クラウド接続された Horizon ポッドで Universal Broker を使用するには、まず各ポッドのセキュリティ サーバを Unified Access Gateway アプライアンスに置き換える必要があります。次に、Universal Broker に必要なトンネル サーバとプロトコルのリダイレクトをサポートするために、各 Unified Access Gateway インスタンスで必要な JSON Web Token を設定する必要があります。

Universal Broker に 2 要素認証を使用する場合は、各 Unified Access Gateway インスタンスで適切な RADIUS または RSA SecurID サービスを構成する必要もあります。

前提条件

  • マルチクラウド割り当てに参加している各クラウド接続された Horizon ポッドに専用の Unified Access Gateway アプライアンスをインストールします。Unified Access Gateway のバージョン 3.8 以降がインストールされていることを確認します。各 Unified Access Gateway インスタンスを、ペアリングされた Connection Server への接続要求に対するプロキシ サーバとして構成します。

    詳細については、Unified Access Gateway ドキュメントおよびVMware Horizon 7 ドキュメントを参照してください。

    注:Unified Access Gateway インスタンスが 1 つのポッドのみとペアリングされていることを確認します。
  • Unified Access Gateway インスタンスとそれに対応する Connection Server とのペアリングを検証するには、Unified Access Gateway に直接接続して、仮想デスクトップにアクセスできることを確認します。

手順

  1. Unified Access Gateway 管理コンソールにログインします。
  2. [手動設定] セクションで、[選択] をクリックします。
  3. [詳細設定] で、[JWT 設定] のギアボックスをクリックします。
  4. JWT 構成セットを作成するには、[追加] をクリックします。
  5. [JWT 設定] ダイアログ ボックスで必要な設定を指定します。
    設定 説明
    Name 構成セットのわかりやすい名前を入力します。
    Issuer Horizon コンソールに表示される Horizon ポッドのクラスタ名を入力します。

    Horizon コンソールに表示されるポッドのクラスタ名
    Dynamic Public key URL https://<Horizon pod FQDN>/broker/publicKey/protocolredirection と入力します。ここで、<Horizon pod FQDN> はポッドの一意の FQDN(完全修飾ドメイン名)に置き換えます。通常、FQDN は次のように定義されます。
    • ポッドに複数の Unified Access Gateway インスタンスがある場合は、ローカル ロード バランサのアドレスを FQDN として指定します。
    • ポッドに Unified Access Gateway インスタンスが 1 つしかない場合は、そのインスタンスのペアリングされた Connection Server のアドレスを FQDN として指定します。
    Public key URL thumbprints 認証にパブリック キーの URL を使用するには、Horizon ポッドの証明書の SHA1 サムプリントを入力します。
    注: 認証には、 [パブリック キー URL のサムプリント] または [信頼されている証明書] のいずれかを設定できます。両方のオプションを設定する必要はありません。
    Trusted Certificates 認証に Horizon ポッドの証明書以外の証明書を使用するには、(+) アイコンをクリックして、信頼されている証明書を追加します。
    注: 認証には、 [信頼されている証明書] または [パブリックキー URL のサムプリント] のいずれかを設定できます。両方のオプションを設定する必要はありません。
    Public key refresh interval 最良の結果を得るには 900 と入力します。この値は、更新間隔を 900 秒つまり 15 分に設定します。
    Static public keys このオプションは、デフォルト値のままにします。
  6. [保存] をクリックして、[閉じる] をクリックします。
  7. Universal Broker に 2 要素認証を使用する場合は、[認証設定][表示] 設定を有効にします。次に、Universal Broker でサポートされているいずれかのセキュリティ サービス([RSA SecurID] または [RADIUS])の設定を有効にして構成します。
    注: 参加しているすべてのポッドの Unified Access Gateway インスタンスで適切な RADIUS または RSA SecurID サービスを構成する必要があります。参加しているポッド内のすべての Unified Access Gateway インスタンスの構成は互いに一致する必要があり、他のすべての参加しているポッドの Unified Access Gateway インスタンスの構成と同じである必要があります。そうでないと、 Universal Broker サービスへの認証が失敗します。

    たとえば、Universal Broker に RADIUS 認証を使用する場合は、参加しているすべてのポッドのすべての Unified Access Gateway インスタンスで同じ RADIUS サービスを構成する必要があります。参加している一部のポッドで RADIUS を構成し、他のポッドで RSA SecurID を構成することはできません。