Dans l'étape de l'assistant de déploiement de l'espace pour spécifier ses configurations d'Unified Access Gateway, vous pouvez également spécifier l'utilisation de l'authentification à deux facteurs pour l'accès de vos utilisateurs finaux à leurs postes de travail et à leurs applications via les configurations de passerelle. Vous pouvez spécifier ces détails de l'authentification à deux facteurs après avoir fourni les détails de configuration d'Unified Access Gateway.

Conditions préalables

Vérifiez que vous avez respecté les conditions préalables décrites dans la section Conditions préalables à l'exécution de l'assistant de déploiement de l'espace.

Pour la configuration externe ou interne d'Unified Access Gateway pour laquelle vous entrez les détails de l'authentification à deux facteurs, veillez à remplir les champs de la configuration d'Unified Access Gateway dans l'assistant, comme indiqué à la section Spécifier la configuration de la passerelle de l'espace Horizon Cloud. Lorsque vous configurez l'authentification à deux facteurs sur un serveur d'authentification sur site, vous fournissez également des informations dans les champs suivants afin que les instances d'Unified Access Gateway puissent résoudre le routage vers ce serveur sur site :

Option Description
Adresses DNS Spécifiez une ou plusieurs adresses de serveurs DNS pouvant résoudre le nom de votre serveur d'authentification sur site.
Routes Spécifiez une ou plusieurs routes personnalisées permettant aux instances Unified Access Gateway de l'espace de résoudre le routage réseau vers votre serveur d'authentification sur site.

Par exemple, si vous disposez d'un serveur RADIUS sur site qui utilise 10.10.60.20 comme adresse IP, vous utiliserez 10.10.60.0/24 et votre adresse de passerelle de route par défaut en tant que route personnalisée. Vous obtenez votre adresse de passerelle de route par défaut dans la configuration Express Route ou VPN que vous utilisez pour cet environnement.

Spécifiez les routes personnalisées dans une liste, séparées par des virgules, sous la forme ipv4-network-address/bits ipv4-gateway-address, par exemple : 192.168.1.0/24 192.168.0.1, 192.168.2.0/24 192.168.0.2.

Vérifiez que vous disposez des informations suivantes utilisées dans la configuration de votre serveur d'authentification, afin de pouvoir les fournir dans les champs appropriés de l'assistant de déploiement de l'espace. Si vous disposez d'un serveur principal et d'un serveur secondaire, procurez-vous les informations pour chacun d'eux.

  • Adresse IP ou nom DNS du serveur d'authentification
  • Secret partagé utilisé pour le chiffrement et le déchiffrement dans les messages de protocole du serveur d'authentification
  • Numéros de port d'authentification, en général le port UDP 1812.
  • Type de protocole d'authentification. Les types d'authentification incluent PAP (Password Authentication Protocol), CHAP (Challenge Handshake Authentication Protocol), MSCHAP1, MSCHAP2 (Microsoft Challenge Handshake Authentication Protocol, versions 1 et 2).
    Note : Consultez la documentation de votre fournisseur RADIUS pour connaître le protocole d'authentification recommandé par votre fournisseur RADIUS et suivez le type de protocole indiqué. La capacité de l'espace à prendre en charge l'authentification à deux facteurs avec RADIUS est fournie par les instances d'Unified Access Gateway. En outre, Unified Access Gateway prend en charge PAP, CHAP, MSCHAP1 et MSCHAP2. PAP est généralement moins sécurisé que MSCHAP2. PAP est également un protocole plus simple que MSCHAP2. Par conséquent, même si la plupart des fournisseurs RADIUS sont compatibles avec le protocole PAP plus simple, certains fournisseurs RADIUS ne sont pas aussi compatibles avec le protocole MSCHAP2 plus sécurisé.

Procédure

  1. Activez l'option Activer l'authentification à deux facteurs.
    Lorsque cette option est activée, l'assistant affiche les champs de configuration supplémentaires. Utilisez la barre de défilement pour accéder à tous les champs.

    La capture d'écran suivante est un exemple des éléments affichés après avoir activé l'option dans la section Instance externe d'UAG.

    Horizon Cloud on Microsoft Azure : champs de l'authentification RADIUS à deux facteurs de l'assistant de déploiement de l'espace
  2. Sélectionnez votre méthode d'authentification à deux facteurs dans la liste déroulante.
    Dans cette version, l'authentification RADIUS est prise en charge.
  3. Dans le champ Nom, entrez un nom d'identification pour cette configuration.
  4. Dans la section Propriétés, spécifiez les détails relatifs à l'interaction des utilisateurs finaux avec l'écran de connexion qu'ils utiliseront pour s'authentifier pour l'accès.
    Option Description
    Nom d'affichage Vous pouvez laisser ce champ vide. Même si ce champ est visible dans l'assistant, il définit uniquement un nom interne dans Unified Access Gateway. Ce nom n'est pas utilisé par les instances d’Horizon Client.
    Afficher l'astuce Entrez éventuellement une chaîne de texte qui apparaîtra aux utilisateurs finaux dans le message sur l'écran de connexion du client de l'utilisateur final lorsqu'il demande à l'utilisateur son nom d'utilisateur et code secret RADIUS. L'astuce spécifiée apparaît à l'utilisateur final sous la forme Enter your DisplayHint user name and passcode, où DisplayHint est le texte que vous spécifiez dans ce champ.

    Cette astuce peut aider à guider les utilisateurs pour entrer le code secret RADIUS correct. Par exemple, spécifier une phrase semblable à Exemple de nom d'utilisateur de société et de mot de passe de domaine ci-dessous générerait un message à l'utilisateur final qui indique Enter your Example Company user name and domain password below for user name and passcode.

    Suffixe d'ID de nom Ce paramètre est utilisé dans les scénarios SAML, où votre espace est configuré pour utiliser TrueSSO pour l'authentification unique. Vous pouvez éventuellement fournir une chaîne que le système ajoutera au nom d'utilisateur de l'assertion SAML envoyé au Broker. Par exemple, si le nom d'utilisateur entré est user1 sur l'écran de connexion et que le suffixe d'ID de nom @example.com a été spécifié ici, le système envoie le nom d'utilisateur d'assertion SAML user1@example.com au Broker.
    Nombre d'itérations Entrez le nombre maximal de tentatives d'authentification autorisé pour un utilisateur lors de la tentative de connexion à l'aide de ce système RADIUS.
    Conserver le nom d'utilisateur Activez cette option pour conserver le nom RADIUS de l'utilisateur lors de l'authentification dans Horizon Cloud. Lorsque cette option est activée :
    • l'utilisateur doit disposer des informations d’identification de nom d’utilisateur pour RADIUS identiques à celles utilisées pour son authentification Active Directory à Horizon Cloud.
    • l'utilisateur ne peut pas modifier le nom d'utilisateur dans l’écran de connexion.

    Si cette option est désactivée, l'utilisateur peut entrer un nom d'utilisateur différent dans l'écran de connexion.

    Note : Pour plus d’informations sur la relation entre l'activation de l'option Conserver le nom d'utilisateur et les paramètres de sécurité de domaine dans Horizon Cloud, reportez-vous à la section Paramètres de sécurité du domaine sur la page Paramètres généraux dans le Guide d'administration d'Horizon Cloud.
  5. Dans la section Serveur principal, spécifiez les détails sur le serveur d'authentification.
    Option Description
    Nom de l'hôte/Adresse IP Entrez le nom DNS ou l'adresse IP du serveur d'authentification.
    Secret partagé Entrez le code secret pour communiquer avec le serveur d'authentification. La valeur doit être identique à celle qui est configurée sur le serveur.
    Port d'authentification Spécifiez le port UDP configuré sur le serveur d'authentification pour l'envoi ou la réception du trafic d'authentification. Le port par défaut est 1812.
    Port de compte Vous pouvez éventuellement spécifier le port UDP configuré sur le serveur d'authentification pour envoyer ou recevoir le trafic de compte. Le port par défaut est 1813.
    Mécanisme Sélectionnez le protocole d'authentification pris en charge par le serveur d'authentification spécifié et que vous souhaitez que l'espace déployé utilise.
    Délai d'expiration de serveur Spécifiez le nombre de secondes pendant lequel l'espace doit attendre une réponse du serveur d'authentification. Lorsque ce nombre de secondes est écoulé, une nouvelle tentative est envoyée si le serveur ne répond pas.
    Nombre max. de tentatives Spécifiez le nombre maximal de fois que l'espace doit réessayer de renvoyer les demandes ayant échoué au serveur d'authentification.
    Préfixe de domaine Vous pouvez éventuellement fournir une chaîne que le système placera au début du nom d'utilisateur lors de l'envoi du nom au serveur d'authentification. L'emplacement du compte d'utilisateur est appelé domaine.

    Par exemple, si le nom d'utilisateur entré est user1 sur l'écran de connexion et que le préfixe de domaine DOMAIN-A\ a été spécifié ici, le système envoie DOMAIN-A\user1 au serveur d'authentification. Si vous ne spécifiez pas de préfixe de domaine, seul le nom d'utilisateur entré est envoyé.

    Suffixe de domaine Vous pouvez éventuellement fournir une chaîne que le système ajoutera au nom d'utilisateur lors de l'envoi du nom au serveur d'authentification. Par exemple, si le nom d'utilisateur entré est user1 sur l'écran de connexion et que le suffixe de domaine @example.com a été spécifié ici, le système envoie user1@example.com au serveur d'authentification.
  6. (Facultatif) Dans la section Serveur secondaire, spécifiez éventuellement les détails concernant un serveur d'authentification auxiliaire.
    Vous pouvez configurer un serveur d'authentification secondaire pour fournir la haute disponibilité. Activez l'option Serveur auxiliaire et remplissez les champs, comme décrit dans la section Étape 5.