Quando o serviço VMware Identity Manager é integrado a um gateway de validação, como o F5, a configuração Encapsular Artefato no JWT deve ser habilitada no serviço do VMware Identity Manager para autenticar os recursos do Horizon atribuídos aos usuários.

Quando a opção Encapsular Artefato no JWT está habilitada para autenticar uma solicitação de inicialização de recurso do Horizon, o serviço do VMware Identity Manager gera um token JWT assinado digitalmente que inclui o artefato SAML para permitir a verificação.

Esse token JWT é enviado para o gateway de validação no DMZ. O gateway valida o token JWT do VMware Identity Manager e extrai o valor do artefato SAML do token. O gateway encaminha a solicitação com o valor real do artefato SAML para o Servidor de Conexão do Horizon. O Servidor de Conexão verifica a solicitação e o usuário é conectado ao recurso do Horizon.

Se a opção Encapsular Artefato no JWT não estiver habilitada, o gateway de validação não passará o artefato para o Servidor de Conexão do Horizon em relação às falhas de validação e autenticação.

Pré-requisitos

  • O gateway de validação deve ser configurado com os detalhes do VMware Identity Manger a seguir.

    • Certificado SSL

    • ID e segredo do cliente OAuth2

    • URL de endpoint de validação do VMware Identity Manager

  • É necessária uma função de SuperAdministrador no VMware Identity Manager para realizar esse procedimento.

Procedimento

  1. Faça login no console do VMware Identity Manager.
  2. Selecione a guia Catálogo > Coleções de Aplicativos Virtuais.
  3. Clique na coleção do Horizon a ser editada e clique em Editar Intervalo de Rede.
  4. Clique no intervalo de endereços IP da rede que o recurso do Horizon pode usar.

    A seção Pod lista todos os pods do Horizon que você adicionou à coleção que tiverem a opção Direitos Locais de Sincronização selecionada. Consulte Configurar pods do Horizon e federações de pod no VMware Identity Manager para obter as etapas para configurar FQDNs do Acesso para Cliente para pods e federações de pod.

  5. Na seção Pod, ative a opção Encapsular Artefato no JWT no ambiente do Horizon que está configurado.


    Ativar o JWT no pod do Horizon


  6. Se mais de um gateway de validação puder processar as solicitações, crie identificadores exclusivos e adicione os nomes à caixa de texto Público-Alvo no JWT.

    Esse nome de público-alvo está definido na configuração do gateway de validação e é usado para verificar se este gateway é o público-alvo. Se o público-alvo no JWT não corresponder ao nome do público-alvo configurado aqui, a solicitação será rejeitada.

  7. Clique em Salvar e em Concluir na página Intervalos de Rede.

O que Fazer Depois

Os nomes de público-alvo exclusivos que você adiciona aqui também devem ser adicionados à configuração do gateway de validação.