您可以使用 [編輯網繭] 工作流程,變更網繭閘道上的雙因素驗證設定,或完全停用雙因素驗證。變更設定時,您基本上會為雙因素驗證設定的集合輸入新名稱,輸入您想要的新設定,請確定已為特定閘道選取該新名稱,然後儲存。您可以使用 [編輯網繭] 工作流程來變更雙因素驗證設定。

備註: 如果將租用戶設定成使用 Universal Broker,且代理設定啟用了雙因素驗證,則必須在機群中所有網繭的外部閘道上,設定相同的雙因素驗證類型。在此案例中,當執行這些步驟以將雙因素驗證新增到外部閘道時,使用者介面會強制選擇符合代理設定中所設定的雙因素驗證類型的雙因素驗證類型。

必要條件

如果您要為其中一個閘道啟用雙因素驗證,但變更特定設定,請確認您具有下列資訊:

  • 當雙因素驗證服務器為內部部署時,請確認您具有下欄欄位的相關資訊,以便該閘道的 Unified Access Gateway 執行個體可以解析該伺服器的路由。
    選項 說明
    DNS 位址 指定能夠對內部部署驗證伺服器名稱進行解析之 DNS 伺服器的一或多個位址。
    路由 指定一或多個可讓網繭的 Unified Access Gateway 執行個體對您內部部署驗證伺服器之網路路由進行解析的自訂路由。

    例如,如果您有內部部署 RADIUS 伺服器使用 10.10.60.20 作為其 IP 位址,則您可以使用 10.10.60.0/24 和預設路由閘道位址作為自訂路由。您可以從 Express Route 或用於此環境的 VPN 組態中取得預設路由閘道位址。

    請以 ipv4-network-address/bits ipv4-gateway-address 的形式指定逗號分隔的自訂路由清單,例如:192.168.1.0/24 192.168.0.1, 192.168.2.0/24 192.168.0.2

  • 請確認您驗證伺服器的組態中使用了下列資訊,以便在網繭部署精靈的適當欄位中提供。如果您正在使用 RADIUS 驗證伺服器,且同時擁有主要和次要伺服器,請分別取得其資訊。

    RADIUS

    如果您要同時設定主要和輔助 RADIUS 伺服器的設定,請分別取得它們的資訊。

    • 驗證伺服器的 IP 位址或 DNS 名稱
    • 在驗證伺服器的通訊協定訊息中用於加密和解密的共用密碼
    • 驗證連接埠號,對於 RADIUS,通常為 1812/UDP。
    • 驗證通訊協定類型。驗證類型包括 PAP (密碼驗證通訊協定)、CHAP (Challenge Handshake 驗證通訊協定)、MSCHAP1、MSCHAP2 (Microsoft Challenge Handshake 驗證通訊協定,版本 1 和 2)。
      備註: 檢查您的 RADIUS 廠商的說明文件,以取得 RADIUS 廠商建議的驗證通訊協定,並遵循其指定的通訊協定類型。網繭支援使用 RADIUS 搭配雙因素驗證的功能是由 Unified Access Gateway 執行個體提供,而 Unified Access Gateway 支援 PAP、CHAP、MSCHAP1 以及 MSCHAP2。PAP 通常比 MSCHAP2 更不安全。PAP 也是比 MSCHAP2 更簡單的通訊協定。因此,雖然多數 RADIUS 廠商與更簡單的 PAP 通訊協定相容,某些 RADIUS 廠商則與更安全的 MSCHAP2 不相容。
    RSA SecurID
    備註: 執行資訊清單 3139.x 或更新版本的 Horizon Cloud on Microsoft Azure 部署可支援 RSA SecurID 類型。從 2022 年 3 月中旬開始,[新增網繭] 和 [編輯網繭] 精靈中用來指定 RSA SecurID 類型的 UI 選項將變為可見且可供選擇。
    • RSA SecurID Authentication Manager 伺服器的存取金鑰。
    • RSA SecurID 通訊連接埠號。依照 RSA SecurID 驗證 API 的 RSA Authentication Manager 系統設定中所設定,通常為 5555。
    • RSA SecurID Authentication Manager 伺服器的主機名稱。
    • RSA SecurID Authentication Manager 伺服器的 IP 位址。
    • 如果 RSA SecurID Authentication Manager 伺服器或其負載平衡器伺服器具有自我簽署憑證,則您需要在 [新增網繭] 精靈中提供 CA 憑證。該憑證應為 PEM 格式 (檔案類型為 .cer .cert.pem)。

程序

  1. 從網繭的詳細資料頁面中按一下編輯來開啟 [編輯網繭] 視窗。
  2. 在 [編輯網繭] 視窗中按下一步,以移至閘道設定步驟。
    此步驟有針對外部閘道組態的區段,以及針對內部閘道組態的區段。使用者介面會反映網繭目前的組態,以及它具有的閘道設定。
  3. 將視窗放置在您想要變更雙因素驗證的閘道類型 (外部或內部) 上。
  4. 若要在閘道上停用雙因素驗證,請將啟用雙因素驗證開關切換為關閉,然後前往步驟 8,以儲存變更。
    如果另一個閘道也已啟用雙因素驗證,而您想要將其停用,請在該另一個閘道的區段中將開關切換為關閉。
  5. 若要變更閘道上設定的特定雙因素驗證設定,請繼續執行下列步驟。
    您可以為新的雙因素驗證值集建立新名稱,並在視窗中為該閘道區段選取該新名稱來儲存組態。
  6. 組態名稱欄位中,輸入此組態的識別名稱。
  7. 在 [內容] 區段中,指定使用者與登入畫面互動的相關詳細資料,以便後續用於存取驗證。

    精靈會根據 Horizon Cloud on Microsoft Azure 部署支援與其閘道組態搭配使用的組態,來顯示欄位。顯示的欄位會因所選的雙因素驗證類型而異。請參閱下表,此表格對應至您選取的類型 (RADIUS 或 RSA SecurID)。

    RADIUS

    在您填寫這些欄位時,需要指定有關主要驗證伺服器的詳細資料。如果您有次要驗證伺服器,請啟用輔助伺服器切換,並指定該伺服器的詳細資料。

    選項 說明
    顯示名稱 您可以將此欄位保留空白。即使此欄位會在精靈中顯示,它僅會在 Unified Access Gateway 組態中設定內部名稱。Horizon 用戶端不會使用此名稱。
    顯示提示 選擇性地輸入文字字串,其在使用者用戶端登入畫面上提示使用者輸入 RADIUS 使用者名稱與密碼時,將在訊息中向使用者顯示。指定的提示會向使用者顯示為 Enter your DisplayHint user name and passcode,其中的 DisplayHint 是您在此欄位中指定的文字。

    此提示可協助引導使用者輸入正確的 RADIUS 密碼。例如,指定以下的範例公司使用者名稱和網域密碼之類的詞語會造成的提示為 Enter your Example Company user name and domain password below for user name and passcode
    名稱 ID 尾碼 此設定用在 SAML 案例中,在其中,您的網繭設定為使用 TrueSSO 進行單一登入。選擇性地提供一個字串,該字串將附加至傳送給網繭管理員的要求中的 SAML 判斷提示使用者名稱。例如,如果在登入畫面上輸入使用者名稱 user1,並且已在此處指定名稱 ID 尾碼 @example.com,則系統會在要求中傳送 SAML 判斷提示使用者名稱 [email protected]
    反覆運算的次數 輸入使用者嘗試使用此 RADIUS 系統登入時所允許的失敗驗證嘗試次數上限。
    維護使用者名稱 啟用此切換可在用戶端、Unified Access Gateway 執行個體和 RADIUS 服務之間進行驗證流程期間保留使用者的 Active Directory 使用者名稱。啟用時:
    • 使用者對於 RADIUS 必須使用與其 Active Directory 驗證相同的使用者名稱認證。
    • 使用者無法變更登入畫面中的使用者名稱。

    如果此切換設為關閉,則使用者將可在登入畫面中輸入不同的使用者名稱。

    備註: 針對啟用 維護使用者名稱Horizon Cloud 中網域安全性設定之間的關聯性,請參閱 一般設定頁面上的網域安全性設定主題。
    主機名稱/IP 位址 輸入驗證伺服器的 DNS 名稱或 IP 位址。
    共用密碼 輸入與驗證伺服器通訊的密碼。此值必須與伺服器設定的值相同。
    驗證連接埠 指定在驗證伺服器上設定用來傳送或接收驗證流量的 UDP 連接埠。預設值為 1812。
    帳戶處理連接埠 選擇性地指定在驗證伺服器上設定用來傳送或接收帳戶處理流量的 UDP 連接埠。預設值為 1813。
    機制 選取指定的驗證伺服器支援,且您想要讓已部署網繭使用的驗證通訊協定。
    伺服器逾時 指定網繭應等待驗證伺服器回應的秒數。經過此秒數後,如果伺服器仍未回應,則系統會傳送重試。
    重試次數上限 指定網繭應對驗證伺服器重試失敗要求的次數上限。
    領域前置詞 選擇性地提供系統在使用者名稱傳送至驗證伺服器時將放置在名稱開頭的字串。使用者帳戶位置稱為領域。

    例如,如果在登入畫面上輸入使用者名稱 user1,而先前已在此處指定領域前置詞 DOMAIN-A\,則系統會將 DOMAIN-A\user1 傳送至驗證伺服器。如果未指定領域前置詞,則僅會傳送輸入的使用者名稱。

    領域字尾 選擇性地提供系統在使用者名稱傳送至驗證伺服器時將附加至名稱結尾的字串。例如,如果在登入畫面上輸入使用者名稱 user1,而先前已在此處指定領域字尾 @example.com,則系統會將 [email protected] 傳送至驗證伺服器。
    RSA SecurID
    選項 說明
    存取金鑰 輸入您 RSA SecurID 系統的存取金鑰,這取自系統的 RSA SecurID 驗證 API 設定中。
    伺服器連接埠 指定您系統 RSA SecurID 驗證 API 設定中所設定的通訊連接埠值,依預設,通常為 5555。
    伺服器主機名稱 輸入驗證伺服器的 DNS 名稱。
    伺服器 IP 位址 輸入驗證伺服器的 IP 位址。
    反覆運算的次數 輸入允許的驗證失敗嘗試次數上限,一旦超過,使用者就會被鎖定一小時。預設值為嘗試五 (5) 次。
    CA 憑證 當 RSA SecurID Authentication Manager 伺服器或其負載平衡器使用自我簽署憑證時,需要使用此項。在此情況下,請複製 CA 憑證並貼到此欄位中。如本頁上文所述,應提供 PEM 格式的憑證資訊。

    如果伺服器具有公用憑證授權機構 (CA) 所簽署的憑證,則此欄位是選用的。
    驗證逾時 指定在逾時之前,可在 Unified Access Gateway 執行個體與 RSA SecurID 驗證伺服器之間嘗試驗證的秒數。預設值為 180 秒。
  8. 完成所有的設定後,按一下儲存並結束
    此時會出現一則確認訊息,要求您確認是否要開始執行工作流程。
  9. 按一下以開始執行工作流程。

結果

在系統完成將新的組態部署至網繭之前,您新增了雙因素驗證所在閘道的網繭摘要頁面區段會顯示擱置中狀態。

工作流程完成時,狀態將會顯示為就緒,且將在頁面中顯示閘道的雙因素驗證設定。

備註: 對 Microsoft Azure China 中的網繭執行此工作流程時,此程序可能要一小時以上才能完成。此程序受限於可能導致下載速度緩慢的地理區域網路問題,因為二進位檔會從雲端控制平面下載。

下一步

重要: 當您將閘道的雙因素驗證設定的值變更為新的值時,在您的使用者繼續使用具有新雙因素驗證值的閘道前,您必須完成下列工作。
  • 如果網繭的外部閘道設定了雙因素驗證,且在部署了閘道 Unified Access Gateway 執行個體的同一 VNet 拓撲內,無法與雙因素驗證伺服器連線,請確認您在閘道組態中指定的雙因素驗證伺服器,允許來自外部閘道負載平衡器 IP 位址的通訊。

    在與閘道部署相同的 VNet 拓撲內,如果無法與雙因素驗證伺服器連線,則 Unified Access Gateway 執行個體會嘗試使用該負載平衡器位址,與該伺服器聯繫。若要允許該通訊流量,請在雙因素驗證伺服器組態中,針對該外部閘道資源群組中的負載平衡器資源 IP 位址,確定其已指定為允許的用戶端或已登錄的代理程式。如需如何允許該通訊的具體資訊,請參閱雙因素驗證伺服器的說明文件。

  • 如果可以在同一 VNet 拓撲中連線至您的雙因素驗證伺服器,請確認雙因素驗證伺服器已設定成允許來自適當 NIC (亦即,在 Microsoft Azure 中建立給部署之 Unified Access Gateway 執行個體的 NIC) 的通訊。

    您的網路管理員會判斷雙因素驗證伺服器的網路,對用於部署的 Azure VNet 拓撲及其子網路是否可見。雙因素驗證伺服器必須允許來自 Unified Access Gateway 執行個體 NIC IP 位址的通訊,這些 NIC 對應於您網路管理員為雙因素驗證伺服器提供網路可見度的子網路。

    Microsoft Azure 中的閘道資源群組有四個 NIC 與該子網路對應:兩個 NIC 目前作用中,用於兩個 Unified Access Gateway 執行個體,以及兩個閒置的 NIC,在網繭和其閘道完成更新後將成為作用中的 NIC。

    當執行進行中的網繭作業時,以及在每次網繭更新後,若要支援閘道與雙因素驗證伺服器之間的通訊流量,請確定在該伺服器的組態中已將這四個 NIC 的 IP 位址指定為允許的用戶端或已登錄的代理程式。如需如何允許該通訊的具體資訊,請參閱雙因素驗證伺服器的說明文件。

如需如何取得這些 IP 位址的相關資訊,請參閱使用必要的 Horizon Cloud Pod 閘道資訊,來更新您的雙因素驗證系統