Cette rubrique explique comment configurer les instances d'Unified Access Gateway dans vos espaces Horizon pour une utilisation avec Universal Broker. Suivez la procédure pour configurer les paramètres du jeton Web JSON dans chaque instance d'Unified Access Gateway pour prendre en charge le serveur tunnel et la redirection de protocole requis par Universal Broker.

Note : La procédure suivante n'est requise que pour les instances d' Unified Access Gateway dans des espaces Horizon basés sur la technologie d'Horizon Connection Server. Pour les espaces Horizon Cloud dans Microsoft Azure, les paramètres de jeton Web JSON sont automatiquement configurés à votre intention au moment du déploiement de l'espace. Vous n'avez pas besoin d'effectuer une autre configuration du jeton Web JSON pour les instances d' Unified Access Gateway dans les espaces Horizon Cloud (basés sur la technologie d'Horizon Connection Server).

De par sa conception par défaut, Universal Broker doit utiliser des paramètres d'authentification à deux facteurs identiques avec chaque espace de la flotte du locataire. De par sa conception, lorsqu'Universal Broker est configuré avec des paramètres d'authentification à deux facteurs, il forme la demande d'authentification et la transmet à une instance d'Unified Access Gateway externe qui communique ensuite avec le serveur d'authentification configuré dans les paramètres de cette instance pour gérer l'action d'authentification spécifique. L'instance d'Unified Access Gateway relaie ensuite la réponse du service d'authentification à Universal Broker.

Par conséquent, lorsque vous souhaitez utiliser Universal Broker et l'authentification à deux facteurs, vous devez configurer le même service d'authentification sur toutes les instances d'Unified Access Gateway externes sur tous les espaces de la flotte du locataire. Pour une flotte composée uniquement d'espaces Horizon, Universal Broker peut prendre en charge l'utilisation du service RADIUS ou du service RSA SecurID sur toutes les instances d'Unified Access Gateway.

Notez cependant que si votre locataire dispose d'une flotte d'espaces mixtes comprenant à la fois des espaces Horizon et des espaces Horizon Cloud, les options à votre disposition varient selon que vos déploiements Horizon Cloud on Microsoft Azure répondent ou non aux conditions de disponibilité de l'option RSA SecurID pour eux. Si tous les espaces Horizon Cloud sont de manifeste 3139.x ou version ultérieure et que l'option RSA SecurID s'affiche dans l'assistant Modifier l'espace, vous avez la possibilité de configurer tous les espaces pour qu'ils utilisent le type RSA SecurID. Sinon, vous devez utiliser RADIUS pour remplir la condition requise pour disposer du même service d'authentification identique sur l'ensemble de la flotte d'espaces.

Conditions préalables

  • Vérifiez que vous avez configuré l'ensemble approprié de dispositifs Unified Access Gateway sur chaque espace Horizon de la flotte d'espaces de votre locataire, en fonction des cas d'utilisation des utilisateurs finaux que vous souhaitez prendre en charge. Pour obtenir une brève description des cas d'utilisation, reportez-vous à la section Configuration système requise d'Universal Broker pour les espaces Horizon.
  • Assurez-vous que ces dispositifs Unified Access Gateway exécutent la version 3.8 ou ultérieure et qu'ils répondent à toutes les autres conditions requises d'Unified Access Gateway associées décrites dans la section Configuration système requise d'Universal Broker pour les espaces Horizon.
  • Pour valider le couplage de chaque instance d'Unified Access Gateway avec son espace respectif, connectez-vous directement à l'instance d'Unified Access Gateway et vérifiez que vous pouvez accéder aux postes de travail virtuels.

Procédure

  1. Connectez-vous à la console d'administration d'Unified Access Gateway.
  2. Dans la section Configurer manuellement, cliquez sur Sélectionner.
  3. Sous Paramètres avancés, cliquez sur l'engrenage correspondant à Paramètres JWT.
  4. Après avoir cliqué sur l'icône en forme d'engrenage :
    • Si la version de votre logiciel Unified Access Gateway est antérieure à la version 2209, cliquez sur Ajouter.
    • Si la version de votre logiciel Unified Access Gateway est 2209 ou ultérieure, cliquez sur Ajouter un consommateur JWT. La version 2209 de l'interface utilisateur d'administration d'Unified Access Gateway a été modifiée.
  5. Dans la zone d'interface utilisateur qui s'affiche, spécifiez les paramètres.
    Paramètre Description
    Name Entrez un nom descriptif pour l'ensemble de configuration.
    Issuer Entrez le nom du cluster de l'espace Horizon, tel qu'affiché dans Horizon Console.
    Attention : Ce champ est sensible à la casse dans l'interface utilisateur d'administration d' Unified Access Gateway.

    Vous devez entrer le nom du cluster précisément et exactement lorsque vous le récupérez de votre instance d'Horizon Console.

    L'interface utilisateur d'Unified Access Gateway ne fournit aucun avertissement indiquant que ses champs sont sensibles à la casse et ne valide pas la sensibilité à la casse.

    Cette sensibilité à la casse s'applique également au mot Cluster qui s'affiche dans Horizon Console.

    Si vous voyez le mot affiché dans votre instance d'Horizon Console avec C en majuscule et luster en minuscules, vous devez alors faire correspondre cela précisément dans ce champ Émetteur ici, et entrer Cluster dans ce champ Émetteur.

    Si vous ne vous assurez pas que le nom précis sensible à la casse est entré dans ce champ Émetteur qui correspond exactement au nom que vous voyez dans votre Horizon Console, cela entraîne des problèmes en aval avec Universal Broker, dans lequel vos utilisateurs finaux ne pourront pas lancer leurs postes de travail et applications à l'aide du nom de domaine complet Universal Broker .

    Pour localiser le nom du cluster de l'espace dans votre instance d'Horizon Console, accédez à la zone Tableau de bord de votre instance d'Horizon Console et examinez la zone verticale supérieure de l'interface utilisateur.

    Voici une illustration de l'emplacement du nom de cluster de l'espace dans Horizon Console.

    Remarquez comment la partie Cluster de ce nom affiché est une combinaison d'une majuscule de début, puis de lettres minuscules.

    Vous devez veiller à entrer le nom affiché précisément dans ce champ Émetteur de l'interface utilisateur d'administration d'Unified Access Gateway. Le champ Émetteur n'effectue aucune validation pour vous aider à vous assurer que vous avez entré le nom correctement.


    Nom du cluster de l'espace affiché dans Horizon Console
    Dynamic Public key URL Vous obtenez la valeur à entrer ici à partir du nom d'hôte du Serveur de connexion de l'espace ou du nom de domaine complet du Serveur de connexion ou de l'équilibrage de charge local (si l'espace dispose de plusieurs instances de passerelle).

    Entrez https://<Horizon pod FQDN>/broker/publicKey/protocolredirection, où <Horizon pod FQDN> est remplacé par le FQDN (nom de domaine complet) unique de l'espace. Le nom de domaine complet est généralement défini comme suit :

    • Si l'espace ne comporte qu'une seule instance d'Unified Access Gateway, spécifiez l'adresse du Serveur de connexion couplé de cette instance comme nom de domaine complet.
    • Si l'espace dispose de plusieurs instances d'Unified Access Gateway, spécifiez l'adresse de l'équilibrage de charge local comme nom de domaine complet.
    Public key URL thumbprints Ce champ spécifie l'utilisation d'une URL de clé publique pour l'authentification.

    Pour utiliser le certificat du Serveur de connexion de l'espace pour l'authentification, entrez l'empreinte SHA1 du certificat du Serveur de connexion de l'espace Horizon pour le Serveur de connexion que vous avez utilisé pour l'URL de clé publique dynamique précédente.

    Note : Vous pouvez configurer des empreintes numériques pour URL de clé publique ou des certificats de confiance pour l'authentification. Il n'est pas nécessaire de configurer les deux options.
    Trusted Certificates Pour utiliser un certificat autre que le certificat de l'espace Horizon pour l'authentification, cliquez sur l'icône (+) et ajoutez le certificat approuvé.
    Note : Vous pouvez configurer des certificats approuvés ou des empreintes numériques pour URL de clé publique pour l'authentification. Il n'est pas nécessaire de configurer les deux options.
    Public key refresh interval Pour de meilleurs résultats, entrez 900. Cette valeur définit l'intervalle d'actualisation sur 900 secondes ou sur 15 minutes.
    Static public keys Laissez cette option définie sur sa valeur par défaut.
  6. Cliquez sur Enregistrer, puis sur Fermer.
  7. Si vous souhaitez utiliser l'authentification à deux facteurs pour Universal Broker, activez l'option Afficher pour Paramètres d'authentification. Activez et configurez ensuite les paramètres de l'un des services d'authentification à deux facteurs pris en charge par Universal Broker. Actuellement, les deux services pris en charge sont RADIUS et RSA SecurID.
    Note : Pour chaque espace participant, vous devez configurer le service d'authentification à deux facteurs approprié sur l'instance d' Unified Access Gateway externe. Les configurations de toutes les instances d' Unified Access Gateway externes dans un espace participant doivent correspondre entre elles et doivent être identiques aux configurations des instances d' Unified Access Gateway dans tous les autres espaces participants. Sinon, l'authentification auprès du service Universal Broker échoue.

    Par exemple, si vous souhaitez utiliser l'authentification RADIUS pour vos espaces Horizon configurés avec Universal Broker, vous devez configurer le même service RADIUS sur chaque instance externe d'Unified Access Gateway pour tous les espaces Horizon participants. Vous ne pouvez pas configurer RADIUS sur certains espaces participants et RSA SecurID sur d'autres espaces participants.