Vous pouvez déployer Unified Access Gateway avec Horizon Cloud with On-Premises Infrastructure et l'infrastructure du Cloud Horizon Air. Pour le déploiement d'Horizon, le dispositif Unified Access Gateway remplace le serveur de sécurité Horizon.
Conditions préalables
Si vous souhaitez que Horizon et une instance de proxy inverse Web telle que Workspace ONE Access soient tous deux configurés et activés sur la même instance d'Unified Access Gateway, reportez-vous à la section Paramètres avancés des services Edge.
Procédure
- Dans la section Configurer manuellement de l'interface utilisateur d'administration, cliquez sur Sélectionner.
- Dans Afficher. , cliquez sur
- Cliquez sur l'icône d'engrenage Paramètres d’Horizon.
- Dans la page Paramètres d'Horizon, remplacez NON par OUI pour activer Horizon.
- Configurez les ressources des paramètres du service Edge suivantes pour Horizon :
Option Description Identifiant Définissez par défaut sur Horizon. Unified Access Gateway peut communiquer avec des serveurs qui utilisent le protocole Horizon XML, tels que le Serveur de connexion Horizon, Horizon Air et Horizon Cloud with On-Premises Infrastructure. URL du Serveur de connexion Entrez l'adresse de Horizon Server ou de l'équilibrage de charge. Entrez-la sous la forme https://00.00.00.00. Empreinte numérique de l'URL du Serveur de connexion Entrez la liste des empreintes numériques Horizon Server. Si vous ne fournissez pas de liste d'empreintes numériques, assurez-vous que les certificats de serveur sont émis par une autorité de certification approuvée. Entrez les chiffres d'empreintes numériques au format hexadécimal. Par exemple, sha1= C3 89 A2 19 DC 7A 48 2B 85 1C 81 EC 5E 8F 6A 3C 33 F2 95 C3.
Activer PCOIP Remplacez NON par OUI pour spécifier si PCoIP Secure Gateway est activé. Désactiver le certificat hérité PCOIP Remplacez NON par OUI pour indiquer d'utiliser le certificat de serveur SSL téléchargé au lieu du certificat hérité. Les clients PCoIP hérités ne fonctionneront pas si ce paramètre est défini sur OUI. URL externe PCOIP URL utilisée par les clients Horizon pour établir la session PCoIP Horizon avec ce dispositif Unified Access Gateway. Cette URL doit contenir une adresse IPv4 et non un nom d'hôte. Par exemple, 10.1.2.3:4172. La valeur par défaut est l'adresse IP d'Unified Access Gateway et le port 4172.
Activer Blast Pour utiliser la passerelle sécurisée Blast, Remplacez NO par YES. Mode IP du Serveur de connexion Indique le mode IP d'un Horizon Connection Server Ce champ peut comporter les valeurs suivantes :
IPv4
,IPv6
etIPv4+IPv6
.La valeur par défaut est
IPv4
.- Si toutes les cartes réseau du dispositif Unified Access Gateway sont en mode IPv4 (et non en mode IPv6), ce champ peut comporter l'une des valeurs suivantes :
IPv4
ouIPv4+IPv6
(mode mixte). - Si toutes les cartes réseau dans le dispositif Unified Access Gateway sont en mode IPv6 (et non pas en mode IPv4), ce champ peut comporter l'une des valeurs suivantes :
IPv6
ouIPv4+IPv6
(mode mixte).
Réécrire l'en-tête d'origine Si une demande entrante envoyée à Unified Access Gateway dispose de l'en-tête Origin et si le champ Réécrire l'en-tête d'origine est activé, Unified Access Gateway réécrit l'en-tête Origin avec l'URL du Serveur de connexion. Le champ Réécrire l'en-tête d'origine fonctionne avec la propriété CORS checkOrigin du Horizon Connection Server. Lorsque ce champ est activé, il n'est pas nécessaire que l'administrateur Horizon spécifie les adresses IP Unified Access Gateway dans le fichier locked.properties.
Pour plus d'informations sur la vérification de l'origine, reportez-vous à la documentation Sécurité d'Horizon 7.
- Si toutes les cartes réseau du dispositif Unified Access Gateway sont en mode IPv4 (et non en mode IPv6), ce champ peut comporter l'une des valeurs suivantes :
- Pour configurer la règle de la méthode d'authentification et les autres paramètres avancés, cliquez sur Autres.
Option Description Méthodes d'authentification La méthode par défaut est l'utilisation d'une authentification directe du nom d'utilisateur et du mot de passe. Les méthodes d'authentification suivantes sont prises en charge :
SAML
,SAML and Unauthenticated
,RSA SecurID
,SecurID and Unauthenticated
,RADIUS
,RADIUS and Unauthenticated
etDevice Certificate
.Important : Si vous avez choisi l'une des méthodesUnauthenticated
comme méthode d'authentification, veillez à configurer le Niveau de ralentissement de la connexion dans le Horizon Connection Server surLow
. Cette configuration est nécessaire pour éviter un long retard du délai de connexion pour les points de terminaison lors de l'accès à l'application ou au poste de travail distant.Pour plus d'informations sur la configuration du Niveau de ralentissement de la connexion, consultez la documentation de l' Administration d'Horizon sur VMware Docs.
Activer Windows SSO Cette option être activée lorsque les méthodes d'authentification sont définies sur RADIUS et lorsque le code secret RADIUS est le même que le mot de passe du domaine Windows. Remplacez NON par OUI pour utiliser le nom d'utilisateur et le code secret RADIUS pour les informations d'identification de connexion au domaine Windows afin d'éviter de devoir inviter à nouveau l'utilisateur. Si Horizon est configuré sur un environnement à domaines multiples, si le nom d'utilisateur fourni ne contient pas de nom de domaine, le domaine ne sera pas envoyé à CS.
Si le suffixe NameID est configuré et si le nom d'utilisateur fourni ne contient pas de nom de domaine, la valeur de configuration du suffixe NameID sera ajoutée au nom d'utilisateur. Par exemple, si un utilisateur a fourni jdoe comme nom d'utilisateur et que NameIDSuffix est défini sur @north.int, le nom d'utilisateur envoyé serait [email protected].
Si le suffixe NameID est configuré et si le nom d'utilisateur fourni est au format UPN, le suffixe NameID sera ignoré. Par exemple, si un utilisateur a fourni [email protected], NameIDSuffix - @south.int, le nom d'utilisateur serait [email protected]
Si le nom d'utilisateur fourni est au format <DomainName\username>, par exemple NORTH\jdoe, Unified Access Gateway envoie le nom d'utilisateur et le nom de domaine séparément à CS.
Attributs de classe RADIUS Cette option est activée lorsque les méthodes d'authentification doivent être définies sur RADIUS. Cliquez sur « + » pour ajouter une valeur pour l'attribut de classe. Entrez le nom de l'attribut de classe à utiliser pour l'authentification utilisateur. Cliquez sur « - » pour supprimer un attribut de classe. Note : Si ce champ reste vide, l'autorisation supplémentaire n'est pas effectuée.Texte d'exclusion de responsabilité Texte du message de clause de non-responsabilité d'Horizon affiché que l'utilisateur doit accepter dans les cas où une méthode d'authentification est configurée.
Invite de conseil de carte à puce Remplacez NON par OUI pour activer l'indication de mot de passe pour l'authentification par certificat. Chemin d'accès à l'URI de contrôle de santé Chemin d'accès à l'URI du serveur de connexion auquel se connecte Unified Access Gateway pour contrôler l'état de santé. URL externe Blast URL utilisée par les clients Horizon pour établir la session Horizon Blast ou BEAT avec ce dispositif Unified Access Gateway. Par exemple, https://uag1.myco.com ou https://uag1.myco.com:443. Si le numéro de port TCP n'est pas spécifié, le port TCP par défaut est 8443. Si le numéro de port UDP n'est pas spécifié, le port UDP par défaut est également 8443.
Activer le serveur UDP Les connexions sont établies via le serveur de tunnel UDP si la bande passante est faible. Certificat de proxy Blast Certificat de proxy pour Blast. Cliquez sur Sélectionner pour télécharger un certificat au format PEM et l'ajouter au magasin des approbations BLAST. Cliquez sur Modifier pour remplacer le certificat existant.
Si l'utilisateur télécharge manuellement le même certificat pour Unified Access Gateway dans l'équilibrage de charge et qu'il doit utiliser un certificat différent pour Unified Access Gateway et pour Blast Gateway, l'établissement d'une session de poste de travail Blast échoue, car l'empreinte numérique entre le client et Unified Access Gateway ne correspond pas. L'entrée de l'empreinte numérique personnalisée dans Unified Access Gateway ou dans Blast Gateway résout le problème en relayant l'empreinte numérique afin d'établir la session client.
Activer le tunnel Si le tunnel sécurisé Horizon est utilisé, remplacez NON par OUI. Le client utilise l'URL externe pour les connexions par tunnel via Horizon Secure Gateway. Le tunnel est utilisé pour le trafic RDP, USB et de redirection multimédia (MMR). URL externe de tunnel URL utilisée par les clients Horizon pour établir la session Horizon Tunnel avec ce dispositif Unified Access Gateway. Par exemple, https://uag1.myco.com ou https://uag1.myco.com:443. Si le numéro de port TCP n'est pas spécifié, le port TCP par défaut est 443.
Certificat du proxy de tunnel Certificat du proxy pour Horizon Tunnel. Cliquez sur Sélectionner pour télécharger un certificat au format PEM et l'ajouter au magasin des approbations Tunnel. Cliquez sur Modifier pour remplacer le certificat existant.
Si l'utilisateur télécharge manuellement le même certificat pour Unified Access Gateway dans l'équilibrage de charge et qu'il doit utiliser un certificat différent pour Unified Access Gateway et pour Horizon Tunnel, l'établissement d'une session Tunnel échoue, car l'empreinte numérique entre le client et Unified Access Gateway ne correspond pas. L'entrée de l'empreinte numérique personnalisée dans Unified Access Gateway ou dans Horizon Tunnel résout le problème en relayant l'empreinte numérique afin d'établir la session client.
Fournisseur de vérification de la conformité du point de terminaison Sélectionnez le fournisseur de vérification de la conformité du point de terminaison. La valeur par défaut est OPSWAT.
Modèle de proxy Entrez l'expression régulière qui correspond aux URI liés à l'URL d'Horizon Server (proxyDestinationUrl). Sa valeur par défaut est(/|/view-client(.*)|/portal(.*)|/appblast(.*))
.Note : Le modèle peut également être utilisé pour exclure certaines URL. Par exemple, pour autoriser toutes les URL mais bloquer /admin, vous pouvez utiliser l'expression suivante.^/(?!admin(.*))(.*)
SP SAML Entrez le nom du fournisseur de services SAML pour le broker Horizon XMLAPI. Ce nom doit correspondre à celui des métadonnées du fournisseur de services configuré ou à la valeur spéciale DEMO. Déconnexion lors de la suppression du certificat Note : Cette option est disponible lorsque l'une des méthodes d'authentification par carte à puce est sélectionnée comme méthode d'authentification.Si cette option est définie sur
YES
et si la carte à puce est supprimée, l'utilisateur final est obligé de se déconnecter d'une session Unified Access Gateway.Étiquette du nom d'utilisateur pour RADIUS Entrez du texte pour personnaliser l'étiquette du nom d'utilisateur dans Horizon Client. Par exemple, Domain Username
La méthode d'authentification RADIUS doit être activée. Pour activer RADIUS, reportez-vous à la section Configuration de l'authentification RADIUS.
Le nom d'étiquette par défaut est
Username
.Le nom de l'étiquette ne doit pas dépasser 20 caractères.
Étiquette de code secret pour RADIUS Entrez un nom pour personnaliser l'étiquette du code secret dans Horizon Client. Par exemple, Password
La méthode d'authentification RADIUS doit être activée. Pour activer RADIUS, reportez-vous à la section Configuration de l'authentification RADIUS.
Le nom d'étiquette par défaut est
Passcode
.Le nom de l'étiquette ne doit pas dépasser 20 caractères.
Correspondre au nom d'utilisateur Windows Remplacez NON par OUI pour faire correspondre RSA SecurID et le nom d'utilisateur Windows. Lorsqu'il est défini sur OUI, securID-auth est défini sur true et la correspondance de securID et du nom d'utilisateur Windows est appliquée. Si Horizon est configuré sur un environnement à domaines multiples, si le nom d'utilisateur fourni ne contient pas de nom de domaine, le domaine ne sera pas envoyé à CS.
Si le suffixe NameID est configuré et si le nom d'utilisateur fourni ne contient pas de nom de domaine, la valeur de configuration du suffixe NameID sera ajoutée au nom d'utilisateur. Par exemple, si un utilisateur a fourni jdoe comme nom d'utilisateur et que NameIDSuffix est défini sur @north.int, le nom d'utilisateur envoyé serait [email protected].
Si le suffixe NameID est configuré et si le nom d'utilisateur fourni est au format UPN, le suffixe NameID sera ignoré. Par exemple, si un utilisateur a fourni [email protected], NameIDSuffix - @south.int, le nom d'utilisateur serait [email protected]
Si le nom d'utilisateur fourni est au format <DomainName\username>, par exemple NORTH\jdoe, Unified Access Gateway envoie le nom d'utilisateur et le nom de domaine séparément à CS.
Note : Dans Horizon 7, si vous activez les paramètres Masquer les informations de serveur dans l'interface utilisateur client et Masquer la liste de domaines dans l'interface utilisateur client et que vous sélectionnez l'authentification à deux facteurs (RSA SecureID ou RADIUS) pour l'instance du Serveur de connexion, n'appliquez pas la correspondance des noms d'utilisateur Windows. L’application de la correspondance des noms d’utilisateur Windows empêche les utilisateurs d’entrer des informations de domaine dans la zone de texte Nom d’utilisateur, et la connexion échoue toujours. Pour plus d'informations, reportez-vous aux rubriques concernant l'authentification à deux facteurs dans le document Administration d'Horizon 7.Emplacement de la passerelle Emplacement d'origine de la demande de connexion. Le serveur de sécurité et Unified Access Gateway définissent l'emplacement de la passerelle. L'emplacement peut être External
ouInternal
.Important : L'emplacement doit être défini surInternal
lorsque l'une des méthodes d'authentification suivantes est sélectionnée :SAML and Unauthenticated
,SecurID and Unauthenticated
ouRADIUS and Unauthenticated
.Paramètres JWT Note : Pour la validation de l'artefact SAML du jeton JWT de Workspace ONE Access, assurez-vous que le champ Nom est configuré dans la section Paramètres JWT de Paramètres avancés.Sélectionnez le nom de l'un des paramètres JWT configurés.Publics JWT Liste facultative des destinataires prévus du JWT utilisé pour la validation de l'artefact SAML de Workspace ONE Access Horizon. Pour que la validation JWT réussisse, au moins un des destinataires de cette liste doit correspondre à l'un des publics spécifiés dans la configuration de Workspace ONE Access Horizon. Si aucun public JWT n'est spécifié, la validation JWT ne tient pas compte des publics.
Certificats approuvés Ajoutez un certificat approuvé à ce service Edge. Cliquez sur le signe « + » pour sélectionner un certificat au format PEM et l'ajouter au magasin des approbations. Cliquez sur le signe «- » pour supprimer un certificat du magasin d'approbations. Par défaut, le nom d'alias est le nom de fichier du certificat PEM. Modifiez la zone de texte de l'alias afin de fournir un nom différent à l'alias. En-têtes de sécurité de réponse Cliquez sur « + » pour ajouter un en-tête. Entrez le nom de l'en-tête de sécurité. Entrez la valeur. Cliquez sur « - » pour supprimer un en-tête. Modifiez un en-tête de sécurité existant pour mettre à jour le nom et la valeur de l'en-tête. Important : Les noms et valeurs d'en-têtes ne sont enregistrés qu'après avoir cliqué sur Enregistrer. Certains en-têtes de sécurité standard sont présents par défaut. Les en-têtes configurés sont ajoutés à la réponse d' Unified Access Gateway au client uniquement si les en-têtes correspondants sont absents dans la réponse du serveur principal configuré.Note : Modifiez les en-têtes de réponse de sécurité avec précaution. La modification de ces paramètres risque d'affecter le fonctionnement sécurisé d' Unified Access Gateway.Mappages de redirection d'hôte Pour plus d'informations sur la prise en charge de la capacité de redirection d'hôte HTTP par UAG et certaines considérations requises pour l'utilisation de cette capacité, reportez-vous à la section Prise en charge par Unified Access Gateway de la redirection d'hôte HTTP.
- Hôte source
Entrez le nom d'hôte de la source (équilibrage de charge).
- Hôte de redirection
Entrez le nom d'hôte du dispositif UAG (Unified Access Gateway) dont l'affinité doit être maintenue avec Horizon Client.
Entrées de l'hôte Entrez les détails qui doivent être ajoutés au fichier /etc/hosts. Chaque entrée inclut une adresse IP, un nom d'hôte et un alias de nom d'hôte facultatif dans cet ordre, séparés par un espace. Par exemple, 10.192.168.1 example1.com, 10.192.168.2 example2.com example-alias. pour ajouter plusieurs entrées de l’hôte, cliquez sur le signe « + ». Important : Les entrées de l'hôte sont enregistrées uniquement après avoir cliqué sur Enregistrer.Publics SAML Assurez-vous que la méthode d'authentification SAML, ou SAML et relais, est choisie.
Entrez l'URL du public.Note : Si la zone de texte reste vide, les publics ne sont pas restreints.Pour comprendre comment UAG prend en charge les publics SAML, consultez la section Publics SAML.
Attribut de nom d'utilisateur non authentifié SAML Entrer le nom de l'attribut personnalisé Note : Ce champ n'est disponible que lorsque la valeur des Méthodes d'authentification estLorsqu'UAG valide l'assertion SAML, si le nom d'attribut spécifié dans ce champ est présent dans l'assertion, UAG fournit l'accès non authentifié au nom d'utilisateur configuré pour l'attribut dans le fournisseur d'identité.SAML and Unauthenticated
.Pour plus d'informations sur la méthode
SAML and Unauthenticated
, consultez la section Méthodes d'authentification pour l'intégration d'Unified Access Gateway et du fournisseur d'identité tiers.Nom d'utilisateur non authentifié par défaut Entrer le nom d'utilisateur par défaut qui doit être utilisé pour l'accès non authentifié Ce champ est disponible dans l'interface utilisateur d'administration lorsque l'une des Méthodes d'authentification suivantes est sélectionnée :
SAML and Unauthenticated
,SecurID and Unauthenticated
etRADIUS and Unauthenticated
.Note : Pour la méthode d'authentificationSAML and Unauthenticated
, le nom d'utilisateur par défaut pour l'accès non authentifié n'est utilisé que lorsque le champ Attribut de nom d'utilisateur non authentifié SAML est vide ou que le nom d'attribut spécifié dans ce champ est manquant dans l'assertion SAML.Désactiver HTML Access Si l'option est définie sur OUI, désactive l'accès Web à Horizon. Reportez-vous à la section Configurer les paramètres du fournisseur de vérification de la conformité du point de terminaison pour Horizon pour plus d'informations. - Hôte source
- Cliquez sur Enregistrer.