本主題說明如何在 VMware SDDC 型平台上的 Horizon 網繭內設定 Unified Access Gateway 執行個體,以與 Universal Broker 搭配使用。依照程序在每個 Unified Access Gateway 執行個體中設定 JSON Web Token 設定,以支援 Universal Broker 所需的通道伺服器和通訊協定重新導向。

備註: 僅在 VMware SDDC 型平台上的 Horizon 網繭內部署 Unified Access Gateway 執行個體時,才需要下列程序。對於 Microsoft Azure 中的 Horizon Cloud Pod,系統會在網繭部署時自動為您設定 JSON Web Token 設定。對於 Microsoft Azure 中的 Horizon Cloud Pod (不在 VMware SDDC 型平台上) 內的 Unified Access Gateway 執行個體,您不需執行 JSON Web Token 的任何進一步設定。

如果您的租用戶設定了 Universal Broker,且您想要讓外部使用者使用雙因素驗證,則必須同時在網繭中的所有外部 Unified Access Gateway 執行個體上設定適當的 RADIUS 服務或 RSA SecurID 服務 (僅適用於 Horizon 網繭)。

必要條件

  • 確認您已為 Universal Broker 環境中的每個網繭設定外部 Unified Access Gateway 執行個體和/或內部 Unified Access Gateway 執行個體。
  • 確定您執行的是 Unified Access Gateway 3.8 版或更新版本,且符合Universal Broker的系統需求中所述的所有其他 Unified Access Gateway 需求。
  • 若要驗證每個 Unified Access Gateway 執行個體與其各自網繭的配對,請直接連線至 Unified Access Gateway 執行個體,並確認您可以存取虛擬桌面。

程序

  1. 登入 Unified Access Gateway 管理主控台。
  2. 手動設定區段中,按一下選取
  3. 進階設定下方,按一下 JWT 設定的齒輪圖示。
  4. 若要建立 JWT 組態集,請按一下新增
  5. 在 [JWT 設定] 對話方塊中,指定所需的設定。
    設定 說明
    Name 輸入組態集的描述性名稱。
    Issuer 輸入 Horizon 網繭的叢集名稱,如 Horizon Console 中所顯示。

    Horizon Console 中顯示之網繭的叢集名稱
    Dynamic Public key URL 輸入 https://<Horizon 網繭 FQDN>/broker/publicKey/protocolredirection,其中 <Horizon 網繭 FQDN> 會取代為網繭的唯一 FQDN (完整網域名稱)。FQDN 通常定義如下:
    • 如果網繭有多個 Unified Access Gateway 執行個體,請將本機負載平衡器的位址指定為 FQDN。
    • 如果網繭僅有一個 Unified Access Gateway 執行個體,請指定該執行個體已配對的連線伺服器的位址作為 FQDN。
    Public key URL thumbprints 若要使用公開金鑰 URL 進行驗證,請輸入 Horizon 網繭憑證的 SHA1 指紋。
    備註: 您可以設定 公開金鑰 URL 指紋受信任的憑證以進行驗證。您不需要同時設定這兩個選項。
    Trusted Certificates 若要使用 Horizon 網繭的憑證以外的憑證進行驗證,請按一下 (+) 圖示,然後新增信任的憑證。
    備註: 您可以設定 受信任的憑證公開金鑰 URL 指紋以進行驗證。您不需要同時設定這兩個選項。
    Public key refresh interval 若要獲得最佳效果,請輸入 900。此值會將重新整理間隔設為 900 秒 (或 15 分鐘)。
    Static public keys 將此選項設定保留為其預設值。
  6. 按一下儲存,然後按一下關閉
  7. 如果您想要對 Universal Broker使用雙因素驗證,請啟用驗證設定顯示切換。然後,針對 Universal Broker所支援的其中一個安全服務啟用並進行設定:RSA SecurID (僅適用於 Horizon 網繭) 或 RADIUS
    備註: 您必須在外部 Unified Access Gateway 執行個體上為每個參與的網繭設定適當的雙因素驗證服務。參與的網繭內所有外部 Unified Access Gateway 執行個體的組態必須彼此相符,且必須與每個其他參與網繭之間外部 Unified Access Gateway 執行個體的組態完全相同。否則,對 Universal Broker服務的驗證會失敗。

    例如,如果您想要將 RADIUS 驗證用於設定了 Universal Broker 的 Horizon 網繭,則必須在所有參與的 Horizon 網繭間的每個外部 Unified Access Gateway 執行個體上設定完全相同的 RADIUS 服務。您無法在某些參與的網繭上設定 RADIUS,然後在其他參與的網繭上設定 RSA SecurID。