本主題說明可用來設定 Universal Broker 服務的雙因素驗證的高階步驟和最佳做法。
如何將雙因素驗證用於 Universal Broker
依預設,Universal Broker只會透過 Active Directory 使用者名稱和密碼來驗證使用者。您可以藉由指定其他驗證服務來實作選用的雙因素驗證。
從服務版本 2203 開始,Universal Broker 支援下列雙因素驗證服務同時具有 Horizon 部署和 Horizon Cloud on Microsoft Azure 部署。
- RADIUS
- RSA SecurID
在執行網路使用者的雙因素驗證時,Universal Broker 依賴每個參與網繭內外部 Unified Access Gateway 執行個體的組態。雖然您也可以設定內部 Unified Access Gateway 執行個體來處理內部網路使用者的驗證和路由,但 Universal Broker 仍會根據在外部 Unified Access Gateway 執行個體上設定的驗證服務來執行其雙因素驗證。
例如,如果您想要將 RADIUS 驗證用於設定了 Universal Broker 的 Horizon 網繭,則必須在所有參與的 Horizon 網繭間的每個外部 Unified Access Gateway 執行個體上設定完全相同的 RADIUS 服務。您無法在某些參與的網繭上設定 RADIUS,然後在其他參與的網繭上設定 RSA SecurID。
當您想要同時為外部和內部網路上的使用者啟用雙因素驗證時
- 對於 Universal Broker 環境中的每個網繭,請至少設定一個外部 Unified Access Gateway 執行個體。請在所有網繭的每個外部 Unified Access Gateway 執行個體上設定相同的雙因素驗證服務。
請遵循適用於您特定使用案例的設定準則。當您的租用戶機群:
- 僅具有 Horizon 網繭
- 應在所有網繭內的每個外部 Unified Access Gateway 執行個體上設定 RADIUS 或 RSA SecurID 服務。
- 僅具有 Horizon Cloud on Microsoft Azure 部署
- 請在所有網繭的每個外部 Unified Access Gateway 執行個體上設定相同的雙因素驗證服務。如果所有網繭的資訊清單版本均為 3139.x 或更新版本,且在網繭上執行 [編輯網繭] 精靈時,雙因素驗證設定中會顯示 RSA SecurID 選項,則您可以選擇將所有網繭設定成使用 RSA SecurID 類型。否則,可使用 RADIUS 類型。
- 同時具有 Horizon 網繭和 Horizon Cloud on Microsoft Azure 部署
-
在混合機群中,可供您使用的選項,取決於您的
Horizon Cloud on Microsoft Azure 部署是否符合在其上使用 RSA SecurID 選項的條件。
- 如果 Horizon Cloud on Microsoft Azure 部署不符合在其上設定 RSA SecurID 類型的條件,您可以在機群中所有網繭的每個外部 Unified Access Gateway 執行個體上,設定 RADIUS 服務。
- 如果您的 Horizon Cloud on Microsoft Azure 部署符合在其上設定 RSA SecurID 類型的條件,則可以在機群中所有網繭的每個外部 Unified Access Gateway 執行個體上,設定 RSA SecurID 或 RADIUS。
對於 Horizon 網繭,請參閱 Unified Access Gateway 說明文件、VMware Horizon 說明文件和 VMware Horizon 7 說明文件。
對於 Microsoft Azure 中的 Horizon Cloud Pod,請參閱將閘道組態新增至已部署的 Horizon Cloud Pod和在 Horizon Cloud Pod 的閘道上啟用雙因素驗證。
- 選擇性地設定每個網繭的內部 Unified Access Gateway 執行個體。若要將使用者流量路由至您個別的內部和外部 DNS 伺服器,請執行下列其中一項:
- 為網繭中的內部和外部 Unified Access Gateway 執行個體設定不同的 FQDN。
- 為網繭中的內部和外部 Unified Access Gateway 執行個體設定相同的 FQDN。然後,為網繭負載平衡器的 FQDN 設定分割 DNS 區域。
- (僅限 Horizon 網繭) 在每個 Unified Access Gateway 執行個體中設定 JSON Web Token 設定,以支援 Universal Broker 所需的通道伺服器和通訊協定重新導向。請參閱Horizon 網繭 - 設定與Universal Broker搭配使用的 Unified Access Gateway。
- 在 Universal Broker 組態精靈的驗證頁面中,指定下列設定:
- 啟用雙因素驗證切換。
- 針對類型,選取您在各網繭的所有外部 Unified Access Gateway 執行個體上設定的驗證服務。
- 將略過雙因素驗證切換設定為關閉位置。
當您只想對外部網路上的使用者啟用雙因素驗證時
- 依照上一個使用案例「當您想要同時為外部和內部網路上的使用者啟用雙因素驗證時」中的說明,完成步驟 1 到 3。
- 在代理頁面的網路範圍索引標籤上,定義代表您內部網路的公用 IP 範圍。請參閱定義 Universal Broker 的內部網路範圍。
- 在 Universal Broker 組態精靈的驗證頁面中,指定下列設定:
- 啟用雙因素驗證切換。
- 針對類型,選取您在各網繭的所有外部 Unified Access Gateway 執行個體上設定的驗證服務。
- 啟用略過雙因素驗證切換。