Horizon Cloud with On-Premises Infrastructure 및 Horizon Air 클라우드 인프라로 Unified Access Gateway를 배포할 수 있습니다. Horizon 배포의 경우 Unified Access Gateway 장치가 Horizon 보안 서버를 대체합니다.
사전 요구 사항
Horizon 및 Web Reverse Proxy 인스턴스(예: Workspace ONE Access)를 동일한 Unified Access Gateway 인스턴스에서 구성되고 사용되도록 설정하려는 경우 고급 Edge 서비스 설정을 참조하십시오.
프로시저
- 관리 UI 수동 구성 섹션에서 선택을 클릭합니다.
- 표시를 클릭합니다. 에서
- Horizon 설정 톱니 모양 아이콘을 클릭합니다.
- Horizon을 사용하도록 설정하려면 [Horizon 설정] 페이지에서 [아니요]를 예로 변경합니다.
- Horizon에 대해 다음 Edge 서비스 설정 리소스를 구성합니다.
옵션 설명 식별자 기본적으로 Horizon로 설정됩니다. Unified Access Gateway은(는) Horizon 연결 서버, Horizon Air 및 Horizon Cloud with On-Premises Infrastructure 등의 Horizon XML 프로토콜을 사용하는 서버와 통신할 수 있습니다. 연결 서버 URL Horizon Server 또는 로드 밸런서의 주소를 입력합니다. https://00.00.00.00으로 입력합니다. 연결 서버 URL 지문 Horizon Server 지문 목록을 입력합니다. 지문 목록을 제공하지 않은 경우에는 신뢰할 수 있는 CA에서 서버 인증서를 발급해야 합니다. 16진수 지문 숫자를 입력합니다. 예를 들어 sha1= C3 89 A2 19 DC 7A 48 2B 85 1C81 EC 5E 8F 6A 3C 33 F2 95 C3입니다.
PCOIP 사용 PCoIP 보안 게이트웨이를 사용하도록 설정할지 여부를 지정하려면 [아니요]를 예로 변경합니다. PCOIP 레거시 인증서 사용 안 함 아니요를 예로 변경하여 레거시 인증서 대신 업로드된 SSL 서버 인증서를 사용하도록 지정합니다. 이 매개 변수를 예로 설정하면 레거시 PCoIP 클라이언트가 작동하지 않습니다. PCOIP 외부 URL Horizon Client에서 이 Unified Access Gateway 장치에 대한 Horizon PCoIP 세션을 설정하는 데 사용되는 URL입니다. 이 URL에는 호스트 이름이 아니라 IPv4 주소가 포함되어야 합니다. 예를 들어 10.1.2.3:4172입니다. 기본값은 Unified Access Gateway IP 주소 및 포트 4172입니다.
Blast 사용 Blast 보안 게이트웨이를 사용하려면 [아니요]를 예로 변경합니다. 연결 서버 IP 모드 Horizon Connection Server의 IP 모드를 나타냅니다. 이 설정에는
IPv4
,IPv6
및IPv4+IPv6
과 같은 값을 사용할 수 있습니다.기본값은
IPv4
입니다.- Unified Access Gateway 장치의 모든 NIC가 IPv4 모드(IPv6 모드 없음)인 경우 이 필드에는
IPv4
또는IPv4+IPv6
(혼합 모드) 중 하나를 사용할 수 있습니다. - Unified Access Gateway 장치의 모든 NIC가 IPv6 모드(IPv4 모드 없음)인 경우 이 필드에는
IPv6
또는IPv4+IPv6
(혼합 모드) 중 하나를 사용할 수 있습니다.
원본 머리글 다시 쓰기 Unified Access Gateway에 대한 수신 요청에 Origin 헤더가 있고 원본 머리글 다시 쓰기 필드가 사용되도록 설정된 경우 Unified Access Gateway는 연결 서버 URL로 Origin 헤더를 다시 씁니다. 원본 머리글 다시 쓰기 필드는 Horizon Connection Server의 checkOrigin CORS 속성에 따라 작동합니다. 이 필드를 사용하도록 설정하면 Horizon 관리자가 locked.properties 파일에서 Unified Access Gateway IP 주소를 지정하지 않아도 됩니다.
원본 확인에 대한 자세한 내용은 "Horizon 7 보안" 설명서를 참조하십시오.
- Unified Access Gateway 장치의 모든 NIC가 IPv4 모드(IPv6 모드 없음)인 경우 이 필드에는
- 인증 방법 규칙 및 기타 고급 설정을 구성하려면 자세히를 클릭합니다.
옵션 설명 인증 방법 기본값은 사용자 이름 및 암호의 패스스루 인증을 사용하는 것입니다. 인증 방법으로는
SAML
,SAML and Unauthenticated
,RSA SecurID
,SecurID and Unauthenticated
,RADIUS
,RADIUS and Unauthenticated
및Device Certificate
가 지원됩니다.중요: 인증 방법으로Unauthenticated
방법을 선택한 경우 Horizon Connection Server에서 로그인 감속 수준을Low
로 구성해야 합니다. 이 구성은 원격 데스크톱 또는 애플리케이션에 액세스하는 동안 끝점 로그인 시간이 오래 지연되지 않도록 하는 데 필요합니다.로그인 감속 수준을 구성하는 방법에 대한 자세한 내용은 VMware Docs에서 "Horizon 관리" 설명서를 참조하십시오.
Windows SSO 사용 이 옵션은 인증 방법이 RADIUS로 설정되고 RADIUS 암호가 Windows 도메인 암호와 동일한 경우에 사용하도록 설정할 수 있습니다. Windows 도메인 로그인 자격 증명에 대해 RADIUS 사용자 이름과 암호를 사용하여 사용자에게 다시 묻지 않도록 하려면 아니요를 예로 변경합니다. 다중 도메인 환경에서 Horizon을 설치한 경우 제공된 사용자 이름에 도메인 이름이 포함되어 있지 않으면 도메인이 CS로 전송되지 않습니다.
NameID 접미사가 구성되어 있고 제공된 사용자 이름에 도메인 이름이 포함되지 않은 경우에는 NameID 접미사 값 구성이 사용자 이름에 추가됩니다. 예를 들어, 사용자가 사용자 이름으로 jdoe를 지정하고 NameIDSuffix가 @north.int로 설정된 경우 전송되는 사용자 이름은 [email protected]입니다.
NameID 접미사가 구성되고 제공된 사용자 이름이 UPN 형식인 경우 NameID 접미사가 무시됩니다. 예를 들어, 사용자가 [email protected], NameIDSuffix - @south.int를 제공한 경우 사용자 이름은 [email protected]가 됩니다.
입력한 사용자 이름이 <DomainName\username> 형식이면(예: NORTH\jdoe) Unified Access Gateway는 사용자 이름과 도메인 이름을 CS에 별도로 전송합니다.
RADIUS 클래스 특성 인증 방법이 RADIUS로 설정될 때 사용하도록 설정됩니다. 클래스 특성 값을 추가하려면 '+'를 클릭합니다. 사용자 인증에 사용할 클래스 특성의 이름을 입력합니다. 클래스 특성을 제거하려면 '-'를 클릭합니다. 참고: 이 필드를 비워 두면 추가 인증이 수행되지 않습니다.고지 사항 텍스트 인증 방법이 구성된 경우 사용자에게 표시되고 사용자의 동의를 구하는 Horizon 고지 사항 메시지입니다.
스마트 카드 힌트 프롬프트 인증서 인증을 위해 암호 힌트를 사용하도록 설정하려면 [아니요]를 예로 변경합니다. 상태 점검 URI 경로 상태 모니터링을 위해 Unified Access Gateway가 연결되는 연결 서버에 대한 URI 경로입니다. Blast 외부 URL Horizon 클라이언트에서 Unified Access Gateway 장치에 대한 Horizon Blast 또는 BEAT 세션을 설정하는 데 사용되는 URL입니다. 예를 들어 https://uag1.myco.com 또는 https://uag1.myco.com:443입니다. TCP 포트 번호를 지정하지 않은 경우 기본 TCP 포트는 8443입니다. 또한 UDP 포트 번호를 지정하지 않은 경우 기본 UDP 포트는 8443입니다.
UDP 서버 사용 저대역폭이 있는 경우 UDP 터널 서버를 통해 연결이 설정됩니다. Blast 프록시 인증서 Blast에 대한 프록시 인증서입니다. PEM 형식의 인증서를 업로드한 후 BLAST 신뢰 저장소에 추가하려면 선택을 클릭합니다. 기존 인증서를 바꾸려면 변경을 클릭합니다.
사용자가 Unified Access Gateway에 대한 동일한 인증서를 로드 밸런서에 수동으로 업로드하는데 Unified Access Gateway 및 Blast 게이트웨이에 대해 다른 인증서를 사용해야 하는 경우 클라이언트와 Unified Access Gateway 간의 지문이 일치하지 않으므로 Blast 데스크톱 세션을 설정하지 못합니다. Unified Access Gateway 또는 Blast 게이트웨이에 대한 사용자 지정 지문 입력은 지문을 릴레이하여 클라이언트 세션을 설정함으로써 이 문제를 해결합니다.
터널 사용 Horizon 보안 터널이 사용되는 경우 [아니요]를 예로 변경합니다. 클라이언트는 Horizon 보안 게이트웨이를 통한 터널 연결을 위해 외부 URL을 사용합니다. 터널은 RDP, USB 및 MMR(멀티미디어 리디렉션) 트래픽에 사용됩니다. 터널 외부 URL Horizon Client에서 이 Unified Access Gateway 장치에 대한 Horizon Tunnel 세션을 설정하는 데 사용되는 URL입니다. 예를 들어 https://uag1.myco.com 또는 https://uag1.myco.com:443입니다. TCP 포트 번호를 지정하지 않은 경우 기본 TCP 포트는 443입니다.
터널 프록시 인증서 Horizon Tunnel에 대한 프록시 인증서입니다. PEM 형식의 인증서를 업로드한 후 터널 신뢰 저장소에 추가하려면 선택을 클릭합니다. 기존 인증서를 바꾸려면 변경을 클릭합니다.
사용자가 Unified Access Gateway에 대한 동일한 인증서를 로드 밸런서에 수동으로 업로드하는데 Unified Access Gateway 및 Horizon Tunnel에 대해 다른 인증서를 사용해야 하는 경우 클라이언트와 Unified Access Gateway 간의 지문이 일치하지 않으므로 터널 세션을 설정하지 못합니다. Unified Access Gateway 또는 Horizon Tunnel에 대해 사용자 지정 지문을 입력하면 지문을 릴레이하여 클라이언트 세션을 설정하므로 이 문제가 해결됩니다.
끝점 규정 준수 검사 제공자 끝점 규정 준수 검사 제공자를 선택합니다. 기본값은 OPSWAT입니다.
프록시 패턴 Horizon Server URL(proxyDestinationUrl)과 관련된 URI와 일치하는 정규식을 입력합니다. 기본값은(/|/view-client(.*)|/portal(.*)|/appblast(.*))
입니다.참고: 패턴을 사용하여 특정 URL을 제외할 수도 있습니다. 예를 들어, /admin을 제외한 모든 URL을 허용하려면 다음 표현식을 사용할 수 있습니다.^/(?!admin(.*))(.*)
SAML SP Horizon XMLAPI 브로커에 대한 SAML 서비스 제공자의 이름을 입력합니다. 이 이름은 구성된 서비스 제공자 메타데이터의 이름과 일치하거나 특수 값 [DEMO]여야 합니다. 인증서 제거 시 로그아웃 참고: 이 옵션은 스마트 카드 인증 방법이 인증 방법으로 선택된 경우 사용할 수 있습니다.이 옵션을
YES
로 설정하고 스마트 카드를 제거하면 최종 사용자는 Unified Access Gateway 세션에서 강제로 로그아웃됩니다.RADIUS에 대한 사용자 이름 레이블 Horizon Client에서 사용자 이름 레이블을 사용자 지정하기 위한 텍스트를 입력합니다. 예: Domain Username
RADIUS 인증 방법을 사용하도록 설정해야 합니다. RADIUS를 사용하도록 설정하려면 RADIUS 인증 구성의 내용을 참조하십시오.
기본 레이블 이름은
Username
입니다.레이블 이름의 최대 길이는 20자입니다.
RADIUS에 대한 암호 레이블 Horizon Client에서 암호 레이블을 사용자 지정하기 위한 이름을 입력합니다. 예: Password
RADIUS 인증 방법을 사용하도록 설정해야 합니다. RADIUS를 사용하도록 설정하려면 RADIUS 인증 구성의 내용을 참조하십시오.
기본 레이블 이름은
Passcode
입니다.레이블 이름의 최대 길이는 20자입니다.
Windows 사용자 이름 일치 RSA SecurID 및 Windows 사용자 이름을 일치시키려면 아니요를 예로 변경합니다. 예로 설정하면 securID-auth가 [true]로 설정되고 securID 및 Windows 사용자 이름 일치가 적용됩니다. 다중 도메인 환경에서 Horizon을 설치한 경우 제공된 사용자 이름에 도메인 이름이 포함되어 있지 않으면 도메인이 CS로 전송되지 않습니다.
NameID 접미사가 구성되어 있고 제공된 사용자 이름에 도메인 이름이 포함되지 않은 경우에는 NameID 접미사 값 구성이 사용자 이름에 추가됩니다. 예를 들어, 사용자가 사용자 이름으로 jdoe를 지정하고 NameIDSuffix가 @north.int로 설정된 경우 전송되는 사용자 이름은 [email protected]입니다.
NameID 접미사가 구성되고 제공된 사용자 이름이 UPN 형식인 경우 NameID 접미사가 무시됩니다. 예를 들어, 사용자가 [email protected], NameIDSuffix - @south.int를 제공한 경우 사용자 이름은 [email protected]가 됩니다.
입력한 사용자 이름이 <DomainName\username> 형식이면(예: NORTH\jdoe) Unified Access Gateway는 사용자 이름과 도메인 이름을 CS에 별도로 전송합니다.
참고: Horizon 7에서 클라이언트 사용자 인터페이스에서 서버 정보 숨기기 및 클라이언트 사용자 인터페이스에서 도메인 목록 숨기기 설정을 사용하도록 설정하고 연결 서버 인스턴스에 대해 2단계 인증(RSA SecureID 또는 RADIUS)을 선택하는 경우 Windows 사용자 이름 일치를 적용하지 마십시오. Windows 사용자 이름 일치 적용을 사용하면 사용자가 사용자 이름 텍스트 상자에 도메인 정보를 입력하지 못하므로 로그인이 항상 실패합니다. 자세한 내용은 Horizon 7 관리 문서의 2단계 인증에 대한 항목을 참조하십시오.게이트웨이 위치 연결 요청이 시작되는 위치입니다. 보안 서버 및 Unified Access Gateway는 게이트웨이 위치를 설정합니다. 위치는 External
또는Internal
일 수 있습니다.중요:SAML and Unauthenticated
,SecurID and Unauthenticated
또는RADIUS and Unauthenticated
인증 방법을 선택한 경우 위치를Internal
로 설정해야 합니다.JWT 설정 참고: Workspace ONE Access JWT SAML 아티팩트 유효성 검사를 위해 고급 설정의 JWT 설정 섹션에 이름 필드가 구성되어 있는지 확인합니다.구성된 JWT 설정 중 하나의 이름을 선택합니다.JWT 대상 Workspace ONE Access Horizon SAML 아티팩트 유효성 검사에 사용되는 JWT의 의도된 수신자 목록입니다(선택 사항). JWT 유효성 검사가 성공하려면 이 목록에 있는 수신자 중 하나 이상이 Workspace ONE Access Horizon 구성에 지정된 대상 중 하나와 일치해야 합니다. JWT 대상을 지정하지 않으면 JWT 유효성 검사 시 대상이 고려되지 않습니다.
신뢰할 수 있는 인증서 이 Edge 서비스에 신뢰할 수 있는 인증서를 추가합니다. PEM 형식의 인증서를 선택하여 신뢰 저장소에 추가하려면 '+'를 클릭합니다. 신뢰 저장소에서 인증서를 제거하려면 "-"를 클릭합니다. 기본적으로 별칭 이름은 PEM 인증서의 파일 이름입니다. 다른 이름을 제공하려면 별칭 텍스트 상자를 편집합니다. 응답 보안 헤더 헤더를 추가하려면 '+'를 클릭합니다. 보안 헤더의 이름을 입력합니다. 값을 입력합니다. 헤더를 제거하려면 '-'를 클릭합니다. 헤더의 이름 및 값을 업데이트하려면 기존 보안 헤더를 편집합니다. 중요: 헤더 이름 및 값은 저장을 클릭해야만 저장됩니다. 일부 표준 보안 헤더는 기본적으로 제공됩니다. 구성된 헤더는 해당 헤더가 구성된 백엔드 서버의 응답에 없는 경우에만 클라이언트에 대한 Unified Access Gateway 응답에 추가됩니다.참고: 보안 응답 헤더는 주의해서 수정합니다. 이러한 매개 변수를 수정하면 Unified Access Gateway의 보안 작동에 영향을 줄 수 있습니다.호스트 리디렉션 매핑 UAG에서 HTTP 호스트 리디렉션 기능을 지원하는 방법과 이 기능을 사용하는 데 필요한 특정 고려 사항에 대한 자세한 정보는 HTTP 호스트 리디렉션에 대한 Unified Access Gateway 지원의 내용을 참조하십시오.
- 소스 호스트
소스(로드 밸런서)의 호스트 이름을 입력합니다.
- 리디렉션 호스트
Horizon Client에서 선호도를 유지 관리해야 하는 UAG(Unified Access Gateway) 장치의 호스트 이름을 입력합니다.
호스트 항목 /etc/hosts 파일에 추가할 세부 정보를 입력합니다. 각 항목은 IP, 호스트 이름 및 선택적 호스트 이름 별칭을 이 순서대로 공백으로 구분하여 포함합니다. 예: 10.192.168.1 example1.com, 10.192.168.2 example2.com example-alias. 여러 호스트 항목을 추가하려면 "+" 기호를 클릭합니다. 중요: 호스트 항목은 저장을 클릭한 후에만 저장됩니다.SAML 대상 SAML 또는 SAML 및 패스스루 인증 방법 중 하나를 선택해야 합니다.
대상 URL을 입력합니다.참고: 이 텍스트 상자를 비워 두면 대상이 제한되지 않습니다.UAG에서 SAML 대상을 지원하는 방법을 이해하려면 SAML 대상 항목을 참조하십시오.
SAML 인증되지 않은 사용자 이름 특성 사용자 지정 특성 이름 입력 참고: 이 필드는 인증 방법의 값이UAG가 SAML 어설션의 유효성을 검사할 때 이 필드에 지정된 특성 이름이 어설션에 있는 경우 UAG는 ID 제공자의 특성에 맞게 구성된 사용자 이름에 대해 인증되지 않은 액세스를 제공합니다.SAML and Unauthenticated
일 때만 사용할 수 있습니다.SAML and Unauthenticated
방법에 대한 자세한 내용은 Unified Access Gateway 및 타사 ID 제공자 통합에 대한 인증 방법을 참조하십시오.인증되지 않은 기본 사용자 이름 인증되지 않은 액세스에 사용해야 하는 기본 사용자 이름 입력 이 필드는 인증 방법으로
SAML and Unauthenticated
,SecurID and Unauthenticated
및RADIUS and Unauthenticated
중 하나를 선택한 경우 관리 UI에서 사용할 수 있습니다.참고:SAML and Unauthenticated
인증 방법의 경우 인증되지 않은 액세스에 대한 기본 사용자 이름은 SAML 인증되지 않은 사용자 이름 특성 필드가 비어 있거나 이 필드에 지정된 특성 이름이 SAML 어설션에서 누락되었을 때만 사용됩니다.HTML Access 사용 안 함 [예]로 설정하면 Horizon에 대한 웹 액세스를 사용하지 않도록 설정합니다. 자세한 내용은 Horizon에 대한 끝점 규정 준수 검사 제공자 설정 구성의 내용을 참조하십시오. - 소스 호스트
- 저장을 클릭합니다.