Pour utiliser Universal Broker pour allouer des ressources à partir d'attributions multicloud, vous devez configurer certains paramètres. Ces paramètres incluent le nom de domaine complet (FQDN) pour le service Universal Broker et l'authentification à deux facteurs facultative. Vous pouvez également configurer les valeurs de délai d'expiration de session et l'accès utilisateur à certaines fonctionnalités d'Horizon.

L'assistant de configuration pour le Universal Broker s'ouvre automatiquement après avoir sélectionné d'abord Universal Broker comme méthode d'intermédiation à l'échelle du locataire. Vous pouvez également ouvrir manuellement l'assistant de configuration.

Conditions préalables

Préparez les composants système requis en fonction de votre type d'espace.

Espaces Horizon déployés sur site ou dans VMware Cloud on AWS :

Espaces dans Microsoft Azure :

Important : Assurez-vous que tous vos espaces dans Microsoft Azure sont en ligne et qu'ils sont à l'état sain et prêt. Le service Universal Broker doit communiquer avec les espaces et effectuer des étapes de configuration sur ceux-ci pour terminer le processus de configuration. Si l'un des espaces est hors ligne ou indisponible, la configuration d' Universal Broker échoue.

Procédure

  1. Si nécessaire, ouvrez l'assistant de configuration du Universal Broker.
    • Sur la page Démarrage, accédez à Configuration générale > Broker, puis cliquez sur Atteindre. Cliquez ensuite sur Configurer pour spécifier une nouvelle configuration ou sur l'icône en forme de crayon pour modifier une configuration existante.
    • Sélectionnez Paramètres > Broker. Cliquez ensuite sur Configurer pour spécifier une nouvelle configuration ou sur l'icône en forme de crayon pour modifier une configuration existante.
    L'assistant de configuration pour Universal Broker s'affiche.
  2. Sur la page Nom de domaine complet de l'assistant, configurez les paramètres du nom de domaine complet de la connexion d'intermédiation. Ces paramètres définissent l'adresse de connexion dédiée que vos utilisateurs finaux utiliseront pour accéder aux ressources allouées par Universal Broker.
    Note : Lorsque vous modifiez un paramètre de sous-domaine ou de nom de domaine complet, la modification peut prendre un certain temps à s'appliquer sur tous vos serveurs DNS.
    1. Pour Type, sélectionnez un nom de domaine complet fourni par VMware ou personnalisé.
    2. Spécifiez des paramètres supplémentaires pour le type de nom de domaine complet sélectionné.
      • Si vous avez sélectionné le type Fourni par VMware, spécifiez les paramètres comme suit.
        Paramètre Description
        Sub Domain Entrez le nom DNS unique d'un sous-domaine valide dans votre configuration réseau qui représente votre société ou organisation. Ce sous-domaine est ajouté en préfixe au domaine fourni par VMware pour former le nom de domaine complet d'intermédiation.
        Brokering FQDN Ce champ en lecture seule affiche le nom de domaine complet configuré. Le nom de domaine complet utilise le format https://<votre sous-domaine>.vmwarehorizon.com.

        Fournissez ce nom de domaine complet à vos utilisateurs finaux pour qu'ils puissent se connecter au service Universal Broker en utilisant Horizon Client.

        Universal Broker gère la validation DNS et SSL de ce nom de domaine complet.

        La capture d'écran suivante montre un exemple de l'assistant de configuration avec les paramètres renseignés d'un nom de domaine complet fourni par VMware.


        Assistant de configuration d'Universal Broker avec les paramètres renseignés du nom de domaine complet fourni par VMware
      • Si vous avez sélectionné le type Personnalisé, spécifiez les paramètres comme suit.
        Paramètre Description
        Brokering FQDN Entrez le nom de domaine complet personnalisé que vos utilisateurs finaux utiliseront pour accéder au service Universal Broker. Votre nom de domaine complet personnalisé fonctionne comme un alias du nom de domaine complet fourni par VMware généré, qui établit la connexion au service.

        Vous devez être propriétaire du nom de domaine spécifié dans votre nom de domaine complet personnalisé et fournir un certificat qui peut valider ce domaine.

        Note : Votre nom de domaine complet personnalisé, également appelé URL de connexion, représente votre société ou organisation. Assurez-vous que vous disposez de l'autorisation adéquate pour utiliser ce nom de domaine complet personnalisé.
        Important : Vous devez créer un enregistrement CNAME sur votre serveur DNS qui mappe votre nom de domaine complet personnalisé au nom de domaine complet fourni par VMware qui représente l'adresse de connexion interne du service Universal Broker. Par exemple, l'enregistrement peut mapper vdi.examplecompany.com à <chaîne générée automatiquement>.vmwarehorizon.com.
        Certificate Cliquez sur Parcourir et téléchargez le certificat (au format PFX protégé par mot de passe) qui valide votre nom de domaine complet d'intermédiation. Le certificat doit être signé par une autorité de certification de confiance, et l'autre nom du sujet du certificat doit correspondre au nom de domaine complet.

        Le fichier PFX doit contenir toute la chaîne de certificats et la clé privée : certificat de domaine, certificats intermédiaires, certificat d'autorité de certification racine et clé privée.

        Le service Universal Broker utilise ce certificat pour établir des sessions de connexion approuvées avec des clients.

        Password Entrez le mot de passe du fichier de certificats PFX.
        VMware Provided FQDN Ce champ en lecture seule affiche le nom de domaine complet fourni par VMware, généré automatiquement pour le service d'intermédiation. Le nom de domaine complet prend le format https://<chaîne générée automatiquement>.vmwarehorizon.com.

        Le nom de domaine complet fourni par VMware n'est pas visible pour les utilisateurs finaux et représente l'adresse de connexion interne du service Universal Broker. Votre nom de domaine complet personnalisé fonctionne comme alias du nom de domaine complet fourni par VMware.

        Important : Vous devez configurer une association d'alias en créant un enregistrement CNAME sur votre serveur DNS qui mappe votre nom de domaine complet personnalisé à celui fourni par VMware. Par exemple, l'enregistrement peut mapper vdi.examplecompany.com à <chaîne générée automatiquement>.vmwarehorizon.com.

        La capture d'écran suivante montre un exemple de l'assistant de configuration avec les paramètres renseignés d'un nom de domaine complet personnalisé.


        Assistant de configuration Universal Broker avec les paramètres renseignés du nom de domaine complet personnalisé
    3. Lorsque vous avez terminé la configuration des paramètres de nom de domaine complet, cliquez sur Suivant pour passer à la page suivante de l'assistant.
  3. (Facultatif) Sur la page Authentification de l'assistant, configurez l'authentification à deux facteurs.
    Par défaut, Universal Broker authentifie les utilisateurs uniquement via leur nom d'utilisateur et leur mot de passe Active Directory. Pour implémenter l'authentification à deux facteurs, spécifiez une méthode d'authentification supplémentaire.
    Important : Pour utiliser l'authentification à deux facteurs pour Universal Broker, vous devez d'abord configurer le service d'authentification approprié sur chaque instance d' Unified Access Gateway de tous les espaces participants. Les configurations des instances d' Unified Access Gateway doivent être identiques dans et entre les espaces participants.

    Pour utiliser, par exemple, l'authentification RADIUS, vous devez configurer le service RADIUS sur chaque instance d'Unified Access Gateway de tous les espaces Horizon participants et espaces dans Microsoft Azure.

    Ne supprimez pas les instances d'Unified Access Gateway dans les espaces participants. Étant donné qu'Universal Broker repose sur Unified Access Gateway pour le trafic de protocole entre Horizon Client et les ressources virtuelles, les utilisateurs ne peuvent pas accéder aux ressources provisionnées à partir d'un espace participant si vous supprimez l'instance d'Unified Access Gateway sur cet espace.

    Paramètre Description
    2 Factor Authentication

    Pour utiliser l'authentification à deux facteurs, activez cette option.

    Lorsque vous activez cette option, vous voyez des options supplémentaires pour configurer l'authentification à deux facteurs.

    Type

    Spécifiez la méthode d'authentification à utiliser en plus du nom d'utilisateur et du mot de passe Active Directory.

    • Pour utiliser l'authentification à deux facteurs dans vos espaces Horizon et espaces dans Microsoft Azure, sélectionnez RADIUS.
    • Pour utiliser l'authentification à deux facteurs pour vos espaces Horizon uniquement, sélectionnez RSA SecurID.
    Note : Dans cette version, RSA SecurID est pris en charge sur les espaces Horizon, mais pas sur les espaces dans Microsoft Azure. Si vous sélectionnez RSA SecurID, les demandes d'authentification RSA des utilisateurs sont tentées via les instances d' Unified Access Gateway de vos espaces Horizon uniquement. Les demandes d'authentification par nom d'utilisateur et mot de passe Active Directory sont tentées via les instances d' Unified Access Gateway pour les espaces Horizon ou les espaces dans Microsoft Azure.
    Maintain User Name Activez cette option pour conserver le nom Active Directory de l'utilisateur lors de l'authentification dans Universal Broker. Lorsque cette option est activée :
    • L'utilisateur doit disposer d'informations d'identification de nom d'utilisateur pour la méthode d'authentification supplémentaire identiques à celles utilisées pour son authentification Active Directory dans Universal Broker.
    • L'utilisateur ne peut pas modifier le nom d'utilisateur dans l'écran de connexion client.

    Si cette option est désactivée, l'utilisateur peut entrer un nom d'utilisateur différent dans l'écran de connexion.

    Show Hint Text Activez cette option pour configurer une chaîne de texte qui s'affiche dans l'écran de connexion client afin d'inviter l'utilisateur à entrer ses informations d'identification conformément à la méthode d'authentification supplémentaire.
    Custom Hint Text Entrez la chaîne de texte que vous souhaitez afficher dans l'écran de connexion client. L'astuce spécifiée apparaît à l'utilisateur final sous la forme Enter your DisplayHint user name and password, où DisplayHint est la chaîne de texte que vous entrez dans cette zone de texte.

    Cette astuce peut guider les utilisateurs afin qu'ils entrent les informations d'identification appropriées. Par exemple, l'entrée d'une phrase semblable à Nom d'utilisateur de société et de mot de passe de domaine ci-dessous génère un message à l'utilisateur final qui indique : Enter your Company user name and domain password below for user name and password.

    La capture d'écran suivante montre un exemple de l'assistant de configuration avec les paramètres d'authentification à deux facteurs renseignés.

    Assistant de configuration d'Universal Broker avec les paramètres d'authentification à deux facteurs renseignés
    Lorsque vous avez terminé la configuration de l'authentification à deux facteurs, cliquez sur Suivant pour passer à la page suivante de l'assistant.
  4. Sur la page Paramètres de l'assistant de configuration, configurez les paramètres de Durées pour Horizon Client.
    Ces paramètres de délai d'expiration s'appliquent à la session de connexion entre Horizon Client et le poste de travail attribué alloué par Universal Broker. Ces paramètres ne s'appliquent pas à la session de connexion de l'utilisateur au système d'exploitation invité du poste de travail attribué. Lorsque Universal Broker détecte les conditions de délai d'expiration spécifiées par ces paramètres, il ferme la session de connexion à Horizon Client de l'utilisateur.
    Paramètre Description
    Client Heartbeat Interval Contrôle l'intervalle, en minutes, entre les pulsations d'Horizon Client et l'état de la connexion de l'utilisateur à Universal Broker. Ces pulsations signalent à Universal Broker la durée d'inactivité qui s'est écoulée pendant la session de connexion à Horizon Client.

    La durée d'inactivité est mesurée lorsqu'aucune interaction ne se produit avec le point de terminaison exécutant Horizon Client. Cette durée d'inactivité n'est pas affectée par une éventuelle inactivité au sein de la session de connexion au système d'exploitation invité sous-jacent au poste de travail attribué à l'utilisateur.

    Dans les grands déploiements de postes de travail, l'augmentation de l'intervalle de pulsation de Client peut réduire le trafic réseau et améliorer les performances.

    Client Idle User Durée d'inactivité maximale, en minutes, autorisée pendant une session de connexion entre Horizon Client et Universal Broker.

    Lorsque la durée maximale est atteinte, la période d'authentification de l'utilisateur expire et Universal Broker ferme toutes les sessions Horizon Client actives. Pour rouvrir une session de connexion, l'utilisateur doit entrer de nouveau ses informations d'identification d'authentification sur l'écran de connexion à Universal Broker.

    Note : Pour éviter de déconnecter les utilisateurs de manière inattendue de leurs postes de travail attribués, définissez le délai d'expiration Utilisateur inactif de Client sur une valeur au moins égale au double de celle de l' intervalle de pulsation de Client.
    Client Broker Session Durée maximale, en minutes, autorisée pour une session de connexion Horizon Client avant l'expiration de l'authentification de l'utilisateur. La durée commence lorsque l'utilisateur s'authentifie dans Universal Broker. Lorsque le délai d'expiration de la session est écoulé, l'utilisateur peut continuer à travailler sur le poste de travail qui lui est attribué. Cependant, s'ils exécutent une action (telle que la modification de paramètres) qui nécessite une communication avec Universal Broker, Horizon Client les invite à entrer de nouveau ses informations d'identification d'Universal Broker.
    Note : Le délai d'expiration Session broker de Client doit être supérieur ou égal à la somme de la valeur Intervalle de pulsation de Client et du délai d'expiration Utilisateur inactif de Client.
    Client Credential Cache Détermine si les informations d'identification de connexion de l'utilisateur doivent être stockées dans le cache du système client. Entrez 1 pour stocker les informations d'identification de l'utilisateur dans le cache. Entrez 0 si vous ne souhaitez pas stocker les informations d'identification de l'utilisateur dans le cache.
  5. Sur la page Paramètres de l'assistant de configuration, configurez Détails de la stratégie.
    Les détails de la stratégie contrôlent si les utilisateurs finaux peuvent accéder à certaines fonctionnalités d'Horizon, à condition que celles-ci soient disponibles sur le poste de travail et le client.
    Paramètre Description
    Multimedia Redirection (MMR) Activez cette option pour permettre à vos utilisateurs finaux d'accéder à la fonctionnalité de redirection multimédia, si celle-ci est disponible sur le poste de travail et le client.
    USB Access Activez cette option pour permettre à vos utilisateurs finaux d'accéder à la fonctionnalité de redirection USB, si celle-ci est disponible sur le poste de travail et le client.
    Clean Up HTML Access Credentials When Tab is Closed

    L'activation de ce paramètre supprime les informations d'identification du cache lorsque l'utilisateur ferme un onglet qui le connecte à un poste de travail distant, ou lorsqu'il ferme un onglet qui le connecte à la page de sélection des postes de travail, dans le client HTML Access.

    Lorsque ce paramètre est activé, les informations d'identification sont également supprimées du cache dans les scénarios suivants du client HTML Access :

    • Un utilisateur actualise la page de sélection des postes de travail ou la page de session distante.
    • Le serveur présente un certificat auto-signé, un utilisateur démarre un poste de travail distant et l'utilisateur accepte le certificat lorsque l'avertissement de sécurité s'affiche.
    • Un utilisateur exécute une commande URI dans l'onglet qui contient la session distante.

    Lorsque ce paramètre est désactivé, les informations d'identification sont conservées dans le cache.

    Allow Client to Wait for Powered-Off VM L'activation de ce paramètre permet à Horizon Client de retenter les demandes de connexion à un poste de travail distant actuellement indisponible.

    Par exemple, un utilisateur client peut demander un poste de travail qui est actuellement hors tension. Lorsque ce paramètre est activé, Horizon Client peut renvoyer sa demande de connexion et établir une session de connexion lorsque le poste de travail est sous tension et disponible.

    Lorsque vous avez terminé la configuration des détails de la stratégie, cliquez sur Suivant pour passer à l'étape suivante de l'assistant.
  6. Vérifiez vos paramètres sur la page Résumé, puis cliquez sur Terminer pour enregistrer et appliquer la configuration.
    En général, quelques secondes sont nécessaires pour que les paramètres de configuration prennent effet intégralement dans le service Universal Broker, car les enregistrements DNS sont propagés sur les serveurs DNS dans toutes les régions globales. En fonction des conditions de votre système et du réseau, cependant, ce processus peut prendre jusqu'à 30 minutes. Pendant ce temps, le service Universal Broker n'est pas disponible. Lorsque la configuration est terminée, la section Broker de la page Démarrage affiche Terminé et la page Paramètres > Broker affiche l'état Activé avec un point vert.
    Important : Si la configuration d' Universal Broker échoue, la page Paramètres > Broker affiche l'état Erreur avec l'icône d'alerte rouge. Pour corriger l'échec de la configuration et configurer le service Universal Broker, contactez le support VMware, comme décrit dans l' article 2006985 de la base de connaissances VMware.

Que faire ensuite