您可以使用 Unified Access GatewayHorizon Cloud with On-Premises Infrastructure 雲端基礎結構來部署 Horizon Air。對於 Horizon 部署,Unified Access Gateway 應用裝置會取代 Horizon 安全伺服器。

必要條件

如果您想要同時擁有 Horizon 和 Web 反向 Proxy 執行個體 (例如,在相同的 Unified Access Gateway 執行個體上設定並啟用的 Workspace ONE Access),請參閱進階 Edge Service 設定

程序

  1. 在管理員 UI 的手動設定區段中,按一下選取
  2. 一般設定中,開啟 Edge 服務設定切換開關。
  3. 按一下 Horizon 設定齒輪圖示。
  4. 在 [Horizon 設定] 頁面中,開啟啟用 Horizon 切換,以啟用 Horizon 設定。
  5. 為 Horizon 設定下列 Edge 服務設定資源:

    選項

    說明

    識別碼

    依預設會設定為 HorizonUnified Access Gateway 可與使用 Horizon XML 通訊協定的伺服器進行通訊,例如 Horizon 連線伺服器、Horizon AirHorizon Cloud with On-Premises Infrastructure

    連線伺服器 URL

    輸入 Horizon server 或負載平衡器的位址。輸入格式為 https://00.00.00.00

    連線伺服器 URL 指紋

    備註:

    僅當連線伺服器 SSL 伺服器憑證不是由信任的 CA 核發時,才必須指定指紋。例如,自我簽署憑證或內部 CA 核發的憑證。

    以十六進位數字格式輸入 Horizon Server 指紋清單。

    指紋的格式為 [alg=]xx:xx...,其中 alg 可以是 sha1 (預設值)、sha256、sha384 和 sha512 或 md5,xx 是十六進位數字。雜湊演算法必須滿足為雜湊大小下限指定的需求。如果新增多個指紋,則應以逗號分隔。分隔符號可以是空格、冒號 (:) 或無分隔符號。

    例如,sha1=C3 89 A2 19 DC 7A 48 2B 85 1C 81 EC 5E 8F 6A 3C 33 F2 95 C3, sha256=ad:5c:f1:48:47:94:7e:80:82:73:13:6c:83:52:b:e:78:ed:ff:50:23:56:a8:42:8a:d9:30:fc:3a:33:d6:c6:db, sha512=2221B24DC78018A8FAFF81B7AD348722390793DE8C0E5E5AA1D622BCC951D4DA5DBB1C76C79A258A7AFBD1727447151C90E1733E7E83A7D1D46ADF1A31C78496。

    可以將憑證指紋設定為用於對 Unified Access GatewayHorizon Connection Server 之間的通訊中傳回的伺服器憑證進行憑證驗證。

    可透過在 ini 檔案的 [Horizon] 區段中新增 proxyDestinationUrlThumbprints 參數,在 PowerShell 部署期間設定此選項。請參閱使用 PowerShell 來部署 Unified Access Gateway 應用裝置

    接受連線伺服器重新導向

    當 Horizon 代理傳送 HTTP 重新導向 307 回應代碼,且接受連線伺服器重新導向切換已開啟時,對於工作階段中目前和未來的要求,Unified Access Gateway 會與 307 回應位置標頭中指定的 URL 進行通訊。

    如果連線伺服器上已選取啟用主機重新導向核取方塊,請務必開啟 Unified Access Gateway 上的接受連線伺服器重新導向切換。如需詳細資訊,請參閱 VMware Docs 上的《Horizon 安裝和升級》指南中的啟用主機重新導向

    啟用 PCOIP

    開啟此切換,可指定是否啟用 PCoIP 安全閘道。

    停用 PCOIP 舊版憑證

    開啟此切換,可使用所上傳的 SSL 伺服器憑證 (而不是舊版憑證)。如果開啟此切換,舊版 PCoIP 用戶端將無法運作。

    PCOIP 外部 URL

    Horizon 用戶端用來對此 Unified Access Gateway 應用裝置建立 Horizon PCoIP 工作階段的 URL。它必須包含 IPv4 位址,且不是主機名稱。例如,10.1.2.3:4172。預設值為 Unified Access Gateway IP 位址和連接埠 4172。

    啟用 Blast

    開啟此切換,可使用 Blast 安全閘道。

    Blast 外部 URL

    Horizon 用戶端用來對此 Unified Access Gateway 應用裝置建立 Horizon Blast 或 BEAT 工作階段的 URL。例如,https://uag1.myco.comhttps://uag1.myco.com:443

    如果未指定 TCP 連接埠號碼,則預設 TCP 連接埠為 8443。如果未指定 UDP 連接埠號碼,則預設 UDP 連接埠也是 8443。

    Blast 反向連線已啟用

    開啟此切換以啟用 Blast 反向連線。

    限制: 新增此切換是針對未來使用案例。

    連線伺服器 IP 模式

    指出 Horizon Connection Server 的 IP 模式。

    此欄位可以具有以下值:IPv4IPv6IPv4+IPv6

    預設為 IPv4

    • 如果 Unified Access Gateway 應用裝置中的所有 NIC 均處於 IPv4 模式 (無 IPv6 模式),則此欄位可以具有下列其中一個值:IPv4IPv4+IPv6 (混合模式)。

    • 如果 Unified Access Gateway 應用裝置中的所有 NIC 均處於 IPv6 模式 (無 IPv4 模式),則此欄位可以具有下列其中一個值:IPv6IPv4+IPv6 (混合模式)。

    用戶端加密模式

    指出 Horizon ClientUnified Access GatewayHorizon Connection Server 之間通訊的加密模式。

    此選項的值為 DISABLEDALLOWEDREQUIRED。預設值為 ALLOWED

    • DISABLED - Client Encryption Mode 選項已停用。

      停用時,現有的行為將會繼續進行。在早於 2111 的 Unified Access Gateway 版本中,允許在 Horizon ClientUnified Access GatewayHorizon Connection Server 之間進行未加密的通訊。

    • ALLOWED - 在 Horizon Client 2111 或更新版本中,Unified Access Gateway 僅允許與 Horizon ClientHorizon Connection Server 進行加密的通訊。

      在舊版的 Horizon Client 中,允許進行未加密的通訊。此行為與停用該功能時的行為類似。

    • REQUIRED - 僅允許在三個元件之間進行加密的通訊。

      備註: 如果在此加密模式下使用舊版的 Horizon Client,則未加密的通訊將會失敗,並且使用者將無法啟動 Horizon 桌面平台和應用程式。

    啟用 XML 簽署

    指出 XML 簽署模式。此選項的值為 AUTOONOFF。依預設,會關閉 XML 簽署。
    限制: 新增此切換是針對未來使用案例。

    重新寫入來源標頭

    如果對 Unified Access Gateway 的傳入要求具有 Origin 標頭,且已開啟重新寫入來源標頭切換,Unified Access Gateway 會使用連線伺服器 URL 重寫 Origin 標頭。

    重新寫入來源標頭切換會隨著 Horizon Connection ServercheckOrigin CORS 內容一起運作。啟用此欄位時,Horizon 管理員可以不需要在 locked.properties 檔案中指定 Unified Access Gateway IP 位址。

    如需來源檢查的相關資訊,請參閱《Horizon 安全性》說明文件。

  6. 若要設定驗證方法規則和其他進階設定,請按一下較多

    選項

    說明

    驗證方法

    預設會使用使用者名稱和密碼的傳遞驗證。

    以下是支援的驗證方法:PassthroughSAMLSAML and PassthroughSAML and UnauthenticatedSecurIDSecurID and UnauthenticatedX.509 CertificateX.509 Certificate and PassthroughDevice X.509 Certificate and PassthroughRADIUSRADIUS and Unauthenticated 以及 X.509 Certificate or RADIUS

    重要:

    如果您已選擇任何Unauthenticated方法作為驗證方法,請確實將 Horizon Connection Server中的登入減速層級設定為Low。在存取遠端桌面平台或應用程式時,必須進行此組態,以避免端點的登入長時間延遲。

    如需有關如何設定登入減速層級的詳細資訊,請參閱 VMware Docs 上的《Horizon 管理》指南中的設定登入減速以支援未驗證存取已發佈的應用程式

    啟用 Windows SSO

    驗證方法設定為 RADIUS,並且 RADIUS 密碼與 Windows 網域密碼相同時,便可使用此切換。

    開啟此切換,以便對 Windows 網域登入認證使用 RADIUS 使用者名稱和密碼,從而不必再次提示使用者。

    如果在多網域環境上設定 Horizon,且提供的使用者名稱未包含網域名稱,系統就不會將網域傳送至 CS。

    如果已設定名稱識別碼尾碼,且提供的使用者名稱未包含網域名稱,則系統會將所設定的名稱識別碼尾碼值附加至使用者名稱。例如,如果使用者提供 jdoe 作為使用者名稱,且 NameIDSuffix 設定為 @north.int,則傳送的使用者名稱為 [email protected]

    如果已設定名稱識別碼尾碼,且提供的使用者名稱採用 UPN 格式,則系統會忽略名稱識別碼尾碼。例如,如果使用者提供 [email protected]、NameIDSuffix - @south.int,則使用者名稱為 [email protected]

    如果提供的使用者名稱採用 <DomainName\username> 格式 (例如,NORTH\jdoe),則 Unified Access Gateway 會將使用者名稱和網域名稱分開傳送至 CS。

    RADIUS 類別屬性

    驗證方法設為 RADIUS 時,系統會啟用此欄位。按一下「+」可新增類別屬性的值。輸入要用於使用者驗證的類別屬性名稱。按一下「-」可移除類別屬性。

    備註:

    如果此欄位保留為空白,則不會執行其他授權。

    免責聲明文字

    在設定了驗證方法的情況下,要對使用者顯示並由使用者接受的 Horizon 免責聲明訊息。

    智慧卡提示

    開啟此切換,可為憑證驗證啟用密碼提示。

    健全狀況檢查 URI 路徑

    Unified Access Gateway 為了進行健全狀況狀態監控而連線之連線伺服器的 URI 路徑。

    啟用 UDP 伺服器

    網路連線不佳時,會透過 UDP 通道伺服器建立連線。

    Horizon Client 透過 UDP 傳送要求時,Unified Access Gateway 收到的這些要求的來源 IP 位址為 127.0.0.1Unified Access Gateway 會將相同的來源 IP 位址傳送至 Horizon Connection Server

    若要確保連線伺服器收到要求的實際來源 IP 位址,您必須在 Unified Access Gateway 管理員 UI 中停用此選項 (啟用 UDP 伺服器)。

    Blast Proxy 憑證

    用於 Blast 的 Proxy 憑證。按一下選取來上傳 PEM 格式的憑證,然後新增至 BLAST 信任存放區。按一下變更來取代現有的憑證。

    如果使用者將 Unified Access Gateway 的相同憑證手動上傳至負載平衡器,並且需要對 Unified Access Gateway 和 Blast 閘道使用不同的憑證,則建立 Blast 桌面平台工作階段將會失敗,因為用戶端與 Unified Access Gateway 之間的指紋不相符。對 Unified Access Gateway 或 Blast 閘道的自訂指紋輸入,會透過轉送指紋以建立用戶端工作階段來解決此問題。

    Blast 允許的主機標頭值

    輸入 IP 位址或主機名稱

    透過指定主機標頭值,BSG (Blast 安全閘道) 僅允許那些包含指定主機標頭值的要求。

    可以指定 host[:port] 格式的逗號分隔值清單。該值可以是 IP 位址、主機名稱或 FQDN 名稱。

    連線至 Blast 安全閘道的傳入 Blast TCP 連接埠 8443 連線要求中的主機標頭必須與欄位中提供的其中一個值相符。

    若要允許主機標頭中不包含主機名稱或 IP 位址的要求,請使用 _empty_

    如果未指定任何值,則會接受 Horizon Client 傳送的任何主機標頭。

    啟用通道

    如果使用了 Horizon 安全通道,請開啟此切換。用戶端會使用此外部 URL 透過 Horizon 安全閘道進行通道連線。此通道用於 RDP、USB 和多媒體重新導向 (MMR) 流量。

    通道外部 URL

    Horizon 用戶端用來對此 Unified Access Gateway 應用裝置建立 Horizon Tunnel 工作階段的 URL。例如,https://uag1.myco.comhttps://uag1.myco.com:443

    如果未指定 TCP 連接埠號碼,則預設 TCP 連接埠為 443。

    通道代理伺服器憑證

    用於 Horizon Tunnel 的 Proxy 憑證。按一下選取來上傳 PEM 格式的憑證,然後新增至通道信任存放區。按一下變更來取代現有的憑證。

    如果使用者將 Unified Access Gateway 的相同憑證手動上傳至負載平衡器,並且需要對 Unified Access Gateway 和 Horizon Tunnel 使用不同的憑證,則建立通道工作階段將會失敗,因為用戶端與 Unified Access Gateway 之間的指紋不相符。對 Unified Access Gateway 或 Horizon Tunnel 的自訂指紋輸入,會透過轉送指紋以建立用戶端工作階段來解決此問題。

    端點符合性檢查提供者

    選取端點符合性檢查提供者。

    預設為 None

    備註:

    只有在管理員 UI 中設定符合性檢查提供者設定時,您才能看到可供選取的選項。如需端點符合性檢查提供者及其組態的詳細資訊,請參閱Horizon 的端點符合性檢查

    驗證時進行符合性檢查

    在使用者驗證時停用或啟用端點符合性檢查的選項。

    當使用者啟動桌面平台或應用程式工作階段時,一律會檢查符合性。啟用此選項時,系統也會在使用者成功驗證之後檢查符合性。如果此選項已啟用,且符合性檢查在驗證時失敗,則使用者工作階段不會繼續。

    如果此選項已停用,則 Unified Access Gateway 只會在使用者啟動桌面平台或應用程式工作階段時檢查符合性。

    僅在選取端點符合性檢查提供者時,此選項才可供使用。此選項依預設為啟用。

    小心:

    如果在端點符合性檢查提供者設定頁面上設定了符合性檢查初始延遲選項,則會自動停用驗證時進行符合性檢查Unified Access Gateway 不會在驗證時檢查符合性。如需有關時間間隔以及設定此時間間隔時 Unified Access Gateway 行為的詳細資訊,請參閱延遲符合性檢查的時間間隔

    此選項也會作為 .ini 檔案中 [Horizon] 區段的參數提供,且可在部署期間使用 PowerShell 進行設定。對於參數名稱,請參閱使用 PowerShell 來部署 Unified Access Gateway 應用裝置

    Proxy 模式

    輸入將相關 URI 與 Horizon Server URL (proxyDestinationUrl) 比對的規則運算式。其預設值為 (/|/view-client(.*)|/portal(.*)|/appblast(.*))

    備註:

    此模式也可用來排除某些 URL。例如,若要允許所有 URL 通過但封鎖 /admin,則可以使用下列運算式。^/(?!admin(.*))(.*)

    SAML SP

    輸入 Horizon XMLAPI 代理之 SAML 服務提供者的名稱。此名稱必須符合所設定服務提供者中繼資料的名稱,或為特殊值 DEMO。

    啟用 Proxy 模式正式比對

    開啟此切換,可啟用 Horizon 正式比對。Unified Access Gateway 會執行 C RealPath() 對等功能,來標準化 URL 轉換字元序列 (例如 %2E) 和移除 .. 序列,以建立絕對路徑。然後,對絕對路徑採取 Proxy 模式檢查。

    依預設,將為 Horizon Edge 服務開啟此切換。

    備註:

    依預設,將為 Web 反向 Proxy 服務關閉此切換。

    移除憑證時登出

    備註:

    將任何智慧卡驗證方法選取為驗證方法時,即可使用此選項。

    如果開啟此切換,且已移除智慧卡,則會強制使用者從 Unified Access Gateway 工作階段登出。

    RADIUS 的使用者名稱標籤

    輸入文字即可自訂 Horizon Client 中的使用者名稱標籤。例如,Domain Username

    必須啟用 RADIUS 驗證方法。若要啟用 RADIUS,請參閱設定 RADIUS 驗證

    預設標籤名稱為 Username

    標籤名稱的長度上限為 20 個字元。

    RADIUS 的密碼標籤

    輸入名稱即可在 Horizon Client 中自訂密碼標籤。例如,Password

    必須啟用 RADIUS 驗證方法。若要啟用 RADIUS,請參閱設定 RADIUS 驗證

    預設標籤名稱為 Passcode

    標籤名稱的長度上限為 20 個字元。

    符合 Windows 使用者名稱

    開啟此切換,以比對 RSA SecurID 和 Windows 使用者名稱。當開啟時,securID-auth 會設定為 true,並且會強制 securID 與 Windows 使用者名稱相符。

    如果在多網域環境上設定 Horizon,且提供的使用者名稱未包含網域名稱,系統就不會將網域傳送至 CS。

    如果已設定名稱識別碼尾碼,且提供的使用者名稱未包含網域名稱,則系統會將所設定的名稱識別碼尾碼值附加至使用者名稱。例如,如果使用者提供 jdoe 作為使用者名稱,且 NameIDSuffix 設定為 @north.int,則傳送的使用者名稱會是 [email protected]

    如果已設定名稱識別碼尾碼,且提供的使用者名稱採用 UPN 格式,則系統會忽略名稱識別碼尾碼。例如,如果使用者提供 [email protected]、NameIDSuffix - @south.int,則使用者名稱會是 [email protected]

    如果提供的使用者名稱採用 <DomainName\username> 格式 (例如,NORTH\jdoe),則 Unified Access Gateway 會將使用者名稱和網域名稱分開傳送至 CS。

    備註:

    在 Horizon 7 中,如果您啟用在用戶端使用者介面中隱藏伺服器資訊在用戶端使用者介面中隱藏網域清單設定,並且為連線伺服器執行個體選取了雙因素驗證 (RSA SecureID 或 RADIUS),請不要強制執行 Windows 使用者名稱比對。強制執行 Windows 使用者名稱比對會防止使用者在使用者名稱文字方塊中輸入網域資訊,導致登入一律會失敗。如需詳細資訊,請參閱《Horizon 7 管理》文件中有關於雙因素驗證的主題。

    閘道位置

    從中起始連線要求的位置。安全伺服器和 Unified Access Gateway 會設定閘道位置。位置可以是ExternalInternal

    重要:

    選取下列任何一種驗證方法時,必須將位置設定為InternalSAML and UnauthenticatedSecurID and UnauthenticatedRADIUS and Unauthenticated

    顯示連線伺服器預先登入訊息 開啟此切換時,則在 XML-API 主要通訊協定流程期間,會向使用者顯示連線伺服器上所設定的任何連線伺服器預先登入訊息。依預設,將為 Horizon Edge 服務開啟此切換。

    關閉此切換時,使用者將看不到連線伺服器上所設定的預先登入訊息。

    JWT 製作者

    從下拉式功能表中選取已設定的 JWT 製作者。

    備註: 確保在 [進階設定] 的 [JWT 製作者設定] 區段中設定 名稱欄位。

    JWT 對象

    用於 Workspace ONE Access Horizon SAML 構件驗證之 JWT 的預定收件者清單,此為選擇性清單。

    若要讓 JWT 驗證成功,此清單中至少要有一位收件者符合 Workspace ONE Access Horizon 組態中所指定的其中一位對象。若未指定任何 JWT 對象,則 JWT 驗證不會考慮對象。

    JWT 取用者

    為其中一個已設定的 JWT 設定,選取 JWT 取用者名稱。

    備註: 對於 Workspace ONE Access JWT SAML 構件驗證,請確保在 [進階設定] 的 [JWT 取用者設定] 區段中設定 名稱欄位。

    受信任的憑證

    • 若要選取 PEM 格式的憑證並新增至信任存放區,請按一下 +

    • 若要提供不同名稱,請編輯別名文字方塊。

      依預設,別名名稱是 PEM 憑證的檔案名稱。

    • 若要從信任存放區移除憑證,請按一下 -

    回應安全性標頭

    若要新增標頭,請按一下 +。輸入安全性標頭的名稱。輸入值。

    若要移除標頭,請按一下 -。編輯現有的安全性標頭,以更新標頭的名稱和值。

    重要:

    在您按一下儲存後,才會儲存標頭名稱和值。依預設會顯示部分標準安全性標頭。僅在已設定後端伺服器的回應中沒有對應的標頭存在時,才會將已設定標頭新增至用戶端的 Unified Access Gateway 回應。

    備註:

    請謹慎修改安全性回應標頭。修改這些參數可能會影響到 Unified Access Gateway 的安全運作。

    用戶端自訂可執行檔

    此下拉式方塊會列出在 Unified Access Gateway 中設定的自訂可執行檔。

    自訂可執行檔可在進階設定中進行設定。可執行檔可針對多個作業系統類型進行設定。如果將可執行檔新增至 Horizon 設定,則也會包含可執行檔的所有作業系統類型。然後,可執行檔可供 Horizon Client 在使用者驗證成功後在端點裝置上下載及執行。

    如需設定自訂可執行檔的相關資訊,請參閱在 Unified Access Gateway 上設定用戶端自訂可執行檔

    主機連接埠重新導向對應

    如需 Unified Access Gateway 如何支援 HTTP 主機重新導向功能的相關資訊,以及要使用此功能所需的某些考量事項,請參閱Unified Access Gateway 對 HTTP 主機重新導向的支援

    備註:

    來源主機和重新導向主機支援選用連接埠 (以冒號分隔)。預設連接埠號碼是 443

    • 來源主機:連接埠

      輸入來源的主機名稱 (主機標頭值)。

    • 重新導向主機:連接埠

      輸入必須與 Horizon Client 保持相似性之個別 Unified Access Gateway 應用裝置的主機名稱。

    主機項目

    輸入要在 /etc/hosts 檔案中新增的詳細資料。每個項目依序應包括一個 IP、一個主機名稱和一個選用的主機名稱別名 (以空格區隔)。例如,10.192.168.1 example1.com, 10.192.168.2 example2.com example-alias。按一下「+」符號可新增多個主機項目。

    重要:

    只有在按一下儲存後,才會儲存主機項目。

    SAML 對象

    請務必選擇 SAML 或「SAML 和傳遞」驗證方法之一。

    輸入對象 URL。

    備註:

    如果文字方塊保持空白,則對象不受限。

    若要了解 Unified Access Gateway 支援 SAML 對象的方式,請參閱 SAML 對象

    SAML 未驗證使用者名稱屬性

    輸入自訂屬性名稱

    備註:

    只有在驗證方法的值為 SAML and Unauthenticated時,才能使用此欄位。

    Unified Access Gateway 驗證 SAML 判斷提示時,如果在此欄位中指定的屬性名稱存在於判斷提示中,Unified Access Gateway 就會為針對身分識別提供者中的屬性而設定的使用者名稱提供未驗證存取。

    如需關於 SAML and Unauthenticated 方法的詳細資訊,請參閱適用於 Unified Access Gateway 與第三方身分識別提供者整合的驗證方法

    預設未驗證使用者名稱

    輸入必須用於未驗證存取的預設使用者名稱

    選取下列其中一種驗證方法時,可以在管理員 UI 中使用此欄位:SAML and UnauthenticatedSecurID and UnauthenticatedRADIUS and Unauthenticated

    備註:

    針對 SAML and Unauthenticated驗證方法,只有在 SAML 未驗證使用者名稱屬性欄位空白,或 SAML 判斷提示中缺少此欄位所指定的屬性名稱時,才會使用未驗證存取的預設使用者名稱。

    停用 HTML Access

    如果開啟此切換,將停用對 Horizon 的 Web 存取。如需詳細資料,請參閱將 OPSWAT 設定為 Horizon 的端點符合性檢查提供者

  7. 按一下儲存