Cette rubrique décrit les étapes générales et les meilleures pratiques que vous pouvez utiliser pour configurer l'authentification à deux facteurs sur le service Universal Broker.

Fonctionnement de l'authentification à deux facteurs avec Universal Broker

Par défaut, Universal Broker authentifie les utilisateurs uniquement via leur nom d'utilisateur et leur mot de passe Active Directory. Vous pouvez implémenter une authentification à deux facteurs facultative en spécifiant un service d'authentification supplémentaire.

À partir de la version de service 2203, Universal Broker prend en charge les services d'authentification à deux facteurs suivants avec les déploiements Horizon et les déploiements Horizon Cloud on Microsoft Azure.

  • RADIUS
  • RSA SecurID
Note : Pour la prise en charge de RSA SecurID avec les déploiements Horizon Cloud on Microsoft Azure, ces espaces doivent exécuter le manifeste 3139.x ou version ultérieure. L'option RSA SecurID est visible pour la sélection dans les paramètres de la passerelle lorsque vous exécutez Modifier l'espace sur ces espaces.

Universal Broker s'appuie sur la configuration des instances d'Unified Access Gateway externes dans chaque espace participant lors de l'exécution de l'authentification à deux facteurs des utilisateurs du réseau. Bien que vous puissiez également configurer des instances d'Unified Access Gateway internes pour gérer l'authentification et le routage des utilisateurs du réseau interne, Universal Broker base son authentification à deux facteurs sur le service d'authentification qui est configuré sur les instances externes d'Unified Access Gateway.

Note : Pour chaque espace participant, vous devez configurer le service d'authentification à deux facteurs approprié sur l'instance d' Unified Access Gateway externe. Les configurations de toutes les instances d' Unified Access Gateway externes dans un espace participant doivent correspondre entre elles et doivent être identiques aux configurations des instances d' Unified Access Gateway dans tous les autres espaces participants. Sinon, l'authentification auprès du service Universal Broker échoue.

Par exemple, si vous souhaitez utiliser l'authentification RADIUS pour vos espaces Horizon configurés avec Universal Broker, vous devez configurer le même service RADIUS sur chaque instance externe d'Unified Access Gateway pour tous les espaces Horizon participants. Vous ne pouvez pas configurer RADIUS sur certains espaces participants et RSA SecurID sur d'autres espaces participants.

Lorsque vous souhaitez activer l'authentification à deux facteurs pour les utilisateurs sur les réseaux externes et internes

  1. Pour chaque espace de votre environnement Universal Broker, configurez au moins une instance externe d'Unified Access Gateway. Configurez le même service d'authentification à deux facteurs sur chaque instance externe d'Unified Access Gateway dans tous les espaces.

    Suivez les instructions de configuration pour votre cas d'utilisation spécifique. Lorsque la flotte de votre locataire dispose des éléments suivants :

    Espaces Horizon uniquement
    Configurez le service RADIUS ou RSA SecurID sur chaque instance externe d' Unified Access Gateway de tous les espaces.
    Déploiements Horizon Cloud on Microsoft Azure uniquement
    Configurez le même service d'authentification à deux facteurs sur chaque instance externe d' Unified Access Gateway dans tous les espaces. Si tous les espaces sont de manifeste 3139.x ou version ultérieure et que l'option RSA SecurID est disponible dans les paramètres d'authentification à deux facteurs lorsque vous exécutez l'assistant Modifier l'espace sur les espaces, vous avez la possibilité de configurer tous les espaces pour utiliser le type RSA SecurID. Sinon, le type RADIUS est disponible.
    Combinaison d'espaces Horizon et de déploiements Horizon Cloud on Microsoft Azure
    Dans une flotte mixte, les options qui s'offrent à vous dépendent de la conformité de vos déploiements Horizon Cloud on Microsoft Azure aux conditions pour que l'option RSA SecurID soit à leur disposition.
    • Si vos déploiements Horizon Cloud on Microsoft Azure ne remplissent pas les conditions de configuration du type RSA SecurID sur eux, vous pouvez configurer le service RADIUS sur chaque instance externe d'Unified Access Gateway dans tous les espaces de la flotte.
    • Si vos déploiements Horizon Cloud on Microsoft Azure remplissent les conditions de configuration du type RSA SecurID sur eux, vous pouvez configurer RSA SecurID ou RADIUS sur chaque instance externe d'Unified Access Gateway dans tous les espaces de la flotte.

    Pour les espaces Horizon, reportez-vous à la documentation d'Unified Access Gateway, à la documentation de VMware Horizon et à la documentation de VMware Horizon 7.

    Pour les espaces Horizon Cloud dans Microsoft Azure, reportez-vous aux sections Ajouter une configuration de passerelle à un espace Horizon Cloud déployé et Activer l'authentification à deux facteurs sur les passerelles d'un espace Horizon Cloud.

  2. Vous pouvez éventuellement configurer une instance interne d'Unified Access Gateway pour chaque espace. Pour acheminer le trafic utilisateur vers vos serveurs DNS internes et externes respectifs, effectuez l'une des opérations suivantes :
    • Configurez des noms de domaine complets distincts pour les instances internes et externes d'Unified Access Gateway dans l'espace.
    • Configurez le même nom de domaine complet pour les instances internes et externes d'Unified Access Gateway dans l'espace. Configurez ensuite les zones DNS fractionnées pour le nom de domaine complet de l'équilibrage de charge de l'espace.
  3. (Espaces Horizon uniquement) Configurez les paramètres du jeton Web JSON dans chaque instance d'Unified Access Gateway pour prendre en charge le serveur tunnel et la redirection de protocole requis par Universal Broker. Reportez-vous à la section Espaces Horizon - Configurer Unified Access Gateway pour l'utiliser avec Universal Broker.
  4. Sur la page Authentification de l'assistant de configuration d’Universal Broker, spécifiez les paramètres suivants :
    1. Activez l'option Authentification à deux facteurs.
    2. Pour Type, sélectionnez le service d'authentification que vous avez configuré sur toutes les instances externes d'Unified Access Gateway dans vos espaces.
    3. Désactivez l'option Ignorer l'authentification à deux facteurs.

    Reportez-vous à la section Configurer les paramètres d'Universal Broker.

Lorsque vous souhaitez activer l'authentification à deux facteurs uniquement pour les utilisateurs sur le réseau externe

  1. Effectuez les étapes 1 à 3 comme décrit dans le cas d'utilisation précédent, « Lorsque vous souhaitez activer l'authentification à deux facteurs pour les utilisateurs sur les réseaux externes et internes ».
  2. Dans l'onglet Plages réseau de la page Broker, définissez les plages d'adresses IP publiques qui représentent votre réseau interne. Reportez-vous à la section Définir des plages réseau internes pour Universal Broker.
  3. Sur la page Authentification de l'assistant de configuration d’Universal Broker, spécifiez les paramètres suivants :
    1. Activez l'option Authentification à deux facteurs.
    2. Pour Type, sélectionnez le service d'authentification que vous avez configuré sur toutes les instances externes d'Unified Access Gateway dans vos espaces.
    3. Activez l'option Ignorer l'authentification à deux facteurs.

    Reportez-vous à la section Configurer les paramètres d'Universal Broker.