このトピックでは、Universal Broker サービスに対して 2 要素認証を構成するために使用できる概要の手順とベスト プラクティスについて説明します。

Universal Broker での 2 要素認証の仕組み

デフォルトでは、Universal Broker は Active Directory のユーザー名とパスワードのみを使用してユーザーを認証します。追加の認証サービスを指定することで、オプションの 2 要素認証を実装できます。

サービス リリース バージョン 2203 の時点で、Universal BrokerHorizon デプロイと Horizon Cloud on Microsoft Azure デプロイの両方で次の 2 要素認証サービスをサポートしています。

  • RADIUS
  • RSA SecurID
注: Horizon Cloud on Microsoft Azure デプロイで RSA SecurID をサポートするには、それらのポッドでマニフェスト 3139.x 以降が実行されている必要があります。また、それらのポッドで [ポッドを編集] を実行すると、[ゲートウェイ設定] で選択する RSA SecurID オプションが表示されます。

Universal Broker は、ネットワーク ユーザーの 2 要素認証を実行するときに、参加している各ポッド内の外部 Unified Access Gateway インスタンスの構成に依存します。内部 Unified Access Gateway インスタンスを構成して内部ネットワーク ユーザーの認証とルーティングを処理することもできますが、Universal Broker では、その 2 要素認証は、外部 Unified Access Gateway インスタンスで構成されている認証サービスに基づきます。

注: 参加しているすべてのポッドの外部 Unified Access Gateway インスタンスで適切な 2 要素認証サービスを構成する必要があります。参加しているポッド内のすべての外部 Unified Access Gateway インスタンスの構成は互いに一致する必要があり、他のすべての参加しているポッドの外部 Unified Access Gateway インスタンスの構成と同じである必要があります。そうでないと、 Universal Broker サービスへの認証が失敗します。

たとえば、Universal Broker で構成された Horizon ポッドに RADIUS 認証を使用する場合は、参加しているすべての Horizon ポッドにわたって、すべての外部 Unified Access Gateway インスタンスで同じ RADIUS サービスを構成する必要があります。参加している一部のポッドで RADIUS を構成し、他のポッドで RSA SecurID を構成することはできません。

外部ネットワークと内部ネットワークの両方でユーザーの 2 要素認証を有効にする場合

  1. Universal Broker 環境内の各ポッドに対して、少なくとも 1 つの外部 Unified Access Gateway インスタンスを構成します。すべてのポッドにわたって、すべての外部 Unified Access Gateway インスタンスで同じ 2 要素認証サービスを構成します。

    次のような、特定のユースケースの構成ガイドラインに従います。テナントのフリートが以下の場合:

    Horizon ポッドのみ
    すべてのポッドにわたって、すべての外部 Unified Access Gateway インスタンスで RADIUS または RSA SecurID サービスのいずれかを構成します。
    Horizon Cloud on Microsoft Azure デプロイのみ
    すべてのポッドにわたって、すべての外部 Unified Access Gateway インスタンスで同じ 2 要素認証サービスを構成します。すべてのポッドがマニフェスト 3139.x 以降であり、ポッドで [ポッドの編集] ウィザードを実行するときに 2 要素認証設定で RSA SecurID オプションが使用可能な場合、すべてのポッドが RSA SecurID タイプを使用するように構成するオプションがあります。それ以外の場合は、RADIUS タイプを使用できます。
    Horizon ポッドと Horizon Cloud on Microsoft Azure デプロイの混在
    混合フリートで使用できるオプションは、 Horizon Cloud on Microsoft Azure デプロイが RSA SecurID オプションを使用するための条件を満たしているかによって異なります。
    • Horizon Cloud on Microsoft Azure デプロイが RSA SecurID タイプを構成する条件を満たしていない場合は、フリート内のすべてのポッドにまたがるすべての外部 Unified Access Gateway インスタンスで RADIUS サービスを構成できます。
    • Horizon Cloud on Microsoft Azure デプロイが RSA SecurID タイプを構成する条件を満たしている場合は、フリート内のすべてのポッドにまたがるすべての外部 Unified Access Gateway インスタンスで RSA SecurID または RADIUS を構成できます。

    Horizon ポッドについては、Unified Access Gateway ドキュメントVMware Horizon ドキュメント、およびVMware Horizon 7 ドキュメントを参照してください。

    Microsoft Azure の Horizon Cloud ポッドについては、デプロイ済みの Horizon Cloud ポッドへのゲートウェイ構成の追加およびHorizon Cloud ポッドのゲートウェイでの 2 要素認証の有効化を参照してください。

  2. オプションで、各ポッドで内部 Unified Access Gateway インスタンスを構成します。ユーザー トラフィックを内部および外部の DNS サーバそれぞれにルーティングするには、次のいずれかの操作を実行します。
    • ポッドの内部および外部の Unified Access Gateway インスタンスに個別の FQDN を構成します。
    • ポッドの内部および外部の Unified Access Gateway インスタンスに同一の FQDN を構成します。次に、ポッドのロード バランサの FQDN にスプリット DNS ゾーンを構成します。
  3. (Horizon ポッドのみ)Universal Broker に必要なトンネル サーバとプロトコルのリダイレクトをサポートするために、各 Unified Access Gateway インスタンスで必要な JSON Web Token 設定を構成します。Horizon ポッド - Universal Broker で使用する Unified Access Gateway を構成するを参照してください。
  4. Universal Broker 構成ウィザードの [認証] ページで、次の設定を指定します。
    1. [2 要素認証] トグルを有効にします。
    2. [タイプ] で、ポッド全体にわたるすべての外部 Unified Access Gateway インスタンスで構成した認証サービスを選択します。
    3. [2 要素認証をスキップ] トグルをオフの位置に設定します。

    Universal Broker の設定を参照してください。

外部ネットワークでのみユーザーの 2 要素認証を有効にする場合

  1. 前のユースケース「外部ネットワークと内部ネットワークの両方でユーザーの 2 要素認証を有効にする場合」の記載どおりに手順 1 から 3 までを実行します。
  2. [ブローカ] ページの [ネットワーク範囲] タブで、内部ネットワークを表すパブリック IP アドレス範囲を定義します。Universal Broker の内部ネットワーク範囲の定義を参照してください。
  3. Universal Broker 構成ウィザードの [認証] ページで、次の設定を指定します。
    1. [2 要素認証] トグルを有効にします。
    2. [タイプ] で、ポッド全体にわたるすべての外部 Unified Access Gateway インスタンスで構成した認証サービスを選択します。
    3. [2 要素認証をスキップ] トグルを有効にします。

    Universal Broker の設定を参照してください。