本主題說明如何設定 Horizon 網繭內要與 Universal Broker 搭配使用的 Unified Access Gateway 執行個體。依照程序在每個 Unified Access Gateway 執行個體中設定 JSON Web Token 設定,以支援 Universal Broker 所需的通道伺服器和通訊協定重新導向。

備註: 僅需對以 Horizon Connection Server 技術為基礎之 Horizon 網繭內的 Unified Access Gateway 執行個體執行下列程序。對於 Microsoft Azure 中的 Horizon Cloud Pod,系統會在網繭部署時自動為您設定 JSON Web Token 設定。對於 Unified Access Gateway 網繭 (不以 Horizon Connection Server 技術為基礎) 內的 Horizon Cloud 執行個體,您不需對 JSON Web Token 執行任何進一步的設定。

根據其預設設計,Universal Broker 預期對租用戶網繭機群中的每個網繭使用完全相同的雙因素驗證設定。此外,根據設計,當設定為使用雙因素驗證設定時,Universal Broker 會形成驗證要求,並將其傳遞至外部 Unified Access Gateway 執行個體,然後該執行個體將與其設定中設定的驗證伺服器進行通訊以處理特定的驗證動作。接下來,Unified Access Gateway 會將驗證服務的回應轉送回 Universal Broker

因此,當您想要同時使用 Universal Broker 與雙因素驗證時,則必須在租用戶網繭機群中所有網繭的所有外部 Unified Access Gateway 執行個體上均設定相同的驗證服務。當機群僅包含 Horizon 網繭時,Universal Broker 可以支援在所有 Unified Access Gateway 執行個體上使用 RADIUS 服務或 RSA SecurID 服務。

但是,請注意,如果您的租用戶具有同時包含 Horizon 網繭和 Horizon Cloud Pod 的混合網繭機群,則可用的選項取決於您的 Horizon Cloud on Microsoft Azure 部署是否符合在其上使用 RSA SecurID 選項的條件。如果所有 Horizon Cloud Pod 的資訊清單版本均為 3139.x 或更新版本,且您可在 [編輯網繭] 精靈中看到 RSA SecurID 選項,您可以選擇將所有網繭均設定成使用 RSA SecurID 類型。否則,必須使用 RADIUS,以滿足在所有網繭機群上使用相同驗證服務的需求。

必要條件

  • 根據您想要支援的使用者案例,確認您已在租用戶網繭機群中的每個 Horizon 網繭上設定了一組適當的 Unified Access Gateway 應用裝置。如需關於使用案例的簡短說明,請參閱 Horizon 網繭的 Universal Broker 系統需求
  • 確保那些 Unified Access Gateway 應用裝置執行的是版本 3.8 或更新版本,且符合 Horizon 網繭的 Universal Broker 系統需求中所述的所有其他相關 Unified Access Gateway 需求。
  • 若要驗證每個 Unified Access Gateway 執行個體與其各自網繭的配對,請直接連線至 Unified Access Gateway 執行個體,並確認您可以存取虛擬桌面。

程序

  1. 登入 Unified Access Gateway 管理主控台。
  2. 手動設定區段中,按一下選取
  3. 進階設定下方,按一下 JWT 設定的齒輪圖示。
  4. 按一下齒輪之後:
    • 如果 Unified Access Gateway 軟體的版本低於 2209 版,請按一下新增
    • 如果 Unified Access Gateway 軟體為 2209 版或更新版本,請按一下新增 JWT 取用者Unified Access Gateway 管理 UI 在其 2209 版中推出了變更。
  5. 在顯示的 UI 方塊中,指定設定。
    設定 說明
    Name 輸入組態集的描述性名稱。
    Issuer 輸入 Horizon 網繭的叢集名稱,如 Horizon Console 中所顯示。
    注意: 此欄位在 Unified Access Gateway 管理 UI 中會區分大小寫。

    您必須輸入精確的叢集名稱,並完全遵照您從 Horizon Console 所擷取的名稱來輸入。

    Unified Access Gateway UI 不會發出警告指出其欄位有區分大小寫,且不會驗證是否有區分大小寫。

    這種區分大小寫情況也適用於 Horizon Console 中所顯示的 Cluster 一字。

    如果您在 Horizon Console 中看到該字為大寫的 C、其餘為小寫的 luster,則在此簽發者欄位中,您必須精確與之相符,而在此簽發者欄位中輸入 Cluster

    如果您無法確保將精確的大小寫名稱輸入到這個簽發者欄位中,並與您在 Horizon Console 中看到的名稱完全相符,則會導致 Universal Broker 下游出現問題,其中,您的使用者將無法使用 Universal Broker FQDN 來啟動其桌面和應用程式。

    若要在 Horizon Console 中找出網繭的叢集名稱,請導覽至 Horizon Console 中的儀表板區域,然後查看 UI 的上半部垂直區域。

    下圖說明 Horizon Console 中的網繭叢集名稱位置。

    請注意,顯示名稱中的 Cluster 部分是首字母為大寫,其餘字母為小寫。

    您必須確定已在 Unified Access Gateway 管理 UI 的簽發者欄位中,精確輸入顯示的名稱。簽發者欄位不會進行驗證來協助確保您所輸入的名稱正確無誤。


    Horizon Console 中顯示之網繭的叢集名稱
    Dynamic Public key URL 您可以從網繭的連線伺服器主機名稱、連線伺服器 FQDN 或本機負載平衡器 (如果網繭具有多個閘道執行個體),來取得您要在此處所輸入的值。

    輸入 https://<Horizon 網繭 FQDN>/broker/publicKey/protocolredirection,其中 <Horizon 網繭 FQDN> 會取代為網繭的唯一 FQDN (完整網域名稱)。FQDN 通常定義如下:

    • 如果網繭僅有一個 Unified Access Gateway 執行個體,請指定該執行個體已配對的連線伺服器的位址作為 FQDN。
    • 如果網繭有多個 Unified Access Gateway 執行個體,請將本機負載平衡器的位址指定為 FQDN。
    Public key URL thumbprints 此欄位指定使用公開金鑰 URL 進行驗證。

    若要使用網繭的連線伺服器憑證進行驗證,請針對您用於上述動態公開金鑰 URL 的連線伺服器,輸入 Horizon 網繭連線伺服器憑證的 SHA1 指紋。

    備註: 您可以設定 公開金鑰 URL 指紋受信任的憑證以進行驗證。您不需要同時設定這兩個選項。
    Trusted Certificates 若要使用 Horizon 網繭的憑證以外的憑證進行驗證,請按一下 (+) 圖示,然後新增信任的憑證。
    備註: 您可以設定 受信任的憑證公開金鑰 URL 指紋以進行驗證。您不需要同時設定這兩個選項。
    Public key refresh interval 若要獲得最佳效果,請輸入 900。此值會將重新整理間隔設為 900 秒 (或 15 分鐘)。
    Static public keys 將此選項設定保留為其預設值。
  6. 按一下儲存,然後按一下關閉
  7. 如果您想要對 Universal Broker使用雙因素驗證,請啟用驗證設定顯示切換。然後,針對 Universal Broker 所支援的其中一項雙因素驗證服務,啟用並進行相應的設定。目前,有兩項支援的服務,分別是 RADIUS 和 RSA SecurID。
    備註: 您必須在外部 Unified Access Gateway 執行個體上為每個參與的網繭設定適當的雙因素驗證服務。參與的網繭內所有外部 Unified Access Gateway 執行個體的組態必須彼此相符,且必須與每個其他參與網繭之間外部 Unified Access Gateway 執行個體的組態完全相同。否則,對 Universal Broker服務的驗證會失敗。

    例如,如果您想要將 RADIUS 驗證用於設定了 Universal Broker 的 Horizon 網繭,則必須在所有參與的 Horizon 網繭間的每個外部 Unified Access Gateway 執行個體上設定完全相同的 RADIUS 服務。您無法在某些參與的網繭上設定 RADIUS,然後在其他參與的網繭上設定 RSA SecurID。