Horizon 8을 사용하여 Unified Access Gateway를 배포할 수 있습니다.
사전 요구 사항
Horizon 및 Web Reverse Proxy 인스턴스(예: Workspace ONE Access)를 동일한 Unified Access Gateway 인스턴스에서 구성되고 사용되도록 설정하려는 경우 고급 Edge 서비스 설정을 참조하십시오.
프로시저
- 관리 UI 수동 구성 섹션에서 선택을 클릭합니다.
- 일반 설정에서 Edge 서비스 설정 토글을 켭니다.
- Horizon 설정 톱니 모양 아이콘을 클릭합니다.
- Horizon 설정 페이지에서 Horizon 사용 설정 토글을 설정하여 Horizon 설정을 사용 설정합니다.
- Horizon에 대해 다음 Edge 서비스 설정 리소스를 구성합니다.
옵션
설명
식별자
기본적으로 Horizon로 설정됩니다. Unified Access Gateway는 Horizon Connection Server와 같이 Horizon XML 프로토콜을 사용하는 서버와 통신할 수 있습니다.
연결 서버 URL
Horizon Server의 주소를 입력합니다. 예를 들어, https://00.00.00.00을 입력합니다.
고가용성을 유지하려면 두 개 이상의 Unified Access Gateway를 사용하고 서로 다른 연결 서버를 연결 서버 URL의 대상으로 지정해야 합니다. Unified Access Gateway가 연결 서버가 응답하지 않는지 감지할 수 있고 외부 로드 밸런서에 더 이상 새 연결을 처리할 수 없음을 알립니다.
자세한 내용은 VMware Tech Zone에서 "연결 서버 로드 밸런싱" 을 참조하십시오.
최소 SHA 해시 크기
Horizon 연결 동안 인증서 유효성 검사를 지원하는 최소 지문 해시 알고리즘을 설정합니다.구성된 값은 Horizon Client, Horizon Connection Server 및 Unified Access Gateway 간의 XML-API 통신에 사용되는 최소 SHA 값입니다.
지원되는 SHA 해시 크기 값은
SHA-1
,SHA-256
,SHA-384
및SHA-512
입니다.Connection Server URL Thumbprint 매개 변수는 선택한 최소 SHA 해시 크기에 따라 구성됩니다. 자세한 내용은 Horizon Connection Server을 지원하는 인증서 지문의 내용을 참조하십시오.이 옵션은 PowerShell 배포 중에 ini 파일의 [Horizon] 섹션에서 minSHAHashSize 매개 변수를 추가하여 구성할 수 있습니다. PowerShell 스크립트를 실행하여 배포 항목을 참조하십시오.
참고: minHashSize 구성이 Horizon 설정과 시스템 설정 간에 다른 경우 Horizon 설정에 구성된 minhashsize 값이 우선합니다.연결 서버 URL 지문
참고: 연결 서버 SSL 서버 인증서가 신뢰할 수 있는 CA에서 발급되지 않은 경우에만 지문을 지정해야 합니다. 예를 들어 자체 서명된 인증서 또는 내부 CA에서 발급한 인증서가 있습니다.Horizon Server 지문 목록을 16진수 형식으로 입력합니다.
지문 형식은[alg=]xx:xx
입니다. 여기서alg
는 sha1, sha256(기본값), sha384 및 sha512일 수 있으며xx
는 16진수입니다. 해시 알고리즘은 최소 해시 크기에 대해 지정된 요구 사항을 충족해야 합니다. 지문을 여러 개 추가한 경우 쉼표로 구분해야 합니다. 구분 기호는 공백 또는 콜론(:)이거나 구분 기호가 없을 수 있습니다.예: sha1=C3 89 A2 19 DC 7A 48 2B 85 1C 81 EC 5E 8F 6A 3C 33 F2 95 C3, sha256=ad:5c:f1:48:47:94:7e:80:82:73:13:6c:83:52:b:e:78:ed:ff:50:23:56:a8:42:8a:d9:30:fc:3a:33:d6:c6:db, sha512=2221B24DC78018A8FAFF81B7AD348722390793DE8C0E5E5AA1D622BCC951D4DA5DBB1C76C79A258A7AFBD1727447151C90E1733E7E83A7D1D46ADF1A31C78496.
인증서 지문은 Unified Access Gateway 및 Horizon Connection Server 간의 통신에서 반환되는 서버 인증서의 인증서 유효성 검사를 위해 구성할 수 있습니다.
이 옵션은 PowerShell 배포 중에 ini 파일의 [Horizon] 섹션에서 proxyDestinationUrlThumbprints 매개 변수를 추가하여 구성할 수 있습니다. PowerShell 스크립트를 실행하여 배포 항목을 참조하십시오.
연결 서버 리디렉션 허용
Horizon Broker가 HTTP 리디렉션 307 응답 코드를 전송하고 연결 서버 리디렉션 허용 토글이 켜지면 Unified Access Gateway는 세션의 현재 및 향후 요청에 대한 307 응답의 location 헤더에 지정된 URL과 통신합니다.
연결 서버에서 호스트 리디렉션 사용 확인란이 선택된 경우 Unified Access Gateway에서 연결 서버 리디렉션 허용 토글을 켜야 합니다. 자세한 내용은 VMware Docs의 "Horizon 설치 및 업그레이드" 가이드에서 "호스트 리디렉션 사용" 을 참조하십시오.
PCOIP 사용
PCoIP 보안 게이트웨이를 사용하도록 설정할지 여부를 지정하려면 이 토글을 설정합니다.
PCOIP 레거시 인증서 사용 안 함
이 토글을 설정하여 레거시 인증서 대신 업로드된 SSL 서버 인증서를 사용합니다. 이 토글을 설정하면 레거시 PCoIP 클라이언트가 작동하지 않습니다.
PCOIP 외부 URL
Horizon Client에서 이 Unified Access Gateway 장치에 대한 Horizon PCoIP 세션을 설정하는 데 사용되는 URL입니다. 이 URL에는 호스트 이름이 아니라 IPv4 주소가 포함되어야 합니다. 예를 들어 10.1.2.3:4172입니다. 기본값은 Unified Access Gateway IP 주소 및 포트 4172입니다.
Blast 사용
Blast 보안 게이트웨이를 사용하려면 이 토글을 설정합니다.
Blast 외부 URL Horizon 클라이언트에서 Unified Access Gateway 장치에 대한 Horizon Blast 또는 BEAT 세션을 설정하는 데 사용되는 URL입니다. 예를 들어 https://uag1.myco.com 또는 https://uag1.myco.com:443입니다.
TCP 포트 번호를 지정하지 않은 경우 기본 TCP 포트는 8443입니다. 또한 UDP 포트 번호를 지정하지 않은 경우 기본 UDP 포트는 8443입니다.
Blast 역방향 연결 사용 설정됨
Blast 역방향 연결을 사용하도록 설정하려면 이 토글을 설정합니다.
제한 사항: 이 토글은 향후 사용을 위해 추가되었습니다.연결 서버 IP 모드
Horizon Connection Server의 IP 모드를 나타냅니다.
이 필드에는
IPv4
,IPv6
및IPv4+IPv6
과 같은 값을 사용할 수 있습니다.기본값은
IPv4
입니다.-
Unified Access Gateway 장치의 모든 NIC가 IPv4 모드(IPv6 모드 없음)인 경우 이 필드에는
IPv4
또는IPv4+IPv6
(혼합 모드) 중 하나를 사용할 수 있습니다. -
Unified Access Gateway 장치의 모든 NIC가 IPv6 모드(IPv4 모드 없음)인 경우 이 필드에는
IPv6
또는IPv4+IPv6
(혼합 모드) 중 하나를 사용할 수 있습니다.
클라이언트 암호화 모드
Horizon Client, Unified Access Gateway 및 Horizon Connection Server 간 통신의 암호화 모드를 나타냅니다.
이 옵션의 값은
DISABLED
,ALLOWED
및REQUIRED
입니다. 기본값은ALLOWED
입니다.-
DISABLED
- Client Encryption Mode 옵션을 사용하지 않도록 설정합니다.사용하지 않도록 설정하면 기존 동작이 계속됩니다. 2111 이전의 Unified Access Gateway 버전에서는 Horizon Client, Unified Access Gateway 및 Horizon Connection Server 간에 암호화되지 않은 통신이 허용됩니다.
-
Horizon Client 2111 이상 -
ALLOWED
을 사용하는 경우 Unified Access Gateway는 Horizon Client 및 Horizon Connection Server와의 암호화된 통신만 허용합니다.Horizon Client의 이전 버전에서는 암호화되지 않은 통신이 허용됩니다. 이 동작은 기능을 사용하지 않도록 설정한 경우와 유사합니다.
-
REQUIRED
- 세 구성 요소 간에는 암호화된 통신만 허용됩니다.참고: 이 암호화 모드에서 이전 버전의 Horizon Client를 사용하면 암호화되지 않은 통신에 실패하고 최종 사용자는 Horizon 데스크톱 및 애플리케이션을 실행할 수 없습니다.
XML 서명 사용
XML 서명 모드를 나타냅니다. 이 옵션의 값은AUTO
,ON
및OFF
입니다. 기본적으로 XML 서명은 해제되어 있습니다.제한 사항: 이 토글은 향후 사용을 위해 추가되었습니다.원본 머리글 다시 쓰기
Unified Access Gateway에 대한 수신 요청에 Origin 머리글이 있고 원본 머리글 다시 쓰기 토글이 설정된 경우 Unified Access Gateway는 연결 서버 URL로 Origin 머리글을 다시 씁니다.
원본 머리글 다시 쓰기 토글은 Horizon Connection Server의 checkOrigin CORS 속성에 따라 작동합니다. 이 필드를 사용하도록 설정하면 Horizon 관리자가 locked.properties 파일에서 Unified Access Gateway IP 주소를 지정하지 않아도 됩니다.
원본 확인에 대한 자세한 내용은 "Horizon 보안" 설명서를 참조하십시오.
-
- 인증 방법 규칙 및 기타 고급 설정을 구성하려면 자세히를 클릭합니다.
옵션
설명
인증 방법
기본값은 사용자 이름 및 암호의 패스스루 인증을 사용하는 것입니다.
인증 방법으로는
Passthrough
,SAML
,SAML and Passthrough
,SAML and Unauthenticated
,SecurID
,SecurID and Unauthenticated
,X.509 Certificate
,X.509 Certificate and Passthrough
,Device X.509 Certificate and Passthrough
,RADIUS
,RADIUS and Unauthenticated
및X.509 Certificate or RADIUS
가 지원됩니다.중요:인증 방법으로
Unauthenticated
방법을 선택한 경우 Horizon Connection Server에서 로그인 감속 수준을Low
로 구성해야 합니다. 이 구성은 원격 데스크톱 또는 애플리케이션에 액세스하는 동안 끝점 로그인 시간이 오래 지연되지 않도록 하는 데 필요합니다.로그인 감속 수준을 구성하는 방법에 대한 자세한 내용은 VMware Docs의 "Horizon 관리" 가이드에서 "게시된 애플리케이션에 대한 인증되지 않은 액세스에 대해 로그인 감속 구성" 을 참조하십시오.
Windows SSO 사용
이 토글은 인증 방법이 RADIUS로 설정되고 RADIUS 패스코드가 Windows 도메인 암호와 동일한 경우에 사용하도록 설정할 수 있습니다.
Windows 도메인 로그인 자격 증명에 대해 RADIUS 사용자 이름과 암호를 사용하여 사용자에게 다시 묻지 않도록 하려면 이 토글을 설정합니다.
다중 도메인 환경에서 Horizon이 설정되어 있는 경우 제공된 사용자 이름에 도메인 이름이 포함되어 있지 않으면 도메인이 CS로 전송되지 않습니다.
NameID 접미사가 구성되어 있고 제공된 사용자 이름에 도메인 이름이 포함되어 있지 않으면 NameID 접미사 구성 값이 사용자 이름에 추가됩니다. 예를 들어, 사용자가 사용자 이름으로 jdoe를 지정하고 NameIDSuffix가 @north.int로 설정된 경우 전송되는 사용자 이름은 [email protected]입니다.
NameID 접미사가 구성되고 제공된 사용자 이름이 UPN 형식인 경우 NameID 접미사가 무시됩니다. 예를 들어, 사용자가 [email protected], NameIDSuffix - @south.int를 제공한 경우 사용자 이름은 [email protected]가 됩니다.
입력한 사용자 이름이 <DomainName\username> 형식이면(예: NORTH\jdoe) Unified Access Gateway는 사용자 이름과 도메인 이름을 CS에 별도로 전송합니다.
RADIUS 클래스 특성
이 필드는 인증 방법이 RADIUS로 설정되면 사용하도록 설정됩니다. 클래스 특성 값을 추가하려면 '+'를 클릭합니다. 사용자 인증에 사용할 클래스 특성의 이름을 입력합니다. 클래스 특성을 제거하려면 '-'를 클릭합니다.
참고:이 필드를 비워 두면 추가 인증이 수행되지 않습니다.
고지 사항 텍스트
인증 방법이 구성된 경우 사용자에게 표시되고 사용자의 동의를 구하는 Horizon 고지 사항 메시지입니다.
스마트 카드 힌트 프롬프트
인증서 인증을 위해 암호 힌트를 사용하도록 설정하려면 이 토글을 설정합니다.
상태 점검 URI 경로
상태 모니터링을 위해 Unified Access Gateway가 연결되는 연결 서버에 대한 URI 경로입니다.
UDP 서버 사용
네트워크 상태가 나쁘면 UDP 터널 서버를 통해 연결이 설정됩니다.
Horizon Client가 UDP를 통해 요청을 전송하면 Unified Access Gateway는 이러한 요청의 소스 IP 주소를
127.0.0.1
로 수신합니다. Unified Access Gateway는 동일한 소스 IP 주소를 Horizon Connection Server로 전송합니다.연결 서버가 요청의 실제 소스 IP 주소를 수신하도록 하려면 Unified Access Gateway 관리 UI에서 이 옵션(UDP 서버 사용)을 사용하지 않도록 설정해야 합니다.
Blast 프록시 인증서
Blast에 대한 프록시 인증서입니다. PEM 형식의 인증서를 업로드한 후 BLAST 신뢰 저장소에 추가하려면 선택을 클릭합니다. 기존 인증서를 바꾸려면 변경을 클릭합니다.
사용자가 Unified Access Gateway에 대한 동일한 인증서를 로드 밸런서에 수동으로 업로드하는데 Unified Access Gateway 및 Blast 게이트웨이에 대해 다른 인증서를 사용해야 하는 경우 클라이언트와 Unified Access Gateway 간의 지문이 일치하지 않으므로 Blast 데스크톱 세션을 설정하지 못합니다. Unified Access Gateway 또는 Blast 게이트웨이에 대한 사용자 지정 지문 입력은 지문을 릴레이하여 클라이언트 세션을 설정함으로써 이 문제를 해결합니다.
Blast 허용 호스트 헤더 값
IP 주소 또는 호스트 이름 입력
BSG(Blast 보안 게이트웨이)는 호스트 헤더 값을 지정하면 지정된 호스트 헤더 값을 포함하는 요청만 허용합니다.
host[:port]
형식의 쉼표로 구분된 값 목록을 지정할 수 있습니다. 값은 IP 주소, 호스트 이름 또는 FQDN 이름이 될 수 있습니다.Blast 보안 게이트웨이로 유입되는 Blast TCP 포트 8443 연결 요청에서 호스트 헤더는 필드에 제공된 값 중 하나와 일치해야 합니다.
호스트 헤더에 호스트 이름 또는 IP 주소가 없는 요청을 허용하려면
_empty_
를 사용합니다.값을 지정하지 않으면 Horizon Client에서 보낸 모든 호스트 헤더가 수락됩니다.
터널 사용
Horizon 보안 터널이 사용된 경우 이 토글을 설정합니다. 클라이언트는 Horizon 보안 게이트웨이를 통한 터널 연결을 위해 외부 URL을 사용합니다. 터널은 RDP, USB 및 MMR(멀티미디어 리디렉션) 트래픽에 사용됩니다.
터널 외부 URL
Horizon Client에서 이 Unified Access Gateway 장치에 대한 Horizon Tunnel 세션을 설정하는 데 사용되는 URL입니다. 예를 들어 https://uag1.myco.com 또는 https://uag1.myco.com:443입니다.
TCP 포트 번호를 지정하지 않은 경우 기본 TCP 포트는 443입니다.
터널 프록시 인증서
Horizon Tunnel에 대한 프록시 인증서입니다. PEM 형식의 인증서를 업로드한 후 터널 신뢰 저장소에 추가하려면 선택을 클릭합니다. 기존 인증서를 바꾸려면 변경을 클릭합니다.
사용자가 Unified Access Gateway에 대한 동일한 인증서를 로드 밸런서에 수동으로 업로드하는데 Unified Access Gateway 및 Horizon Tunnel에 대해 다른 인증서를 사용해야 하는 경우 클라이언트와 Unified Access Gateway 간의 지문이 일치하지 않으므로 터널 세션을 설정하지 못합니다. Unified Access Gateway 또는 Horizon Tunnel에 대해 사용자 지정 지문을 입력하면 지문을 릴레이하여 클라이언트 세션을 설정하므로 이 문제가 해결됩니다.
끝점 규정 준수 검사 제공자
끝점 규정 준수 검사 제공자를 선택합니다.
기본값은
None
입니다.참고:규정 준수 검사 제공자 설정이 관리 UI에 구성된 경우 선택할 수 있는 옵션이 표시됩니다. 끝점 규정 준수 검사 제공자 및 해당 구성에 대한 자세한 정보는 Horizon에 대한 끝점 규정 준수 검사 항목을 참조하십시오.
인증에 대한 규정 준수 검사
사용자 인증 시 끝점 규정 준수 검사를 사용하지 않도록 설정하거나 사용하도록 설정하는 옵션입니다.
규정 준수는 사용자가 데스크톱 또는 애플리케이션 세션을 시작할 때 항상 검사됩니다. 이 옵션을 사용하도록 설정하면 사용자 인증이 성공적으로 완료된 후에 규정 준수도 검사됩니다. 이 옵션을 사용하도록 설정하고 인증 시 규정 준수 검사에 실패하면 사용자 세션이 계속되지 않습니다.
이 옵션을 사용하지 않도록 설정하면 Unified Access Gateway는 데스크톱 또는 애플리케이션 세션을 시작할 때만 규정 준수를 검사합니다.
이 옵션은 끝점 규정 준수 검사 제공자를 선택한 경우에만 사용할 수 있습니다. 기본적으로 이 옵션은 사용하도록 설정되어 있습니다.
주의:끝점 규정 준수 검사 제공자 설정 페이지에서 규정 준수 검사 초기 지연 옵션을 구성한 경우 인증에 대한 규정 준수 검사를 자동으로 사용하지 않도록 설정됩니다. Unified Access Gateway는 인증 시 규정 준수를 확인하지 않습니다. 이 시간 간격이 구성된 경우 시간 간격 및 Unified Access Gateway의 동작에 관한 자세한 정보는 규정 준수 검사 지연 시간 간격 항목을 참조하십시오.
이 옵션은 .ini 파일의 [Horizon] 섹션에도 매개 변수로 존재하며 PowerShell을 사용하여 배포하는 동안 구성할 수 있습니다. 매개 변수 이름에 대한 자세한 정보는 PowerShell 스크립트를 실행하여 배포 항목을 참조하십시오.
프록시 패턴
Horizon Server URL(proxyDestinationUrl)과 관련된 URL과 일치하는 정규식을 입력합니다. 기본값은
(/|/view-client(.*)|/portal(.*)|/appblast(.*))
입니다.참고:패턴을 사용하여 특정 URL을 제외할 수도 있습니다. 예를 들어, /admin을 제외한 모든 URL을 허용하려면 다음 표현식을 사용할 수 있습니다.
^/(?!admin(.*))(.*)
SAML SP
Horizon XMLAPI 브로커에 대한 SAML 서비스 제공자의 이름을 입력합니다. 이 이름은 구성된 서비스 제공자 메타데이터의 이름과 일치하거나 특수 값 [DEMO]여야 합니다.
프록시 패턴 정규 일치 사용
Horizon 정규 일치를 사용하도록 설정하려면 이 토글을 설정합니다. Unified Access Gateway는 해당하는
C RealPath()
를 수행하여%2E
와 같은 URL 변환 문자 시퀀스를 정규화하고..
시퀀스를 제거하여 절대 경로를 생성합니다. 그러면 프록시 패턴 검사가 절대 경로에 적용됩니다.기본적으로 이 토글은 Horizon Edge 서비스에 대해 설정되어 있습니다.
참고:기본적으로 Web Reverse Proxy 서비스에 대해 이 토글이 해제되어 있습니다.
인증서 제거 시 로그아웃
참고:이 옵션은 스마트 카드 인증 방법이 인증 방법으로 선택된 경우 사용할 수 있습니다.
이 토글이 설정되고 스마트 카드가 제거되면 최종 사용자는 Unified Access Gateway 세션에서 강제로 로그아웃됩니다.
RADIUS에 대한 사용자 이름 레이블
Horizon Client에서 사용자 이름 레이블을 지정하려면 텍스트를 입력합니다. 예:
Domain Username
RADIUS 인증 방법을 사용하도록 설정해야 합니다. RADIUS를 사용하도록 설정하려면 RADIUS 인증 구성 항목을 참조하십시오.
기본 레이블 이름은
Username
입니다.레이블 이름의 최대 길이는 20자입니다.
RADIUS에 대한 암호 레이블
Horizon Client의 암호 레이블을 사용자 지정할 이름을 입력합니다. 예:
Password
RADIUS 인증 방법을 사용하도록 설정해야 합니다. RADIUS를 사용하도록 설정하려면 RADIUS 인증 구성 항목을 참조하십시오.
기본 레이블 이름은
Passcode
입니다.레이블 이름의 최대 길이는 20자입니다.
Windows 사용자 이름 일치
RSA SecurID 및 Windows 사용자 이름을 일치시키려면 이 토글을 설정합니다. 설정된 경우 securID-auth가 [true]로 설정되고 securID 및 Windows 사용자 이름 일치가 적용됩니다.
다중 도메인 환경에서 Horizon을 설치한 경우 제공된 사용자 이름에 도메인 이름이 포함되어 있지 않으면 도메인이 CS로 전송되지 않습니다.
NameID 접미사가 구성되어 있고 제공된 사용자 이름에 도메인 이름이 포함되지 않은 경우에는 NameID 접미사 값 구성이 사용자 이름에 추가됩니다. 예를 들어, 사용자가 사용자 이름으로 jdoe를 지정하고 NameIDSuffix가 @north.int로 설정된 경우 전송되는 사용자 이름은 [email protected]입니다.
NameID 접미사가 구성되고 제공된 사용자 이름이 UPN 형식인 경우 NameID 접미사가 무시됩니다. 예를 들어, 사용자가 [email protected], NameIDSuffix - @south.int를 제공한 경우 사용자 이름은 [email protected]가 됩니다.
입력한 사용자 이름이 <DomainName\username> 형식이면(예: NORTH\jdoe) Unified Access Gateway는 사용자 이름과 도메인 이름을 CS에 별도로 전송합니다.
참고:Horizon 7에서 클라이언트 사용자 인터페이스에서 서버 정보 숨기기 및 클라이언트 사용자 인터페이스에서 도메인 목록 숨기기 설정을 사용하도록 설정하고 연결 서버 인스턴스에 대해 2단계 인증(RSA SecureID 또는 RADIUS)을 선택하는 경우 Windows 사용자 이름 일치를 적용하지 마십시오. Windows 사용자 이름 일치 적용을 사용하면 사용자가 사용자 이름 텍스트 상자에 도메인 정보를 입력하지 못하므로 로그인이 항상 실패합니다. 자세한 내용은 Horizon 7 관리 문서의 2단계 인증에 대한 항목을 참조하십시오.
게이트웨이 위치
연결 요청이 시작되는 위치입니다. 보안 서버 및 Unified Access Gateway는 게이트웨이 위치를 설정합니다. 위치는
External
또는Internal
일 수 있습니다.중요:SAML and Unauthenticated
,SecurID and Unauthenticated
또는RADIUS and Unauthenticated
인증 방법을 선택한 경우 위치를Internal
로 설정해야 합니다.연결 서버 사전 로그인 메시지 표시 XML-API 기본 프로토콜 흐름 중에 연결 서버에 구성된 연결 서버 사전 로그인 메시지를 사용자에게 표시하려면 이 토글을 켭니다. 기본적으로 이 토글은 Horizon Edge 서비스에 대해 설정되어 있습니다. 이 토글을 끄면 연결 서버에 구성된 사전 로그인 메시지가 표시되지 않습니다.
JWT 생성자
드롭다운 메뉴에서 구성된 JWT 생성자를 선택하십시오.
참고: 이름 필드가 고급 설정의 JWT 생성자 설정 섹션에 구성되어 있는지 확인합니다.JWT 대상
Workspace ONE Access Horizon SAML 아티팩트 유효성 검사에 사용되는 JWT의 의도된 수신자 목록입니다(선택 사항).
JWT 유효성 검사가 성공하려면 이 목록에 있는 수신자 중 하나 이상이 Workspace ONE Access Horizon 구성에 지정된 대상 중 하나와 일치해야 합니다. JWT 대상을 지정하지 않으면 JWT 유효성 검사 시 대상이 고려되지 않습니다.
JWT 소비자
구성된 JWT 설정 중 하나의 JWT 소비자 이름을 선택합니다.
참고: Workspace ONE Access JWT SAML 아티팩트 유효성 검사를 위해 [고급 설정]의 [JWT 소비자 설정] 섹션에 이름 필드가 구성되어 있는지 확인합니다.신뢰할 수 있는 인증서
PEM 형식의 인증서를 선택하고 신뢰 저장소에 추가하려면 +를 클릭합니다.
다른 이름을 제공하려면 별칭 텍스트 상자를 편집합니다.
기본적으로 별칭 이름은 PEM 인증서의 파일 이름입니다.
신뢰 저장소에서 인증서를 제거하려면 -를 클릭합니다.
응답 보안 헤더
머리글을 추가하려면 +를 클릭합니다. 보안 헤더의 이름을 입력합니다. 값을 입력합니다.
머리글을 제거하려면 -를 클릭합니다. 헤더의 이름 및 값을 업데이트하려면 기존 보안 헤더를 편집합니다.
중요:헤더 이름 및 값은 저장을 클릭해야만 저장됩니다. 일부 표준 보안 헤더는 기본적으로 제공됩니다. 구성된 헤더는 해당 헤더가 구성된 백엔드 서버의 응답에 없는 경우에만 클라이언트에 대한 Unified Access Gateway 응답에 추가됩니다.
참고:보안 응답 헤더는 주의해서 수정합니다. 이러한 매개 변수를 수정하면 Unified Access Gateway의 보안 작동에 영향을 줄 수 있습니다.
클라이언트 사용자 지정 실행 파일
이 드롭다운 상자에는 Unified Access Gateway에 구성된 사용자 지정 실행 파일이 나열됩니다.
사용자 지정 실행 파일은 고급 설정의 일부로 구성됩니다. 두 개 이상의 OS 유형에 대해 실행 파일을 구성할 수 있습니다. 실행 파일이 Horizon 설정에 추가되는 경우 실행 파일의 모든 OS 유형도 포함됩니다. 그런 다음, 성공적인 사용자 인증 후에 끝점 디바이스에서 Horizon Client가 실행 파일을 다운로드하고 실행할 수 있습니다.
사용자 지정 실행 파일 구성에 대한 자세한 정보는 클라이언트 사용자 지정 실행 파일 항목을 참조하십시오.
호스트 포트 리디렉션 매핑
Unified Access Gateway에서 HTTP 호스트 리디렉션 기능을 지원하는 방법과 이 기능을 사용하는 데 필요한 특정 고려 사항에 대한 자세한 정보는 HTTP 호스트 리디렉션에 대한 Unified Access Gateway 지원 항목을 참조하십시오.
참고:소스 호스트 및 리디렉션 호스트는 콜론으로 구분된 선택적 포트를 지원합니다. 기본 포트 번호는
443
입니다.소스 호스트:포트
소스(호스트 머리글 값)의 호스트 이름을 입력합니다.
리디렉션 호스트:포트
Horizon Client에서 선호도를 유지 관리해야 하는 개별 Unified Access Gateway 장치의 호스트 이름을 입력합니다.
호스트 항목
/etc/hosts 파일에 추가할 세부 정보를 입력합니다. 각 항목은 IP, 호스트 이름 및 선택적 호스트 이름 별칭을 이 순서대로 공백으로 구분하여 포함합니다. 예: 10.192.168.1 example1.com, 10.192.168.2 example2.com example-alias. 여러 호스트 항목을 추가하려면 "+" 기호를 클릭합니다.
중요:호스트 항목은 저장을 클릭한 후에만 저장됩니다.
SAML 대상
SAML 또는 SAML 및 패스스루 인증 방법 중 하나를 선택해야 합니다.
대상 URL을 입력합니다.
참고:이 텍스트 상자를 비워 두면 대상이 제한되지 않습니다.
Unified Access Gateway에서 SAML 대상을 지원하는 방법에 대한 자세한 정보는 SAML 대상 항목을 참조하십시오.
SAML 인증되지 않은 사용자 이름 특성
사용자 지정 특성 이름 입력
참고:이 필드는 인증 방법의 값이
SAML and Unauthenticated
일 때만 사용할 수 있습니다.Unified Access Gateway가 SAML 어설션의 유효성을 검사할 때 이 필드에 지정된 특성 이름이 어설션에 있는 경우 Unified Access Gateway는 ID 제공자의 특성에 맞게 구성된 사용자 이름에 대해 인증되지 않은 액세스를 제공합니다.
SAML and Unauthenticated
방법에 대한 자세한 정보는 Unified Access Gateway 및 타사 ID 제공자 통합에 대한 인증 방법 항목을 참조하십시오.인증되지 않은 기본 사용자 이름
인증되지 않은 액세스에 사용해야 하는 기본 사용자 이름 입력
이 필드는 인증 방법으로
SAML and Unauthenticated
,SecurID and Unauthenticated
및RADIUS and Unauthenticated
중 하나를 선택한 경우 관리 UI에서 사용할 수 있습니다.참고:SAML and Unauthenticated
인증 방법의 경우 인증되지 않은 액세스에 대한 기본 사용자 이름은 SAML 인증되지 않은 사용자 이름 특성 필드가 비어 있거나 이 필드에 지정된 특성 이름이 SAML 어설션에서 누락되었을 때만 사용됩니다.HTML Access 사용 안 함
이 토글이 설정된 경우 Horizon에 대한 웹 액세스가 사용되지 않습니다. 자세한 내용은 OPSWAT를 Horizon의 끝점 규정 준수 검사 제공자로 구성의 내용을 참조하십시오.
- (선택 사항) 관리 UI에서 JSON 가져오기를 사용하거나 PowerShell 배포를 통한 INI 구성 파일을 사용하여 BSG 기능 목록을 구성합니다.
두 가지 유형의 목록이 지원됩니다.
- 표준 기능 목록 - 다음 표준 기능 목록을 포함합니다.
사용자에게 익숙한 이름 표준 기능 이름 클립보드 리디렉션 MKSCchan
HTML5/GeoLocation 리디렉션 html5mmr
RdeServer VMwareRde;UNITY_UPDATE_CHA
TSMMR tsmmr
직렬 포트/스캐너 리디렉션 NLR3hv;NLW3hv
프린터 리디렉션 PrintRedir
CDR tsdr
USB 리디렉션 UsbRedirection
스토리지 드라이브 리디렉션 SDRTrans
TlmStat 원격 분석 TlmStat
스캐너 보기 VMWscan
FIDO2 리디렉션 fido2
- 사용자 지정 기능 목록 - 여러 기능을 포함할 수 있는 무료 텍스트입니다. 특수 문자와 비영어 문자를 지원합니다.
참고:이 기능은 Windows Horizon Agent에만 적용됩니다. 기본적으로 BSG 기능 목록이 구성되지 않고 모든 원격 환경 기능이 허용됩니다. BSG 기능 목록이 구성된 경우 목록에 지정된 원격 환경 기능만 허용되고 다른 모든 기능은 차단됩니다.
다음 방법 중 하나를 사용하여 BSG 기능 목록을 구성합니다.
옵션 설명 INI 파일 [Horizon/Blast]
설정에서 다음 구성을 추가합니다.standardFeature1=PrintRedir standardFeature2=UsbRedirection customFeature1=acme_desktop1 customFeature2=acme_desktop2
JSON 파일 기존 JSON 파일을 열고 다음 예와 유사한 새 "blastSettings" 노드를 추가합니다.
“blastExternalUrl”: “https://example.com/”, “blastSettings”: { “blastStandardFeatures”: [ “PrintRedir”, “UsbRedirection” ], “blastCustomFeatures”: [ “acme_desktop1”, “acme_desktop2” ] },
- 표준 기능 목록 - 다음 표준 기능 목록을 포함합니다.
- 저장을 클릭합니다.