すでにデプロイされているポッドのゲートウェイ設定で 2 要素認証の使用を有効にするには、ポッドの詳細ページで [編集] アクションを使用します。ポッドでのゲートウェイ構成は、Unified Access Gateway 仮想マシンを使用し、エンド ユーザーのデスクトップおよびアプリケーションへのアクセスを提供するように構成されます。これらの 2 要素認証設定は、ポッドの既存のゲートウェイ構成に追加することも、新しいゲートウェイ構成を追加するときに同時に追加することもできます。[ポッドの編集] ワークフローを使用して、ポッドのゲートウェイ構成に 2 要素認証設定を追加します。

注: テナントが Universal Broker を使用するように構成され、ブローカ設定で 2 要素認証が有効になっている場合、フリート内のすべてのポッドの外部ゲートウェイで同じ 2 要素認証タイプを設定する必要があります。このシナリオでは、これらの手順を実行して外部ゲートウェイに 2 要素認証を追加すると、ユーザー インターフェイスによって、ブローカ設定での設定に一致する 2 要素認証タイプの選択が適用されます。

前提条件

2 要素認証を追加するゲートウェイに対して、ウィザードのそのゲートウェイ構成のフィールドがすべて入力済みであることを確認します。オンプレミス認証サーバに対して 2 要素認証を構成するときに、そのゲートウェイの Unified Access Gateway インスタンスがそのオンプレミス サーバへのルーティングを解決できるようにするために、次のフィールドにも情報を入力します。

オプション 説明
[DNS アドレス] オンプレミス認証サーバの名前を解決できる DNS サーバの 1 つ以上のアドレスを指定します。
[ルート] ポッドの Unified Access Gateway インスタンスがネットワークのルーティングをオンプレミス認証サーバに解決できるようにする、1 つ以上のカスタム ルートを指定します。

たとえば、オンプレミスの RADIUS サーバがその IP アドレスとして 10.10.60.20 を使用している場合、10.10.60.0/24 とデフォルト ルートのゲートウェイ アドレスをカスタム ルートとして使用することになります。この環境で使用している Express ルートまたは VPN 構成からデフォルト ルートのゲートウェイ アドレスを取得します。

形式 ipv4-network-address/bits ipv4-gateway-address で、カンマ区切りリストとしてカスタム ルートを指定します(例:192.168.1.0/24 192.168.0.1, 192.168.2.0/24 192.168.0.2)。

次の情報が、ポッド デプロイ ウィザードの適切なフィールドに指定できるように、認証サーバの構成で使用されていることを確認します。RADIUS 認証サーバを使用していて、プライマリおよびセカンダリ サーバの両方がある場合は、それぞれの情報を取得します。

RADIUS

プライマリおよび補助 RADIUS サーバの両方の設定を構成している場合は、それぞれの情報を取得します。

  • 認証サーバの IP アドレスまたは DNS 名
  • 認証サーバのプロトコル メッセージで暗号化および復号化のために使用される共有シークレット
  • 認証ポート番号。通常 RADIUS の場合は 1812/UDP。
  • 認証プロトコルのタイプ。認証タイプには、PAP(パスワード認証プロトコル)、CHAP(チャレンジ ハンドシェイク認証プロトコル)、MSCHAP1 および MSCHAP2(Microsoft チャレンジ ハンドシェイク認証プロトコル、バージョン 1 および 2)があります。
    注: RADIUS ベンダーの推奨する認証プロトコルについては、RADIUS ベンダーのドキュメントを確認し、指定したプロトコル タイプに従ってください。RADIUS の 2 要素認証をサポートするポッドの機能は、Unified Access Gateway インスタンスによって提供され、Unified Access Gateway が PAP、CHAP、MSCHAP1、MSCHAP2 をサポートします。PAP のセキュリティは、通常 MSCHAP2 のものよりも低くなっています。また PAP は MSCHAP2 よりシンプルなプロトコルです。結果として、RADIUS ベンダーのほとんどはよりシンプルな PAP プロトコルと互換性がありますが、一部の RADIUS ベンダーはよりセキュリティの高い MSCHAP2 との互換性を有していません。
RSA SecurID
注: RSA SecurID タイプは、マニフェスト 3139.x 以降を実行している Horizon Cloud on Microsoft Azure デプロイでサポートされます。2022 年 3 月中旬以降の [ポッドの追加] ウィザードと [ポッドの編集] ウィザードでは RSA SecurID タイプを指定するユーザー インターフェイス オプションが表示され、選択できるようになります。
  • RSA SecurID Authentication Manager サーバのアクセス キー。
  • RSA SecurID 通信ポート番号。通常は 5555 で、RSA SecurID 認証 API に対する RSA Authentication Manager システム設定で設定されています。
  • RSA SecurID Authentication Manager サーバのホスト名。
  • RSA SecurID Authentication Manager サーバの IP アドレス。
  • RSA SecurID Authentication Manager サーバまたはそのロード バランサ サーバに自己署名証明書がある場合は、[ポッドの追加] ウィザードで CA 証明書を指定する必要があります。証明書は PEM 形式である必要があります(ファイル タイプ .cer .cert、または.pem)。

手順

  1. [ポッドの編集] ウィンドウの [ゲートウェイ設定] ステップがまだ開いていない場合は、ポッドの詳細ページで [編集] をクリックし、[次へ] をクリックして [ゲートウェイ設定] ステップに移動します。
  2. 2 要素認証を有効にするゲートウェイ タイプ(外部または内部)のウィンドウに移動します。
  3. [2 要素認証を有効にする] トグルをオンに切り替えます。
    トグルが有効になっていると、ウィザードに追加の構成フィールドが表示されます。すべてのフィールドにアクセスするには、スクロール バーを使用します。

    次のスクリーンショットは、[外部 UAG] セクションのトグルをオンに切り替えた後に表示される内容の例です。

    Horizon Cloud on Microsoft Azure:トグルを有効にして 2 要素認証を有効にした後の、ポッド デプロイ ウィザードの 2 要素認証フィールドの初期状態。
  4. 2 要素認証タイプとして、[Radius] または [RSA SecurID] を選択します。
    現在、サポートされている使用可能なタイプは RADIUS と RSA SecurID です。

    タイプを選択すると、[2 要素認証構成] メニューに、選択したタイプの構成を追加していることが自動的に反映されます。たとえば、[RSA SecurID] タイプを選択した場合、[2 要素認証構成] メニューには [新規の RSA SecurID] が表示されます。

  5. [構成名] フィールドで、この構成の識別名を入力します。
  6. [プロパティ] セクションで、アクセスの認証に使用するログイン画面でのエンド ユーザーの操作に関連する詳細を指定します。

    ウィザードには、Horizon Cloud on Microsoft Azure デプロイがゲートウェイ構成での使用をサポートする構成に基づいてフィールドが表示されます。フィールドは、選択した 2 要素認証タイプによって異なります。選択したタイプ(RADIUS または RSA SecurID)に対応する以下の表を参照してください。

    RADIUS

    フィールドに入力するときに、プライマリ認証サーバの詳細を指定する必要があります。セカンダリ認証サーバがある場合は、[補助サーバ] トグルを有効にして、そのサーバの詳細も指定します。

    オプション 説明
    [表示名] このフィールドは空白のままにできます。このフィールドはウィザードに表示されますが、Unified Access Gateway 構成の内部名のみを設定します。この名前は Horizon クライアントによって使用されません。
    [表示に関するヒント] 必要に応じて、ユーザーに RADIUS ユーザー名とパスコードの入力を要求するときにエンドユーザー クライアントのログイン画面に表示されるメッセージに、エンドユーザーに対して表示されるテキスト文字列を入力します。指定されたヒントは、Enter your DisplayHint user name and passcode としてエンドユーザーに表示されます。ここで、DisplayHint はこのフィールドで指定するテキストです。

    このヒントを参考にして、ユーザーは正しい RADIUS パスコードを入力することができます。たとえば、Example Company user name and domain password below のようなフレーズを指定すると、Enter your Example Company user name and domain password below for user name and passcode というプロンプトがエンドユーザーに表示されます。

    [名前 ID のサフィックス] この設定は、ポッドがシングル サインオンのために TrueSSO を使用するよう構成されている、SAML シナリオで使用されます。オプションとして、ポッド マネージャへの要求で送信される SAML アサーション ユーザー名の後に追加される文字列を指定します。たとえば、ユーザー名が user1 としてログイン画面に入力され、@example.com の名前 ID のサフィックスがここで指定された場合、[email protected] の SAML アサーション ユーザー名が要求で送信されます。
    [反復回数] この RADIUS システムを使用してログインを試行する場合に、ユーザーに対して許可される認証の失敗試行の最大数を入力します。
    [ユーザー名を維持] このトグルを有効にすると、クライアント、Unified Access Gateway インスタンス、および RADIUS サービス間で発生する認証フローの実行中に、ユーザーの Active Directory ユーザー名が維持されます。有効になっている場合:
    • ユーザーは、Active Directory 認証の場合と同じユーザー名認証情報を RADIUS でも利用できる必要があります。
    • ユーザーは、ログイン画面でユーザー名を変更することができません。

    このトグルがオフに切り替わると、ユーザーはログイン画面で別のユーザー名を入力することができます。

    注: [ユーザー名を維持] の有効化と Horizon Cloud のドメイン セキュリティ設定との関係については、 [全般設定] ページでのドメイン セキュリティ設定トピックを参照してください。
    [ホスト名/IP アドレス] 認証サーバの DNS 名または IP アドレスを入力します。
    [共有シークレット] 認証サーバと通信するため、シークレットを入力します。この値は、サーバで構成されている値と同じである必要があります。
    [認証ポート] 認証トラフィックを送受信するために認証サーバで構成されている UDP ポートを指定します。デフォルトは 1812 です。
    [アカウント ポート] オプションとして、アカウンティング トラフィックを送受信するために認証サーバで構成されている UDP ポートを指定します。デフォルトは 1813 です。
    [メカニズム] 指定した認証サーバでサポートされている、デプロイされたポッドが使用する認証プロトコルを選択します。
    [サーバ タイムアウト] ポッドが認証サーバからの応答を待機する秒数を指定します。この秒数が経過した後、サーバが応答しない場合は再試行が送信されます。
    [最大再試行回数] ポッドが認証サーバへの失敗した要求を再試行する最大回数を指定します。
    [レルムのプリフィックス] オプションとして、名前が認証サーバに送信されるときに、システムによってユーザー名の先頭に付加される文字列を指定します。ユーザー アカウントの場所はレルムと呼ばれます。

    たとえば、ユーザー名が user1 としてログイン画面に入力され、DOMAIN-A\ のレルムのプリフィックスがここで指定された場合、システムは認証サーバに DOMAIN-A\user1 を送信します。レルムのプリフィックスを指定しないと、入力したユーザー名だけが送信されます。

    [レルムのサフィックス] オプションとして、名前が認証サーバに送信されるときに、システムによってユーザー名の後に追加される文字列を指定します。たとえば、ユーザー名が user1 としてログイン画面に入力され、@example.com のレルムのサフィックスがここで指定された場合、システムは認証サーバに [email protected] を送信します。
    RSA SecurID
    オプション 説明
    [アクセス キー] システムの RSA SecurID 認証 API 設定で取得した RSA SecurID システムのアクセス キーを入力します。
    [サーバ ポート] 通信ポートに対するシステムの RSA SecurID 認証 API 設定で構成した値を指定します。通常はデフォルトで 5555 です。
    [サーバ ホスト名] 認証サーバの DNS 名を入力します。
    [サーバ IP アドレス] 認証サーバの IP アドレスを入力します。
    [反復回数] ユーザーが 1 時間ロックアウトされるまでに許可される認証試行の最大失敗回数を入力します。デフォルトは、5 回です。
    [CA 証明書] この項目は、RSA SecurID Authentication Manager サーバまたはそのロード バランサが自己署名証明書を使用する場合に必須です。この場合は、CA 証明書をコピーしてこのフィールドに貼り付けます。このページで説明したように、証明書情報は PEM 形式で指定する必要があります。

    サーバにパブリック認証局 (CA) によって署名された証明書がある場合、このフィールドはオプションです。
    [認証タイムアウト] タイムアウトになるまでに、認証の試行を Unified Access Gateway インスタンスと RSA SecurID 認証サーバの間で有効にする秒数を指定します。デフォルト値は 180 秒です。
  7. 必要な設定をすべて完了したら、[保存して終了] をクリックします。
    ワークフローの開始を確認するよう求める確認メッセージが表示されます。
  8. [はい] をクリックしてワークフローを開始します。

結果

システムがポッドへの新しい構成のデプロイを完了するまで、ポッドのサマリ ページでの 2 要素認証を追加したゲートウェイのセクションに、保留しています ステータスが表示されます。

ワークフローが完了すると、ステータスには 準備完了 と表示され、ゲートウェイの 2 要素認証設定がページに表示されます。

注: Microsoft Azure China のポッドに対してこのワークフローを実行する場合、プロセスが完了するまでに 1 時間以上かかることがあります。このプロセスは地理的なネットワークの問題の影響を受け、バイナリがクラウドの制御プレーンからダウンロードされるときにダウンロードの速度が低下することがあります。

次のタスク

重要: エンド ユーザーが 2 要素認証機能を使用してゲートウェイを使用できるようにするには、次のタスクを実行する必要があります。
  • ポッドの外部ゲートウェイに 2 要素認証が構成され、ゲートウェイの Unified Access Gateway インスタンスがデプロイされているのと同じ VNet トポロジ内で 2 要素認証サーバにアクセスできない場合は、外部ゲートウェイのロード バランサの IP アドレスからの通信を許可するようにその 2 要素認証サーバを構成します。

    このシナリオでは、ゲートウェイ展開と同じ VNet トポロジ内で 2 要素認証サーバにアクセスできないため、Unified Access Gateway インスタンスは、そのロード バランサ アドレスを使用してそのサーバとの接続を試みます。その通信トラフィックを許可するには、その外部ゲートウェイのリソース グループにあるロード バランサ リソースの IP アドレスが、確実に 2 要素認証サーバの構成でクライアントまたは登録されたエージェントとして指定されているようにします。この通信を許可する方法の詳細については、お使いの 2 要素認証サーバのドキュメントを参照してください。

  • 同じ VNet トポロジ内で 2 要素認証サーバにアクセスできる場合は、Microsoft Azure でのデプロイの Unified Access Gateway インスタンス用に作成された適切な NIC からの通信を許可するように 2 要素認証サーバを構成します。

    ネットワーク管理者が、展開に使用される Azure VNet トポロジとそのサブネットに対する 2 要素認証サーバのネットワーク可視性を決定します。2 要素認証サーバは、ネットワーク管理者が 2 要素認証サーバにネットワークの可視性を与えたサブネットに対応する Unified Access Gateway インスタンスの NIC の IP アドレスからの通信を許可する必要があります。

    Microsoft Azure のゲートウェイのリソース グループには、そのサブネットに対応する 4 つの NIC があり、そのうち 2 つが 2 個の Unified Access Gateway インスタンスに対して現在アクティブです。もう 2 つはアイドル状態で、ポッドとそのゲートウェイが更新を完了した後にアクティブになります。

    実行中のポッド操作のため、および各ポッドの更新後のために、ゲートウェイと 2 要素認証サーバ間の通信トラフィックをサポートするには、これらの 4 つの NIC の IP アドレスがそのサーバ構成でクライアントまたは登録されたエージェントとして指定されていることを確認します。この通信を許可する方法の詳細については、お使いの 2 要素認証サーバのドキュメントを参照してください。

これらの IP アドレスの取得方法については、必要な Horizon Cloud ポッドのゲートウェイ情報での 2 要素認証システムの更新を参照してください。