Zwei-Faktor-Authentifizierung (2FA/MFA) für VMware Horizon View
Multifaktor-Authentifizierung (MFA/2FA) für VMware Horizon View (VDI) konfigurieren
miniOrange stärkt die Sicherheit von VMware Horizon 2-Faktor-Authentifizierung (2FA) oder VMware Horizon View MFA . Dieser erweiterte Ansatz erfordert nicht nur Ihr normales Passwort, sondern eine zusätzliche Information. Er ist wie ein zweites Schloss für Ihr Horizon-Konto und macht es besonders schwer für unbefugten Zugriff.
miniOrange integriert diese zusätzliche Sicherheitsebene nahtlos in den VMware Horizon-Anmeldevorgang. Selbst wenn jemand Ihr Passwort herausfindet, kann er sich ohne die zweite Authentifizierungsebene nicht anmelden. Diese kann von Tools wie generiert werden: Google Authenticator. Diese zusätzliche Sicherheitsebene, bekannt als VMware Horizon MFA oder VMware Horizon Zwei-Faktor-Authentifizierung, trägt dazu bei, dass Ihre vertraulichen Daten gemäß den neuesten Sicherheitsstandards gut geschützt bleiben.
Erfüllen Sie die Cyber-Versicherungsvorschriften mit der MFA-Lösung von miniOrange. MEHR LESEN
Holen Sie sich einen kostenlosen POC – Buchen Sie einen Slot
miniOrange bietet einen kostenlosen POC und Hilfe durch ein Beratungsgespräch mit unseren Systemingenieuren zum Einrichten der Multi-Faktor-Authentifizierung für VMware Horizon View VPN in Ihrer Umgebung mit einer 30-tägigen Testversion.
Senden Sie uns hierzu einfach eine E-Mail an idpsupport@xecurify.com um einen kostenlosen POC zu erhalten, und wir helfen Ihnen, unsere Lösung im Handumdrehen einzurichten.
Kostenlosen POC erhalten
miniOrange 2FA/MFA-Authentifizierung für VMware Horizon View Login
miniOrange erreicht dies, indem es als RADIUS-Server fungiert, der den vom Benutzer eingegebenen Benutzernamen und das Passwort als RADIUS-Anfrage entgegennimmt und den Benutzer anhand eines Benutzerverzeichnisses wie Active Directory (AD) validiert. Nach der ersten Authentifizierungsebene, miniOrange MFA-Lösung fordert den Benutzer zur Eingabe eines zweiten Authentifizierungsfaktors auf und gewährt oder entzieht den Zugriff basierend auf der Eingabe des Benutzers.
Die primäre Authentifizierung beginnt mit der Eingabe des Benutzernamens und des Passworts durch den Benutzer für VMware Horizon View.
Die Benutzeranfrage fungiert als Authentifizierungsanfrage zum RADIUS-Server (miniOrange).
miniOrange RADIUS-Server übergibt Benutzeranmeldeinformationen zur Überprüfung anhand der im AD (Active Directory)/in der Datenbank gespeicherten Anmeldeinformationen.
Sobald die erste Authentifizierungsebene des Benutzers validiert ist AD sendet die Bestätigung an den RADIUS-Server.
Jetzt fragt der miniOrange RADIUS Server nach einem 2-Faktor-Authentifizierungs-Herausforderung für den Benutzer.
Hier übermittelt der Benutzer die Antwort/den Code, den er auf seiner Hardware/seinem Telefon empfängt.
Benutzerantwort wird auf der RADIUS-Serverseite von miniOrange überprüft.
Bei erfolgreichem 2. Faktor-Authentifizierung dem Benutzer wird der Zugang zum Login gewährt.
Verbindung mit beliebigen externen Verzeichnissen
miniOrange bietet Benutzerauthentifizierung von verschiedenen Externe Verzeichnisse wie miniOrange-Verzeichnis, Microsoft AD, Microsoft Entra ID/LDAP, AWS Cognito und viele mehr.
Gehe zu Apps und klicken Sie auf Anwendung hinzufügen Schaltfläche in der oberen rechten Ecke.
Wählen RADIUS als Anwendungstyp und klicken Sie auf App erstellen .
Klicken Sie auf VMware Horizon View Registerkarte Anwendung. Wenn Sie Ihre Anwendung nicht finden, klicken Sie auf Radius-Client Registerkarte "Anwendungen".
Konfigurieren Sie die Details unten, um Radius Client hinzuzufügen.
Kundenname:
Ein beliebiger Name zu Ihrer Referenz.
Client-IP:
IP-Adresse des VPN-Servers, der die Radius-Authentifizierungsanforderung sendet.
Geteiltes Geheimnis:
Sicherheitsschlüssel. Für zB. "geteiltes Geheimnis" (Behalten Sie dies bei sich, Sie müssen dasselbe auf dem VPN-Server konfigurieren).
Klicken Sie auf Anmelderichtlinie. Konfigurieren Sie die folgenden Richtliniendetails für die Radius-App.
Gruppenname:
Gruppe, für die die Richtlinie gilt.
Versicherungsname:
Jeder Bezeichner, der den Richtliniennamen angibt.
Login-Methode
Anmeldemethode für die Benutzer, die dieser Richtlinie zugeordnet sind.
Aktivieren Sie die Zwei-Faktor-Authentifizierung
Aktiviert den zweiten Faktor während der Anmeldung für Benutzer, die dieser Richtlinie zugeordnet sind.
Adaptive Authentifizierung aktivieren
Aktiviert die adaptive Authentifizierung für die Anmeldung von Benutzern, die dieser Richtlinie zugeordnet sind.
Klicken Sie auf Erweiterte Einstellungen. Hier, Ermöglichen Diese Option, wenn Sie in einer einzigen Anmeldeanforderung von Ihrem RADIUS-Client sowohl ein Kennwort als auch einen MFA-Faktor (Multi-Factor Authentication) benötigen.
Klicken Sie auf Gespeichert.
Anmerkungen: Für On-Premise Version: Befolgen Sie die nachstehenden Schritte, bevor Sie die Konnektivität testen.
Nur für die On-Premise-Version
Schritt 1: Öffnen Sie die Firewall-Ports.
Um die RADIUS-Anfrage zu erhalten, ist es notwendig, Offener UDP-Verkehr an Häfen 1812 und 1813 zur Verfügung für die Maschine, auf der On-Premise IdP bereitgestellt wird.
Handelt es sich bei der Host-Maschine um eine Windows Maschine dann können Sie folgen fehlen uns die Worte. Dokument.
Handelt es sich bei der Host-Maschine um eine Linux Maschine dann können Sie folgen fehlen uns die Worte. Dokument.
Anmerkungen: Wenn Ihre Maschine auf AWS gehostet wird, aktivieren Sie die Ports vom AWS-Panel aus.
2. Konfigurieren Sie VMware Horizon View
Melden Sie sich bei der VMware Horizon View Administrator-Weboberfläche an.
Erweitern Sie im linken Bereich Einstellungen und klicken Sie dann auf Fertige Server in der Verwaltungsoberfläche.
Wähle aus Verbindungsserver Tab.
Wählen Sie den Verbindungsserver aus und klicken Sie auf das Bearbeiten .
Klicken Sie auf die Authentifizierung Tab.
Navigieren Sie zu der Erweiterte Authentifizierung Abschnitt und wählen Sie RADIUS in England, Zwei-Faktor-Authentifizierung Dropdown-Liste.
Aktivieren Sie das folgende Kontrollkästchen:
Erzwingen Sie die Zwei-Faktor-Authentifizierung und den Windows-Benutzernamenabgleich
Im Authenticator Dropdown, wählen Sie Neuen Authentifikator erstellen.
Auf dem Client-Anpassung Seite der RADIUS hinzufügen Geben Sie im Formular „Authentifikator“ einen Namen für Ihren Authentifikator ein und klicken Sie auf Weiter.
Füllen Sie die Primärer Authentifizierungsserver Informationen. Siehe folgenden Screenshot und Tabelle.
Hostname/Adresse
Geben Sie die IP-Adresse Ihres miniOrange Authentication Proxy ein.
Authentifizierungsport
Auf 1812 einstellen.
Buchhaltungsport
N/A. Belassen Sie den Standardwert.
Authentifizierungsart
Wählen Sie PAP.
Geteiltes Geheimnis
Geben Sie den RADIUS_SECRET vom miniOrange Authentication Proxy ein.
Server-Timeout
Steuert, wie lange der RADIUS-Server brauchen darf, um auf eine Authentifizierungsanforderung zu antworten. Auf 60 einstellen.
Belassen Sie für alle anderen Felder den Standardwert und klicken Sie auf Weiter.
Sie können einen sekundären Authentifizierungsserver definieren. Dies ist optional.
Klicken Sie auf Farbe um die Erstellung des RADIUS-Authentifikators abzuschließen.
Stellen Sie sicher, dass beide Benutzernamenoptionen aktiviert sind und dass der neu erstellte miniOrange RADIUS-Authentifikator ausgewählt ist, und klicken Sie dann auf OK.
3. 2FA für Endbenutzer konfigurieren
Melden Sie sich beim Endbenutzer-Dashboard an mit Standardanmeldeinformationen für das Benutzerverzeichnis..
Auswählen 2FA konfigurieren vom linken Bereich.
Durchsuchen Sie die Optionen für den zweiten Faktor und wählen Sie eine geeignete Methode aus, die der Endbenutzer bei der Anmeldung verwenden soll.
Ermöglichen das OTP per SMS, wenn Sie Ihre Telefonnummer in Ihrem Profilbereich hinzugefügt haben, andernfalls klicken Sie auf Bearbeiten .
Geben Sie Telefon Nummer zusammen mit der erforderlichen Landesvorwahl ein und klicken Sie auf das SPAREN unten mit.
4. Konfigurieren Sie Ihr Benutzerverzeichnis (optional)
miniOrange bietet Benutzerauthentifizierung aus verschiedenen externen Quellen, die Verzeichnisse (wie ADFS, Microsoft Active Directory, Microsoft Entra ID, OpenLDAP, Google, AWS Cognito usw.), Identitätsanbieter (wie Okta, Shibboleth, Ping, OneLogin, KeyCloak), Datenbanken (wie MySQL, Maria DB, PostgreSQL) und viele mehr. Sie können Ihr vorhandenes Verzeichnis/Ihren vorhandenen Benutzerspeicher konfigurieren oder Benutzer in miniOrange hinzufügen.
Klicken Sie auf Benutzer >> Benutzerliste >> Benutzer hinzufügen.
Füllen Sie hier die Benutzerdaten ohne Passwort aus und klicken Sie anschließend auf Benutzer erstellen .
Nach erfolgreicher Benutzererstellung wird eine Benachrichtigungsmeldung angezeigt „Ein Endbenutzer wurde erfolgreich hinzugefügt“ wird oben im Dashboard angezeigt.
Klicken Sie auf Registerkarte „Onboarding-Status“. Überprüfen Sie die E-Mail mit der registrierten E-Mail-ID und wählen Sie Aktion Aktivierungsmail mit Link zum Zurücksetzen des Passworts senden von Aktion auswählen Dropdown-Liste und klicken Sie dann auf Tragen Sie .
Öffnen Sie nun Ihre E-Mail-ID. Öffnen Sie die E-Mail, die Sie von miniOrange erhalten haben, und klicken Sie dann auf Link um Ihr Kontopasswort festzulegen.
Geben Sie auf dem nächsten Bildschirm das Passwort ein und bestätigen Sie das Passwort. Klicken Sie dann auf Single Sign-On (SSO) Kennwort zurücksetzen .
Jetzt können Sie sich durch Eingabe Ihrer Anmeldeinformationen beim MiniOrange-Konto anmelden.
2. Massenupload von Benutzern in miniOrange durch Hochladen einer CSV-Datei.
Navigieren Benutzer >> Benutzerliste. Klicken Sie auf Benutzer hinzufügen .
Massenregistrierung von Benutzern Beispiel-CSV-Format herunterladen von unserer Konsole aus und bearbeiten Sie diese CSV-Datei gemäß den Anweisungen.
Um Benutzer in großen Mengen hochzuladen, wählen Sie die Datei aus und stellen Sie sicher, dass sie in Komma-getrenntes CSV-Dateiformat Klicken Sie dann auf Hochladen.
Nach dem erfolgreichen Hochladen der CSV-Datei wird Ihnen eine Erfolgsmeldung mit einem Link angezeigt.
Klicken Sie auf diesen Link. Sie sehen eine Liste der Benutzer, denen eine Aktivierungsmail gesendet werden soll. Wählen Sie Benutzer aus, denen eine Aktivierungsmail gesendet werden soll, und klicken Sie auf „Aktivierungsmail senden“. Eine Aktivierungsmail wird an die ausgewählten Benutzer gesendet.
Klicken Sie auf Identitätsanbieter >> Identitätsanbieter hinzufügen im linken Menü des Dashboards
Wählen Sie unter „Identitätsanbieter auswählen“ AD/LDAP-Verzeichnisse aus dem Dropdown.
Dann suchen Sie nach AD/LDAP und klicke es an.
LDAP-KONFIGURATION IN MINIORANGE SPEICHERN: Wählen Sie diese Option, wenn Sie Ihre Konfiguration in miniOrange behalten möchten. Befindet sich das Active Directory hinter einer Firewall, müssen Sie die Firewall öffnen, um eingehende Anfragen an Ihr AD zuzulassen.
SPEICHERN SIE DIE LDAP-KONFIGURATION VOR ORT: Wählen Sie diese Option, wenn Sie Ihre Konfiguration in Ihrem Gebäude behalten und nur den Zugriff auf AD innerhalb des Gebäudes zulassen möchten. Sie müssen herunterladen und installieren miniOrange-Gateway auf Ihrem Gelände.
AD/LDAP eingeben Display Name und Identifizieren Namen.
Auswählen Verzeichnistyp as Active Directory.
Geben Sie die LDAP-Server-URL oder IP-Adresse für das LDAP ein Server-URL Feld.
Klicken Sie auf Verbindung testen Klicken Sie auf die Schaltfläche, um zu überprüfen, ob die Verbindung mit Ihrem LDAP-Server.
Gehen Sie in Active Directory zu den Eigenschaften von Benutzercontainern/OUs und suchen Sie nach dem Distinguished Name-AttributDas Bind-Konto sollte über die erforderlichen Mindestleseberechtigungen in Active Directory verfügen, um Verzeichnissuchen zu ermöglichen. Wenn der Anwendungsfall die Bereitstellung umfasst (z. B. Erstellen, Aktualisieren oder Löschen von Benutzern oder Gruppen), muss dem Konto auch die entsprechenden Schreibberechtigungen erteilt werden.
Geben Sie das gültige Kennwort für das Bind-Konto ein.
Klicken Sie auf Testen der Anmeldeinformationen für das Bind-Konto Schaltfläche, um Ihre LDAP-Bind-Anmeldeinformationen für die LDAP-Verbindung zu überprüfen.
Suchbasis ist die Stelle im Verzeichnis, an der die Suche nach einem Benutzer beginnt. Sie erhalten diese von derselben Stelle, an der Sie Ihren Distinguished Name haben.
Wählen Sie einen geeigneten Suchfilter aus dem Dropdown-Menü. Wenn Sie Benutzer im Einzelgruppenfilter or Benutzer im Mehrfachgruppenfilter, ersetze dasGruppen-DN> im Suchfilter mit dem Distinguished Name der Gruppe, in der Ihre Benutzer vorhanden sind. Um benutzerdefinierte Suchfilter zu verwenden, wählen Sie „Schreiben Sie Ihren benutzerdefinierten Filter“ Option und passen Sie sie entsprechend an.
Klicken Sie auf Weiter oder gehen Sie zum Anmeldeoptionen Tab.
Sie können beim Einrichten von AD auch folgende Optionen konfigurieren. Aktivieren Aktivieren Sie LDAP um Benutzer von AD/LDAP zu authentifizieren. Klicken Sie auf das Weiter Schaltfläche, um einen Benutzerspeicher hinzuzufügen.
Hier ist die Liste der Attribute und was sie bewirken, wenn wir sie aktivieren. Sie können sie entsprechend aktivieren/deaktivieren.
Attribut
Beschreibung
Aktivieren Sie LDAP
Alle Benutzerauthentifizierungen werden mit LDAP-Anmeldeinformationen durchgeführt, wenn Sie es aktivieren
Fallback-Authentifizierung
Wenn die LDAP-Anmeldeinformationen fehlschlagen, wird der Benutzer über miniOrange authentifiziert.
Administratoranmeldung aktivieren
Wenn Sie dies aktivieren, wird Ihr miniOrange Administrator-Login über Ihren LDAP-Server authentifiziert.
Benutzern IdP anzeigen
Wenn Sie diese Option aktivieren, ist dieser IdP für Benutzer sichtbar
Benutzer in miniOrange synchronisieren
Benutzer werden in miniOrange nach der Authentifizierung mit LDAP erstellt
Klicken Sie auf Weiter oder gehen Sie zum Attribute Tab.
Attributzuordnung aus AD
Standardmäßig sind Benutzername, Vorname, Nachname und E-Mail konfiguriert. Scrollen Sie nach unten und klicken Sie auf Gespeichert Schaltfläche. Um zusätzliche Attribute aus Active Directory abzurufen, aktivieren Sie Konfigurierte Attribute sendenGeben Sie links den Namen ein, den Sie für die Anwendungen freigeben möchten. Geben Sie rechts den Attributnamen aus Active Directory ein. Wenn Sie beispielsweise ein Firmenattribut aus Active Directory abrufen und als Organisation an konfigurierte Anwendungen senden möchten, geben Sie Folgendes ein:
An SP gesendeter Attributname = Organisation Attributname vom IDP = Unternehmen
Klicken Sie auf Weiter oder gehen Sie zum Provisioning Tab.
Benutzerimport und Provisionierung aus AD
Wenn Sie die Bereitstellung einrichten möchten, hier klicken für detaillierte Informationen. Wir werden diesen Schritt vorerst überspringen.
Testverbindungen
Sie sehen eine Liste der Verzeichnisse unter Identitätsanbieter. Wählen Sie im Dropdown-Menü aus AD/LDAP-Verzeichnisse, suchen Sie nach Ihrem konfigurierten Verzeichnis, klicken Sie auf die drei Punkte daneben und wählen Sie Verbindung testen.
Es wird ein Popup-Fenster angezeigt, in dem Sie aufgefordert werden, einen Benutzernamen und ein Kennwort einzugeben, um Ihre LDAP-Konfiguration zu überprüfen.
On Erfolgreich Bei der Verbindung mit dem LDAP-Server wird eine Erfolgsmeldung angezeigt.
Testen Sie die Attributzuordnung
Sie sehen eine Liste der Verzeichnisse unter Identitätsanbieter. Wählen Sie im Dropdown-Menü aus AD/LDAP-Verzeichnisse, suchen Sie nach Ihrem konfigurierten Verzeichnis, klicken Sie auf die drei Punkte daneben und wählen Sie Testen Sie die Attributzuordnung.
Ein Popup wird angezeigt, in dem Sie einen Benutzernamen eingeben und auf klicken können. Test.
Das Ergebnis der Testattributzuordnung wird angezeigt.
Die Konfiguration „AD als externes Verzeichnis einrichten“ ist abgeschlossen.
Hinweis: Verweisen Sie auf unsere Entwicklung um LDAP auf einem Windows-Server einzurichten.
miniOrange lässt sich in verschiedene externe Benutzerquellen wie Verzeichnisse, Identitätsanbieter usw. integrieren.
