在網繭部署精靈步驟中指定其 Unified Access Gateway 組態時,您也可以指定使用雙因素驗證,讓使用者透過那些閘道組態存取其桌面和應用程式。您可以在提供 Unified Access Gateway 組態詳細資料之後,指定這些雙因素驗證詳細資料。

必要條件

針對您要輸入雙因素驗證詳細資料的外部或內部 Unified Access Gateway 組態,確認您已完成精靈中 Unified Access Gateway 組態的欄位,如指定 Horizon Cloud Pod 的閘道組態中所述。設定對內部部署驗證伺服器的雙因素驗證時,您也可以提供下列欄位中的資訊,使 Unified Access Gateway 執行個體能夠解析該內部部署伺服器的路由。

選項 說明
DNS 位址 指定能夠對內部部署驗證伺服器名稱進行解析之 DNS 伺服器的一或多個位址。
路由 指定一或多個可讓網繭的 Unified Access Gateway 執行個體對您內部部署驗證伺服器之網路路由進行解析的自訂路由。

例如,如果您有內部部署 RADIUS 伺服器使用 10.10.60.20 作為其 IP 位址,則您可以使用 10.10.60.0/24 和預設路由閘道位址作為自訂路由。您可以從 Express Route 或用於此環境的 VPN 組態中取得預設路由閘道位址。

請以 ipv4-network-address/bits ipv4-gateway-address 的形式指定逗號分隔的自訂路由清單,例如:192.168.1.0/24 192.168.0.1, 192.168.2.0/24 192.168.0.2

請確認您驗證伺服器的組態中使用了下列資訊,以便在網繭部署精靈的適當欄位中提供。如果您同時有主要和次要伺服器,請取得兩者的資訊。

  • 驗證伺服器的 IP 位址或 DNS 名稱
  • 在驗證伺服器的通訊協定訊息中用於加密和解密的共用密碼
  • 驗證連接埠號碼,通常為 1812 UDP 連接埠。
  • 驗證通訊協定類型。驗證類型包括 PAP (密碼驗證通訊協定)、CHAP (Challenge Handshake 驗證通訊協定)、MSCHAP1、MSCHAP2 (Microsoft Challenge Handshake 驗證通訊協定,版本 1 和 2)。
    備註: 檢查您的 RADIUS 廠商的說明文件,以取得 RADIUS 廠商建議的驗證通訊協定,並遵循其指定的通訊協定類型。網繭支援使用 RADIUS 搭配雙因素驗證的功能是由 Unified Access Gateway 執行個體提供,而 Unified Access Gateway 支援 PAP、CHAP、MSCHAP1 以及 MSCHAP2。PAP 通常比 MSCHAP2 更不安全。PAP 也是比 MSCHAP2 更簡單的通訊協定。因此,雖然多數 RADIUS 廠商與更簡單的 PAP 通訊協定相容,某些 RADIUS 廠商則與更安全的 MSCHAP2 不相容。

程序

  1. 啟用雙因素驗證開關切換為開啟。
    將此切換啟用時,精靈會顯示其他組態欄位。請使用捲軸存取所有欄位。

    下列螢幕擷取畫面為您在外部 UAG 區段中將此切換設為開啟之後顯示的畫面範例。

    Horizon Cloud on Microsoft Azure:網繭部署精靈的雙因素 RADIUS 驗證欄位
  2. 在下拉式清單中選取您的雙因素驗證方法。
    此版本支援 RADIUS 驗證。
  3. 名稱欄位中,輸入此組態的識別名稱。
  4. 在 [內容] 區段中,指定使用者與登入畫面互動的相關詳細資料,以便後續用於存取驗證。
    選項 說明
    顯示名稱 您可以將此欄位保留空白。即使此欄位會在精靈中顯示,它僅會在 Unified Access Gateway 中設定內部名稱。Horizon 用戶端不會使用此名稱。
    顯示提示 選擇性地輸入文字字串,其在使用者用戶端登入畫面上提示使用者輸入 RADIUS 使用者名稱與密碼時,將在訊息中向使用者顯示。指定的提示會向使用者顯示為 Enter your DisplayHint user name and passcode,其中的 DisplayHint 是您在此欄位中指定的文字。

    此提示可協助引導使用者輸入正確的 RADIUS 密碼。例如,指定以下的範例公司使用者名稱和網域密碼之類的詞語會造成的提示為 Enter your Example Company user name and domain password below for user name and passcode

    名稱 ID 尾碼 此設定用在 SAML 案例中,在其中,您的網繭設定為使用 TrueSSO 進行單一登入。選擇性地提供系統將附加至傳送至代理的 SAML 判斷提示使用者名稱的字串。例如,如果在登入畫面上輸入使用者名稱 user1,並且已在此處指定名稱 ID 字尾 @example.com,則系統會傳送 SAML 判斷提示使用者名稱 user1@example.com 至代理。
    反覆運算的次數 輸入使用者嘗試使用此 RADIUS 系統登入時所允許的失敗驗證嘗試次數上限。
    維護使用者名稱 啟用此切換可在對 Horizon Cloud 進行驗證期間保有使用者的 RADIUS 使用者名稱。啟用時:
    • 使用者對於 RADIUS 必須使用與其 Horizon Cloud 的 Active Directory 驗證相同的使用者名稱認證。
    • 使用者無法變更登入畫面中的使用者名稱。

    如果停用此切換,則使用者將可在登入畫面中輸入不同的使用者名稱。

    備註: 針對啟用 維護使用者名稱Horizon Cloud 中網域安全性設定之間的關聯性,請參閱 一般設定頁面上的網域安全性設定主題。
  5. 在 [主要伺服器] 區段中,指定驗證伺服器的相關詳細資料。
    選項 說明
    主機名稱/IP 位址 輸入驗證伺服器的 DNS 名稱或 IP 位址。
    共用密碼 輸入與驗證伺服器通訊的密碼。此值必須與伺服器設定的值相同。
    驗證連接埠 指定在驗證伺服器上設定用來傳送或接收驗證流量的 UDP 連接埠。預設值為 1812。
    帳戶處理連接埠 選擇性地指定在驗證伺服器上設定用來傳送或接收帳戶處理流量的 UDP 連接埠。預設值為 1813。
    機制 選取指定的驗證伺服器支援,且您想要讓已部署網繭使用的驗證通訊協定。
    伺服器逾時 指定網繭應等待驗證伺服器回應的秒數。經過此秒數後,如果伺服器仍未回應,則系統會傳送重試。
    重試次數上限 指定網繭應對驗證伺服器重試失敗要求的次數上限。
    領域前置詞 選擇性地提供系統在使用者名稱傳送至驗證伺服器時將放置在名稱開頭的字串。使用者帳戶位置稱為領域。

    例如,如果在登入畫面上輸入使用者名稱 user1,而先前已在此處指定領域前置詞 DOMAIN-A\,則系統會將 DOMAIN-A\user1 傳送至驗證伺服器。如果未指定領域前置詞,則僅會傳送輸入的使用者名稱。

    領域字尾 選擇性地提供系統在使用者名稱傳送至驗證伺服器時將附加至名稱結尾的字串。例如,如果在登入畫面上輸入使用者名稱 user1,而先前已在此處指定領域字尾 @example.com,則系統會將 user1@example.com 傳送至驗證伺服器。
  6. (選擇性) 在 [次要伺服器] 區段中,選擇性地指定輔助驗證伺服器的相關詳細資料。
    您可以設定次要驗證伺服器以提供高可用性。將 輔助伺服器切換啟用,並依照 步驟 5中所述完成相關欄位。