このトピックでは、Universal Broker で使用するために、Horizon ポッド内の Unified Access Gateway インスタンスを構成する方法について説明します。Universal Broker に必要なトンネル サーバとプロトコルのリダイレクトをサポートするために、各 Unified Access Gateway インスタンスで必要な JSON Web トークンの設定を構成する手順を実行します。
デフォルトの設計では、Universal Broker は、テナントのポッド フリートの各ポッドでまったく同じ 2 要素認証設定を使用することを想定しています。また、設計上、Universal Broker は、2 要素認証設定で構成されている場合、認証要求を形成し、それを外部 Unified Access Gateway インスタンスに送信します。次にそのインスタンスは、設定で構成されている認証サーバと通信して、特定の認証アクションを処理します。Unified Access Gateway は、次に認証サービスの応答を Universal Broker にリレーします。
そのため、Universal Broker に加えて 2 要素認証が必要な場合は、テナントのポッド フリート内のすべてのポッドで、すべての外部 Unified Access Gateway インスタンスにまったく同じ認証サービスを構成する必要があります。Horizon ポッドのみで構成されているフリートの場合、Universal Broker はすべての Unified Access Gateway インスタンスで RADIUS サービスまたは RSA SecurID サービスの使用をサポートできます。
ただし、テナントに Horizon ポッドと Horizon Cloud ポッドの両方で構成される混合ポッド フリートがある場合は、使用できるオプションは Horizon Cloud on Microsoft Azure デプロイが RSA SecurID オプションを使用する条件を満たしているかどうかによって異なることに注意してください。すべての Horizon Cloud ポッドがマニフェスト 3139.x 以降で、[ポッドを編集] ウィザードに RSA SecurID オプションが表示されている場合は、すべてのポッドが RSA SecurID タイプを使用するように構成できます。それ以外の場合は、すべてのポッド フリートで同一の認証サービスを使用する要件を満たすために RADIUS を使用する必要があります。
前提条件
- サポートするエンドユーザーのユースケースに応じて、テナントのポッド フリートの各 Horizon ポッドで、適切な Unified Access Gateway アプライアンスを構成していることを確認します。ユースケースの簡単な説明については、Horizon ポッドの Universal Broker のシステム要件を参照してください。
- これらの Unified Access Gateway アプライアンスがバージョン 3.8 以降を実行しており、Horizon ポッドの Universal Broker のシステム要件に記載されているその他の関連するすべての Unified Access Gateway 要件を満たしていることを確認します。
- 各 Unified Access Gateway インスタンスとそれに対応するポッドとのペアリングを検証するには、Unified Access Gateway インスタンスに直接接続して、仮想デスクトップにアクセスできることを確認します。
手順
- 表示されるユーザー インターフェイス ボックスで、次の設定を指定します。
設定 説明 Name 構成セットのわかりやすい名前を入力します。 Issuer Horizon Console に表示される Horizon ポッドのクラスタ名を入力します。 注意: このフィールドは、 Unified Access Gateway 管理ユーザー インターフェイスでは大文字と小文字が区別されます。クラスタ名は、Horizon Console から取得したとおりに正確に入力する必要があります。
Unified Access Gateway ユーザー インターフェイスは、フィールドで大文字と小文字が区別されることについて警告を表示せず、大文字と小文字が正しいかどうかを検証しません。
この大文字と小文字の区別は、Horizon Console に表示される [Cluster] という単語にも適用されます。
Horizon Console に大文字の [C] と小文字の [luster] を含む単語が表示されている場合は、この [発行者] フィールドで正確に一致させ、この [発行者] フィールドに Cluster と入力する必要があります。
この [発行者] フィールドに、Horizon Console に表示される名前と大文字と小文字が正確に一致する名前を入力しないと、Universal Broker のダウンストリームで問題が発生し、エンド ユーザーは Universal Broker FQDN を使用してデスクトップやアプリケーションを起動できなくなります。
Horizon Console でポッドのクラスタ名を見つけるには、Horizon Console の [ダッシュボード] 領域に移動し、ユーザー インターフェイスの上部の縦の領域を確認します。
Horizon Console 内のポッドのクラスタ名の場所を次に示します。
表示される名前の [Cluster] 部分が、先頭の大文字とそれに続く小文字の組み合わせになっていることがわかります。
表示されている名前を Unified Access Gateway 管理ユーザー インターフェイスのこの [発行者] フィールドに正確に入力する必要があります。[発行者] フィールドでは、名前が正しく入力されているかどうかは検証されません。
Dynamic Public key URL ここで入力する値は、ポッドの Connection Server ホスト名、または Connection Server FQDN、またはローカルのロード バランサ(ポッドに複数のゲートウェイ インスタンスがある場合)から取得します。 https://<Horizon pod FQDN>/broker/publicKey/protocolredirection と入力します。ここで、<Horizon pod FQDN> はポッドの一意の FQDN(完全修飾ドメイン名)に置き換えます。通常、FQDN は次のように定義されます。
- ポッドに Unified Access Gateway インスタンスが 1 つしかない場合は、そのインスタンスのペアリングされた Connection Server のアドレスを FQDN として指定します。
- ポッドに複数の Unified Access Gateway インスタンスがある場合は、ローカル ロード バランサのアドレスを FQDN として指定します。
Public key URL thumbprints このフィールドは認証にパブリック キー URL を使用することを指定します。 ポッドの Connection Server 証明書を認証に使用するには、前述の [動的パブリック キー URL] に使用した Connection Server に対する Horizon ポッドの Connection Server 証明書の SHA1 サムプリントを入力します。
注: 認証には、 [パブリック キー URL のサムプリント] または [信頼されている証明書] のいずれかを設定できます。両方のオプションを設定する必要はありません。Trusted Certificates 認証に Horizon ポッドの証明書以外の証明書を使用するには、(+) アイコンをクリックして、信頼されている証明書を追加します。 注: 認証には、 [信頼されている証明書] または [パブリックキー URL のサムプリント] のいずれかを設定できます。両方のオプションを設定する必要はありません。Public key refresh interval 最良の結果を得るには 900 と入力します。この値は、更新間隔を 900 秒つまり 15 分に設定します。 Static public keys このオプションは、デフォルト値のままにします。
