Les points de terminaison clients communiquent avec un hôte du Serveur de connexion sur des connexions sécurisées.
La connexion cliente initiale, utilisée pour l'authentification utilisateur et la sélection d'applications et de postes de travail distants, est créée sur HTTPS lorsqu'un utilisateur fournit un nom de domaine à Horizon Client. Si les logiciels de pare-feu et d'équilibrage de charge ont été configurés correctement dans votre environnement réseau, cette demande atteint l'hôte du Serveur de connexion. Avec cette connexion, les utilisateurs sont authentifiés et un poste de travail est sélectionné, mais les utilisateurs ne se sont pas encore connectés à l'application ou au poste de travail distant.
Lorsque des utilisateurs se connectent à des applications et des postes de travail distants, le client établit par défaut une deuxième connexion à l'hôte du Serveur de connexion. Cette connexion est appelée connexion par tunnel, car elle fournit un tunnel sécurisé pour le transport des données RDP et d'autres données sur HTTPS.
Lorsque des utilisateurs se connectent à des applications et des postes de travail distants avec le protocole d'affichage PCoIP, le client peut établir une autre connexion à PCoIP Secure Gateway sur l'hôte du Serveur de connexion. PCoIP Secure Gateway garantit que seuls les utilisateurs authentifiés peuvent communiquer avec des applications et des postes de travail distants sur PCoIP.
Vous pouvez également fournir des connexions sécurisées aux utilisateurs qui se connectent à des applications et des postes de travail distants avec le protocole d'affichage VMware Blast et aux utilisateurs externes qui utilisent HTML Access pour se connecter à des postes de travail distants. Blast Secure Gateway vérifie que seuls des utilisateurs authentifiés peuvent communiquer avec des postes de travail distants.
Selon le type de périphérique client utilisé, des canaux supplémentaires sont établis pour effectuer d'autres trafics comme la redirection USB des données vers le périphérique client. Ces canaux de données acheminent le trafic par le tunnel sécurisé s'il est activé.
Lorsque le tunnel sécurisé et les passerelles sécurisées sont désactivés, les sessions de postes de travail et d'applications sont établies directement entre le périphérique client et la machine distante, en contournant l'hôte du Serveur de connexion. Ce type de connexion est appelé connexion directe.
Les sessions de postes de travail et d'applications qui utilisent des connexions directes restent connectées même si le Serveur de connexion n'est plus en cours d'exécution.
En général, pour fournir des connexions sécurisées à des clients externes qui se connectent à un hôte du Serveur de connexion sur un réseau WAN, vous activez le tunnel sécurisé, PCoIP Secure Gateway et Blast Secure Gateway. Vous pouvez désactiver le tunnel sécurisé et les passerelles sécurisées pour permettre aux clients internes connectés via un réseau local d'établir des connexions directes à des applications et des postes de travail distants.
Si vous activez uniquement le tunnel sécurisé ou uniquement une passerelle sécurisée, une session peut utiliser une connexion directe pour certains trafics, mais envoyer d'autres trafics par le biais de l'hôte du Serveur de connexion, selon le type de client utilisé.
TLS est requis pour toutes les connexions clientes aux hôtes du Serveur de connexion.