Universal Broker の設定

この記事では、接続 FQDN または URL、2 要素認証、セッションタイムアウト、Horizon 機能ポリシーなど、Universal Broker 設定を構成するための詳細な手順を説明します。

エンドユーザーの割り当てからのリソースの仲介に Universal Broker を使用するには、最初に特定の設定を構成する必要があります。

Universal Broker の初回セットアップに、Universal Broker セットアップの開始で説明されているように構成ウィザードが自動的に開きます。

サービスの使用中に設定を修正する必要がある場合は、コンソールの [ブローカ] ページまたは [はじめに] ページから構成ウィザードを再度開くことができます。

この構成ウィザードの 2 要素認証設定に関するいくつかの重要なポイント

設計上、Universal Broker は、2 要素認証設定を使用して構成されている場合、認証要求を形成し、それを外部の Unified Access Gateway インスタンスに送信します。次にそのインスタンスは、設定で構成されている実際の認証サーバと通信します。Unified Access Gateway は、次に認証サービスの応答を Universal Broker にリレーします。
デフォルトの設計では、テナントのポッドフリート内の各ポッドに使用される同じ Universal Broker 2 要素認証設定がテナント全体に適用されます。Universal Broker に 2 要素認証を使用するには、まず、ポッドフリート内で参加しているすべてのポッドの各外部 Unified Access Gateway インスタンスで適切な認証サービスを構成する必要があります。外部 Unified Access Gateway インスタンスの構成は、参加しているポッド内およびポッド間で同一でなければなりません。
たとえば、ポッドフリートが Horizon ポッドと Horizon Cloud ポッドの両方で構成されている場合、RADIUS 認証を使用するには、これらすべての Horizon ポッドと Horizon Cloud ポッドにわたって、各外部 Unified Access Gateway インスタンスに RADIUS サービスを構成します。

前提条件

重要：エンドユーザーがインターネットから接続する場合、または 2 要素認証を使用する場合は、ポッドにある外部 Unified Access Gateway インスタンスを削除しないでください。外部エンドユーザーの場合、クライアントが Universal Broker で認証された後、エンドユーザークライアントから仮想デスクトップまたはリモートアプリケーションを正常に起動するには、外部 Unified Access Gateway が必要です。2 要素認証の場合、 Universal Broker は、2 要素認証設定を外部 Unified Access Gateway と一致させ、そのために外部 Unified Access Gateway 構成が必要です。

ポッドのタイプに応じて必要なシステムコンポーネントを準備します。これらの前提条件の確認は、テナントが初めて Universal Broker をセットアップするためのウィザードを完了するときに特に重要です。

Horizon ポッド（ Horizon Connection Server テクノロジーベース）の場合：

必要なポートを構成します（Horizon ポッド - Universal Broker の DNS、ポートおよびプロトコルの要件を参照）。
Horizon ポッド - Connection Server への Universal Broker プラグインのインストール。
Horizon ポッド - Universal Broker で使用する Unified Access Gateway を構成する。Universal Broker で Horizon ポッドに 2 要素認証を使用する場合は、参加しているすべてのポッド内の各 Unified Access Gateway インスタンスで適切な 2 要素認証サービスを構成します。詳細については、Universal Broker 環境で 2 要素認証を実装する際のベストプラクティスを参照してください。
2 要素認証を外部ユーザーに対してのみ有効にして、内部ユーザーに対してはバイパスさせる場合は、Universal Broker の内部ネットワーク範囲の定義を行います。
Universal Broker セットアップの開始の説明に従って、Horizon ポッドのテナント全体のコネクションブローカとして Universal Broker を選択します。

Horizon Cloud ポッドの場合（ Horizon Cloud ポッドマネージャテクノロジーベース）：

地域の Universal Broker インスタンスに必要な DNS 名が解決可能であり、アクセス可能であることを確認します。Microsoft Azure での Horizon Cloud ポッドの DNS の要件の「ポッドのデプロイと操作に関する DNS の要件」の表を参照してください。
必要なポートとプロトコルを構成します（Horizon Cloud ポッド - ポートおよびプロトコルの要件の「Universal Broker で必要なポートとプロトコル」セクションを参照）。
Universal Broker で Horizon Cloud ポッドに 2 要素認証を使用する場合は、参加しているすべてのポッド内の各外部 Unified Access Gateway インスタンスで同じタイプの認証サービスを構成します。Horizon Cloud ポッドのゲートウェイでの 2 要素認証の有効化およびUniversal Broker 環境で 2 要素認証を実装する際のベストプラクティスを参照してください。
2 要素認証を外部ユーザーに対してのみ有効にして、内部ユーザーに対してはバイパスさせる場合は、Universal Broker の内部ネットワーク範囲の定義を行います。
Horizon Cloud ポッドのテナント全体のコネクションブローカとして Universal Broker を選択します（Horizon Universal Console を使用した Universal Broker の有効化の開始を参照）。

重要：ウィザードの最後の手順を送信する前に、すべての Horizon Cloud ポッドがオンラインで、健全な状態で準備が整っている必要があります。設定の適用中、セットアッププロセスを完了するために、 Universal Broker サービスはポッドとの通信を行い、ポッドでいくつかの構成手順を実行する必要があります。いずれかのポッドがオフラインまたは使用できない場合、 Universal Broker のセットアップは失敗します。

手順

Universal Broker をセットアップするための構成ウィザードを開きます。

または、[設定] > [ブローカ] の順にクリックし、鉛筆アイコンをクリックして構成を編集して、ウィザードを直接開くことができます。

Universal Broker セットアップの開始の手順の直後にこのウィザードを完了する場合

この場合、ウィザードを終了する前にキャンセルしない限り、コンソールには通常ウィザードがすでに表示されています。ウィザードを終了する前にキャンセルした場合は、 [設定] > [ブローカ] の順に移動して、 [セットアップ] をクリックし、ウィザードを直接開きます。

保存した構成を修正する場合

[設定] > [ブローカ] の順に移動し、その構成の横にある鉛筆アイコンをクリックして、ウィザードを直接開きます。

Universal Broker の構成ウィザードが表示されます。現在のリリースでは、ウィザードセクションは FQDN、認証、およびクライアントセッションに適用可能な一部のデフォルト設定に対応しています。

ウィザードの [FQDN] ページで、Universal Broker サービスの完全修飾ドメイン名 (FQDN) の設定を構成します。これらの設定は、エンドユーザーが Universal Broker によって仲介されるリソースにアクセスするために使用する専用接続アドレスまたは URL を定義します。

注：サブドメインまたは FQDN 設定を変更すると、すべての DNS サーバで変更が有効になるまでに時間がかかる場合があります。

[タイプ] には、[VMware が提供] または [お客様が提供] の完全修飾ドメイン名 (FQDN) を選択します。

選択した FQDN タイプの追加設定を指定します。

[VMware が提供]

設定説明

設定	説明
[サブドメイン]	会社または組織を表すネットワーク構成内の有効なサブドメインの一意の DNS 名を入力します。このサブドメインは、仲介の FQDN を形成するために、VMware が提供するドメインの先頭に付けられます。注：一部の文字列は、システムによって禁止または予約されています。そのような文字列のカテゴリには、 `book` のような一般的な語句、 `gmail` のような有名企業が所有している既知の用語、プロトコル、コーディング、オープンソースの用語（たとえば `php` や `sql`）などがあります。またシステムは、 `mail0`、 `mail1`、 `mail2` など、これらの文字列のパターンのカテゴリを禁止します。ただし、このフィールドに禁止されている名前を入力すると、システムはその時点での入力を検証しません。ウィザードの最終サマリステップに到達した時点で初めて、システムはここで入力した名前を検証し、入力が禁止された名前のいずれかに一致した場合はエラーが表示されます。その場合は、より一意の名前をここで入力します。
[ブローカ URL]	この読み取り専用フィールドには、構成された FQDN が表示されます。FQDN は https://`<your sub-domain>`vmwarehorizon.com の形式を使用します。この FQDN をエンドユーザーに提供し、Horizon Client を使用して Universal Broker サービスに接続できるようにします。 Universal Broker は、この FQDN の DNS および SSL 検証を管理します。

[サブドメイン]

会社または組織を表すネットワーク構成内の有効なサブドメインの一意の DNS 名を入力します。このサブドメインは、仲介の FQDN を形成するために、VMware が提供するドメインの先頭に付けられます。

注：一部の文字列は、システムによって禁止または予約されています。そのような文字列のカテゴリには、 book のような一般的な語句、 gmail のような有名企業が所有している既知の用語、プロトコル、コーディング、オープンソースの用語（たとえば php や sql）などがあります。またシステムは、 mail0、 mail1、 mail2 など、これらの文字列のパターンのカテゴリを禁止します。

ただし、このフィールドに禁止されている名前を入力すると、システムはその時点での入力を検証しません。ウィザードの最終サマリステップに到達した時点で初めて、システムはここで入力した名前を検証し、入力が禁止された名前のいずれかに一致した場合はエラーが表示されます。その場合は、より一意の名前をここで入力します。

[ブローカ URL]

この読み取り専用フィールドには、構成された FQDN が表示されます。FQDN は https://<your sub-domain>vmwarehorizon.com の形式を使用します。

この FQDN をエンドユーザーに提供し、Horizon Client を使用して Universal Broker サービスに接続できるようにします。

Universal Broker は、この FQDN の DNS および SSL 検証を管理します。

次のスクリーンショットは、VMware 提供の FQDN の設定が入力された構成ウィザードの例を示しています。

VMware 提供の FQDN 設定が入力された Universal Broker 構成ウィザード

[お客様が提供]

設定	説明
[仲介の FQDN]	エンドユーザーが Universal Broker サービスへのアクセスに使用するカスタムの FQDN を入力します。カスタム FQDN は、サービスへの接続を完了する自動生成された VMware 提供の FQDN のエイリアスとして機能します。カスタム FQDN 内で指定されたドメイン名の所有者であること、またそのドメインを検証できる証明書を指定することが必要です。注：カスタム FQDN は、接続 URL とも呼ばれ、会社または組織を表します。このカスタム FQDN を使用するための適切な権限があることを確認します。注：カスタム FQDN は、ポッド内のすべての Unified Access Gateway インスタンスの FQDN とは異なる一意の値でなければなりません。重要：カスタム FQDN を Universal Broker サービスの内部接続アドレスを表す VMware 提供の FQDN にマッピングする CNAME レコードを DNS サーバに作成する必要があります。たとえば、レコードは `vdi.examplecompany.com` を `<自動生成文字列>.vmwarehorizon.com` にマッピングすることがあります。
[証明書]	[参照] をクリックして、仲介の FQDN を検証する証明書（パスワード保護された PFX 形式）をアップロードします。証明書は以下の条件をすべて満たす必要があります。 90 日以上有効である信頼されている認証局 (CA) によって署名されている証明書の共通名 (CN) またはそのサブジェクト代替名 (SAN) のいずれかが FQDN と一致している証明書の内容が標準の X.509 形式に準拠している PFX ファイルに、ドメイン証明書、中間証明書、ルート CA 証明書、プライベートキーを含む、完全な証明書チェーンが含まれている必要があります。 Universal Broker サービスは、この証明書を使用して、クライアントとの信頼された接続セッションを確立します。注：証明書の CN または SAN フィールドにワイルドカード FQDN を含めることができます。ワイルドカード文字が参照識別子の左端のサブドメインの唯一の文字である場合、左端のサブドメインに一致する FQDN のみが証明書によって検証されます。たとえば、証明書にワイルドカード FQDN `*.mycompany.com` が含まれている場合、一致ルールにより、 `vdi.mycompany.com` が有効な仲介 FQDN として許可されます。ただし、 `test.vdi.mycompany.com` は参照識別子と一致しないため、許可されません。
[パスワード]	PFX 証明書ファイルのパスワードを入力します。
[VMware 提供の FQDN]	この読み取り専用フィールドには、仲介サービス用に自動的に作成される VMware 提供の FQDN が表示されます。FQDN は https://`<auto-generated string>`.vmwarehorizon.com の形式を使用します。 VMware 提供の FQDN はエンドユーザーには表示されず、Universal Broker サービスの内部接続アドレスを表します。カスタム FQDN は、VMware 提供の FQDN のエイリアスとして機能します。重要：カスタム FQDN を VMware 提供の FQDN にマッピングする CNAME レコードを DNS サーバに作成して、エイリアスの関連付けを設定する必要があります。たとえば、レコードは `vdi.examplecompany.com` を `<自動生成文字列>.vmwarehorizon.com` にマッピングすることがあります。

次のスクリーンショットは、カスタム FQDN の設定が入力された構成ウィザードの例を示しています。

カスタム FQDN 設定が入力された Universal Broker 構成ウィザード

FQDN 設定の構成が完了したら、[次へ] をクリックしてウィザードの次のページに進みます。

（オプション）ウィザードの [認証] ページで、2 要素認証を構成します。

デフォルトでは、 Universal Broker は Active Directory のユーザー名とパスワードのみを使用してユーザーを認証します。追加の認証方法を指定することで、2 要素認証を実装できます。詳細については、 Universal Broker 環境で 2 要素認証を実装する際のベストプラクティスを参照してください。

設定	説明
[2 要素認証]	2 要素認証を使用するには、このトグルを有効にします。トグルを有効にすると、2 要素認証を構成するための追加オプションが表示されます。
[ユーザー名を維持]	Universal Broker への認証中にユーザーの Active Directory ユーザー名を維持する場合はこのトグルを有効にします。有効になっている場合：ユーザーは、Universal Broker に対する Active Directory 認証の場合と同じユーザー名認証情報を追加の認証方法でも利用できる必要があります。ユーザーは、クライアントログイン画面でユーザー名を変更することができません。このトグルがオフになると、ユーザーはログイン画面で別のユーザー名を入力することができます。
[タイプ]	Active Directory のユーザー名とパスワードに加えて、Universal Broker がエンドユーザーで使用する認証方法を指定します。ユーザーインターフェイスには、[RADIUS] と [RSA SecurID] の 2 つの選択肢が表示されます。この設定は、テナント全体に適用されます。エンドユーザークライアントの動作は、以下のように、テナントのポッドフリートの構成と、ポッドのゲートウェイで構成されている 2 要素認証タイプによって異なります。 Horizon ポッドのみここで選択するタイプは、クライアントで使用されるタイプです。 Horizon Cloud ポッドのみポッドの外部ゲートウェイで構成されているタイプと一致するタイプを選択します。 Horizon ポッドと Horizon Cloud on Microsoft Azure デプロイの混在混合フリートでは、ここで [RADIUS] を選択すると、両方のポッドタイプの Unified Access Gateway インスタンスを介してユーザーの RADIUS 認証要求が試行されます。混合フリートでは、ここで [RSA SecurID] を選択すると、クライアントの動作は、Horizon Cloud on Microsoft Azure デプロイが外部ゲートウェイで RSA SecurID を使用して構成されているかどうかによって異なります。 Horizon Cloud on Microsoft Azure デプロイのゲートウェイで RSA SecurID タイプが構成されていない場合、ここで [RSA SecurID] を選択すると、Horizon ポッドの Unified Access Gateway インスタンスのみを介してユーザーの RSA 認証要求が試行されます。Active Directory のユーザー名とパスワードの認証要求は、Horizon ポッドまたは Horizon Cloud ポッドの Unified Access Gateway インスタンスを通じて試行されます。 Horizon Cloud on Microsoft Azure デプロイで RSA SecurID タイプが構成されている場合、ユーザーの RSA 認証要求は両方のポッドタイプの Unified Access Gateway インスタンスを介して試行されます。
[ヒントのテキストを表示]	RADIUS タイプに適用されます。このトグルを有効にすると、クライアントのログイン画面に表示されるテキスト文字列を構成して、ユーザーに追加の認証方法に対する認証情報の入力を求めることができます。
[カスタムヒントのテキスト]	このフィールドは、ヒントテキストの表示を選択した場合に使用できます。RADIUS タイプに適用されます。クライアントのログイン画面に表示するテキスト文字列を入力します。指定されたヒントは、`Enter your DisplayHint user name and password` としてエンドユーザーに表示されます。ここで、`DisplayHint` はこのテキストボックスで指定するテキスト文字列です。注： Universal Broker のヒントテキストに、 `& < > ' "` の文字を含めることはできません。これらの許可されていない文字のいずれかをヒントテキストに含めると、ユーザーは Universal Broker FQDN への接続に失敗します。このヒントを参考にして、ユーザーは正しい認証情報を入力することができます。たとえば、`Company user name and domain password below for` のようなフレーズを入力すると、`Enter your Company user name and domain password below for user name and password` というプロンプトがエンドユーザーに表示されます。
[2 要素認証をスキップ]	Universal Broker サービスに接続している内部ネットワークユーザーの 2 要素認証をバイパスするには、このトグルを有効にします。Universal Broker の内部ネットワーク範囲の定義の説明に従って、内部ネットワークに属しているパブリック IP アドレス範囲を指定していることを確認します。このトグルが有効になると、内部ユーザーは、Universal Broker サービスに対して認証するために、Active Directory の認証情報のみを入力する必要があります。外部ユーザーは、Active Directory の認証情報と、追加の認証サービスの認証情報の両方を入力する必要があります。このトグルがオフになると、内部および外部の両方のユーザーは、Active Directory の認証情報と、追加の認証サービスの認証情報を入力する必要があります。
[パブリック IP アドレス範囲]	このフィールドは、[2 要素認証をスキップ] が有効になっている場合に表示されます。 [ブローカ] ページの [ネットワーク範囲] タブで 1 つ以上のパブリック IP アドレス範囲がすでに指定されている場合、このフィールドは読み取り専用で、これらの IP アドレス範囲が一覧表示されます。 [ブローカ] ページの [ネットワーク範囲] タブにパブリック IP アドレス範囲がまだ指定されていない場合は、このフィールドを使用して、内部ネットワークを表すパブリック IP アドレス範囲を指定し、それらの範囲からのトラフィックの 2 要素認証プロンプトをスキップすることができます。Universal Broker は、これらのいずれかの範囲内の IP アドレスから接続しているユーザーを、内部ユーザーと見なします。これらの範囲を指定する目的の詳細については、Universal Broker の内部ネットワーク範囲の定義を参照してください。

次のスクリーンショットは、RADIUS タイプでの 2 要素認証設定が入力された構成ウィザードの例を示しています。
2 要素認証設定が入力された Universal Broker 構成ウィザード

選択が完了したら、 [次へ] をクリックしてウィザードの次のページに進みます。

構成ウィザードの [設定] ページで、Horizon Client の [期間] 設定を構成します。

これらのタイムアウト設定は、 Horizon Client と Universal Broker によって割り当てられた割り当て済みのデスクトップ間の接続セッションに適用されます。これらの設定は、割り当てられたデスクトップのゲスト OS へのユーザーのログインセッションには適用されません。 Universal Broker がこれらの設定で指定されたタイムアウト状態を検出すると、ユーザーの Horizon Client 接続セッションを閉じます。

設定	説明
[Client ハートビートの間隔]	Horizon Client ハートビートの間隔（分）と、ユーザーの Universal Broker への接続状態を制御します。これらのハートビートは、Horizon Client 接続セッション中に経過したアイドル時間を Universal Broker にレポートします。 Horizon Client を実行しているエンドポイントデバイスとの相互作用が発生しない場合、アイドル時間が測定されます。このアイドル時間は、ユーザーに割り当てられたデスクトップの基盤となるゲスト OS へのログインセッションがアクティブでない状態であることの影響を受けません。大規模なデスクトップデプロイでは、[クライアントのハートビート間隔] を増やすとネットワークトラフィックが減少し、パフォーマンスが向上する場合があります。
[Client アイドルユーザー]	Horizon Client と Universal Broker 間の接続セッションで許可される最大アイドル時間（分）。最大時間に達すると、ユーザーの認証期間が期限切れになり、Universal Broker はすべてのアクティブな Horizon Client セッションを閉じます。接続セッションを再度開くには、ユーザーは Universal Broker ログイン画面で認証情報を再入力する必要があります。注：割り当てられたデスクトップからユーザーが予期せず切断されないようにするには、 [クライアントのアイドルユーザー] タイムアウトを [クライアントのハートビート間隔] の少なくとも 2 倍の値に設定します。
[Client ブローカセッション]	ユーザーの認証の有効期限が切れるまでの Horizon Client 接続セッションの最大許容時間（分）。この時間はユーザーが Universal Broker に対して認証されると開始します。セッションのタイムアウトが発生すると、ユーザーは割り当てられたデスクトップで作業を続行できます。ただし、Universal Broker との通信を必要とする設定の変更などのアクションを実行すると、Horizon Client によって Universal Broker の認証情報を再入力するように求められます。注： [Client ブローカセッション] のタイムアウトは、少なくとも [Client ハートビート間隔] 値と [Client アイドルユーザー] のタイムアウトの合計値以上にする必要があります。
[クライアント認証情報のキャッシュタイムアウト]	この設定は、Universal Broker の、Horizon Connection Server 設定（[その他のクライアント。SSO 認証情報の破棄] とラベル付けされた設定）に相当する設定として意図しています。したがって、この設定に関するここでの説明は、Horizon Connection Server の設定およびコンソールのこの設定のツールチップの説明と一致するように記述されています。この設定は、アプリケーションのリモート処理をサポートしていないクライアント用です。指定した時間（分）が経過すると、SSO 認証情報は破棄されます。クライアントデバイスでのユーザーアクティビティに関係なく、指定した時間（分）が経過した後にデスクトップに接続するには、ユーザーは再度ログインする必要があります。デフォルトは 15 分です。

構成ウィザードの [設定] ページで、[ポリシーの詳細] を構成します。

[ポリシーの詳細] は、エンドユーザーが特定の Horizon 機能（デスクトップとクライアントで使用可能である場合）にアクセスできるかどうかを制御します。

設定	説明
[マルチメディアリダイレクト (MMR)]	この設定を有効にすると、エンドユーザーがマルチメディアリダイレクト機能（デスクトップとクライアントで使用可能な場合）にアクセスできるようになります。
[USB アクセス]	この設定を有効にすると、エンドユーザーが USB リダイレクト機能（デスクトップとクライアントで使用可能な場合）にアクセスできるようになります。
[タブを閉じるときに HTML Access 認証情報をクリーンアップする]	この設定を有効にすると、リモートデスクトップに接続するタブや、Horizon HTML Access クライアントのデスクトップの選択ページに接続するタブをユーザーが閉じるときに、キャッシュからユーザーの認証情報を削除します。この設定が有効である場合、次の HTML Access クライアントのシナリオにおいても認証情報はキャッシュから削除されます。ユーザーが、デスクトップの選択ページやリモートセッションページを更新する。サーバから自己署名証明書が提示されており、ユーザーがリモートデスクトップを起動し、セキュリティの警告が表示されるときにユーザーがその証明書を受け入れる。リモートセッションが含まれるタブで URI コマンドをユーザーが実行する。この設定がオフに切り替わると、認証情報はキャッシュに残ります。
[クライアントがパワーオフ状態の仮想マシンを待機することを許可する]	この設定を有効にすると、Horizon Client は現在使用できないリモートデスクトップへの接続要求を再試行することができます。たとえば、クライアントユーザーは、現在パワーオフ状態のデスクトップを要求する場合があります。この設定を有効にすると、Horizon Client はその接続要求を再送信して、デスクトップがパワーオンされ、使用可能になったときに接続セッションを確立できます。

[ポリシーの詳細] の構成が完了したら、 [次へ] をクリックしてウィザードの次の手順に進みます。

[サマリ] ページで設定を確認し、[終了] をクリックして構成を保存して適用します。
システムとネットワークの状態にもよりますが、DNS レコードはすべてのグローバルリージョンの DNS サーバに伝達されるため、構成の設定が Universal Broker サービスで完全に有効になるまで、通常は少なくとも数分から最大で 30 分かかります。この期間中は Universal Broker サービスを利用できません。セットアップが正常に完了すると、[はじめに] ページの [ブローカ] セクションに [完了] ステータスが表示され、 [設定] > [ブローカ] ページに緑のドットで [有効] ステータスが表示されます。

重要： Universal Broker のセットアップが失敗した場合、 [設定] > [ブローカ] 画面には赤のアラートアイコンで [エラー] ステータスが表示されます。構成エラーを修正し、 Universal Broker サービスをセットアップするには、 VMware ナレッジベースの記事 KB2006985の説明に従って、VMware サポートにお問い合わせください。

次のタスク

Horizon ポッドに対して Universal Broker を構成している場合は、ポッドを管理対象状態に変更する手順に進みます。Horizon Universal Console を使用して、クラウド接続された Horizon ポッドを管理対象状態に変更するを参照してください。
Microsoft Azure の Horizon Cloud ポッド用に Universal Broker を構成している場合は、これ以上の構成は必要ありません。コンソールを使用してマルチポッドイメージを作成してから、それらのイメージに基づいてエンドユーザー割り当てを作成できます。