O Unified Access Gateway oferece suporte à validação de Token da Web JSON (JWT). Você pode definir as configurações de consumidor do token da Web JSON para validar um artefato SAML emitido pelo Workspace ONE Access durante o single sign-on no Horizon e para oferecer suporte ao recurso de redirecionamento do protocolo do Horizon quando o Unified Access Gateway é usado com o Horizon Universal Broker.
O Workspace ONE Access emite um artefato SAML encapsulado do JWT quando a caixa de seleção Encapsular Artefato no JWT está marcada na configuração do Horizon do Workspace ONE Access. Isso permite que o dispositivo do Unified Access Gateway bloqueie tentativas de autenticação, a menos que um JWT confiável seja fornecido com a tentativa de autenticação de artefato SAML.
Nos dois casos de uso, você deve especificar as configurações de JWT para permitir que o Unified Access Gateway confie no emissor dos tokens do JWT recebidos.
Use uma URL de chave pública dinâmica para as configurações de consumidor de JWT para que o Unified Access Gateway mantenha automaticamente as chaves públicas mais recentes para esta confiança. Você só deverá usar as chaves públicas estáticas se o Unified Access Gateway não puder acessar a URL da chave pública dinâmica.
O seguinte procedimento descreve a definição das configurações de consumidor de token da Web JSON:
Procedimento
- Na seção Configurar Manualmente da IU do administrador, clique em Selecionar.
- Em Configurações Avançadas, selecione o ícone de engrenagem Configurações JWT.
- Na janela Configurações JWT, clique em Adicionar consumidor Consumidor JWT.
- Na janela Configurações do Consumidor JWT, insira as seguintes informações:
Opção Padrão e descrição Nome Um nome para identificar essa configuração para validação. Emissor Digite o valor do emissor JWT que diferencia maiúsculas de minúsculas, que está presente na reivindicação do emissor do token de entrada a ser validado. Por padrão, o valor deste campo é definido como o campo Nome.
Observação: O emissor é configurado somente quando o Unified Access Gateway é usado com o Horizon Cloud Service.URL da Chave Pública Dinâmica Digite a URL para a busca dinâmica da chave pública.
Uma chave pública pode ser uma única chave pública ou um formato JSON Web Key Set (JWKS).Com o formato JWKS, várias chaves públicas do formato Web JSON (JWK) podem ser obtidas para validar o JWT.
Cada JWK tem um identificador exclusivo (kid) e esse identificador está presente no JWT fornecido ao Unified Access Gateway. Usando esse identificador, o Unified Access Gateway identifica a chave pública a ser usada.
Impressões digitais da URL da chave pública Insira a lista de impressões digitais da URL de chave pública. Se você não fornecer uma lista das impressões digitais, garanta que os certificados do servidor sejam emitidos por uma CA confiável. Insira os dígitos da impressão digital hexadecimal. Por exemplo, sha1= C3 89 A2 19 DC 7A 48 2B 85 1C 81 EC 5E 8F 6A 3C 33 F2 95 C3. Certificados confiáveis - Para selecionar um certificado no formato PEM e adicionar ao armazenamento de confiança, clique em +.
- Para remover um certificado do armazenamento de confiança, clique em -.
- Para fornecer um nome diferente, edite a caixa de texto do alias.
Por padrão, o nome do alias é o nome do arquivo do certificado PEM.
Intervalo de atualização da chave pública O intervalo de tempo em segundos no qual a chave pública é obtida da URL periodicamente.
Chaves Públicas Estáticas Clique em + para selecionar e adicionar uma chave pública a ser usada para a validação do JWT. O arquivo deve estar no formato PEM.
Observação: Se uma URL de chave pública dinâmica não estiver disponível, defina uma chave pública estática. - Clique em Salvar.
Resultados
Os detalhes dos parâmetros estão listados nas Configurações JWT.