このトピックでは、Universal Broker サービスに対して 2 要素認証を構成するために使用できる概要の手順とベスト プラクティスについて説明します。

Universal Broker での 2 要素認証の仕組み

デフォルトでは、Universal Broker は Active Directory のユーザー名とパスワードのみを使用してユーザーを認証します。追加の認証サービスを指定することで、オプションの 2 要素認証を実装できます。Universal Broker では、テナント環境にデプロイしたポッド タイプに応じて、次の 2 要素認証サービスがサポートされます。

  • 環境内に Microsoft Azure の Horizon Cloud ポッドのみが含まれる場合、Universal Broker は Radius 認証のみをサポートします。
  • 環境に VMware SDDC ベースのプラットフォーム上の Horizon ポッドのみが含まれる場合、Universal Broker は Radius 認証と RSA SecurID 認証をサポートします。
  • Microsoft Azure の Horizon Cloud ポッドと VMware SDDC ベースのプラットフォーム上の Horizon ポッドの両方を含む混在環境の場合、Universal Broker は Radius 認証のみをサポートします。

Universal Broker は、ネットワーク ユーザーの 2 要素認証を実行するときに、参加している各ポッド内の外部 Unified Access Gateway インスタンスの構成に依存します。内部 Unified Access Gateway インスタンスを構成して内部ネットワーク ユーザーの認証とルーティングを処理することもできますが、Universal Broker では、その 2 要素認証は、外部 Unified Access Gateway インスタンスで構成されている認証サービスに基づきます。

注: 参加しているすべてのポッドの外部 Unified Access Gateway インスタンスで適切な 2 要素認証サービスを構成する必要があります。参加しているポッド内のすべての外部 Unified Access Gateway インスタンスの構成は互いに一致する必要があり、他のすべての参加しているポッドの外部 Unified Access Gateway インスタンスの構成と同じである必要があります。そうでないと、 Universal Broker サービスへの認証が失敗します。

たとえば、Universal Broker で構成された Horizon ポッドに RADIUS 認証を使用する場合は、参加しているすべての Horizon ポッドにわたって、すべての外部 Unified Access Gateway インスタンスで同じ RADIUS サービスを構成する必要があります。参加している一部のポッドで RADIUS を構成し、他のポッドで RSA SecurID を構成することはできません。

外部ネットワークと内部ネットワークの両方でユーザーの 2 要素認証を有効にする場合

  1. Universal Broker 環境内の各ポッドに対して、少なくとも 1 つの外部 Unified Access Gateway インスタンスを構成します。すべてのポッドにわたって、すべての外部 Unified Access Gateway インスタンスで同じ 2 要素認証サービスを構成します。

    次のような、特定のユースケースの構成ガイドラインに従います。

    • 環境が Horizon ポッドのみで構成されている場合は、すべてのポッドにわたって、すべての外部 Unified Access Gateway インスタンスで RADIUS または RSA SecurID サービスのいずれかを構成します。
    • 環境が Microsoft Azure の Horizon Cloud ポッドのみで構成されている場合は、すべてのポッドにわたって、すべての外部 Unified Access Gateway インスタンスで RADIUS サービスを構成します。
    • Horizon ポッドと Microsoft Azure の Horizon Cloud ポッドが混在するハイブリッド環境を使用している場合は、すべてのポッドにわたって、すべての外部 Unified Access Gateway インスタンスで RADIUS サービスを構成します。

    Horizon ポッドについては、Unified Access Gateway ドキュメントVMware Horizon ドキュメント、および VMware Horizon 7 ドキュメントを参照してください。Microsoft Azure の Horizon Cloud ポッドについては、Horizon Cloud ポッドのゲートウェイ構成の指定を参照してください。

  2. オプションで、各ポッドで内部 Unified Access Gateway インスタンスを構成します。ユーザー トラフィックを内部および外部の DNS サーバそれぞれにルーティングするには、次のいずれかの操作を実行します。
    • ポッドの内部および外部の Unified Access Gateway インスタンスに個別の FQDN を構成します。
    • ポッドの内部および外部の Unified Access Gateway インスタンスに同一の FQDN を構成します。次に、ポッドのロード バランサの FQDN にスプリット DNS ゾーンを構成します。
  3. (Horizon ポッドのみ)Universal Broker に必要なトンネル サーバとプロトコルのリダイレクトをサポートするために、各 Unified Access Gateway インスタンスで必要な JSON Web Token 設定を構成します。Horizon ポッド - Universal Broker で使用する Unified Access Gateway を構成するを参照してください。
  4. Universal Broker 構成ウィザードの [認証] ページで、次の設定を指定します。
    1. [2 要素認証] トグルを有効にします。
    2. [タイプ] で、ポッド全体にわたるすべての外部 Unified Access Gateway インスタンスで構成した認証サービスを選択します。
    3. [2 要素認証をスキップ] トグルをオフの位置に設定します。

    Universal Broker 設定の構成を参照してください。

外部ネットワークでのみユーザーの 2 要素認証を有効にする場合

  1. 前のユースケース「外部ネットワークと内部ネットワークの両方でユーザーの 2 要素認証を有効にする場合」の記載どおりに手順 1 から 3 までを実行します。
  2. [ブローカ] ページの [ネットワーク範囲] タブで、内部ネットワークを表すパブリック IP アドレス範囲を定義します。Universal Broker の内部ネットワーク範囲の定義を参照してください。
  3. Universal Broker 構成ウィザードの [認証] ページで、次の設定を指定します。
    1. [2 要素認証] トグルを有効にします。
    2. [タイプ] で、ポッド全体にわたるすべての外部 Unified Access Gateway インスタンスで構成した認証サービスを選択します。
    3. [2 要素認証をスキップ] トグルを有効にします。

    Universal Broker 設定の構成を参照してください。