このトピックでは、VMware SDDC ベースのプラットフォーム上の Horizon ポッド内の Unified Access Gateway インスタンスを Universal Broker で使用するように構成する方法について説明します。Universal Broker に必要なトンネル サーバとプロトコルのリダイレクトをサポートするために、各 Unified Access Gateway インスタンスで必要な JSON Web トークンの設定を構成する手順を実行します。

注: 次の手順は、VMware SDDC ベースのプラットフォーム上の Horizon ポッド内の Unified Access Gateway インスタンスにのみ必要です。Microsoft Azure の Horizon Cloud ポッドの場合、JSON Web トークンの設定は、ポッドのデプロイ時に自動的に構成されます。(VMware SDDC ベースのプラットフォームではなく)Microsoft Azure の Horizon Cloud ポッド内の Unified Access Gateway インスタンスに対する JSON Web トークンの構成を追加で行う必要はありません。

テナントが Universal Broker に対して構成されていて、外部エンド ユーザーが 2 要素認証を使用するようにする場合は、ポッド内のすべての外部 Unified Access Gateway インスタンスで適切な RADIUS サービスまたは RSA SecurID サービス(Horizon ポッドでのみ使用可能)を構成する必要があります。

前提条件

  • Universal Broker 環境内の各ポッドに対して、外部 Unified Access Gateway インスタンス、内部 Unified Access Gateway インスタンス、またはその両方が構成済みであることを確認します。
  • Unified Access Gateway のバージョン 3.8 以降が実行されており、Universal Broker のシステム要件に記載されているその他のすべての Unified Access Gateway 要件を満たしていることを確認します。
  • Unified Access Gateway インスタンスとそれに対応するポッドとのペアリングを検証するには、Unified Access Gateway インスタンスに直接接続して、仮想デスクトップにアクセスできることを確認します。

手順

  1. Unified Access Gateway 管理コンソールにログインします。
  2. [手動構成] セクションで、[選択] をクリックします。
  3. [詳細設定] で、[JWT 設定] のギアボックスをクリックします。
  4. JWT 構成セットを作成するには、[追加] をクリックします。
  5. [JWT 設定] ダイアログ ボックスで必要な設定を指定します。
    設定 説明
    Name 構成セットのわかりやすい名前を入力します。
    Issuer Horizon Console に表示される Horizon ポッドのクラスタ名を入力します。

    Horizon Console に表示されるポッドのクラスタ名
    Dynamic Public key URL https://<Horizon pod FQDN>/broker/publicKey/protocolredirection と入力します。ここで、<Horizon pod FQDN> はポッドの一意の FQDN(完全修飾ドメイン名)に置き換えます。通常、FQDN は次のように定義されます。
    • ポッドに複数の Unified Access Gateway インスタンスがある場合は、ローカル ロード バランサのアドレスを FQDN として指定します。
    • ポッドに Unified Access Gateway インスタンスが 1 つしかない場合は、そのインスタンスのペアリングされた Connection Server のアドレスを FQDN として指定します。
    Public key URL thumbprints 認証にパブリック キーの URL を使用するには、Horizon ポッドの証明書の SHA1 サムプリントを入力します。
    注: 認証には、 [パブリック キー URL のサムプリント] または [信頼されている証明書] のいずれかを設定できます。両方のオプションを設定する必要はありません。
    Trusted Certificates 認証に Horizon ポッドの証明書以外の証明書を使用するには、(+) アイコンをクリックして、信頼されている証明書を追加します。
    注: 認証には、 [信頼されている証明書] または [パブリックキー URL のサムプリント] のいずれかを設定できます。両方のオプションを設定する必要はありません。
    Public key refresh interval 最良の結果を得るには 900 と入力します。この値は、更新間隔を 900 秒つまり 15 分に設定します。
    Static public keys このオプションは、デフォルト値のままにします。
  6. [保存] をクリックして、[閉じる] をクリックします。
  7. Universal Broker に 2 要素認証を使用する場合は、[認証設定][表示] 設定を有効にします。次に、Universal Broker でサポートされているセキュリティ サービスである、[RSA SecurID](Horizon ポッドでのみ使用可能)または [RADIUS] の設定を有効にして構成します。
    注: 参加しているすべてのポッドの外部 Unified Access Gateway インスタンスで適切な 2 要素認証サービスを構成する必要があります。参加しているポッド内のすべての外部 Unified Access Gateway インスタンスの構成は互いに一致する必要があり、他のすべての参加しているポッドの外部 Unified Access Gateway インスタンスの構成と同じである必要があります。そうでないと、 Universal Broker サービスへの認証が失敗します。

    たとえば、Universal Broker で構成された Horizon ポッドに RADIUS 認証を使用する場合は、参加しているすべての Horizon ポッドにわたって、すべての外部 Unified Access Gateway インスタンスで同じ RADIUS サービスを構成する必要があります。参加している一部のポッドで RADIUS を構成し、他のポッドで RSA SecurID を構成することはできません。