Unified Access Gateway avec Horizon est conforme à NIAP/CSfC et la validation nécessite une configuration spécifique dans le dispositif Unified Access Gateway qui est nécessaire pour l'opération NIAP/CSfC.

Les modifications de configuration sont répertoriées comme suit :

  1. Déployez la version FIPS d'Unified Access Gateway sur VMware vSphere 7 ou version ultérieure.
  2. Configurez les paramètres suivants pendant le déploiement.
    Note : Vous pouvez configurer ces paramètres uniquement au moment du déploiement. Si vous ne les configurez pas pendant le déploiement, Unified Access Gateway inclura les valeurs par défaut.
    Paramètres Description
    Root Password Management Policies
    passwordPolicyMinLen Longueur minimale du mot de passe racine
    passwordPolicyMinClass Complexité minimale du mot de passe racine
    rootPasswordExpirationDays Nombre de jours au bout duquel le mot de passe racine doit être obligatoirement réinitialisé
    passwordPolicyFailedLockout Nombre de tentatives de connexion échouées après lequel l'accès de l'utilisateur racine est temporairement verrouillé
    passwordPolicyUnlockTime Durée en secondes pendant laquelle l'utilisateur racine est déverrouillé après un verrouillage temporaire
    rootSessionIdleTimeoutSeconds Durée en secondes après laquelle une session inactive de l'utilisateur racine expirera
    Admin Password Management Policies
    adminpasswordPolicyMinLen Longueur minimale du mot de passe Admin
    adminpasswordPolicyFailedLockoutCount Nombre de tentatives de connexion échouées après lequel l'accès de l'utilisateur Admin sera temporairement verrouillé
    adminpasswordPolicyUnlockTime

    Durée en secondes pendant laquelle l'utilisateur Admin est déverrouillé après un verrouillage temporaire
    adminSessionIdleTimeoutMinutes Durée en secondes après laquelle une session inactive de l'utilisateur Admin expirera
    Other Parameters
    Texte de la bannière de connexion

    Texte de la bannière affiché lors de la connexion SSH ou à la console Web
    Source SecureRandom

    Ce paramètre doit être défini sur /dev/random

    Pour plus d'informations sur ces paramètres et leurs valeurs, reportez-vous à la section Exécuter le script PowerShell pour déployer Unified Access Gateway du Guide de déploiement et de configuration de VMware Unified Access Gateway sur VMware Docs.

  3. Générez la CSR pour les certificats TLS et liez les certificats signés pour les interfaces Unified Access Gateway d'administration et publiques. Pour plus d'informations, reportez-vous à la section Générer une CSR et une clé privée à l'aide de la commande uagcertutil du Guide de déploiement et de configuration de VMware Unified Access Gateway sur VMware Docs.
    Note : Assurez-vous que tous les certificats de la chaîne disposent de signatures SHA-384. Toute incompatibilité d'algorithmes de signature dans les certificats et les configurations TLS sous Paramètres système peut entraîner des échecs d'établissement de liaison TLS et une perte d'accès au serveur.
  4. Configurez les paramètres suivants dans la section Configuration système de l'interface utilisateur d'administration. Pour plus d'informations sur ces paramètres, reportez-vous à la section Configurer les paramètres système d'Unified Access Gateway du Guide de déploiement et de configuration de VMware Unified Access Gateway sur VMware Docs.
    1. Configurez l'option Suites de chiffrement du serveur TLS sur TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384.
    2. Configurer l'option Suites de chiffrement du client TLS sur 
      TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_DHE_RSA_WITH_AES_256_GCM_SHA384,TLS_DHE_RSA_WITH_AES_128_GCM_SHA256,TLS_DHE_RSA_WITH_AES_256_CBC_SHA256,TLS_DHE_RSA_WITH_AES_128_CBC_SHA256
    3. Configurez l'option Fournisseur SSL sur JDK.
    4. Configurez les groupes nommés TLS sur secp256r1,secp384r1,secp521r1,ffdhe2048,ffdhe3072,ffdhe4096,ffdhe6144,ffdhe8192.
    5. Configurez l'option Schémas de signature TLS sur rsa_pkcs1_sha384.
    6. Configurez l'option Texte de clause de non-responsabilité de l'administrateur.
    7. Activez l'option Synchroniser l'heure avec l'hôte.
    8. Activez l'option Validation étendue du certificat de serveur.
      Note : Unified Access Gateway ne prend pas en charge les URL LDAP pour la liste de révocation de certificats ; seules les URL http sont prises en charge.
  5. Configurez les paramètres du serveur Syslog avec le protocole TLS. Pour plus d'informations sur ces paramètres, reportez-vous à la section Configurer les paramètres du serveur Syslog du Guide de déploiement et de configuration de VMware Unified Access Gateway sur VMware Docs.
    Note : Le certificat du serveur Syslog doit disposer de l' extendedKeyUsage marquée comme critical extension.
      1. Cliquez sur Sélectionner pour charger le Certificat de client TLS Syslog et la Clé de certificat de client Syslog TLS.
      2. Activez l'option Syslog Inclure les messages système.
      3. Cliquez sur Ajouter une entrée Syslog pour ajouter une entrée Syslog au tableau avec les détails suivants.
        1. Définissez la Catégorie sur All Events.
        2. Définissez le Protocole sur TLS.
        3. Ajoutez l'Hôte et le Port du serveur Syslog.
      4. Cliquez sur Sélectionner pour charger un Certificat d'autorité de certification approuvé.
      5. Cliquez sur Ajouter pour enregistrer la nouvelle entrée et cliquez sur Enregistrer pour enregistrer les paramètres Syslog.
  6. Configurez et activez le paramètre d'authentification du certificat X509. Pour plus d'informations sur ces paramètres, reportez-vous à la section Configurer l'authentification par certificat dans Unified Access Gateway du Guide de déploiement et de configuration de VMware Unified Access Gateway sur VMware Docs.
    1. Ouvrez la configuration du certificat X.509 sous Paramètres d'authentification.
    2. Activez l'option Activer le certificat X.509.
    3. Cliquez sur Sélectionner pour charger les Certificats d'autorité de certification racine et intermédiaire approuvés du client au format PEM.
    4. Activez l'option Révocation de certificat.
    5. Configurez la vérification de la révocation des certificats basée sur la CRL. Vous pouvez configurer une URL pour extraire la liste de révocation de certificats ou configurer de manière à lire les détails de la chaîne de certificats elle-même.
    6. Enregistrez la configuration des paramètres d'authentification du certificat X.509.
  7. Générez les paramètres du fournisseur d'identité SAML et configurez les paramètres du fournisseur de services SAML.
    1. Ouvrez les paramètres SAML et développez les paramètres du fournisseur d'identité SAML.
    2. Générez les paramètres du fournisseur d'identité en chargeant la Clé privée et la Chaîne de certificats (signée avec l'algorithme RSA+SHA384). Pour plus d'informations, reportez-vous à la section Générer des métadonnées SAML d'Unified Access Gateway du Guide de déploiement et de configuration de VMware Unified Access Gateway sur VMware Docs.
    3. Téléchargez le fichier XML des paramètres du fournisseur d'identité généré en indiquant le Nom d'hôte externe de Unified Access Gateway.
    4. Chargez le fichier XML sur le Serveur de connexion et téléchargez le fichier XML de métadonnées SAML. Pour plus d'informations, reportez-vous à la section Configurer l'authentification SAML pour qu'elle fonctionne avec True SSO de la Documentation du produit VMware Horizon dans VMware Docs.
    5. Ouvrez Paramètres SAML et développez les paramètres du fournisseur de services SAML.
    6. Entrez un nom de fournisseur de services et collez le contenu du fichier XML de métadonnées SAML. Pour plus d'informations, reportez-vous à la section Copier les métadonnées SAML du fournisseur de services sur Unified Access Gateway du Guide de déploiement et de configuration de VMware Unified Access Gateway sur VMware Docs.
    7. Enregistrez les paramètres du fournisseur de services SAML.