Quando o serviço Workspace ONE Access é integrado a um gateway de validação, como o F5, a configuração Encapsular Artefato no JWT deve ser habilitada no serviço do Workspace ONE Access para autenticar os recursos do Horizon atribuídos aos usuários.

Quando a opção Encapsular Artefato no JWT está habilitada para autenticar uma solicitação de inicialização de recurso do Horizon, o serviço do Workspace ONE Access gera um token JWT assinado digitalmente que inclui o artefato SAML para permitir a verificação.

Esse token JWT é enviado para o gateway de validação no DMZ. O gateway valida o token JWT do Workspace ONE Access e extrai o valor do artefato SAML do token. O gateway encaminha a solicitação com o valor real do artefato SAML para o Servidor de Conexão do Horizon. O Servidor de Conexão verifica a solicitação e o usuário é conectado ao recurso do Horizon.

Se a opção Encapsular Artefato no JWT não estiver habilitada, o gateway de validação não passará o artefato para o Servidor de Conexão do Horizon em relação às falhas de validação e autenticação.

Pré-requisitos

  • O gateway de validação deve ser configurado com os detalhes do Workspace ONE Access a seguir.
    • Certificado SSL
    • ID e segredo do cliente OAuth2
    • URL do endpoint de validação do Workspace ONE Access
  • É necessária uma função de Superadministrador no Workspace ONE Access para executar esse procedimento.

Procedimento

  1. Faça login no console do Workspace ONE Access.
  2. Selecione Recursos > Coleções de Aplicativos Virtuais.
  3. Clique na coleção do Horizon a ser editada e clique na guia Intervalos de Rede.
  4. Clique no intervalo de endereços IP da rede que o recurso do Horizon pode usar.
    A seção Pod lista todos os pods do Horizon que você adicionou à coleção que tiverem a opção Direitos Locais de Sincronização selecionada. Consulte Configurar pods do Horizon e federações de pod no Workspace ONE Access para obter as etapas para configurar FQDNs do Acesso para Cliente para pods e federações de pod.
  5. Na seção Pod, ative a opção Encapsular Artefato no JWT no ambiente do Horizon que está configurado.

    Ativar o JWT no pod do Horizon

  6. Se mais de um gateway de validação puder processar as solicitações, crie identificadores exclusivos e adicione os nomes à caixa de texto Público-Alvo no JWT.
    Esse nome de público-alvo está definido na configuração do gateway de validação e é usado para verificar se este gateway é o público-alvo. Se o público-alvo no JWT não corresponder ao nome do público-alvo configurado aqui, a solicitação será rejeitada.
  7. Clique em Salvar e em Concluir na página Intervalos de Rede.

O que Fazer Depois

Os nomes de público-alvo exclusivos que você adiciona aqui também devem ser adicionados à configuração do gateway de validação.