本主題說明可用來設定 Universal Broker 服務的雙因素驗證的高階步驟和最佳做法。

如何將雙因素驗證用於 Universal Broker

依預設,Universal Broker只會透過 Active Directory 使用者名稱和密碼來驗證使用者。您可以藉由指定其他驗證服務來實作選用的雙因素驗證。Universal Broker 支援下列雙因素驗證服務,具體取決於您在租用戶環境中部署的網繭類型。

  • 如果您的環境僅包含 Microsoft Azure 中的 Horizon Cloud Pod,則 Universal Broker 僅支援 RADIUS 驗證。
  • 如果您的環境僅包含 VMware SDDC 型平台上的 Horizon 網繭,則 Universal Broker 同時支援 RADIUS 和 RSA SecurID 驗證。
  • 如果您的混合環境同時包含 Microsoft Azure 中的 Horizon Cloud Pod 和 VMware SDDC 型平台上的 Horizon 網繭,則 Universal Broker 僅支援 RADIUS 驗證。

在執行網路使用者的雙因素驗證時,Universal Broker 依賴每個參與網繭內外部 Unified Access Gateway 執行個體的組態。雖然您也可以設定內部 Unified Access Gateway 執行個體來處理內部網路使用者的驗證和路由,但 Universal Broker 仍會根據在外部 Unified Access Gateway 執行個體上設定的驗證服務來執行其雙因素驗證。

備註: 您必須在外部 Unified Access Gateway 執行個體上為每個參與的網繭設定適當的雙因素驗證服務。參與的網繭內所有外部 Unified Access Gateway 執行個體的組態必須彼此相符,且必須與每個其他參與網繭之間外部 Unified Access Gateway 執行個體的組態完全相同。否則,對 Universal Broker服務的驗證會失敗。

例如,如果您想要將 RADIUS 驗證用於設定了 Universal Broker 的 Horizon 網繭,則必須在所有參與的 Horizon 網繭間的每個外部 Unified Access Gateway 執行個體上設定完全相同的 RADIUS 服務。您無法在某些參與的網繭上設定 RADIUS,然後在其他參與的網繭上設定 RSA SecurID。

當您想要同時為外部和內部網路上的使用者啟用雙因素驗證時

  1. 對於 Universal Broker 環境中的每個網繭,請至少設定一個外部 Unified Access Gateway 執行個體。請在所有網繭的每個外部 Unified Access Gateway 執行個體上設定相同的雙因素驗證服務。

    請遵循適用於您特定使用案例的設定準則:

    • 如果您的環境僅包含 Horizon 網繭,請在所有網繭的每個外部 Unified Access Gateway 執行個體上設定 RADIUS 或 RSA SecurID 服務。
    • 如果您的環境僅包含 Microsoft Azure 中的 Horizon Cloud Pod,請在所有網繭的每個外部 Unified Access Gateway 執行個體上設定 RADIUS 服務。
    • 如果您具有混合環境,其中同時包含 Horizon 網繭和 Microsoft Azure 中的 Horizon Cloud Pod,請在所有網繭的每個外部 Unified Access Gateway 執行個體上設定 RADIUS 服務。

    針對 Horizon 網繭,請參閱 Unified Access Gateway 說明文件VMware Horizon 說明文件VMware Horizon 7 說明文件。針對 Microsoft Azure 中的 Horizon Cloud Pod,請參閱指定 Horizon Cloud Pod 的閘道組態

  2. 選擇性地設定每個網繭的內部 Unified Access Gateway 執行個體。若要將使用者流量路由至您個別的內部和外部 DNS 伺服器,請執行下列其中一項:
    • 為網繭中的內部和外部 Unified Access Gateway 執行個體設定不同的 FQDN。
    • 為網繭中的內部和外部 Unified Access Gateway 執行個體設定相同的 FQDN。然後,為網繭負載平衡器的 FQDN 設定分割 DNS 區域。
  3. (僅限 Horizon 網繭) 在每個 Unified Access Gateway 執行個體中設定 JSON Web Token 設定,以支援 Universal Broker 所需的通道伺服器和通訊協定重新導向。請參閱Horizon 網繭 - 設定與Universal Broker搭配使用的 Unified Access Gateway
  4. Universal Broker 組態精靈的驗證頁面中,指定下列設定:
    1. 啟用雙因素驗證切換。
    2. 針對類型,選取您在各網繭的所有外部 Unified Access Gateway 執行個體上設定的驗證服務。
    3. 略過雙因素驗證切換設定為關閉位置。

    請參閱設定 Universal Broker 設定

當您只想對外部網路上的使用者啟用雙因素驗證時

  1. 依照上一個使用案例「當您想要同時為外部和內部網路上的使用者啟用雙因素驗證時」中的說明,完成步驟 1 到 3。
  2. 代理頁面的網路範圍索引標籤上,定義代表您內部網路的公用 IP 範圍。請參閱定義 Universal Broker 的內部網路範圍
  3. Universal Broker 組態精靈的驗證頁面中,指定下列設定:
    1. 啟用雙因素驗證切換。
    2. 針對類型,選取您在各網繭的所有外部 Unified Access Gateway 執行個體上設定的驗證服務。
    3. 啟用略過雙因素驗證切換。

    請參閱設定 Universal Broker 設定