您可以使用 [編輯網繭] 工作流程,變更網繭閘道上的雙因素驗證設定,或完全停用雙因素驗證。變更設定時,您基本上會為雙因素驗證設定的集合輸入新名稱,輸入您想要的新設定,請確定已為特定閘道選取該新名稱,然後儲存。您可以使用 [編輯網繭] 工作流程來變更雙因素驗證設定。
必要條件
如果您要為其中一個閘道啟用雙因素驗證,但變更特定設定,請確認您具有下列資訊:
- 當雙因素驗證服務器為內部部署時,請確認您具有下欄欄位的相關資訊,以便該閘道的 Unified Access Gateway 執行個體可以解析該伺服器的路由。
選項 說明 DNS 位址 指定能夠對內部部署驗證伺服器名稱進行解析之 DNS 伺服器的一或多個位址。 路由 指定一或多個可讓網繭的 Unified Access Gateway 執行個體對您內部部署驗證伺服器之網路路由進行解析的自訂路由。 例如,如果您有內部部署 RADIUS 伺服器使用 10.10.60.20 作為其 IP 位址,則您可以使用 10.10.60.0/24 和預設路由閘道位址作為自訂路由。您可以從 Express Route 或用於此環境的 VPN 組態中取得預設路由閘道位址。
請以
ipv4-network-address/bits ipv4-gateway-address
的形式指定逗號分隔的自訂路由清單,例如:192.168.1.0/24 192.168.0.1, 192.168.2.0/24 192.168.0.2
。 -
請確認您驗證伺服器的組態中使用了下列資訊,以便在網繭部署精靈的適當欄位中提供。如果您正在使用 RADIUS 驗證伺服器,且同時擁有主要和次要伺服器,請分別取得其資訊。
- RADIUS
-
如果您要同時設定主要和輔助 RADIUS 伺服器的設定,請分別取得它們的資訊。
- 驗證伺服器的 IP 位址或 DNS 名稱
- 在驗證伺服器的通訊協定訊息中用於加密和解密的共用密碼
- 驗證連接埠號,對於 RADIUS,通常為 1812/UDP。
- 驗證通訊協定類型。驗證類型包括 PAP (密碼驗證通訊協定)、CHAP (Challenge Handshake 驗證通訊協定)、MSCHAP1、MSCHAP2 (Microsoft Challenge Handshake 驗證通訊協定,版本 1 和 2)。
備註: 檢查您的 RADIUS 廠商的說明文件,以取得 RADIUS 廠商建議的驗證通訊協定,並遵循其指定的通訊協定類型。網繭支援使用 RADIUS 搭配雙因素驗證的功能是由 Unified Access Gateway 執行個體提供,而 Unified Access Gateway 支援 PAP、CHAP、MSCHAP1 以及 MSCHAP2。PAP 通常比 MSCHAP2 更不安全。PAP 也是比 MSCHAP2 更簡單的通訊協定。因此,雖然多數 RADIUS 廠商與更簡單的 PAP 通訊協定相容,某些 RADIUS 廠商則與更安全的 MSCHAP2 不相容。
- RSA SecurID
-
備註: 執行資訊清單 3139.x 或更新版本的 Horizon Cloud on Microsoft Azure 部署可支援 RSA SecurID 類型。從 2022 年 3 月中旬開始,[新增網繭] 和 [編輯網繭] 精靈中用來指定 RSA SecurID 類型的 UI 選項將變為可見且可供選擇。
- RSA SecurID Authentication Manager 伺服器的存取金鑰。
- RSA SecurID 通訊連接埠號。依照 RSA SecurID 驗證 API 的 RSA Authentication Manager 系統設定中所設定,通常為 5555。
- RSA SecurID Authentication Manager 伺服器的主機名稱。
- RSA SecurID Authentication Manager 伺服器的 IP 位址。
- 如果 RSA SecurID Authentication Manager 伺服器或其負載平衡器伺服器具有自我簽署憑證,則您需要在 [新增網繭] 精靈中提供 CA 憑證。該憑證應為 PEM 格式 (檔案類型為
.cer
、.cert
或.pem
)。
程序
結果
在系統完成將新的組態部署至網繭之前,您新增了雙因素驗證所在閘道的網繭摘要頁面區段會顯示擱置中狀態。
工作流程完成時,狀態將會顯示為就緒,且將在頁面中顯示閘道的雙因素驗證設定。
下一步
- 如果網繭的外部閘道設定了雙因素驗證,且在部署了閘道 Unified Access Gateway 執行個體的同一 VNet 拓撲內,無法與雙因素驗證伺服器連線,請確認您在閘道組態中指定的雙因素驗證伺服器,允許來自外部閘道負載平衡器 IP 位址的通訊。
在與閘道部署相同的 VNet 拓撲內,如果無法與雙因素驗證伺服器連線,則 Unified Access Gateway 執行個體會嘗試使用該負載平衡器位址,與該伺服器聯繫。若要允許該通訊流量,請在雙因素驗證伺服器組態中,針對該外部閘道資源群組中的負載平衡器資源 IP 位址,確定其已指定為允許的用戶端或已登錄的代理程式。如需如何允許該通訊的具體資訊,請參閱雙因素驗證伺服器的說明文件。
- 如果可以在同一 VNet 拓撲中連線至您的雙因素驗證伺服器,請確認雙因素驗證伺服器已設定成允許來自適當 NIC (亦即,在 Microsoft Azure 中建立給部署之 Unified Access Gateway 執行個體的 NIC) 的通訊。
您的網路管理員會判斷雙因素驗證伺服器的網路,對用於部署的 Azure VNet 拓撲及其子網路是否可見。雙因素驗證伺服器必須允許來自 Unified Access Gateway 執行個體 NIC IP 位址的通訊,這些 NIC 對應於您網路管理員為雙因素驗證伺服器提供網路可見度的子網路。
Microsoft Azure 中的閘道資源群組有四個 NIC 與該子網路對應:兩個 NIC 目前作用中,用於兩個 Unified Access Gateway 執行個體,以及兩個閒置的 NIC,在網繭和其閘道完成更新後將成為作用中的 NIC。
當執行進行中的網繭作業時,以及在每次網繭更新後,若要支援閘道與雙因素驗證伺服器之間的通訊流量,請確定在該伺服器的組態中已將這四個 NIC 的 IP 位址指定為允許的用戶端或已登錄的代理程式。如需如何允許該通訊的具體資訊,請參閱雙因素驗證伺服器的說明文件。
如需如何取得這些 IP 位址的相關資訊,請參閱使用必要的 Horizon Cloud Pod 閘道資訊,來更新您的雙因素驗證系統。