VMware Horizon View Connection Serverを構成する
この作業では、VMware Horizon View Connection ServerでRADIUS AuthenticatorにOkta RADIUS Server Agentを使用するように構成します。
手順
VMware Horizon View Connection Serverの構成では以下の作業を行います。
はじめに
- 共通のUDPポートと秘密鍵の値が利用可能であることを確認します。
RADIUS Authenticatorの定義
- 十分な権限でVMware Horizon Administratorコンソールにサインインします。
- に移動し、使用する接続サーバーをハイライトします。
- 画面上部サブメニューの[Edit(編集)]をクリックします。
- 開いたダイアログで、[Authentication(認証)]タブを選択します。
- 下にスクロールして[Advanced Authentication(高度な認証)]セクションに移動します。
- [2-factor authentication(2要素認証)]の値を[RADIUS]に設定します。
- [Manage Authenticator(Authenticatorの管理)]ボタンをクリックします。
- 開いたダイアログで、[Add(追加)]をクリックします。次の画面が表示されます。
-
以下のとおりに値を入力します。
- [Label(ラベル)]:一意のラベルを入力します。
- [Description(説明)]:任意で説明を入力します。
- [Hostname/Address(ホスト名/アドレス)]:IPまたはOkta RADIUS Server Agentの名前
- [Authentication port(認証ポート)]:ステップxで構成したポート番号(1812)
- [Accounting Port(アカウンティングポート)]:0
- [Authentication type(認証タイプ)]:PAP
- [Server timeout(サーバーのタイムアウト)]:60
- [Max attempts(最大試行回数)]:1
- [Realm prefix(レルム接頭辞)]:任意。ユーザー名の割り当て値を参照
- [Realm suffix(レルム接尾辞)]:任意。ユーザー名の割り当て値を参照
- [Next(次へ)]をクリックします。
- 必要に応じて、上記の手順9と同じ設定を使用し、ラベルと説明を変えてSecondary Authentication Server(二次認証サーバー)を構成することもできます。
- [Finish(終了)]をクリックしてすべての設定を保存します。
高度な認証設定の構成
高度な認証設定は、View Connection Serverで使用および適用される動作を制御するために使用します。この設定を有効にすると、View Connection Serverはまず2要素認証に対して認証を行います。そのためユーザーエクスペリエンスが変わる可能性があります。
2要素のユーザー名とWindowsのユーザー名の一致を適用する場合、VMware Horizon View(RADIUS)アプリケーションのユーザー名の値(上記の第2部で設定)は、すべてのレルム接頭辞およびレルム接尾辞の値も含めてActive Directoryユーザー名と一致していなければなりません。
-
2要素のユーザー名とWindowsユーザー名の一致を適用する
この機能は通常では有効化されています。この機能を無効にできる状況の1つは、これらのユーザー名を変えられるようにして、ユーザーが独自のOkta認証情報で初回の認証を行い、共有または共通のアカウントを使用してWindowsおよびADにサインインできるようにすることです。
以下のスクリーンショットではこの構成が使用されています。
このフローでは、VMware Horizon View(RADIUS)アプリケーションのRADIUS認証の動作で、[Okta performs primary authentication(Oktaがプライマリ認証を実行)]のunchecked(チェックを解除)して構成する必要があります。
テストのセクションで2および4をテストします。
- RADIUSとWindows認証に同じユーザー名とパスワードを使用する
この設定を有効にする場合、ユーザーのOktaパスワードとWindowsおよびADパスワードを一致させ、VMware Horizon View(RADIUS)アプリケーションが一次認証を実行するように構成する必要があります。この設定は、Oktaがユーザーの委任認証を実行している場合に使用できます。
この設定を無効にした場合、Oktaユーザー名とWindowsおよびADユーザー名は一致させる必要がなく、VMware Horizon View(RADIUS)アプリケーションで一次認証を実行しないように構成して、Oktaパスワードを無効にすることができます。
以下の画面ではこの構成が使用されていますI
このフローでは、VMware Horizon View(RADIUS)アプリケーションのRADIUS認証の動作で、[Okta performs primary authentication(Oktaがプライマリ認証を実行)]のchecked(チェックをオン)にして構成する必要があります。
テストのセクションで1および3をテストします。
この2つのオプションで選択する値によってサインイン時のエクスペリエンスが変わり、Oktaで構成できる設定が決まります。