デフォルトで Horizon に設定されます。Unified Access Gateway は、Horizon Connection Server などの Horizon XML プロトコルを使用するサーバと通信できます。

Horizon Server のアドレスを入力します。例：https://00.00.00.00。

高可用性を維持するには、少なくとも 2 つの Unified Access Gateway を使用し、Connection Server URL のターゲットとして異なる Connection Server を指定します。Unified Access Gateway は、ターゲットの Connection Server が応答していないかどうかを検出し、新しい接続を処理できなくなったことを外部ロード バランサに通知します。

詳細については、VMware Tech Zone の『Connection Server のロード バランシング』を参照してください。

Horizon Server のサムプリントのリストを 16 進数形式で入力します。

例：sha1=C3 89 A2 19 DC 7A 48 2B 85 1C 81 EC 5E 8F 6A 3C 33 F2 95 C3, sha256=ad:5c:f1:48:47:94:7e:80:82:73:13:6c:83:52:b:e:78:ed:ff:50:23:56:a8:42:8a:d9:30:fc:3a:33:d6:c6:db, sha512=2221B24DC78018A8FAFF81B7AD348722390793DE8C0E5E5AA1D622BCC951D4DA5DBB1C76C79A258A7AFBD1727447151C90E1733E7E83A7D1D46ADF1A31C78496。

証明書のサムプリントは、Unified Access Gateway と Horizon Connection Server 間の通信で返されるサーバ証明書の証明書検証のために構成できます。

このオプションは、PowerShell のデプロイ時に、ini ファイルの [Horizon] セクションに proxyDestinationUrlThumbprints パラメータを追加することで構成できます。Unified Access Gateway をデプロイするための PowerShell スクリプトの実行を参照してください。

Horizon ブローカが HTTP リダイレクト 307 応答コードを送信し、[Connection Server リダイレクトの優先] トグルがオンになっている場合、Unified Access Gateway はセッションの現在および将来の要求に対する 307 応答の「location」ヘッダーで指定された URL と通信します。

Connection Server で [ホスト リダイレクトを有効にする] チェック ボックスがオンになっている場合は、Unified Access Gateway で [Connection Server リダイレクトの優先] トグルをオンにしてください。詳細については、VMware Docs の『Horizon のインストールおよびアップグレード』ガイドの「ホスト リダイレクトを有効にする」を参照してください。

PCoIP Secure Gateway を有効にするかどうかを指定するには、このトグルをオンにします。

レガシー証明書の代わりにアップロードした SSL サーバ証明書を使用するには、このトグルをオンにします。このトグルがオンの場合、レガシーの PCoIP クライアントは機能しません。

この Unified Access Gateway アプライアンスへの Horizon PCoIP セッションを確立するために Horizon Client によって使用される URL。ホスト名ではなく IPv4 アドレスを含む必要があります。たとえば、10.1.2.3:4172 と入力します。デフォルトは、Unified Access Gateway の IP アドレスとポート 4172 です。

Blast Secure Gateway を使用するには、このトグルをオンにします。

この Unified Access Gateway アプライアンスへの Horizon Blast または BEAT セッションを確立するために Horizon クライアントによって使用される URL。たとえば、https://uag1.myco.com または https://uag1.myco.com:443 になります。

TCP ポート番号が指定されていない場合、デフォルトの TCP ポートは 8443 です。UDP ポート番号が指定されていない場合、デフォルトの UDP ポートは 8443 です。

Blast リバース接続を有効にするには、このトグルをオンにします。

Horizon Connection Server の IP モードを示します。

このフィールドには、IPv4、IPv6、および IPv4+IPv6 の値を指定できます。

デフォルトは、IPv4 です。

• Unified Access Gateway アプライアンスのすべての NIC が IPv4 モード（IPv6 モードなし）の場合、このフィールドには、IPv4 または IPv4+IPv6 (混合モード) のいずれかの値を指定できます。

• Unified Access Gateway アプライアンスのすべての NIC が IPv6 モード (IPv4 モードなし) の場合、このフィールドには、IPv6 または IPv4+IPv6 (混合モード) のいずれかの値を指定できます。

Horizon Client、Unified Access Gateway、および Horizon Connection Server の間における通信の暗号化モードを示します。

このオプションの値は DISABLED、ALLOWED、REQUIRED です。デフォルト値は ALLOWED です。

• DISABLED：Client Encryption Mode オプションが無効になっています。

  無効にすると、既存の動作が続行されます。2111 より前のバージョンの Unified Access Gateway では、暗号化されていない通信は Horizon Client、Unified Access Gateway、Horizon Connection Server の間で許可されます。

• ALLOWED：Horizon Client 2111 以降では、Unified Access Gateway は Horizon Client および Horizon Connection Server との暗号化通信のみを許可します。

  以前のバージョンの Horizon Client では、暗号化されていない通信が許可されます。この動作は、機能が無効になっている場合の動作と似ています。

• REQUIRED：3 つのコンポーネント間での暗号化通信のみが許可されます。

  注： この暗号化モードで以前のバージョンの Horizon Client が使用されている場合、暗号化されていない通信は失敗し、エンド ユーザーは Horizon デスクトップおよびアプリケーションを起動できません。

Unified Access Gateway への受信要求に Origin ヘッダーが設定されていて、[送信元ヘッダーの再書き込み] トグルがオンになっている場合、Unified Access Gateway は Origin ヘッダーを [接続サーバ URL] で書き換えます。

[送信元ヘッダーの再書き込み] トグルは、Horizon Connection Server の checkOrigin CORS プロパティとともに機能します。このフィールドを有効にすると、Horizon 管理者は、locked.properties ファイルで Unified Access Gateway IP アドレスを指定する必要を回避できます。

送信元の確認の詳細については、『Horizon のセキュリティ』のドキュメントを参照してください。

デフォルトでは、ユーザー名とパスワードのパススルー認証が使用されます。

サポートされている認証方法は、Passthrough、SAML、SAML and Passthrough、SAML and Unauthenticated、SecurID、SecurID and Unauthenticated、X.509 Certificate、X.509 Certificate and Passthrough、Device X.509 Certificate and Passthrough、RADIUS、RADIUS and Unauthenticated、および X.509 Certificate or RADIUS です。

このトグルは、[認証方法] が RADIUS に設定されていて、RADIUS パスコードが Windows ドメインのパスワードと同じである場合に使用できます。

このトグルをオンにして、Windows ドメインのログイン認証情報のために RADIUS ユーザー名とパスコードを使用するようにして、ユーザーに対して再度プロンプトを表示する必要がないようにします。

Horizon がマルチ ドメイン環境でセットアップされている場合、指定されたユーザー名にドメイン名が含まれていない場合、ドメインは CS に送信されません。

NameID サフィックスが構成されていて、指定されたユーザー名にドメイン名が含まれていない場合は、configure NameID サフィックス値がユーザー名に追加されます。たとえば、ユーザーが jdoe をユーザー名として指定し、NameIDSuffix を @north.int に設定した場合、送信されたユーザー名は [email protected] です。

NameID サフィックスが構成されていて、指定されたユーザー名が UPN 形式の場合、NameID サフィックスは無視されます。たとえば、ユーザーが [email protected]、NameIDSuffix - @south.int を指定した場合、ユーザー名は [email protected] です。

指定されたユーザー名が <DomainName\username> の形式（例：NORTH\jdoe）の場合、Unified Access Gateway は、ユーザー名とドメイン名を接続サーバに個別に送信します。

このフィールドは、認証方法が RADIUS に設定されている場合に有効になります。[+] をクリックして、クラス属性の値を追加します。ユーザー認証に使用するクラス属性の名前を入力します。[-] をクリックして、クラス属性を削除します。

[認証方法] が構成されている場合に、ユーザーに対して表示され、ユーザーによって承諾される、Horizon 免責事項のメッセージ。

このトグルをオンにすると、証明書認証のパスワード ヒントが有効になります。

健全性ステータスの監視のために、Unified Access Gateway が接続する接続サーバの URI パス。

低品質のネットワークがある場合は、UDP トンネル サーバ経由で接続が確立されます。

Horizon Client が UDP を介して要求を送信すると、Unified Access Gateway はこれらの要求の送信元 IP アドレスを 127.0.0.1 として受信します。Unified Access Gateway は、同じ送信元 IP アドレスを Horizon Connection Server に送信します。

接続サーバが、要求の実際の送信元 IP アドレスを確実に受信するようにするには、Unified Access Gateway 管理ユーザー インターフェイスでこのオプション（[UDP サーバを有効にする]）を無効にする必要があります。

Blast のプロキシ証明書。PEM 形式の証明書をアップロードし、BLAST トラスト ストアに追加するには [選択] をクリックします。[変更] をクリックして既存の証明書を置き換えます。

ユーザーがロード バランサに Unified Access Gateway の同じ証明書を手動でアップロードし、Unified Access Gateway と Blast Gateway に対して異なる証明書を使用する必要がある場合、クライアントと Unified Access Gateway 間のサムプリントが一致しないので Blast デスクトップ セッションの確立に失敗します。Unified Access Gateway または Blast Gateway へのカスタム サムプリント入力では、サムプリントをリレーしてクライアント セッションを確立することによってこれを解決します。

IP アドレスまたはホスト名を入力します。

Host ヘッダー値を指定すると、BSG (Blast Secure Gateway) は、指定された Host ヘッダー値を含む要求のみを許可します。

host[:port] 形式でのカンマ区切り値のリストを指定できます。この値には、IP アドレス、ホスト名、または FQDN 名を使用できます。

Blast Secure Gateway への受信 Blast TCP ポート 8443 接続要求の Host ヘッダーは、フィールドで指定された値のいずれかと一致する必要があります。

Host ヘッダーにホスト名または IP アドレスが含まれない要求を許可するには、_empty_ を使用します。

値が指定されていない場合、Horizon Client によって送信されたすべての Host ヘッダーが受け入れられます。

Horizon セキュア トンネルが使用されている場合は、このトグルをオンにします。クライアントは、Horizon Secure Gateway を介してトンネル接続のための外部 URL を使用します。このトンネルは、RDP、USB、およびマルチメディア リダイレクト (MMR) トラフィック用に使用されます。

この Unified Access Gateway アプライアンスへの Horizon Tunnel セッションを確立するために Horizon Client によって使用される URL。たとえば、https://uag1.myco.com または https://uag1.myco.com:443 になります。

TCP ポート番号が指定されていない場合、デフォルトの TCP ポートは 443 です。

Horizon Tunnel のプロキシ証明書。PEM 形式の証明書をアップロードし、トンネル トラスト ストアに追加するには [選択] をクリックします。[変更] をクリックして既存の証明書を置き換えます。

ユーザーがロード バランサに Unified Access Gateway の同じ証明書を手動でアップロードし、Unified Access Gateway と Horizon Tunnel に対して異なる証明書を使用する必要がある場合、クライアントと Unified Access Gateway 間のサムプリントが一致しないのでトンネル セッションの確立に失敗します。Unified Access Gateway または Horizon Tunnel へのカスタム サムプリント入力では、サムプリントをリレーしてクライアント セッションを確立することによってこれを解決します。

エンドポイント コンプライアンス チェックのプロバイダを選択します。

デフォルトは、None です。

ユーザー認証時にエンドポイント コンプライアンス チェックを無効または有効にするオプション。

ユーザーがデスクトップまたはアプリケーション セッションを開始すると、常にコンプライアンスがチェックされます。このオプションを有効にすると、ユーザーが正常に認証された後もコンプライアンスがチェックされます。このオプションが有効で、認証時にコンプライアンス チェックが失敗した場合、ユーザー セッションは続行されません。

このオプションを無効にすると、Unified Access Gateway は、ユーザーがデスクトップまたはアプリケーション セッションを開始するときにのみコンプライアンスをチェックします。

このオプションは、エンドポイント コンプライアンス チェック プロバイダが選択されている場合にのみ使用できます。デフォルトでは、このオプションは有効になっています。

このオプションは、.ini ファイルの [Horizon] セクションにもパラメータとして表示され、PowerShell を使用してデプロイ中に構成できます。パラメータ名については、Unified Access Gateway をデプロイするための PowerShell スクリプトの実行を参照してください。

Horizon Server URL (proxyDestinationUrl) に関連する URL と一致する正規表現を入力します。デフォルト値は (/|/view-client(.*)|/portal(.*)|/appblast(.*)) です。

Horizon XML API ブローカの SAML サービス プロバイダの名前を入力します。この名前は、構成されているサービス プロバイダのメタデータの名前と一致するか、DEMO という特別な値でなければなりません。

Horizon 正規一致を有効にするには、このトグルをオンにします。Unified Access Gateway は、C RealPath() と同等の処理を実行して URL を正規化します。すなわち、%2E などの文字シーケンスを変換し、.. シーケンスを削除して絶対パスを作成します。次に、プロキシ パターン チェックが絶対パスに適用されます。

デフォルトでは、このトグルは Horizon Edge サービスに対してオンになっています。

このトグルがオンで、スマート カードが削除されると、エンド ユーザーは Unified Access Gateway セッションから強制的にログアウトされます。

Horizon Client でユーザー名ラベルをカスタマイズするテキストを入力します。例：Domain Username

RADIUS 認証方法を有効にする必要があります。RADIUS を有効にするには、RADIUS 認証の構成を参照してください。

デフォルトのラベル名は Username です。

ラベル名の最大長は 20 文字です。

名前を入力して、Horizon Client のパスコード ラベルをカスタマイズします。例：Password

RADIUS 認証方法を有効にする必要があります。RADIUS を有効にするには、RADIUS 認証の構成を参照してください。

デフォルトのラベル名は Passcode です。

ラベル名の最大長は 20 文字です。

このトグルをオンにすると、RSA SecurID と Windows ユーザー名が一致されます。オンにすると、securID-auth が true に設定され、securID と Windows ユーザー名の一致が強制されます。

マルチ ドメイン環境で Horizon が設定されている場合、指定されたユーザー名にドメイン名が含まれていないと、ドメインが CS に送信されません。

NameID サフィックスが構成されていて、指定されたユーザー名にドメイン名が含まれていない場合は、ユーザー名に NameID サフィックスの構成値が追加されます。たとえば、ユーザーが jdoe をユーザー名として指定し、NameIDSuffix を @north.int に設定した場合、送信されたユーザー名は [email protected] となります。

NameID サフィックスが構成されていて、指定されたユーザー名が UPN 形式の場合、NameID サフィックスは無視されます。たとえば、ユーザーが [email protected]、NameIDSuffix - @south.int を指定した場合、ユーザー名は [email protected] になります。

指定されたユーザー名が <DomainName\username> の形式（例：NORTH\jdoe）の場合、Unified Access Gateway は、ユーザー名とドメイン名を接続サーバに個別に送信します。

接続要求の発生場所。セキュリティ サーバと Unified Access Gateway が、ゲートウェイの場所を設定します。場所は、External または Internal のいずれかです。

このトグルをオフにすると、Connection Server で構成されたログイン前メッセージがユーザーに表示されません。

ドロップダウン メニューから構成済みの JWT 発行者を選択します。

Workspace ONE Access Horizon SAML アーティファクト検証に使用される JWT の目的の受信者のリスト（オプション）。

JWT 検証が成功するには、このリスト内の少なくとも 1 人の受信者が Workspace ONE Access Horizon 構成で指定された対象者のいずれかと一致している必要があります。JWT 対象者が指定されていない場合、JWT 検証は対象者を考慮しません。

構成されたいずれかの JWT 設定 の JWT コンシューマ名を選択します。

• PEM 形式の証明書を選択してトラスト ストアに追加するには、[+] をクリックします。

• 別の名前を指定するには、エイリアス テキスト ボックスを編集します。

  デフォルトでは、エイリアス名は PEM 証明書のファイル名です。

• トラスト ストアから証明書を削除するには、[-] をクリックします。

ヘッダーを追加するには、[+] をクリックします。セキュリティ ヘッダーの名前を入力します。値を入力します。

ヘッダーを削除するには、[-] をクリックします。既存のセキュリティ ヘッダーを編集して、ヘッダーの名前と値を更新します。

このドロップダウン ボックスには、Unified Access Gateway で構成されているカスタム実行ファイルが一覧表示されます。

カスタム実行ファイルは、詳細設定の一部として構成されます。実行ファイルは、複数の OS タイプに対して構成できます。Horizon 設定に実行ファイルが追加されると、実行ファイルのすべての OS タイプも含まれます。実行ファイルは、ユーザー認証が成功した後に Horizon Client がエンドポイント デバイスでダウンロードして実行するために使用できます。

カスタム実行ファイルの構成については、Unified Access Gateway でのクライアント カスタム実行ファイルの構成を参照してください。

Unified Access Gateway が HTTP ホスト リダイレクト機能をサポートする方法と、この機能を使用するために必要な特定の考慮事項については、HTTP ホスト リダイレクトの Unified Access Gateway のサポートを参照してください。

• [ソース Host:Port]

  ソース（ホスト ヘッダーの値）のホスト名を入力します。

• [リダイレクト Host:Port]

  Horizon Client とのアフィニティを維持する必要がある個々の Unified Access Gateway アプライアンスのホスト名を入力します。

/Etc/hosts ファイルに追加する詳細情報を入力します。各エントリには、IP アドレス、ホスト名、オプションのホスト名エイリアスが順にスペース区切りで含まれている必要があります。たとえば、10.192.168.1 example1.com, 10.192.168.2 example2.com example-alias のようになります。複数のホスト エントリを追加するには「+」記号をクリックします。

「SAML」または「SAML およびパススルー」認証方法のいずれかが選択されていることを確認します。

対象者 URL を入力します。

Unified Access Gateway が SAML 対象者をサポートする方法については、SAML 対象者を参照してください。

カスタム属性名を入力します。

Unified Access Gateway が SAML アサーションを検証するときに、このフィールドで指定された属性名がアサーションに存在する場合、Unified Access Gateway は ID プロバイダの属性に構成されたユーザー名への非認証アクセスを提供します。

SAML and Unauthenticated 方法の詳細については、Unified Access Gateway およびサードパーティの ID プロバイダ統合の認証方法を参照してください。

非認証アクセスに使用するデフォルトのユーザー名を入力します

このフィールドは、SAML and Unauthenticated、SecurID and Unauthenticated、および RADIUS and Unauthenticated のいずれかの [認証方法] が選択されている場合に、管理ユーザー インターフェイスで使用できます。

このトグルをオンにすると、Horizon への Web アクセスが無効になります。詳細については、Horizon のエンドポイント コンプライアンス チェックのプロバイダとして OPSWAT を構成するを参照してください。

[Horizon/Blast] 設定に次の構成を追加します。

standardFeature1=PrintRedir
standardFeature2=UsbRedirection 
customFeature1=acme_desktop1
customFeature2=acme_desktop2

既存の JSON ファイルを開き、次の例のように新しい blastSettings ノードを追加します。

“blastExternalUrl”: “https://example.com/”,
 “blastSettings”: {
“blastStandardFeatures”: [
 “PrintRedir”,
“UsbRedirection”
],
 “blastCustomFeatures”: [
 “acme_desktop1”,
 “acme_desktop2”
 ]
    },