Pour utiliser Universal Broker avec vos espaces Horizon connectés au cloud, vous devez d'abord remplacer le serveur de sécurité dans chaque espace par un dispositif Unified Access Gateway. Ensuite, vous devez configurer les paramètres du jeton Web JSON requis dans chaque instance d'Unified Access Gateway pour prendre en charge le serveur tunnel et la redirection de protocole requis par Universal Broker.

Si vous souhaitez utiliser l'authentification à deux facteurs pour Universal Broker, vous devez également configurer le service RADIUS ou RSA SecurID approprié sur chaque instance d'Unified Access Gateway.

Conditions préalables

  • Installez un dispositif Unified Access Gateway dédié pour chaque espace Horizon connecté au cloud participant aux attributions multicloud. Veillez à installer la version 3.8 ou ultérieure de Unified Access Gateway. Configurez chaque instance d'Unified Access Gateway en tant que serveur proxy pour les demandes de connexion au Serveur de connexion avec lequel il est couplé.

    Pour plus d'informations, reportez-vous à la documentation de Unified Access Gateway et à la documentation de VMware Horizon 7.

    Note : Assurez-vous que chaque instance de Unified Access Gateway est couplée avec un seul espace.
  • Pour valider le couplage de chaque instance de Unified Access Gateway avec son Serveur de connexion respectif, connectez-vous directement à Unified Access Gateway et vérifiez que vous pouvez accéder aux postes de travail virtuels.

Procédure

  1. Connectez-vous à la console d'administration d'Unified Access Gateway.
  2. Dans la section Configurer manuellement, cliquez sur Sélectionner.
  3. Sous Paramètres avancés, cliquez sur l'engrenage correspondant à Paramètres JWT.
  4. Pour créer un ensemble de configurations JWT, cliquez sur Ajouter.
  5. Spécifiez les paramètres requis dans la boîte de dialogue Paramètres JWT.
    Paramètre Description
    Name Entrez un nom descriptif pour l'ensemble de configuration.
    Issuer Entrez le nom du cluster de l'espace Horizon, tel qu'affiché dans Horizon Console.

    Nom du cluster de l'espace affiché dans Horizon Console
    Dynamic Public key URL Entrez https://<Horizon pod FQDN>/broker/publicKey/protocolredirection, où <Horizon pod FQDN> est remplacé par le FQDN (nom de domaine complet) unique de l'espace. Le nom de domaine complet est généralement défini comme suit :
    • Si l'espace dispose de plusieurs instances d'Unified Access Gateway, spécifiez l'adresse de l'équilibrage de charge local comme nom de domaine complet.
    • Si l'espace ne comporte qu'une seule instance d'Unified Access Gateway, spécifiez l'adresse du Serveur de connexion couplé de cette instance comme nom de domaine complet.
    Public key URL thumbprints Pour utiliser une URL de clé publique pour l'authentification, entrez l'empreinte numérique SHA1 du certificat de l'espace Horizon.
    Note : Vous pouvez configurer des empreintes numériques pour URL de clé publique ou des certificats de confiance pour l'authentification. Il n'est pas nécessaire de configurer les deux options.
    Trusted Certificates Pour utiliser un certificat autre que le certificat de l'espace Horizon pour l'authentification, cliquez sur l'icône (+) et ajoutez le certificat approuvé.
    Note : Vous pouvez configurer des certificats approuvés ou des empreintes numériques pour URL de clé publique pour l'authentification. Il n'est pas nécessaire de configurer les deux options.
    Public key refresh interval Pour de meilleurs résultats, entrez 900. Cette valeur définit l'intervalle d'actualisation sur 900 secondes ou sur 15 minutes.
    Static public keys Laissez cette option définie sur sa valeur par défaut.
  6. Cliquez sur Enregistrer, puis sur Fermer.
  7. Si vous souhaitez utiliser l'authentification à deux facteurs pour Universal Broker, activez l'option Afficher pour Paramètres d'authentification. Ensuite, activez et configurez les paramètres de l'un des services de sécurité pris en charge par Universal Broker: RSA SecurID ou RADIUS.
    Note : Vous devez configurer le service RADIUS ou RSA SecurID approprié sur l'instance d' Unified Access Gateway de chaque espace participant. Les configurations de toutes les instances d' Unified Access Gateway dans un espace participant doivent correspondre entre elles et doivent être identiques aux configurations des instances d' Unified Access Gateway dans tous les autres espaces participants. Sinon, l'authentification auprès du service Universal Broker échoue.

    Par exemple, si vous souhaitez utiliser l'authentification RADIUS pour votre Universal Broker, vous devez configurer le même service RADIUS sur chaque instance d'Unified Access Gateway pour tous les espaces participants. Vous ne pouvez pas configurer RADIUS sur certains espaces participants et RSA SecurID sur d'autres espaces participants.