이 항목에서는 Universal Broker 서비스에 대한 2단계 인증을 구성하는 데 사용할 수 있는 개략적인 단계 및 모범 사례를 설명합니다.

Universal Broker에서 2단계 인증이 작동하는 방식

기본적으로 Universal Broker는 Active Directory 사용자 이름 및 암호를 통해서만 사용자를 인증합니다. 추가 인증 서비스를 지정하여 선택적인 2단계 인증을 구현할 수 있습니다. Universal Broker는 테넌트 환경에 배포한 포드 유형에 따라 다음과 같은 2단계 인증 서비스를 지원합니다.

  • 환경에 Microsoft Azure의 Horizon Cloud 포드만 포함된 경우 Universal Broker는 Radius 인증만 지원합니다.
  • 환경에 VMware SDDC 기반 플랫폼의 Horizon 포드만 포함된 경우 Universal Broker는 Radius 및 RSA SecurID 인증을 모두 지원합니다.
  • Microsoft Azure의 Horizon Cloud 포드와 VMware SDDC 기반 플랫폼의 Horizon 포드를 모두 포함하는 혼합 환경을 사용하는 경우 Universal Broker는 Radius 인증만 지원합니다.

Universal Broker는 네트워크 사용자의 2단계 인증을 수행할 때 각 참여 포드에서 외부 Unified Access Gateway 인스턴스의 구성에 의존합니다. 내부 네트워크 사용자의 인증 및 라우팅을 처리하도록 내부 Unified Access Gateway 인스턴스를 구성할 수도 있지만, Universal Broker는 외부 Unified Access Gateway 인스턴스에 구성된 인증 서비스를 기준으로 2단계 인증을 진행합니다.

참고: 모든 참여 포드에 대해 외부 Unified Access Gateway 인스턴스에서 적절한 2단계 인증 서비스를 구성해야 합니다. 참여 포드 내의 모든 외부 Unified Access Gateway 인스턴스 구성은 서로 일치해야 하며 모든 참여 포드의 외부 Unified Access Gateway 인스턴스 구성과 동일해야 합니다. 그러지 않으면 Universal Broker 서비스에 대한 인증이 실패합니다.

예를 들어, Universal Broker로 구성된 Horizon 포드에 대해 RADIUS 인증을 사용하려면 모든 참여 Horizon 포드의 외부 Unified Access Gateway 인스턴스에 동일한 RADIUS 서비스를 구성해야 합니다. 일부 참여 포드에는 RADIUS를 구성하고 다른 참여 포드에는 RSA SecurID를 구성할 수는 없습니다.

외부 및 내부 네트워크 모두에서 사용자에 대해 2단계 인증을 사용하도록 설정하려는 경우

  1. Universal Broker 환경의 각 포드에 대해 하나 이상의 외부 Unified Access Gateway 인스턴스를 구성합니다. 모든 포드에 걸쳐 모든 외부 Unified Access Gateway 인스턴스에 동일한 2단계 인증 서비스를 구성합니다.

    구체적인 사용 사례에 대해서는 구성 지침을 따르십시오.

    • 환경이 Horizon 포드로만 구성된 경우 모든 포드 인스턴스에서 모든 외부 Unified Access Gateway 인스턴스에 대해 RADIUS 또는 RSA SecurID 서비스를 구성합니다.
    • 환경이 Microsoft Azure의 Horizon Cloud 포드로만 구성된 경우 모든 포드에서 모든 외부 Unified Access Gateway 인스턴스에 대해 RADIUS 서비스를 구성합니다.
    • Horizon 포드 및 Microsoft Azure의 Horizon Cloud 포드 혼합을 포함하는 하이브리드 환경이 있는 경우 모든 포드 전체에서 모든 외부 Unified Access Gateway 인스턴스에 대해 RADIUS 서비스를 구성합니다.

    포드에 대한 자세한 내용은 Unified Access Gateway 설명서, VMware Horizon 설명서VMware Horizon 7 설명서를 참조하십시오. Microsoft Azure의 Horizon Cloud 포드의 경우 Horizon Cloud 포드 게이트웨이 구성 지정을 참조하십시오.

  2. 필요한 경우 각 포드에 대한 내부 Unified Access Gateway 인스턴스를 구성합니다. 사용자 트래픽을 해당 내부 및 외부 DNS 서버로 라우팅하려면 다음 중 하나를 수행합니다.
    • 포드 내부 및 외부 Unified Access Gateway 인스턴스에 대해 고유한 FQDN을 구성합니다.
    • 포드의 내부 및 외부 Unified Access Gateway 인스턴스에 대해 동일한 FQDN을 구성합니다. 그런 다음, 포드 로드 밸런서의 FQDN에 대해 분할 DNS 영역을 구성합니다.
  3. (Horizon 포드만 해당) Universal Broker에서 필요한 터널 서버 및 프로토콜 리디렉션을 지원하도록 각 Unified Access Gateway 인스턴스에 JSON 웹 토큰 설정을 구성합니다. Horizon 포드 - Universal Broker에서 사용하도록 Unified Access Gateway 구성 항목을 참조하십시오.
  4. Universal Broker 구성 마법사의 인증 페이지에서 다음 설정을 지정합니다.
    1. 2단계 인증 토글을 사용하도록 설정합니다.
    2. 유형의 경우 포드 전체에서 모든 외부 Unified Access Gateway 인스턴스에 구성한 인증 서비스를 선택합니다.
    3. 2단계 인증 건너뛰기 토글을 끄기 위치로 전환합니다.

    Universal Broker 설정 구성 항목을 참조하십시오.

외부 네트워크의 사용자에 대해서만 2단계 인증을 사용하도록 설정하려는 경우

  1. 이전 사용 사례 “외부 및 내부 네트워크 모두에서 사용자에 대해 2단계 인증을 사용하도록 설정하려는 경우”에 설명된 대로 1~3단계를 완료합니다.
  2. 브로커 페이지의 네트워크 범위 탭에서 내부 네트워크를 나타내는 공용 IP 범위를 정의합니다. Universal Broker에 대한 내부 네트워크 범위 정의 항목을 참조하십시오.
  3. Universal Broker 구성 마법사의 인증 페이지에서 다음 설정을 지정합니다.
    1. 2단계 인증 토글을 사용하도록 설정합니다.
    2. 유형의 경우 포드 전체에서 모든 외부 Unified Access Gateway 인스턴스에 구성한 인증 서비스를 선택합니다.
    3. 2단계 인증 건너뛰기 토글을 사용하도록 설정합니다.

    Universal Broker 설정 구성 항목을 참조하십시오.