本主題說明如何設定 Horizon 網繭內要與 Universal Broker 搭配使用的 Unified Access Gateway 執行個體。依照程序在每個 Unified Access Gateway 執行個體中設定 JSON Web Token 設定,以支援 Universal Broker 所需的通道伺服器和通訊協定重新導向。

備註: 僅需對以 Horizon Connection Server 技術為基礎之 Horizon 網繭內的 Unified Access Gateway 執行個體執行下列程序。對於 Microsoft Azure 中的 Horizon Cloud Pod,系統會在網繭部署時自動為您設定 JSON Web Token 設定。對於 Unified Access Gateway 網繭 (不以 Horizon Connection Server 技術為基礎) 內的 Horizon Cloud 執行個體,您不需對 JSON Web Token 執行任何進一步的設定。

根據其預設設計,Universal Broker 預期對租用戶網繭機群中的每個網繭使用完全相同的雙因素驗證設定。此外,根據設計,當設定為使用雙因素驗證設定時,Universal Broker 會形成驗證要求,並將其傳遞至外部 Unified Access Gateway 執行個體,然後該執行個體將與其設定中設定的驗證伺服器進行通訊以處理特定的驗證動作。接下來,Unified Access Gateway 會將驗證服務的回應轉送回 Universal Broker

因此,當您想要同時使用 Universal Broker 與雙因素驗證時,則必須在租用戶網繭機群中所有網繭的所有外部 Unified Access Gateway 執行個體上均設定相同的驗證服務。當機群僅包含 Horizon 網繭時,Universal Broker 可以支援在所有 Unified Access Gateway 執行個體上使用 RADIUS 服務或 RSA SecurID 服務。

但是,請注意,如果您的租用戶具有同時包含 Horizon 網繭和 Horizon Cloud Pod 的混合網繭機群,則可用的選項取決於您的 Horizon Cloud on Microsoft Azure 部署是否符合在其上使用 RSA SecurID 選項的條件。如果所有 Horizon Cloud Pod 的資訊清單版本均為 3139.x 或更新版本,且您可在 [編輯網繭] 精靈中看到 RSA SecurID 選項,您可以選擇將所有網繭均設定成使用 RSA SecurID 類型。否則,必須使用 RADIUS,以滿足在所有網繭機群上使用相同驗證服務的需求。

必要條件

  • 根據您想要支援的使用者案例,確認您已在租用戶網繭機群中的每個 Horizon 網繭上設定了一組適當的 Unified Access Gateway 應用裝置。如需關於使用案例的簡短說明,請參閱 Horizon 網繭的 Universal Broker 系統需求
  • 確保那些 Unified Access Gateway 應用裝置執行的是版本 3.8 或更新版本,且符合 Horizon 網繭的 Universal Broker 系統需求中所述的所有其他相關 Unified Access Gateway 需求。
  • 若要驗證每個 Unified Access Gateway 執行個體與其各自網繭的配對,請直接連線至 Unified Access Gateway 執行個體,並確認您可以存取虛擬桌面。

程序

  1. 登入 Unified Access Gateway 管理主控台。
  2. 手動設定區段中,按一下選取
  3. 進階設定下方,按一下 JWT 設定的齒輪圖示。
  4. 若要建立 JWT 組態集,請按一下新增
  5. 在 [JWT 設定] 對話方塊中,指定所需的設定。
    設定 說明
    Name 輸入組態集的描述性名稱。
    Issuer 輸入 Horizon 網繭的叢集名稱,如 Horizon Console 中所顯示。

    Horizon Console 中顯示之網繭的叢集名稱
    Dynamic Public key URL 輸入 https://<Horizon 網繭 FQDN>/broker/publicKey/protocolredirection,其中 <Horizon 網繭 FQDN> 會取代為網繭的唯一 FQDN (完整網域名稱)。FQDN 通常定義如下:
    • 如果網繭有多個 Unified Access Gateway 執行個體,請將本機負載平衡器的位址指定為 FQDN。
    • 如果網繭僅有一個 Unified Access Gateway 執行個體,請指定該執行個體已配對的連線伺服器的位址作為 FQDN。
    Public key URL thumbprints 若要使用公開金鑰 URL 進行驗證,請輸入 Horizon 網繭憑證的 SHA1 指紋。
    備註: 您可以設定 公開金鑰 URL 指紋受信任的憑證以進行驗證。您不需要同時設定這兩個選項。
    Trusted Certificates 若要使用 Horizon 網繭的憑證以外的憑證進行驗證,請按一下 (+) 圖示,然後新增信任的憑證。
    備註: 您可以設定 受信任的憑證公開金鑰 URL 指紋以進行驗證。您不需要同時設定這兩個選項。
    Public key refresh interval 若要獲得最佳效果,請輸入 900。此值會將重新整理間隔設為 900 秒 (或 15 分鐘)。
    Static public keys 將此選項設定保留為其預設值。
  6. 按一下儲存,然後按一下關閉
  7. 如果您想要對 Universal Broker使用雙因素驗證,請啟用驗證設定顯示切換。然後,針對 Universal Broker 所支援的其中一項雙因素驗證服務,啟用並進行相應的設定。目前,有兩項支援的服務,分別是 RADIUS 和 RSA SecurID。
    備註: 您必須在外部 Unified Access Gateway 執行個體上為每個參與的網繭設定適當的雙因素驗證服務。參與的網繭內所有外部 Unified Access Gateway 執行個體的組態必須彼此相符,且必須與每個其他參與網繭之間外部 Unified Access Gateway 執行個體的組態完全相同。否則,對 Universal Broker服務的驗證會失敗。

    例如,如果您想要將 RADIUS 驗證用於設定了 Universal Broker 的 Horizon 網繭,則必須在所有參與的 Horizon 網繭間的每個外部 Unified Access Gateway 執行個體上設定完全相同的 RADIUS 服務。您無法在某些參與的網繭上設定 RADIUS,然後在其他參與的網繭上設定 RSA SecurID。