このトピックでは、Universal Broker で使用するために、Horizon ポッド内の Unified Access Gateway インスタンスを構成する方法について説明します。Universal Broker に必要なトンネル サーバとプロトコルのリダイレクトをサポートするために、各 Unified Access Gateway インスタンスで必要な JSON Web トークンの設定を構成する手順を実行します。

注: 次の手順は、Horizon Connection Server テクノロジー ベースの Horizon ポッド内の Unified Access Gateway インスタンスにのみ必要です。Microsoft Azure の Horizon Cloud ポッドの場合、JSON Web トークンの設定は、ポッドのデプロイ時に自動的に構成されます。(Horizon Connection Server テクノロジー ベースではない) Horizon Cloud ポッド内の Unified Access Gateway インスタンスに対する JSON Web トークンの構成を追加で行う必要はありません。

デフォルトの設計では、Universal Broker は、テナントのポッド フリートの各ポッドでまったく同じ 2 要素認証設定を使用することを想定しています。また、設計上、Universal Broker は、2 要素認証設定で構成されている場合、認証要求を形成し、それを外部 Unified Access Gateway インスタンスに送信します。次にそのインスタンスは、設定で構成されている認証サーバと通信して、特定の認証アクションを処理します。Unified Access Gateway は、次に認証サービスの応答を Universal Broker にリレーします。

そのため、Universal Broker に加えて 2 要素認証が必要な場合は、テナントのポッド フリート内のすべてのポッドで、すべての外部 Unified Access Gateway インスタンスにまったく同じ認証サービスを構成する必要があります。Horizon ポッドのみで構成されているフリートの場合、Universal Broker はすべての Unified Access Gateway インスタンスで RADIUS サービスまたは RSA SecurID サービスの使用をサポートできます。

ただし、テナントに Horizon ポッドと Horizon Cloud ポッドの両方で構成される混合ポッド フリートがある場合は、使用できるオプションは Horizon Cloud on Microsoft Azure デプロイが RSA SecurID オプションを使用する条件を満たしているかどうかによって異なることに注意してください。すべての Horizon Cloud ポッドがマニフェスト 3139.x 以降で、[ポッドを編集] ウィザードに RSA SecurID オプションが表示されている場合は、すべてのポッドが RSA SecurID タイプを使用するように構成できます。それ以外の場合は、すべてのポッド フリートで同一の認証サービスを使用する要件を満たすために RADIUS を使用する必要があります。

前提条件

  • サポートするエンドユーザーのユースケースに応じて、テナントのポッド フリートの各 Horizon ポッドで、適切な Unified Access Gateway アプライアンスを構成していることを確認します。ユースケースの簡単な説明については、Horizon ポッドの Universal Broker のシステム要件を参照してください。
  • これらの Unified Access Gateway アプライアンスがバージョン 3.8 以降を実行しており、Horizon ポッドの Universal Broker のシステム要件に記載されているその他の関連するすべての Unified Access Gateway 要件を満たしていることを確認します。
  • Unified Access Gateway インスタンスとそれに対応するポッドとのペアリングを検証するには、Unified Access Gateway インスタンスに直接接続して、仮想デスクトップにアクセスできることを確認します。

手順

  1. Unified Access Gateway 管理コンソールにログインします。
  2. [手動構成] セクションで、[選択] をクリックします。
  3. [詳細設定] で、[JWT 設定] のギアボックスをクリックします。
  4. JWT 構成セットを作成するには、[追加] をクリックします。
  5. [JWT 設定] ダイアログ ボックスで必要な設定を指定します。
    設定 説明
    Name 構成セットのわかりやすい名前を入力します。
    Issuer Horizon Console に表示される Horizon ポッドのクラスタ名を入力します。

    Horizon Console に表示されるポッドのクラスタ名
    Dynamic Public key URL https://<Horizon pod FQDN>/broker/publicKey/protocolredirection と入力します。ここで、<Horizon pod FQDN> はポッドの一意の FQDN(完全修飾ドメイン名)に置き換えます。通常、FQDN は次のように定義されます。
    • ポッドに複数の Unified Access Gateway インスタンスがある場合は、ローカル ロード バランサのアドレスを FQDN として指定します。
    • ポッドに Unified Access Gateway インスタンスが 1 つしかない場合は、そのインスタンスのペアリングされた Connection Server のアドレスを FQDN として指定します。
    Public key URL thumbprints 認証にパブリック キーの URL を使用するには、Horizon ポッドの証明書の SHA1 サムプリントを入力します。
    注: 認証には、 [パブリック キー URL のサムプリント] または [信頼されている証明書] のいずれかを設定できます。両方のオプションを設定する必要はありません。
    Trusted Certificates 認証に Horizon ポッドの証明書以外の証明書を使用するには、(+) アイコンをクリックして、信頼されている証明書を追加します。
    注: 認証には、 [信頼されている証明書] または [パブリックキー URL のサムプリント] のいずれかを設定できます。両方のオプションを設定する必要はありません。
    Public key refresh interval 最良の結果を得るには 900 と入力します。この値は、更新間隔を 900 秒つまり 15 分に設定します。
    Static public keys このオプションは、デフォルト値のままにします。
  6. [保存] をクリックして、[閉じる] をクリックします。
  7. Universal Broker に 2 要素認証を使用する場合は、[認証設定][表示] 設定を有効にします。次に、Universal Broker でサポートされている 2 要素認証サービスの 1 つの設定を有効にして構成します。現在サポートされているサービスは、RADIUS と RSA SecurID の 2 つです。
    注: 参加しているすべてのポッドの外部 Unified Access Gateway インスタンスで適切な 2 要素認証サービスを構成する必要があります。参加しているポッド内のすべての外部 Unified Access Gateway インスタンスの構成は互いに一致する必要があり、他のすべての参加しているポッドの外部 Unified Access Gateway インスタンスの構成と同じである必要があります。そうでないと、 Universal Broker サービスへの認証が失敗します。

    たとえば、Universal Broker で構成された Horizon ポッドに RADIUS 認証を使用する場合は、参加しているすべての Horizon ポッドにわたって、すべての外部 Unified Access Gateway インスタンスで同じ RADIUS サービスを構成する必要があります。参加している一部のポッドで RADIUS を構成し、他のポッドで RSA SecurID を構成することはできません。