Pour activer l'utilisation de l'authentification à deux facteurs dans les paramètres de passerelle d'un espace déjà déployé, utilisez l'action Modifier sur la page de détails de l'espace. Les configurations de passerelle de votre espace utilisent des machines virtuelles Unified Access Gateway et sont configurées pour fournir à l'utilisateur final l'accès à leurs postes de travail et applications. Vous pouvez ajouter ces paramètres d'authentification à deux facteurs aux configurations de passerelle existantes de l'espace ou vous pouvez les ajouter en même temps que vous ajoutez une nouvelle configuration de passerelle. Vous utilisez le workflow Modifier l'espace pour ajouter les paramètres d'authentification à deux facteurs à la configuration de la passerelle de l'espace.

Conditions préalables

Pour la passerelle sur laquelle vous ajoutez une authentification à deux facteurs, vérifiez que vous avez rempli les champs de cette configuration de passerelle dans l'assistant . Lorsque vous configurez l'authentification à deux facteurs sur un serveur d'authentification sur site, vous fournissez également des informations dans les champs suivants afin que les instances d'Unified Access Gateway de la passerelle puissent résoudre le routage vers ce serveur sur site :

Option Description
Adresses DNS Spécifiez une ou plusieurs adresses de serveurs DNS pouvant résoudre le nom de votre serveur d'authentification sur site.
Routes Spécifiez une ou plusieurs routes personnalisées permettant aux instances Unified Access Gateway de l'espace de résoudre le routage réseau vers votre serveur d'authentification sur site.

Par exemple, si vous disposez d'un serveur RADIUS sur site qui utilise 10.10.60.20 comme adresse IP, vous utiliserez 10.10.60.0/24 et votre adresse de passerelle de route par défaut en tant que route personnalisée. Vous obtenez votre adresse de passerelle de route par défaut dans la configuration Express Route ou VPN que vous utilisez pour cet environnement.

Spécifiez les routes personnalisées dans une liste, séparées par des virgules, sous la forme ipv4-network-address/bits ipv4-gateway-address, par exemple : 192.168.1.0/24 192.168.0.1, 192.168.2.0/24 192.168.0.2.

Vérifiez que vous disposez des informations suivantes utilisées dans la configuration de votre serveur d'authentification, afin de pouvoir les fournir dans les champs appropriés de l'assistant de déploiement de l'espace. Si vous disposez d'un serveur principal et d'un serveur secondaire, procurez-vous les informations pour chacun d'eux.

  • Adresse IP ou nom DNS du serveur d'authentification
  • Secret partagé utilisé pour le chiffrement et le déchiffrement dans les messages de protocole du serveur d'authentification
  • Numéros de port d'authentification, en général le port UDP 1812.
  • Type de protocole d'authentification. Les types d'authentification incluent PAP (Password Authentication Protocol), CHAP (Challenge Handshake Authentication Protocol), MSCHAP1, MSCHAP2 (Microsoft Challenge Handshake Authentication Protocol, versions 1 et 2).
    Note : Consultez la documentation de votre fournisseur RADIUS pour connaître le protocole d'authentification recommandé par votre fournisseur RADIUS et suivez le type de protocole indiqué. La capacité de l'espace à prendre en charge l'authentification à deux facteurs avec RADIUS est fournie par les instances d'Unified Access Gateway. En outre, Unified Access Gateway prend en charge PAP, CHAP, MSCHAP1 et MSCHAP2. PAP est généralement moins sécurisé que MSCHAP2. PAP est également un protocole plus simple que MSCHAP2. Par conséquent, même si la plupart des fournisseurs RADIUS sont compatibles avec le protocole PAP plus simple, certains fournisseurs RADIUS ne sont pas aussi compatibles avec le protocole MSCHAP2 plus sécurisé.

Procédure

  1. Si l'étape Paramètres de passerelle de la fenêtre Modifier l'espace n'est pas déjà ouverte, cliquez sur Modifier sur la page de détails de l'espace, puis cliquez sur Suivant pour passer à l'étape Paramètres de la passerelle.
  2. Positionnez la fenêtre sur le type de passerelle pour lequel vous souhaitez activer l'authentification à deux facteurs, externe ou interne.
  3. Activez l'option Activer l'authentification à deux facteurs.
    Lorsque cette option est activée, l'assistant affiche les champs de configuration supplémentaires. Utilisez la barre de défilement pour accéder à tous les champs.

    La capture d'écran suivante est un exemple des éléments affichés après avoir activé l'option dans la section Instance externe d'UAG.

    Horizon Cloud on Microsoft Azure : champs de l'authentification RADIUS à deux facteurs de l'assistant de déploiement de l'espace
  4. Sélectionnez votre méthode d'authentification à deux facteurs dans la liste déroulante.
    Dans cette version, l'authentification RADIUS est prise en charge.
  5. Dans le champ Nom, entrez un nom d'identification pour cette configuration.
  6. Dans la section Propriétés, spécifiez les détails relatifs à l'interaction des utilisateurs finaux avec l'écran de connexion qu'ils utiliseront pour s'authentifier pour l'accès.
    Option Description
    Nom d'affichage Vous pouvez laisser ce champ vide. Même si ce champ est visible dans l'assistant, il définit uniquement un nom interne dans Unified Access Gateway. Ce nom n'est pas utilisé par les instances d’Horizon Client.
    Afficher l'astuce Entrez éventuellement une chaîne de texte qui apparaîtra aux utilisateurs finaux dans le message sur l'écran de connexion du client de l'utilisateur final lorsqu'il demande à l'utilisateur son nom d'utilisateur et code secret RADIUS. L'astuce spécifiée apparaît à l'utilisateur final sous la forme Enter your DisplayHint user name and passcode, où DisplayHint est le texte que vous spécifiez dans ce champ.

    Cette astuce peut aider à guider les utilisateurs pour entrer le code secret RADIUS correct. Par exemple, spécifier une phrase semblable à Exemple de nom d'utilisateur de société et de mot de passe de domaine ci-dessous générerait un message à l'utilisateur final qui indique Enter your Example Company user name and domain password below for user name and passcode.

    Suffixe d'ID de nom Ce paramètre est utilisé dans les scénarios SAML, où votre espace est configuré pour utiliser TrueSSO pour l'authentification unique. Vous pouvez éventuellement fournir une chaîne que le système ajoutera au nom d'utilisateur de l'assertion SAML envoyé au Broker. Par exemple, si le nom d'utilisateur entré est user1 sur l'écran de connexion et que le suffixe d'ID de nom @example.com a été spécifié ici, le système envoie le nom d'utilisateur d'assertion SAML user1@example.com au Broker.
    Nombre d'itérations Entrez le nombre maximal de tentatives d'authentification autorisé pour un utilisateur lors de la tentative de connexion à l'aide de ce système RADIUS.
    Conserver le nom d'utilisateur Activez cette option pour conserver le nom RADIUS de l'utilisateur lors de l'authentification dans Horizon Cloud. Lorsque cette option est activée :
    • l'utilisateur doit disposer des informations d’identification de nom d’utilisateur pour RADIUS identiques à celles utilisées pour son authentification Active Directory à Horizon Cloud.
    • l'utilisateur ne peut pas modifier le nom d'utilisateur dans l’écran de connexion.

    Si cette option est désactivée, l'utilisateur peut entrer un nom d'utilisateur différent dans l'écran de connexion.

    Note : Pour plus d'informations sur la relation entre l'activation de l'option Conserver le nom d'utilisateur et les paramètres de sécurité de domaine dans Horizon Cloud, reportez-vous à la section Paramètres de sécurité du domaine sur la page Paramètres généraux.
  7. Dans la section Serveur principal, spécifiez les détails sur le serveur d'authentification.
    Option Description
    Nom de l'hôte/Adresse IP Entrez le nom DNS ou l'adresse IP du serveur d'authentification.
    Secret partagé Entrez le code secret pour communiquer avec le serveur d'authentification. La valeur doit être identique à celle qui est configurée sur le serveur.
    Port d'authentification Spécifiez le port UDP configuré sur le serveur d'authentification pour l'envoi ou la réception du trafic d'authentification. Le port par défaut est 1812.
    Port de compte Vous pouvez éventuellement spécifier le port UDP configuré sur le serveur d'authentification pour envoyer ou recevoir le trafic de compte. Le port par défaut est 1813.
    Mécanisme Sélectionnez le protocole d'authentification pris en charge par le serveur d'authentification spécifié et que vous souhaitez que l'espace déployé utilise.
    Délai d'expiration de serveur Spécifiez le nombre de secondes pendant lequel l'espace doit attendre une réponse du serveur d'authentification. Lorsque ce nombre de secondes est écoulé, une nouvelle tentative est envoyée si le serveur ne répond pas.
    Nombre max. de tentatives Spécifiez le nombre maximal de fois que l'espace doit réessayer de renvoyer les demandes ayant échoué au serveur d'authentification.
    Préfixe de domaine Vous pouvez éventuellement fournir une chaîne que le système placera au début du nom d'utilisateur lors de l'envoi du nom au serveur d'authentification. L'emplacement du compte d'utilisateur est appelé domaine.

    Par exemple, si le nom d'utilisateur entré est user1 sur l'écran de connexion et que le préfixe de domaine DOMAIN-A\ a été spécifié ici, le système envoie DOMAIN-A\user1 au serveur d'authentification. Si vous ne spécifiez pas de préfixe de domaine, seul le nom d'utilisateur entré est envoyé.

    Suffixe de domaine Vous pouvez éventuellement fournir une chaîne que le système ajoutera au nom d'utilisateur lors de l'envoi du nom au serveur d'authentification. Par exemple, si le nom d'utilisateur entré est user1 sur l'écran de connexion et que le suffixe de domaine @example.com a été spécifié ici, le système envoie user1@example.com au serveur d'authentification.
  8. (Facultatif) Dans la section Serveur secondaire, spécifiez éventuellement les détails concernant un serveur d'authentification auxiliaire.
    Vous pouvez configurer un serveur d'authentification secondaire pour fournir la haute disponibilité. Activez l'option Serveur auxiliaire et remplissez les champs, comme décrit dans la section Serveur principal.
  9. Une fois que vous avez défini tous les paramètres souhaités, cliquez sur Enregistrer et quitter.
    Un message de confirmation s’affiche et vous demande de confirmer le démarrage du workflow.
  10. Cliquez sur Oui pour démarrer le workflow.

Résultats

Tant que le système n'a pas terminé le déploiement de la nouvelle configuration dans l'espace, la section de la page de résumé de l'espace de la passerelle sur laquelle vous avez ajouté l'authentification à deux facteurs affiche l'état En attente.

Une fois le workflow terminé, l'état indiquera Prêt et les paramètres de l'authentification à deux facteurs de la passerelle s'afficheront sur la page.

Note : Lors de l'exécution de ce workflow pour un espace dans Microsoft Azure Chine, l'exécution du processus peut prendre plus d’une heure. Le processus est soumis à des problèmes de réseau liés à la géographie, qui peuvent entraîner une baisse de la vitesse de téléchargement, du fait que les fichiers binaires sont téléchargés depuis le plan de contrôle de cloud.

Que faire ensuite

Important : Avant que vos utilisateurs finaux puissent commencer à utiliser la passerelle avec la fonctionnalité d'authentification à deux facteurs, vous devez effectuer les tâches suivantes.
  • Si vous avez configuré une passerelle externe avec des paramètres RADIUS et que le serveur RADIUS n'est pas accessible dans le même réseau virtuel que celui utilisé par l'espace, ou dans la topologie de réseau virtuel liée si vous avez déployé la passerelle externe dans son propre réseau virtuel, configurez le serveur RADIUS de manière à autoriser les connexions client à partir de l'adresse IP de l'équilibrage de charge de la passerelle externe. Dans une configuration de passerelle externe, les instances d'Unified Access Gateway tentent de contacter le serveur RADIUS à l'aide de cette adresse d'équilibrage de charge. Pour autoriser les connexions, assurez-vous que l'adresse IP de la ressource d'équilibrage de charge qui se trouve dans le groupe de ressources de la passerelle externe est spécifiée en tant que client dans la configuration du serveur RADIUS.
  • Si vous avez configuré une passerelle interne ou externe et que votre serveur RADIUS est accessible dans le même réseau virtuel que celui utilisé par l'espace, configurez le serveur RADIUS pour autoriser les connexions à partir des cartes réseau appropriées qui ont été créées dans le groupe de ressources de la passerelle dans Microsoft Azure qui doit communiquer avec le serveur RADIUS. Votre administrateur réseau détermine la visibilité du réseau du serveur RADIUS sur le réseau virtuel Azure et les sous-réseaux de l'espace. Votre serveur RADIUS doit autoriser les connexions client à partir des adresses IP des cartes réseau de la passerelle qui correspondent au sous-réseau pour lequel votre administrateur réseau a accordé une visibilité réseau au serveur RADIUS. Le groupe de ressources de la passerelle dans Microsoft Azure a quatre cartes réseau qui correspondent à ce sous-réseau, deux qui sont actuellement actives pour les deux instances d'Unified Access Gateway et deux inactives qui deviennent actives après la mise à jour de l'espace. Pour prendre en charge la connectivité entre la passerelle et le serveur RADIUS pour les opérations d'espace en cours et après chaque mise à jour de l'espace, assurez-vous que les adresses IP de ces quatre cartes réseau sont spécifiées en tant que clients dans la configuration du serveur RADIUS.

Pour plus d'informations sur l'obtention de ces adresses IP, reportez-vous à la section Mettre à jour votre système RADIUS avec les informations de passerelle d'espace Horizon Cloud requises.