Horizon 8. を使用して Unified Access Gateway をデプロイできます。

前提条件

Horizon と Web リバース プロキシ インスタンス(Workspace ONE Access など)の両方を同じ Unified Access Gateway インスタンスで構成して有効にする場合は、Edge サービスの詳細設定を参照してください。

手順

  1. 管理ユーザー インターフェイスの [手動構成] セクションで、[選択] をクリックします。
  2. [全般設定] で、[Edge サービスの設定] トグルをオンにします。
  3. [Horizon の設定] のギア アイコンをクリックします。
  4. [Horizon の設定] ページで、[Horizon を有効にする] トグルをオンにして Horizon の設定を有効にします。
  5. Horizon の次の Edge サービス設定リソースを構成します。

    オプション

    説明

    識別子

    デフォルトで Horizon に設定されます。Unified Access Gateway は、Horizon Connection Server などの Horizon XML プロトコルを使用するサーバと通信できます。

    Connection Server URL

    Horizon Server のアドレスを入力します。例:https://00.00.00.00

    高可用性を維持するには、少なくとも 2 つの Unified Access Gateway を使用し、Connection Server URL のターゲットとして異なる Connection Server を指定します。Unified Access Gateway は、ターゲットの Connection Server が応答していないかどうかを検出し、新しい接続を処理できなくなったことを外部ロード バランサに通知します。

    詳細については、VMware Tech Zone の『Connection Server のロード バランシング』を参照してください。

    SHA ハッシュの最小サイズ

    Horizon 接続時の証明書検証のためにサポートされるサムプリント ハッシュ アルゴリズムの最小値を設定します。

    構成された値は Horizon ClientHorizon Connection Server、および Unified Access Gateway の間の XML-API 通信で使用される SHA の最小値です。

    サポートされる SHA ハッシュ サイズの値は SHA-1SHA-256SHA-384、および SHA-512 です。

    選択した最小の SHA ハッシュ サイズに応じて、 Connection Server URL Thumbprint パラメータが構成されます。詳細については、 Horizon Connection Server でサポートされる証明書サムプリントを参照してください。

    このオプションは、PowerShell のデプロイ時に、ini ファイルの [Horizon] セクションに minSHAHashSize パラメータを追加することで構成できます。デプロイするための PowerShell スクリプトの実行を参照してください。

    注: Horizon 設定とシステム設定で minHashSize 構成が異なる場合は、Horizon 設定で構成された minhashsize 値が優先されます。

    接続サーバ URL のサムプリント

    注: Connection Server の SSL サーバ証明書が信頼できる CA によって発行されていない場合にのみ、サムプリントを指定する必要があります。たとえば、自己署名証明書や内部 CA によって発行された証明書などです。

    Horizon Server のサムプリントのリストを 16 進数形式で入力します。

    サムプリントの形式は [alg=]xx:xx... です。ここで、alg は sha1、sha256(デフォルト値)、sha384、sha512 で、xx は 16 進数です。ハッシュ アルゴリズムは、指定された最小ハッシュ サイズの要件を満たす必要があります。複数のサムプリントを追加する場合は、カンマで区切る必要があります。区切り文字にスペースまたはコロン (:) を使用するか、区切り文字なしにすることができます。

    例:sha1=C3 89 A2 19 DC 7A 48 2B 85 1C 81 EC 5E 8F 6A 3C 33 F2 95 C3, sha256=ad:5c:f1:48:47:94:7e:80:82:73:13:6c:83:52:b:e:78:ed:ff:50:23:56:a8:42:8a:d9:30:fc:3a:33:d6:c6:db, sha512=2221B24DC78018A8FAFF81B7AD348722390793DE8C0E5E5AA1D622BCC951D4DA5DBB1C76C79A258A7AFBD1727447151C90E1733E7E83A7D1D46ADF1A31C78496。

    証明書のサムプリントは、Unified Access GatewayHorizon Connection Server 間の通信で返されるサーバ証明書の証明書検証のために構成できます。

    このオプションは、PowerShell のデプロイ時に、ini ファイルの [Horizon] セクションに proxyDestinationUrlThumbprints パラメータを追加することで構成できます。デプロイするための PowerShell スクリプトの実行を参照してください。

    Connection Server リダイレクトの優先

    Horizon ブローカが HTTP リダイレクト 307 応答コードを送信し、[Connection Server リダイレクトの優先] トグルがオンになっている場合、Unified Access Gateway はセッションの現在および将来の要求に対する 307 応答の「location」ヘッダーで指定された URL と通信します。

    Connection Server で [ホスト リダイレクトを有効にする] チェック ボックスがオンになっている場合は、Unified Access Gateway[Connection Server リダイレクトの優先] トグルをオンにしてください。詳細については、VMware Docs の『Horizon のインストールおよびアップグレード』ガイドの「ホスト リダイレクトを有効にする」を参照してください。

    PCOIP を有効にする

    PCoIP Secure Gateway を有効にするかどうかを指定するには、このトグルをオンにします。

    PCoIP のレガシー証明書を無効にする

    レガシー証明書の代わりにアップロードした SSL サーバ証明書を使用するには、このトグルをオンにします。このトグルがオンの場合、レガシーの PCoIP クライアントは機能しません。

    PCoIP 外部 URL

    この Unified Access Gateway アプライアンスへの Horizon PCoIP セッションを確立するために Horizon Client によって使用される URL。ホスト名ではなく IPv4 アドレスを含む必要があります。たとえば、10.1.2.3:4172 と入力します。デフォルトは、Unified Access Gateway の IP アドレスとポート 4172 です。

    Blast を有効にする

    Blast Secure Gateway を使用するには、このトグルをオンにします。

    Blast 外部 URL

    この Unified Access Gateway アプライアンスへの Horizon Blast または BEAT セッションを確立するために Horizon クライアントによって使用される URL。たとえば、https://uag1.myco.com または https://uag1.myco.com:443 になります。

    TCP ポート番号が指定されていない場合、デフォルトの TCP ポートは 8443 です。UDP ポート番号が指定されていない場合、デフォルトの UDP ポートは 8443 です。

    Blast リバース接続が有効

    Blast リバース接続を有効にするには、このトグルをオンにします。

    制限: このトグルは、将来のユースケースのために追加されています。

    接続サーバの IP モード

    Horizon Connection Server の IP モードを示します。

    このフィールドには、IPv4IPv6、および IPv4+IPv6 の値を指定できます。

    デフォルトは、IPv4 です。

    • Unified Access Gateway アプライアンスのすべての NIC が IPv4 モード(IPv6 モードなし)の場合、このフィールドには、IPv4 または IPv4+IPv6 (混合モード) のいずれかの値を指定できます。

    • Unified Access Gateway アプライアンスのすべての NIC が IPv6 モード (IPv4 モードなし) の場合、このフィールドには、IPv6 または IPv4+IPv6 (混合モード) のいずれかの値を指定できます。

    クライアント暗号化モード

    Horizon ClientUnified Access Gateway、および Horizon Connection Server の間における通信の暗号化モードを示します。

    このオプションの値は DISABLEDALLOWEDREQUIRED です。デフォルト値は ALLOWED です。

    • DISABLEDClient Encryption Mode オプションが無効になっています。

      無効にすると、既存の動作が続行されます。2111 より前のバージョンの Unified Access Gateway では、暗号化されていない通信は Horizon ClientUnified Access GatewayHorizon Connection Server の間で許可されます。

    • ALLOWEDHorizon Client 2111 以降では、Unified Access GatewayHorizon Client および Horizon Connection Server との暗号化通信のみを許可します。

      以前のバージョンの Horizon Client では、暗号化されていない通信が許可されます。この動作は、機能が無効になっている場合の動作と似ています。

    • REQUIRED:3 つのコンポーネント間での暗号化通信のみが許可されます。

      注: この暗号化モードで以前のバージョンの Horizon Client が使用されている場合、暗号化されていない通信は失敗し、エンド ユーザーは Horizon デスクトップおよびアプリケーションを起動できません。

    XML 署名を有効にする

    XML 署名のモードを示します。このオプションの値は AUTOONOFF です。デフォルトでは、XML 署名はオフになっています。
    制限: このトグルは、将来のユースケースのために追加されています。

    送信元ヘッダーの再書き込み

    Unified Access Gateway への受信要求に Origin ヘッダーが設定されていて、[送信元ヘッダーの再書き込み] トグルがオンになっている場合、Unified Access GatewayOrigin ヘッダーを [接続サーバ URL] で書き換えます。

    [送信元ヘッダーの再書き込み] トグルは、Horizon Connection ServercheckOrigin CORS プロパティとともに機能します。このフィールドを有効にすると、Horizon 管理者は、locked.properties ファイルで Unified Access Gateway IP アドレスを指定する必要を回避できます。

    送信元の確認の詳細については、『Horizon のセキュリティ』のドキュメントを参照してください。

  6. 認証方法のルールや他の詳細設定を行うには、[詳細表示] をクリックします。

    オプション

    説明

    認証方法

    デフォルトでは、ユーザー名とパスワードのパススルー認証が使用されます。

    サポートされている認証方法は、PassthroughSAMLSAML and PassthroughSAML and UnauthenticatedSecurIDSecurID and UnauthenticatedX.509 CertificateX.509 Certificate and PassthroughDevice X.509 Certificate and PassthroughRADIUSRADIUS and Unauthenticated、および X.509 Certificate or RADIUS です。

    重要:

    認証方法として Unauthenticated のいずれかの方法を選択した場合は、Horizon Connection Server[ログイン遅延レベル]Low に構成します。この構成は、リモート デスクトップまたはアプリケーションへのアクセス中にエンドポイントのログインで長い遅延時間が発生するのを回避するために必要です。

    [ログイン遅延レベル] の構成方法の詳細については、VMware Docs の『Horizon の管理』ガイドの「公開アプリケーションに対する非認証アクセスのログイン遅延の設定」を参照してください。

    Windows SSO を有効にする

    このトグルは、[認証方法] が RADIUS に設定されていて、RADIUS パスコードが Windows ドメインのパスワードと同じである場合に使用できます。

    このトグルをオンにして、Windows ドメインのログイン認証情報のために RADIUS ユーザー名とパスコードを使用するようにして、ユーザーに対して再度プロンプトを表示する必要がないようにします。

    Horizon がマルチ ドメイン環境でセットアップされている場合、指定されたユーザー名にドメイン名が含まれていない場合、ドメインは CS に送信されません。

    NameID サフィックスが構成されていて、指定されたユーザー名にドメイン名が含まれていない場合は、configure NameID サフィックス値がユーザー名に追加されます。たとえば、ユーザーが jdoe をユーザー名として指定し、NameIDSuffix を @north.int に設定した場合、送信されたユーザー名は [email protected] です。

    NameID サフィックスが構成されていて、指定されたユーザー名が UPN 形式の場合、NameID サフィックスは無視されます。たとえば、ユーザーが [email protected]、NameIDSuffix - @south.int を指定した場合、ユーザー名は [email protected] です。

    指定されたユーザー名が <DomainName\username> の形式(例:NORTH\jdoe)の場合、Unified Access Gateway は、ユーザー名とドメイン名を接続サーバに個別に送信します。

    RADIUS クラス属性

    このフィールドは、認証方法が RADIUS に設定されている場合に有効になります。[+] をクリックして、クラス属性の値を追加します。ユーザー認証に使用するクラス属性の名前を入力します。[-] をクリックして、クラス属性を削除します。

    注:

    このフィールドを空白のままにすると、追加の認証は実行されません。

    免責条項テキスト

    [認証方法] が構成されている場合に、ユーザーに対して表示され、ユーザーによって承諾される、Horizon 免責事項のメッセージ。

    スマート カード ヒント プロンプト

    このトグルをオンにすると、証明書認証のパスワード ヒントが有効になります。

    健全性チェック URI パス

    健全性ステータスの監視のために、Unified Access Gateway が接続する接続サーバの URI パス。

    UDP サーバを有効にする

    低品質のネットワークがある場合は、UDP トンネル サーバ経由で接続が確立されます。

    Horizon Client が UDP を介して要求を送信すると、Unified Access Gateway はこれらの要求の送信元 IP アドレスを 127.0.0.1 として受信します。Unified Access Gateway は、同じ送信元 IP アドレスを Horizon Connection Server に送信します。

    接続サーバが、要求の実際の送信元 IP アドレスを確実に受信するようにするには、Unified Access Gateway 管理ユーザー インターフェイスでこのオプション([UDP サーバを有効にする])を無効にする必要があります。

    Blast プロキシ証明書

    Blast のプロキシ証明書。PEM 形式の証明書をアップロードし、BLAST トラスト ストアに追加するには [選択] をクリックします。[変更] をクリックして既存の証明書を置き換えます。

    ユーザーがロード バランサに Unified Access Gateway の同じ証明書を手動でアップロードし、Unified Access Gateway と Blast Gateway に対して異なる証明書を使用する必要がある場合、クライアントと Unified Access Gateway 間のサムプリントが一致しないので Blast デスクトップ セッションの確立に失敗します。Unified Access Gateway または Blast Gateway へのカスタム サムプリント入力では、サムプリントをリレーしてクライアント セッションを確立することによってこれを解決します。

    Blast で許可されるホスト ヘッダーの値

    IP アドレスまたはホスト名を入力します。

    Host ヘッダー値を指定すると、BSG (Blast Secure Gateway) は、指定された Host ヘッダー値を含む要求のみを許可します。

    host[:port] 形式でのカンマ区切り値のリストを指定できます。この値には、IP アドレス、ホスト名、または FQDN 名を使用できます。

    Blast Secure Gateway への受信 Blast TCP ポート 8443 接続要求の Host ヘッダーは、フィールドで指定された値のいずれかと一致する必要があります。

    Host ヘッダーにホスト名または IP アドレスが含まれない要求を許可するには、_empty_ を使用します。

    値が指定されていない場合、Horizon Client によって送信されたすべての Host ヘッダーが受け入れられます。

    トンネルを有効にする

    Horizon セキュア トンネルが使用されている場合は、このトグルをオンにします。クライアントは、Horizon Secure Gateway を介してトンネル接続のための外部 URL を使用します。このトンネルは、RDP、USB、およびマルチメディア リダイレクト (MMR) トラフィック用に使用されます。

    トンネル外部 URL

    この Unified Access Gateway アプライアンスへの Horizon Tunnel セッションを確立するために Horizon Client によって使用される URL。たとえば、https://uag1.myco.com または https://uag1.myco.com:443 になります。

    TCP ポート番号が指定されていない場合、デフォルトの TCP ポートは 443 です。

    トンネル プロキシ証明書

    Horizon Tunnel のプロキシ証明書。PEM 形式の証明書をアップロードし、トンネル トラスト ストアに追加するには [選択] をクリックします。[変更] をクリックして既存の証明書を置き換えます。

    ユーザーがロード バランサに Unified Access Gateway の同じ証明書を手動でアップロードし、Unified Access Gateway と Horizon Tunnel に対して異なる証明書を使用する必要がある場合、クライアントと Unified Access Gateway 間のサムプリントが一致しないのでトンネル セッションの確立に失敗します。Unified Access Gateway または Horizon Tunnel へのカスタム サムプリント入力では、サムプリントをリレーしてクライアント セッションを確立することによってこれを解決します。

    エンドポイント コンプライアンス チェックのプロバイダ

    エンドポイント コンプライアンス チェックのプロバイダを選択します。

    デフォルトは、None です。

    注:

    コンプライアンス チェック プロバイダの設定が管理ユーザー インターフェイスで構成されている場合にのみ、選択できるオプションが表示されます。エンドポイント コンプライアンス チェック プロバイダとその構成の詳細については、Horizon のエンドポイント コンプライアンス チェックを参照してください。

    認証時のコンプライアンス チェック

    ユーザー認証時にエンドポイント コンプライアンス チェックを無効または有効にするオプション。

    ユーザーがデスクトップまたはアプリケーション セッションを開始すると、常にコンプライアンスがチェックされます。このオプションを有効にすると、ユーザーが正常に認証された後もコンプライアンスがチェックされます。このオプションが有効で、認証時にコンプライアンス チェックが失敗した場合、ユーザー セッションは続行されません。

    このオプションを無効にすると、Unified Access Gateway は、ユーザーがデスクトップまたはアプリケーション セッションを開始するときにのみコンプライアンスをチェックします。

    このオプションは、エンドポイント コンプライアンス チェック プロバイダが選択されている場合にのみ使用できます。デフォルトでは、このオプションは有効になっています。

    注目:

    [エンドポイント コンプライアンス チェックのプロバイダの設定] ページで [コンプライアンス チェックの初期遅延] オプションを構成している場合、[認証時のコンプライアンス チェック] が自動的に無効になります。Unified Access Gateway は認証時のコンプライアンス チェックを行いません。時間間隔およびこの時間間隔が構成されている場合の Unified Access Gateway の動作の詳細については、コンプライアンス チェックの遅延の時間間隔を参照してください。

    このオプションは、.ini ファイルの [Horizon] セクションにもパラメータとして表示され、PowerShell を使用してデプロイ中に構成できます。パラメータ名については、デプロイするための PowerShell スクリプトの実行を参照してください。

    プロキシ パターン

    Horizon Server URL (proxyDestinationUrl) に関連する URL と一致する正規表現を入力します。デフォルト値は (/|/view-client(.*)|/portal(.*)|/appblast(.*)) です。

    注:

    このパターンを使用して、特定の URL を除外することもできます。たとえば、すべての URL を許可し、/admin のみをブロックする場合、次の式を使用できます。^/(?!admin(.*))(.*)

    SAML SP

    Horizon XML API ブローカの SAML サービス プロバイダの名前を入力します。この名前は、構成されているサービス プロバイダのメタデータの名前と一致するか、DEMO という特別な値でなければなりません。

    プロキシ パターンの正規一致を有効にする

    Horizon 正規一致を有効にするには、このトグルをオンにします。Unified Access Gateway は、C RealPath() と同等の処理を実行して URL を正規化します。すなわち、%2E などの文字シーケンスを変換し、.. シーケンスを削除して絶対パスを作成します。次に、プロキシ パターン チェックが絶対パスに適用されます。

    デフォルトでは、このトグルは Horizon Edge サービスに対してオンになっています。

    注:

    デフォルトでは、このトグルは Web リバース プロキシ サービスに対してオフになっています。

    証明書の削除時にログアウト

    注:

    このオプションは、スマートカード認証方法のいずれかが [認証方法] として選択されている場合に使用できます。

    このトグルがオンで、スマート カードが削除されると、エンド ユーザーは Unified Access Gateway セッションから強制的にログアウトされます。

    RADIUS のユーザー名ラベル

    Horizon Client でユーザー名ラベルをカスタマイズするテキストを入力します。例:Domain Username

    RADIUS 認証方法を有効にする必要があります。RADIUS を有効にするには、RADIUS 認証の構成を参照してください。

    デフォルトのラベル名は Username です。

    ラベル名の最大長は 20 文字です。

    RADIUS のパスコード ラベル

    名前を入力して、Horizon Client のパスコード ラベルをカスタマイズします。例:Password

    RADIUS 認証方法を有効にする必要があります。RADIUS を有効にするには、RADIUS 認証の構成を参照してください。

    デフォルトのラベル名は Passcode です。

    ラベル名の最大長は 20 文字です。

    Windows ユーザー名と一致

    このトグルをオンにすると、RSA SecurID と Windows ユーザー名が一致されます。オンにすると、securID-auth が true に設定され、securID と Windows ユーザー名の一致が強制されます。

    マルチ ドメイン環境で Horizon が設定されている場合、指定されたユーザー名にドメイン名が含まれていないと、ドメインが CS に送信されません。

    NameID サフィックスが構成されていて、指定されたユーザー名にドメイン名が含まれていない場合は、ユーザー名に NameID サフィックスの構成値が追加されます。たとえば、ユーザーが jdoe をユーザー名として指定し、NameIDSuffix を @north.int に設定した場合、送信されたユーザー名は [email protected] となります。

    NameID サフィックスが構成されていて、指定されたユーザー名が UPN 形式の場合、NameID サフィックスは無視されます。たとえば、ユーザーが [email protected]、NameIDSuffix - @south.int を指定した場合、ユーザー名は [email protected] になります。

    指定されたユーザー名が <DomainName\username> の形式(例:NORTH\jdoe)の場合、Unified Access Gateway は、ユーザー名とドメイン名を接続サーバに個別に送信します。

    注:

    Horizon 7 では、[クライアントのユーザー インターフェイスでサーバ情報を非表示] および [クライアントのユーザー インターフェイスでドメイン リストを非表示] 設定を有効にしており、接続サーバ インスタンスで 2 要素認証(RSA SecureID または RADIUS)を選択している場合、Windows ユーザー名の一致を強制しないでください。Windows ユーザー名の一致を強制すると、ユーザーは、ユーザー名のテキスト ボックスにドメイン情報を入力できなくなり、ログインが常に失敗します。詳細については、『Horizon 7 の管理』ガイドの 2 要素認証についてのトピックを参照してください。

    ゲートウェイの場所

    接続要求の発生場所。セキュリティ サーバと Unified Access Gateway が、ゲートウェイの場所を設定します。場所は、External または Internal のいずれかです。

    重要:

    SAML and UnauthenticatedSecurID and Unauthenticated、または RADIUS and Unauthenticated のいずれかの認証方法が選択されている場合は、場所を Internal に設定する必要があります。

    Connection Server のログイン前メッセージを表示 XML-API プライマリ プロトコル フロー中に Connection Server で構成された Connection Server のログイン前メッセージをユーザーに表示するには、このトグルをオンにします。デフォルトでは、このトグルは Horizon Edge サービスに対してオンになっています。

    このトグルをオフにすると、Connection Server で構成されたログイン前メッセージがユーザーに表示されません。

    JWT 発行者

    ドロップダウン メニューから構成済みの JWT 発行者を選択します。

    注: [詳細設定] の [JWT 発行者の設定] セクションで、 [名前] フィールドが構成されていることを確認します。

    JWT 対象者

    Workspace ONE Access Horizon SAML アーティファクト検証に使用される JWT の目的の受信者のリスト(オプション)。

    JWT 検証が成功するには、このリスト内の少なくとも 1 人の受信者が Workspace ONE Access Horizon 構成で指定された対象者のいずれかと一致している必要があります。JWT 対象者が指定されていない場合、JWT 検証は対象者を考慮しません。

    JWT コンシューマ

    構成されたいずれかの JWT 設定 の JWT コンシューマ名を選択します。

    注: Workspace ONE Access JWT SAML アーティファクト検証のために、[詳細設定] の [JWT コンシューマ設定] セクションで [名前] フィールドが構成されていることを確認します。

    信頼される証明書

    • PEM 形式の証明書を選択してトラスト ストアに追加するには、[+] をクリックします。

    • 別の名前を指定するには、エイリアス テキスト ボックスを編集します。

      デフォルトでは、エイリアス名は PEM 証明書のファイル名です。

    • トラスト ストアから証明書を削除するには、[-] をクリックします。

    応答セキュリティ ヘッダー

    ヘッダーを追加するには、[+] をクリックします。セキュリティ ヘッダーの名前を入力します。値を入力します。

    ヘッダーを削除するには、[-] をクリックします。既存のセキュリティ ヘッダーを編集して、ヘッダーの名前と値を更新します。

    重要:

    ヘッダー名と値は、[保存] をクリックした後にのみ保存されます。[]デフォルトでは、いくつかの標準セキュリティ ヘッダーが存在します。構成されたヘッダーは、対応するヘッダーが構成されたバックエンド サーバからの応答に存在しない場合にのみ、クライアントへの Unified Access Gateway 応答に追加されます。

    注:

    セキュリティ応答ヘッダーは慎重に変更してください。これらのパラメータを変更すると、Unified Access Gateway の安全な機能が影響を受ける可能性があります。

    クライアントのカスタム実行ファイル

    このドロップダウン ボックスには、Unified Access Gateway で構成されているカスタム実行ファイルが一覧表示されます。

    カスタム実行ファイルは、詳細設定の一部として構成されます。実行ファイルは、複数の OS タイプに対して構成できます。Horizon 設定に実行ファイルが追加されると、実行ファイルのすべての OS タイプも含まれます。実行ファイルは、ユーザー認証が成功した後に Horizon Client がエンドポイント デバイスでダウンロードして実行するために使用できます。

    カスタム実行ファイルの構成については、クライアントのカスタム実行ファイルを参照してください。

    ホスト ポート リダイレクト マッピング

    Unified Access Gateway が HTTP ホスト リダイレクト機能をサポートする方法と、この機能を使用するために必要な特定の考慮事項については、HTTP ホスト リダイレクトの Unified Access Gateway のサポートを参照してください。

    注:

    ソース ホストとリダイレクト ホストは、コロンで区切られたオプションのポートをサポートします。デフォルトのポート番号は 443 です。

    • [ソース Host:Port]

      ソース(ホスト ヘッダーの値)のホスト名を入力します。

    • [リダイレクト Host:Port]

      Horizon Client とのアフィニティを維持する必要がある個々の Unified Access Gateway アプライアンスのホスト名を入力します。

    ホスト エントリ

    /Etc/hosts ファイルに追加する詳細情報を入力します。各エントリには、IP アドレス、ホスト名、オプションのホスト名エイリアスが順にスペース区切りで含まれている必要があります。たとえば、10.192.168.1 example1.com, 10.192.168.2 example2.com example-alias のようになります。複数のホスト エントリを追加するには「+」記号をクリックします。

    重要:

    ホスト エントリは、[保存] をクリックした後にのみ保存されます。

    SAML 対象者

    「SAML」または「SAML およびパススルー」認証方法のいずれかが選択されていることを確認します。

    対象者 URL を入力します。

    注:

    テキストボックスを空のままにすると、対象者は制限されません。

    Unified Access Gateway が SAML 対象者をサポートする方法については、SAML 対象者を参照してください。

    SAML 非認証ユーザー名属性

    カスタム属性名を入力します。

    注:

    このフィールドは、[認証方法] の値が SAML and Unauthenticated の場合にのみ使用できます。

    Unified Access Gateway が SAML アサーションを検証するときに、このフィールドで指定された属性名がアサーションに存在する場合、Unified Access Gateway は ID プロバイダの属性に構成されたユーザー名への非認証アクセスを提供します。

    SAML and Unauthenticated 方法の詳細については、Unified Access Gateway およびサードパーティの ID プロバイダ統合の認証方法を参照してください。

    デフォルトの非認証ユーザー名

    非認証アクセスに使用するデフォルトのユーザー名を入力します

    このフィールドは、SAML and UnauthenticatedSecurID and Unauthenticated、および RADIUS and Unauthenticated のいずれかの [認証方法] が選択されている場合に、管理ユーザー インターフェイスで使用できます。

    注:

    SAML and Unauthenticated 認証方法では、[SAML 非認証ユーザー名属性] フィールドが空の場合、またはこのフィールドに指定された属性名が SAML アサーションに含まれていない場合にのみ、非認証アクセスのデフォルトのユーザー名が使用されます。

    HTML Access を無効にする

    このトグルをオンにすると、Horizon への Web アクセスが無効になります。詳細については、Horizon のエンドポイント コンプライアンス チェックのプロバイダとして OPSWAT を構成するを参照してください。

  7. (オプション)管理ユーザー インターフェイスで JSON インポートを使用するか、PowerShell デプロイで INI 構成ファイルを使用して BSG 機能リストを構成します。
    2 種類のリストがサポートされます。
    • [標準機能リスト] - 次の標準機能のリストが含まれています。
      わかりやすい名前 標準機能名
      クリップボード リダイレクト MKSCchan
      HTML5/位置情報リダイレクト html5mmr
      RdeServer VMwareRde;UNITY_UPDATE_CHA
      TSMMR tsmmr
      シリアル ポート/スキャナ リダイレクト NLR3hv;NLW3hv
      プリンタ リダイレクト PrintRedir
      CDR tsdr
      USB リダイレクト UsbRedirection
      ストレージ ドライブのリダイレクト SDRTrans
      TlmStat Telemetry TlmStat
      スキャナの表示 VMWscan
      FIDO2 リダイレクト fido2
    • [カスタム機能リスト] - 複数の機能を含むフリー テキスト。特殊文字と英語以外の文字をサポートします。
    注:

    この機能は、Windows Horizon Agent にのみ適用されます。デフォルトでは、BSG 機能リストは構成されておらず、すべてのリモート エクスペリエンス機能が許可されます。BSG 機能リストが構成されている場合、リストで指定されたリモート エクスペリエンス機能のみが許可され、他のすべての機能はブロックされます。

    BSG 機能リストを構成するには、次のいずれかの方法を使用します。

    オプション 説明
    INI ファイル

    [Horizon/Blast] 設定に次の構成を追加します。

    standardFeature1=PrintRedir
    standardFeature2=UsbRedirection 
    customFeature1=acme_desktop1
    customFeature2=acme_desktop2
    JSON ファイル

    既存の JSON ファイルを開き、次の例のように新しい blastSettings ノードを追加します。

    “blastExternalUrl”: “https://example.com/”,
     “blastSettings”: {
    “blastStandardFeatures”: [
     “PrintRedir”,
    “UsbRedirection”
    ],
     “blastCustomFeatures”: [
     “acme_desktop1”,
     “acme_desktop2”
     ]
        },
  8. [保存] をクリックします。