이 항목에서는 Universal Broker에서 사용할 수 있도록 Horizon 포드에서 Unified Access Gateway 인스턴스를 구성하는 방법을 설명합니다. 절차에 따라 Universal Broker에서 필요한 터널 서버 및 프로토콜 리디렉션을 지원하도록 각 Unified Access Gateway 인스턴스에 JSON 웹 토큰 설정을 구성합니다.

참고: 다음 절차는 Horizon Connection Server 기술을 기준으로 하는 Horizon 포드 내의 Unified Access Gateway 인스턴스에만 필요합니다. Microsoft Azure의 Horizon Cloud 포드에서 포드 배포 시 JSON 웹 토큰 설정이 자동으로 구성됩니다. Microsoft Azure Horizon Cloud 포드 내의 Unified Access Gateway 인스턴스에 대한 JSON 웹 토큰의 추가 구성을 수행할 필요가 없습니다(Horizon Connection Server 기술을 기준으로 하지 않음).

기본 설계에 따라 Universal Broker는 테넌트 포드 그룹의 모든 포드에 동일한 2단계 인증 설정을 사용해야 합니다. 또한 설계에 따라 Universal Broker가 2단계 인증 설정으로 구성된 경우 인증 요청을 구성하고 이를 외부 Unified Access Gateway 인스턴스에 전달합니다. 그러면 외부 인스턴스에서는 해당 인스턴스의 설정에 구성된 인증 서버와 통신하여 특정 인증 작업을 처리합니다. 그런 다음, Unified Access Gateway는 인증 서비스의 응답을 Universal Broker에 다시 전달합니다.

따라서 Universal Broker 및 2단계 인증을 사용하려면 테넌트의 포드 그룹에 있는 모든 포드의 전체 외부 Unified Access Gateway 인스턴스에 동일한 인증 서비스를 구성해야 합니다. Horizon 포드로만 구성된 그룹의 경우 Universal Broker는 모든 Unified Access Gateway 인스턴스에서 RADIUS 서비스 또는 RSA SecurID 서비스의 사용을 지원할 수 있습니다.

그렇지만 테넌트에 Horizon 포드 및 Horizon Cloud 포드로 구성된 혼합 포드 그룹이 있는 경우 사용 가능한 옵션은 Horizon Cloud on Microsoft Azure 배포가 RSA SecurID 옵션을 사용할 수 있도록 하는 조건을 충족하는지 여부에 따라 달라집니다. 모든 Horizon Cloud 포드가 매니페스트 3139.x 이상이고 [포드 편집] 마법사에 RSA SecurID 옵션이 표시되면 모든 포드가 RSA SecurID 유형을 사용하도록 구성할 수 있습니다. 그렇지 않으면 RADIUS를 사용하여 모든 포드 그룹에서 동일한 인증 서비스를 사용해야 하는 요구 사항을 충족해야 합니다.

사전 요구 사항

  • 지원하려는 최종 사용자 사용 사례에 따라 테넌트 포드 그룹의 각 Horizon 포드에 적절한 Unified Access Gateway 장치 집합을 구성했는지 확인합니다. 사용 사례에 대한 간단한 설명은 Horizon 포드에 대한 Universal Broker 시스템 요구 사항을 참조하십시오.
  • 해당 Unified Access Gateway 장치가 버전 3.8 이상을 실행 중이고 Horizon 포드의 Universal Broker 시스템 요구 사항에 설명된 관련 Unified Access Gateway 요구 사항을 모두 충족하는지 확인합니다.
  • 각각의 포드와 각 Unified Access Gateway 인스턴스의 연결이 유효한지 검사하려면 Unified Access Gateway 인스턴스에 직접 연결하고 가상 데스크톱에 액세스할 수 있는지 확인합니다.

프로시저

  1. Unified Access Gateway 관리 콘솔에 로그인합니다.
  2. 수동 구성 섹션에서 선택을 클릭합니다.
  3. 고급 설정 아래에서 JWT 설정에 대한 톱니 모양을 클릭합니다.
  4. 톱니 모양을 클릭한 후:
    • Unified Access Gateway 소프트웨어가 2209 이하 버전인 경우 추가를 클릭합니다.
    • Unified Access Gateway 소프트웨어가 2209 이상 버전인 경우 JWT 소비자 추가를 클릭합니다. 버전 2209에서 Unified Access Gateway 관리 UI가 변경되었습니다.
  5. 표시되는 UI 상자에서 설정을 지정합니다.
    설정 설명
    Name 구성 집합을 설명하는 이름을 입력합니다.
    Issuer Horizon Console에 표시된 대로 Horizon 포드의 클러스터 이름을 입력합니다.
    경고: 이 필드는 Unified Access Gateway 관리 UI에서 대/소문자를 구분합니다.

    Horizon Console에서 검색할 때 클러스터 이름을 정확하게 입력해야 합니다.

    Unified Access Gateway UI에서는 해당 필드가 대/소문자를 구분한다는 경고를 표시하지 않으며 대/소문자를 검증하지 않습니다.

    이 대/소문자 구분은 Horizon Console에 표시되는 단어 Cluster에도 적용합니다.

    Horizon Console에 대문자 C 및 소문자 luster로 된 단어가 표시되면 여기에 있는 이 발급자 필드에서 해당 단어를 정확하게 일치시키고, 이 발급자 필드에 Cluster를 입력해야 합니다.

    발급자 필드에 Horizon Console에 표시되는 이름과 정확히 일치하는 대/소문자가 구분된 이름을 입력했는지 확인하지 못하면 Universal Broker 다운스트림 문제가 발생하여 최종 사용자가 Universal Broker FQDN을 사용하여 데스크톱 및 애플리케이션을 실행할 수 없게 됩니다.

    Horizon Console에서 포드의 클러스터 이름을 찾으려면 Horizon Console의 대시보드 영역으로 이동하고 UI의 위쪽 세로 영역을 확인합니다.

    다음은 Horizon Console에서 포드 클러스터 이름의 위치를 보여주는 그림입니다.

    표시된 이름의 Cluster 부분이 대문자와 소문자의 조합으로 나타납니다.

    표시된 이름을 관리 UI의 이 발급자Unified Access Gateway 필드에 정확하게 입력해야 합니다. 발급자 필드에는 이름을 올바르게 입력했는지 확인하는 데 도움이 되는 유효성 검사가 없습니다.


    Horizon Console에 표시되는 포드의 클러스터 이름
    Dynamic Public key URL 포드의 연결 서버 호스트 이름 또는 연결 서버 FQDN이나 로컬 로드 밸런서(포드에 여러 게이트웨이 인스턴스가 있는 경우)에서 여기에 입력할 값을 가져옵니다.

    https://<Horizon pod FQDN>/broker/publicKey/protocolredirection을 입력합니다. 여기서 <Horizon pod FQDN>은 포드의 고유한 FQDN(정규화된 도메인 이름)으로 바뀝니다. FQDN은 일반적으로 다음과 같이 정의됩니다.

    • 포드에 Unified Access Gateway 인스턴스가 하나만 있는 경우 해당 인스턴스의 연결 서버 주소를 FQDN으로 지정합니다.
    • 포드에 여러 개의 Unified Access Gateway 인스턴스가 있는 경우 로컬 로드 밸런서의 주소를 FQDN으로 지정합니다.
    Public key URL thumbprints 이 필드는 인증에 공개 키 URL을 사용하도록 지정합니다.

    인증에 포드의 연결 서버 인증서를 사용하려면 이전 동적 공개 키 URL에 사용한 연결 서버에 대한 Horizon 포드 연결 서버 인증서의 SHA1 지문을 입력합니다.

    참고: 인증을 위해 공용 키 URL 지문 또는 신뢰할 수 있는 인증서를 구성할 수 있습니다. 두 옵션을 모두 구성할 필요는 없습니다.
    Trusted Certificates 인증을 위해 Horizon 포드 인증서 이외의 인증서를 사용하려면 (+) 아이콘을 클릭하고 신뢰할 수 있는 인증서를 추가합니다.
    참고: 인증을 위해 신뢰할 수 있는 인증서 또는 공용 키 URL 지문을 구성합니다. 두 옵션을 모두 구성할 필요는 없습니다.
    Public key refresh interval 최상의 결과를 얻으려면 900을 입력합니다. 이 값은 새로 고침 간격을 900초 또는 15분으로 설정합니다.
    Static public keys 이 옵션을 기본값으로 설정된 상태로 두어야 합니다.
  6. 저장을 클릭한 다음, 닫기를 클릭합니다.
  7. Universal Broker에 대해 2단계 인증을 사용하려는 경우 인증 설정에 대해 토글 표시를 사용하도록 설정합니다. 그런 다음, Universal Broker에서 지원하는 2단계 인증 서비스 중 하나에 대한 설정을 사용하도록 설정하고 구성합니다. 현재 지원되는 서비스는 RADIUS 및 RSA SecurID입니다.
    참고: 모든 참여 포드에 대해 외부 Unified Access Gateway 인스턴스에서 적절한 2단계 인증 서비스를 구성해야 합니다. 참여 포드 내의 모든 외부 Unified Access Gateway 인스턴스 구성은 서로 일치해야 하며 모든 참여 포드의 외부 Unified Access Gateway 인스턴스 구성과 동일해야 합니다. 그러지 않으면 Universal Broker 서비스에 대한 인증이 실패합니다.

    예를 들어, Universal Broker로 구성된 Horizon 포드에 대해 RADIUS 인증을 사용하려면 모든 참여 Horizon 포드의 외부 Unified Access Gateway 인스턴스에 동일한 RADIUS 서비스를 구성해야 합니다. 일부 참여 포드에는 RADIUS를 구성하고 다른 참여 포드에는 RSA SecurID를 구성할 수는 없습니다.