您可以使用 Unified Access GatewayHorizon Cloud with On-Premises Infrastructure 雲端基礎結構來部署 Horizon Air。對於 Horizon 部署,Unified Access Gateway 應用裝置會取代 Horizon 安全伺服器。

先決條件

如果您想要同時擁有 Horizon 和 Web Reverse Proxy 執行個體 (例如,在相同的 Unified Access Gateway 執行個體上設定並啟用的 VMware Identity Manager),請參閱進階 Edge Service 設定

程序

  1. 在管理員 UI 的手動設定區段中,按一下選取
  2. 一般設定 > Edge Service 設定中,按一下顯示
  3. 按一下 Horizon 設定齒輪圖示。
  4. 在 [Horizon 設定] 頁面中,將 [否] 變更為以啟用 Horizon。
  5. 為 Horizon 設定下列 Edge Service 設定資源:

    選項

    說明

    識別碼

    依預設會設定為 HorizonUnified Access Gateway 可與使用 Horizon XML 通訊協定的伺服器進行通訊,例如 Horizon 連線伺服器、Horizon AirHorizon Cloud with On-Premises Infrastructure

    連線伺服器 URL

    輸入 Horizon server 或負載平衡器的位址。輸入格式為 https://00.00.00.00

    連線伺服器 URL 指紋

    輸入 Horizon server 指紋的清單。

    如果未提供指紋的清單,請確保伺服器憑證是由信任的 CA 核發。輸入十六進位的指紋數字。例如,sha1= C3 89 A2 19 DC 7A 48 2B 85 1C 81 EC 5E 8F 6A 3C 33 F2 95 C3。

    啟用 PCOIP

    將 [否] 變更為可指定是否啟用 PCoIP 安全閘道。

    PCOIP 外部 URL

    Horizon 用戶端用來對此 Unified Access Gateway 應用裝置建立 Horizon PCoIP 工作階段的 URL。它必須包含 IPv4 位址,且不是主機名稱。例如,10.1.2.3:4172。預設值為 Unified Access Gateway IP 位址和連接埠 4172。

    啟用 Blast

    若要使用 Blast 安全閘道,請將 [否] 變更為

    連線伺服器 IP 模式

    從下拉式功能表中選取 IPv4、IPv6 或 IPv4+IPv6。預設值為 IPv4。
  6. 若要設定驗證方法規則和其他進階設定,請按一下較多

    選項

    說明

    驗證方法

    選取要使用的驗證方法。

    預設會使用使用者名稱和密碼的傳遞驗證。您在 Unified Access Gateway 中設定的驗證方法會在下拉式功能表中列出。目前支援 RSA SecurID 和 RADIUS 驗證方法。

    若要設定包括在第一個驗證嘗試失敗時套用第二個驗證方法的驗證。

    1. 從第一個下拉式功能表選取一個驗證方法。

    2. 按一下 + 並選取 AND 或 OR。

    3. 從第三個下拉式功能表選取第二個驗證方法。

    若要要求使用者透過兩個驗證方法進行驗證,請在下拉式功能表中將 OR 變更為 AND。

    備註:

    • 使用 PowerShell 部署時,針對 RSA SecurID 驗證,請將此選項設定為使用 securid-auth AND sp-auth 來顯示密碼畫面。

    • 使用 vSphere 部署時,針對 RSA SecurID 驗證,請將此選項設定為使用 securid-auth 來顯示密碼畫面。

    • 將以下文字行加入 INI 檔案的 Horizon 區段。 

      authMethods=securid-auth && sp-auth
matchWindowsUserName=true

      在 INI 檔案的底部新增區段。 

      [SecurIDAuth]
serverConfigFile=C:\temp\sdconf.rec
externalHostName=192.168.0.90
internalHostName=192.168.0.90

      兩個 IP 位址皆應設定為 Unified Access Gateway 的 IP 位址。sdconf.rec 檔案是從 RSA 驗證管理員取得的,該檔案的設定必須完整。請確認您使用的是 Access Point 2.5 或更新版本 (或 Unified Access Gateway 3.0 或更新版本),而且可以從 Unified Access Gateway 並透過網路存取 RSA 驗證管理員伺服器。重新執行 uagdeploy PowerShell 命令,以重新部署針對 RSA SecurID 設定的 Unified Access Gateway

    健全狀況檢查 URI 路徑

    Unified Access Gateway 為了進行健全狀況狀態監控而連線之連線伺服器的 URI 路徑。

    Blast 外部 URL

    Horizon 用戶端用來對此 Unified Access Gateway 應用裝置建立 Horizon Blast 或 BEAT 工作階段的 URL。例如,https://uag1.myco.comhttps://uag1.myco.com:443

    如果未指定 TCP 連接埠號碼,則預設 TCP 連接埠為 8443。如果未指定 UDP 連接埠號碼,則預設 UDP 連接埠也是 8443。

    啟用 UDP 伺服器

    頻寬低時,會透過 UDP 通道伺服器建立連線。

    Blast Proxy 憑證

    用於 Blast 的 Proxy 憑證。按一下選取來上傳 PEM 格式的憑證,然後新增至 BLAST 信任存放區。按一下變更來取代現有的憑證。

    如果使用者將 Unified Access Gateway 的相同憑證手動上傳至負載平衡器,並且需要對 Unified Access Gateway 和 Blast 閘道使用不同的憑證,則建立 Blast 桌面平台工作階段將會失敗,因為用戶端與 Unified Access Gateway 之間的指紋不相符。對 Unified Access Gateway 或 Blast 閘道的自訂指紋輸入,會透過轉送指紋以建立用戶端工作階段來解決此問題。

    啟用通道

    如果使用了 Horizon 安全通道,請將 [否] 變更為。用戶端會使用此外部 URL 透過 Horizon 安全閘道進行通道連線。此通道用於 RDP、USB 和多媒體重新導向 (MMR) 流量。

    通道外部 URL

    Horizon 用戶端用來對此 Unified Access Gateway 應用裝置建立 Horizon Tunnel 工作階段的 URL。例如,https://uag1.myco.comhttps://uag1.myco.com:443

    如果未指定 TCP 連接埠號碼,則預設 TCP 連接埠為 443。

    通道代理伺服器憑證

    用於 Horizon Tunnel 的 Proxy 憑證。按一下選取來上傳 PEM 格式的憑證,然後新增至通道信任存放區。按一下變更來取代現有的憑證。

    如果使用者將 Unified Access Gateway 的相同憑證手動上傳至負載平衡器,並且需要對 Unified Access Gateway 和 Horizon Tunnel 使用不同的憑證,則建立通道工作階段將會失敗,因為用戶端與 Unified Access Gateway 之間的指紋不相符。對 Unified Access Gateway 或 Horizon Tunnel 的自訂指紋輸入,會透過轉送指紋以建立用戶端工作階段來解決此問題。

    端點符合性檢查提供者

    選取端點符合性檢查提供者。預設值為 OPSWAT。

    Proxy 模式

    輸入將相關 URI 與 Horizon Server URL (proxyDestinationUrl) 比對的規則運算式。其預設值為 (/|/view-client(.*)|/portal(.*)|/appblast(.*))

    SAML SP

    輸入 Horizon XMLAPI 代理之 SAML 服務提供者的名稱。此名稱必須符合所設定服務提供者中繼資料的名稱,或為特殊值 DEMO。

    比對 Windows 使用者名稱

    變更為以比對 RSA SecurID 與 Windows 使用者名稱。如果設為,則 securID-auth 會設定為 true,並且會強制 securID 與 Windows 使用者名稱進行比對。

    閘道位置

    從中起始連線要求的位置。安全伺服器和 Unified Access Gateway 會設定閘道位置。位置可以是外部或內部的。

    受信任的憑證

    將受信任的憑證新增到此 Edge Service。按一下「+」來選取 PEM 格式的憑證,然後新增至信任存放區。按一下「-」可從信任存放區移除憑證。依預設,別名名稱是 PEM 憑證的檔案名稱。編輯別名文字方塊以提供不同的名稱。

    回應安全性標頭

    按一下「+」可新增標頭。輸入安全性標頭的名稱。輸入值。按一下「-」可移除標頭。編輯現有的安全性標頭,以更新標頭的名稱和值。

    重要:

    在您按一下儲存後,才會儲存標頭名稱和值。 依預設會顯示部分標準安全性標頭。僅在已設定後端伺服器的回應中沒有對應的標頭存在時,才會將已設定標頭新增至用戶端的 Unified Access Gateway 回應。

    備註:

    請謹慎修改安全性回應標頭。修改這些參數可能會影響到 Unified Access Gateway 的安全運作。

    主機項目

    輸入要在 /etc/hosts 檔案中新增的詳細資料。每個項目依序應包括一個 IP、一個主機名稱和一個選用的主機名稱別名 (以空格區隔)。例如,10.192.168.1 example1.com, 10.192.168.2 example2.com example-alias。按一下「+」符號可新增多個主機項目。

    重要:

    只有在按一下儲存後,才會儲存主機項目。

    停用 HTML Access

    如果設定為 [是],則會停用 Horizon 的 Web 存取。如需詳細資料,請參閱Horizon 的 端點符合性檢查
  7. 按一下儲存