Horizon Cloud with On-Premises Infrastructure および Horizon Air クラウド インフラストラクチャを使用して Unified Access Gateway をデプロイできます。Horizon のデプロイでは、Unified Access Gateway アプライアンスが Horizon セキュリティ サーバを置き換えます。
前提条件
Horizon と Web リバース プロキシ インスタンス(Workspace ONE Access など)の両方を同じ Unified Access Gateway インスタンスで構成して有効にする場合は、Edge サービスの詳細設定を参照してください。
手順
- 管理ユーザー インターフェイスの [手動設定] セクションで、[選択] をクリックします。
- で、[表示] をクリックします。
- [Horizon の設定] のギア アイコンをクリックします。
- [Horizon の設定] 画面で、[いいえ] を [はい] に変更して、Horizon を有効にします。
- Horizon の次の Edge サービス設定リソースを構成します。
オプション 説明 [識別子] デフォルトで Horizon に設定されます。Unified Access Gateway は、Horizon Connection Server、Horizon Air、Horizon Cloud with On-Premises Infrastructure などの Horizon XML プロトコルを使用するサーバと通信できます。 [Connection Server URL] Horizon Server またはロード バランサのアドレスを入力します。https://00.00.00.00 のように入力します。 [接続サーバ URL のサムプリント] Horizon Server のサムプリントのリストを入力します。 サムプリントのリストを指定しない場合は、サーバ証明書が信頼された認証局 (CA) によって発行されることを確認します。16 進数のサムプリントを入力します。たとえば、sha1= C3 89 A2 19 DC 7A 48 2B 85 1C 81 EC 5E 8F 6A 3C 33 F2 95 C3 のようになります。
[PCoIP を有効にする] [いいえ] を [はい] に変更して、PCoIP Secure Gateway を有効にするかどうかを指定します。 PCoIP のレガシー証明書を無効にする [いいえ] を [はい] に変更して、レガシー証明書の代わりにアップロードした SSL サーバ証明書を使用するように指定します。このパラメータが [はい] に設定されている場合、レガシーの PCoIP クライアントは機能しません。 [PCoIP 外部 URL] この Unified Access Gateway アプライアンスへの Horizon PCoIP セッションを確立するために Horizon Client によって使用される URL。ホスト名ではなく IPv4 アドレスを含む必要があります。たとえば、10.1.2.3:4172 と入力します。デフォルトは、Unified Access Gateway の IP アドレスとポート 4172 です。
[Blast を有効にする] Blast Secure Gateway を使用するには、[いいえ] を [はい] に変更します。 [ Connection Server の IP アドレス モード] Horizon Connection Server の IP モードを示します。 このフィールドには、
IPv4、IPv6、およびIPv4+IPv6の値を指定できます。デフォルトは、
IPv4です。- Unified Access Gateway アプライアンスのすべての NIC が IPv4 モード(IPv6 モードなし)の場合、このフィールドには、
IPv4またはIPv4+IPv6(混合モード) のいずれかの値を指定できます。 - Unified Access Gateway アプライアンスのすべての NIC が IPv6 モード (IPv4 モードなし) の場合、このフィールドには、
IPv6またはIPv4+IPv6(混合モード) のいずれかの値を指定できます。
送信元ヘッダーの再書き込み Unified Access Gateway への受信要求に Origin ヘッダーが設定されていて、[送信元ヘッダーの再書き込み] フィールドが有効になっている場合、Unified Access Gateway は Origin ヘッダーを [接続サーバ URL] で書き換えます。 [送信元ヘッダーの再書き込み] フィールドは、Horizon Connection Server の checkOrigin CORS プロパティとともに機能します。このフィールドを有効にすると、Horizon 管理者は、locked.properties ファイルで Unified Access Gateway IP アドレスを指定する必要を回避できます。
送信元の確認の詳細については、『Horizon 7 のセキュリティ』のドキュメントを参照してください。
- Unified Access Gateway アプライアンスのすべての NIC が IPv4 モード(IPv6 モードなし)の場合、このフィールドには、
- 認証方法のルールや他の詳細設定を行うには、[詳細表示] をクリックします。
オプション 説明 [認証方法] デフォルトでは、ユーザー名とパスワードのパススルー認証が使用されます。 サポートされている認証方法は、
SAML、SAML and Unauthenticated、RSA SecurID、SecurID and Unauthenticated、RADIUS、RADIUS and Unauthenticated、およびDevice Certificateです。重要: 認証方法としてUnauthenticatedのいずれかの方法を選択した場合は、 Horizon Connection Server の [ログイン遅延レベル] をLowに構成します。この構成は、リモート デスクトップまたはアプリケーションへのアクセス中にエンドポイントのログインで長い遅延時間が発生するのを回避するために必要です。[ログイン遅延レベル] を構成する方法の詳細については、VMware Docs の『Horizon 管理』ドキュメントを参照してください。
Windows SSO を有効にする これは、認証方法が RADIUS に設定されていて、RADIUS パスコードが Windows ドメインのパスワードと同じである場合に有効にできます。[いいえ] を [はい] に変更して、Windows ドメインのログイン認証情報のために RADIUS ユーザー名とパスコードを使用するようにして、ユーザーに対して再度プロンプトを表示する必要がないようにします。 マルチ ドメイン環境で Horizon が設定されている場合、指定されたユーザー名にドメイン名が含まれていないと、ドメインが CS に送信されません。
NameID サフィックスが構成されていて、指定されたユーザー名にドメイン名が含まれていない場合は、ユーザー名に NameID サフィックスの構成値が追加されます。たとえば、ユーザーが jdoe をユーザー名として指定し、NameIDSuffix を @north.int に設定した場合、送信されたユーザー名は [email protected] となります。
NameID サフィックスが構成されていて、指定されたユーザー名が UPN 形式の場合、NameID サフィックスは無視されます。たとえば、ユーザーが [email protected]、NameIDSuffix - @south.int を指定した場合、ユーザー名は [email protected] になります。
指定されたユーザー名が <DomainName\username> の形式(例:NORTH\jdoe)の場合、Unified Access Gateway は、ユーザー名とドメイン名を Connection Server に個別に送信します。
RADIUS クラス属性 これは、認証方法が RADIUS に設定されている場合に有効になります。[+] をクリックして、クラス属性の値を追加します。ユーザー認証に使用するクラス属性の名前を入力します。[-] をクリックして、クラス属性を削除します。 注: このフィールドを空白のままにすると、追加の認証は実行されません。免責条項テキスト [認証方法] が構成されている場合に、ユーザーに対して表示され、ユーザーによって承諾される、Horizon 免責事項のメッセージ。
スマート カード ヒント プロンプト [いいえ] を [はい] に変更すると、証明書認証のパスワード ヒントが有効になります。 [健全性チェック URI パス] 健全性ステータスの監視のために、Unified Access Gateway が接続する接続サーバの URI パス。 [Blast 外部 URL] この Unified Access Gateway アプライアンスへの Horizon Blast または BEAT セッションを確立するために Horizon クライアントによって使用される URL。たとえば、https://uag1.myco.com または https://uag1.myco.com:443 になります。 TCP ポート番号が指定されていない場合、デフォルトの TCP ポートは 8443 です。UDP ポート番号が指定されていない場合、デフォルトの UDP ポートは 8443 です。
[UDP サーバを有効にする] 低帯域幅がある場合は、UDP トンネル サーバ経由で接続が確立されます。 [Blast プロキシ証明書] Blast のプロキシ証明書。PEM 形式の証明書をアップロードし、BLAST トラスト ストアに追加するには [選択] をクリックします。[変更] をクリックして既存の証明書を置き換えます。
ユーザーがロード バランサに Unified Access Gateway の同じ証明書を手動でアップロードし、Unified Access Gateway と Blast Gateway に対して異なる証明書を使用する必要がある場合、クライアントと Unified Access Gateway 間のサムプリントが一致しないので Blast デスクトップ セッションの確立に失敗します。Unified Access Gateway または Blast Gateway へのカスタム サムプリント入力では、サムプリントをリレーしてクライアント セッションを確立することによってこれを解決します。
[トンネルを有効にする] Horizon セキュア トンネルが使用されている場合、[いいえ] を [はい] に変更します。クライアントは、Horizon Secure Gateway を介してトンネル接続のための外部 URL を使用します。このトンネルは、RDP、USB、およびマルチメディア リダイレクト (MMR) トラフィック用に使用されます。 [トンネル外部 URL] この Unified Access Gateway アプライアンスへの Horizon Tunnel セッションを確立するために Horizon Client によって使用される URL。たとえば、https://uag1.myco.com または https://uag1.myco.com:443 になります。 TCP ポート番号が指定されていない場合、デフォルトの TCP ポートは 443 です。
[トンネル プロキシ証明書] Horizon Tunnel のプロキシ証明書。PEM 形式の証明書をアップロードし、トンネル トラスト ストアに追加するには [選択] をクリックします。[変更] をクリックして既存の証明書を置き換えます。
ユーザーがロード バランサに Unified Access Gateway の同じ証明書を手動でアップロードし、Unified Access Gateway と Horizon Tunnel に対して異なる証明書を使用する必要がある場合、クライアントと Unified Access Gateway 間のサムプリントが一致しないのでトンネル セッションの確立に失敗します。Unified Access Gateway または Horizon Tunnel へのカスタム サムプリント入力では、サムプリントをリレーしてクライアント セッションを確立することによってこれを解決します。
[エンドポイント コンプライアンス チェックのプロバイダ] エンドポイント コンプライアンス チェックのプロバイダを選択します。 デフォルトは、OPSWAT です。
[プロキシ パターン] Horizon Server URL (proxyDestinationUrl) に関連する URI と一致する正規表現を入力します。デフォルト値は(/|/view-client(.*)|/portal(.*)|/appblast(.*))です。注: このパターンを使用して、特定の URL を除外することもできます。たとえば、すべての URL を許可し、/admin のみをブロックする場合、次の式を使用できます。^/(?!admin(.*))(.*)[SAML SP] Horizon XML API ブローカの SAML サービス プロバイダの名前を入力します。この名前は、構成されているサービス プロバイダのメタデータの名前と一致するか、DEMO という特別な値でなければなりません。 [証明書の削除時にログアウト] 注: このオプションは、スマートカード認証方法のいずれかが [認証方法] として選択されている場合に使用できます。このオプションが
YESに設定されていて、スマート カードが削除されると、エンドユーザーは Unified Access Gateway セッションから強制的にログアウトされます。[RADIUS のユーザー名ラベル] Horizon Client でユーザー名ラベルに別の名前を入力します。例: Domain UsernameRADIUS 認証方法を有効にする必要があります。RADIUS を有効にするには、RADIUS 認証の構成を参照してください。
デフォルトのラベル名は
Usernameです。ラベル名の最大長は 20 文字です。
RADIUS のパスコード ラベル Horizon Client でパスコード ラベルに別の名前を入力します。例: PasswordRADIUS 認証方法を有効にする必要があります。RADIUS を有効にするには、RADIUS 認証の構成を参照してください。
デフォルトのラベル名は
Passcodeです。ラベル名の最大長は 20 文字です。
[Windows ユーザー名と一致] [いいえ] を [はい] に変更すると、RSA SecurID と Windows ユーザー名が一致されます。[はい] に設定すると、securID-auth が true に設定され、securID と Windows ユーザー名の一致が強制されます。 マルチ ドメイン環境で Horizon が設定されている場合、指定されたユーザー名にドメイン名が含まれていないと、ドメインが CS に送信されません。
NameID サフィックスが構成されていて、指定されたユーザー名にドメイン名が含まれていない場合は、ユーザー名に NameID サフィックスの構成値が追加されます。たとえば、ユーザーが jdoe をユーザー名として指定し、NameIDSuffix を @north.int に設定した場合、送信されたユーザー名は [email protected] となります。
NameID サフィックスが構成されていて、指定されたユーザー名が UPN 形式の場合、NameID サフィックスは無視されます。たとえば、ユーザーが [email protected]、NameIDSuffix - @south.int を指定した場合、ユーザー名は [email protected] になります。
指定されたユーザー名が <DomainName\username> の形式(例:NORTH\jdoe)の場合、Unified Access Gateway は、ユーザー名とドメイン名を Connection Server に個別に送信します。
注: Horizon 7 では、 [クライアントのユーザー インターフェイスでサーバ情報を非表示] および [クライアントのユーザー インターフェイスでドメイン リストを非表示] 設定を有効にしており、Connection Server インスタンスで 2 要素認証(RSA SecureID または RADIUS)を選択している場合、Windows ユーザー名の一致を強制しないでください。Windows ユーザー名の一致を強制すると、ユーザーは、ユーザー名のテキスト ボックスにドメイン情報を入力できなくなり、ログインが常に失敗します。詳細については、『Horizon 7 の管理』ガイドの 2 要素認証についてのトピックを参照してください。[ゲートウェイの場所] 接続要求の発生場所。セキュリティ サーバと Unified Access Gateway が、ゲートウェイの場所を設定します。場所は、 ExternalまたはInternalのいずれかです。重要:SAML and Unauthenticated、SecurID and Unauthenticated、またはRADIUS and Unauthenticatedのいずれかの認証方法が選択されている場合は、場所をInternalに設定する必要があります。[JWT 設定] 注: Workspace ONE Access JWT SAML アーティファクト検証のために、 [詳細設定] の [JWT 設定] セクションで [名前] フィールドが設定されていることを確認します。設定されたいずれかの [JWT 設定] の名前を選択します。[JWT 対象者] Workspace ONE Access Horizon SAML アーティファクト検証に使用される JWT の目的の受信者のリスト(オプション)。 JWT 検証が成功するには、このリスト内の少なくとも 1 人の受信者が Workspace ONE Access Horizon 構成で指定された対象者のいずれかと一致している必要があります。JWT 対象者が指定されていない場合、JWT 検証は対象者を考慮しません。
[信頼される証明書] この Edge サービスに信頼されている証明書を追加します。PEM 形式の証明書を選択し、トラスト ストアに追加するには「+」記号をクリックします。トラスト ストアから証明書を削除するには「-」記号をクリックします。デフォルトでは、エイリアス名は PEM 証明書のファイル名です。別の名前を入力するには、エイリアスのテキスト ボックスを編集します。 [応答セキュリティ ヘッダー] ヘッダーを追加するには「+」記号をクリックします。セキュリティ ヘッダーの名前を入力します。値を入力します。ヘッダーを削除するには「-」記号をクリックします。既存のセキュリティ ヘッダーを編集して、ヘッダーの名前と値を更新します。 重要: ヘッダー名と値は、 [保存] をクリックした後にのみ保存されます。 []デフォルトでは、いくつかの標準セキュリティ ヘッダーが存在します。構成されたヘッダーは、対応するヘッダーが構成されたバックエンド サーバからの応答に存在しない場合にのみ、クライアントへの Unified Access Gateway 応答に追加されます。注: セキュリティ応答ヘッダーは慎重に変更してください。これらのパラメータを変更すると、 Unified Access Gateway の安全な機能が影響を受ける可能性があります。ホスト リダイレクト マッピング UAG が HTTP ホスト リダイレクト機能をサポートする方法と、この機能を使用するために必要な特定の考慮事項については、HTTP ホスト リダイレクトの Unified Access Gateway のサポートを参照してください。
- [ソース ホスト]
ソース(ロード バランサ)のホスト名を入力します。
- [リダイレクト ホスト]
Horizon Client とのアフィニティを維持する必要がある UAG (Unified Access Gateway) アプリケーションのホスト名を入力します。
[ホスト エントリ] /Etc/hosts ファイルに追加する詳細情報を入力します。各エントリには、IP アドレス、ホスト名、オプションのホスト名エイリアスが順にスペース区切りで含まれています。たとえば、10.192.168.1 example1.com, 10.192.168.2 example2.com example-alias のようになります。複数のホスト エントリを追加するには「+」記号をクリックします。 重要: ホスト エントリは、 [保存] をクリックした後にのみ保存されます。SAML 対象者 「SAML」または「SAML およびパススルー」認証方法のいずれかが選択されていることを確認します。
対象者 URL を入力します。注: テキストボックスを空のままにすると、対象者は制限されません。UAG が SAML 対象者をサポートする方法については、SAML 対象者 を参照してください。
SAML 非認証ユーザー名属性 カスタム属性名を入力します。 注: このフィールドは、 [認証方法] の値がUAG が SAML アサーションを検証するときに、このフィールドで指定された属性名がアサーションに存在する場合、UAG は ID プロバイダの属性に構成されたユーザー名への非認証アクセスを提供します。SAML and Unauthenticatedの場合にのみ使用できます。SAML and Unauthenticated方法の詳細については、Unified Access Gateway およびサードパーティの ID プロバイダ統合の認証方法を参照してください。デフォルトの非認証ユーザー名 非認証アクセスに使用する必要があるデフォルトのユーザー名を入力します このフィールドは、
SAML and Unauthenticated、SecurID and Unauthenticated、およびRADIUS and Unauthenticatedのいずれかの [認証方法] が選択されている場合に、管理ユーザー インターフェイスで使用できます。注:SAML and Unauthenticated認証方法では、 [SAML 非認証ユーザー名属性] フィールドが空の場合、またはこのフィールドに指定された属性名が SAML アサーションに含まれていない場合にのみ、非認証アクセスのデフォルトのユーザー名が使用されます。[HTML Access を無効にする] [はい] に設定すると、Horizon への Web アクセスが無効にされます。詳細については、Horizon のエンドポイント コンプライアンス チェックのプロバイダ設定の構成を参照してください。 - [ソース ホスト]
- [保存] をクリックします。
