您可以利用 Horizon View 和 Horizon Air Hybrid-Mode 部署 Access Point。對於 VMware Horizon 的 View 元件,Access Point 應用裝置會履行以往由 View 安全伺服器扮演的角色。

部署案例

Access Point 能提供安全的遠端存取能力,供您存取客戶資料中心內的內部部署虛擬桌面平台和應用程式。它能與內部部署的 Horizon View 或 Horizon Air Hybrid-Mode 搭配運作,實現統合的管理功能。

Access Point 讓企業得以有效保證使用者的身分識別,而且能精準控制使用者對於有權使用之桌面平台和應用程式的存取權限。

Access Point 虛擬應用裝置通常部署在網路的非軍事區 (DMZ)。在 DMZ 中部署能確保所有進入資料中心並前往桌面平台和應用程式資源的流量是代表經過嚴格驗證之使用者的流量。Access Point 虛擬應用裝置還能確保經過驗證之使用者的流量只能導向該使用者有權使用的桌面平台和應用程式資源。這個層級的保護涉及具體檢測桌面平台通訊協定、協調可能迅速變動的原則和網路位址,以便精確地控制存取權限。

您必須確認已滿足需求才能以 Horizon 順暢地部署 Access Point

  • Access Point 應用裝置指向 Horizon Server 前方的負載平衡器,伺服器執行個體的選擇不會固定不變。

  • Access Point 取代 Horizon 安全伺服器。

  • 連接埠 443 必須可供 Blast TCP/UDP 使用。

  • 以 Horizon 部署 Access Point 時,必須啟用 Blast 安全閘道和 PCoIP 安全閘道。如此可確保顯示通訊協定能自動透過 Access Point 成為 Proxy。BlastExternalURL 和 pcoipExternalURL 設定會指定 Horizon Client 使用的連線位址,以便透過 Access Point 上的適當閘道路由傳送這些顯示通訊協定連線。由於這些閘道能代表經過驗證的使用者確保顯示通訊協定流量受到控制,因此能改善安全性。未經過驗證的顯示通訊協定流量會遭到 Access Point 忽略。

  • 在 View 連線伺服器執行個體上停用安全閘道,並在 Access Point 應用裝置上啟用這些閘道。

Access Point 與 View 安全伺服器的主要差異如下所示。

  • 安全部署。Access Point 會實作為強化、鎖定且預先設定的 Linux 虛擬機器

  • 可擴充。您可以將 Access Point 連接到個別的 View 連線伺服器,或透過多部 View 連線伺服器前方的負載平衡器予以連接,藉此改善高可用性。它可作為 Horizon Client 與後端 View 連線伺服器之間的層。由於部署快速,因此它能迅速垂直擴充或垂直縮減,以滿足快速變遷的企業需求。

圖表 1. 指向負載平衡器的 Access Point 應用裝置

或者,您也可以讓一或多部 Access Point 應用裝置指向個別伺服器執行個體。在這兩種方法中,都請在 DMZ 中的兩部 (含) 以上 Access Point 應用裝置前方使用負載平衡器。

圖表 2. 指向 Horizon Server 執行個體的 Access Point 應用裝置

驗證

使用者驗證與 View 安全伺服器非常類似。Access Point 支援的使用者驗證方法包括下列項目。

  • Active Directory 使用者名稱和密碼

  • Kiosk 模式。如需 Kiosk 模式的詳細資料,請參閱 Horizon 說明文件。

  • RSA SecurID 雙因素驗證,由 RSA 針對 SecurID 正式認證

  • 透過幾項第三方雙因素安全供應商解決方案的 RADIUS

  • 智慧卡、CAC 或 PIV X.509 使用者憑證

  • SAML

搭配使用 View 連線伺服器時,以上驗證方法都能獲得支援。Access Point 不需要直接與 Active Directory 通訊。這種模式的通訊能做為透過 View 連線伺服器的 Proxy,因此能直接存取 Active Directory。在根據驗證原則驗證使用者工作階段後,Access Point 就能將權利資訊的要求以及桌面平台和應用程式的啟動要求轉送給 View 連線伺服器。Access Point 還能管理其桌面平台和應用程式通訊協定處理常式,讓它們只轉送授權的通訊協定流量。

Access Point 能自行處理智慧卡驗證。內容包括讓 Access Point 與線上憑證狀態通訊協定 (Online Certificate Status Protocol, OCSP) 伺服器通訊,以便檢查 X.509 憑證撤銷等選項。