Horizon Cloud on Azure で 二要素認証を試す!!

Horizon Cloud on Azure では、ユーザーがアプリケーション&デスクトップに接続する際に二段階認証を利用する事ができます。

通常の認証フローだと、Active Directoryによる認証のみですが、
二段階認証を設定すると、RADIUS認証 → Active Directory認証 となります。

最初から学びたい方はこちら!!
VMware Horizon Cloud on Microsoft Azure とは?
Horizon Cloud on Azure を構築する! 1/3
Horizon Cloud on Azure を構築する! 2/3
Horizon Cloud on Azure を構築する! 3/3
Horizon Cloud on Azure に接続してみる!!

今回は、二要素認証の追加作業のみを記載致します。


それではやってみよう!!

事前に、RADIUSサーバーを[CentOS7 + FreeRADIUS]で構築します。
・Azure上の”テナントサブネット”にRADIUSを設置
・RADIUSクライアントとして、UAGのDMZ側のIPアドレスを指定
・RADIUSサーバーに認証用のユーザーアカウントを追加

※2要素認証の設定は、後から変更ができません。

2要素認証を有効にしますか?:はい
2要素認証方式:新規のRADIUSを追加
名前:識別名
表示名:※表示箇所不明
表示に関するヒント:ユーザー認証時の画面に表示される
名前IDのサフィックス:ユーザー名に付加したいサフィックスを指定
反復回数:入力失敗回数
ユーザー名を維持:RADIUS認証後のAD認証時にユーザー名を引き継ぐ

ホスト名/IPアドレス:RADIUSサーバーのIPを指定
共有シークレット:RADIUSサーバーに設定したシークレットキーを入力
認証ポート:ポート番号
アカウントポート:アカウンティング情報(時間、パケット)用ポート番号
メカニズム:認証方式[PAP / CHAP / MSCHAPv1 / MSCHAPv2]
サーバタイムアウト:RADIUSサーバーからの応答待機時間
最大再試行回数:RADIUSクライアント~RADIUSサーバー間での試行回数
レルムのプレフィックス:tushigami.com\user
レルムのサフィックス:user@tushigami.com

セカンダリサーバ:2台目のRADIUSサーバー情報

あとは、通常の手順通りに進めていきます。


それでは、接続してみましょう!

【ブラウザ 編】

ユーザーのブラウザから、UAG のFQDN宛に接続します。

先ずは、RADIUSによる認証が実行されます。
※RADIUSサーバーに登録したユーザーアカウントを入力

続いて、Active Directory による認証が実行されます。

ログインすると、作成した”デスクトップ”と”アプリケーション”が確認できます。

【Horizon Client 編】

Horizon Client をインストール後、UAG のFQDN宛に接続します。

先ずは、RADIUSによる認証が実行されます。
※RADIUSサーバーに登録したユーザーアカウントを入力

続いて、Active Directory による認証が実行されます。

ログインすると、作成した”デスクトップ”と”アプリケーション”が確認できます。


おまけ

UAGに適用されるNSGに、RADIUS認証に設定したポート番号が自動で許可されるのでした~