在網繭部署精靈步驟中指定其 Unified Access Gateway 組態時,您也可以指定使用雙因素驗證,讓使用者透過那些閘道組態存取其桌面和應用程式。

重要: 此資訊僅適用於在您有權存取第一代控制平面中的第一代租用戶環境時。如 知識庫文章 92424 中所述,第一代控制平面已終止提供 (EOA)。請參閱此文章以取得詳細資料。

Horizon Cloud on Microsoft Azure:啟用此切換來啟用雙因素驗證後,網繭部署精靈中處於初始狀態的雙因素驗證欄位。

如果在精靈中為閘道組態指定了雙因素驗證詳細資料,則在網繭部署程序期間,網繭部署工具將會使用指定的雙因素驗證詳細資料來設定閘道組態對應的已部署 Unified Access Gateway 應用裝置。

Unified Access Gateway 說明文件中所述,為 Unified Access Gateway 應用裝置設定了雙因素驗證時,Unified Access Gateway 應用裝置將會根據您指定的雙因素驗證原則來驗證傳入的使用者工作階段。在 Unified Access Gateway 根據您指定的驗證原則驗證使用者工作階段之後,Unified Access Gateway 會將桌面或應用程式啟動的使用者用戶端要求轉送給已部署的網繭管理員,以在用戶端與可用的桌面或應用程式之間建立連線工作階段。

重要: 部署網繭後,如果您計畫將租用戶的 Universal Broker 設定設為使用雙因素驗證,且您使用外部閘道組態和內部閘道組態部署了網繭,則可能需要執行額外的部署後步驟,以確保 Universal Broker 能夠區分外部使用者和內部使用者,從而適當地套用為 Universal Broker 指定的雙因素驗證設定。如需詳細資訊,請參閱 在 Universal Broker 環境中實作雙因素驗證時的最佳做法

必要條件

確認您已符合第一代租用戶 - 執行第一代網繭部署精靈的先決條件中說明的先決條件。

針對您要輸入雙因素驗證詳細資料的外部或內部 Unified Access Gateway 組態,確認您已完成精靈中 Unified Access Gateway 組態的欄位,如第一代租用戶 - 指定 Horizon Cloud Pod 的閘道組態中所述。設定對內部部署驗證伺服器的雙因素驗證時,您也可以提供下列欄位中的資訊,使 Unified Access Gateway 執行個體能夠解析該內部部署伺服器的路由。

選項 說明
DNS 位址 指定能夠對內部部署驗證伺服器名稱進行解析之 DNS 伺服器的一或多個位址。
路由 指定一或多個可讓網繭的 Unified Access Gateway 執行個體對您內部部署驗證伺服器之網路路由進行解析的自訂路由。

例如,如果您有內部部署 RADIUS 伺服器使用 10.10.60.20 作為其 IP 位址,則您可以使用 10.10.60.0/24 和預設路由閘道位址作為自訂路由。您可以從 Express Route 或用於此環境的 VPN 組態中取得預設路由閘道位址。

請以 ipv4-network-address/bits ipv4-gateway-address 的形式指定逗號分隔的自訂路由清單,例如:192.168.1.0/24 192.168.0.1, 192.168.2.0/24 192.168.0.2

請確認您驗證伺服器的組態中使用了下列資訊,以便在網繭部署精靈的適當欄位中提供。如果您正在使用 RADIUS 驗證伺服器,且同時擁有主要和次要伺服器,請分別取得其資訊。

RADIUS

如果您要同時設定主要和輔助 RADIUS 伺服器的設定,請分別取得它們的資訊。

  • 驗證伺服器的 IP 位址或 DNS 名稱
  • 在驗證伺服器的通訊協定訊息中用於加密和解密的共用密碼
  • 驗證連接埠號,對於 RADIUS,通常為 1812/UDP。
  • 驗證通訊協定類型。驗證類型包括 PAP (密碼驗證通訊協定)、CHAP (Challenge Handshake 驗證通訊協定)、MSCHAP1、MSCHAP2 (Microsoft Challenge Handshake 驗證通訊協定,版本 1 和 2)。
    備註: 檢查您的 RADIUS 廠商的說明文件,以取得 RADIUS 廠商建議的驗證通訊協定,並遵循其指定的通訊協定類型。網繭支援使用 RADIUS 搭配雙因素驗證的功能是由 Unified Access Gateway 執行個體提供,而 Unified Access Gateway 支援 PAP、CHAP、MSCHAP1 以及 MSCHAP2。PAP 通常比 MSCHAP2 更不安全。PAP 也是比 MSCHAP2 更簡單的通訊協定。因此,雖然多數 RADIUS 廠商與更簡單的 PAP 通訊協定相容,某些 RADIUS 廠商則與更安全的 MSCHAP2 不相容。
RSA SecurID
備註: 執行資訊清單 3139.x 或更新版本的 Horizon Cloud on Microsoft Azure 部署可支援 RSA SecurID 類型。從 2022 年 3 月中旬開始,[新增網繭] 和 [編輯網繭] 精靈中用來指定 RSA SecurID 類型的 UI 選項將變為可見且可供選擇。
  • RSA SecurID Authentication Manager 伺服器的存取金鑰。
  • RSA SecurID 通訊連接埠號。依照 RSA SecurID 驗證 API 的 RSA Authentication Manager 系統設定中所設定,通常為 5555。
  • RSA SecurID Authentication Manager 伺服器的主機名稱。
  • RSA SecurID Authentication Manager 伺服器的 IP 位址。
  • 如果 RSA SecurID Authentication Manager 伺服器或其負載平衡器伺服器具有自我簽署憑證,則您需要在 [新增網繭] 精靈中提供 CA 憑證。該憑證應為 PEM 格式 (檔案類型為 .cer .cert.pem)。

程序

  1. 開啟啟用雙因素驗證切換。
    將此切換啟用時,精靈會顯示其他組態欄位。請使用捲軸存取所有欄位。

    下列螢幕擷取畫面為您在外部 UAG 區段中將此切換設為開啟之後顯示的畫面範例。

    Horizon Cloud on Microsoft Azure:啟用此切換來啟用雙因素驗證後,網繭部署精靈中處於初始狀態的雙因素驗證欄位。
  2. 選取您的雙因素驗證類型:RadiusRSA SecurID
    目前,可用的支援類型為 RADIUS 和 RSA SecurID。

    選取類型後,雙因素驗證組態功能表會自動反映您正在新增該所選類型的組態。例如,如果選取 RSA SecurID 類型,則雙因素驗證組態功能表會顯示新的 RSA SecurID

  3. 組態名稱欄位中,輸入此組態的識別名稱。
  4. 在 [內容] 區段中,指定使用者與登入畫面互動的相關詳細資料,以便後續用於存取驗證。

    精靈會根據 Horizon Cloud on Microsoft Azure 部署支援與其閘道組態搭配使用的組態,來顯示欄位。顯示的欄位會因所選的雙因素驗證類型而異。請參閱下表,此表格對應至您選取的類型 (RADIUS 或 RSA SecurID)。

    RADIUS

    在您填寫這些欄位時,需要指定有關主要驗證伺服器的詳細資料。如果您有次要驗證伺服器,請啟用輔助伺服器切換,並指定該伺服器的詳細資料。

    選項 說明
    顯示名稱 您可以將此欄位保留空白。即使此欄位會在精靈中顯示,它僅會在 Unified Access Gateway 組態中設定內部名稱。Horizon 用戶端不會使用此名稱。
    顯示提示 選擇性地輸入文字字串,其在使用者用戶端登入畫面上提示使用者輸入 RADIUS 使用者名稱與密碼時,將在訊息中向使用者顯示。指定的提示會向使用者顯示為 Enter your DisplayHint user name and passcode,其中的 DisplayHint 是您在此欄位中指定的文字。

    此提示可協助引導使用者輸入正確的 RADIUS 密碼。例如,指定以下的範例公司使用者名稱和網域密碼之類的詞語會造成的提示為 Enter your Example Company user name and domain password below for user name and passcode

    名稱 ID 尾碼 此設定用在 SAML 案例中,在其中,您的網繭設定為使用 TrueSSO 進行單一登入。選擇性地提供一個字串,該字串將附加至傳送給網繭管理員的要求中的 SAML 判斷提示使用者名稱。例如,如果在登入畫面上輸入使用者名稱 user1,並且已在此處指定名稱 ID 尾碼 @example.com,則系統會在要求中傳送 SAML 判斷提示使用者名稱 [email protected]
    反覆運算的次數 輸入使用者嘗試使用此 RADIUS 系統登入時所允許的失敗驗證嘗試次數上限。
    維護使用者名稱 啟用此切換可在用戶端、Unified Access Gateway 執行個體和 RADIUS 服務之間進行驗證流程期間保留使用者的 Active Directory 使用者名稱。啟用時:
    • 使用者對於 RADIUS 必須使用與其 Active Directory 驗證相同的使用者名稱認證。
    • 使用者無法變更登入畫面中的使用者名稱。

    如果此切換設為關閉,則使用者將可在登入畫面中輸入不同的使用者名稱。

    備註: 針對啟用 維護使用者名稱Horizon Cloud 中網域安全性設定之間的關聯性,請參閱 一般設定頁面上的網域安全性設定主題。
    主機名稱/IP 位址 輸入驗證伺服器的 DNS 名稱或 IP 位址。
    共用密碼 輸入與驗證伺服器通訊的密碼。此值必須與伺服器設定的值相同。
    驗證連接埠 指定在驗證伺服器上設定用來傳送或接收驗證流量的 UDP 連接埠。預設值為 1812。
    帳戶處理連接埠 選擇性地指定在驗證伺服器上設定用來傳送或接收帳戶處理流量的 UDP 連接埠。預設值為 1813。
    機制 選取指定的驗證伺服器支援,且您想要讓已部署網繭使用的驗證通訊協定。
    伺服器逾時 指定網繭應等待驗證伺服器回應的秒數。經過此秒數後,如果伺服器仍未回應,則系統會傳送重試。
    重試次數上限 指定網繭應對驗證伺服器重試失敗要求的次數上限。
    領域前置詞 選擇性地提供系統在使用者名稱傳送至驗證伺服器時將放置在名稱開頭的字串。使用者帳戶位置稱為領域。

    例如,如果在登入畫面上輸入使用者名稱 user1,而先前已在此處指定領域前置詞 DOMAIN-A\,則系統會將 DOMAIN-A\user1 傳送至驗證伺服器。如果未指定領域前置詞,則僅會傳送輸入的使用者名稱。

    領域字尾 選擇性地提供系統在使用者名稱傳送至驗證伺服器時將附加至名稱結尾的字串。例如,如果在登入畫面上輸入使用者名稱 user1,而先前已在此處指定領域字尾 @example.com,則系統會將 [email protected] 傳送至驗證伺服器。
    RSA SecurID
    選項 說明
    存取金鑰 輸入您 RSA SecurID 系統的存取金鑰,這取自系統的 RSA SecurID 驗證 API 設定中。
    伺服器連接埠 指定您系統 RSA SecurID 驗證 API 設定中所設定的通訊連接埠值,依預設,通常為 5555。
    伺服器主機名稱 輸入驗證伺服器的 DNS 名稱。
    伺服器 IP 位址 輸入驗證伺服器的 IP 位址。
    反覆運算的次數 輸入允許的驗證失敗嘗試次數上限,一旦超過,使用者就會被鎖定一小時。預設值為嘗試五 (5) 次。
    CA 憑證 當 RSA SecurID Authentication Manager 伺服器或其負載平衡器使用自我簽署憑證時,需要使用此項。在此情況下,請複製 CA 憑證並貼到此欄位中。如本頁上文所述,應提供 PEM 格式的憑證資訊。

    如果伺服器具有公用憑證授權機構 (CA) 所簽署的憑證,則此欄位是選用的。

    驗證逾時 指定在逾時之前,可在 Unified Access Gateway 執行個體與 RSA SecurID 驗證伺服器之間嘗試驗證的秒數。預設值為 180 秒。