Unified Access Gateway 支持 JSON Web 令牌 (JSON Web Token, JWT) 验证。您可以配置 JSON Web 令牌使用者设置以验证在 Horizon 单点登录期间由 Workspace ONE Access 发出的 SAML 项目,并在将 Unified Access Gateway 与 Horizon Universal Broker 配合使用时支持 Horizon 协议重定向功能。
当在 Workspace ONE Access Horizon 配置中启用在 JWT 中打包项目复选框时,Workspace ONE Access 会发出 JWT 打包 Horizon SAML 项目。这允许 Unified Access Gateway 设备阻止身份验证尝试,除非在尝试进行 SAML 项目身份验证时提供了受信任的 JWT。
在这两种用例中,您必须指定 JWT 设置,以允许 Unified Access Gateway 信任收到的 JWT 令牌的颁发者。
对 JWT 使用者设置使用动态公钥 URL,以便 Unified Access Gateway 自动为此信任维护最新公钥。仅当 Unified Access Gateway 无法访问动态公钥 URL 时,才能使用静态公钥。
以下过程介绍了 JSON Web 令牌使用者设置配置:
过程
- 在管理 UI 的“手动配置”部分中,单击选择。
- 在“高级设置”下,选择“JWT 设置”齿轮箱图标。
- 在“JWT 设置”窗口中,单击添加 JWT 使用者。
- 在“JWT 使用者设置”窗口中,输入以下信息:
选项 默认值和描述 名称 用于标识此设置以进行验证的名称。 颁发者 输入要验证的入站令牌的颁发者声明中存在的 JWT 颁发者值(区分大小写)。 默认情况下,此字段的值设置为名称字段。
注: 仅当将 Unified Access Gateway 与 Horizon Cloud Service 配合使用时,才会配置 颁发者。动态公钥 URL 输入用于动态获取公钥的 URL。
公钥可以采用单个公钥或 JSON Web 密钥集 (JSON Web Key Set, JWKS) 格式。如果采用 JWKS 格式,则可以获取多个 JSON Web 密钥 (JSON Web Key, JWK) 格式的公钥,以用于验证 JWT。
每个 JWK 都有一个唯一标识符 (kid),此标识符位于提供给 Unified Access Gateway 的 JWT 中。使用此标识符,Unified Access Gateway 可识别要使用的公钥。
公钥 URL 指纹 输入公钥 URL 指纹的列表。如果未提供指纹列表,请确保受信任的 CA 颁发了服务器证书。输入十六进制指纹数字。例如,sha1= C3 89 A2 19 DC 7A 48 2B 85 1C 81 EC 5E 8F 6A 3C 33 F2 95 C3。 受信任证书 - 单击 + 可选择 PEM 格式的证书并将其添加到信任存储中。
- 单击 - 可从信任存储中移除证书。
- 要提供其他名称,请编辑别名文本框。
默认情况下,别名是 PEM 证书的文件名。
公钥刷新时间间隔 从 URL 定期获取公钥的时间间隔(以秒为单位)。
静态公钥 单击 + 可选择并添加要用于 JWT 验证的公钥。 此文件必须采用 PEM 格式。
注: 如果动态公钥 URL 不可用,请设置静态公钥。 - 单击保存。
结果
“JWT 设置”下将列出参数的详细信息。