이 항목에서는 Universal Broker 서비스에 대한 2단계 인증을 구성하는 데 사용할 수 있는 개략적인 단계 및 모범 사례를 설명합니다.
Universal Broker에서 2단계 인증이 작동하는 방식
기본적으로 Universal Broker는 Active Directory 사용자 이름 및 암호를 통해서만 사용자를 인증합니다. 추가 인증 서비스를 지정하여 선택적인 2단계 인증을 구현할 수 있습니다.
서비스 릴리스 버전 2203부터 Universal Broker는 Horizon 배포 및 Horizon Cloud on Microsoft Azure 배포 모두에서 다음과 같은 2단계 인증 서비스를 지원합니다.
- RADIUS
- RSA SecurID
Universal Broker는 네트워크 사용자의 2단계 인증을 수행할 때 각 참여 포드에서 외부 Unified Access Gateway 인스턴스의 구성에 의존합니다. 내부 네트워크 사용자의 인증 및 라우팅을 처리하도록 내부 Unified Access Gateway 인스턴스를 구성할 수도 있지만, Universal Broker는 외부 Unified Access Gateway 인스턴스에 구성된 인증 서비스를 기준으로 2단계 인증을 진행합니다.
예를 들어, Universal Broker로 구성된 Horizon 포드에 대해 RADIUS 인증을 사용하려면 모든 참여 Horizon 포드의 외부 Unified Access Gateway 인스턴스에 동일한 RADIUS 서비스를 구성해야 합니다. 일부 참여 포드에는 RADIUS를 구성하고 다른 참여 포드에는 RSA SecurID를 구성할 수는 없습니다.
외부 및 내부 네트워크 모두에서 사용자에 대해 2단계 인증을 사용하도록 설정하려는 경우
- Universal Broker 환경의 각 포드에 대해 하나 이상의 외부 Unified Access Gateway 인스턴스를 구성합니다. 모든 포드에 걸쳐 모든 외부 Unified Access Gateway 인스턴스에 동일한 2단계 인증 서비스를 구성합니다.
구체적인 사용 사례에 대해서는 구성 지침을 따르십시오. 테넌트 그룹에 다음이 있는 경우:
- Horizon 포드만
- 모든 포드의 모든 외부 Unified Access Gateway 인스턴스에서 RADIUS 또는 RSA SecurID 서비스를 구성합니다.
- Horizon Cloud on Microsoft Azure 배포만
- 모든 포드에 걸쳐 모든 외부 Unified Access Gateway 인스턴스에 동일한 2단계 인증 서비스를 구성합니다. 모든 포드가 매니페스트 3139.x 이상이고 포드에서 [포드 편집] 마법사를 실행할 때 2단계 인증 설정에서 RSA SecurID 옵션을 사용할 수 있으면 RSA SecurID 유형을 사용하여 모든 포드를 구성할 수 있습니다. 그렇지 않으면 RADIUS 유형을 사용할 수 있습니다.
- Horizon 포드 및 Horizon Cloud on Microsoft Azure 배포 혼합
-
혼합 그룹에서 사용 가능한 옵션은
Horizon Cloud on Microsoft Azure 배포가 RSA SecurID 옵션을 사용할 수 있도록 하는 조건을 충족하는지 여부에 따라 달라집니다.
- Horizon Cloud on Microsoft Azure 배포가 RSA SecurID 유형을 구성하기 위한 조건을 충족하지 않는 경우 그룹의 모든 포드에 있는 모든 외부 Unified Access Gateway 인스턴스에서 RADIUS 서비스를 구성할 수 있습니다.
- Horizon Cloud on Microsoft Azure 배포가 RSA SecurID 유형을 구성하기 위한 조건을 충족하는 경우 그룹의 모든 포드에 있는 모든 외부 Unified Access Gateway 인스턴스에서 RSA SecurID 또는 RADIUS를 구성할 수 있습니다.
Horizon 포드에 대한 자세한 내용은 Unified Access Gateway 설명서, VMware Horizon 설명서 및 VMware Horizon 7 설명서를 참조하십시오.
Microsoft Azure의 Horizon Cloud 포드에 대해서는 배포된 Horizon Cloud 포드에 게이트웨이 구성 추가 및 Horizon Cloud 포드의 게이트웨이에서 2단계 인증 사용을 참조하십시오.
- 필요한 경우 각 포드에 대한 내부 Unified Access Gateway 인스턴스를 구성합니다. 사용자 트래픽을 해당 내부 및 외부 DNS 서버로 라우팅하려면 다음 중 하나를 수행합니다.
- 포드 내부 및 외부 Unified Access Gateway 인스턴스에 대해 고유한 FQDN을 구성합니다.
- 포드의 내부 및 외부 Unified Access Gateway 인스턴스에 대해 동일한 FQDN을 구성합니다. 그런 다음, 포드 로드 밸런서의 FQDN에 대해 분할 DNS 영역을 구성합니다.
- (Horizon 포드만 해당) Universal Broker에서 필요한 터널 서버 및 프로토콜 리디렉션을 지원하도록 각 Unified Access Gateway 인스턴스에 JSON 웹 토큰 설정을 구성합니다. Horizon 포드 - Universal Broker에서 사용하도록 Unified Access Gateway 구성 항목을 참조하십시오.
- Universal Broker 구성 마법사의 인증 페이지에서 다음 설정을 지정합니다.
- 2단계 인증 토글을 사용하도록 설정합니다.
- 유형의 경우 포드 전체에서 모든 외부 Unified Access Gateway 인스턴스에 구성한 인증 서비스를 선택합니다.
- 2단계 인증 건너뛰기 토글을 끄기 위치로 전환합니다.
Universal Broker 설정 구성 항목을 참조하십시오.
외부 네트워크의 사용자에 대해서만 2단계 인증을 사용하도록 설정하려는 경우
- 이전 사용 사례 “외부 및 내부 네트워크 모두에서 사용자에 대해 2단계 인증을 사용하도록 설정하려는 경우”에 설명된 대로 1~3단계를 완료합니다.
- 브로커 페이지의 네트워크 범위 탭에서 내부 네트워크를 나타내는 공용 IP 범위를 정의합니다. Universal Broker에 대한 내부 네트워크 범위 정의 항목을 참조하십시오.
- Universal Broker 구성 마법사의 인증 페이지에서 다음 설정을 지정합니다.
- 2단계 인증 토글을 사용하도록 설정합니다.
- 유형의 경우 포드 전체에서 모든 외부 Unified Access Gateway 인스턴스에 구성한 인증 서비스를 선택합니다.
- 2단계 인증 건너뛰기 토글을 사용하도록 설정합니다.
Universal Broker 설정 구성 항목을 참조하십시오.