Horizon Cloud with On-Premises Infrastructure および Horizon Air クラウド インフラストラクチャを使用して Unified Access Gateway をデプロイできます。Horizon のデプロイでは、Unified Access Gateway アプライアンスが Horizon セキュリティ サーバを置き換えます。

前提条件

Horizon と Web リバース プロキシ インスタンス(VMware Identity Manager など)の両方を同じ Unified Access Gateway インスタンスで構成して有効にする場合は、Edge Service の詳細設定を参照してください。

手順

  1. 管理ユーザー インターフェイスの [手動設定] セクションで、[選択] をクリックします。
  2. [全般設定] > [Edge サービス設定] で、[表示] をクリックします。
  3. [Horizon 設定] のギア アイコンをクリックします。
  4. [Horizon の設定] 画面で、[いいえ] を [はい] に変更して、Horizon を有効にします。
  5. Horizon の次の Edge サービス設定リソースを構成します。
    オプション 説明
    [識別子] デフォルトで Horizon に設定されます。Unified Access Gateway は、Horizon 接続サーバ、Horizon AirHorizon Cloud with On-Premises Infrastructure などの Horizon XML プロトコルを使用するサーバと通信できます。
    [接続サーバ URL] Horizon Server またはロード バランサのアドレスを入力します。https://00.00.00.00 のように入力します。
    [接続サーバ URL のサムプリント] Horizon Server のサムプリントのリストを入力します。

    サムプリントのリストを指定しない場合は、サーバ証明書が信頼された認証局 (CA) によって発行されることを確認します。16 進数のサムプリントを入力します。たとえば、sha1= C3 89 A2 19 DC 7A 48 2B 85 1C 81 EC 5E 8F 6A 3C 33 F2 95 C3 のようになります。

    [PCOIP を有効にする] [いいえ] を [はい] に変更して、PCoIP Secure Gateway を有効にするかどうかを指定します。
    PCoIP のレガシー証明書を無効にする [いいえ][はい] に変更して、レガシー証明書の代わりにアップロードした SSL サーバ証明書を使用するように指定します。このパラメータが [はい] に設定されている場合、レガシーの PCoIP クライアントは機能しません。
    [PCOIP 外部 URL]

    この Unified Access Gateway アプライアンスへの Horizon PCoIP セッションを確立するために Horizon クライアントによって使用される URL。ホスト名ではなく IPv4 アドレスを含む必要があります。たとえば、10.1.2.3:4172 と入力します。デフォルトは、Unified Access Gateway の IP アドレスとポート 4172 です。

    [Blast を有効にする] Blast Secure Gateway を使用するには、[いいえ] を [はい] に変更します。
    [接続サーバの IP アドレス モード] ドロップダウン メニューから [IPv4]、[IPv6]、または [IPv4+IPv6] を選択します。デフォルトは、IPv4 です。
  6. 認証方法のルールや他の詳細設定を行うには、[詳細表示] をクリックします。
    オプション 説明
    [認証方法] 使用する認証方法を選択します。

    デフォルトでは、ユーザー名とパスワードのパススルー認証が使用されます。Unified Access Gateway で構成した認証方式は、ドロップダウン メニューに表示されます。現在、RSA SecurID と RADIUS の認証方法がサポートされています。

    認証を構成するときには、最初の認証が失敗した場合に適用する 2 番目の認証方法を追加します。

    1. 最初のドロップダウン メニューから認証方法を 1 つ選択します。
    2. [+] をクリックして、[AND] または [OR] を選択します。
    3. 3 番目のドロップダウン メニューから 2 番目の認証方法を選択します。

    2 つの認証方法を使用してユーザーを認証するように要求するには、ドロップダウン リストで [OR] を [AND] に変更します。

    注: :
    • PowerShell デプロイの場合、RSA SecurID 認証については、securid-auth AND sp-auth を使用してパスコード画面を表示するようにこのオプションを設定します。
    • vSphere デプロイの場合、RSA SecurID 認証については、securid-auth を使用してパスコード画面を表示するようにこのオプションを設定します。
    • INI ファイルの Horizon のセクションに次の行を追加します。 
      authMethods=securid-auth && sp-auth
matchWindowsUserName=true
      INI ファイルの最後に新しいセクションを追加します。 
      [SecurIDAuth]
serverConfigFile=C:\temp\sdconf.rec
externalHostName=192.168.0.90
internalHostName=192.168.0.90

      両方の IP アドレスを、Unified Access Gateway の IP アドレスに設定する必要があります。sdconf.rec ファイルは、RSA Authentication Manager から入手します。RSA Authentication Manager はすべて構成する必要があります。Access Point 2.5 以降(または Unified Access Gateway 3.0 以降)を使用しており、Unified Access Gateway からネットワーク上の RSA Authentication Manager サーバにアクセスできることを確認します。RSA SecurID に対して設定された Unified Access Gateway を再デプロイするには、uagdeploy PowerShell コマンドを再実行します。

    Windows SSO を有効にする これは、認証方法が RADIUS に設定されている場合に有効になります。[いいえ] を [はい] に変更すると、RADIUS 認証が有効になります。
    RADIUS クラス属性 これは、認証方法が RADIUS に設定されている場合に有効になります。[+] をクリックして、クラス属性の値を追加します。ユーザー認証に使用するクラス属性の名前を入力します。[-] をクリックして、クラス属性を削除します。
    注: : このフィールドを空白のままにすると、追加の認証は実行されません。
    スマート カード ヒント プロンプト [いいえ] を [はい] に変更すると、証明書認証のパスワード ヒントが有効になります。
    [健全性チェック URI パス] 健全性ステータスの監視のために、Unified Access Gateway が接続する接続サーバの URI パス。
    [Blast 外部 URL] この Unified Access Gateway アプライアンスへの Horizon Blast または BEAT セッションを確立するために Horizon クライアントによって使用される URL。たとえば、https://uag1.myco.com または https://uag1.myco.com:443 になります。

    TCP ポート番号が指定されていない場合、デフォルトの TCP ポートは 8443 です。UDP ポート番号が指定されていない場合、デフォルトの UDP ポートは 8443 です。

    [UDP サーバを有効にする] 低帯域幅がある場合は、UDP トンネル サーバ経由で接続が確立されます。
    [Blast プロキシ証明書]

    Blast のプロキシ証明書。PEM 形式の証明書をアップロードし、BLAST トラスト ストアに追加するには [選択] をクリックします。[変更] をクリックして既存の証明書を置き換えます。

    ユーザーがロード バランサに Unified Access Gateway の同じ証明書を手動でアップロードし、Unified Access Gateway と Blast Gateway に対して異なる証明書を使用する必要がある場合、クライアントと Unified Access Gateway 間のサムプリントが一致しないので Blast デスクトップ セッションの確立に失敗します。Unified Access Gateway または Blast Gateway へのカスタム サムプリント入力では、サムプリントをリレーしてクライアント セッションを確立することによってこれを解決します。

    [トンネルを有効にする] Horizon セキュア トンネルが使用されている場合、[いいえ] を [はい] に変更します。クライアントは、Horizon Secure Gateway を介してトンネル接続のための外部 URL を使用します。このトンネルは、RDP、USB、およびマルチメディア リダイレクト (MMR) トラフィック用に使用されます。
    [トンネル外部 URL] この Unified Access Gateway アプライアンスへの Horizon トンネル セッションを確立するために Horizon クライアントによって使用される URL。たとえば、https://uag1.myco.com または https://uag1.myco.com:443 になります。

    TCP ポート番号が指定されていない場合、デフォルトの TCP ポートは 443 です。

    [トンネル プロキシ証明書]

    Horizon トンネルのプロキシ証明書。PEM 形式の証明書をアップロードし、トンネル トラスト ストアに追加するには [選択] をクリックします。[変更] をクリックして既存の証明書を置き換えます。

    ユーザーがロード バランサに Unified Access Gateway の同じ証明書を手動でアップロードし、Unified Access Gateway と Horizon トンネルに対して異なる証明書を使用する必要がある場合、クライアントと Unified Access Gateway 間のサムプリントが一致しないのでトンネル セッションの確立に失敗します。Unified Access Gateway または Horizon トンネルへのカスタム サムプリント入力では、サムプリントをリレーしてクライアント セッションを確立することによってこれを解決します。

    [エンドポイント コンプライアンス チェックのプロバイダ] エンドポイント コンプライアンス チェックのプロバイダを選択します。デフォルトは、OPSWAT です。
    [プロキシ パターン]

    Horizon Server URL (proxyDestinationUrl) に関連する URI と一致する正規表現を入力します。デフォルト値は (/|/view-client(.*)|/portal(.*)|/appblast(.*)) です。

    [SAML SP] Horizon XML API ブローカの SAML サービス プロバイダの名前を入力します。この名前は、構成されているサービス プロバイダのメタデータの名前と一致するか、DEMO という特別な値でなければなりません。
    [Windows ユーザー名と一致] [いいえ][はい] に変更すると、RSA SecurID と Windows ユーザー名が一致されます。[はい] に設定すると、securID-auth が true に設定され、securID と Windows ユーザー名の一致が強制されます。
    注: : Horizon 7 では、 [クライアントのユーザー インターフェイスでサーバ情報を非表示] および [クライアントのユーザー インターフェイスでドメイン リストを非表示] 設定を有効にしており、接続サーバ インスタンスで 2 要素認証(RSA SecureID または RADIUS)を選択している場合、Windows ユーザー名の一致を強制しないでください。Windows ユーザー名の一致を強制すると、ユーザーは、ユーザー名のテキスト ボックスにドメイン情報を入力できなくなり、ログインが常に失敗します。詳細については、『Horizon 7 の管理』ガイドの 2 要素認証についてのトピックを参照してください。
    [ゲートウェイの場所] 接続要求の発生場所。セキュリティ サーバと Unified Access Gateway が、ゲートウェイの場所を設定します。場所は、外部または内部のいずれかです。
    [信頼される証明書] この Edge サービスに信頼されている証明書を追加します。PEM 形式の証明書を選択し、トラスト ストアに追加するには「+」記号をクリックします。トラスト ストアから証明書を削除するには「-」記号をクリックします。デフォルトでは、エイリアス名は PEM 証明書のファイル名です。別の名前を入力するには、エイリアスのテキスト ボックスを編集します。
    [応答セキュリティ ヘッダー] ヘッダーを追加するには「+」記号をクリックします。セキュリティ ヘッダーの名前を入力します。値を入力します。ヘッダーを削除するには「-」記号をクリックします。既存のセキュリティ ヘッダーを編集して、ヘッダーの名前と値を更新します。
    重要: : ヘッダー名と値は、 [保存] をクリックした後にのみ保存されます。 []デフォルトでは、いくつかの標準セキュリティ ヘッダーが存在します。構成されたヘッダーは、対応するヘッダーが構成されたバックエンド サーバからの応答に存在しない場合にのみ、クライアントへの Unified Access Gateway 応答に追加されます。
    注: : セキュリティ応答ヘッダーは慎重に変更してください。これらのパラメータを変更すると、 Unified Access Gateway の安全な機能が影響を受ける可能性があります。
    [ホスト エントリ] /Etc/hosts ファイルに追加する詳細情報を入力します。各エントリには、IP アドレス、ホスト名、オプションのホスト名エイリアスが順にスペース区切りで含まれています。たとえば、10.192.168.1 example1.com, 10.192.168.2 example2.com example-alias のようになります。複数のホスト エントリを追加するには「+」記号をクリックします。
    重要: : ホスト エントリは、 [保存] をクリックした後にのみ保存されます。
    [HTML Access を無効にする] [はい] に設定すると、Horizon への Web アクセスが無効にされます。詳細については、Horizon に対するエンドポイント コンプライアンス チェックを参照してください。
  7. [保存] をクリックします。