Horizon View および Horizon Air Hybrid-Mode 環境に Access Point をデプロイできます。VMware Horizon の View コンポーネントでは、Access Point アプライアンスは View セキュリティ サーバが以前に果たしていた役割と同じ役割を果たします。

導入シナリオ

Access Point によって、お客様のデータセンターにあるオンプレミスの仮想デスクトップとアプリケーションに、リモートから安全にアクセスできるようになります。これは、Horizon View や Horizon Air Hybrid-Mode のオンプレミスのデプロイ環境で動作し、統合管理されます。

Access Point を使用すると、企業は高精度のユーザーのアイデンティティを提供し、資格が付与されたデスクトップやアプリケーションへのアクセスを細密に制御できるようになります。

Access Point 仮想アプライアンスは、通常、ネットワークの非武装地帯 (DMZ) にデプロイされます。DMZ にデプロイすると、確実な方法で認証されたユーザーのトラフィックだけを確実に、データセンターのデスクトップおよびアプリケーション リソースに送信できます。また、Access Point 仮想アプライアンスは、認証されたユーザーのトラフィックが、ユーザーに資格が付与されたデスクトップやアプリケーション リソースのみに確実に配信されるようにします。この保護レベルでは、アクセスを正確に制御するために、デスクトップ プロトコルの独自の調査、頻繁に変更される可能性があるポリシーやネットワーク アドレスの調整が実行されます。

Horizon で Access Point をシームレスにデプロイするための要件を確認してください。

  • Access Point アプライアンスが Horizon Server の前にあるロード バランサを参照する場合、Horizon Server インスタンスは動的に選択されます。
  • Access Point は、Horizon セキュリティ サーバの代わりとなります。
  • ポート 443 が Blast TCP/UDP で利用可能である必要があります。
  • Horizon と一緒に Access Point がデプロイされている場合、Blast Secure Gateway と PCoIP Secure Gateway が有効である必要があります。これにより、表示プロトコルが、Access Point を介して自動的にプロキシとして確実に動作させることができます。BlastExternalURL および pcoipExternalURL 設定は、Access Point にある適切なゲートウェイを介して、これらの表示プロトコルの接続をルーティングするために Horizon Client によって使用される接続アドレスを指定します。これにより、表示プロトコルのトラフィックが、認証されているユーザーの代理として確実に制御されるため、セキュリティが向上します。認証されていない表示プロトコルのトラフィックは、Access Point によって無視されます。
  • View 接続サーバ インスタンスのセキュア ゲートウェイを無効にし、これらのゲートウェイを Access Point アプライアンスで有効にします。

View セキュリティ サーバとの主な違いは、Access Point が次のようになることです。

  • 安全なデプロイ環境。Access Point は、セキュリティが強化され、ロックダウンされた構成済みの Linux ベースの仮想マシンとして実装されます。
  • 優れた拡張性。 Access Point を個別の View 接続サーバに接続したり、複数の View 接続サーバの前にあるロード バランサを介して View 接続サーバに接続したりして、高可用性を向上することもできます。Horizon Client とバック エンドの View 接続サーバ間のレイヤーとして動作します。迅速なデプロイが可能なため、環境を素早く拡大または縮小し、急速に変化する企業のニーズを満たすことができます。
図 1. ロード バランサを参照する Access Point アプライアンス

また、個別のサーバ インスタンスを参照する 1 台以上の Access Point アプライアンスを関連付けることができます。どちらの方法でも、DMZ 内の 2 つ以上の Access Point アプライアンスに接続されたロード バランサを使用します。

図 2. Horizon Server インスタンスを参照する Access Point アプライアンス

認証

ユーザー認証は、View セキュリティ サーバと非常に似ています。Access Point では次のユーザー認証方法がサポートされています。

  • Active Directory のユーザー名とパスワード
  • キオスク モード。キオスク モードの詳細については、Horizon のドキュメントを参照してください。
  • SecurID 向けに RSA によって正式に認定された RSA SecurID の 2 要素認証
  • さまざまなサードパーティ セキュリティベンダーの 2 要素認証ソリューションによる RADIUS
  • スマート カード、CAC、または PIV X.509 ユーザー証明書
  • SAML

これらの認証方法は、View 接続サーバと組み合わせてサポートされます。Access Point は、Active Directory と直接やりとりする上で不要です。この通信は、Active Directory に直接アクセスできる View 接続サーバを介するプロキシとして動作します。認証ポリシーに従ってユーザー セッションが認証されると、Access Point は資格情報に関する要求とデスクトップやアプリケーションの起動要求を View 接続サーバに転送できるようになります。また、Access Point は承認されているプロトコル トラフィックのみを転送できるようにデスクトップやアプリケーション プロトコル ハンドラを管理します。

Access Point は、スマート カード認証に対応しています。無効になっている X.509 証明書を確認するためなど、Access Point が Online Certificate Status Protocol (OCSP) サーバと通信するオプションも含まれます。