Workspace ONE Access 服务与验证网关(如 F5)集成后,必须在 Workspace ONE Access 服务中启用“在 JWT 中封装项目”设置,才能对分配给用户的 Horizon 资源进行身份验证。

如果启用“在 JWT 中封装项目”以对 Horizon 资源启动请求进行身份验证,Workspace ONE Access 服务会生成一个包含 SAML 项目的数字签名 JWT 令牌以允许进行验证。

此 JWT 令牌会被发送到 DMZ 中的验证网关。网关对来自 Workspace ONE Access 的 JWT 令牌进行验证,并从令牌中提取 SAML 项目值。网关将具有实际 SAML 项目值的请求转发到 Horizon 连接服务器。连接服务器验证该请求,然后将用户登录到 Horizon 资源。

如果未启用“在 JWT 中封装项目”,验证网关不会将项目传送到 Horizon 连接服务器以进行验证,并且身份验证失败。

前提条件

  • 必须为验证网关配置以下 Workspace ONE Access 详细信息。
    • SSL 证书
    • OAuth2 客户端 ID 和密码
    • Workspace ONE Access 验证端点 URL
  • Workspace ONE Access 中需要具有超级管理员角色以执行该过程。

过程

  1. 登录到 Workspace ONE Access 控制台。
  2. 选择目录 > 虚拟应用程序集合选项卡。
  3. 单击要编辑的 Horizon 集合,然后单击编辑网络范围
  4. 单击 Horizon 资源可以使用的 IP 地址的网络范围。
    “容器”部分将列出添加到集合并选择了“同步本地授权”选项的所有 Horizon 容器。有关为容器和容器联合配置客户端访问 URL 的步骤,请参阅 在 Workspace ONE Access 中配置 Horizon 容器和容器联合
  5. 在“容器”部分中,在配置的 Horizon 环境上启用在 JWT 中封装项目选项。

    在 Horizon 容器上启用 JWT

  6. 如果有多个验证网关可以处理请求,请创建唯一标识符,并将名称添加到 JWT 中的受众文本框中。
    此受众名称是在设置验证网关时配置的,用来验证此网关是目标受众。如果 JWT 中的受众与此处配置的受众名称不匹配,请求会被拒绝。
  7. 单击保存,然后在“网络范围”页面中单击完成

后续步骤

还必须将您在此处添加的唯一受众名称添加到验证网关配置中。