Horizon View と Horizon Cloud with On-Premises Infrastructure（オンプレミス型）

Unified Access Gateway は Horizon View と Horizon Cloud with On-Premises Infrastructure（オンプレミス型）にデプロイすることができます。VMware Horizon の View コンポーネントでは、Unified Access Gateway アプライアンスは View セキュリティサーバが以前に果たしていた役割と同じ役割を果たします。

導入シナリオ

Unified Access Gateway によって、お客様のデータセンターにあるオンプレミスの仮想デスクトップとアプリケーションに、リモートから安全にアクセスできるようになります。これは、Horizon View や Horizon Cloud のオンプレミスのデプロイ環境で動作し、統合管理されます。

Unified Access Gateway を使用すると、企業は高精度のユーザーのアイデンティティを提供し、資格が付与されたデスクトップやアプリケーションへのアクセスを細密に制御できるようになります。

Unified Access Gateway 仮想アプライアンスは、通常、ネットワークの非武装地帯 (DMZ) にデプロイされます。DMZ にデプロイすると、確実な方法で認証されたユーザーのトラフィックだけを確実に、データセンターのデスクトップおよびアプリケーションリソースに送信できます。また、Unified Access Gateway 仮想アプライアンスは、認証されたユーザーのトラフィックが、ユーザーに資格が付与されたデスクトップやアプリケーションリソースのみに確実に配信されるようにします。この保護レベルでは、アクセスを正確に制御するために、デスクトッププロトコルの独自の調査、頻繁に変更される可能性があるポリシーやネットワークアドレスの調整が実行されます。

Horizon で Unified Access Gateway をシームレスにデプロイするための要件を確認してください。

Unified Access Gateway アプライアンスが Horizon Server の前にあるロードバランサを参照する場合、Horizon Server インスタンスは動的に選択されます。
Unified Access Gateway は、Horizon セキュリティサーバの代わりとなります。
デフォルトで、ポート 8443 が Blast TCP/UDP で利用可能である必要があります。ただし Blast TCP/UDP にはポート 443 も設定することができます。
Horizon と一緒に Unified Access Gateway がデプロイされている場合、Blast Secure Gateway と PCoIP Secure Gateway が有効である必要があります。これにより、表示プロトコルを Unified Access Gateway を介して自動的にプロキシとして確実に動作させることができます。BlastExternalURL および pcoipExternalURL 設定は、Unified Access Gateway にある適切なゲートウェイを介して、これらの表示プロトコルの接続をルーティングするために Horizon Client によって使用される接続アドレスを指定します。これにより、表示プロトコルのトラフィックが、認証されているユーザーの代理として確実に制御されるため、セキュリティが向上します。認証されていない表示プロトコルのトラフィックは、Unified Access Gateway によって無視されます。
View 接続サーバインスタンスのセキュアゲートウェイを無効にし、これらのゲートウェイを Unified Access Gateway アプライアンスで有効にします。

View セキュリティサーバとの主な違いは、Unified Access Gateway が次のようになることです。

安全なデプロイ環境。Unified Access Gateway は、セキュリティが強化され、ロックダウンされた構成済みの Linux ベースの仮想マシンとして実装されます。
優れた拡張性。Unified Access Gateway を個別の View 接続サーバに接続したり、複数の View 接続サーバの前にあるロードバランサを介して View 接続サーバに接続したりして、高可用性を向上することもできます。Horizon Client とバックエンドの View 接続サーバ間のレイヤーとして動作します。迅速なデプロイが可能なため、環境を素早く拡大または縮小し、急速に変化する企業のニーズを満たすことができます。

図 1. ロードバランサを参照する Unified Access Gateway アプライアンス

また、個別のサーバインスタンスを参照する 1 台以上の Unified Access Gateway アプライアンスを関連付けることができます。どちらの方法でも、DMZ 内の 2 つ以上の Unified Access Gateway アプライアンスに接続されたロードバランサを使用します。

図 2. Horizon Server インスタンスを参照する Unified Access Gateway アプライアンス

認証

ユーザー認証は、View セキュリティサーバと似ています。Unified Access Gateway では次のユーザー認証方法がサポートされています。

Active Directory のユーザー名とパスワード
キオスクモード。キオスクモードの詳細については、Horizon のドキュメントを参照してください。
SecurID 向けに RSA によって正式に認定された RSA SecurID の 2 要素認証
さまざまなサードパーティの 2 要素セキュリティベンダーソリューションを利用した RADIUS
スマートカード、CAC、または PIV X.509 ユーザー証明書
SAML

これらの認証方法は、View 接続サーバとともにサポートされます。Unified Access Gateway は、Active Directory と直接やりとりする上で不要です。この通信は、Active Directory に直接アクセスできる View 接続サーバを介するプロキシとして動作します。認証ポリシーに従ってユーザーセッションが認証されると、Unified Access Gateway は資格情報に関する要求とデスクトップやアプリケーションの起動要求を View 接続サーバに転送できるようになります。また、Unified Access Gateway は承認されているプロトコルトラフィックのみを転送できるようにデスクトップやアプリケーションプロトコルハンドラを管理します。

Unified Access Gateway はスマートカード認証自体を扱います。無効になっている X.509 証明書を確認するためなど、Unified Access Gateway が Online Certificate Status Protocol (OCSP) サーバと通信するオプションも含まれます。