Cette rubrique décrit les étapes générales et les meilleures pratiques que vous pouvez utiliser pour configurer l'authentification à deux facteurs sur le service Universal Broker.

Fonctionnement de l'authentification à deux facteurs avec Universal Broker

Par défaut, Universal Broker authentifie les utilisateurs uniquement via leur nom d'utilisateur et leur mot de passe Active Directory. Vous pouvez implémenter une authentification à deux facteurs facultative en spécifiant un service d'authentification supplémentaire. Universal Broker prend en charge les services d'authentification à deux facteurs suivants, en fonction des types d'espaces que vous avez déployés dans votre environnement de locataire.

  • Si votre environnement ne contient que des espaces Horizon Cloud dans Microsoft Azure, Universal Broker prend en charge l'authentification Radius uniquement.
  • Si votre environnement ne contient que des espaces Horizon sur une plate-forme SDDC VMware, Universal Broker prend en charge l'authentification Radius et RSA SecurID.
  • Si votre environnement est mixte et combine des espaces Horizon Cloud dans Microsoft Azure avec des espaces Horizon sur une plate-forme VMware SDDC, Universal Broker prend en charge l'authentification Radius uniquement.

Universal Broker s'appuie sur la configuration des instances d'Unified Access Gateway externes dans chaque espace participant lors de l'exécution de l'authentification à deux facteurs des utilisateurs du réseau. Bien que vous puissiez également configurer des instances d'Unified Access Gateway internes pour gérer l'authentification et le routage des utilisateurs du réseau interne, Universal Broker base son authentification à deux facteurs sur le service d'authentification qui est configuré sur les instances externes d'Unified Access Gateway.

Note : Pour chaque espace participant, vous devez configurer le service d'authentification à deux facteurs approprié sur l'instance d' Unified Access Gateway externe. Les configurations de toutes les instances d' Unified Access Gateway externes dans un espace participant doivent correspondre entre elles et doivent être identiques aux configurations des instances d' Unified Access Gateway dans tous les autres espaces participants. Sinon, l'authentification auprès du service Universal Broker échoue.

Par exemple, si vous souhaitez utiliser l'authentification RADIUS pour vos espaces Horizon configurés avec Universal Broker, vous devez configurer le même service RADIUS sur chaque instance externe d'Unified Access Gateway pour tous les espaces Horizon participants. Vous ne pouvez pas configurer RADIUS sur certains espaces participants et RSA SecurID sur d'autres espaces participants.

Lorsque vous souhaitez activer l'authentification à deux facteurs pour les utilisateurs sur les réseaux externes et internes

  1. Pour chaque espace de votre environnement Universal Broker, configurez au moins une instance externe d'Unified Access Gateway. Configurez le même service d'authentification à deux facteurs sur chaque instance externe d'Unified Access Gateway dans tous les espaces.

    Suivez les instructions de configuration pour votre cas d'utilisation spécifique :

    • Si votre environnement se compose uniquement d'espaces Horizon, configurez le service RADIUS ou RSA SecurID sur chaque instance externe d'Unified Access Gateway dans tous les espaces.
    • Si votre environnement se compose uniquement d'espaces Horizon Cloud dans Microsoft Azure, configurez le service RADIUS sur chaque instance externe d'Unified Access Gateway dans tous les espaces.
    • Si vous disposez d'un environnement hybride contenant un mélange d'espaces Horizon et d'espaces Horizon Cloud dans Microsoft Azure, configurez le service RADIUS sur chaque instance externe d'Unified Access Gateway dans tous les espaces.

    Pour les espaces Horizon, reportez-vous à la documentation d'Unified Access Gateway, à la documentation VMware Horizon et à la documentation VMware Horizon 7. Pour les espaces Horizon Cloud dans Microsoft Azure, reportez-vous à la section Spécifier la configuration de la passerelle de l'espace Horizon Cloud.

  2. Vous pouvez éventuellement configurer une instance interne d'Unified Access Gateway pour chaque espace. Pour acheminer le trafic utilisateur vers vos serveurs DNS internes et externes respectifs, effectuez l'une des opérations suivantes :
    • Configurez des noms de domaine complets distincts pour les instances internes et externes d'Unified Access Gateway dans l'espace.
    • Configurez le même nom de domaine complet pour les instances internes et externes d'Unified Access Gateway dans l'espace. Configurez ensuite les zones DNS fractionnées pour le nom de domaine complet de l'équilibrage de charge de l'espace.
  3. (Espaces Horizon uniquement) Configurez les paramètres du jeton Web JSON dans chaque instance d'Unified Access Gateway pour prendre en charge le serveur tunnel et la redirection de protocole requis par Universal Broker. Reportez-vous à la section Espaces Horizon - Configurer Unified Access Gateway pour l'utiliser avec Universal Broker.
  4. Sur la page Authentification de l'assistant de configuration d’Universal Broker, spécifiez les paramètres suivants :
    1. Activez l'option Authentification à deux facteurs .
    2. Pour Type, sélectionnez le service d'authentification que vous avez configuré sur toutes les instances externes d'Unified Access Gateway dans vos espaces.
    3. Désactivez l'option Ignorer l'authentification à deux facteurs.

    Reportez-vous à la section Configurer les paramètres d'Universal Broker.

Lorsque vous souhaitez activer l'authentification à deux facteurs uniquement pour les utilisateurs sur le réseau externe

  1. Effectuez les étapes 1 à 3 comme décrit dans le cas d'utilisation précédent, « Lorsque vous souhaitez activer l'authentification à deux facteurs pour les utilisateurs sur les réseaux externes et internes ».
  2. Dans l'onglet Plages réseau de la page Broker, définissez les plages d'adresses IP publiques qui représentent votre réseau interne. Reportez-vous à la section Définir des plages réseau internes pour Universal Broker.
  3. Sur la page Authentification de l'assistant de configuration d’Universal Broker, spécifiez les paramètres suivants :
    1. Activez l'option Authentification à deux facteurs .
    2. Pour Type, sélectionnez le service d'authentification que vous avez configuré sur toutes les instances externes d'Unified Access Gateway dans vos espaces.
    3. Activez l'option Ignorer l'authentification à deux facteurs.

    Reportez-vous à la section Configurer les paramètres d'Universal Broker.