マルチクラウド割り当てからリソースを割り当てるために Universal Broker を使用するには、特定の設定を行う必要があります。これらの設定には、Universal Broker サービスの完全修飾ドメイン名 (FQDN) およびオプションの 2 要素認証が含まれます。セッション タイムアウト値と特定の Horizon 機能へのユーザー アクセスを設定することもできます。

テナント全体の仲介方法として Universal Broker を選択すると、Universal Broker の構成ウィザードが自動的に開きます。構成ウィザードは、手動で開くこともできます。

前提条件

ポッドのタイプに応じて必要なシステム コンポーネントを準備します。

[オンプレミスまたは VMware Cloud on AWS にデプロイされた Horizon ポッド:]

[Microsoft Azure 内のポッド:]

手順

  1. 必要な場合は、Universal Broker をセットアップするための構成ウィザードを開きます。
    • [はじめに] ページで [全般的なセットアップ] > [ブローカ] に移動し、[検索] をクリックします。次に、[セットアップ] をクリックして新しい構成を指定するか、鉛筆アイコンをクリックして既存の構成を編集します。
    • [設定] > [ブローカ] の順に選択します。次に、[セットアップ] をクリックして新しい構成を指定するか、鉛筆アイコンをクリックして既存の構成を編集します。
    Universal Broker の構成ウィザードが表示されます。
  2. ウィザードの [FQDN] ページで、仲介接続の FQDN を設定します。これらの設定は、エンド ユーザーが Universal Broker によって割り当てられるリソースにアクセスするために使用する専用接続アドレスを定義します。
    注: サブドメインまたは FQDN 設定を変更すると、すべての DNS サーバで変更が有効になるまでに時間がかかる場合があります。
    1. [タイプ] には、[VMware が提供] または [カスタム] の完全修飾ドメイン名 (FQDN) を選択します。
    2. 選択した FQDN タイプの追加設定を指定します。
      • [VMware が提供] タイプを選択した場合、次のように設定を指定します。
        設定 説明
        Sub Domain 会社または組織を表すネットワーク構成内の有効なサブドメインの一意の DNS 名を入力します。このサブドメインは、仲介の FQDN を形成するために、VMware が提供するドメインの先頭に付けられます。
        Brokering FQDN この読み取り専用フィールドには、構成された FQDN が表示されます。FQDN は https://<your sub-domain>vmwarehorizon.com の形式を使用します。

        この FQDN をエンド ユーザーに提供し、Horizon Client を使用して Universal Broker サービスに接続できるようにします。

        Universal Broker は、この FQDN の DNS および SSL 検証を管理します。

        次のスクリーンショットは、VMware 提供の FQDN の設定が入力された構成ウィザードの例を示しています。


        VMware 提供の FQDN 設定が入力された Universal Broker 構成ウィザード
      • [カスタム] タイプを選択した場合、次のように設定を指定します。
        設定 説明
        Brokering FQDN エンド ユーザーが Universal Broker サービスへのアクセスに使用するカスタムの FQDN を入力します。カスタム FQDN は、サービスへの接続を完了する自動生成された VMware 提供の FQDN のエイリアスとして機能します。

        カスタム FQDN 内で指定されたドメイン名の所有者であること、またそのドメインを検証できる証明書を指定することが必要です。

        注: カスタム FQDN は、接続 URL とも呼ばれ、会社または組織を表します。このカスタム FQDN を使用するための適切な権限があることを確認します。
        重要: カスタム FQDN を Universal Broker サービスの内部接続アドレスを表す VMware 提供の FQDN にマッピングする CNAME レコードを DNS サーバに作成する必要があります。たとえば、レコードは vdi.examplecompany.com<自動生成文字列>.vmwarehorizon.com にマッピングすることがあります。
        Certificate [参照] をクリックして、仲介の FQDN を検証する証明書(パスワード保護された PFX 形式)をアップロードします。証明書は信頼されている認証局によって署名され、証明書のサブジェクトの別名 (SAN) は FQDN と一致する必要があります。

        PFX ファイルに、ドメイン証明書、中間証明書、ルート CA 証明書、プライベート キーを含む、完全な証明書チェーンが含まれている必要があります。

        Universal Broker サービスは、この証明書を使用して、クライアントとの信頼された接続セッションを確立します。

        Password PFX 証明書ファイルのパスワードを入力します。
        VMware Provided FQDN この読み取り専用フィールドには、仲介サービス用に自動的に作成される VMware 提供の FQDN が表示されます。FQDN は https://<auto-generated string>.vmwarehorizon.com の形式を使用します。

        VMware 提供の FQDN はエンド ユーザーには表示されず、Universal Broker サービスの内部接続アドレスを表します。カスタム FQDN は、VMware 提供の FQDN のエイリアスとして機能します。

        重要: カスタム FQDN を VMware 提供の FQDN にマッピングする CNAME レコードを DNS サーバに作成して、エイリアスの関連付けを設定する必要があります。たとえば、レコードは vdi.examplecompany.com<自動生成文字列>.vmwarehorizon.com にマッピングすることがあります。

        次のスクリーンショットは、カスタム FQDN の設定が入力された構成ウィザードの例を示しています。


        カスタム FQDN 設定が入力された Universal Broker 構成ウィザード
    3. FQDN 設定の構成が完了したら、[次へ] をクリックしてウィザードの次のページに進みます。
  3. (オプション)ウィザードの [認証] ページで、2 要素認証を構成します。
    デフォルトでは、 Universal Broker は Active Directory のユーザー名とパスワードのみを使用してユーザーを認証します。追加の認証方法を指定することで、2 要素認証を実装できます。
    重要: Universal Broker に 2 要素認証を使用するには、まず、参加しているすべてのポッドの各 Unified Access Gateway インスタンスで適切な認証サービスを構成する必要があります。 Unified Access Gateway インスタンスの構成は、参加しているポッド内およびポッド間で同一でなければなりません。

    たとえば RADIUS 認証を使用する場合は、参加しているすべての Horizon ポッドおよび Microsoft Azure のポッドにわたって、各 Unified Access Gateway インスタンスに RADIUS サービスを構成する必要があります。

    参加しているポッド内の Unified Access Gateway インスタンスを削除しないでください。Universal Broker は、Horizon Client と仮想リソース間のプロトコル トラフィックの Unified Access Gateway に依存しているため、参加しているポッドの Unified Access Gateway インスタンスを削除すると、ユーザーはそのポッドからプロビジョニングされたリソースにアクセスできなくなります。

    設定 説明
    2 Factor Authentication

    2 要素認証を使用するには、このトグルを有効にします。

    トグルを有効にすると、2 要素認証を構成するための追加オプションが表示されます。

    Type

    Active Directory のユーザー名とパスワードに加えて使用する認証方法を指定します。

    • Horizon ポッドおよび Microsoft Azure のポッドの両方で 2 要素認証を使用するには、[RADIUS] を選択します。
    • Horizon ポッドにのみ 2 要素認証を使用するには、[RSA SecurID] を選択します。
    注: 今回のリリースでは、RSA SecurID は Horizon ポッドではサポートされていますが、Microsoft Azure のポッドではサポートされていません。 [RSA SecurID] を選択した場合、ユーザーの RSA 認証要求は、Horizon ポッドの Unified Access Gateway インスタンスを通じてのみ試行されます。Active Directory のユーザー名とパスワードの認証要求は、Horizon ポッドまたは Microsoft Azure のポッドの Unified Access Gateway インスタンスを通じて試行されます。
    Maintain User Name Universal Broker への認証中にユーザーの Active Directory ユーザー名を維持する場合はこのトグルを有効にします。有効になっている場合:
    • ユーザーは、Universal Broker に対する Active Directory 認証の場合と同じユーザー名認証情報を追加の認証方法でも利用できる必要があります。
    • ユーザーは、クライアント ログイン画面でユーザー名を変更することができません。

    このトグルが無効になると、ユーザーはログイン画面で別のユーザー名を入力することができます。

    Show Hint Text このトグルを有効にすると、クライアントのログイン画面に表示されるテキスト文字列を構成して、ユーザーに追加の認証方法に対する認証情報の入力を求めることができます。
    Custom Hint Text クライアントのログイン画面に表示するテキスト文字列を入力します。指定されたヒントは、Enter your DisplayHint user name and password としてエンド ユーザーに表示されます。ここで、DisplayHint はこのテキスト ボックスで指定するテキスト文字列です。

    このヒントを参考にして、ユーザーは正しい認証情報を入力することができます。たとえば、Company user name and domain password below for のようなフレーズを入力すると、Enter your Company user name and domain password below for user name and password というプロンプトがエンド ユーザーに表示されます。

    次のスクリーンショットは、2 要素認証設定が入力された構成ウィザードの例を示しています。

    2 要素認証設定が入力された Universal Broker 構成ウィザード
    2 要素認証の構成が完了したら、 [次へ] をクリックしてウィザードの次のページに進みます。
  4. 構成ウィザードの [設定] ページで、Horizon Client[期間] 設定を構成します。
    これらのタイムアウト設定は、 Horizon ClientUniversal Broker によって割り当てられた割り当て済みのデスクトップ間の接続セッションに適用されます。これらの設定は、割り当てられたデスクトップのゲスト OS へのユーザーのログイン セッションには適用されません。 Universal Broker がこれらの設定で指定されたタイムアウト状態を検出すると、ユーザーの Horizon Client 接続セッションを閉じます。
    設定 説明
    Client Heartbeat Interval Horizon Client ハートビートの間隔(分)と、ユーザーの Universal Broker への接続状態を制御します。これらのハートビートは、Horizon Client 接続セッション中に経過したアイドル時間を Universal Broker にレポートします。

    Horizon Client を実行しているエンドポイント デバイスとの相互作用が発生しない場合、アイドル時間が測定されます。このアイドル時間は、ユーザーに割り当てられたデスクトップの基盤となるゲスト OS へのログイン セッションがアクティブでない状態であることの影響を受けません。

    大規模なデスクトップ デプロイでは、[クライアントのハートビート間隔] を増やすとネットワーク トラフィックが減少し、パフォーマンスが向上する場合があります。

    Client Idle User Horizon ClientUniversal Broker 間の接続セッションで許可される最大アイドル時間(分)。

    最大時間に達すると、ユーザーの認証期間が期限切れになり、Universal Broker はすべてのアクティブな Horizon Client セッションを閉じます。接続セッションを再度開くには、ユーザーは Universal Broker ログイン画面で認証情報を再入力する必要があります。

    注: 割り当てられたデスクトップからユーザーが予期せず切断されないようにするには、 [クライアントのアイドル ユーザー] タイムアウトを [クライアントのハートビート間隔] の少なくとも 2 倍の値に設定します。
    Client Broker Session ユーザーの認証の有効期限が切れるまでの Horizon Client 接続セッションの最大許容時間(分)。この時間はユーザーが Universal Broker に対して認証されると開始します。セッションのタイムアウトが発生すると、ユーザーは割り当てられたデスクトップで作業を続行できます。ただし、Universal Broker との通信を必要とする設定の変更などのアクションを実行すると、Horizon Client によって Universal Broker の認証情報を再入力するように求められます。
    注: [クライアントのブローカ セッション] のタイムアウトは、少なくとも [クライアントのハートビート間隔] 値と [クライアントのアイドル ユーザー] のタイムアウトの合計値以上にする必要があります。
    Client Credential Cache ユーザーのログイン認証情報をクライアント システム キャッシュに保存するかどうかを制御します。キャッシュにユーザー認証情報を保存するには、1 と入力します。キャッシュにユーザー認証情報を保存しない場合は、0 と入力します。
  5. 構成ウィザードの [設定] ページで、[ポリシーの詳細] を構成します。
    [ポリシーの詳細] は、エンド ユーザーが特定の Horizon 機能(デスクトップとクライアントで使用可能である場合)にアクセスできるかどうかを制御します。
    設定 説明
    Multimedia Redirection (MMR) この設定を有効にすると、エンド ユーザーがマルチメディア リダイレクト機能(デスクトップとクライアントで使用可能な場合)にアクセスできるようになります。
    USB Access この設定を有効にすると、エンド ユーザーが USB リダイレクト機能(デスクトップとクライアントで使用可能な場合)にアクセスできるようになります。
    Clean Up HTML Access Credentials When Tab is Closed

    この設定を有効にすると、リモート デスクトップに接続するタブや、HTML Access クライアントのデスクトップの選択ページに接続するタブをユーザーが閉じるときに、キャッシュからユーザーの認証情報を削除します。

    この設定が有効である場合、次の HTML Access クライアントのシナリオにおいても認証情報はキャッシュから削除されます。

    • ユーザーが、デスクトップの選択ページやリモート セッション ページを更新する。
    • サーバから自己署名証明書が提示されており、ユーザーがリモート デスクトップを起動し、セキュリティの警告が表示されるときにユーザーがその証明書を受け入れる。
    • リモート セッションが含まれるタブで URI コマンドをユーザーが実行する。

    この設定が無効である場合、証明書はキャッシュに残ります。

    Allow Client to Wait for Powered-Off VM この設定を有効にすると、Horizon Client は現在使用できないリモート デスクトップへの接続要求を再試行することができます。

    たとえば、クライアント ユーザーは、現在パワーオフ状態のデスクトップを要求する場合があります。この設定を有効にすると、Horizon Client はその接続要求を再送信して、デスクトップがパワーオンされ、使用可能になったときに接続セッションを確立できます。

    [ポリシーの詳細] の構成が完了したら、 [次へ] をクリックしてウィザードの次の手順に進みます。
  6. [サマリ] ページで設定を確認し、[終了] をクリックして構成を保存して適用します。
    すべてのグローバ ルリージョンの DNS サーバ間で DNS レコードが伝達されるため、通常、構成設定が Universal Broker サービスで完全に有効になるまでに数秒かかります。ただし、システムとネットワークの状態によっては、このプロセスが完了するまでに最大 30 分かかることがあります。この期間中は Universal Broker サービスを利用できません。構成プロセスが完了すると、[はじめに] ページの [ブローカ] セクションに [完了] のステータスが表示されます。

次のタスク

オンプレミスまたは VMware Cloud on AWS にデプロイされた Horizon ポッドに対して Universal Broker を構成している場合は、ポッドを管理対象状態に変更する手順に進みます。 Horizon ポッド - ポッドを管理対象状態に変更するを参照してください。