Dans l'étape de l'assistant de déploiement de l'espace pour spécifier ses configurations d'Unified Access Gateway, vous pouvez également spécifier l'utilisation de l'authentification à deux facteurs pour l'accès de vos utilisateurs finaux à leurs postes de travail et à leurs applications via les configurations de passerelle.

Important : Ces informations s'appliquent uniquement lorsque vous avez accès à un environnement de locataire de première génération dans le plan de contrôle de première génération. Comme décrit dans l' article 92424 de la base de connaissances, le plan de contrôle de première génération a atteint la fin de disponibilité (EOA). Pour plus d'informations, consultez cet article.

Horizon Cloud on Microsoft Azure : champs d'authentification à deux facteurs de l'assistant de déploiement de l'espace dans leur état initial après l'activation de l'option pour activer l'authentification à deux facteurs.

Lorsque des détails d'authentification à deux facteurs sont spécifiés dans l'assistant pour une configuration de passerelle, lors du processus de déploiement de l'espace, le système de déploiement de l'espace configure les dispositifs Unified Access Gateway déployés correspondants de la configuration de la passerelle avec les détails de l'authentification à deux facteurs spécifiés.

Comme décrit dans la documentation d'Unified Access Gateway, lorsque les dispositifs Unified Access Gateway sont configurés pour l'authentification à deux facteurs, les dispositifs Unified Access Gateway authentifient les sessions utilisateur entrantes en fonction des stratégies d'authentification à deux facteurs que vous avez spécifiées. Une fois qu'Unified Access Gateway authentifie une session d'utilisateur en fonction de votre stratégie d'authentification spécifiée, Unified Access Gateway transfère cette demande de client d'utilisateur final pour le lancement d'un poste de travail ou d'une application vers le gestionnaire d'espace déployé pour établir une session de connexion entre le client et un poste de travail ou une application disponible.

Important : Après le déploiement de l'espace, lorsque vous prévoyez de configurer les paramètres d' Universal Broker de votre locataire pour utiliser l'authentification à deux facteurs, et que vous avez déployé l'espace avec une configuration de passerelle externe et une configuration de passerelle interne, des étapes de post-déploiement supplémentaires peuvent être requises pour s'assurer qu' Universal Broker peut faire la distinction entre un utilisateur final externe et un utilisateur final interne afin d'appliquer correctement les paramètres d'authentification à deux facteurs spécifiés pour Universal Broker. Pour plus d'informations, reportez-vous à la section Meilleures pratiques lors de l'implémentation de l'authentification à deux facteurs dans un environnement Universal Broker.

Conditions préalables

Vérifiez que vous avez respecté les conditions préalables décrites dans la section Locataires de première génération - Conditions préalables à l'exécution de l'assistant de déploiement de l'espace de première génération.

Pour la configuration externe ou interne d'Unified Access Gateway pour laquelle vous entrez les détails de l'authentification à deux facteurs, veillez à remplir les champs de la configuration d'Unified Access Gateway dans l'assistant, comme indiqué à la section Locataires de première génération - Spécifier la configuration de la passerelle de l'espace Horizon Cloud. Lorsque vous configurez l'authentification à deux facteurs sur un serveur d'authentification sur site, vous fournissez également des informations dans les champs suivants afin que les instances d'Unified Access Gateway puissent résoudre le routage vers ce serveur sur site :

Option Description
Adresses DNS Spécifiez une ou plusieurs adresses de serveurs DNS pouvant résoudre le nom de votre serveur d'authentification sur site.
Routes Indiquez une ou plusieurs routes personnalisées autorisant les instances Unified Access Gateway de l'espace à résoudre le routage réseau vers votre serveur d'authentification sur site.

Par exemple, si vous disposez d'un serveur RADIUS sur site qui utilise 10.10.60.20 comme adresse IP, vous utiliserez 10.10.60.0/24 et votre adresse de passerelle de route par défaut en tant que route personnalisée. Vous obtenez votre adresse de passerelle de route par défaut dans la configuration Express Route ou VPN que vous utilisez pour cet environnement.

Spécifiez les routes personnalisées dans une liste, séparées par des virgules, sous la forme ipv4-network-address/bits ipv4-gateway-address, par exemple : 192.168.1.0/24 192.168.0.1, 192.168.2.0/24 192.168.0.2.

Vérifiez que vous disposez des informations suivantes utilisées dans la configuration de votre serveur d'authentification, afin de pouvoir les fournir dans les champs appropriés de l'assistant de déploiement de l'espace. Si vous utilisez un serveur d'authentification RADIUS et que vous disposez d'un serveur principal et d'un serveur secondaire, procurez-vous les informations pour chacun d'eux.

RADIUS

Si vous configurez les paramètres d'un serveur RADIUS principal et auxiliaire, procurez-vous les informations pour chacun d'eux.

  • Adresse IP ou nom DNS du serveur d'authentification
  • Secret partagé utilisé pour le chiffrement et le déchiffrement dans les messages de protocole du serveur d'authentification
  • Numéros de port d'authentification, généralement 1812/UDP pour RADIUS.
  • Type de protocole d'authentification. Les types d'authentification incluent PAP (Password Authentication Protocol), CHAP (Challenge Handshake Authentication Protocol), MSCHAP1, MSCHAP2 (Microsoft Challenge Handshake Authentication Protocol, versions 1 et 2).
    Note : Consultez la documentation de votre fournisseur RADIUS pour connaître le protocole d'authentification recommandé par votre fournisseur RADIUS et suivez le type de protocole indiqué. La capacité de l'espace à prendre en charge l'authentification à deux facteurs avec RADIUS est fournie par les instances d'Unified Access Gateway. En outre, Unified Access Gateway prend en charge PAP, CHAP, MSCHAP1 et MSCHAP2. PAP est généralement moins sécurisé que MSCHAP2. PAP est également un protocole plus simple que MSCHAP2. Par conséquent, même si la plupart des fournisseurs RADIUS sont compatibles avec le protocole PAP plus simple, certains fournisseurs RADIUS ne sont pas aussi compatibles avec le protocole MSCHAP2 plus sécurisé.
RSA SecurID
Note : Le type RSA SecurID est pris en charge avec les déploiements Horizon Cloud on Microsoft Azure qui exécutent le manifeste 3139.x ou version ultérieure. L'option de l'interface utilisateur permettant d'indiquer le type RSA SecurID dans les assistants Ajouter un espace et Modifier l'espace s'affichera pour la sélection dans les assistants à partir de la mi-mars 2022.
  • Clé d'accès à partir du serveur RSA SecurID Authentication Manager.
  • Numéro de port de communication RSA SecurID. En général, 5555, tel que défini dans les paramètres système de RSA Authentication Manager pour l'API d'authentification RSA SecurID.
  • Nom d'hôte du serveur RSA SecurID Authentication Manager.
  • Adresse IP de ce serveur RSA SecurID Authentication Manager.
  • Si le serveur RSA SecurID Authentication Manager ou son serveur d'équilibrage de charge dispose d'un certificat auto-signé, vous devrez fournir le certificat d'autorité de certification dans l'assistant Ajouter un espace. Le certificat doit être au format PEM (types de fichiers .cer, .cert ou .pem)

Procédure

  1. Activez l'option Activer l'authentification à deux facteurs.
    Lorsque cette option est activée, l'assistant affiche les champs de configuration supplémentaires. Utilisez la barre de défilement pour accéder à tous les champs.

    La capture d'écran suivante est un exemple des éléments affichés après avoir activé l'option dans la section Instance externe d'UAG.

    Horizon Cloud on Microsoft Azure : champs d'authentification à deux facteurs de l'assistant de déploiement de l'espace dans leur état initial après l'activation de l'option pour activer l'authentification à deux facteurs.
  2. Sélectionnez votre type d'authentification à deux facteurs, RADIUS ou RSA SecurID.
    Actuellement, les types pris en charge disponibles sont RADIUS et RSA SecurID.

    Lorsque vous avez sélectionné le type, le menu Configuration de l'authentification à deux facteurs indique automatiquement que vous ajoutez une configuration de ce type sélectionné. Par exemple, si le type RSA SecurID est sélectionné, le menu Configuration de l'authentification à deux facteurs affiche Nouvelle instance de RSA SecurID.

  3. Dans le champ Nom de la configuration, entrez un nom d'identification pour cette configuration.
  4. Dans la section Propriétés, spécifiez les détails relatifs à l'interaction des utilisateurs finaux avec l'écran de connexion qu'ils utiliseront pour s'authentifier pour l'accès.

    L'assistant affiche des champs en fonction de la configuration prise en charge par un déploiement Horizon Cloud on Microsoft Azure avec ses configurations de passerelle. Les champs varient en fonction du type d'authentification à deux facteurs sélectionné. Reportez-vous au tableau ci-dessous qui correspond au type sélectionné, RADIUS ou RSA SecurID.

    RADIUS

    Lorsque vous remplissez les champs, il est nécessaire d'indiquer des détails sur le serveur d'authentification principal. Si vous disposez d'un serveur d'authentification secondaire, activez l'option Serveur auxiliaire et indiquez également les détails de ce serveur.

    Option Description
    Nom d'affichage Vous pouvez laisser ce champ vide. Même si ce champ est visible dans l'assistant, il définit uniquement un nom interne dans la configuration d'Unified Access Gateway. Ce nom n'est pas utilisé par les instances d’Horizon Client.
    Afficher l'astuce Entrez éventuellement une chaîne de texte qui apparaîtra aux utilisateurs finaux dans le message sur l'écran de connexion du client de l'utilisateur final lorsqu'il demande à l'utilisateur son nom d'utilisateur et code secret RADIUS. L'astuce spécifiée apparaît à l'utilisateur final sous la forme Enter your DisplayHint user name and passcode, où DisplayHint est le texte que vous spécifiez dans ce champ.

    Cette astuce peut aider à guider les utilisateurs pour entrer le code secret RADIUS correct. Par exemple, spécifier une phrase semblable à Exemple de nom d'utilisateur de société et de mot de passe de domaine ci-dessous générerait un message à l'utilisateur final qui indique Enter your Example Company user name and domain password below for user name and passcode.

    Suffixe d'ID de nom Ce paramètre est utilisé dans les scénarios SAML, où votre espace est configuré pour utiliser TrueSSO pour l'authentification unique. Fournissez éventuellement une chaîne qui s'ajoutera au nom d'utilisateur de l'assertion SAML envoyé dans la demande au gestionnaire d'espace. Par exemple, si le nom d'utilisateur entré est user1 sur l'écran de connexion et si le suffixe d'ID de nom @example.com a été spécifié ici, un nom d'utilisateur d'assertion SAML [email protected] est envoyé dans la demande.
    Nombre d'itérations Entrez le nombre maximal de tentatives d'authentification autorisé pour un utilisateur lors de la tentative de connexion à l'aide de ce système RADIUS.
    Conserver le nom d'utilisateur Activez cette option pour conserver le nom d'utilisateur Active Directory de l'utilisateur lors du flux d'authentification qui s'effectue entre le client, l'instance d'Unified Access Gateway et le service RADIUS. Lorsque cette option est activée :
    • L'utilisateur doit disposer des mêmes informations d'identification de nom d'utilisateur pour RADIUS que pour son authentification Active Directory.
    • l'utilisateur ne peut pas modifier le nom d'utilisateur dans l’écran de connexion.

    Si cette option est désactivée, l'utilisateur peut entrer un nom d'utilisateur différent dans l'écran de connexion.

    Note : Pour plus d'informations sur la relation entre l'activation de l'option Conserver le nom d'utilisateur et les paramètres de sécurité de domaine dans Horizon Cloud, reportez-vous à la section Paramètres de sécurité du domaine sur la page Paramètres généraux.
    Nom de l'hôte/Adresse IP Entrez le nom DNS ou l'adresse IP du serveur d'authentification.
    Secret partagé Entrez le code secret pour communiquer avec le serveur d'authentification. La valeur doit être identique à celle qui est configurée sur le serveur.
    Port d'authentification Spécifiez le port UDP configuré sur le serveur d'authentification pour l'envoi ou la réception du trafic d'authentification. Le port par défaut est 1812.
    Port de compte Vous pouvez éventuellement spécifier le port UDP configuré sur le serveur d'authentification pour envoyer ou recevoir le trafic de compte. Le port par défaut est 1813.
    Mécanisme Sélectionnez le protocole d'authentification pris en charge par le serveur d'authentification spécifié et que vous souhaitez que l'espace déployé utilise.
    Délai d'expiration de serveur Spécifiez le nombre de secondes pendant lequel l'espace doit attendre une réponse du serveur d'authentification. Lorsque ce nombre de secondes est écoulé, une nouvelle tentative est envoyée si le serveur ne répond pas.
    Nombre max. de tentatives Spécifiez le nombre maximal de fois que l'espace doit réessayer de renvoyer les demandes ayant échoué au serveur d'authentification.
    Préfixe de domaine Vous pouvez éventuellement fournir une chaîne que le système placera au début du nom d'utilisateur lors de l'envoi du nom au serveur d'authentification. L'emplacement du compte d'utilisateur est appelé domaine.

    Par exemple, si le nom d'utilisateur entré est user1 sur l'écran de connexion et que le préfixe de domaine DOMAIN-A\ a été spécifié ici, le système envoie DOMAIN-A\user1 au serveur d'authentification. Si vous ne spécifiez pas de préfixe de domaine, seul le nom d'utilisateur entré est envoyé.

    Suffixe de domaine Vous pouvez éventuellement fournir une chaîne que le système ajoutera au nom d'utilisateur lors de l'envoi du nom au serveur d'authentification. Par exemple, si le nom d'utilisateur entré est user1 sur l'écran de connexion et que le suffixe de domaine @example.com a été spécifié ici, le système envoie [email protected] au serveur d'authentification.
    RSA SecurID
    Option Description
    Clé d'accès Entrez la clé d'accès de votre système RSA SecurID obtenue dans les paramètres de l'API d'authentification RSA SecurID du système.
    Port du serveur Indiquez la valeur configurée dans les paramètres de l'API d'authentification RSA SecurID de votre système pour le port de communication, généralement 5555 par défaut.
    Nom d'hôte du serveur Entrez le nom DNS du serveur d'authentification.
    Adresse IP du serveur Entrez l'adresse IP du serveur d'authentification.
    Nombre d'itérations Entrez le nombre maximal de tentatives d'authentification infructueuses qu'un utilisateur est autorisé à effectuer avant qu'il ne soit verrouillé pendant une heure. La valeur par défaut est de (5) tentatives.
    Certificat d'autorité de certification Cet élément est requis lorsque votre serveur RSA SecurID Authentication Manager ou son équilibrage de charge utilise un certificat auto-signé. Dans ce cas, copiez le certificat d'autorité de certification et collez-le dans ce champ. Comme décrit ci-dessus sur cette page, les informations sur le certificat doivent être fournies au format PEM.

    Lorsque le serveur dispose d'un certificat signé par une autorité de certification (CA) publique, ce champ est facultatif.
    Délai d'expiration d'authentification Indiquez le nombre de secondes pendant lesquelles la tentative d'authentification doit être disponible entre les instances d'Unified Access Gateway et le serveur d'authentification RSA SecurID avant l'expiration. La valeur par défaut est de 180 secondes.