O Unified Access Gateway oferece suporte à validação de Token da Web JSON (JWT). Você pode definir as configurações de consumidor do token da Web JSON para validar um artefato SAML emitido pelo Workspace ONE Access durante o single sign-on no Horizon e para oferecer suporte ao recurso de redirecionamento do protocolo do Horizon quando o Unified Access Gateway é usado com o Horizon Universal Broker.

O Workspace ONE Access emite um artefato SAML encapsulado do JWT quando a caixa de seleção Encapsular Artefato no JWT está marcada na configuração do Horizon do Workspace ONE Access. Isso permite que o dispositivo do Unified Access Gateway bloqueie tentativas de autenticação, a menos que um JWT confiável seja fornecido com a tentativa de autenticação de artefato SAML.

Nos dois casos de uso, você deve especificar as configurações de JWT para permitir que o Unified Access Gateway confie no emissor dos tokens do JWT recebidos.

Use uma URL de chave pública dinâmica para as configurações de consumidor de JWT para que o Unified Access Gateway mantenha automaticamente as chaves públicas mais recentes para esta confiança. Você só deverá usar as chaves públicas estáticas se o Unified Access Gateway não puder acessar a URL da chave pública dinâmica.

O seguinte procedimento descreve a definição das configurações de consumidor de token da Web JSON:

Procedimento

  1. Na seção Configurar Manualmente da IU do administrador, clique em Selecionar.
  2. Em Configurações Avançadas, selecione o ícone de engrenagem Configurações JWT.
  3. Na janela Configurações JWT, clique em Adicionar Consumidor JWT ou Adicionar Produtor JWT.
    Se estiver adicionando um Consumidor JWT, digite os seguintes detalhes:
    Opção Padrão e descrição
    Nome Um nome para identificar essa configuração para validação.
    Emissor Digite o valor do emissor JWT que diferencia maiúsculas de minúsculas, que está presente na reivindicação do emissor do token de entrada a ser validado.

    Por padrão, o valor deste campo é definido como o campo Nome.

    Observação: O emissor é configurado somente quando o Unified Access Gateway é usado com o Horizon Cloud Service.
    URL da Chave Pública Dinâmica

    Digite a URL para a busca dinâmica da chave pública.

    Uma chave pública pode ser uma única chave pública ou um formato JSON Web Key Set (JWKS).

    Com o formato JWKS, várias chaves públicas do formato Web JSON (JWK) podem ser obtidas para validar o JWT.

    Cada JWK tem um identificador exclusivo (kid) e esse identificador está presente no JWT fornecido ao Unified Access Gateway. Usando esse identificador, o Unified Access Gateway identifica a chave pública a ser usada.

    Impressões digitais da URL da chave pública Insira a lista de impressões digitais da URL de chave pública. Se você não fornecer uma lista das impressões digitais, garanta que os certificados do servidor sejam emitidos por uma CA confiável. Insira os dígitos da impressão digital hexadecimal.
    Certificados confiáveis
    • Para selecionar um certificado no formato PEM e adicionar ao armazenamento de confiança, clique em +.
    • Para remover um certificado do armazenamento de confiança, clique em -.
    • Para fornecer um nome diferente, edite a caixa de texto do alias.

      Por padrão, o nome do alias é o nome do arquivo do certificado PEM.
    Intervalo de atualização da chave pública

    O intervalo de tempo em segundos no qual a chave pública é obtida da URL periodicamente.
    Chaves Públicas Estáticas Clique em + para selecionar e adicionar uma chave pública a ser usada para a validação do JWT.

    O arquivo deve estar no formato PEM.

    Observação: Se uma URL de chave pública dinâmica não estiver disponível, defina uma chave pública estática.
    Se adicionar um Produtor JWT, digite os seguintes detalhes:
    Opção Padrão e descrição
    Nome Um nome de produtor JWT para identificar essa configuração para validação.
    Emissor Insira o valor do emissor JWT que diferencia maiúsculas de minúsculas, a ser especificado na reivindicação do emissor do JWT produzido que deve ser enviada ao destinatário.

    Por padrão, o valor deste campo é definido como o campo Nome.
    Tipo de Certificado de Assinatura JWT

    Selecione os tipos de certificado válidos para assinatura JWT no menu suspenso. As opções são:

    • PEM:
      • Chave privada: clique em Selecionar e navegue até o arquivo da chave privada para o certificado no formato PEM.
      • Cadeia de Certificados: clique em Selecionar e navegue até o arquivo da cadeia de certificados no formato PEM.
    • PFX:
      • Carregar PFX: clique em Selecionar e navegue até o certificado de assinatura JWT no formato PFX.
      • Senha: digite a senha do certificado PFX.
      • Alias: digite o alias do certificado PFX se houver vários certificados presentes no armazenamento de certificados.

    Chave Privada de Assinatura JWT

    		 Clique em Selecionar e navegue até a chave privada do certificado no formato PEM usado para a assinatura JWT.

    Cadeia de Certificados de Assinatura JWT

    		 Clique em Selecionar e navegue até a cadeia de certificados no formato PEM usado para a assinatura JWT.
    Definir as Configurações de Chave Pública de Criptografia

    A chave de criptografia (estática ou dinâmica) é usada para criptografar o JWT produzido pelo Unified Access Gateway.

    Ative essa opção para configurar a URL da chave pública de criptografia a fim de obter a chave pública dinamicamente por meio da URL.

    Desative essa opção para carregar chaves públicas de criptografia estática.
    URL da Chave Pública Dinâmica

    Digite a URL para a busca dinâmica da chave pública.

    Uma chave pública pode ser uma única chave pública ou um formato JSON Web Key Set (JWKS).

    Com o formato JWKS, várias chaves públicas do formato Web JSON (JWK) podem ser obtidas para validar o JWT.

    Cada JWK tem um identificador exclusivo (kid) e esse identificador está presente no JWT fornecido ao Unified Access Gateway. Usando esse identificador, o Unified Access Gateway identifica a chave pública a ser usada.

    Impressões digitais da URL da chave pública Insira a lista de impressões digitais da URL de chave pública. Se você não fornecer uma lista das impressões digitais, garanta que os certificados do servidor sejam emitidos por uma CA confiável. Insira os dígitos da impressão digital hexadecimal.
    Certificados confiáveis
    • Para selecionar um certificado no formato PEM e adicionar ao armazenamento de confiança, clique em +.
    • Para remover um certificado do armazenamento de confiança, clique em -.
    • Para fornecer um nome diferente, edite a caixa de texto do alias.

      Por padrão, o nome do alias é o nome do arquivo do certificado PEM. Você pode adicionar no máximo 64 arquivos de certificados confiáveis.

    Intervalo de atualização da chave pública

    O intervalo de tempo em segundos no qual a chave pública é obtida da URL periodicamente.

    O valor padrão é 3600 (1 hora).

    Se essa opção estiver definida como 0, a(s) chave(s) pública(s) será(ão) obtido(s) da URL exatamente uma vez.

    Chaves Públicas Estáticas Clique em + para selecionar e adicionar uma chave pública a ser usada para a criptografia JWT.

    O arquivo deve estar no formato PEM.

    Observação: Se uma URL de chave pública dinâmica não estiver disponível, defina uma chave pública estática.
  4. Clique em Salvar.

Resultados

Os detalhes dos parâmetros estão listados nas Configurações JWT.