최종 사용자 할당의 리소스 브로커링을 위해 Universal Broker를 사용하려면 먼저 특정 설정을 구성해야 합니다. 이 문서에서는 연결 FQDN 또는 URL, 2단계 인증, 세션 시간 초과 및 Horizon 기능 정책을 포함하여 Universal Broker 설정을 구성하기 위한 자세한 단계별 지침을 제공합니다.

Universal Broker의 구성 마법사는 테넌트 전체 연결 브로커로 Universal Broker를 먼저 선택하면 자동으로 열립니다. 구성 마법사를 수동으로 열 수도 있습니다.

사전 요구 사항

포드 유형에 따라 필요한 시스템 구성 요소를 준비합니다.

VMware SDDC 기반 플랫폼의 Horizon 포드:

Microsoft Azure의 Horizon Cloud 포드:

중요: Microsoft Azure의 모든 Horizon Cloud 포드가 온라인이며 정상적인 준비 완료 상태여야 합니다. Universal Broker 서비스는 포드와 통신하고 포드에 대한 몇 가지 구성 단계를 수행하여 설정 프로세스를 완료해야 합니다. 포드가 오프라인 상태이거나 사용할 수 없는 경우 Universal Broker 설정은 실패합니다.

프로시저

  1. 필요한 경우 Universal Broker를 설정하기 위한 구성 마법사를 엽니다.
    • 시작 페이지에서 일반 설정 > 브로커로 이동한 후 이동을 클릭합니다. 그런 다음, 설정을 클릭하여 새 구성을 지정하거나 연필 아이콘을 클릭하여 구성을 편집합니다.
    • 설정 > 브로커를 선택합니다. 그런 다음, 설정을 클릭하여 새 구성을 지정하거나 연필 아이콘을 클릭하여 구성을 편집합니다.
    Universal Broker에 대한 구성 마법사가 나타납니다.
  2. 마법사의 FQDN 페이지에서 Universal Broker 서비스의 FQDN(정규화된 도메인 이름)에 대한 설정을 구성합니다. 이러한 설정은 최종 사용자가 Universal Broker에서 브로커링한 리소스에 액세스하는 데 사용할 전용 연결 주소 또는 URL을 정의합니다.
    참고: 하위 도메인 또는 FQDN 설정을 수정하는 경우 변경 내용이 모든 DNS 서버에 적용되는 데 다소 시간이 걸릴 수 있습니다.
    1. [유형]으로 VMware 제공 또는 사용자 지정 FQDN(정규화된 도메인 이름) 중 하나를 선택합니다.
    2. 선택한 FQDN 유형에 대한 추가 설정을 지정합니다.
      • VMware 제공 유형을 선택한 경우 다음과 같이 설정을 지정합니다.
        설정 설명
        Sub Domain 네트워크 구성에서 회사 또는 조직을 나타내는 유효한 하위 도메인의 고유한 DNS 이름을 입력합니다. 이 하위 도메인에 VMware에서 제공한 도메인을 접두사로 추가하여 브로커링 FQDN을 만듭니다.
        참고: 일부 문자열은 시스템에서 허용되지 않거나 예약되어 있습니다. 이 범주의 문자열에는 일반 단어(예: book), 잘 알려진 회사 소유 용어(예: gmail) 및 프로토콜, 코딩 및 오픈 소스 용어(예: phpsql)가 포함됩니다. 또한 시스템은 mail0, mail1, mail2 등과 같은 문자열 패턴 범주를 허용하지 않습니다.

        그러나 이 필드에 허용되지 않는 이름을 입력하는 즉시 시스템이 항목의 유효성을 검사하는 것은 아닙니다. 마법사의 마지막 요약 단계에 도달한 경우에만 여기에서 입력한 이름이 유효한지 검사하고, 항목이 허용되지 않는 이름 중 하나와 일치하는 경우 오류를 표시합니다. 이 문제가 발생하면 여기에 다른 고유한 이름을 입력하십시오.

        Brokering FQDN 이 읽기 전용 필드에는 구성된 FQDN이 표시됩니다. FQDN은 https://<사용자 하위 도메인>.vmwarehorizon.com 형식을 사용합니다.

        Horizon Client를 사용하여 Universal Broker 서비스에 연결할 수 있도록 하기 위해 최종 사용자에게 이 FQDN을 제공합니다.

        Universal Broker는 이 FQDN의 DNS 및 SSL 유효성 검사를 관리합니다.

        다음 스크린샷은 VMware 제공 FQDN 설정이 채워진 구성 마법사의 예를 보여 줍니다.


        VMware 제공 FQDN 설정이 채워진 Universal Broker 구성 마법사
      • 사용자 지정 유형을 선택한 경우 다음과 같이 설정을 지정합니다.
        설정 설명
        Brokering FQDN 최종 사용자가 Universal Broker 서비스에 액세스하는 데 사용할 사용자 지정 FQDN을 입력합니다. 사용자 지정 FQDN은 서비스에 대한 연결을 완료하는 자동으로 생성된 VMware 제공 FQDN에 대한 별칭으로 작동합니다.

        사용자 지정 FQDN에 지정된 도메인 이름의 소유자여야 하며 해당 도메인의 유효성을 검사할 수 있는 인증서를 제공해야 합니다.

        참고: 연결 URL이라고도 하는 사용자 지정 FQDN은 회사 또는 조직을 나타냅니다. 이 사용자 지정 FQDN을 사용할 수 있는 적절한 권한이 있는지 확인합니다.
        참고: 사용자 지정 FQDN은 포드 내에 있는 모든 Unified Access Gateway FQDN과 다르며 고유해야 합니다.
        중요: 사용자 지정 FQDN을 Universal Broker 서비스의 내부 연결 주소를 나타내는 VMware 제공 FQDN에 매핑하는 CNAME 레코드를 DNS 서버에서 생성해야 합니다. 예를 들어 이 레코드는 vdi.examplecompany.com<자동 생성 문자열>.vmwarehorizon.com에 매핑할 수 있습니다.
        Certificate

        찾아보기를 클릭하고, 브로커링 FQDN을 검증하는 인증서(암호로 보호되는 PFX 형식)를 업로드합니다. 인증서는 신뢰할 수 있는 CA에서 서명해야 합니다. 인증서의 CN(일반 이름) 또는 해당 SAN(주체 대체 이름)이 FQDN과 일치해야 합니다. 인증서의 컨텐츠는 표준 X.509 형식을 준수해야 합니다.

        PFX 파일에 전체 인증서 체인과 개인 키, 즉 도메인 인증서 중간 인증서, 루트 CA 인증서, 개인 키가 포함되어야 합니다.

        Universal Broker 서비스는 이 인증서를 사용하여 클라이언트와의 신뢰할 수 있는 연결 세션을 설정합니다.

        Password PFX 인증서 파일의 암호를 입력합니다.
        VMware Provided FQDN 이 읽기 전용 필드에는 브로커링 서비스에 대해 자동으로 생성되는 VMware 제공 FQDN이 표시됩니다. 이 FQDN은 https://<자동 생성 문자열>.vmwarehorizon.com 형식을 갖습니다.

        VMware 제공 FQDN은 최종 사용자에게 보이지 않으며 Universal Broker 서비스의 내부 연결 주소를 나타냅니다. 사용자 지정 FQDN은 VMware 제공 FQDN에 대한 별칭으로 작동합니다.

        중요: 사용자 지정 FQDN을 VMware 제공 FQDN에 매핑하는 CNAME 레코드를DNS 서버에 생성하여 별칭 연결을 설정해야 합니다. 예를 들어 이 레코드는 vdi.examplecompany.com<자동 생성 문자열>.vmwarehorizon.com에 매핑할 수 있습니다.

        다음 스크린샷은 사용자 지정 FQDN 설정이 채워진 구성 마법사의 예를 보여 줍니다.


        사용자 지정 FQDN 설정이 채워진 Universal Broker 구성 마법사
    3. FQDN 설정 구성이 끝나면 다음을 클릭하여 마법사의 다음 페이지로 이동합니다.
  3. (선택 사항) 마법사의 인증 페이지에서 2단계 인증을 구성합니다.
    기본적으로 Universal Broker는 Active Directory 사용자 이름 및 암호를 통해서만 사용자를 인증합니다. 추가 인증 방법을 지정하여 2단계 인증을 구현할 수 있습니다. 자세한 내용은 Universal Broker 환경에서 2단계 인증을 구현할 때의 모범 사례 항목을 참조하십시오.
    중요: Universal Broker에 2단계 인증을 사용하려면 먼저 모든 참여 포드 내의 각 외부 Unified Access Gateway 인스턴스에 적절한 인증 서비스를 구성해야 합니다. 외부 Unified Access Gateway 인스턴스의 구성은 참여 포드 내부 및 사이에서 동일해야 합니다.

    예를 들어 RADIUS 인증을 사용하려는 경우 모든 참여 Horizon 포드 및 Microsoft Azure의 포드에 있는 각 외부 Unified Access Gateway 인스턴스에서 RADIUS 서비스를 구성해야 합니다.

    참여 포드 내의 Unified Access Gateway 인스턴스는 삭제하지 마십시오. Universal Broker는 Horizon Client와 가상 리소스 간의 프로토콜 트래픽에 대해 Unified Access Gateway에 의존하므로 해당 포드에서 Unified Access Gateway 인스턴스를 삭제하면 참여 포드에서 프로비저닝된 리소스에 액세스할 수 없게 됩니다.

    설정 설명
    2 Factor Authentication

    2단계 인증을 사용하려면 이 토글을 사용하도록 설정합니다.

    이 토글을 사용하도록 설정하면 2단계 인증을 구성하기 위한 추가 옵션이 제공됩니다.

    Maintain User Name Universal Broker에서 인증되는 동안 사용자의 Active Directory 사용자 이름을 유지하려면 이 토글을 사용하도록 설정합니다. 사용하도록 설정하는 경우:
    • 사용자는 추가 인증 방법에 대해서도 Universal Broker에 대한 Active Directory 인증의 경우와 동일한 사용자 이름 자격 증명이 있어야 합니다.
    • 사용자는 클라이언트 로그인 화면에서 사용자 이름을 변경할 수 없습니다.

    이 토글을 해제하는 경우 사용자는 로그인 화면에서 다른 사용자 이름을 입력할 수 있습니다.

    Type

    Active Directory 사용자 이름 및 암호 외에 사용하려는 인증 방법을 지정합니다.

    • Horizon 포더 및 Microsoft Azure의 포드 둘 다에서 2단계 인증을 사용하려면 RADIUS를 선택합니다.
    • Horizon 포드에만 2단계 인증을 사용하려면 RSA SecurID를 선택합니다.
    참고: 이 릴리스에서 RSA SecurID는 Microsoft Azure의 포드에서는 지원되지 않고, Horizon 포드에서만 지원됩니다. RSA SecurID를 선택하는 경우, 사용자의 RSA 인증 요청은 Horizon 포드의 Unified Access Gateway 인스턴스를 통해서만 시도됩니다. Active Directory 사용자 이름 및 암호 인증 요청은 Horizon 포드 또는 Microsoft Azure 포드의 Unified Access Gateway 인스턴스를 통해 시도됩니다.
    Show Hint Text 이 토글을 사용하도록 설정하면 클라이언트 로그인 화면에 표시되는 텍스트 문자열을 구성하여 사용자에게 추가 인증 방법에 대해 자격 증명을 묻는 메시지를 표시할 수 있습니다.
    Custom Hint Text

    클라이언트 로그인 화면에 표시하려는 텍스트 문자열을 입력합니다. 지정된 힌트는 최종 사용자에게 Enter your DisplayHint user name and password로 표시됩니다. 여기서 DisplayHint는 사용자가 이 텍스트 상자에 입력하는 텍스트 문자열입니다.

    참고: Universal Broker에서는 사용자 지정 힌트 텍스트에서 & < > ' " 문자를 허용하지 않습니다.

    이러한 금지된 문자를 힌트 텍스트에 포함하면 Universal Broker FQDN에 대한 사용자 연결이 실패합니다.

    이 힌트는 사용자가 올바른 자격 증명을 입력하도록 안내합니다. 예를 들어, 회사 사용자 이름 및 도메인 암호와 같은 구문을 지정하면 최종 사용자에게 Enter your Company user name and domain password below for user name and password라는 메시지가 표시됩니다.

    Skip Two-Factor Authentication

    이 토글을 사용하도록 설정하여 Universal Broker 서비스에 연결하는 내부 네트워크 사용자에 대해 2단계 인증을 우회합니다. Universal Broker에 대한 내부 네트워크 범위 정의에 설명된 대로 내부 네트워크에 속하는 공용 IP 범위를 지정했는지 확인합니다.

    • 이 토글을 사용하도록 설정하면 내부 사용자는 Universal Broker 서비스에서 인증을 받기 위해 Active Directory 자격 증명만 입력하면 됩니다. 외부 사용자는 추가 인증 서비스에 대해 Active Directory 자격 증명과 해당 자격 증명을 모두 입력해야 합니다.
    • 이 토글을 끄면 내부 및 외부 사용자 모두 추가 인증 서비스에 대한 Active Directory 자격 증명과 해당 자격 증명을 입력해야 합니다.
    Public IP Ranges

    이 읽기 전용 필드에는 내부 네트워크를 나타내는 공용 IP 범위가 나열됩니다. Universal Broker는 이러한 범위 중 하나에 속하는 IP 주소에서 연결하는 모든 사용자를 내부 사용자로 간주합니다.

    자세한 내용은 Universal Broker에 대한 내부 네트워크 범위 정의 항목을 참조하십시오.

    다음 스크린샷은 2단계 인증 설정이 채워진 구성 마법사 예시를 보여 줍니다.

    2단계 인증 설정이 채워진 Universal Broker 구성 마법사
    2단계 인증 구성이 끝나면 다음을 클릭하여 마법사의 다음 페이지로 이동합니다.
  4. 구성 마법사의 설정 페이지에서 Horizon Client에 대한 기간 설정을 구성합니다.
    이러한 시간 초과 설정은 Horizon ClientUniversal Broker에서 할당된 데스크톱 간의 연결 세션에 적용됩니다. 이러한 설정은 할당된 데스크톱의 게스트 운영 체제에 대한 사용자의 로그인 세션에 적용되지 않습니다. Universal Broker는 이러한 설정으로 지정된 시간 초과 조건을 감지하면 사용자의 Horizon Client 연결 세션을 닫습니다.
    설정 설명
    Client Heartbeat Interval Horizon Client 하트비트 간 간격(분)과 Universal Broker에 대한 사용자 연결 상태를 제어합니다. 이러한 하트비트는 Horizon Client 연결 세션 동안 경과된 유휴 시간을 Universal Broker에 보고합니다.

    Horizon Client를 실행하는 끝점 디바이스와의 상호 작용이 발생하지 않을 때 유휴 시간이 측정됩니다. 이 유휴 시간은 사용자가 할당한 데스크톱의 기준이 되는 게스트 운영 체제에 대한 로그인 세션이 비활성 상태가 되어도 영향을 받지 않습니다.

    대규모 데스크톱 배포에서 클라이언트 하트비트 간격을 늘리면 네트워크 트래픽이 줄어들고 성능이 향상될 수 있습니다.

    Client Idle User Horizon ClientUniversal Broker 간의 연결 세션 동안 허용되는 최대 유휴 시간(분)입니다.

    최대 시간에 도달하면 사용자의 인증 기간이 만료되고 Universal Broker는 모든 활성 Horizon Client 세션을 닫습니다. 연결 세션을 다시 열려면 사용자가 Universal Broker 로그인 화면에서 인증 자격 증명을 다시 입력해야 합니다.

    참고: 할당된 데스크톱에서 사용자의 연결이 예기치 않게 끊어지는 것을 방지하려면 클라이언트 유휴 사용자 시간 초과를 클라이언트 하트비트 간격 값의 적어도 2배로 설정합니다.
    Client Broker Session 사용자의 인증이 만료되기 전에 Horizon Client 연결 세션에 허용되는 최대 시간(분)입니다. 이 시간은 사용자가 Universal Broker에서 인증을 받으면 시작됩니다. 세션 시간 초과가 발생해도 사용자는 할당된 데스크톱에서 계속 작업할 수 있습니다. 하지만 Universal Broker와의 통신이 필요한 작업(예: 설정 변경)을 수행하는 경우 Horizon ClientUniversal Broker 자격 증명을 다시 입력하라는 메시지를 표시합니다.
    참고: Client 브로커 세션 시간 초과 값은 Client 하트비트 간격 값과 Client 유휴 사용자 시간 초과 값을 합한 값 이상이어야 합니다.
    Client Credential Cache 사용자 로그인 자격 증명을 클라이언트 시스템 캐시에 저장할지 여부를 제어합니다. 사용자 자격 증명을 캐시에 저장하려면 1을 입력합니다. 사용자 자격 증명을 캐시에 저장하지 않으려면 0을 입력합니다.
  5. 구성 마법사의 설정 페이지에서 정책 세부 정보를 구성합니다.
    정책 세부 정보는 데스크톱 및 클라이언트에서 기능을 사용할 수 있는 경우 최종 사용자가 특정 고객의 Horizon 기능에 액세스할 수 있는지를 제어합니다.
    설정 설명
    Multimedia Redirection (MMR) 데스크톱 및 클라이언트에서 기능을 사용할 수 있는 경우 최종 사용자가 멀티미디어 리디렉션 기능에 액세스할 수 있도록 하려면 이 토글을 사용하도록 설정합니다.
    USB Access 데스크톱 및 클라이언트에서 기능을 사용할 수 있는 경우 최종 사용자가 USB 리디렉션 기능에 액세스할 수 있도록 하려면 이 토글을 사용하도록 설정합니다.
    Clean Up HTML Access Credentials When Tab is Closed

    이 설정을 사용하도록 지정하면 사용자가 원격 데스크톱에 연결하는 탭을 닫거나 HTML Access 클라이언트에서 데스크톱 선택 페이지에 연결하는 탭을 닫을 때 사용자의 자격 증명을 캐시에서 제거합니다.

    이 설정을 사용하도록 설정하면 다음 HTML Access 클라이언트 시나리오에서도 캐시에 있는 자격 증명이 제거됩니다.

    • 사용자가 데스크톱 선택 페이지나 원격 세션 페이지를 새로 고침합니다.
    • 서버에서 자체 서명된 인증서를 표시하고, 사용자가 원격 데스크톱을 실행하고, 보안 경고가 나타났을 때 사용자가 인증서를 승인합니다.
    • 사용자가 원격 세션이 포함된 탭에서 URI 명령을 실행합니다.

    이 설정을 해제한 경우에는 자격 증명이 캐시에 남아 있습니다.

    Allow Client to Wait for Powered-Off VM 이 설정을 사용하도록 설정하면 Horizon Client는 현재 사용할 수 없는 원격 데스크톱에 대한 연결 요청을 다시 시도할 수 있습니다.

    예를 들어 클라이언트 사용자는 현재 전원이 꺼진 데스크톱을 요청할 수 있습니다. 이 설정을 사용하도록 설정하면 Horizon Client가 데스크톱의 전원이 켜지고 사용 가능해질 때 연결 요청을 다시 전송하고 연결 세션을 설정할 수 있습니다.

    정책 세부 정보 구성이 끝나면 다음을 클릭하여 마법사의 다음 단계로 이동합니다.
  6. 요약 페이지에서 설정을 검토한 후 완료를 클릭하여 구성을 저장하고 적용합니다.
    시스템 및 네트워크 조건에 따라, 모든 전역 지역의 DNS 서버에서 DNS 레코드가 전파되므로 구성 설정이 Universal Broker 서비스에 완전히 적용되는 데 일반적으로 최소 몇 분에서 최대 30분까지 소요됩니다. 이 시간 동안에는 Universal Broker 서비스를 사용할 수 없습니다. 설치가 성공적으로 완료되면 [시작] 페이지의 [브로커] 섹션에 완료가 표시되고 설정 > 브로커 페이지에서 사용 상태에 녹색 점이 표시됩니다.

    Universal Broker가 사용하도록 설정된 브로커 페이지
    중요: Universal Broker 설정이 실패하면 설정 > 브로커 페이지에서 빨간색 경고 아이콘이 있는 오류 상태가 표시됩니다. 구성 실패를 수정하고 Universal Broker 서비스를 설정하려면 VMware KB(기술 자료) 문서 2006985에 설명된 대로 VMware 지원 팀에 문의하십시오.

다음에 수행할 작업