Vous pouvez déployer Unified Access Gateway avec Horizon Cloud with On-Premises Infrastructure et l'infrastructure du Cloud Horizon Air. Pour le déploiement d'Horizon, le dispositif Unified Access Gateway remplace le serveur de sécurité Horizon.
Conditions préalables
Si vous souhaitez que Horizon et une instance de proxy inverse Web telle que VMware Identity Manager soient tous deux configurés et activés sur la même instance d'Unified Access Gateway, reportez-vous à la section Paramètres avancés des services Edge.
Procédure
- Dans la section Configurer manuellement de l'interface utilisateur d'administration, cliquez sur Sélectionner.
- Dans Afficher. , cliquez sur
- Cliquez sur l'icône d'engrenage Paramètres Horizon.
- Dans la page Paramètres d'Horizon, remplacez NON par OUI pour activer Horizon.
- Configurez les ressources des paramètres du service Edge suivantes pour Horizon :
Option
Description
Identifiant
Définissez par défaut sur Horizon. Unified Access Gateway peut communiquer avec des serveurs qui utilisent le protocole Horizon XML, tels que le Serveur de connexion Horizon, Horizon Air et Horizon Cloud with On-Premises Infrastructure.
URL du Serveur de connexion
Entrez l'adresse de Horizon Server ou de l'équilibrage de charge. Entrez-la sous la forme https://00.00.00.00.
Empreinte numérique de l'URL du Serveur de connexion
Entrez la liste des empreintes numériques Horizon Server.
Si vous ne fournissez pas de liste d'empreintes numériques, assurez-vous que les certificats de serveur sont émis par une autorité de certification approuvée. Entrez les chiffres d'empreintes numériques au format hexadécimal. Par exemple, sha1= C3 89 A2 19 DC 7A 48 2B 85 1C 81 EC 5E 8F 6A 3C 33 F2 95 C3.
Activer PCOIP
Remplacez NON par OUI pour spécifier si PCoIP Secure Gateway est activé.
Désactiver le certificat hérité PCOIP
Remplacez NON par OUI pour indiquer d’utiliser le certificat de serveur SSL téléchargé au lieu du certificat hérité. Les clients PCoIP hérités ne fonctionneront pas si ce paramètre est défini sur OUI.
URL externe PCOIP
URL utilisée par les clients Horizon pour établir la session PCoIP Horizon avec ce dispositif Unified Access Gateway. Cette URL doit contenir une adresse IPv4 et non un nom d'hôte. Par exemple, 10.1.2.3:4172. La valeur par défaut est l'adresse IP d'Unified Access Gateway et le port 4172.
Activer Blast
Pour utiliser la passerelle sécurisée Blast, Remplacez NO par YES.
Mode IP du Serveur de connexion
Sélectionnez IPv4, IPv6 ou IPv4 + IPv6 dans le menu déroulant. La valeur par défaut est IPv4.
- Pour configurer la règle de la méthode d'authentification et les autres paramètres avancés, cliquez sur Autres.
Option
Description
Méthodes d'authentification
Sélectionnez les méthodes d'authentification à utiliser.
La méthode par défaut est l'utilisation d'une authentification directe du nom d'utilisateur et du mot de passe. Les méthodes d'authentification que vous avez configurées dans Unified Access Gateway figurent dans les menus déroulants. Actuellement, les méthodes d'authentification RSA SecurID et RADIUS sont prises en charge.
Pour configurer l'authentification qui inclut l'application d'une seconde méthode d'authentification si la première tentative échoue :
Sélectionnez une méthode d'authentification dans le premier menu déroulant.
Cliquez sur + et sélectionnez ET ou OU.
Sélectionnez la seconde méthode d'authentification dans le troisième menu déroulant.
Pour obliger les utilisateurs à s'authentifier par le biais de deux méthodes d'authentification, remplacez OU par ET dans la liste déroulante.
Note:Avec le déploiement PowerShell, pour l'authentification RSA SecurID, configurez cette option afin d'utiliser securid-auth AND sp-auth pour afficher l'écran de code secret.
Avec le déploiement de vSphere, pour l'authentification RSA SecurID, configurez cette option afin d'utiliser securid-auth pour afficher l'écran de code secret.
Ajoutez les lignes suivantes à la section Horizon du fichier .INI.
authMethods=securid-auth && sp-auth matchWindowsUserName=true
Ajoutez une nouvelle section en bas de votre fichier .INI.
[SecurIDAuth] serverConfigFile=C:\temp\sdconf.rec externalHostName=192.168.0.90 internalHostName=192.168.0.90
Les deux adresses IP doivent être définies sur l'adresse IP d'Unified Access Gateway. Le fichier sdconf.rec est obtenu auprès de RSA Authentication Manager, qui doit être complètement configuré. Vérifiez que vous utilisez Access Point 2.5 ou version ultérieure (ou Unified Access Gateway 3.0 ou version ultérieure) et que le serveur RSA Authentication Manager est accessible sur le réseau depuis Unified Access Gateway. Exécutez à nouveau la commande Powershell uagdeploy pour redéployer l'instance d'Unified Access Gateway configurée pour RSA SecurID.
Chemin d'accès à l'URI de contrôle de santé
Chemin d'accès à l'URI du serveur de connexion auquel se connecte Unified Access Gateway pour contrôler l'état de santé.
URL externe Blast
URL utilisée par les clients Horizon pour établir la session Horizon Blast ou BEAT avec ce dispositif Unified Access Gateway. Par exemple, https://uag1.myco.com ou https://uag1.myco.com:443.
Si le numéro de port TCP n'est pas spécifié, le port TCP par défaut est 8443. Si le numéro de port UDP n'est pas spécifié, le port UDP par défaut est également 8443.
Activer le serveur UDP
Les connexions sont établies via le serveur de tunnel UDP si la bande passante est faible.
Certificat de proxy Blast
Certificat de proxy pour Blast. Cliquez sur Sélectionner pour télécharger un certificat au format PEM et l'ajouter au magasin des approbations BLAST. Cliquez sur Modifier pour remplacer le certificat existant.
Si l'utilisateur télécharge manuellement le même certificat pour Unified Access Gateway dans l'équilibrage de charge et qu'il doit utiliser un certificat différent pour Unified Access Gateway et pour Blast Gateway, l'établissement d'une session de poste de travail Blast échoue, car l'empreinte numérique entre le client et Unified Access Gateway ne correspond pas. L'entrée de l'empreinte numérique personnalisée dans Unified Access Gateway ou dans Blast Gateway résout le problème en relayant l'empreinte numérique afin d'établir la session client.
Activer le tunnel
Si le tunnel sécurisé Horizon est utilisé, remplacez NON par OUI. Le client utilise l'URL externe pour les connexions par tunnel via Horizon Secure Gateway. Le tunnel est utilisé pour le trafic RDP, USB et de redirection multimédia (MMR).
URL externe de tunnel
URL utilisée par les clients Horizon pour établir la session Horizon Tunnel avec ce dispositif Unified Access Gateway. Par exemple, https://uag1.myco.com ou https://uag1.myco.com:443.
Si le numéro de port TCP n’est pas spécifié, le port TCP par défaut est 443.
Certificat du proxy de tunnel
Certificat du proxy pour Horizon Tunnel. Cliquez sur Sélectionner pour télécharger un certificat au format PEM et l'ajouter au magasin des approbations Tunnel. Cliquez sur Modifier pour remplacer le certificat existant.
Si l'utilisateur télécharge manuellement le même certificat pour Unified Access Gateway dans l'équilibrage de charge et qu'il doit utiliser un certificat différent pour Unified Access Gateway et pour Horizon Tunnel, l'établissement d'une session Tunnel échoue, car l'empreinte numérique entre le client et Unified Access Gateway ne correspond pas. L'entrée de l'empreinte numérique personnalisée dans Unified Access Gateway ou dans Horizon Tunnel résout le problème en relayant l'empreinte numérique afin d'établir la session client.
Fournisseur de vérification de la conformité du point de terminaison
Sélectionnez le fournisseur de vérification de la conformité du point de terminaison. La valeur par défaut est OPSWAT.
Modèle de proxy
Entrez l'expression régulière qui correspond aux URI liés à l'URL d'Horizon Server (proxyDestinationUrl). Sa valeur par défaut est
(/|/view-client(.*)|/portal(.*)|/appblast(.*))
.SP SAML
Entrez le nom du fournisseur de services SAML pour le broker Horizon XMLAPI. Ce nom doit correspondre à celui des métadonnées du fournisseur de services configuré ou à la valeur spéciale DEMO.
Correspondre au nom d'utilisateur Windows
Remplacez NO par YES pour faire correspondre RSA SecurID et le nom d'utilisateur Windows. Lorsqu'il est défini sur YES, securID-auth est défini sur true et la correspondance de securID et du nom d'utilisateur Windows est appliquée.
Note:Dans Horizon 7, si vous activez les paramètres Masquer les informations de serveur dans l'interface utilisateur client et Masquer la liste de domaines dans l'interface utilisateur client et que vous sélectionnez l'authentification à deux facteurs (RSA SecureID ou RADIUS) pour l'instance du Serveur de connexion, n'appliquez pas la correspondance des noms d'utilisateur Windows. L’application de la correspondance des noms d’utilisateur Windows empêche les utilisateurs d’entrer des informations de domaine dans la zone de texte Nom d’utilisateur, et la connexion échoue toujours. Pour plus d'informations, reportez-vous aux rubriques concernant l'authentification à deux facteurs dans le document Administration d’Horizon 7.
Emplacement de la passerelle
Emplacement d'origine de la demande de connexion. Le serveur de sécurité et Unified Access Gateway définissent l'emplacement de la passerelle. L'emplacement peut être externe ou interne.
Certificats approuvés
Ajoutez un certificat approuvé à ce service Edge. Cliquez sur le signe « + » pour sélectionner un certificat au format PEM et l'ajouter au magasin des approbations. Cliquez sur le signe «- » pour supprimer un certificat du magasin d'approbations. Par défaut, le nom d'alias est le nom de fichier du certificat PEM. Modifiez la zone de texte de l'alias afin de donner un nom différent à l'alias.
En-têtes de sécurité de réponse
Cliquez sur « + » pour ajouter un en-tête. Entrez le nom de l'en-tête de sécurité. Entrez la valeur. Cliquez sur « - » pour supprimer un en-tête. Modifiez un en-tête de sécurité existant pour mettre à jour le nom et la valeur de l'en-tête.
Important:Les noms et valeurs d'en-têtes ne sont enregistrés qu'après avoir cliqué sur Enregistrer. Certains en-têtes de sécurité standard sont présents par défaut. Les en-têtes configurés sont ajoutés à la réponse d'Unified Access Gateway au client uniquement si les en-têtes correspondants sont absents dans la réponse du serveur principal configuré.
Note:Modifiez les en-têtes de réponse de sécurité avec précaution. La modification de ces paramètres risque d'affecter le fonctionnement sécurisé d'Unified Access Gateway.
Entrées de l'hôte
Entrez les détails qui doivent être ajoutés au fichier /etc/hosts. Chaque entrée inclut une adresse IP, un nom d'hôte et un alias de nom d'hôte facultatif dans cet ordre, séparés par un espace. Par exemple, 10.192.168.1 example1.com, 10.192.168.2 example2.com example-alias. pour ajouter plusieurs entrées de l’hôte, cliquez sur le signe « + ».
Important:Les entrées de l’hôte sont enregistrées uniquement après avoir cliqué sur Enregistrer.
Désactiver HTML Access
Si l'option est définie sur OUI, désactive l'accès Web à Horizon. Reportez-vous à la section Vérifications de la conformité du point de terminaison pour Horizon pour plus d'informations.
- Cliquez sur Enregistrer.