Vous pouvez déployer Unified Access Gateway avec Horizon Cloud with On-Premises Infrastructure et l'infrastructure du Cloud Horizon Air. Pour le déploiement d'Horizon, le dispositif Unified Access Gateway remplace le serveur de sécurité Horizon.

Conditions préalables

Si vous souhaitez que Horizon et une instance de proxy inverse Web telle que VMware Identity Manager soient tous deux configurés et activés sur la même instance d'Unified Access Gateway, reportez-vous à la section Paramètres avancés des services Edge.

Procédure

  1. Dans la section Configurer manuellement de l'interface utilisateur d'administration, cliquez sur Sélectionner.
  2. Dans Paramètres généraux > Paramètres du service Edge, cliquez sur Afficher.
  3. Cliquez sur l'icône d'engrenage Paramètres d’Horizon.
  4. Dans la page Paramètres d'Horizon, remplacez NON par OUI pour activer Horizon.
  5. Configurez les ressources des paramètres du service Edge suivantes pour Horizon :
    Option Description
    Identifiant Définissez par défaut sur Horizon. Unified Access Gateway peut communiquer avec des serveurs qui utilisent le protocole Horizon XML, tels que le Serveur de connexion Horizon, Horizon Air et Horizon Cloud with On-Premises Infrastructure.
    URL du Serveur de connexion Entrez l'adresse de Horizon Server ou de l'équilibrage de charge. Entrez-la sous la forme https://00.00.00.00.
    Empreinte numérique de l'URL du Serveur de connexion Entrez la liste des empreintes numériques Horizon Server.

    Si vous ne fournissez pas de liste d'empreintes numériques, assurez-vous que les certificats de serveur sont émis par une autorité de certification approuvée. Entrez les chiffres d'empreintes numériques au format hexadécimal. Par exemple, sha1= C3 89 A2 19 DC 7A 48 2B 85 1C 81 EC 5E 8F 6A 3C 33 F2 95 C3.

    Activer PCOIP Remplacez NON par OUI pour spécifier si PCoIP Secure Gateway est activé.
    Désactiver le certificat hérité PCOIP Remplacez NON par OUI pour indiquer d'utiliser le certificat de serveur SSL téléchargé au lieu du certificat hérité. Les clients PCoIP hérités ne fonctionneront pas si ce paramètre est défini sur OUI.
    URL externe PCOIP

    URL utilisée par les clients Horizon pour établir la session PCoIP Horizon avec ce dispositif Unified Access Gateway. Cette URL doit contenir une adresse IPv4 et non un nom d'hôte. Par exemple, 10.1.2.3:4172. La valeur par défaut est l'adresse IP d'Unified Access Gateway et le port 4172.

    Activer Blast Pour utiliser la passerelle sécurisée Blast, Remplacez NO par YES.
    Mode IP du Serveur de connexion Sélectionnez IPv4, IPv6 ou IPv4 + IPv6 dans le menu déroulant. La valeur par défaut est IPv4.
  6. Pour configurer la règle de la méthode d'authentification et les autres paramètres avancés, cliquez sur Autres.
    Option Description
    Méthodes d'authentification

    La méthode par défaut est l'utilisation d'une authentification directe du nom d'utilisateur et du mot de passe. Les méthodes d'authentification que vous avez configurées dans Unified Access Gateway sont répertoriées dans les menus déroulants. Les méthodes d'authentification par certificat de périphérique, RSA SecurID et RADIUS sont prises en charge.

    Activer Windows SSO Cette option être activée lorsque les méthodes d'authentification sont définies sur RADIUS et lorsque le code secret RADIUS est le même que le mot de passe du domaine Windows. Remplacez NON par OUI pour utiliser le nom d'utilisateur et le code secret RADIUS pour les informations d'identification de connexion au domaine Windows afin d'éviter de devoir inviter à nouveau l'utilisateur.

    Si Horizon est configuré sur un environnement à domaines multiples, si le nom d'utilisateur fourni ne contient pas de nom de domaine, le domaine ne sera pas envoyé à CS.

    Si le suffixe NameID est configuré et si le nom d'utilisateur fourni ne contient pas de nom de domaine, la valeur de configuration du suffixe NameID sera ajoutée au nom d'utilisateur. Par exemple, si un utilisateur a fourni jdoe comme nom d'utilisateur et que NameIDSuffix est défini sur @north.int, le nom d'utilisateur envoyé serait [email protected].

    Si le suffixe NameID est configuré et si le nom d'utilisateur fourni est au format UPN, le suffixe NameID sera ignoré. Par exemple, si un utilisateur a fourni [email protected], NameIDSuffix - @south.int, le nom d'utilisateur serait [email protected]

    Si le nom d'utilisateur fourni est au format <DomainName\username>, par exemple NORTH\jdoe, Unified Access Gateway envoie le nom d'utilisateur et le nom de domaine séparément à CS.

    Attributs de classe RADIUS Cette option est activée lorsque les méthodes d'authentification doivent être définies sur RADIUS. Cliquez sur « + » pour ajouter une valeur pour l'attribut de classe. Entrez le nom de l'attribut de classe à utiliser pour l'authentification utilisateur. Cliquez sur « - » pour supprimer un attribut de classe.
    Note : Si ce champ reste vide, l'autorisation supplémentaire n'est pas effectuée.
    Texte d'exclusion de responsabilité

    Texte du message de clause de non-responsabilité d'Horizon affiché que l'utilisateur doit accepter dans les cas où une méthode d'authentification est configurée.

    Invite de conseil de carte à puce Remplacez NON par OUI pour activer l'indication de mot de passe pour l'authentification par certificat.
    Chemin d'accès à l'URI de contrôle de santé Chemin d'accès à l'URI du serveur de connexion auquel se connecte Unified Access Gateway pour contrôler l'état de santé.
    URL externe Blast URL utilisée par les clients Horizon pour établir la session Horizon Blast ou BEAT avec ce dispositif Unified Access Gateway. Par exemple, https://uag1.myco.com ou https://uag1.myco.com:443.

    Si le numéro de port TCP n'est pas spécifié, le port TCP par défaut est 8443. Si le numéro de port UDP n'est pas spécifié, le port UDP par défaut est également 8443.

    Activer le serveur UDP Les connexions sont établies via le serveur de tunnel UDP si la bande passante est faible.
    Certificat de proxy Blast

    Certificat de proxy pour Blast. Cliquez sur Sélectionner pour télécharger un certificat au format PEM et l'ajouter au magasin des approbations BLAST. Cliquez sur Modifier pour remplacer le certificat existant.

    Si l'utilisateur télécharge manuellement le même certificat pour Unified Access Gateway dans l'équilibrage de charge et qu'il doit utiliser un certificat différent pour Unified Access Gateway et pour Blast Gateway, l'établissement d'une session de poste de travail Blast échoue, car l'empreinte numérique entre le client et Unified Access Gateway ne correspond pas. L'entrée de l'empreinte numérique personnalisée dans Unified Access Gateway ou dans Blast Gateway résout le problème en relayant l'empreinte numérique afin d'établir la session client.

    Activer le tunnel Si le tunnel sécurisé Horizon est utilisé, remplacez NON par OUI. Le client utilise l'URL externe pour les connexions par tunnel via Horizon Secure Gateway. Le tunnel est utilisé pour le trafic RDP, USB et de redirection multimédia (MMR).
    URL externe de tunnel URL utilisée par les clients Horizon pour établir la session Horizon Tunnel avec ce dispositif Unified Access Gateway. Par exemple, https://uag1.myco.com ou https://uag1.myco.com:443.

    Si le numéro de port TCP n'est pas spécifié, le port TCP par défaut est 443.

    Certificat du proxy de tunnel

    Certificat du proxy pour Horizon Tunnel. Cliquez sur Sélectionner pour télécharger un certificat au format PEM et l'ajouter au magasin des approbations Tunnel. Cliquez sur Modifier pour remplacer le certificat existant.

    Si l'utilisateur télécharge manuellement le même certificat pour Unified Access Gateway dans l'équilibrage de charge et qu'il doit utiliser un certificat différent pour Unified Access Gateway et pour Horizon Tunnel, l'établissement d'une session Tunnel échoue, car l'empreinte numérique entre le client et Unified Access Gateway ne correspond pas. L'entrée de l'empreinte numérique personnalisée dans Unified Access Gateway ou dans Horizon Tunnel résout le problème en relayant l'empreinte numérique afin d'établir la session client.

    Fournisseur de vérification de la conformité du point de terminaison Sélectionnez le fournisseur de vérification de la conformité du point de terminaison. La valeur par défaut est OPSWAT.
    Modèle de proxy
    Entrez l'expression régulière qui correspond aux URI liés à l'URL d'Horizon Server (proxyDestinationUrl). Sa valeur par défaut est (/|/view-client(.*)|/portal(.*)|/appblast(.*)).
    Note : Le modèle peut également être utilisé pour exclure certaines URL. Par exemple, pour autoriser toutes les URL mais bloquer /admin, vous pouvez utiliser l'expression suivante. ^/(?!admin(.*))(.*)
    SP SAML Entrez le nom du fournisseur de services SAML pour le broker Horizon XMLAPI. Ce nom doit correspondre à celui des métadonnées du fournisseur de services configuré ou à la valeur spéciale DEMO.
    Correspondre au nom d'utilisateur Windows Remplacez NON par OUI pour faire correspondre RSA SecurID et le nom d'utilisateur Windows. Lorsqu'il est défini sur OUI, securID-auth est défini sur true et la correspondance de securID et du nom d'utilisateur Windows est appliquée.

    Si Horizon est configuré sur un environnement à domaines multiples, si le nom d'utilisateur fourni ne contient pas de nom de domaine, le domaine ne sera pas envoyé à CS.

    Si le suffixe NameID est configuré et si le nom d'utilisateur fourni ne contient pas de nom de domaine, la valeur de configuration du suffixe NameID sera ajoutée au nom d'utilisateur. Par exemple, si un utilisateur a fourni jdoe comme nom d'utilisateur et que NameIDSuffix est défini sur @north.int, le nom d'utilisateur envoyé serait [email protected].

    Si le suffixe NameID est configuré et si le nom d'utilisateur fourni est au format UPN, le suffixe NameID sera ignoré. Par exemple, si un utilisateur a fourni [email protected], NameIDSuffix - @south.int, le nom d'utilisateur serait [email protected]

    Si le nom d'utilisateur fourni est au format <DomainName\username>, par exemple NORTH\jdoe, Unified Access Gateway envoie le nom d'utilisateur et le nom de domaine séparément à CS.

    Note : Dans Horizon 7, si vous activez les paramètres Masquer les informations de serveur dans l'interface utilisateur client et Masquer la liste de domaines dans l'interface utilisateur client et que vous sélectionnez l'authentification à deux facteurs (RSA SecureID ou RADIUS) pour l'instance du Serveur de connexion, n'appliquez pas la correspondance des noms d'utilisateur Windows. L’application de la correspondance des noms d’utilisateur Windows empêche les utilisateurs d’entrer des informations de domaine dans la zone de texte Nom d’utilisateur, et la connexion échoue toujours. Pour plus d'informations, reportez-vous aux rubriques concernant l'authentification à deux facteurs dans le document Administration d'Horizon 7.
    Emplacement de la passerelle Emplacement d'origine de la demande de connexion. Le serveur de sécurité et Unified Access Gateway définissent l'emplacement de la passerelle. L'emplacement peut être externe ou interne.
    Certificats approuvés Ajoutez un certificat approuvé à ce service Edge. Cliquez sur le signe « + » pour sélectionner un certificat au format PEM et l'ajouter au magasin des approbations. Cliquez sur le signe «- » pour supprimer un certificat du magasin d'approbations. Par défaut, le nom d'alias est le nom de fichier du certificat PEM. Modifiez la zone de texte de l'alias afin de fournir un nom différent à l'alias.
    En-têtes de sécurité de réponse Cliquez sur « + » pour ajouter un en-tête. Entrez le nom de l'en-tête de sécurité. Entrez la valeur. Cliquez sur « - » pour supprimer un en-tête. Modifiez un en-tête de sécurité existant pour mettre à jour le nom et la valeur de l'en-tête.
    Important : Les noms et valeurs d'en-têtes ne sont enregistrés qu'après avoir cliqué sur Enregistrer. Certains en-têtes de sécurité standard sont présents par défaut. Les en-têtes configurés sont ajoutés à la réponse d' Unified Access Gateway au client uniquement si les en-têtes correspondants sont absents dans la réponse du serveur principal configuré.
    Note : Modifiez les en-têtes de réponse de sécurité avec précaution. La modification de ces paramètres risque d'affecter le fonctionnement sécurisé d' Unified Access Gateway.
    Entrées de l'hôte Entrez les détails qui doivent être ajoutés au fichier /etc/hosts. Chaque entrée inclut une adresse IP, un nom d'hôte et un alias de nom d'hôte facultatif dans cet ordre, séparés par un espace. Par exemple, 10.192.168.1 example1.com, 10.192.168.2 example2.com example-alias. pour ajouter plusieurs entrées de l’hôte, cliquez sur le signe « + ».
    Important : Les entrées de l'hôte sont enregistrées uniquement après avoir cliqué sur Enregistrer.
    Désactiver HTML Access Si l'option est définie sur OUI, désactive l'accès Web à Horizon. Reportez-vous à la section Vérifications de la conformité du point de terminaison pour Horizon pour plus d'informations.
  7. Cliquez sur Enregistrer.