SAML、SAML 和傳遞以及 SAML 和未驗證是支援的驗證方法,可用來將 UAG (Unified Access Gateway) 與第三方身分識別提供者整合,以控制對 Horizon 桌面平台和應用程式的存取。驗證方法會決定驗證 Horizon 使用者的方式。
當在 UAG 中設定 Horizon 設定時,您必須選取上述其中一個驗證方法。
SAML
在 SAML 驗證方法中,UAG 會先驗證 SAML 判斷提示。如果 SAML 判斷提示有效,UAG 便會將 SAML 判斷提示傳遞至 Horizon Connection Server。若要讓 Horizon Connection Server 接受判斷提示,您必須使用身分識別提供者的中繼資料來設定該連線伺服器。當使用者存取 Horizon Client 時,使用者會看到權利,但不會收到提供 Active Directory 認證的提示。
SAML 和傳遞
在「SAML 和傳遞」驗證方法中,UAG 會驗證 SAML 判斷提示。如果 SAML 判斷提示有效,則使用者會在存取 Horizon Client 時收到要求其提供 Active Directory 驗證認證的提示。在此驗證方法中,UAG 不會將 SAML 判斷提示傳遞至 Horizon Connection Server。
SAML 和未驗證
在 SAML 和未驗證方法中,Unified Access Gateway 會結合 SAML 使用者驗證與 Horizon 的未驗證存取功能。如果 SAML 判斷提示有效,則使用者可以存取 RDS 主控的應用程式,而不需要進一步驗證。在 Horizon 未驗證存取功能中,系統會將角色型使用者別名與 Horizon 搭配使用,以判斷應用程式權利。使用者別名可用作 Horizon 的預設別名。此別名也可以在 Unified Access Gateway 組態 (預設未驗證使用者名稱) 中指定為預設值,或者這可以是在身分識別提供者所傳送 SAML 判斷提示中顯示為宣告的指定 SAML 屬性值。
Unified Access Gateway 管理員 UI 具有兩個文字方塊,即 SAML 未驗證使用者名稱屬性和預設未驗證使用者名稱,可用於指定使用者別名。當驗證方法為 SAML 和未驗證時,這些文字方塊在管理員 UI 上將可供使用。
如果在管理員 UI 中設定 SAML 未驗證使用者名稱屬性文字方塊,當 Unified Access Gateway 驗證 SAML 判斷提示且如果名稱存在於 SAML 判斷提示中,則 Unified Access Gateway 會將該值用作 Horizon 的未驗證存取使用者別名。
當 SAML 未驗證使用者名稱屬性文字方塊為空白,或在此文字方塊中所指定的屬性名稱在 SAML 判斷提示中遺失時,Unified Access Gateway 會使用在預設未驗證使用者名稱文字方塊中設定的預設使用者名稱作為 Horizon 未驗證存取使用者別名。
如果未使用 SAML 未驗證使用者名稱屬性,且預設未驗證使用者名稱文字方塊為空白,則 Unified Access Gateway 會使用 Horizon 中設定的預設使用者別名。
如需有關設定未驗證存取使用者之組態的詳細資訊,請參閱 VMware Docs 之《Horizon 管理》指南中的〈提供已發佈應用程式的未驗證存取〉和相關資訊。
如需有關為未驗證存取使用者提供授權 (發佈的應用程式) 之組態的詳細資訊,請參閱 VMware Docs 之《Horizon 管理》指南中的〈授權已發佈應用程式的未驗證存取〉和相關資訊。