Horizon Cloud with On-Premises Infrastructure および Horizon Air クラウド インフラストラクチャを使用して Unified Access Gateway をデプロイできます。Horizon のデプロイでは、Unified Access Gateway アプライアンスが Horizon セキュリティ サーバを置き換えます。

前提条件

Horizon と Web リバース プロキシ インスタンス(VMware Identity Manager など)の両方を同じ Unified Access Gateway インスタンスで構成して有効にする場合は、Edge サービスの詳細設定を参照してください。

手順

  1. 管理ユーザー インターフェイスの [手動設定] セクションで、[選択] をクリックします。
  2. [全般設定] > [Edge サービス設定] で、[表示] をクリックします。
  3. [Horizon の設定] のギア アイコンをクリックします。
  4. [Horizon の設定] 画面で、[いいえ] を [はい] に変更して、Horizon を有効にします。
  5. Horizon の次の Edge サービス設定リソースを構成します。
    オプション 説明
    [識別子] デフォルトで Horizon に設定されます。Unified Access Gateway は、Horizon Connection Server、Horizon AirHorizon Cloud with On-Premises Infrastructure などの Horizon XML プロトコルを使用するサーバと通信できます。
    [Connection Server URL] Horizon Server またはロード バランサのアドレスを入力します。https://00.00.00.00 のように入力します。
    [接続サーバ URL のサムプリント] Horizon Server のサムプリントのリストを入力します。

    サムプリントのリストを指定しない場合は、サーバ証明書が信頼された認証局 (CA) によって発行されることを確認します。16 進数のサムプリントを入力します。たとえば、sha1= C3 89 A2 19 DC 7A 48 2B 85 1C 81 EC 5E 8F 6A 3C 33 F2 95 C3 のようになります。

    [PCoIP を有効にする] [いいえ] を [はい] に変更して、PCoIP Secure Gateway を有効にするかどうかを指定します。
    PCoIP のレガシー証明書を無効にする [いいえ][はい] に変更して、レガシー証明書の代わりにアップロードした SSL サーバ証明書を使用するように指定します。このパラメータが [はい] に設定されている場合、レガシーの PCoIP クライアントは機能しません。
    [PCoIP 外部 URL]

    この Unified Access Gateway アプライアンスへの Horizon PCoIP セッションを確立するために Horizon Client によって使用される URL。ホスト名ではなく IPv4 アドレスを含む必要があります。たとえば、10.1.2.3:4172 と入力します。デフォルトは、Unified Access Gateway の IP アドレスとポート 4172 です。

    [Blast を有効にする] Blast Secure Gateway を使用するには、[いいえ] を [はい] に変更します。
    [ Connection Server の IP アドレス モード] ドロップダウン メニューから [IPv4]、[IPv6]、または [IPv4+IPv6] を選択します。デフォルトは、IPv4 です。
  6. 認証方法のルールや他の詳細設定を行うには、[詳細表示] をクリックします。
    オプション 説明
    [認証方法]

    デフォルトでは、ユーザー名とパスワードのパススルー認証が使用されます。Unified Access Gateway で構成した認証方式は、ドロップダウン メニューに表示されます。RSA SecurID、RADIUS、および Device Certificate Auth メソッドがサポートされます。
    Windows SSO を有効にする これは、認証方法が RADIUS に設定されていて、RADIUS パスコードが Windows ドメインのパスワードと同じである場合に有効にできます。[いいえ][はい] に変更して、Windows ドメインのログイン認証情報のために RADIUS ユーザー名とパスコードを使用するようにして、ユーザーに対して再度プロンプトを表示する必要がないようにします。

    マルチ ドメイン環境で Horizon が設定されている場合、指定されたユーザー名にドメイン名が含まれていないと、ドメインが CS に送信されません。

    NameID サフィックスが構成されていて、指定されたユーザー名にドメイン名が含まれていない場合は、ユーザー名に NameID サフィックスの構成値が追加されます。たとえば、ユーザーが jdoe をユーザー名として指定し、NameIDSuffix を @north.int に設定した場合、送信されたユーザー名は [email protected] となります。

    NameID サフィックスが構成されていて、指定されたユーザー名が UPN 形式の場合、NameID サフィックスは無視されます。たとえば、ユーザーが [email protected]、NameIDSuffix - @south.int を指定した場合、ユーザー名は [email protected] になります。

    指定されたユーザー名が <DomainName\username> の形式(例:NORTH\jdoe)の場合、Unified Access Gateway は、ユーザー名とドメイン名を Connection Server に個別に送信します。
    RADIUS クラス属性 これは、認証方法が RADIUS に設定されている場合に有効になります。[+] をクリックして、クラス属性の値を追加します。ユーザー認証に使用するクラス属性の名前を入力します。[-] をクリックして、クラス属性を削除します。
    注: このフィールドを空白のままにすると、追加の認証は実行されません。
    免責条項テキスト

    [認証方法] が構成されている場合に、ユーザーに対して表示され、ユーザーによって承諾される、Horizon 免責事項のメッセージ。
    スマート カード ヒント プロンプト [いいえ] を [はい] に変更すると、証明書認証のパスワード ヒントが有効になります。
    [健全性チェック URI パス] 健全性ステータスの監視のために、Unified Access Gateway が接続する接続サーバの URI パス。
    [Blast 外部 URL] この Unified Access Gateway アプライアンスへの Horizon Blast または BEAT セッションを確立するために Horizon クライアントによって使用される URL。たとえば、https://uag1.myco.com または https://uag1.myco.com:443 になります。

    TCP ポート番号が指定されていない場合、デフォルトの TCP ポートは 8443 です。UDP ポート番号が指定されていない場合、デフォルトの UDP ポートは 8443 です。

    [UDP サーバを有効にする] 低帯域幅がある場合は、UDP トンネル サーバ経由で接続が確立されます。
    [Blast プロキシ証明書]

    Blast のプロキシ証明書。PEM 形式の証明書をアップロードし、BLAST トラスト ストアに追加するには [選択] をクリックします。[変更] をクリックして既存の証明書を置き換えます。

    ユーザーがロード バランサに Unified Access Gateway の同じ証明書を手動でアップロードし、Unified Access Gateway と Blast Gateway に対して異なる証明書を使用する必要がある場合、クライアントと Unified Access Gateway 間のサムプリントが一致しないので Blast デスクトップ セッションの確立に失敗します。Unified Access Gateway または Blast Gateway へのカスタム サムプリント入力では、サムプリントをリレーしてクライアント セッションを確立することによってこれを解決します。

    [トンネルを有効にする] Horizon セキュア トンネルが使用されている場合、[いいえ] を [はい] に変更します。クライアントは、Horizon Secure Gateway を介してトンネル接続のための外部 URL を使用します。このトンネルは、RDP、USB、およびマルチメディア リダイレクト (MMR) トラフィック用に使用されます。
    [トンネル外部 URL] この Unified Access Gateway アプライアンスへの Horizon Tunnel セッションを確立するために Horizon Client によって使用される URL。たとえば、https://uag1.myco.com または https://uag1.myco.com:443 になります。

    TCP ポート番号が指定されていない場合、デフォルトの TCP ポートは 443 です。

    [トンネル プロキシ証明書]

    Horizon Tunnel のプロキシ証明書。PEM 形式の証明書をアップロードし、トンネル トラスト ストアに追加するには [選択] をクリックします。[変更] をクリックして既存の証明書を置き換えます。

    ユーザーがロード バランサに Unified Access Gateway の同じ証明書を手動でアップロードし、Unified Access Gateway と Horizon Tunnel に対して異なる証明書を使用する必要がある場合、クライアントと Unified Access Gateway 間のサムプリントが一致しないのでトンネル セッションの確立に失敗します。Unified Access Gateway または Horizon Tunnel へのカスタム サムプリント入力では、サムプリントをリレーしてクライアント セッションを確立することによってこれを解決します。

    [エンドポイント コンプライアンス チェックのプロバイダ] エンドポイント コンプライアンス チェックのプロバイダを選択します。デフォルトは、OPSWAT です。
    [プロキシ パターン]
    Horizon Server URL (proxyDestinationUrl) に関連する URI と一致する正規表現を入力します。デフォルト値は (/|/view-client(.*)|/portal(.*)|/appblast(.*)) です。
    注: このパターンを使用して、特定の URL を除外することもできます。たとえば、すべての URL を許可し、/admin のみをブロックする場合、次の式を使用できます。 ^/(?!admin(.*))(.*)
    [SAML SP] Horizon XML API ブローカの SAML サービス プロバイダの名前を入力します。この名前は、構成されているサービス プロバイダのメタデータの名前と一致するか、DEMO という特別な値でなければなりません。
    [Windows ユーザー名と一致] [いいえ][はい] に変更すると、RSA SecurID と Windows ユーザー名が一致されます。[はい] に設定すると、securID-auth が true に設定され、securID と Windows ユーザー名の一致が強制されます。

    マルチ ドメイン環境で Horizon が設定されている場合、指定されたユーザー名にドメイン名が含まれていないと、ドメインが CS に送信されません。

    NameID サフィックスが構成されていて、指定されたユーザー名にドメイン名が含まれていない場合は、ユーザー名に NameID サフィックスの構成値が追加されます。たとえば、ユーザーが jdoe をユーザー名として指定し、NameIDSuffix を @north.int に設定した場合、送信されたユーザー名は [email protected] となります。

    NameID サフィックスが構成されていて、指定されたユーザー名が UPN 形式の場合、NameID サフィックスは無視されます。たとえば、ユーザーが [email protected]、NameIDSuffix - @south.int を指定した場合、ユーザー名は [email protected] になります。

    指定されたユーザー名が <DomainName\username> の形式(例:NORTH\jdoe)の場合、Unified Access Gateway は、ユーザー名とドメイン名を Connection Server に個別に送信します。

    注: Horizon 7 では、 [クライアントのユーザー インターフェイスでサーバ情報を非表示] および [クライアントのユーザー インターフェイスでドメイン リストを非表示] 設定を有効にしており、Connection Server インスタンスで 2 要素認証(RSA SecureID または RADIUS)を選択している場合、Windows ユーザー名の一致を強制しないでください。Windows ユーザー名の一致を強制すると、ユーザーは、ユーザー名のテキスト ボックスにドメイン情報を入力できなくなり、ログインが常に失敗します。詳細については、『Horizon 7 の管理』ガイドの 2 要素認証についてのトピックを参照してください。
    [ゲートウェイの場所] 接続要求の発生場所。セキュリティ サーバと Unified Access Gateway が、ゲートウェイの場所を設定します。場所は、外部または内部のいずれかです。
    [信頼される証明書] この Edge サービスに信頼されている証明書を追加します。PEM 形式の証明書を選択し、トラスト ストアに追加するには「+」記号をクリックします。トラスト ストアから証明書を削除するには「-」記号をクリックします。デフォルトでは、エイリアス名は PEM 証明書のファイル名です。別の名前を入力するには、エイリアスのテキスト ボックスを編集します。
    [応答セキュリティ ヘッダー] ヘッダーを追加するには「+」記号をクリックします。セキュリティ ヘッダーの名前を入力します。値を入力します。ヘッダーを削除するには「-」記号をクリックします。既存のセキュリティ ヘッダーを編集して、ヘッダーの名前と値を更新します。
    重要: ヘッダー名と値は、 [保存] をクリックした後にのみ保存されます。 []デフォルトでは、いくつかの標準セキュリティ ヘッダーが存在します。構成されたヘッダーは、対応するヘッダーが構成されたバックエンド サーバからの応答に存在しない場合にのみ、クライアントへの Unified Access Gateway 応答に追加されます。
    注: セキュリティ応答ヘッダーは慎重に変更してください。これらのパラメータを変更すると、 Unified Access Gateway の安全な機能が影響を受ける可能性があります。
    [ホスト エントリ] /Etc/hosts ファイルに追加する詳細情報を入力します。各エントリには、IP アドレス、ホスト名、オプションのホスト名エイリアスが順にスペース区切りで含まれています。たとえば、10.192.168.1 example1.com, 10.192.168.2 example2.com example-alias のようになります。複数のホスト エントリを追加するには「+」記号をクリックします。
    重要: ホスト エントリは、 [保存] をクリックした後にのみ保存されます。
    [HTML Access を無効にする] [はい] に設定すると、Horizon への Web アクセスが無効にされます。詳細については、Horizon に対するエンドポイント コンプライアンス チェックを参照してください。
  7. [保存] をクリックします。