VMware Identity Manager 服务与验证网关(如 F5)集成后,必须在 VMware Identity Manager 服务中启用“在 JWT 中封装项目”设置,才能对分配给用户的 Horizon 资源进行身份验证。

如果启用“在 JWT 中封装项目”以对 Horizon 资源启动请求进行身份验证,VMware Identity Manager 服务会生成一个包含 SAML 项目的数字签名 JWT 令牌以允许进行验证。

此 JWT 令牌会被发送到 DMZ 中的验证网关。网关对来自 VMware Identity Manager 的 JWT 令牌进行验证,并从令牌中提取 SAML 项目值。网关将包含实际 SAML 项目值的请求转发到 Horizon Connector 服务器。Connector 服务器验证该请求后,用户便会登录到 Horizon 资源。

如果未启用“在 JWT 中封装项目”,验证网关不会将项目传递到 Horizon Connector 服务器以进行验证,并且身份验证将失败。

前提条件

已为验证网关配置以下 VMware Identity Manger 详细信息。

  • SSL 证书
  • OAuth2 客户端 ID 和密码
  • VMware Identity Manager 验证端点 URL

过程

  1. 登录到 VMware Identity Manager 控制台。
  2. 选择目录 > 虚拟应用程序选项卡,然后单击虚拟应用程序设置
  3. 单击网络设置,然后选择 Horizon 资源可以使用的 IP 地址的网络范围。
    “View 容器”部分列出了添加到集合并选择了“同步本地授权”选项的所有 View 容器。请参阅 在 VMware Identity Manager 中配置 Horizon 容器和容器联合,以了解为容器和容器联合配置客户端访问 URL 的步骤。
  4. 在“View 容器”部分中,启用所配置的 Horizon 环境上的在 JWT 中封装项目复选框。
  5. 如果有多个验证网关可以处理请求,请创建唯一标识符,并将名称添加到 JWT 中的受众文本框中。
    此受众名称是在设置验证网关时配置的,用来验证此网关是目标受众。如果 JWT 中的受众与此处配置的受众名称不匹配,请求会被拒绝。
  6. 单击完成

下一步做什么

还必须将您在此处添加的唯一受众名称添加到验证网关配置中。