Quando o serviço VMware Identity Manager é integrado a um gateway de validação, como o F5, a configuração Encapsular Artefato no JWT deve ser habilitada no serviço do VMware Identity Manager para autenticar os recursos do Horizon atribuídos aos usuários.

Quando a opção Encapsular Artefato no JWT está habilitada para autenticar uma solicitação de inicialização de recurso do Horizon, o serviço do VMware Identity Manager gera um token JWT assinado digitalmente que inclui o artefato SAML para permitir a verificação.

Esse token JWT é enviado para o gateway de validação no DMZ. O gateway valida o token JWT do VMware Identity Manager e extrai o valor do artefato SAML do token. O gateway encaminha a solicitação com o valor real do artefato SAML para o Servidor do Horizon Connector. O Servidor do Connector verifica a solicitação e o usuário é conectado ao recurso do Horizon.

Se a opção Encapsular Artefato no JWT não estiver habilitada, o gateway de validação não passará o artefato para o Servidor do Horizon Connect em relação às falhas de validação e autenticação.

1. Faça login no console do VMware Identity Manager.
2. Selecione a guia Catálogo > Aplicativos Virtuais e clique em Configurações de Aplicativo Virtual.
3. Clique em Configurações de Rede e selecione o intervalo de endereços IP da rede que o recurso do Horizon pode usar.

   A seção Visualizar Pod lista todos os pods em Visualizar pods que você adicionou à coleção que tiverem a opção Direitos Locais de Sincronização selecionada. Consulte Configurar pods do Horizon e federações de pod no VMware Identity Manager para obter as etapas para configurar as URLs de acesso do cliente para pods e federações de pod.

4. Na seção Visualizar Pod, marque a caixa de seleção Encapsular Artefato no JWT no ambiente do Horizon que está configurado.
5. Se mais de um gateway de validação puder processar as solicitações, crie identificadores exclusivos e adicione os nomes à caixa de texto Público-Alvo no JWT.

   Esse nome de público-alvo está definido na configuração do gateway de validação e é usado para verificar se este gateway é o público-alvo. Se o público-alvo no JWT não corresponder ao nome do público-alvo configurado aqui, a solicitação será rejeitada.

6. Clique em Concluir.

   

O que Fazer Depois

Os nomes de público-alvo exclusivos que você adiciona aqui também devem ser adicionados à configuração do gateway de validação.