Horizon および Horizon Cloud with On-Premises Infrastructure を使用したデプロイ

Horizon Cloud with On-Premises Infrastructure および Horizon Air クラウドインフラストラクチャを使用して Unified Access Gateway をデプロイできます。Horizon のデプロイでは、Unified Access Gateway アプライアンスが Horizon セキュリティサーバを置き換えます。

導入シナリオ

Unified Access Gateway によって、お客様のデータセンターにあるオンプレミスの仮想デスクトップとアプリケーションに、リモートから安全にアクセスできるようになります。これは、統合管理のための Horizon または Horizon Air のオンプレミスデプロイで動作します。

Unified Access Gateway を使用すると、企業は高精度のユーザーのアイデンティティを提供し、資格が付与されたデスクトップやアプリケーションへのアクセスを細密に制御できるようになります。

Unified Access Gateway 仮想アプライアンスは、通常、ネットワークの非武装地帯 (DMZ) にデプロイされます。DMZ にデプロイすると、確実な方法で認証されたユーザーのトラフィックだけを確実に、データセンターのデスクトップおよびアプリケーションリソースに送信できます。また、Unified Access Gateway 仮想アプライアンスは、認証されたユーザーのトラフィックが、ユーザーに資格が付与されたデスクトップやアプリケーションリソースのみに確実に配信されるようにします。この保護レベルでは、アクセスを正確に制御するために、デスクトッププロトコルの独自の調査、頻繁に変更される可能性があるポリシーやネットワークアドレスの調整が実行されます。

Horizon で Unified Access Gateway をシームレスにデプロイするための要件を確認してください。

Unified Access Gateway アプライアンスが Horizon Server の前にあるロードバランサを参照する場合、Horizon Server インスタンスは動的に選択されます。
Unified Access Gateway は、Horizon セキュリティサーバの代わりとなります。
デフォルトで、ポート 8443 が Blast TCP/UDP で利用可能である必要があります。ただし Blast TCP/UDP にはポート 443 も設定することができます。
Horizon と一緒に Unified Access Gateway がデプロイされている場合、Blast Secure Gateway と PCoIP Secure Gateway が有効である必要があります。これにより、表示プロトコルが Unified Access Gateway を介して自動的にプロキシとして動作するようになります。BlastExternalURL および pcoipExternalURL の設定は、Unified Access Gateway 上の適切なゲートウェイを介してこれらの表示プロトコル接続をルーティングするために Horizon Client が使用する接続アドレスを指定します。これにより、表示プロトコルのトラフィックが、認証されているユーザーの代理として確実に制御されるため、セキュリティが向上します。認証されていない表示プロトコルのトラフィックは、Unified Access Gateway によって無視されます。
Horizon 接続サーバインスタンスでセキュアゲートウェイ（Blast Secure Gateway と PCoIP Secure Gateway）を無効にし、Unified Access Gateway アプライアンスでこれらのゲートウェイを有効にします。

Horizon セキュリティサーバと Unified Access Gateway アプライアンス間の相違点は次のとおりです。

安全なデプロイ環境。Unified Access Gateway は、セキュリティが強化され、ロックダウンされた構成済みの Linux ベースの仮想マシンとして実装されます。
優れた拡張性。Unified Access Gateway を個別の Horizon 接続サーバに接続したり、複数の Horizon 接続サーバの前にあるロードバランサを介して接続することにより、高可用性を向上することができます。Horizon Client とバックエンドの Horizon 接続サーバ間のレイヤーとして動作します。迅速なデプロイが可能なため、環境を素早く拡大または縮小し、急速に変化する企業のニーズを満たすことができます。

図 1. ロードバランサを参照する Unified Access Gateway アプライアンス

また、個別のサーバインスタンスを参照する 1 台以上の Unified Access Gateway アプライアンスを関連付けることができます。どちらの方法でも、DMZ 内の 2 つ以上の Unified Access Gateway アプライアンスに接続されたロードバランサを使用します。

図 2. Horizon Server インスタンスを参照する Unified Access Gateway アプライアンス

認証

ユーザー認証は、View セキュリティサーバと似ています。Unified Access Gateway では次のユーザー認証方法がサポートされています。

Active Directory のユーザー名とパスワード
キオスクモード。キオスクモードの詳細については、Horizon のドキュメントを参照してください。
SecurID 向けに RSA によって正式に認定された RSA SecurID の 2 要素認証
さまざまなサードパーティの 2 要素セキュリティベンダーソリューションを利用した RADIUS
スマートカード、CAC、または PIV X.509 ユーザー証明書
SAML

これらの認証方法は、View 接続サーバとともにサポートされます。Unified Access Gateway は、Active Directory と直接やりとりする上で不要です。この通信は、Active Directory に直接アクセスできる View 接続サーバを介するプロキシとして動作します。認証ポリシーに従ってユーザーセッションが認証されると、Unified Access Gateway は資格情報に関する要求とデスクトップやアプリケーションの起動要求を View 接続サーバに転送できるようになります。また、Unified Access Gateway は承認されているプロトコルトラフィックのみを転送できるようにデスクトップやアプリケーションプロトコルハンドラを管理します。

Unified Access Gateway は自分自身でスマートカード認証を扱います。無効になっている X.509 証明書を確認するためなど、Unified Access Gateway が Online Certificate Status Protocol (OCSP) サーバと通信するオプションも含まれます。