Unified Access Gateway 支持 JSON Web 令牌 (JSON Web Token, JWT) 验证。您可以配置 JSON Web 令牌使用者设置以验证在 Horizon 单点登录期间由 Workspace ONE Access 发出的 SAML 项目,并在将 Unified Access Gateway 与 Horizon Universal Broker 配合使用时支持 Horizon 协议重定向功能。
当在 Workspace ONE Access Horizon 配置中启用在 JWT 中打包项目复选框时,Workspace ONE Access 会发出 JWT 打包 Horizon SAML 项目。这允许 Unified Access Gateway 设备阻止身份验证尝试,除非在尝试进行 SAML 项目身份验证时提供了受信任的 JWT。
在这两种用例中,您必须指定 JWT 设置,以允许 Unified Access Gateway 信任收到的 JWT 令牌的颁发者。
对 JWT 使用者设置使用动态公钥 URL,以便 Unified Access Gateway 自动为此信任维护最新公钥。仅当 Unified Access Gateway 无法访问动态公钥 URL 时,才能使用静态公钥。
以下过程介绍了 JSON Web 令牌使用者设置配置:
过程
- 在管理 UI 的“手动配置”部分中,单击选择。
- 在“高级设置”下,选择“JWT 设置”齿轮箱图标。
- 在“JWT 设置”窗口中,单击添加 JWT 使用者或添加 JWT 生成者。
如果添加 JWT 使用者,请输入以下详细信息:
选项 |
默认值和描述 |
名称 |
用于标识此设置以进行验证的名称。 |
颁发者 |
输入要验证的入站令牌的颁发者声明中存在的 JWT 颁发者值(区分大小写)。 默认情况下,此字段的值设置为名称字段。
注: 仅当将
Unified Access Gateway 与 Horizon Cloud Service 配合使用时,才会配置
颁发者。
|
动态公钥 URL |
输入用于动态获取公钥的 URL。 公钥可以采用单个公钥或 JSON Web 密钥集 (JSON Web Key Set, JWKS) 格式。如果采用 JWKS 格式,则可以获取多个 JSON Web 密钥 (JSON Web Key, JWK) 格式的公钥,以用于验证 JWT。 每个 JWK 都有一个唯一标识符 (kid),此标识符位于提供给 Unified Access Gateway 的 JWT 中。使用此标识符,Unified Access Gateway 可识别要使用的公钥。 |
公钥 URL 指纹 |
输入公钥 URL 指纹的列表。如果未提供指纹列表,请确保受信任的 CA 颁发了服务器证书。输入十六进制指纹数字。 |
受信任证书 |
- 单击 + 可选择 PEM 格式的证书并将其添加到信任存储中。
- 单击 - 可从信任存储中移除证书。
- 要提供其他名称,请编辑别名文本框。
默认情况下,别名是 PEM 证书的文件名。
|
公钥刷新时间间隔 |
从 URL 定期获取公钥的时间间隔(以秒为单位)。 |
静态公钥 |
单击 + 可选择并添加要用于 JWT 验证的公钥。 此文件必须采用 PEM 格式。
注: 如果动态公钥 URL 不可用,请设置静态公钥。
|
如果添加 JWT 生成者,请输入以下详细信息:
选项 |
默认值和描述 |
名称 |
用于标识此设置以进行验证的 JWT 生成者名称。 |
颁发者 |
输入在生成的要发送给接收者的 JWT 颁发者声明中指定的 JWT 颁发者值(区分大小写)。 默认情况下,此字段的值设置为名称字段。 |
JWT 签名证书类型 |
从下拉菜单中选择用于 JWT 签名的有效证书类型。选项包括:
- PEM:
- 私钥:单击选择,然后浏览到 PEM 格式的证书私钥文件。
- 证书链:单击选择,然后浏览到 PEM 格式的证书链文件。
- PFX:
- 上载 PFX:单击选择,然后浏览到 PFX 格式的 JWT 签名证书。
- 密码:输入 PFX 证书的密码。
- 别名:如果证书存储中存在多个证书,则输入 PFX 证书的别名。
|
JWT 签名私钥 |
单击选择,然后浏览到用于 JWT 签名的 PEM 格式的证书私钥。 |
JWT 签名证书链 |
单击选择,然后浏览到用于 JWT 签名的 PEM 格式的证书链。 |
配置加密公钥设置 |
加密密钥(静态或动态)用于对 Unified Access Gateway 生成的 JWT 进行加密。 打开此切换开关可配置用于从 URL 动态获取公钥的加密公钥 URL。关闭此切换开关可上载静态加密公钥。 |
动态公钥 URL |
输入用于动态获取公钥的 URL。 公钥可以采用单个公钥或 JSON Web 密钥集 (JSON Web Key Set, JWKS) 格式。如果采用 JWKS 格式,则可以获取多个 JSON Web 密钥 (JSON Web Key, JWK) 格式的公钥,以用于验证 JWT。 每个 JWK 都有一个唯一标识符 (kid),此标识符位于提供给 Unified Access Gateway 的 JWT 中。使用此标识符,Unified Access Gateway 可识别要使用的公钥。 |
公钥 URL 指纹 |
输入公钥 URL 指纹的列表。如果未提供指纹列表,请确保受信任的 CA 颁发了服务器证书。输入十六进制指纹数字。 |
受信任证书 |
|
公钥刷新时间间隔 |
从 URL 定期获取公钥的时间间隔(以秒为单位)。 默认值为 3600(1 小时)。 如果将此选项设置为 0,则将只从 URL 获取公钥一次。 |
静态公钥 |
单击 + 可选择并添加要用于 JWT 加密的公钥。 此文件必须采用 PEM 格式。
注: 如果动态公钥 URL 不可用,请设置静态公钥。
|
- 单击保存。