本主題說明可用來設定 Universal Broker 服務的雙因素驗證的高階步驟和最佳做法。

如何將雙因素驗證用於 Universal Broker

依預設,Universal Broker只會透過 Active Directory 使用者名稱和密碼來驗證使用者。您可以藉由指定其他驗證服務來實作選用的雙因素驗證。

從服務版本 2203 開始,Universal Broker 支援下列雙因素驗證服務同時具有 Horizon 部署和 Horizon Cloud on Microsoft Azure 部署。

  • RADIUS
  • RSA SecurID
備註: 為支援將 RSA SecurID 與 Horizon Cloud on Microsoft Azure 部署結合使用,這些網繭必須執行資訊清單 3139.x 或更新版本,且 RSA SecurID 選項是可見的,以供您在這些網繭上執行 [編輯網繭] 時,可在 [閘道設定] 中進行選取。

在執行網路使用者的雙因素驗證時,Universal Broker 依賴每個參與網繭內外部 Unified Access Gateway 執行個體的組態。雖然您也可以設定內部 Unified Access Gateway 執行個體來處理內部網路使用者的驗證和路由,但 Universal Broker 仍會根據在外部 Unified Access Gateway 執行個體上設定的驗證服務來執行其雙因素驗證。

備註: 您必須在外部 Unified Access Gateway 執行個體上為每個參與的網繭設定適當的雙因素驗證服務。參與的網繭內所有外部 Unified Access Gateway 執行個體的組態必須彼此相符,且必須與每個其他參與網繭之間外部 Unified Access Gateway 執行個體的組態完全相同。否則,對 Universal Broker服務的驗證會失敗。

例如,如果您想要將 RADIUS 驗證用於設定了 Universal Broker 的 Horizon 網繭,則必須在所有參與的 Horizon 網繭間的每個外部 Unified Access Gateway 執行個體上設定完全相同的 RADIUS 服務。您無法在某些參與的網繭上設定 RADIUS,然後在其他參與的網繭上設定 RSA SecurID。

當您想要同時為外部和內部網路上的使用者啟用雙因素驗證時

  1. 對於 Universal Broker 環境中的每個網繭,請至少設定一個外部 Unified Access Gateway 執行個體。請在所有網繭的每個外部 Unified Access Gateway 執行個體上設定相同的雙因素驗證服務。

    請遵循適用於您特定使用案例的設定準則。當您的租用戶機群:

    僅具有 Horizon 網繭
    應在所有網繭內的每個外部 Unified Access Gateway 執行個體上設定 RADIUS 或 RSA SecurID 服務。
    僅具有 Horizon Cloud on Microsoft Azure 部署
    請在所有網繭的每個外部 Unified Access Gateway 執行個體上設定相同的雙因素驗證服務。如果所有網繭的資訊清單版本均為 3139.x 或更新版本,且在網繭上執行 [編輯網繭] 精靈時,雙因素驗證設定中會顯示 RSA SecurID 選項,則您可以選擇將所有網繭設定成使用 RSA SecurID 類型。否則,可使用 RADIUS 類型。
    同時具有 Horizon 網繭和 Horizon Cloud on Microsoft Azure 部署
    在混合機群中,可供您使用的選項,取決於您的 Horizon Cloud on Microsoft Azure 部署是否符合在其上使用 RSA SecurID 選項的條件。
    • 如果 Horizon Cloud on Microsoft Azure 部署不符合在其上設定 RSA SecurID 類型的條件,您可以在機群中所有網繭的每個外部 Unified Access Gateway 執行個體上,設定 RADIUS 服務。
    • 如果您的 Horizon Cloud on Microsoft Azure 部署符合在其上設定 RSA SecurID 類型的條件,則可以在機群中所有網繭的每個外部 Unified Access Gateway 執行個體上,設定 RSA SecurID 或 RADIUS。

    對於 Horizon 網繭,請參閱 Unified Access Gateway 說明文件VMware Horizon 說明文件VMware Horizon 7 說明文件

    對於 Microsoft Azure 中的 Horizon Cloud Pod,請參閱將閘道組態新增至已部署的 Horizon Cloud Pod在 Horizon Cloud Pod 的閘道上啟用雙因素驗證

  2. 選擇性地設定每個網繭的內部 Unified Access Gateway 執行個體。若要將使用者流量路由至您個別的內部和外部 DNS 伺服器,請執行下列其中一項:
    • 為網繭中的內部和外部 Unified Access Gateway 執行個體設定不同的 FQDN。
    • 為網繭中的內部和外部 Unified Access Gateway 執行個體設定相同的 FQDN。然後,為網繭負載平衡器的 FQDN 設定分割 DNS 區域。
  3. (僅限 Horizon 網繭) 在每個 Unified Access Gateway 執行個體中設定 JSON Web Token 設定,以支援 Universal Broker 所需的通道伺服器和通訊協定重新導向。請參閱Horizon 網繭 - 設定與Universal Broker搭配使用的 Unified Access Gateway
  4. Universal Broker 組態精靈的驗證頁面中,指定下列設定:
    1. 啟用雙因素驗證切換。
    2. 針對類型,選取您在各網繭的所有外部 Unified Access Gateway 執行個體上設定的驗證服務。
    3. 略過雙因素驗證切換設定為關閉位置。

    請參閱進行 Universal Broker 的設定

當您只想對外部網路上的使用者啟用雙因素驗證時

  1. 依照上一個使用案例「當您想要同時為外部和內部網路上的使用者啟用雙因素驗證時」中的說明,完成步驟 1 到 3。
  2. 代理頁面的網路範圍索引標籤上,定義代表您內部網路的公用 IP 範圍。請參閱定義 Universal Broker 的內部網路範圍
  3. Universal Broker 組態精靈的驗證頁面中,指定下列設定:
    1. 啟用雙因素驗證切換。
    2. 針對類型,選取您在各網繭的所有外部 Unified Access Gateway 執行個體上設定的驗證服務。
    3. 啟用略過雙因素驗證切換。

    請參閱進行 Universal Broker 的設定