettings”: {
“blastStandardFeatures”: [
 “PrintRedir”,
“UsbRedirection”
],
 “blastCustomFeatures”: [
 “acme_desktop1”,
 “acme_desktop2”
 ]
    },