Ce document prend en charge la version de chacun des produits
répertoriés, ainsi que toutes les versions publiées par la suite
jusqu'au remplacement dudit document par une nouvelle
édition. Pour rechercher des éditions plus récentes de ce
document, rendez-vous sur :
http://www.vmware.com/fr/support/pubs.
FR-001998-00
Déploiement et configuration d'Access Point
Vous trouverez la documentation technique la plus récente sur le site Web de VMware à l'adresse :
http://www.vmware.com/fr/support/
Le site Web de VMware propose également les dernières mises à jour des produits.
N’hésitez pas à nous transmettre tous vos commentaires concernant cette documentation à l’adresse suivante :
3401 Hillview Ave.
Palo Alto, CA 94304
www.vmware.com
2 VMware, Inc.
VMware, Inc.
100-101 Quartier Boieldieu
92042 Paris La Défense
France
www.vmware.com/fr
Table des matières
Déploiement et configuration d' Access Point5
Présentation de Access Point7
1
Règles de pare-feu pour les dispositifs Access Point basés sur une zone DMZ 8
Topologies d' Access Point 12
Configuration système requise et déploiement17
2
Configuration système pour Access Point 17
Préparation du Serveur de connexion View pour l'utiliser avec Access Point 19
Déployer le dispositif Access Point 19
Utilisation de VMware OVF Tool pour déployer le dispositif Access Point 23
Propriétés du déploiement d'Access Point 27
Configuration d' Access Point31
3
Utilisation de l'API REST Access Point 31
Réinitialiser le mot de passe administrateur pour l'API REST Access Point 32
Paramètres de configuration pour les paramètres système et les certificats de serveur 33
Paramètres de configuration pour les services Edge 35
Configuration de certificats TLS/SSL pour les dispositifs Access Point 40
Sélection du type de certificat correct 40
Convertir des fichiers de certificat au format PEM sur une ligne 41
Remplacer le certificat de serveur TLS/SSL par défaut pour Access Point 42
Modifier les protocoles de sécurité et les suites de chiffrement utilisés pour la communication
TLS/SSL 43
Configuration des passerelles sécurisées utilisées avec le service View Edge 44
VMware, Inc.
Collecte de journaux depuis le dispositif Access Point47
4
Configuration de l'authentification par carte à puce49
5
Générer des métadonnées SAML Access Point 50
Création d'un authentificateur SAML pour le Serveur de connexion View 51
Créer un authentificateur SAML sur un Serveur de connexion Horizon 7 51
Créer un authentificateur SAML sur le Serveur de connexion View 6.2 53
Modifier la période d'expiration des métadonnées du fournisseur de services sur le Serveur de
connexion View 54
Copier les métadonnées SAML du fournisseur de services sur Access Point 55
Obtenir des certificats d'autorités de certification 56
Obtenir le certificat d'une autorité de certification de Windows 56
Configurer des paramètres de carte à puce sur le dispositif Access Point 57
Propriétés du certificat de carte à puce pour les options avancées 59
3
Déploiement et configuration d'Access Point
Configuration de l'authentification à deux facteurs63
6
Configurer l'authentification RSA SecurID sur le dispositif Access Point 63
Configurer l'authentification RADIUS sur le dispositif Access Point 65
Index69
4 VMware, Inc.
Déploiement et configuration d' Access Point
Déploiement et configuration d'Access Point fournit des informations sur la désignation d'un déploiement de
VMware Horizon® qui utilise Access Point pour un accès externe sécurisé aux applications de votre
entreprise, notamment des applications Windows, des applications SaaS (software as a service) et des postes
de travail View. Ce guide contient également des instructions sur le déploiement de dispositifs virtuels
Access Point et sur la modification des paramètres de configuration après le déploiement, si nécessaire.
Public visé
Ces informations sont destinées à toute personne souhaitant déployer et utiliser des dispositifs Access Point.
Les informations sont rédigées pour des administrateurs système Linux et Windows expérimentés qui
connaissent bien la technologie des machines virtuelles et les opérations de centre de données.
Glossaire VMware Technical Publications
Les publications techniques VMware fournissent un glossaire de termes que vous ne connaissez peut-être
pas. Pour obtenir la définition des termes tels qu'ils sont utilisés dans la documentation technique de
VMware, visitez la page http://www.vmware.com/support/pubs.
VMware, Inc.
5
Déploiement et configuration d'Access Point
6 VMware, Inc.
Présentation de Access Point1
Access Point fonctionne comme une passerelle sécurisée pour les utilisateurs qui veulent accéder à des
applications et des postes de travail distants depuis l'extérieur du pare-feu d'entreprise.
En général, les dispositifs Access Point résident dans une zone DMZ et agissent comme un hôte proxy pour
les connexions à l'intérieur du réseau approuvé de votre entreprise. Cette conception offre une couche
supplémentaire de sécurité en protégeant les postes de travail virtuels View, les hôtes d'application et les
serveurs Horizon Server contre les sites Internet destinés au public.
Access Point dirige les demandes d'authentification au serveur approprié et ignore les demandes non
authentifiées. Le seul trafic d'application et de poste de travail à distance qui peut entrer dans le centre de
données de l'entreprise est le trafic au nom d'un utilisateur dont l'authentification est renforcée. Les
utilisateurs ne peuvent accéder qu'aux ressources dont l'accès leur est autorisé.
Avec Access Point 2.6 et versions ultérieures, le dispositif Access Point peut également servir de proxy
inverse pour VMware Identity Manager.
Les mécanismes d'authentification suivants sont disponibles :
Informations d'identification Active Directory
n
RSA SecurID
n
RADIUS
n
VMware, Inc.
Cartes à puce
n
SAML (Security Assertion Markup Language)
n
Pour le composant View de VMware Horizon, les dispositifs Access Point jouent le même rôle que celui
précédemment joué par les serveurs de sécurité View, mais Access Point offre plus d'avantages :
Un dispositif Access Point peut être configuré pour pointer vers une instance du Serveur de connexion
n
View ou vers un équilibrage de charge qui fait face à un groupe d'instances du Serveur de connexion
View. Cette conception signifie que vous pouvez combiner le trafic distant et le trafic local.
La configuration d'Access Point est indépendante des instances du Serveur de connexion View.
n
Contrairement aux serveurs de sécurité, aucun mot de passe de couplage n'est requis pour coupler
chaque serveur de sécurité avec une instance du Serveur de connexion View.
Les dispositifs Access Point sont déployés en tant que dispositifs virtuels renforcés, qui sont basés sur
n
un dispositif Linux qui a été personnalisé pour fournir un accès sécurisé. Les modules étrangers ont été
supprimés pour réduire les accès dangereux potentiels.
Access Point utilise un protocole HTTP(S) standard pour les communications avec le Serveur de
n
connexion View. JMS, IPsec et AJP13 ne sont pas utilisés.
7
Déploiement et configuration d'Access Point
Ce chapitre aborde les rubriques suivantes :
« Règles de pare-feu pour les dispositifs Access Point basés sur une zone DMZ », page 8
n
« Topologies d'Access Point », page 12
n
Règles de pare-feu pour les dispositifs Access Point basés sur une
zone DMZ
Les dispositifs Access Point basés sur une zone DMZ requièrent certaines règles de pare-feu sur les pare-feu
frontaux et principaux. Lors de l'installation, les services Access Point sont configurés pour écouter sur
certains ports réseau par défaut.
En général, un déploiement de dispositif Access Point basé sur une zone DMZ inclut deux pare-feu.
Un pare-feu frontal externe en réseau est nécessaire pour protéger la zone DMZ et le réseau interne.
n
Vous configurez ce pare-feu pour permettre au trafic réseau externe d'atteindre la zone DMZ.
Un pare-feu principal, entre la zone DMZ et le réseau interne, est requis pour fournir un deuxième
n
niveau de sécurité. Vous configurez ce pare-feu pour accepter uniquement le trafic qui provient des
services dans la zone DMZ.
Par exemple, la figure suivante indique les protocoles que chaque composant View utilise pour les
communications. Cette configuration peut être utilisée dans un déploiement WAN classique si vous utilisez
des dispositifs Access Point avec le composant View de VMware Horizon.
8 VMware, Inc.
Figure 1‑1. Composants View et protocoles avec Access Point
Périphériques clients
Client
RDP
Dispositif Access Point
Gestionnaires de
protocoles sécurisés View
Serveur de connexion View
View
Agent
Machine virtuelle de poste de travail View ou hôte RDS
HTTP(S)HTTP(S)PColP
Horizon
Client
Blast
HTTP(S)
View
Administrator
HTTP(S)
vCenter
Server
SOAP
View Secure GW Server &
PColP Secure GW
View
Messaging
View Broker et
serveur admin
View
LDAP
Blast
RDP, Framework, MMR, CDR...
PColP
Chapitre 1 Présentation de Access Point
VMware, Inc. 9
DMZ
Réseau
interne
Trafic
HTTPS
Trafic
HTTPS
Mécanisme
d'équilibrage de charge
tolérant aux pannes
Périphérique
client
dispositif
Access
Point
dispositif
Access
Point
Horizon
Server
Horizon
Server
VMware
vCenter
Active
Directory
serveurs VMware
ESXi
pare-feu
principal
pare-feu
frontal
Périphérique
client
Déploiement et configuration d'Access Point
La règle de pare-feu contrôle exclusivement les communications entrantes provenant des services de la zone
DMZ, ce qui réduit considérablement le risque que le réseau interne soit compromis.
La figure suivante montre un exemple de configuration qui comporte des pare-feu frontal et principal.
Figure 1‑2. Topologie de double pare-feu
Règles de pare-feu frontal
Pour autoriser des périphériques client externes à se connecter à un dispositif Access Point dans la zone
DMZ, le pare-feu frontal doit autoriser le trafic sur certains ports TCP et UDP.
10 VMware, Inc.
Tableau 1‑1. Règles de pare-feu frontal
Port par
Source
Horizon
Client
Horizon
Client ou
navigateur
Web client
Horizon
Client
Dispositif
Access
Point
défautProtocoleDestination
Tout port
TCP
Tout port
TCP
Tout port
TCP
Tout port
UDP
UDP 4172PCoIPHorizon ClientTout port
HTTPDispositif
Access Point
HTTPSDispositif
Access Point
PCoIPDispositif
Access Point
Chapitre 1 Présentation de Access Point
Port de
destinationRemarques
TCP 80(Facultatif) Des périphériques client externes se
connectent à un dispositif Access Point dans la zone
DMZ sur le port TCP 80 et sont automatiquement
dirigés vers HTTPS.
TCP 443
UDP 443
(pour Blast)
TCP 4172
UDP 4172
UDP
Les périphériques clients externes et les clients Web
externes (HTML Access) se connectent à un dispositif
Access Point dans la zone DMZ sur le port TCP 443.
Des périphériques client externes se connectent à un
dispositif Access Point dans la zone DMZ sur le port
TCP 4172 et sur le port UDP 4172 pour communiquer
avec une application ou un poste de travail distant sur
PCoIP.
Des dispositifs Access Point renvoient des données
PCoIP à un périphérique client externe à partir du port
UDP 4172. Le port UDP de destination est le port
source des paquets UDP reçus. Comme ces paquets
contiennent des données de réponse, il est
normalement inutile d'ajouter une règle de pare-feu
explicite pour ce trafic.
Règles de pare-feu principal
Pour autoriser un dispositif Access Point à communiquer avec Horizon Server ou un équilibrage de charge
qui réside sur le réseau interne, le pare-feu principal doit autoriser le trafic entrant sur certains ports TCP.
Derrière le pare-feu principal, les pare-feu internes doivent être configurés de la même manière pour
autoriser les applications et postes de travail distants et Horizon Server à communiquer entre eux.
Tableau 1‑2. Règles de pare-feu principal
Port par
Port source
Dispositif
Access Point
Dispositif
Access Point
Dispositif
Access Point
Dispositif
Access Point
Application
ou poste de
travail distant
défautProtocoleDestination
Tout port
TCP
Tout port
TCP
Tout port
TCP
Tout port
TCP
Tout port
UDP
UDP 4172PCoIPDispositif
HTTPSHorizon Server
ou équilibrage
de charge
RDPPoste de travail
distant
MMR ou
CDR
PCoIPApplication ou
Poste de travail
distant
poste de travail
distant
Access Point
Port de
destinationRemarques
TCP 443Des dispositifs Access Point se connectent sur le
port TCP 443 pour communiquer avec Horizon
Server ou un équilibrage de charge devant plusieurs
instances d'Horizon Server.
TCP 3389Des dispositifs Access Point se connectent à des
postes de travail distants sur le port TCP 3389 pour
échanger du trafic RDP.
TCP 9427Des dispositifs Access Point se connectent à des
postes de travail distants sur le port TCP 9427 pour
recevoir le trafic MMR (redirection multimédia) ou
CDR (redirection de lecteur client).
TCP 4172
UDP 4172
Tout port
UDP
Des dispositifs Access Point se connectent aux
applications et postes de travail distants sur le port
TCP 4172 et le port UDP 4172 pour échanger du
trafic PCoIP.
Des applications et des postes de travail distants
renvoient des données PCoIP à un dispositif
Access Point à partir du port UDP 4172.
Le port UDP de destination sera le port source des
paquets UDP reçus. Comme ces paquets sont des
données de réponse, il est normalement inutile
d'ajouter une règle de pare-feu explicite pour cela.
VMware, Inc. 11
Déploiement et configuration d'Access Point
Tableau 1‑2. Règles de pare-feu principal (suite)
Port par
Port source
Dispositif
Access Point
Dispositif
Access Point
Dispositif
Access Point
défautProtocoleDestination
Tout port
TCP
Tout port
TCP or
UDP
Tout port
TCP
USB-RPoste de travail
distant
Blast
Extreme
HTTPSPoste de travail
Application ou
poste de travail
distant
distant
REMARQUE Access Point peut éventuellement écouter sur le port TCP 9443 le trafic de l'API REST
d'administrateur et envoyer les événements Syslog sur le port UDP 514 par défaut. Si un pare-feu est en
place pour cette communication, ces ports ne doivent pas être bloqués.
Topologies d' Access Point
Vous pouvez implémenter plusieurs topologies différentes.
Un dispositif Access Point dans la zone DMZ peut être configuré pour pointer vers un serveur Horizon
Server ou vers un équilibrage de charge qui fait face à un groupe de serveurs Horizon Server. Les dispositifs
Access Point fonctionnent avec des solutions d'équilibrage de charge tierces standard qui sont configurées
pour HTTPS.
Port de
destinationRemarques
TCP 32111Des dispositifs Access Point se connectent à des
postes de travail distants sur le port TCP 32111 pour
échanger le trafic de redirection USB entre un
périphérique client externe et le poste de travail
distant.
TCP ou
UDP 22443
TCP 22443Si vous utilisez HTML Access, des dispositifs
Des dispositifs Access Point se connectent à des
applications et postes de travail distants sur le port
TCP et UDP 22443 pour échanger du trafic Blast
Extreme.
Access Point se connectent à des postes de travail
distants sur le port HTTPS 22443 pour
communiquer avec l'agent VMware Blast.
Si le dispositif Access Point pointe vers un équilibrage de charge devant des serveurs Horizon Server, la
sélection de l'instance d'Horizon Server est dynamique. Par exemple, l’équilibrage de charge peut faire une
sélection en fonction de la disponibilité et de sa connaissance du nombre de sessions en cours sur chaque
instance d'Horizon Server. En général, les instances d'Horizon Server dans le pare-feu d'entreprise
contiennent déjà un équilibrage de charge pour prendre en charge l'accès interne. Avec Access Point, vous
pouvez pointer le dispositif Access Point vers ce même équilibrage de charge qui est souvent déjà en cours
d'utilisation.
12 VMware, Inc.
Figure 1‑3. Dispositif Access Point pointant vers un équilibrage de charge
équilibrage
de charge
équilibrage
de charge
Horizon
Server
Microsoft
Active
Directory
Hôtes ESXi exécutant
des machines virtuelles
de poste de travail virtuel
Réseau
externe
vCenter
Management
Server
dispositif
Access
Point
Périphérique
client
DMZ
Chapitre 1 Présentation de Access Point
Vous pouvez également avoir un ou plusieurs dispositifs Access Point qui pointent vers une instance
individuelle d'Horizon Server. Avec les deux approches, utilisez un équilibrage de charge devant deux
dispositifs Access Point ou plus dans la zone DMZ.
VMware, Inc. 13
Horizon
Server
Microsoft
Active
Directory
Hôtes ESXi exécutant
des machines virtuelles
de poste de travail virtuel
Réseau
externe
vCenter
Management
Server
équilibrage
de charge
Périphérique
client
DMZ
dispositif
Access
Point
Déploiement et configuration d'Access Point
Figure 1‑4. Dispositif Access Point pointant vers une instance d'Horizon Server
La figure suivante illustre l'intégration d'Access Point à VMware Identity Manager. Vous pouvez configurer
le service Web Reverse Proxy pour utiliser Access Point 2.6 avec VMware Identity Manager.
14 VMware, Inc.
Figure 1‑5. Composants de VMware Identity Manager avec Access Point
Équilibrage de charge interne
myconnector.mycompany.com
Zone d'entreprise
DMZ
HTTPS (443)
HTTPS (443)
HTTPS (443)
Ordinateur
portable
Ordinateur portable
PC
PC
Connector-va
cluster
Utilisateurs du réseau LAN
d'entreprise
DNS/NTP
services
RSA
SecurID
AD/services
d'annuaire
Dispositif Access
Point
mycompany.vmwareidentity.com
HTTPS (443)
Chapitre 1 Présentation de Access Point
VMware, Inc. 15
Déploiement et configuration d'Access Point
16 VMware, Inc.
Configuration système requise et
déploiement2
Vous déployez un dispositif Access Point à peu près comme vous déployez d'autres dispositifs virtuels
VMware.
Ce chapitre aborde les rubriques suivantes :
« Configuration système pour Access Point », page 17
n
« Préparation du Serveur de connexion View pour l'utiliser avec Access Point », page 19
n
« Déployer le dispositif Access Point », page 19
n
« Utilisation de VMware OVF Tool pour déployer le dispositif Access Point », page 23
n
« Propriétés du déploiement d'Access Point », page 27
n
Configuration système pour Access Point
Pour déployer le dispositif Access Point, assurez-vous que votre système répond à la configuration
matérielle et logicielle requise.
Exigences logicielles VMware
Vous devez utiliser des versions spécifiques des produits VMware avec des versions spécifiques d'
Access Point.
Horizon 6 et Horizon 7
VMware Horizon Air
Hybrid-mode 1.0
Au moment de la publication de ce document, Horizon 6 et Horizon 7 ont été
certifiés pour prendre en charge Access Point 2.5. Consultez les notes de mise
à jour des produits pour voir les dernières informations sur la compatibilité
et consultez la matrice d'interopérabilité des produits VMware à l'adresse
Les informations dans les notes de mise à jour et la matrice d'interopérabilité
remplacent les informations contenues dans ce guide.
Lors d'une mise à niveau, vérifiez que les instances du Serveur de connexion
View sont mises à niveau vers la version 6.2 ou ultérieure avant d'utiliser des
dispositifs Access Point. Access Point n'est pas conçu pour interagir avec des
versions antérieures du Serveur de connexion.
Au moment de la publication de ce document, Horizon Air Hybrid-mode 1.0
a été certifié pour prendre en charge Access Point 2.5. Consultez les notes de
mise à jour des produits pour voir les dernières informations sur la
compatibilité et consultez la matrice d'interopérabilité des produits VMware
Les informations dans les notes de mise à jour et la matrice d'interopérabilité
remplacent les informations contenues dans ce guide.
VMware Identity
Manager 2.6
VMware Identity Manager 2.6 a été certifié pour prendre en charge
Access Point 2.6. Consultez les notes de mise à jour des produits pour voir
les dernières informations sur la compatibilité et consultez la matrice
d'interopérabilité des produits VMware à l'adresse
Les informations dans les notes de mise à jour et la matrice d'interopérabilité
remplacent les informations contenues dans ce guide.
Hôtes VMware vSphere
ESXi et vCenter Server
Les dispositifs Access Point doivent être déployés sur une version de
vSphere qui est la même qu'une version prise en charge pour les produits et
les versions d'Horizon que vous utilisez.
Pour plus d'informations sur la compatibilité entre vos produits Horizon et
vCenter Server et ESXi, consultez la matrice d'interopérabilité des produits
VMware à l'adresse
Même si VMware vous recommande d'effectuer la mise à niveau vers la
dernière version des clients pour obtenir de nouvelles fonctionnalités et
améliorer les performances, Access Point est conçu pour fonctionner avec
toutes les versions de client prises en charge avec les versions prises en
charge d'Horizon Server.
Configuration matérielle requise
Le package OVF du dispositif Access Point sélectionne automatiquement la configuration de machine
virtuelle dont Access Point a besoin. Même si vous pouvez modifier ces paramètres, VMware vous
recommande de ne pas modifier le CPU, la mémoire ou l'espace disque par des valeurs inférieures aux
paramètres OVF par défaut.
Exigences requises pour la mise en réseau
Vous pouvez utiliser une, deux ou trois interfaces réseau, et Access Point requiert une adresse IP statique
séparée pour chacune d'entre elles. De nombreuses implémentations de zone DMZ utilisent des réseaux
distincts pour sécuriser les différents types de trafic. Configurez Access Point en fonction de la conception
de réseau de la zone DMZ dans laquelle il est déployé.
Une interface réseau est appropriée pour la validation de principe ou les tests. Avec une carte réseau,
n
les trafics externe, interne et de gestion sont tous sur le même sous-réseau.
Avec deux interfaces réseau, le trafic externe est sur un sous-réseau, et les trafics interne et de gestion
n
sont sur un autre sous-réseau.
L'option la plus sûre consiste à utiliser les trois interfaces réseau. Avec une troisième carte réseau, les
n
trafics externe, interne et de gestion ont chacun leur propre sous-réseau.
IMPORTANT Vérifiez que vous avez attribué un pool IP à chaque réseau. Le dispositif Access Point peut
choisir les paramètres du masque de sous-réseau et de la passerelle au moment du déploiement. Pour
ajouter un pool IP, dans vCenter Server, si vous utilisez le vSphere Client natif, accédez à l'onglet Pools IP
du centre de données. Si vous utilisez vSphere Web Client, vous pouvez également créer un profil de
protocole réseau. Accédez à l'onglet Gérer du centre de données et sélectionnez l'onglet Profils de protocoleréseau. Pour plus d'informations, reportez-vous à Configurer les profils de protocole pour la mise en réseau
des machines virtuelles.
18 VMware, Inc.
Chapitre 2 Configuration système requise et déploiement
Exigences de conservation des journaux
Les fichiers journaux sont configurés par défaut pour utiliser une certaine quantité d'espace qui est
inférieure à la taille totale de disque dans l'agrégation. Les journaux pour Access Point sont restaurés par
défaut. Vous devez utiliser Syslog pour conserver ces entrées de journal.
Préparation du Serveur de connexion View pour l'utiliser avec
Access Point
Si vous prévoyez d'utiliser Access Point avec Horizon 6, Horizon 7 ou Horizon Air Hybrid-mode, vous
devez effectuer des tâches spécifiques pour vérifier que le Serveur de connexion View fonctionne
correctement avec Access Point.
REMARQUE Si vous prévoyez d'utiliser Access Point uniquement en tant que proxy Web inverse, une
fonctionnalité disponible avec Access Point 2.6 et versions ultérieures, n'effectuez pas les tâches répertoriées
dans cette rubrique. Cette rubrique ne s'applique pas.
Si vous prévoyez d'utiliser une connexion par tunnel sécurisé pour les périphériques client, désactivez
n
le tunnel sécurisé pour le Serveur de connexion View. Dans View Administrator, accédez à la boîte de
dialogue Modifier les paramètres du Serveur de connexion View et décochez la case nommée Utiliserune connexion par tunnel sécurisé à la machine. Par défaut, le tunnel sécurisé est activé sur le
dispositif Access Point.
Désactivez PCoIP Secure Gateway pour le Serveur de connexion View. Dans View Administrator,
n
accédez à la boîte de dialogue Modifier les paramètres du Serveur de connexion View et décochez la
case nommée Utiliser PCoIP Secure Gateway pour les connexions PCoIP à la machine. Par défaut,
PCoIP Secure Gateway est activé sur le dispositif Access Point.
Désactivez Blast Secure Gateway pour le Serveur de connexion View. Dans View Administrator,
n
accédez à la boîte de dialogue Modifier les paramètres du Serveur de connexion View et décochez la
case nommée Utiliser Blast Secure Gateway pour un HTML Access à la machine. Par défaut, Blast
Secure Gateway est activé sur le dispositif Access Point.
Pour utiliser l'authentification directe afin que l'authentification à deux facteurs, telle que
n
l'authentification RSA SecurID ou RADIUS, soit effectuée sur le Serveur de connexion View plutôt que
sur Access Point, vous devez activer cette fonctionnalité sur le Serveur de connexion View. Consultez
les rubriques concernant l'authentification à deux facteurs dans le document Administration de View.
Déployer le dispositif Access Point
Vous pouvez déployer le dispositif Access Point en ouvrant une session sur vCenter Server et en utilisant
l'assistant Déployer le modèle OVF. L'ouverture de session directement sur un hôte ESXi pour utiliser
l'assistant de déploiement n'est pas prise en charge.
Il est également possible d'utiliser l'outil VMware OVF Tool de ligne de commande pour déployer le
dispositif. Pour cela, reportez-vous à la section « Utilisation de VMware OVF Tool pour déployer le
dispositif Access Point », page 23. Avec cet outil, vous pouvez définir des propriétés avancées qui ne sont
pas disponibles dans l'assistant de déploiement.
VMware, Inc. 19
Déploiement et configuration d'Access Point
Lorsque des dispositifs Access Point sont déployés, vous devez vérifier que les instances du Serveur de
connexion View derrière eux sont configurées correctement. Pour plus d'informations, consultez le
document Installation de View.
IMPORTANT Pour les environnements de production, VMware vous recommande d'utiliser l'exemple de
script PowerShell joint à l'article de blog « Using PowerShell to Deploy VMware Access Point » (Utilisation
de PowerShell pour déployer VMware Access Point) disponible sur la page
https://communities.vmware.com/docs/DOC-30835. L'utilisation du script PowerShell pour déployer Access
Point résout les principales difficultés liées à l'utilisation d'OVF Tool directement sur la ligne de commande.
Le script appelle la commande OVF Tool, mais valide les paramètres et crée automatiquement la bonne
syntaxe de ligne de commande. Cette méthode permet de définir des paramètres avancés, tels que la
configuration du certificat de serveur TLS/SSL à appliquer au moment du déploiement.
Prérequis
Familiarisez-vous avec les options de déploiement disponibles dans l'assistant. Reportez-vous à
n
« Propriétés du déploiement d'Access Point », page 27. Les options suivantes sont requises : adresse IP
statique du dispositif Access Point, adresse IP du serveur DNS, mot de passe de l'utilisateur racine et
URL de l'instance d'Horizon Server ou de l'équilibrage de charge vers lequel pointera ce dispositif
Access Point.
Déterminez combien d'interfaces réseau et d'adresses IP statiques configurer pour le dispositif
n
Access Point. Reportez-vous à la section « Exigences requises pour la mise en réseau », page 18.
IMPORTANT Si vous utilisez vSphere Web Client, vous pouvez également spécifier les adresses du
serveur DNS, de la passerelle et du masque réseau pour chaque réseau. Si vous utilisez le vSphere
Client natif, vérifiez que vous avez affecté un pool IP à chaque réseau. Pour ajouter un pool IP, dans
vCenter Server, si vous utilisez le vSphere Client natif, accédez à l'onglet Pools IP du centre de données.
Si vous utilisez vSphere Web Client, vous pouvez également créer un profil de protocole réseau.
Accédez à l'onglet Gérer du centre de données et sélectionnez l'onglet Profils de protocole réseau. Pour
plus d'informations, reportez-vous à Configurer les profils de protocole pour la mise en réseau des
machines virtuelles.
Vérifiez que vous pouvez ouvrir une session sur vSphere Client ou vSphere Web Client en tant
n
qu'utilisateur avec des privilèges d'administrateur système. Par exemple, vous pouvez ouvrir une
session en tant que l'utilisateur administrator@vsphere.local.
Si vous utilisez vSphere Web Client, utilisez un navigateur pris en charge. Consultez la rubrique
« Configuration logicielle requise pour le plug-in d'intégration du client » dans le centre de
documentation vSphere pour votre version de vSphere.
Vérifiez que la banque de données que vous prévoyez d'utiliser pour le dispositif a un espace disque
n
libre suffisant et qu'elle répond aux autres spécifications système. La taille de téléchargement du
dispositif virtuel est de 2,5 Go. Par défaut, pour un disque à provisionnement fin, le dispositif requiert
2,5 Go et un disque à provisionnement statique requiert 20 Go. Reportez-vous également à la section
« Configuration système pour Access Point », page 17.
Téléchargez le fichier de programme d'installation .ova pour le dispositif Access Point sur le site Web
n
VMware à l'adresse https://my.vmware.com/web/vmware/downloads ou déterminez l'URL à utiliser
(exemple : http://example.com/vapps/euc-access-point-Y.Y.0.0-xxxxxxx_OVF10.ova), où Y.Y est le
numéro de version et xxxxxxx le numéro de build.
Si vous prévoyez d'utiliser vSphere Web Client, vérifiez que le plug-in d'intégration du client est
n
installé. Pour plus d'informations, voir la documentation vSphere. Par exemple, pour vSphere 6, voir
Installer le plug-in d'intégration du client. Si vous n'installez pas ce plug-in avant de démarrer
l'assistant de déploiement, l'assistant vous invite à installer le plug-in, ce qui implique la fermeture de
votre navigateur et de l'assistant.
20 VMware, Inc.
Chapitre 2 Configuration système requise et déploiement
Procédure
1Utilisez le vSphere Client natif ou vSphere Web Client pour ouvrir une session sur une instance de
vCenter Server.
2Sélectionnez une commande de menu pour lancer l'assistant Déployer le modèle OVF.
OptionCommande de menu
vSphere Client
vSphere Web Client
Sélectionnez Fichier > Déployer le modèle OVF.
Sélectionnez un objet d'inventaire qui est un objet parent valide d'une
machine virtuelle, tel qu'un centre de données, un dossier, un cluster, un
pool de ressources ou un hôte et, dans le menu Actions, sélectionnez
Déployer le modèle OVF.
3Sur la page Sélectionner la source de l'assistant, accédez à l'emplacement du fichier .ova que vous avez
téléchargé ou entrez une URL et cliquez sur Suivant.
Une page de détails apparaît qui indique l'espace disque dont le dispositif a besoin.
4Suivez les invites de l'assistant en tenant compte des conseils suivants.
Le texte sur chaque page de l'assistant explique chaque contrôle. Dans certains cas, le texte change de
façon dynamique à mesure que vous sélectionnez diverses options.
REMARQUE Si vous utilisez vSphere Web Client, pour vous aider, vous pouvez également cliquer sur le
bouton d'aide contextuelle, qui est une icône de point d'interrogation (?) dans le coin supérieur droit de
l'assistant.
OptionDescription
Sélectionner une configuration de
déploiement
Format de disque
Stratégie de stockage VM
Vous pouvez utiliser une, deux ou trois interfaces réseau (cartes réseaux),
et Access Point requiert une adresse IP statique séparée pour chacune
d'entre elles. De nombreuses implémentations de zone DMZ utilisent des
réseaux distincts pour sécuriser les différents types de trafic. Configurez
Access Point en fonction de la conception de réseau de la zone DMZ dans
laquelle il est déployé.
Pour les environnements d'évaluation et de test, sélectionnez le format
Provisionnement fin. Pour les environnements de production, sélectionnez
l'un des formats Provisionnement statique. Provisionnement statique
immédiatement mis à zéro est un type de format de disque virtuel statique
qui prend en charge les fonctionnalités de cluster, telles que la tolérance
aux pannes, mais qui prend beaucoup plus de temps pour créer d'autres
types de disques virtuels.
(vSphere Web Client uniquement) Cette option est disponible si des
stratégies de stockage sont activées sur la ressource de destination.
VMware, Inc. 21
Déploiement et configuration d'Access Point
OptionDescription
Configuration des réseaux/Mappage
réseau
Personnaliser un modèle
5Sur la page Prêt à terminer, sélectionnez Mettre sous tension après le déploiement et cliquez sur
Terminer.
Si vous utilisez vSphere Web Client, la page Configuration des réseaux
vous permet de mapper chaque carte réseau vers un réseau et de spécifier
des paramètres de protocole.
aSélectionnez la première ligne du tableau (Internet) et cliquez sur la
flèche vers le bas pour sélectionner le réseau de destination.
Après avoir sélectionné la ligne, vous pouvez également entrer des
adresses IP pour le serveur DNS, la passerelle et le masque de réseau
dans la partie inférieure de la fenêtre.
bSi vous utilisez plusieurs cartes réseau, sélectionnez la ligne suivante
(ManagementNetwork), sélectionnez le réseau de destination ; vous
pouvez ensuite entrer les adresses IP pour le serveur DNS, la
passerelle et le masque de réseau pour ce réseau.
Si vous n'utilisez qu'une seule carte réseau, toutes les lignes sont
mappées vers le même réseau.
cSi vous avez une troisième carte réseau, sélectionnez également la
troisième ligne et remplissez les paramètres.
Si vous n'utilisez que deux cartes réseau, pour cette troisième ligne
(BackendNetwork), sélectionnez le même réseau que vous avez utilisé
pour ManagementNetwork.
Avec vSphere Web Client, un profil de protocole réseau est
automatiquement créé lorsque l'assistant est terminé s'il n'en existe pas
déjà un.
Si vous utilisez le vSphere Client natif (plutôt que Web Client), la page
Mappage réseau vous permet de mapper chaque carte réseau vers un
réseau, mais il n'y a pas de champ pour spécifier les adresses du serveur
DNS, de la passerelle et du masque de réseau. Comme décrit dans les
conditions préalables, vous devez déjà avoir attribué un pool IP à chaque
réseau ou avoir créé un profil de protocole réseau.
Les cases sur cette page sont spécifiques à Access Point et il est probable
qu'elles ne soient pas requises pour d'autres types de dispositifs virtuels.
Le texte sur la page de l'assistant explique chaque paramètre. Si le texte est
tronqué sur le côté droit de l'assistant, redimensionnez la fenêtre en faisant
glisser le curseur à partir de l'angle inférieur droit. Vous devez entrer des
valeurs dans les cases suivantes :
Adresse IP externe
n
Adresses de serveur DNS
n
Adresse IP du réseau de gestion si vous avez spécifié 2 cartes réseau
n
et Adresse IP du réseau principal si vous avez spécifié 3 cartes réseau
Mot de passe de l'utilisateur racine de cette machine virtuelle
n
URL du Horizon server
n
Empreintes numériques du Horizon server si le Horizon server ne
n
dispose pas déjà d'un certificat de serveur publié par une autorité de
certification de confiance
Tous les autres paramètres sont facultatifs ou ont déjà un paramètre par
défaut. VMware vous recommande fortement de spécifier un mot de passe
pour la case Informations d'identification de l'administrateur pour l'APIREST. Notez les exigences de mot de passe répertoriées sur la page de
l'assistant. Pour voir une description de toutes les propriétés de
déploiement, reportez-vous à la section « Propriétés du déploiement
d'Access Point », page 27.
Une tâche Déployer le modèle OVF apparaît dans la zone d'état de vCenter Server pour que vous
puissiez contrôler le déploiement. Vous pouvez également ouvrir une console sur la machine virtuelle
pour afficher les messages de console qui sont affichés lors du démarrage du système. Un journal de ces
messages est également disponible dans le fichier /var/log/boot.msg.
22 VMware, Inc.
Chapitre 2 Configuration système requise et déploiement
6Lorsque le déploiement est terminé, vérifiez que les utilisateurs finaux pourront se connecter au
dispositif en ouvrant un navigateur et en entrant l'URL suivante :
https://FQDN-of-AP-appliance
Dans cette URL, FQDN-of-AP-appliance est le nom de domaine complet pouvant être résolu par DNS du
dispositif Access Point.
Si le déploiement est réussi, vous voyez la page Web fournie par Horizon Server vers laquelle pointe
Access Point. Par exemple, si vous avez configuré Access Point pour qu'il pointe vers une instance du
Serveur de connexion View, le portail Web d'Horizon s'affiche. Si le déploiement échoue, vous pouvez
supprimer la machine virtuelle de dispositif et déployer de nouveau le dispositif. L'erreur la plus
courante est l'entrée erronée des empreintes numériques de certificat.
7Pour vérifier que les informations d'identification d'administrateur pour accéder à l'API REST ont été
correctement définies, ouvrez un navigateur, entrez l'URL suivante et entrez les informations
d'identification de l'utilisateur administrateur.
Une page contenant la spécification de l'API REST Access Point apparaît. Si vous obtenez un message
d'erreur, vous pouvez déployer de nouveau le dispositif et veiller à suivre les exigences du mot de
passe ou vous pouvez ouvrir une session sur la machine virtuelle Access Point et définir le mot de
passe administrateur à l'aide de l'API REST.
Le dispositif Access Point est déployé et démarre automatiquement.
Suivant
Configurez des certificats de sécurité pour Access Point. Si vous n'avez pas défini les informations
d'identification d'administrateur correctement pour l'API REST, vous pouvez les définir à l'aide de la
procédure « Réinitialiser le mot de passe administrateur pour l'API REST Access Point », page 32.
IMPORTANT Configurez l'horloge (UTC) sur le dispositif Access Point pour qu'il soit à l'heure exacte. Par
exemple, ouvrez une fenêtre de console sur la machine virtuelle Access Point et utilisez les flèches pour
sélectionner le bon fuseau horaire. De plus, vérifiez que l'heure de l'hôte ESXi est synchronisée avec un
serveur NTP et vérifiez que VMware Tools, qui est exécuté dans la machine virtuelle de dispositif,
synchronise l'heure sur la machine virtuelle avec l'heure sur l'hôte ESXi.
Utilisation de VMware OVF Tool pour déployer le dispositif
Access Point
Comme alternative à l'utilisation de l'assistant de déploiement, vous pouvez utiliser cet outil de ligne de
commande pour déployer Access Point. L'utilisation de cet outil vous permet de définir des options de
configuration qui ne sont pas disponibles dans l'assistant de déploiement.
IMPORTANT Pour les environnements de production, VMware vous recommande d'utiliser l'exemple de
script PowerShell joint à l'article de blog « Using PowerShell to Deploy VMware Access Point » (Utilisation
de PowerShell pour déployer VMware Access Point) disponible sur la page
https://communities.vmware.com/docs/DOC-30835. L'utilisation du script PowerShell pour déployer Access
Point résout les principales difficultés liées à l'utilisation d'OVF Tool directement sur la ligne de commande.
Le script appelle la commande OVF Tool, mais valide les paramètres et crée automatiquement la bonne
syntaxe de ligne de commande. Cette méthode permet de définir des paramètres avancés, tels que la
configuration du certificat de serveur TLS/SSL à appliquer au moment du déploiement. L'assistant de
déploiement interactif n'inclut pas ces paramètres avancés.
VMware, Inc. 23
Déploiement et configuration d'Access Point
Vous pouvez télécharger VMware OVF Tool et sa documentation à l'adresse
https://www.vmware.com/support/developer/ovf/. En plus des commandes standard décrites dans la
documentation d'OVF Tool, vous pouvez utiliser des options spécifiques d'Access Point. Pour consulter une
liste des propriétés et options disponibles, reportez-vous à la section « Propriétés du déploiement d'Access
Point », page 27.
Conditions préalables pour le déploiement d' Access Point
Familiarisez-vous avec les options de déploiement disponibles. Reportez-vous à
n
« Propriétés du déploiement d'Access Point », page 27. Les options suivantes sont requises : adresse IP
statique du dispositif Access Point, adresse IP du serveur DNS, mot de passe de l'utilisateur racine et
URL d'Horizon Server ou de l'équilibrage de charge vers lequel pointera ce dispositif Access Point.
Déterminez combien d'interfaces réseau et d'adresses IP statiques configurer pour le dispositif
n
Access Point. Reportez-vous à la section « Exigences requises pour la mise en réseau », page 18.
IMPORTANT Vérifiez que vous avez attribué un pool IP à chaque réseau. Le dispositif Access Point peut
choisir les paramètres du masque de sous-réseau et de la passerelle au moment du déploiement. Pour
ajouter un pool IP, dans vCenter Server, si vous utilisez le vSphere Client natif, accédez à l'onglet PoolsIP du centre de données. Si vous utilisez vSphere Web Client, vous pouvez également créer un profil de
protocole réseau. Accédez à l'onglet Gérer du centre de données et sélectionnez l'onglet Profils deprotocole réseau. Pour plus d'informations, reportez-vous à Configurer les profils de protocole pour la
mise en réseau des machines virtuelles.
Vérifiez que la banque de données que vous prévoyez d'utiliser pour le dispositif a un espace disque
n
libre suffisant et qu'elle répond aux autres spécifications système. La taille de téléchargement du
dispositif virtuel est de 1,4 Go. Par défaut, pour un disque à provisionnement fin, le dispositif requiert
2,5 Go et un disque à provisionnement statique requiert 20 Go. Reportez-vous également à la section
« Configuration système pour Access Point », page 17.
Téléchargez le fichier de programme d'installation .ova pour le dispositif Access Point sur le site Web
n
VMware à l'adresse https://my.vmware.com/web/vmware/downloads ou déterminez l'URL à utiliser
(exemple : http://example.com/vapps/euc-access-point-Y.Y.0.0-xxxxxxx_OVF10.ova), où Y.Y est le
numéro de version et xxxxxxx le numéro de build.
Exemple de commande OVF Tool qui utilise des propriétés de déploiement d'
Access Point
Voici un exemple de commande pour déployer un dispositif Access Point à l'aide d'OVF Tool sur une
machine cliente Windows :
ovftool --X:enableHiddenProperties ^
--powerOffTarget ^
--powerOn ^
--overwrite ^
--vmFolder=folder1 ^
--net:Internet="VM Network" ^
--net:ManagementNetwork="VM Network" ^
--net:BackendNetwork="VM Network" ^
-ds=PERFORMANCE-X ^
--name=name1 ^
--ipAllocationPolicy=fixedPolicy ^
--deploymentOption=onenic ^
--prop:ip0=10.20.30.41 ^
--prop:DNS=192.0.2.1 ^
--prop:adminPassword=P@ssw0rd ^
24 VMware, Inc.
Chapitre 2 Configuration système requise et déploiement
--prop:rootPassword=vmware ^
--prop:viewDestinationURL=https://192.0.2.2 ^
--prop:viewDestinationURLThumbprints="sha1=b6 77 dc 9c 19 94 2e f1 78 f0 ad 4b ec 85 d1 7a f8 8b
dc 34" ^
euc-access-point-Y.Y.0.0-xxxxxxx_OVF10.ova ^
vi://root:password@vc.example.com/ExampleDC/host/ap
REMARQUE Les carets à la fin des lignes sont des caractères d'échappement pour la continuation de ligne
sous Windows, qui peuvent être utilisés dans un script BAT. Vous pouvez également saisir simplement
toute la commande sur une seule ligne.
Voici un exemple de commande pour déployer un dispositif Access Point à l'aide d'OVF Tool sur une
machine cliente Linux :
ovftool --X:enableHiddenProperties \
--powerOffTarget \
--powerOn \
--overwrite \
--vmFolder=folder1 \
--net:Internet="VM Network" \
--net:ManagementNetwork="VM Network" \
--net:BackendNetwork="VM Network" \
-ds=PERFORMANCE-X \
--name=name1 \
--ipAllocationPolicy=fixedPolicy \
--deploymentOption=onenic \
--prop:ip0=10.20.30.41 \
--prop:DNS=192.0.2.1 \
--prop:adminPassword=P@ssw0rd \
--prop:rootPassword=vmware \
--prop:viewDestinationURL=https://192.0.2.2 \
--prop:viewDestinationURLThumbprints="sha1=b6 77 dc 9c 19 94 2e f1 78 f0 ad 4b ec 85 d1 7a f8 8b
dc 34" \
euc-access-point-Y.Y.0.0-xxxxxxx_OVF10.ova \
vi://root:password@vc.example.com/ExampleDC/host/ap
REMARQUE Les barres obliques inverses à la fin des lignes sont des caractères d'échappement pour la
continuation de ligne sous Linux, qui peuvent être utilisés dans un script shell Linux. Vous pouvez
également saisir simplement toute la commande sur une seule ligne.
Si vous utilisez cette commande, vous pouvez utiliser l'API REST d'administrateur Access Point pour
configurer des paramètres supplémentaires, tels que le certificat de sécurité et les passerelles sécurisées.
Vous pouvez également utiliser la propriété settingsJSON pour configurer ces paramètres au moment du
déploiement.
Exemple d'utilisation de la propriété settings.JSON
En plus des propriétés de déploiement indiquées dans l'exemple précédent, vous pouvez utiliser la
propriété settingsJSON pour transmettre une chaîne JSON directement à la ressource
EdgeServiceSettings dans l'API REST d'administrateur d'Access Point. De cette manière, vous pouvez
utiliser OVF Tool pour définir des propriétés de configuration au cours du déploiement qui doivent sinon
être définies à l'aide de l'API REST après le déploiement.
VMware, Inc. 25
Déploiement et configuration d'Access Point
L'exemple suivant indique comment utiliser la propriété settingsJSON pour activer le service View Edge,
afin qu'Access Point puisse pointer vers un Serveur de connexion View ou Horizon Air Node et l'utiliser. En
plus de spécifier l'URL et l'empreinte numérique d'Horizon Server, la propriété settingsJSON définit les
URL externes pour les passerelles sécurisées. Cet exemple utilise des caractères d'échappement pour
exécuter la commande sur une machine cliente Windows.
L'exemple suivant utilise des caractères d'échappement pour exécuter la commande sur une machine cliente
Linux. Cet exemple indique également comment utiliser la propriété settingsJSON pour activer le service
View Edge, afin qu'Access Point puisse pointer vers un Serveur de connexion View ou Horizon Air Node et
l'utiliser. En plus de spécifier l'URL et l'empreinte numérique d'Horizon Server, la propriété settingsJSON
définit les URL externes pour les passerelles sécurisées.
ovftool --X:enableHiddenProperties \
--powerOffTarget \
--powerOn \
--overwrite \
--vmFolder=folder1 \
--net:Internet="VM Network" \
--net:ManagementNetwork="VM Network" \
--net:BackendNetwork="VM Network" \
-ds=PERFORMANCE-X \
--name=name1 \
26 VMware, Inc.
Chapitre 2 Configuration système requise et déploiement
IMPORTANT Pour utiliser le service View Edge, vous devez configurer les URL externes pour le tunnel
sécurisé, PCoIP Secure Gateway et Blast Secure Gateway au moment du déploiement. Cette étape de
configuration doit être réalisée pour que vous puissiez utiliser Access Point pour le trafic View. Pour plus
d'informations sur ces URL, reportez-vous à la section « Configuration des passerelles sécurisées utilisées
avec le service View Edge », page 44.
Pour consulter une liste des propriétés de l'API REST pour configurer Access Point, reportez-vous à la
section « Paramètres de configuration pour les paramètres système et les certificats de serveur », page 33.
Propriétés du déploiement d'Access Point
Pour vous faciliter la tâche, la plupart des propriétés de déploiement peuvent être définies à l'aide de
l'assistant de déploiement ou de l'interface de ligne de commande OVF Tool.
Pour plus d'informations sur la spécification de ces propriétés à l'aide de l'assistant de déploiement,
reportez-vous à la section « Déployer le dispositif Access Point », page 19. Pour spécifier les propriétés à
l'aide de l'interface de ligne de commande OVF Tool, reportez-vous à la section « Utilisation de VMware
OVF Tool pour déployer le dispositif Access Point », page 23.
IMPORTANT Pour les environnements de production, VMware vous recommande d'utiliser l'exemple de
script PowerShell joint à l'article de blog « Using PowerShell to Deploy VMware Access Point » (Utilisation
de PowerShell pour déployer VMware Access Point) disponible sur la page
https://communities.vmware.com/docs/DOC-30835. L'utilisation du script PowerShell pour déployer Access
Point résout les principales difficultés liées à l'utilisation d'OVF Tool directement sur la ligne de commande.
Le script appelle la commande OVF Tool, mais valide les paramètres et crée automatiquement la bonne
syntaxe de ligne de commande. Cette méthode permet de définir des paramètres avancés, tels que la
configuration du certificat de serveur TLS/SSL à appliquer au moment du déploiement. L'assistant de
déploiement interactif n'inclut pas ces paramètres avancés.
VMware, Inc. 27
Déploiement et configuration d'Access Point
Tableau 2‑1. Options de déploiement d' Access Point
Propriété de
déploiementOption d'OVF ToolDescription
Configuration du
déploiement
Adresse IP
externe
(accessible sur
Internet)
Adresse IP du
réseau de gestion
Adresse IP du
réseau principal
Adresses de
serveur DNS
Mot de passe de
l'utilisateur
racine
Mot de passe de
l'utilisateur
administrateur
--deploymentOption
{onenic|twonic|threenic}
--prop:ip0=external-ip-address
--prop:ip1=management-ip-address
--prop:ip2=back-end-ip-address
--prop:DNS=ip-of-name-server1[ ip-of-name-
server2 ...]
--prop:rootPassword= password
--prop:adminPassword= password
Spécifie le nombre d'interfaces réseau disponibles
dans la machine virtuelle Access Point.
Par défaut, cette propriété n'est pas définie, ce
qui signifie qu'une seule carte réseau est utilisée.
(Obligatoire) Spécifie l'adresse IPv4 publique
utilisée pour accéder à cette machine virtuelle sur
Internet.
REMARQUE Le nom d’ordinateur est défini via
une requête DNS de cette adresse IPv4 Internet.
Valeur par défaut : aucune.
Spécifie l'adresse IP de l'interface connectée au
réseau de gestion.
Si elle n'est pas configurée, le serveur
d'administration écoute sur l'interface accessible
sur Internet.
Valeur par défaut : aucune.
Spécifie l'adresse IP de l'interface connectée au
réseau principal.
Si elle n'est pas configurée, le trafic réseau
envoyé aux systèmes principaux est acheminé
vers les autres interfaces réseau.
Valeur par défaut : aucune.
(Obligatoire) Spécifie une ou plusieurs
adresses IPv4 séparées par un espace des
serveurs de nom de domaine pour cette machine
virtuelle (exemple : 192.0.2.1 192.0.2.2). Vous
pouvez spécifier jusqu'à trois serveurs.
Par défaut, cette propriété n'est pas définie, ce
qui signifie que le système utilise le serveur DNS
associé à la carte réseau accessible sur Internet.
AVERTISSEMENT Si vous laissez cette option vide
et qu'aucun serveur DNS n'est associé à la carte
réseau accessible sur Internet, le dispositif ne sera
pas déployé correctement.
(Obligatoire) Spécifie le mot de passe de
l'utilisateur racine de cette machine virtuelle. Le
mot de passe doit être un mot de passe Linux
valide.
Valeur par défaut : aucune.
Si vous ne définissez pas ce mot de passe, vous
ne pourrez pas accéder à l'API REST sur le
dispositif Access Point.
Les mots de passe doivent contenir au moins
8 caractères, au moins une majuscule et une
minuscule, un chiffre et un caractère spécial, qui
inclut ! @ # $ % * ( ).
Valeur par défaut : aucune.
28 VMware, Inc.
Chapitre 2 Configuration système requise et déploiement
Tableau 2‑1. Options de déploiement d' Access Point (suite)
Propriété de
déploiementOption d'OVF ToolDescription
Paramètre
régional à utiliser
pour les
messages
localisés
URL du serveur
Syslog
URL du serveur
Horizon
Empreintes
numériques
d'Horizon Server
--prop:locale=locale-code
--prop:syslogUrl=url-of-syslog-server
--prop:proxyDestinationURL=URL
--prop:proxyDestinationURLThumbprints=
thumbprint-list
(Obligatoire) Spécifie le paramètre régional à
utiliser pour générer les messages d'erreur.
n
en_US pour l'anglais
n
ja_JP pour le japonais
n
fr_FR pour le français
n
de_DE pour l'allemand
n
zh_CN pour le chinois simplifié
n
zh_TW pour le chinois traditionnel
n
ko_KR pour le coréen
Valeur par défaut : en_US.
Spécifie le serveur Syslog utilisé pour journaliser
les événements Access Point.
Cette valeur peut être une URL, un nom d'hôte
ou une adresse IP. Le schéma et le numéro de
port sont facultatifs (exemple :
syslog://server.example.com:514).
Par défaut, cette propriété n'est pas définie, ce
qui signifie qu'aucun événement n'est journalisé
sur un serveur Syslog.
(Obligatoire) Spécifie l'URL de destination de
l'équilibrage de charge ou d'Horizon Server. Le
dispositif Access Point dirige le trafic vers le
serveur à cette destination.
L'URL de destination doit contenir le protocole,
le nom d'hôte ou l'adresse IP et le numéro de
port (exemple : https://loadbalancer.example.com:443)
Valeur par défaut : aucune.
Si vous ne fournissez pas une liste d'empreintes
numériques séparées par une virgule, les
certificats de serveur doivent être émis par une
autorité de certification approuvée.
Le format inclut l'algorithme (sha1 ou md5) et les
chiffres d'empreinte numérique hexadécimaux
(exemple : sha1=b6 77 dc 9c 19 94 2e f1 78 f0 ad 4b
ec 85 d1 7a f8 8b dc 34). Pour trouver ces
propriétés, accédez à l'URL d'Horizon Server,
cliquez sur l'icône de verrouillage dans la barre
d'adresses et affichez les détails du certificat.
Valeur par défaut : aucune.
Vous pouvez également utiliser la propriété settingsJSON pour spécifier d'autres paramètres de
configuration d'API REST à l'aide d'OVF Tool, comme pour configurer les URL externes des passerelles
sécurisées. Pour plus d'informations, reportez-vous à la section « Exemple d'utilisation de la propriété
settings.JSON », page 25.
VMware, Inc. 29
Déploiement et configuration d'Access Point
30 VMware, Inc.
Configuration d' Access Point3
Vous utilisez l'API REST Access Point pour configurer Access Point.
IMPORTANT Après le déploiement, la première tâche de configuration consiste à configurer l'horloge (UTC)
sur le dispositif Access Point pour qu'il soit à l'heure exacte. Par exemple, ouvrez une fenêtre de console sur
la machine virtuelle Access Point et utilisez les flèches pour sélectionner le bon fuseau horaire. De plus,
vérifiez que l'heure de l'hôte ESXi est synchronisée avec un serveur NTP et vérifiez que VMware Tools, qui
est exécuté dans la machine virtuelle de dispositif, synchronise l'heure sur la machine virtuelle avec l'heure
sur l'hôte ESXi. Utilisez vCenter Server, au lieu de l'API REST, pour cette tâche de configuration.
Ce chapitre aborde les rubriques suivantes :
« Utilisation de l'API REST Access Point », page 31
n
« Configuration de certificats TLS/SSL pour les dispositifs Access Point », page 40
n
« Configuration des passerelles sécurisées utilisées avec le service View Edge », page 44
n
Utilisation de l'API REST Access Point
Pour modifier ou ajouter des paramètres de configuration après avoir déployé le dispositif Access Point,
vous pouvez utiliser l'API REST Access Point ou déployer de nouveau le dispositif, à l'aide de différents
paramètres.
VMware, Inc.
La spécification de l'API REST Access Point est disponible à l'adresse suivante sur la machine virtuelle sur
laquelle Access Point est installé : https://access-point-appliance.example.com:9443/rest/swagger.yaml.
Vous pouvez utiliser n'importe quelle application cliente REST, telle que curl ou postman. Par exemple, la
commande suivante utilise un client curl pour récupérer la configuration d'Access Point :
Dans cet exemple, P@ssw0rd est le mot de passe de l'utilisateur administrateur et access-pointappliance.example.com est le nom de domaine complet du dispositif Access Point. Il est préférable, pour des
raisons de sécurité, d'omettre le mot de passe pour l'utilisateur administrateur de tous les scripts. Lorsque le
mot de passe est omis, la commande curl vous invite à le fournir et s'assure qu'aucun mot de passe n'est
stocké par mégarde dans les fichiers de script.
31
Déploiement et configuration d'Access Point
Utilisez également des demandes JSON pour appeler l'API REST Access Point et apporter des modifications
de configuration. L'exemple suivant indique une demande JSON de configuration pour le service View
Edge. Vous pouvez utiliser la méthode PUT pour cette demande :
Le type de service Edge configuré (identifier) et activé (enabled).
Définir identifier sur VIEW signifie qu'Access Point peut communiquer avec des serveurs qui utilisent
le protocole View XML, tels que le Serveur de connexion View, Horizon Air et Horizon Air Hybridmode. Définir identifier sur webreverseproxy signifie que vous pouvez utiliser le service Edge Web
Reverse Proxy, une fonctionnalité disponible avec Access Point 2.6. Par exemple, vous utilisez le service
Edge Web Reverse Proxy avec VMware Identity Manager.
n
L'adresse d'Horizon Server ou de l'équilibrage de charge (proxyDestinationUrl).
L'empreinte numérique du certificat de sécurité du Horizon server
n
(proxyDestinationUrlThumbprints).
Cet exemple indique également les paramètres suivants qui sont spécifiques au service View Edge :
Les paramètres pour activer PCoIP Secure Gateway, Blast Secure Gateway et Secure Tunnel Gateway.
n
Les URL externes pour PCoIP Secure Gateway, Blast Secure Gateway et Secure Tunnel Gateway.
n
n
Un paramètre pour activer HTML Access (proxyPattern).
REMARQUE Lorsque vous créez une demande JSON, fournissez le jeu complet de propriétés de cette
ressource. Un paramètre non spécifié dans l'appel JSON est réinitialisé sur la valeur par défaut. Vous
pouvez également commencer par récupérer les paramètres, puis modifier la chaîne JSON sur les nouvelles
valeurs.
Réinitialiser le mot de passe administrateur pour l'API REST Access Point
Si le mot de passe de l'utilisateur administrateur est inconnu, ou si des problèmes vous empêchent d'ouvrir
une session sur l'API REST pour réinitialiser le mot de passe, vous pouvez utiliser cette procédure pour
réinitialiser le mot de passe.
Prérequis
Vous devez posséder le mot de passe pour ouvrir une session sur la machine virtuelle en tant qu'utilisateur
racine.
32 VMware, Inc.
Chapitre 3 Configuration d' Access Point
Procédure
1Ouvrez une session sur le système d'exploitation du dispositif Access Point en tant qu'utilisateur racine.
Dans cet exemple, P@ssw0rd est un mot de passe qui contient au moins 8 caractères : une majuscule et
une minuscule, un chiffre et un caractère spécial, notamment ! @ # $ % * ( ).
Lorsque le serveur administrateur redémarre, il génère le message suivant dans le
fichier /opt/vmware/gateway/logs/admin.log : Successfully set initial settings from
firstboot.properties (Définition réussie des paramètres initiaux à partir de firstboot.properties).
Suivant
Vous pouvez maintenant ouvrir une session sur l'interface d'administration REST à l'aide du nom
d'utilisateur admin et du mot de passe que vous venez de définir (par exemple, P@ssw0rd).
Paramètres de configuration pour les paramètres système et les certificats de
serveur
Utilisez les propriétés de l'API REST d'Access Point pour configurer les certificats de sécurité, les protocoles
et les suites de chiffrement qui sont utilisés, configurer l'authentification par carte à puce, etc.
Vous pouvez utiliser les propriétés dans les tableaux suivants pour apporter des modifications de
configuration après le déploiement du dispositif Access Point, ou bien utiliser la propriété
--X:enableHiddenProperties=settingsJSON d'OVF Tool avec certaines de ces propriétés pour
configurer le dispositif au moment du déploiement. Pour plus d'informations sur l'utilisation d'Access Point
avec OVF Tool, reportez-vous à la section « Propriétés du déploiement d'Access Point », page 27.
Réglages système
Ces paramètres sont inclus dans la ressource SystemSettings. L'URL est
Dans cette URL, access-point-appliance.example.com est le nom de domaine complet du dispositif Access Point.
Tableau 3‑1. Propriétés de l'API REST pour la ressource SystemSettings
Propriété de l'API
RESTDescription et exempleValeur par défaut
adminPassword
cipherList
ssl30Enabled
tls10Enabled
tls11Enabled
tls12Enabled
Spécifie le mot de passe administrateur pour accéder
à l'API REST. Les mots de passe doivent contenir au
moins 8 caractères, au moins une majuscule et une
minuscule, un chiffre et un caractère spécial, qui
inclut ! @ # $ % * ( ).
Configure la liste de chiffrements pour limiter
l'utilisation de certains algorithmes cryptographiques
avant l'établissement d'une connexion TLS/SSL
cryptée. Ce paramètre est utilisé avec les paramètres
pour activer divers protocoles de sécurité.
Spécifie si le protocole de sécurité SSLv3.0 est activé.FAUX
Spécifie si le protocole de sécurité TLSv1.0 est activé.FAUX
Spécifie si le protocole de sécurité TLSv1.1 est activé.VRAI
Spécifie si le protocole de sécurité TLSv1.2 est activé.VRAI
(Non défini sauf si défini par l'assistant
de déploiement ou OVF Tool.)
Tableau 3‑1. Propriétés de l'API REST pour la ressource SystemSettings (suite)
Propriété de l'API
RESTDescription et exempleValeur par défaut
locale
syslogUrl
healthCheckUrl
quiesceMode
monitorInterval
Spécifie le paramètre régional à utiliser pour les
messages localisés.
n
n
n
n
n
n
n
Spécifie le serveur Syslog utilisé pour journaliser des
événements Access Point.
Cette valeur peut être une URL, un nom d'hôte ou
une adresse IP. Le schéma et le numéro de port sont
facultatifs (exemple : syslog://server.example.com:
514).
Spécifie l'URL à laquelle l'équilibrage de charge se
connecte et vérifie la santé d'Access Point.
Utilisez cette propriété pour suspendre ou modifier
un périphérique ou une application afin d'arriver à
un état cohérent.
Surveille l'intervalle nécessaire aux systèmes
principaux pour répondre à Access Point.
en_US
en_US pour l'anglais
ja_JP pour le japonais
fr_FR pour le français
de_DE pour l'allemand
zh_CN pour le chinois simplifié
zh_TW pour le chinois traditionnel
ko_KR pour le coréen
(Non défini sauf si défini par l'assistant
de déploiement ou OVF Tool.)
/favicon.ico qui est une valeur
graphique intégrée à Access Point.
FAUX
60 secondes
Certificat du serveur
Ces paramètres sont inclus dans la ressource ServerCertificate. L'URL est
Dans cette URL, access-point-appliance.example.com est le nom de domaine complet du dispositif Access Point.
Tableau 3‑2. Propriétés de l'API REST pour la ressource ServerCertificate
Propriété de l'API RESTDescription et exempleValeur par défaut
privateKeyPem
certChainPem
Spécifie la clé privée pour le certificat au format
PEM.
Spécifie la chaîne de certificats au format PEM.(Générée par le système)
(Générée par le système)
34 VMware, Inc.
Chapitre 3 Configuration d' Access Point
Paramètres de configuration pour les services Edge
En plus de spécifier des paramètres système, vous devez configurer le service Edge pour le type de rôle que
vous voulez pour Access Point. Par exemple, vous configurez le service View Edge pour utiliser
Access Point avec VMware Horizon 6, VMware Horizon 7 ou VMware Horizon Air Hybrid-Mode. Vous
configurez le service Web Reverse Proxy pour utiliser Access Point avec VMware Identity Manager.
Paramètres de service Edge communs à tous les types de services Edge
Les propriétés répertoriées dans le tableau suivant doivent être configurées quel que soit le type de service
Edge que vous configurez. Ces paramètres sont inclus dans la ressource EdgeServiceSettings. L'URL de
l'API REST est https://access-point-appliance.example.com:9443/rest/v1/config/edgeservice/edge-service-type.
Dans cette URL, access-point-appliance.example.com est le nom de domaine complet du dispositif Access Point.
REMARQUE Les propriétés de l'API REST pour la ressource sont génériques pour View et
VMware Identity Manager. Toutefois, les propriétés prises en charge spécifiques sont répertoriées dans les
rubriques pour View et les services Web Reverse Proxy exclusivement.
Tableau 3‑3. Propriétés de l'API REST pour la ressource EdgeServiceSettings
Propriété de l'API RESTDescription et exempleValeur par défaut
enabled
identifier
proxyDestinationUrl
Si elle est définie sur TRUE, spécifie que le
service Edge est activé.
Spécifie le type de service Edge. Les valeurs
suivantes sont valides pour la propriété :
n
VIEW utilise le service Edge pour les
serveurs qui utilisent le protocole View
XML. Ces serveurs peuvent comprendre
le Serveur de connexion View, qui est
inclus avec VMware Horizon 6 et
VMware Horizon 7, et des serveurs
utilisés avec VMware Horizon Air et
VMware Horizon Air Hybrid-mode.
n
webreverseproxy utilise le service Edge
Web Reverse Proxy. Ce service Edge
requiert Access Point 2.6. Utilisez ce
service Edge pour
VMware Identity Manager.
Spécifie l'URL du serveur VMware Horizon
ou de l'équilibrage de charge vers lequel le
dispositif Access Point dirige le trafic.
Cette URL doit contenir le protocole, le nom
d'hôte ou l'adresse IP et le numéro de port
(exemple : https://load-balancer.example.com:
443).
FAUX
aucune
aucune
VMware, Inc. 35
Déploiement et configuration d'Access Point
Tableau 3‑3. Propriétés de l'API REST pour la ressource EdgeServiceSettings (suite)
Propriété de l'API RESTDescription et exempleValeur par défaut
proxyDestinationUrlThumbprints
healthCheckUrl
unSecurePattern
authMethods
authCookie
Spécifie une liste d'empreintes numériques
aucune
d'Horizon Server. Si vous ne fournissez pas
une liste d'empreintes numériques séparées
par une virgule, les certificats de serveur
doivent être émis par une autorité de
certification approuvée.
Le format inclut l'algorithme (sha1 ou md5) et
les chiffres d'empreinte numérique au format
hexadécimal, par exemple sha1=b6 77 dc 9c 19
94 2e f1 78 f0 ad 4b ec 85 d1 7a f8 8b dc 34.
Pour trouver ces propriétés
Accédez à l'URL d'Horizon Server.
n
Cliquez sur l'icône de verrou dans la
n
barre d'adresse.
Affichez les détails du certificat.
n
Spécifie l'URL à laquelle l'équilibrage de
charge se connecte et vérifie la santé d'
Access Point.
Spécifie les chemins d'URI correspondants
/favicon.ico - valeur
graphique intégrée à
Access Point.
Aucune
qui sont transmis à l'URL de destination.
Spécifie le type d'authentification à utiliser.
Définissez cette propriété sur l'une des
valeurs suivantes, sauf si vous voulez utiliser
l'authentification directe :
n
sp-auth, la valeur par défaut, signifie
Par défaut, l'authentification est
transmise à Horizon Server, qui
peut être configuré pour le mot
de passe AD, RSA SecurID,
RADIUS ou SAML.
que l'authentification est transmise au
fournisseur de services (Horizon Server).
n
certificate-auth signifie que
l'authentification par carte à puce est
obligatoire.
n
certificate-auth || sp-auth signifie
que l'authentification par carte à puce est
facultative. Si aucune carte à puce n'est
utilisée, l'authentification directe est
utilisée.
n
radius-auth && sp-auth signifie que
l'authentification à deux facteurs RADIUS
est utilisée suivie de l'authentification
directe.
n
securid-auth && sp-auth signifie que
l'authentification RSA SecurID est utilisée
suivie de l'authentification directe.
n
saml-auth signifie que l'authentification
SAML est utilisée.
n
saml-auth || sp-auth signifie que
l'authentification SAML est facultative. Si
l'authentification SAML n'est pas utilisée,
l'authentification directe est utilisée.
Spécifie un nom de cookie d'authentification.Aucune
36 VMware, Inc.
Chapitre 3 Configuration d' Access Point
Paramètres du service Edge pour View
Ces paramètres sont inclus dans la ressource EdgeServiceSettings. Utilisez ce service Edge pour configurer
Access Point afin qu'il pointe vers un serveur qui utilise le protocole View XML, tel que le Serveur de
connexion View, Horizon Air ou Horizon Air Hybrid-mode. L'URL de l'API REST est https://access-point-appliance.example.com:9443/rest/v1/config/edgeservice/view Dans cette URL, access-point-appliance.example.com
est le nom de domaine complet du dispositif Access Point.
Tableau 3‑4. Propriétés de l'API REST pour la ressource EdgeServiceSettings pour View
Propriété de l'API RESTDescription et exempleValeur par défaut
tunnelEnabled
tunnelExternalUrl
pcoipEnabled
pcoipExternalUrl
blastEnabled
blastExternalUrl
Spécifie si le tunnel sécurisé View est activé.FAUX
REMARQUE Si vous utilisez
VMware OVF Tool pour
spécifier une valeur pour la
propriété
proxyDestinationUrl,
tunnelEnabled est défini sur
TRUE.
Spécifie une URL externe du dispositif
Access Point, que les clients utiliseront pour
les connexions par tunnel via View Secure
Gateway. Ce tunnel est utilisé pour le trafic
RDP, USB et de redirection multimédia
(MMR).
Spécifie si PCoIP Secure Gateway est activé.FAUX
Spécifie une URL externe du dispositif
Access Point, que les clients utiliseront pour
les connexions sécurisées via PCoIP Secure
Gateway. Cette connexion est utilisée pour le
trafic PCoIP.
Spécifie si Blast Secure Gateway est activé.FAUX
Spécifie une URL externe du dispositif
Access Point, qui permet aux utilisateurs
finaux d'établir des connexions sécurisées à
partir de leurs navigateurs Web via Blast
Secure Gateway. Cette connexion est utilisée
pour la fonctionnalité HTML Access.
https://appliance:443
(appliance est le nom de domaine
complet du dispositif
Access Point.)
REMARQUE Si vous utilisez
VMware OVF Tool pour
spécifier une valeur pour la
propriété
proxyDestinationUrl,
pcoipEnabled est défini sur
TRUE.
applianceIP:4172
(applianceIP est l'adresse IPv4 du
dispositif Access Point.)
REMARQUE Si vous utilisez
VMware OVF Tool pour
spécifier une valeur pour la
propriété
proxyDestinationUrl,
blastEnabled est défini sur
TRUE.
https://appliance:8443
(appliance est le nom de domaine
complet du dispositif
Access Point.)
VMware, Inc. 37
Déploiement et configuration d'Access Point
Tableau 3‑4. Propriétés de l'API REST pour la ressource EdgeServiceSettings pour View (suite)
Propriété de l'API RESTDescription et exempleValeur par défaut
proxyPattern
samlSP
matchWindowsUserName
gatewayLocation
windowsSSOEnabled
Spécifie l'expression régulière qui correspond
aux URI devant être transmis à l'URL du
serveur Horizon (proxyDestinationUrl). Pour
le Serveur de connexion View, une barre
oblique (/) est une valeur classique pour la
redirection vers le client Web HTML Access
lorsque vous utilisez le dispositif
Access Point.
Définissez cette propriété pour configurer
l'authentification par carte à puce. Reportezvous à la section Chapitre 5, « Configuration
de l'authentification par carte à puce »,
page 49.
Définissez cette propriété pour activer
securID-auth, puis faites correspondre les
noms d'utilisateur SecureID et Windows.
Identifie l'emplacement d'origine de la
demande de connexion. Le serveur de
sécurité et Access Point définissent
l'emplacement de la passerelle.
L'emplacement peut être externe ou interne.
Définissez cette propriété pour activer radiusauth. La connexion Windows utilise
maintenant les informations d'identification
utilisées dans la première demande d'accès
RADIUS réussie.
(/|/view-
client(.*)|/portal(.*))
aucune
FAUX
Externe
REMARQUE L'administrateur
peut remplacer cet emplacement
en fournissant la configuration
correcte.
FAUX
Paramètres du service Edge pour VMware Identity Manager Web Reverse Proxy
Ces paramètres sont inclus dans la ressource EdgeServiceSettings. Utilisez ce service Edge pour configurer
un proxy Web inverse pour VMware Identity Manager. Pour utiliser ce service Edge, vous devez disposer
d'Access Point 2.6.
L'URL de l'API REST est https://access-point-appliance.example.com:
9443/rest/v1/config/edgeservice/webreverseproxy. Dans cette URL, access-point-appliance.example.com est le
nom de domaine complet du dispositif Access Point.
Tableau 3‑5. Propriétés de l'API REST pour la ressource EdgeServiceSettings pour Web Reverse Proxy
pour vIDM
Propriété de l'API RESTDescription et exempleValeurs
enabled
identifier
proxyDestinationUrl
healthCheckUrl
proxyPattern
Spécifie si le service est activé dans
Access Point.
Spécifie le type de service Edge.Aucune
Spécifie l'URL des demandes de proxy que les
utilisateurs font à Access Point pour accéder à
un service. Par exemple, https://vidm-
server.example.com.
Spécifie l'URL à laquelle l'équilibrage de
charge se connecte et vérifie la santé d'
Access Point.
Spécifie les chemins d'URI correspondants
qui sont transmis à l'URL de destination.
Faux
Aucune
/favicon.ico - valeur
graphique intégrée à
Access Point.
(/|/SAAS(.*)|/hc(.*)|/web(
.*)|/catalog-portal(.*))
38 VMware, Inc.
Chapitre 3 Configuration d' Access Point
Tableau 3‑5. Propriétés de l'API REST pour la ressource EdgeServiceSettings pour Web Reverse Proxy
pour vIDM (suite)
Propriété de l'API RESTDescription et exempleValeurs
unSecurePattern
authCookie
loginRedirectURL
Spécifie un modèle d'URL non sécurisé pour
une page de connexion. Il s'agit de contenu
statique.
Spécifie un nom de cookie d'authentification.
Si l'utilisateur se connecte à une URL
protégée, il est redirigé.
/catalog-
portal(.*)|/|/SAAS/|/SAAS
|/SAAS/API/1.0/GET/image(.
*)|/SAAS/horizon/css(.*)
|/SAAS/horizon/angular(.*)
|/SAAS/horizon/js(.*)|/SAA
S/horizon/js-
lib(.*)|/SAAS/auth/login(.
*)|/SAAS/jersey/manager/ap
i/branding|/SAAS/horizon/i
mages/(.*)|/SAAS/jersey/ma
nager/api/images/(.*)|/h
c/(.*)/authenticate/(.*)
|/hc/static/(.*)|/SAAS/aut
h/saml/response|/SAAS/aut
h/authenticatedUserDispatc
her|/web(.*)|/SAAS/app
s/|/SAAS/horizon/portal/(.
*)|/SAAS/horizon/fonts(.*)
|/SAAS/API/1.0/POST/sso(.*
)|/SAAS/API/1.0/REST/syste
m/info(.*)|/SAAS/API/1.0/R
EST/auth/cert(.*)|/SAAS/AP
I/1.0/REST/oauth2/activat
e(.*)|/SAAS/API/1.0/GET/us
er/devices/register(.*)|/S
AAS/API/1.0/oauth2/token(.
)|/SAAS/API/1.0/REST/oauth
2/session(.*)|/SAAS/API/1.
0/REST/user/resources(.*)
|/hc/t/(.* )/(.*)/authenti
cate(.*)|/SAAS/API/1.0/RES
T/auth/logout(.*)|/SAAS/au
th/saml/response(.*)|/SAA
S/(.*)/(.*)auth/login(.*)
|/SAAS/API/1.0/GET/apps/la
unch(.*)|/SAAS/API/1.0/RES
T/user/applications(.*)|/S
AAS/auth/federation/sso(.*
)|/SAAS/auth/oauth2/author
ize(.*)|/hc/prepareSaml/fa
ilure(.*)|/SAAS/auth/oauth
token(.*)|/SAAS/API/1.0/GE
T/metadata/idp.xml|/SAAS/a
uth/saml/artifact/resolve(
.*)|/hc/(.*)/authAdapter(.
*)|/hc/authenticate/(.*)
|/SAAS/auth/logout|/SAAS/c
ommon.js|/SAAS/auth/launch
Input(.*)|/SAAS/launchUser
sApplication.do(.*)|/hc/AP
I/1.0/REST/thinapp/downloa
d(.*)|/hc/t/(.*)/(.*)/logo
ut(.*))
HZN
/SAAS/auth/login?dest=%s
VMware, Inc. 39
Déploiement et configuration d'Access Point
Configuration de certificats TLS/SSL pour les dispositifs Access Point
TLS/SSL est requis pour les connexions client à des dispositifs Access Point. Les dispositifs face au client
Access Point et les serveurs intermédiaires qui mettent fin aux connexions TLS/SSL requièrent des certificats
de serveur TLS/SSL.
Les certificats de serveur TLS/SSL sont signés par une autorité de certification. Une autorité de certification
est une entité approuvée qui garantit l'identité du certificat et de son créateur. Lorsque le certificat est signé
par une autorité de certification approuvée, les utilisateurs ne reçoivent plus de messages leur demandant
de vérifier le certificat, et les périphériques de client léger peuvent se connecter sans demander de
configuration supplémentaire.
Un certificat de serveur TLS/SSL par défaut est généré lorsque vous déployez un dispositif Access Point.
Pour les environnements de production, VMware vous recommande fortement de remplacer le certificat par
défaut dès que possible. Le certificat par défaut n'est pas signé par une autorité de certification approuvée.
Utilisez le certificat par défaut uniquement dans un environnement hors production.
Sélection du type de certificat correct
Vous pouvez utiliser divers types de certificats TLS/SSL avec Access Point. La sélection du type de certificat
correct pour votre déploiement est cruciale. Les types de certificat ont des coûts différents, en fonction du
nombre de serveurs sur lesquels ils peuvent être utilisés.
Suivez les recommandations de sécurité de VMware en utilisant des noms de domaine complets (FQDN)
pour vos certificats, quel que soit le type que vous sélectionnez. N'utilisez pas un nom de serveur simple ou
une adresse IP, même pour les communications effectuées à l'intérieur de votre domaine interne.
Certificat de nom de serveur unique
Vous pouvez générer un certificat avec un nom d'objet pour un serveur spécifique. Par exemple :
dept.example.com.
Ce type de certificat est utile si, par exemple, un seul dispositif Access Point a besoin d'un certificat.
Lorsque vous soumettez une demande de signature de certificat à une autorité de certification, vous
fournissez le nom de serveur qui sera associé au certificat. Vérifiez que le dispositif Access Point peut
résoudre le nom de serveur que vous fournissez pour qu'il corresponde au nom associé au certificat.
Autres noms de l'objet
Un autre nom de l'objet (SAN) est un attribut pouvant être ajouté à un certificat lors de son émission. Vous
utilisez cet attribut pour ajouter des noms d'objet (URL) à un certificat pour qu'il puisse valider plusieurs
serveurs.
Par exemple, trois certificats peuvent être émis pour les dispositifs Access Point qui se trouvent derrière un
équilibrage de charge : ap1.example.com, ap2.example.com et ap3.example.com. En ajoutant un autre nom de
l'objet qui représente le nom d'hôte de l'équilibrage de charge, tel que horizon.example.com dans cet
exemple, le certificat sera valide, car il correspondra au nom d'hôte spécifié par le client.
Certificat de caractère générique
Un certificat de caractère générique est généré pour pouvoir être utilisé pour plusieurs services. Par
exemple : *.example.com.
40 VMware, Inc.
Chapitre 3 Configuration d' Access Point
Un certificat de caractère générique est utile si plusieurs serveurs ont besoin d'un certificat. Si d'autres
applications dans votre environnement en plus des dispositifs Access Point ont besoin de certificats
TLS/SSL, vous pouvez utiliser un certificat de caractère générique pour ces serveurs. Toutefois, si vous
utilisez un certificat de caractère générique partagé avec d'autres services, la sécurité du produit
VMware Horizon dépend également de la sécurité de ces autres services.
REMARQUE Vous ne pouvez utiliser un certificat de caractère générique que sur un seul niveau de domaine.
Par exemple, un certificat de caractère générique avec le nom d'objet *.example.com peut être utilisé pour le
sous-domaine dept.example.com, mais pas dept.it.example.com.
Les certificats que vous importez dans le dispositif Access Point doivent être approuvés par des machines
clientes et doivent également être applicables à toutes les instances d'Access Point et à tout équilibrage de
charge, en utilisant des certificats de caractère générique ou des certificats avec l'autre nom de l'objet (SAN).
Convertir des fichiers de certificat au format PEM sur une ligne
Pour utiliser l'API REST Access Point afin de configurer des paramètres de certificat, ou pour utiliser les
scripts PowerShell, vous devez convertir le certificat en fichiers au format PEM pour la chaîne de certificats
et la clé privée, et vous devez ensuite convertir les fichiers .pem en un format sur une seule ligne qui inclut
des caractères de saut de ligne intégrés.
Lors de la configuration d'Access Point, vous pouvez avoir à convertir trois types possibles de certificat.
Vous devez toujours installer et configurer un certificat de serveur TLS/SSL pour le dispositif
n
Access Point.
Si vous prévoyez d'utiliser l'authentification par carte à puce, vous devez installer et configurer le
n
certificat de l'émetteur d'autorité de certification approuvée pour le certificat qui sera placé sur la carte à
puce.
Si vous prévoyez d'utiliser l'authentification par carte à puce, VMware vous recommande d'installer et
n
de configurer un certificat racine pour l'autorité de certification de signature pour le certificat du
serveur SAML installé sur le dispositif Access Point.
Pour tous ces types de certificats, vous effectuez la même procédure pour convertir le certificat en un fichier
au format PEM qui contient la chaîne de certificats. Pour les certificats de serveur TLS/SSL et les certificats
racine, vous convertissez également chaque fichier en un fichier PEM qui contient la clé privée. Vous devez
ensuite convertir chaque fichier .pem en un format sur une seule ligne pouvant être transmis dans une
chaîne JSON à l'API REST Access Point.
Prérequis
Vérifiez que vous disposez du fichier de certificat. Le fichier peut être au format PKCS#12 (.p12
n
ou .pfx) ou au format Java JKS ou JCEKS.
Familiarisez-vous avec l'outil de ligne de commande openssl que vous utiliserez pour convertir le
n
certificat. Reportez-vous à la section https://www.openssl.org/docs/apps/openssl.html.
Si le certificat est au format Java JKS ou JCEKS, familiarisez-vous avec l'outil de ligne de commande
n
keytool de Java pour d'abord convertir le certificat au format .p12 ou .pks avant de convertir en
fichiers .pem.
Procédure
1Si votre certificat est au format Java JKS ou JCEKS, utilisez keytool pour convertir le certificat au
format .p12 ou .pks.
IMPORTANT Utilisez le même mot de passe source et de destination lors de cette conversion.
VMware, Inc. 41
Déploiement et configuration d'Access Point
2Si votre certificat est au format PKCS#12 (.p12 ou .pfx), ou après la conversion du certificat au format
PKCS#12, utilisez openssl pour convertir le certificat en fichiers .pem.
Par exemple, si le nom du certificat est mycaservercert.pfx, utilisez les commandes suivantes pour
convertir le certificat :
Dans cet exemple, cert-name.pem est le nom du fichier de certificat.
Le nouveau format place toutes les informations de certificat sur une seule ligne avec des caractères de
saut de ligne intégrés. Si vous disposez d'un certificat intermédiaire, convertissez ce certificat en format
sur une seule ligne et ajoutez-le au premier certificat pour que les deux se trouvent sur la même ligne.
Vous pouvez maintenant configurer des certificats pour Access Point à l'aide de ces fichiers .pem avec les
scripts PowerShell joints à l'article de blog « Using PowerShell to Deploy VMware Access Point »
(Utilisation de PowerShell pour déployer VMware Access Point), disponible sur la
pagehttps://communities.vmware.com/docs/DOC-30835. Vous pouvez également créer et utiliser une
demande JSON pour configurer le certificat.
Suivant
Si vous avez converti un certificat de serveur TLS/SSL, reportez-vous à la section « Remplacer le certificat de
serveur TLS/SSL par défaut pour Access Point », page 42. Pour les certificats de carte à puce, reportez-vous
à la section Chapitre 5, « Configuration de l'authentification par carte à puce », page 49.
Remplacer le certificat de serveur TLS/SSL par défaut pour Access Point
Pour stocker un certificat de serveur TLS/SSL signé par une autorité de certification approuvée sur le
dispositif Access Point, vous devez convertir le certificat au bon format et utiliser des scripts PowerShell ou
l'API REST Access Point pour configurer le certificat.
Pour les environnements de production, VMware vous recommande fortement de remplacer le certificat par
défaut dès que possible. Le certificat de serveur TLS/SSL par défaut qui est généré lorsque vous déployez un
dispositif Access Point n'est pas signé par une autorité de certification approuvée.
IMPORTANT Utilisez également cette procédure pour remplacer périodiquement un certificat qui a été signé
par une autorité de certification approuvée avant que le certificat expire, ce qui peut se produire tous les
deux ans.
Cette procédure décrit comment utiliser l'API REST pour remplacer le certificat. Une méthode plus facile
consiste à utiliser les scripts PowerShell joints à l'article de blog « Using PowerShell to Deploy VMware
Access Point » (Utilisation de PowerShell pour déployer VMware Access Point) disponible sur la page
https://communities.vmware.com/docs/DOC-30835. Si vous avez déjà déployé le dispositif Access Point
nommé, exécuter de nouveau le script mettra le dispositif hors tension, le supprimera et le redéploiera avec
les paramètres actuels que vous spécifiez.
42 VMware, Inc.
Chapitre 3 Configuration d' Access Point
Prérequis
Sauf si vous disposez déjà d'un certificat de serveur TLS/SSL valide et de sa clé privée, obtenez un
n
nouveau certificat signé auprès d'une autorité de certification. Lorsque vous générez une demande de
signature de certificat (CSR) pour obtenir un certificat, vérifiez qu'une clé privée est également générée.
Ne générez pas de certificats pour des serveurs à l'aide d'une valeur KeyLength inférieure à 1 024.
Pour générer la CSR, vous devez connaître le nom de domaine complet (FQDN) que les périphériques
client utiliseront pour se connecter au dispositif Access Point, ainsi que l'unité d'organisation,
l'entreprise, la ville, l'état et le pays pour remplir le nom de l'objet.
Convertissez le certificat en fichiers au format PEM et convertissez les fichiers .pem au format sur une
n
seule ligne. Reportez-vous à la section « Convertir des fichiers de certificat au format PEM sur une
ligne », page 41.
Familiarisez-vous avec l'API REST Access Point. La spécification de cette API est disponible à l'adresse
n
suivante sur la machine virtuelle sur laquelle Access Point est installé : https://access-point-
appliance.example.com:9443/rest/swagger.yaml.
Procédure
1Créez une demande JSON pour soumettre le certificat au dispositif Access Point.
Dans cet exemple, les valeurs string sont les valeurs PEM sur une seule ligne JSON que vous avez créées
comme décrit dans les conditions préalables.
2Utilisez un client REST, tel que curl ou postman, pour utiliser la demande JSON afin d'appeler l'API
REST Access Point et stocker le certificat et la clé sur le dispositif Access Point.
L'exemple suivant utilise une commande curl. Dans l'exemple, access-point-appliance.example.com est le
nom de domaine complet du dispositif Access Point et cert.json est la demande JSON que vous avez
créée à l'étape précédente.
Si l'autorité de certification qui a signé le certificat n'est pas reconnue, configurez les clients pour qu'ils
approuvent les certificats racine et intermédiaires.
Modifier les protocoles de sécurité et les suites de chiffrement utilisés pour la
communication TLS/SSL
Même si, dans quasiment tous les cas, les paramètres par défaut n'ont pas à être modifiés, vous pouvez
configurer les protocoles de sécurité et les algorithmes cryptographiques qui sont utilisés pour crypter les
communications entre les clients et le dispositif Access Point.
Le paramètre par défaut inclut des suites de chiffrement qui utilisent le chiffrement AES sur 128 bits ou
256 bits, à l'exception des algorithmes DH anonymes, et les trie par niveau de sécurité. Par défaut, TLS v1.1
et TLS v1.2 sont activés. (TLS v1.0 et SSL v3.0 sont désactivés.)
Prérequis
Familiarisez-vous avec l'API REST Access Point. La spécification de cette API est disponible à l'adresse
n
suivante sur la machine virtuelle sur laquelle Access Point est installé : https://access-point-
appliance.example.com:9443/rest/swagger.yaml.
VMware, Inc. 43
Déploiement et configuration d'Access Point
Familiarisez-vous avec les propriétés spécifiques relatives à la configuration des suites de chiffrement et
n
des protocoles : cipherSuites, ssl30Enabled, tls10Enabled, tls11Enabled et tls12Enabled.
Reportez-vous à la section « Paramètres de configuration pour les paramètres système et les certificats
de serveur », page 33.
Procédure
1Créez une demande JSON pour spécifier les protocoles et les suites de chiffrement à utiliser.
2Utilisez un client REST, tel que curl ou postman, pour utiliser la demande JSON afin d'appeler l'API
REST Access Point et configurer les protocoles et les suites de chiffrement.
L'exemple suivant utilise une commande curl. Dans l'exemple, access-point-appliance.example.com est le
nom de domaine complet du dispositif Access Point et ciphers.json est la demande JSON que vous avez
créée à l'étape précédente.
Les suites de chiffrement et les protocoles que vous avez spécifiés sont utilisés.
Configuration des passerelles sécurisées utilisées avec le service
View Edge
Pour un déploiement de View, le tunnel sécurisé, PCoIP Secure Gateway et Blast Secure Gateway sont tous
activés par défaut sur le dispositif Access Point. Les URL externes doivent être définies sur des valeurs
pouvant être utilisées par des clients Horizon distants pour se connecter au dispositif Access Point pour la
connexion par tunnel, la connexion PCoIP et la connexion Blast, respectivement.
Tableau 3‑6. Exemples de paramètres de passerelle sécurisée
Type de passerelle
sécuriséeNom de propriétéExemple de paramètre
Tunnel sécurisé
PCoIP Secure Gateway
Blast Secure Gateway
Ces propriétés sont décrites plus en détails dans « Paramètres de configuration pour les services Edge »,
page 35, dans la section « Paramètres du service Edge pour View ».
L'URL externe PCoIP doit utiliser une adresse IPv4. Les autres URL peuvent utiliser une adresse IP ou un
nom d'hôte pouvant être résolu par le client sur le réseau externe, qui est généralement Internet. Ces
adresses externes sont utilisées uniquement par les clients. La connexion depuis le client pour les trois URL
doit se diriger vers le dispositif Access Point spécifique et elle ne doit pas être à équilibrage de charge. Dans
un environnement NAT, les adresses doivent être les adresses externes et non les adresses NAT internes.
tunnelExternalUrlhttps://ap1.example.com:443
pcoipExternalUrl10.20.30.40:4172
blastExternalUrlhttps://ap1.example.com:443
44 VMware, Inc.
Chapitre 3 Configuration d' Access Point
L'exemple suivant indique une demande JSON de configuration qui comporte ces propriétés.:
Dans cette URL, access-point-appliance.example.com est le nom de domaine complet du dispositif Access Point.
VMware vous recommande de configurer ces paramètres au moment du déploiement, en utilisant les scripts
PowerShell joints à l'article de blog « Using PowerShell to Deploy VMware Access Point » (Utilisation de
PowerShell pour déployer VMware Access Point), disponible sur la page
https://communities.vmware.com/docs/DOC-30835. Vous pouvez également configurer ces paramètres en
utilisant directement VMware OVF Tool. Pour voir un exemple, reportez-vous à la section « Utilisation de
VMware OVF Tool pour déployer le dispositif Access Point », page 23.
VMware, Inc. 45
Déploiement et configuration d'Access Point
46 VMware, Inc.
Collecte de journaux depuis le
dispositif Access Point4
Vous pouvez entrer une URL dans un navigateur afin d'obtenir un fichier ZIP qui contient des journaux
depuis votre dispositif Access Point.
Utilisez l'URL suivante pour collecter des journaux depuis votre dispositif Access Point.
Dans cet exemple, access-point-appliance.example.com est le nom de domaine complet du dispositif
Access Point.
Ces fichiers journaux sont collectés depuis le répertoire /opt/vmware/gateway/logs sur le dispositif.
Les tableaux suivants contiennent des descriptions des divers fichiers inclus dans le fichier ZIP.
Tableau 4‑1. Fichiers qui contiennent des informations système pour faciliter le dépannage
Nom de fichierDescription
df.log
netstat.log
ap_config.json
ps.log
ifconfig.log
free.log
Contient des informations sur l'utilisation de l'espace disque.
Contient des informations sur les connexions réseau.
Contient les paramètres de configuration actuels du dispositif Access Point.
Inclut une liste de processus.
Contient des informations sur les interfaces réseau.
Contient des informations sur l'utilisation de la mémoire.
Tableau 4‑2. Fichiers journaux d' Access Point
Nom de fichierDescription
esmanager.log
authbroker.log
admin.log
admin-zookeeper.log
tunnel.log
VMware, Inc. 47
Contient des messages de journal du processus Edge Service Manager, qui écoute sur les
ports 443 et 80.
Contient des messages de journal du processus AuthBroker, qui gère des adaptateurs
d'authentification.
Contient des messages de journal du processus qui fournit l'API REST Access Point sur le
port 9443.
Contient des messages de journal liés à la couche de données utilisée pour stocker des
informations de configuration d'Access Point.
Contient des messages de journal du processus de tunnel utilisé dans le cadre du traitement
API XML.
Déploiement et configuration d'Access Point
Tableau 4‑2. Fichiers journaux d' Access Point (suite)
Nom de fichierDescription
bsg.log
SecurityGateway_*.log
Les fichiers journaux qui se terminent par « -std-out.log » contiennent les informations écrites sur stdout
de divers processus et il s'agit généralement de fichiers vides.
Contient des messages de journal de Blast Secure Gateway.
Contient des messages de journal de PCoIP Secure Gateway.
48 VMware, Inc.
Configuration de l'authentification
par carte à puce5
Par défaut, Access Point utilise l'authentification directe pour que les utilisateurs puissent entrer leurs
informations d'identification Active Directory, et ces informations d'identification sont envoyées via un
système principal pour authentification. Toutefois, vous pouvez configurer le dispositif Access Point pour
effectuer l'authentification par carte à puce.
Avec l'authentification par carte à puce, un utilisateur ou un administrateur insère une carte à puce dans un
lecteur de carte à puce connecté à l'ordinateur client et entre un code PIN. L'authentification par carte à puce
fournit une authentification à deux facteurs en vérifiant à la fois ce que la personne a (la carte à puce) et ce
qu'elle sait (le code PIN). Les utilisateurs finaux peuvent utiliser des cartes à puce pour ouvrir une session
sur un système d'exploitation de poste de travail View distant et pour les applications compatibles pour une
carte à puce, telles qu'une application de messagerie électronique qui utilise le certificat pour signer des emails afin de prouver l'identité de l'expéditeur.
Avec cette fonctionnalité, l'authentification de certificat par carte à puce est effectuée avec Access Point et
Access Point communique des informations sur le certificat X.509 de l'utilisateur final et sur le code PIN de
carte à puce à Horizon Server à l'aide d'une assertion SAML.
Vous pouvez également configurer l'authentification afin qu'Access Point requière l'authentification par
carte à puce, mais l'authentification est alors également transmise à Horizon Server, ce qui peut nécessiter
l'authentification Active Directory. Pour configurer ce type d'authentification chaînée, voir la propriété
authMethods, décrite dans la section « Paramètres de configuration pour les services Edge », page 35.
VMware, Inc.
REMARQUE Pour VMware Identity Manager, l'authentification est toujours transmise uniquement via Access
Point à VMware Identity Manager. Vous pouvez configurer l'authentification par carte à puce pour qu'elle
soit exécutée sur le dispositif Access Point uniquement si Access Point est utilisé avec Horizon 6 ou
Horizon 7.
Ce chapitre aborde les rubriques suivantes :
« Générer des métadonnées SAML Access Point », page 50
n
« Création d'un authentificateur SAML pour le Serveur de connexion View », page 51
n
« Copier les métadonnées SAML du fournisseur de services sur Access Point », page 55
n
« Obtenir des certificats d'autorités de certification », page 56
n
« Configurer des paramètres de carte à puce sur le dispositif Access Point », page 57
n
49
Déploiement et configuration d'Access Point
Générer des métadonnées SAML Access Point
Vous devez générer des métadonnées SAML sur le dispositif Access Point et échanger des métadonnées
avec Horizon Server afin d'établir l'approbation mutuelle requise pour l'authentification par carte à puce.
Le langage SAML (Security Assertion Markup Language) est une norme XML utilisée pour décrire et
échanger des informations d'authentification et d'autorisation entre différents domaines de sécurité. SAML
transmet des informations sur les utilisateurs entre les fournisseurs d'identité et les fournisseurs de services
dans des documents XML nommés assertions SAML. Dans ce scénario, Access Point est le fournisseur
d'identité et Horizon Server est le fournisseur de services.
Dans cette procédure, vous générez des métadonnées SAML Access Point à l'aide de l'API REST
Access Point. Les rubriques connexes décrivent comment copier ces métadonnées SAML générées sur le
serveur Horizon Server applicable.
Prérequis
Configurez l'horloge (UTC) sur le dispositif Access Point pour qu'il soit à l'heure exacte. Par exemple,
n
ouvrez une fenêtre de console sur la machine virtuelle Access Point et utilisez les flèches pour
sélectionner le bon fuseau horaire. De plus, vérifiez que l'heure de l'hôte ESXi est synchronisée avec un
serveur NTP et vérifiez que VMware Tools, qui est exécuté dans la machine virtuelle de dispositif,
synchronise l'heure sur la machine virtuelle avec l'heure sur l'hôte ESXi.
IMPORTANT Si l'heure sur le dispositif Access Point ne correspond pas à l'heure sur l'hôte Horizon
Server, il est possible que l'authentification par carte à puce ne fonctionne pas.
Obtenez un certificat de signature SAML que vous pouvez utiliser pour signer les métadonnées
n
Access Point.
REMARQUE VMware vous recommande de créer et d'utiliser un certificat de signature SAML spécifique
lorsque vous avez plusieurs dispositifs Access Point dans votre configuration. Dans ce cas, tous les
dispositifs doivent être configurés avec le même certificat de signature pour qu'Horizon Server puisse
accepter les assertions de n'importe quel dispositif Access Point. Avec un certificat de signature SAML
spécifique, les métadonnées SAML de tous les dispositifs sont les mêmes.
Si vous ne l'avez pas déjà fait, convertissez le certificat de signature SAML en fichiers au format PEM et
n
convertissez les fichiers .pem au format sur une seule ligne. Reportez-vous à la section « Convertir des
fichiers de certificat au format PEM sur une ligne », page 41.
Procédure
1Créez une demande JSON pour générer les métadonnées SAML pour le dispositif Access Point.
Si vous ne disposez pas d'un certificat de signature SAML pour le dispositif Access Point, le corps
n
de la demande JSON est représenté par des accolades vides :
{}
Si vous disposez d'un certificat de signature SAML, utilisez la syntaxe suivante :
Dans cet exemple, les valeurs string sont les valeurs PEM sur une seule ligne JSON que vous avez
créées comme décrit dans les conditions préalables.
50 VMware, Inc.
Chapitre 5 Configuration de l'authentification par carte à puce
2Utilisez un client REST, tel que curl ou postman, pour utiliser la demande JSON afin d'appeler l'API
REST Access Point et générer les métadonnées Access Point.
L'exemple suivant utilise une commande curl. Dans l'exemple, access-point-appliance.example.com est le
nom de domaine complet du dispositif Access Point et ap-metadata.json est la demande JSON que vous
avez créée à l'étape précédente.
Utilisez les métadonnées SAML Access Point copiées pour créer un authentificateur SAML sur le serveur
Horizon Server applicable.
Pour un serveur Horizon 6, reportez-vous à la section « Créer un authentificateur SAML sur le Serveur
n
de connexion View 6.2 », page 53.
Pour un serveur Horizon 7, reportez-vous à la section « Créer un authentificateur SAML sur un Serveur
n
de connexion Horizon 7 », page 51.
Création d'un authentificateur SAML pour le Serveur de connexion
View
Le processus de création d'un authentificateur pour des serveurs Horizon 6 est différent du processus pour
les serveurs Horizon 7.
En général, le processus implique de coller des métadonnées SAML Access Point dans le bon paramètre de
configuration sur l'instance du Serveur de connexion View, puis d'étendre la période d'expiration des
métadonnées.
Créer un authentificateur SAML sur un Serveur de connexion Horizon 7
Pour les serveurs Horizon 7, vous pouvez utiliser l'interface utilisateur de View Administrator pour créer un
authentificateur SAML manuel. Vous copiez les métadonnées SAML générées sur Access Point et vous
collez le texte dans la zone de texte Métadonnées SAML dans l'interface utilisateur de View Administrator.
Vous associez un authentificateur SAML Access Point à une instance du Serveur de connexion View. Si
votre déploiement inclut plusieurs instances du Serveur de connexion View, vous devez associer
l'authentificateur SAML à chaque instance.
REMARQUE Si vous devez créer un authentificateur SAML sur un serveur Horizon 6, reportez-vous à la
section « Créer un authentificateur SAML sur le Serveur de connexion View 6.2 », page 53.
Prérequis
Vérifiez que le certificat racine de l'autorité de certification de signature pour le certificat du serveur
n
SAML est installé sur l'hôte du serveur de connexion. VMware recommande de ne pas configurer
d'authentificateurs SAML pour utiliser des certificats auto-signés. Pour plus d'informations sur
l'authentification des certificats, reportez-vous au document Installation de View.
Générez des métadonnées SAML sur le dispositif Access Point et copiez-les. Reportez-vous à la section
n
« Générer des métadonnées SAML Access Point », page 50
2Dans l'onglet Serveurs de connexion, sélectionnez une instance du serveur à associer à
l'authentificateur SAML et cliquez sur Modifier.
3Dans l'onglet Authentification, sélectionnez un paramètre dans le menu déroulantDélégation de
l'authentification à VMware Horizon (authentificateur SAML 2.0) pour activer ou désactiver
l'authentificateur SAML.
OptionDescription
Désactivé
Autorisé
Requis
Vous pouvez configurer chaque instance du Serveur de connexion View dans votre déploiement pour
disposer de paramètres d'authentification SAML différents, adaptés à vos exigences.
4Cliquez sur Gérer des authentificateurs SAML, puis sur Ajouter.
L'authentification SAML est désactivée. Vous ne pouvez lancer des
applications et des postes de travail distants qu'à partir d'Horizon Client.
L'authentification SAML est activée, mais pas requise.
L'authentification SAML est activée. Vous pouvez utiliser des cartes à puce
lors du lancement d'applications et de postes de travail distants
uniquement via des connexions à Access Point.
5Pour Type, sélectionnez Statique et configurez l'authentificateur SAML dans la boîte de dialogue
Ajouter un authentificateur SAML 2.0.
OptionDescription
Étiquette
Description
Métadonnées SAML
Activé pour le Serveur de
connexion
Nom unique qui identifie l'authentificateur SAML.
Brève description de l'authentificateur SAML. Cette valeur est facultative.
Texte des métadonnées que vous avez générées et copiées depuis le
dispositif Access Point.
Cochez cette case pour activer l'authentificateur. Vous pouvez activer
plusieurs authentificateurs. Seuls les authentificateurs activés sont affichés
dans la liste.
6Cliquez sur OK pour enregistrer la configuration de l'authentificateur SAML.
Si vous avez fourni des informations valides, vous devez accepter le certificat auto-signé (non
recommandé) ou utiliser un certificat approuvé pour View et Access Point.
La boîte de dialogue Gérer des authentificateurs SAML affiche l'authentificateur récemment créé.
7Dans la section Intégrité du système du tableau de bord de View Administrator, sélectionnez Autres
composants > Authentificateurs SAML 2.0, sélectionnez l'authentificateur SAML que vous avez ajouté,
puis vérifiez les détails.
Si la configuration aboutit, la santé de l'authentificateur est représentée par la couleur verte. La santé de
l'authentificateur peut s'afficher en rouge si le certificat n'est pas approuvé, si Access Point n'est pas
disponible ou si l'URL des métadonnées n'est pas valide. Si le certificat n'est pas approuvé, vous
pourrez peut-être cliquer sur Vérifier pour valider et accepter le certificat.
Suivant
Étendez la période d'expiration des métadonnées du Serveur de connexion View pour que les sessions à
distance ne se terminent pas après seulement 24 heures. Reportez-vous à la section « Modifier la période
d'expiration des métadonnées du fournisseur de services sur le Serveur de connexion View », page 54.
52 VMware, Inc.
Chapitre 5 Configuration de l'authentification par carte à puce
Créer un authentificateur SAML sur le Serveur de connexion View 6.2
Pour les serveurs Horizon 6 version 6.2, vous devez créer un authentificateur SAML manuel dans le Serveur
de connexion View. Vous copiez les métadonnées SAML générées sur Access Point et utilisez l'utilitaire
Éditeur ADSI sur l'hôte du Serveur de connexion View pour modifier View LDAP et le coller dans les
métadonnées. Vous modifiez également View LDAP pour modifier la période d'expiration des assertions
SAML.
Si vous ne modifiez pas la période d'expiration, le Serveur de connexion View cessera d'accepter les
assertions SAML de l'authentificateur SAML, tel qu'Access Point ou un fournisseur d'identité tiers, après
24 heures, et l'échange de métadonnées doit être répété. Suivez cette procédure pour indiquer le délai en
jours après lequel le Serveur de connexion View arrête d'accepter les assertions SAML du fournisseur
d'identité. Cette valeur est utilisée à la fin de la période d'expiration actuelle. Par exemple, si la période
d'expiration actuelle est d'un jour et que vous indiquez 90 jours, lorsque le délai d'un jour est écoulé, le
Serveur de connexion View génère des métadonnées avec une période d'expiration de 90 jours.
REMARQUE Cette procédure fournit des instructions pour créer l'authentificateur SAML et modifier la
période d'expiration si vous utilisez des serveurs Horizon 6. Pour les serveurs Horizon 6, vous devez
modifier View LDAP. Pour les fonctionnalités d'Horizon 7, vous pouvez plutôt utiliser une page dans
l'interface utilisateur de View Administrator. Pour plus d'informations, reportez-vous à la section « Créer un
authentificateur SAML sur un Serveur de connexion Horizon 7 », page 51.
Prérequis
Pour plus d'informations sur l'utilisation de l'utilitaire ADSI Edit sur votre version du système
d'exploitation Windows, consultez le site Web Microsoft TechNet.
Procédure
1Démarrez l'utilitaire Éditeur ADSI sur votre hôte du Serveur de connexion View 6.2.
2Dans l'arborescence de la console, sélectionnez Se connecter à.
3Dans la zone de texte Sélectionnez ou entrez un nom unique ou un contexte d'attribution de noms,
tapez le nom unique DC=vdi, DC=vmware, DC=int.
4Dans le volet Ordinateur, sélectionnez ou tapez localhost:389 ou le nom de domaine complet du
Serveur de connexion View, suivi du port 389.
Par exemple : localhost:389 ou mycomputer.example.com:389
5Développez l'arborescence d'ADSI Edit, développez OU=Properties, cliquez avec le bouton droit sur
OU=Authenticator et sélectionnez Nouveau > Objet.
6Dans l'assistant Créer un objet, sélectionnez pae-SAMLAuthenticator et cliquez sur Suivant.
7Dans la zone de texte Valeur, entrez un nom, comme ap pour Access Point, cliquez sur Suivant, puis
sur Terminer.
L'objet apparaît dans le volet de droite. Pour cet exemple, le nom de l'objet est CN=ap.
VMware, Inc. 53
Déploiement et configuration d'Access Point
8Double-cliquez sur l'objet CN=name et modifiez les attributs suivants.
AttributDescription
pae-SAMLLabel
pae-SAMLMetaDataXml
pae-SAMLMetaDataUrl
Un authentificateur SAML est créé.
Dans le Serveur de connexion View, les nouveaux paramètres s'appliquent immédiatement. Vous n'avez pas
à redémarrer le service Serveur de connexion View ou l'ordinateur client.
Suivant
Étendez la période d'expiration des métadonnées du Serveur de connexion View pour que les sessions à
distance ne se terminent pas après seulement 24 heures. Reportez-vous à la section « Modifier la période
d'expiration des métadonnées du fournisseur de services sur le Serveur de connexion View », page 54.
Donnez un nom à l'authentificateur SAML. Cette étiquette apparaîtra dans
le Serveur de connexion View, dans les paramètres d'authentification du
Serveur de connexion View.
Collez les métadonnées SAML que vous avez générées sur le dispositif
Access Point. Assurez-vous que les métadonnées ne contiennent pas de
caractères d'échappement avant les guillemets doubles. Par exemple, le
format correct est <?xml version="1.0", pas <?xml version=\"1.0\".
(Facultatif) Si vous spécifiez une URL dans cet attribut (par exemple,
https://access-point.example.com), l'URL sera affichée dans la boîte
de dialogue Gérer des authentificateurs dans View Administrator.
Modifier la période d'expiration des métadonnées du fournisseur de services
sur le Serveur de connexion View
Si vous ne modifiez pas la période d'expiration, le Serveur de connexion View cessera d'accepter les
assertions SAML de l'authentificateur SAML, tel qu'Access Point ou un fournisseur d'identité tiers, après
24 heures, et l'échange de métadonnées doit être répété.
Suivez cette procédure pour indiquer le délai en jours après lequel le Serveur de connexion View arrête
d'accepter les assertions SAML du fournisseur d'identité. Cette valeur est utilisée à la fin de la période
d'expiration actuelle. Par exemple, si la période d'expiration actuelle est d'un jour et que vous indiquez
90 jours, lorsque le délai d'un jour est écoulé, le Serveur de connexion View génère des métadonnées avec
une période d'expiration de 90 jours.
Prérequis
Pour plus d'informations sur l'utilisation de l'utilitaire ADSI Edit sur votre version du système
d'exploitation Windows, consultez le site Web Microsoft TechNet.
Procédure
1Démarrez l'utilitaire ADSI Edit sur votre hôte du Serveur de connexion View.
2Dans l'arborescence de la console, sélectionnez Se connecter à.
3Dans la zone de texte Sélectionnez ou entrez un nom unique ou un contexte d'attribution de noms,
tapez le nom unique DC=vdi, DC=vmware, DC=int.
4Dans le volet Ordinateur, sélectionnez ou tapez localhost:389 ou le nom de domaine complet du
Serveur de connexion View, suivi du port 389.
Par exemple : localhost:389 ou mycomputer.example.com:389
5Développez l'arborescence d'ADSI Edit, développez OU=Properties, sélectionnez OU=Global et
double-cliquez sur OU=Common dans le volet de droite.
54 VMware, Inc.
Chapitre 5 Configuration de l'authentification par carte à puce
6Dans la boîte de dialogue Propriétés, modifiez l'attribut pae-NameValuePair pour ajouter les valeurs
Dans cet exemple, number-of-days est le nombre de jours pouvant s'écouler avant qu'un Serveur de
connexion View distant cesse d'accepter des assertions SAML. Après cette période de temps, le
processus d'échange des métadonnées SAML doit être répété.
Copier les métadonnées SAML du fournisseur de services sur Access
Point
Après avoir créé et activé un authentificateur SAML pour qu'Access Point puisse être utilisé comme
fournisseur d'identité, vous pouvez générer des métadonnées SAML sur le système principal et les utiliser
pour créer un fournisseur de services sur le dispositif Access Point. Cet échange de données établit
l'approbation entre le fournisseur d'identité (Access Point) et le fournisseur de services principal, tel que le
Serveur de connexion View.
Prérequis
Vérifiez que vous avez créé un authentificateur SAML pour Access Point sur le serveur du fournisseur de
services principal.
Pour un serveur Horizon 6, reportez-vous à la section « Créer un authentificateur SAML sur le Serveur
n
de connexion View 6.2 », page 53.
Pour un serveur Horizon 7, reportez-vous à la section « Créer un authentificateur SAML sur un Serveur
n
de connexion Horizon 7 », page 51.
Procédure
1Récupérez les métadonnées SAML du fournisseur de services, qui prennent généralement la forme d'un
fichier XML.
Pour obtenir des instructions, consultez la documentation du fournisseur de services.
Les fournisseurs de services ont des procédures différentes. Par exemple, pour le Serveur de connexion
View, vous ouvrez un navigateur et entrez une URL telle que :
Vous pouvez ensuite utiliser une commande Enregistrer sous pour enregistrer la page Web en tant que
fichier XML. Le contenu de ce fichier commence par le texte suivant :
2Utilisez un client REST, tel que curl ou postman, pour appeler l'API REST Access Point et stocker les
métadonnées sur le dispositif Access Point.
L'exemple suivant utilise une commande curl. Dans l'exemple, access-point-appliance.example.com est le
nom de domaine complet du dispositif Access Point, service-provider-name est le nom à utiliser pour un
fournisseur de services du Serveur de connexion View et connection-server-metadata.xml est le fichier de
métadonnées que vous avez créé à l'étape précédente.
Access Point et le fournisseur de services peuvent maintenant échanger des informations d'authentification
et d'autorisation.
VMware, Inc. 55
Déploiement et configuration d'Access Point
Suivant
Pour vérifier que la commande POST a fonctionné, vous pouvez utiliser une commande GET avec la même
URL.
Si vous avez copié les métadonnées du Serveur de connexion View, pour vérifier que l'authentificateur
SAML Access Point a bien été configuré, ouvrez l'utilitaire Éditeur ADSI sur l'hôte du Serveur de connexion
View, connectez-vous à View LDAP (DC=vdi, DC=vmware, DC=int) et, dans l'arborescence de l'Éditeur ADSI,
sous OU=Properties, sélectionnez OU=Server et double-cliquez sur l'élément CN=name dans le volet de
droite. L'attribut pae-SAMLConfigDN sera rempli avec le nom unique.
Obtenir des certificats d'autorités de certification
Vous devez obtenir tous les certificats d'autorités de certification applicables pour tous les certificats
d'utilisateurs de confiance des cartes à puces présentées par vos utilisateurs et administrateurs. Ces
certificats incluent des certificats racines et peuvent inclure des certificats intermédiaires si le certificat de
carte à puce de l'utilisateur a été délivré par une autorité de certification intermédiaire.
Si vous ne disposez pas du certificat racine ou intermédiaire de l'autorité de certification qui a signé les
certificats sur les cartes à puce présentées par vos utilisateurs et administrateurs, vous pouvez exporter les
certificats à partir des certificats d'utilisateurs signés par une autorité de certification ou d'une carte à puce
qui en contient un. Reportez-vous à la section « Obtenir le certificat d'une autorité de certification de
Windows », page 56.
Procédure
Obtenez les certificats d'autorités de certification à partir de l'une des sources suivantes.
u
Un serveur Microsoft IIS exécutant les services de certificats Microsoft. Pour plus d'informations
n
sur l'installation de Microsoft IIS, l'émission des certificats et leur distribution dans votre
entreprise, consultez le site Web Microsoft TechNet.
Le certificat racine public d'une autorité de certification approuvée. Il s'agit de la source la plus
n
courante de certificat racine dans des environnements avec une infrastructure de carte à puce et
une approche normalisée pour la distribution et l'authentification des cartes à puce.
Obtenir le certificat d'une autorité de certification de Windows
Si vous disposez d'un certificat utilisateur signé par une autorité de certification ou d'une carte à puce en
contenant un, et que Windows approuve le certificat racine, vous pouvez exporter ce dernier de Windows.
Si l'émetteur du certificat de l'utilisateur est une autorité de certification intermédiaire, il est possible
d'exporter ce certificat.
Procédure
1Si le certificat utilisateur est sur une carte à puce, insérez la carte à puce dans le lecteur pour ajouter le
certificat utilisateur à votre magasin personnel.
Si le certificat utilisateur n'apparaît pas dans votre magasin personnel, utilisez le logiciel du lecteur
pour exporter le certificat utilisateur vers un fichier. Ce fichier sera utilisé dans Étape 4.
2Dans Internet Explorer, sélectionnez Outils > Options Internet.
3Sous l'onglet Contenu, cliquez sur Certificats.
4Sous l'onglet Personnel, sélectionnez le certificat que vous voulez utiliser et cliquez sur Affichage.
Si le certificat utilisateur n'apparaît pas dans la liste, cliquez sur Importer pour l'importer
manuellement à partir d'un fichier. Une fois le certificat importé, vous pouvez le sélectionner dans la
liste.
56 VMware, Inc.
Chapitre 5 Configuration de l'authentification par carte à puce
5Sous l'onglet Chemin d'accès de certification, sélectionnez le certificat en haut de l'arborescence et
cliquez sur Afficher le certificat.
Si le certificat utilisateur est signé comme faisant partie d'une hiérarchie d'approbation, le certificat de
signature peut être signé par un autre certificat de niveau plus élevé. Sélectionnez le certificat parent
(celui qui est actuellement signé par le certificat utilisateur) comme votre certificat racine. Dans certains
cas, l'émetteur peut être une autorité de certification intermédiaire.
6Sous l'onglet Détails, cliquez sur Copier dans un fichier.
L'assistant Certificate Export (Exportation de certificat) apparaît.
7Cliquez sur Suivant > Suivant, puis tapez un nom et un emplacement pour le fichier à exporter.
8Cliquez sur Suivant pour enregistrer le fichier comme certificat racine dans l'emplacement spécifié.
Configurer des paramètres de carte à puce sur le dispositif
Access Point
Sur le dispositif Access Point, vous devez activer l'authentification par carte à puce, copier le certificat et
modifier le type d'authentification sur authentification par carte à puce.
Prérequis
Obtenez le certificat de l'émetteur d'autorité de certification approuvée qui a été utilisé pour signer les
n
certificats X.509 pour les cartes à puce. Reportez-vous à
« Obtenir des certificats d'autorités de certification », page 56. pour le certificat qui sera placé sur la
carte à puce.
Convertissez le certificat en fichier PEM qui contient la chaîne de certificats. Reportez-vous à la section
n
« Convertir des fichiers de certificat au format PEM sur une ligne », page 41. Si vous disposez d'un
certificat intermédiaire, ce certificat doit immédiatement suivre le premier certificat, et les deux
certificats doivent se trouver sur la même ligne.
Vérifiez que vous avez copié les métadonnées SAML Access Point sur le fournisseur de services et copié
n
les métadonnées SAML du fournisseur de services sur le dispositif Access Point. Reportez-vous aux
sections « Générer des métadonnées SAML Access Point », page 50 et « Copier les métadonnées SAML
du fournisseur de services sur Access Point », page 55.
Familiarisez-vous avec les propriétés du certificat de carte à puce et déterminez quels paramètres
n
utiliser. Reportez-vous à la section « Propriétés du certificat de carte à puce pour les options avancées »,
page 59.
Si vous utilisez un équilibrage de charge entre Access Point et les instances du fournisseur de services,
n
vérifiez que l'arrêt TLS/SSL n'est pas effectué sur l'équilibrage de charge. L'équilibrage de charge doit
être configuré pour transmettre l'authentification au fournisseur de services principal, tel que le Serveur
de connexion View.
Procédure
1Utilisez un client REST, tel que curl ou postman, pour appeler l'API REST Access Point et obtenir les
paramètres de certificat par défaut.
L'exemple suivant utilise une commande curl. Dans l'exemple, access-point-appliance.example.com est le
nom de domaine complet du dispositif Access Point.
2Transmettez ces informations dans une demande JSON pour activer l'authentification par carte à puce
et coller le certificat.
Les deux propriétés suivantes sont les propriétés devant être configurées. Vous pouvez également
modifier les valeurs par défaut des autres propriétés.
Dans cet exemple, les points de suspension (...) indiquent le contenu central du texte du certificat. Le
texte du certificat doit tenir sur une seule ligne pouvant être transmise dans une chaîne JSON à l'API
REST Access Point, comme décrit dans les conditions préalables.
Pour caCertificates, vous pouvez spécifier plusieurs certificats en utilisant des espaces comme
séparateurs. Lorsqu'un utilisateur initie une connexion avec le dispositif Access Point, Access Point
envoie une liste d'autorités de certification approuvées au système client. Le système client compare
cette liste aux certificats utilisateur disponibles, sélectionne un certificat approprié et invite l'utilisateur
à entrer un code PIN de carte à puce. Si plusieurs certificats utilisateur sont valides, le système client
invite l'utilisateur à sélectionner un certificat.
3Utilisez un client REST, tel que curl ou postman, pour utiliser la demande JSON afin d'appeler l'API
REST Access Point, stocker le certificat sur le dispositif Access Point et activer l'authentification par
carte à puce.
L'exemple suivant utilise une commande curl. Dans l'exemple, access-point-appliance.example.com est le
nom de domaine complet du dispositif Access Point et smartcard.json est la demande JSON que vous
avez créée à l'étape précédente.
Cet exemple utilise le service VIEW Edge, car, pour cette version, l'authentification par carte à puce
n'est prise en charge que si vous utilisez le service VIEW Edge.
5Collez ces informations dans une demande JSON pour activer l'authentification par carte à puce pour le
serveur View Server et ajoutez les propriétés authMethods et samlSP.
Pour plus de clarté, cet exemple indique uniquement les propriétés requises pour configurer
l'authentification par carte à puce, et pas la longue liste de propriétés incluses dans la configuration du
service Edge. Lorsque vous créez la demande JSON, copiez et collez tous les paramètres du service
Edge que vous utilisez et veillez à ajouter ou configurer ces propriétés de carte à puce.
connection-server-sp est un exemple de nom de fournisseur de services. Vous avez spécifié un nom de
fournisseur de services lorsque vous avez copié les métadonnées du fournisseur de services sur le
dispositif Access Point.
58 VMware, Inc.
Chapitre 5 Configuration de l'authentification par carte à puce
6Utilisez un client REST pour envoyer la demande JSON à l'API Access Point et configurez le service
Edge pour qu'il utilise l'authentification par carte à puce.
Dans l'exemple suivant, smartauth.json est la demande JSON que vous avez créée à l'étape précédente.
Les utilisateurs finaux peuvent désormais utiliser des cartes à puce lorsqu'ils ouvrent une session sur
Access Point.
Propriétés du certificat de carte à puce pour les options avancées
Les propriétés de l'authentification par carte à puce fournissent des fonctionnalités pour la révocation de
certificat, les formulaires de consentement et la configuration de l'autre nom de l'objet.
Vous pouvez empêcher les utilisateurs avec des certificats utilisateur révoqués de s'authentifier avec des
cartes à puce en configurant la vérification de la révocation des certificats. Les certificats sont souvent
révoqués lorsqu'un utilisateur quitte une entreprise, perd une carte à puce ou passe d'un service à un autre.
Access Point prend en charge la vérification de la révocation des certificats avec des listes de révocation de
certificats (CRL) et avec le protocole OCSP (Online Certificate Status Protocol). Une CRL est une liste de
certificats révoqués publiée par l'autorité de certification qui a émis les certificats. OCSP est un protocole de
validation de certificat utilisé pour obtenir l'état de révocation d'un certificat X.509.
Lorsque vous configurez les deux types de vérification de la révocation des certificats, Access Point tente
d'utiliser d'abord OCSP et peut être configuré pour revenir à la CRL si OCSP échoue. Access Point ne
revient pas à OCSP si la CRL échoue. L'autorité de certification doit être accessible à partir de l'hôte
Access Point.
Lorsque vous utilisez l'API REST pour obtenir les données de configuration pour l'authentification par carte
à puce, vous voyez une liste des éléments que vous pouvez configurer. Par exemple, vous pouvez utiliser
une demande GET avec l'URL suivante :
Tableau 5‑1. Propriétés du certificat de carte à puce que vous pouvez configurer
Nom de propriétéDescriptionValeurs valides
enableOCSPSpécifie si vous voulez utiliser le protocole OCSP
ocspSigningCertSpécifie le chemin d'accès au certificat du
caCertificates(Obligatoire) Spécifie un ou plusieurs certificats
enableAlternateUPNSpécifie si vous voulez utiliser d'autres champs
sendOCSPNonceSpécifie si vous voulez inclure une valeur à usage
activé(Obligatoire) Spécifie si vous voulez utiliser
enableCertCRLSpécifie si vous voulez utiliser l'extension de
enableOCSPCRLFailoverSpécifie si vous voulez utiliser une liste de
enableConsentFormSpécifie si vous voulez présenter aux utilisateurs
ocspURLSpécifie l'URL du répondeur OCSP à utiliser pour
enableCertRevocationSpécifie si vous voulez utiliser la vérification de la
(Online Certificate Status Protocol) pour la
vérification de la révocation des certificats.
Lorsque ce paramètre est activé, Access Point
envoie une demande à un répondeur OCSP afin de
déterminer l'état de révocation d'un certificat
utilisateur spécifique.
La valeur par défaut est true.
répondeur OCSP, s'il est connu.
d'autorité de certification approuvée au format
PEM.
dans l'autre nom de l'objet.
Les connexions par carte à puce utilisent le nom
principal de l’utilisateur (UPN) d'Active Directory
pour valider les comptes d'utilisateur.
Si le domaine sur lequel réside un utilisateur de
carte à puce est différent du domaine à partir
duquel est émis votre certificat racine, vous devez
définir l'UPN de l'utilisateur sur l'autre nom de
l'objet (SAN) contenu dans le certificat racine de
l'autorité de certification approuvée.
unique dans la demande OCSP et si vous voulez
qu'elle soit incluse dans la réponse. Une valeur à
usage unique est un nombre arbitraire utilisé une
seule fois dans une communication
cryptographique.
l'authentification de certificat par carte à puce.
Vous pouvez passer ce paramètre sur true.
La valeur par défaut est false.
points de distribution des listes de révocation de
certificats du certificat.
révocation de certificats si OCSP échoue.
La valeur par défaut est true.
une fenêtre de formulaire de consentement avant
qu'ils ouvrent une session à l'aide de
l'authentification de certificat.
la vérification de la révocation (par exemple,
http://ocspurl.com).
révocation des certificats.
true ou false
Chemin d'accès au fichier sur l'hôte du
répondeur OCSP (par
exemple, /path/to/file.cer).
Le texte de chaque certificat a le format
"-----BEGIN
CERTIFICATE------ ... -----END
CERTIFICATE------" où les points de
suspension (...) indiquent le contenu
central du texte du certificat. Séparez
les certificats par des espaces.
true ou false
true ou false
true ou false
true ou false
true ou false
true ou false
Une URL qui commence par http ou
https.
true ou false
60 VMware, Inc.
Chapitre 5 Configuration de l'authentification par carte à puce
Tableau 5‑1. Propriétés du certificat de carte à puce que vous pouvez configurer (suite)
Nom de propriétéDescriptionValeurs valides
certificatePoliciesSpécifie la liste d'identificateur d'objet (OID)
acceptée dans l'extension des stratégies de
certificats.
consentFormSpécifie le contenu du formulaire de consentement
à afficher aux utilisateurs.
crlLocationSpécifie l'emplacement de la liste de révocation de
certificats à utiliser pour la vérification de la
révocation.
enableEmailSpécifie si vous voulez utiliser le champ RFC822
dans l'autre nom de l'objet si aucun UPN (nom
principal de l’utilisateur) n'est trouvé dans le
certificat.
Un OID.
Du texte.
URL ou chemin d'accès au fichier (par
exemple, http://crlurl.crl ou
file:///crlFile.crl).
REMARQUE N'utilisez pas d'URL
ldap:.
true ou false
VMware, Inc. 61
Déploiement et configuration d'Access Point
62 VMware, Inc.
Configuration de l'authentification à
deux facteurs6
Vous pouvez configurer un dispositif Access Point pour que les utilisateurs soient obligés d'utiliser
l'authentification RSA SecurID ou RADIUS (Remote Authentication Dial-In User Service).
Comme les solutions d'authentification à deux facteurs, telles que RSA SecurID et RADIUS, fonctionnent
avec les gestionnaires d'authentification installés sur des serveurs séparés, vous devez avoir configuré ces
serveurs et les rendre accessibles au dispositif Access Point. Par exemple, si vous utilisez RSA SecurID, le
gestionnaire d'authentification utilise RSA Authentication Manager. Si vous disposez de RADIUS, le
gestionnaire d'authentification sera un serveur RADIUS.
Pour utiliser l'authentification à deux facteurs, chaque utilisateur doit posséder un jeton, tel qu'un jeton RSA
SecurID, qui est enregistré avec son gestionnaire d'authentification. Un jeton d'authentification à deux
facteurs est un élément matériel ou logiciel qui génère un code d'authentification à intervalles fixes. Souvent,
l'authentification requiert de connaître un code PIN et un code d'authentification.
Vous pouvez également configurer l'authentification afin qu'Access Point requière l'authentification SecurID
ou RADIUS, puis que l'authentification soit également transmise à Horizon Server, qui peut nécessiter
l'authentification Active Directory. Pour configurer ce type d'authentification chaînée, voir la propriété
authMethods, décrite dans la section « Paramètres de configuration pour les services Edge », page 35.
REMARQUE Pour VMware Identity Manager, l'authentification est toujours transmise uniquement via Access
Point à VMware Identity Manager. Vous pouvez configurer l'authentification à deux facteurs pour qu'elle
soit exécutée sur le dispositif Access Point uniquement si Access Point est utilisé avec Horizon 6, Horizon 7
ou Horizon Air Hybrid-mode.
Ce chapitre aborde les rubriques suivantes :
« Configurer l'authentification RSA SecurID sur le dispositif Access Point », page 63
n
« Configurer l'authentification RADIUS sur le dispositif Access Point », page 65
n
Configurer l'authentification RSA SecurID sur le dispositif Access
Point
Sur le dispositif Access Point, vous devez activer l'authentification RSA SecurID, copier le contenu du fichier
de configuration pour le serveur RSA SecureID et passer le type d'authentification sur RSA SecurID.
Prérequis
Vérifiez que le logiciel RSA SecurID est installé et configuré sur le serveur à utiliser comme serveur
n
gestionnaire d'authentification.
Exportez le fichier sdconf.rec depuis le serveur RSA Secure Authentication Manager. Reportez-vous à
n
la documentation de RSA Authentication Manager.
VMware, Inc.
63
Déploiement et configuration d'Access Point
Procédure
1Après avoir téléchargé le fichier sdconf.rec depuis le serveur RSA Secure Authentication Manager,
utilisez les commandes suivantes pour passer le fichier au format Base64 et le convertir en format sur
une ligne pouvant être transmis dans une chaîne JSON à l'API REST Access Point.
aUtilisez une commande telle que la commande base64 de Linux pour produire le format de codage
Base64 pour le fichier sdconf.rec :
base64 sdconf.rec > sdconfBase64.txt
bUtilisez une commande cat pour convertir le fichier Base64 au format JSON sur une ligne :
cat sdconfBase64.txt | tr '\n' '\\' | sed -e 's/\\/\\n/g'
2Utilisez un client REST, tel que curl ou postman, pour appeler l'API REST Access Point et obtenir les
paramètres d'authentification RSA SecurID par défaut.
L'exemple suivant utilise une commande curl. Dans l'exemple, access-point-appliance.example.com est le
nom de domaine complet du dispositif Access Point.
Dans cet exemple, les points de suspension (...) indiquent le contenu central du fichier
sdconfBase64.txt base64. Ce fichier doit avoir un format sur une seule ligne pouvant être transmis dans
une chaîne JSON à l'API REST Access Point.
Utilisez externalHostName pour indiquer l'adresse externe du dispositif Access Point qui est spécifié
dans l'agent du serveur SecurID, puis utilisez internalHostName pour indiquer l'adresse IP statique
interne du dispositif Access Point.
Utilisez numIterations pour indiquer le nombre de tentatives autorisées pour l'ouverture de session.
Dans cet exemple, un utilisateur a le droit d'effectuer 5 tentatives pour fournir le bon code SecurID.
4Utilisez un client REST pour obtenir les paramètres du service Edge par défaut pour Horizon Server.
Cet exemple indique le service VIEW Edge, car, pour cette version, l'authentification à deux facteurs
n'est prise en charge que si vous utilisez le service VIEW Edge.
64 VMware, Inc.
Chapitre 6 Configuration de l'authentification à deux facteurs
5Collez ces informations dans une demande JSON pour activer l'authentification RSA SecurID pour
Horizon Server et ajoutez la propriété authMethods.
{
"identifier": "VIEW",
"enabled": true,
"proxyDestinationUrl": "https://horizon-server.example.com",
"proxyDestinationUrlThumbprints": "sha1=40 e6 98 9e a9 d1 bc 6f 86 8c c0 ad b1 ea ff f7 4a 3b 12 8c",
"authMethods": "securid-auth"
}
Cet exemple n'indique que certaines des propriétés qui sont communes à tous les services Edge. Dans
cet exemple, horizon-server.example.com est le nom de domaine complet d'Horizon Server. Vous avez
spécifié ce nom lorsque vous avez déployé le dispositif Access Point. Le texte
proxyDestinationUrlThumbprints n'est qu'un exemple. Remplacez ce texte par l'empreinte
numérique de votre serveur de destination.
6Utilisez un client REST pour envoyer la demande JSON à l'API Access Point et configurez le service
Edge pour qu'il utilise l'authentification RSA SecurID.
Dans l'exemple suivant, rsa-auth.json est la demande JSON que vous avez créée à l'étape précédente.
Les utilisateurs finaux peuvent désormais utiliser des jetons RSA SecurID lorsqu'ils ouvrent une session sur
Access Point.
Configurer l'authentification RADIUS sur le dispositif Access Point
Sur le dispositif Access Point, vous devez activer l'authentification RADIUS, spécifier des paramètres de
configuration à partir du serveur RADIUS et passer le type d'authentification sur RADIUS.
Prérequis
Vérifiez que le logiciel RADIUS est installé et configuré sur le serveur à utiliser comme serveur
n
gestionnaire d'authentification. Suivez la documentation de configuration du fournisseur.
Notez le nom d'hôte ou l'adresse IP du serveur RADIUS, le numéro du port sur lequel il écoute
n
l'authentification RADIUS (généralement 1812), le type d'authentification (PAP, CHAP, MSCHAPv1 ou
MSCHAPv2) et le secret partagé.
Vous pouvez entrer des valeurs pour un authentificateur RADIUS principal et secondaire.
Procédure
1Utilisez un client REST, tel que curl ou postman, pour appeler l'API REST Access Point et obtenir les
paramètres d'authentification RADIUS par défaut.
L'exemple suivant utilise une commande curl. Dans l'exemple, access-point-appliance.example.com est le
nom de domaine complet du dispositif Access Point.
2Utilisez les paramètres renvoyés de l'étape 1 afin de créer une demande JSON pour activer
l'authentification RADIUS.
Access Point 2.6 prend en charge trois nouvelles propriétés pour l'authentification RADIUS.
n
directAuthChainedUsername : active l'authentification directe sur le serveur RADIUS lors du
chaînage d'authentification. La valeur par défaut est NULL.
VMware, Inc. 65
Déploiement et configuration d'Access Point
n
enabledAux : active le serveur RADIUS secondaire lorsque la valeur est définie sur TRUE. La
valeur par défaut est FALSE.
n
nameIdSuffix : spécifie le nameId qui permet à View d'offrir une expérience TrueSSO. Elle est
vide par défaut.
Les propriétés indiquées dans l'exemple suivant sont celles qui doivent être configurées. Vous pouvez
également modifier les valeurs par défaut des autres propriétés.
Adresse IP du serveur RADIUS. Utilisez hostName_2 pour indiquer un
serveur secondaire.
Nombre de secondes pour l'intervalle du délai d'expiration du serveur.
Utilisez serverTimeout_2 pour configurer le serveur secondaire. (Pour
toutes les propriétés suivantes, les noms de propriété avec « _2 » sont
destinés à la configuration du serveur, si vous en utilisez un.)
Nombre de tentatives autorisées pour l'ouverture de session. Dans cet
exemple, un utilisateur a le droit d'effectuer 5 tentatives pour fournir le
bon code RADIUS.
Si vous spécifiez une chaîne de préfixe de domaine, celle-ci est placée au
début du nom d'utilisateur lorsqu'il est envoyé au serveur RADIUS. Par
exemple, si le nom d'utilisateur entré est jdoe et que le préfixe de domaine
DOMAIN-A\ est spécifié, le nom d'utilisateur DOMAIN-A\jdoe est envoyé au
serveur RADIUS.
Si vous spécifiez une chaîne de suffixe de domaine, celle-ci est placée à la
fin du nom d'utilisateur lorsqu'il est envoyé au serveur RADIUS. Par
exemple, si le nom d'utilisateur entré est jdoe et que le suffixe de domaine
@mycorp.com est spécifié, le nom d'utilisateur jdoe@mycorp.com est
envoyé au serveur RADIUS.
Numéro du port d'authentification du serveur RADIUS. La valeur par
défaut est 1812.
66 VMware, Inc.
Chapitre 6 Configuration de l'authentification à deux facteurs
PropriétéDescription
accountingPort
sharedSecret
authType
Définissez ce port sur 0 sauf si vous souhaitez activer la gestion de compte
RADIUS. Définissez ce port sur un numéro différent de zéro uniquement
si votre serveur RADIUS prend en charge la collecte de données de gestion
de compte. Si le serveur RADIUS ne prend pas en charge les messages de
gestion de compte et si vous définissez ce port sur un numéro différent de
zéro, les messages seront envoyés et ignorés, puis réessayés un certain
nombre de fois, entraînant ainsi un retard d'authentification.
Les données de gestion de compte peuvent être utilisées pour facturer les
utilisateurs en fonction de la durée d'utilisation et des données échangées.
Les données de gestion de compte peuvent également être utilisées à des
fins statistiques ou pour la surveillance générale du réseau.
Secret partagé.
Type d'authentification : PAP, CHAP, MS-CHAPv1 ou MS-CHAPv2.
3Utilisez un client REST pour obtenir les paramètres du service Edge par défaut pour Horizon Server.
Cet exemple indique le service VIEW Edge, car, pour cette version, l'authentification à deux facteurs
n'est prise en charge que si vous utilisez le service VIEW Edge.
4Collez ces informations dans une demande JSON pour activer l'authentification RADIUS pour Horizon
Server et ajoutez la propriété authMethods.
{
"identifier": "VIEW",
"enabled": true,
"proxyDestinationUrl": "https://horizon-server.example.com",
"proxyDestinationUrlThumbprints": "sha1=40 e6 98 9e a9 d1 bc 6f 86 8c c0 ad b1 ea ff f7 4a 3b 12 8c",
"authMethods": "radius-auth"
}
Cet exemple n'indique que certaines des propriétés qui sont communes à tous les services Edge. Dans
cet exemple, horizon-server.example.com est le nom de domaine complet d'Horizon Server. Vous avez
spécifié ce nom lorsque vous avez déployé le dispositif Access Point. Le texte
proxyDestinationUrlThumbprints n'est qu'un exemple. Remplacez ce texte par l'empreinte
numérique de votre serveur de destination.
5Utilisez un client REST pour envoyer la demande JSON à l'API Access Point et configurez le service
Edge pour qu'il utilise l'authentification RADIUS.
Dans l'exemple suivant, radius-auth.json est la demande JSON que vous avez créée à l'étape précédente.