UAG (Unified Access Gateway) 支持 JSON Web 令牌 (JWT) 验证。您可以配置 JSON Web 令牌设置以验证在 Horizon 单点登录期间由 Workspace ONE Access 发出的 SAML 项目,并在将 UAG 与 Horizon Universal Broker 配合使用时支持 Horizon 协议重定向功能。

当在 Workspace ONE Access Horizon 配置中启用在 JWT 中打包项目复选框时,Workspace ONE Access 会发出 JWT 打包 Horizon SAML 项目。这允许 UAG 阻止身份验证尝试,除非在尝试进行 SAML 项目身份验证时提供了受信任的 JWT。

在这两种用例中,您必须指定 JWT 设置,以允许 UAG 信任收到的 JWT 令牌的颁发者。

对 JWT 设置使用动态公钥 URL,以便 UAG 自动为此信任维护最新公钥。仅当 UAG 无法访问动态公钥 URL 时,才能使用静态公钥。

以下过程介绍了 JSON Web 令牌设置配置:

过程

  1. 在管理 UI 的“手动配置”部分中,单击选择
  2. 在“高级设置”下,选择“JWT 设置”齿轮箱图标。
  3. 在“JWT 设置”窗口中,单击添加
  4. 在“帐户设置”窗口中,输入以下信息:
    选项 默认值和描述
    名称 可将此设置标识为用于验证的名称。
    颁发者 在要验证的入站令牌中的颁发者声明中指定的 JWT 颁发者值。

    默认情况下,此字段的值设置为名称字段。

    注: 仅为 Universal Broker 协议重定向用例配置 颁发者
    动态公钥 URL

    输入用于动态获取公钥的 URL。

    公钥 URL 指纹 输入公钥 URL 指纹的列表。如果未提供指纹列表,请确保受信任的 CA 颁发了服务器证书。输入十六进制指纹数字。例如,sha1= C3 89 A2 19 DC 7A 48 2B 85 1C 81 EC 5E 8F 6A 3C 33 F2 95 C3。
    受信任证书

    单击“+”可选择 PEM 格式的证书并将其添加到信任存储中。单击“-”可从信任存储中移除证书。默认情况下,别名是 PEM 证书的文件名。要提供其他名称,请编辑别名文本框。

    公钥刷新时间间隔

    从 URL 定期获取公钥的时间间隔(以秒为单位)。

    静态公钥
    注: 如果动态公钥 URL 不可用,请设置静态公钥。
    单击 + 可选择并添加要用于 JWT 验证的公钥。

    此文件必须采用 PEM 格式。

  5. 单击保存

结果

“JWT 设置”下将列出参数的详细信息。