Horizon Cloud on Azure では、ユーザーがアプリケーション&デスクトップに接続する際に二段階認証を利用する事ができます。
通常の認証フローだと、Active Directoryによる認証のみですが、
二段階認証を設定すると、RADIUS認証 → Active Directory認証 となります。
最初から学びたい方はこちら!!
・VMware Horizon Cloud on Microsoft Azure とは?
・Horizon Cloud on Azure を構築する! 1/3
・Horizon Cloud on Azure を構築する! 2/3
・Horizon Cloud on Azure を構築する! 3/3
・Horizon Cloud on Azure に接続してみる!!
今回は、二要素認証の追加作業のみを記載致します。
それではやってみよう!!
事前に、RADIUSサーバーを[CentOS7 + FreeRADIUS]で構築します。
・Azure上の”テナントサブネット”にRADIUSを設置
・RADIUSクライアントとして、UAGのDMZ側のIPアドレスを指定
・RADIUSサーバーに認証用のユーザーアカウントを追加
※2要素認証の設定は、後から変更ができません。
2要素認証を有効にしますか?:はい
2要素認証方式:新規のRADIUSを追加
名前:識別名
表示名:※表示箇所不明
表示に関するヒント:ユーザー認証時の画面に表示される
名前IDのサフィックス:ユーザー名に付加したいサフィックスを指定
反復回数:入力失敗回数
ユーザー名を維持:RADIUS認証後のAD認証時にユーザー名を引き継ぐ
ホスト名/IPアドレス:RADIUSサーバーのIPを指定
共有シークレット:RADIUSサーバーに設定したシークレットキーを入力
認証ポート:ポート番号
アカウントポート:アカウンティング情報(時間、パケット)用ポート番号
メカニズム:認証方式[PAP / CHAP / MSCHAPv1 / MSCHAPv2]
サーバタイムアウト:RADIUSサーバーからの応答待機時間
最大再試行回数:RADIUSクライアント~RADIUSサーバー間での試行回数
レルムのプレフィックス:tushigami.com\user
レルムのサフィックス:user@tushigami.com
セカンダリサーバ:2台目のRADIUSサーバー情報
あとは、通常の手順通りに進めていきます。
それでは、接続してみましょう!
【ブラウザ 編】
ユーザーのブラウザから、UAG のFQDN宛に接続します。
先ずは、RADIUSによる認証が実行されます。
※RADIUSサーバーに登録したユーザーアカウントを入力
続いて、Active Directory による認証が実行されます。
ログインすると、作成した”デスクトップ”と”アプリケーション”が確認できます。
【Horizon Client 編】
Horizon Client をインストール後、UAG のFQDN宛に接続します。
先ずは、RADIUSによる認証が実行されます。
※RADIUSサーバーに登録したユーザーアカウントを入力
続いて、Active Directory による認証が実行されます。
ログインすると、作成した”デスクトップ”と”アプリケーション”が確認できます。
おまけ
UAGに適用されるNSGに、RADIUS認証に設定したポート番号が自動で許可されるのでした~