Unified Access Gateway unterstützt die Validierung des JSON-Webtokens (JWT). Sie können die JSON-Webtokeneinstellungen so konfigurieren, dass ein SAML-Artefakt validiert wird, das von Workspace ONE Access während der Single Sign-On-Anmeldung bei Horizon ausgestellt wird, und dass die Funktion der Horizon-Protokollumleitung unterstützt wird, wenn das Unified Access Gateway mit Horizon Universal Broker verwendet wird.

Workspace ONE Access gibt ein JWT-umschlossenes Horizon-SAML-Artefakt aus, wenn das Kontrollkästchen Artefakt in JWT umschließen in der Workspace ONE Access Horizon-Konfiguration aktiviert ist. Dies ermöglicht der Unified Access Gateway-Appliance die Blockierung von Authentifizierungsversuchen, es sei denn, ein vertrauenswürdiges JWT wird mit dem SAML-Artefakt-Authentifizierungsversuch bereitgestellt.

In beiden Anwendungsfällen müssen Sie die JWT-Einstellungen so konfigurieren, dass das Unified Access Gateway den Aussteller der empfangenen JWT-Token als vertrauenswürdig einstuft.

Verwenden Sie eine dynamische URL für den öffentlichen Schlüssel für die JWT-Einstellungen, damit das Unified Access Gateway automatisch die neuesten öffentlichen Schlüssel für diese Vertrauensstellung verwaltet. Sie dürfen nur statische öffentliche Schlüssel verwenden, wenn das Unified Access Gateway nicht auf die dynamische URL für den öffentlichen Schlüssel zugreifen kann.

Die folgende Vorgehensweise beschreibt die Konfiguration der JSON-Webtokeneinstellungen:

Prozedur

  1. Klicken Sie auf der Verwaltungsoberfläche im Bereich „Manuell konfigurieren“ auf Auswählen.
  2. Wählen Sie unter „Erweiterte Einstellungen“ das Zahnradsymbol für die JWT-Einstellungen aus.
  3. Klicken Sie im Fenster „JWT-Einstellungen“ auf Hinzufügen.
  4. Geben Sie im Fenster Kontoeinstellungen die folgenden Informationen ein:
    Option Standard und Beschreibung
    Name Einen Namen zur Identifizierung dieser Einstellung für die Validierung.
    Aussteller Die JWT-Austellerwerte, wie sie im Issuer-Anspruch im eingehenden Token angegeben sind, müssen validiert werden.

    Standardmäßig ist der Wert für dieses Feld auf das Feld Name festgelegt.

    Hinweis: Aussteller ist nur für den Anwendungsfall „Universal Broker-Protokollumleitung“ konfiguriert.
    URL des dynamischen öffentlichen Schlüssels

    Geben Sie die URL für das dynamische Abrufen des öffentlichen Schlüssels ein.

    Ein öffentlicher Schlüssel kann entweder ein einzelner öffentlicher Schlüssel sein oder im JSON Web Key Set(JWKS)-Format vorliegen.

    Mit dem JWKS-Format können mehrere öffentliche Schlüssel im JSON Web Key(JWK)-Format für die Validierung des JWT abgerufen werden.

    Jeder JWK verfügt über einen eindeutigen Bezeichner (kid). Dieser Bezeichner ist in dem für UAG bereitgestellten JWT vorhanden. Mit diesem Bezeichner identifiziert UAG den zu verwendenden öffentlichen Schlüssel.

    URL-Fingerabdrücke für den öffentlichen Schlüssel Geben Sie die Liste der URL-Fingerabdrücke für den öffentlichen Schlüssel ein. Wenn Sie keine Fingerabdruckliste zur Verfügung stellen, müssen Sie sicherstellen, dass die Serverzertifikate durch eine vertrauenswürdige Zertifizierungsstelle ausgestellt wurden. Geben Sie die Fingerabdrücke als Hexadezimalzahlen ein. Beispiel: sha1 = C3 89 A2 19 DC 7A 48 2B 85 1C 81 EC 5E 8F 6A 3C 33 F2 95 C3.
    Vertrauenswürdige Zertifikate
    • Klicken Sie auf +, um ein Zertifikat im PEM-Format auszuwählen und es zum Trust Store hinzuzufügen.
    • Klicken Sie auf -, um ein Zertifikat aus dem Trust Store zu entfernen.
    • Um einen anderen Namen anzugeben, bearbeiten Sie das Textfeld „Alias“.

      Standardmäßig ist der Aliasname der Dateiname des PEM-Zertifikats.
    Aktualisierungsintervall für den öffentlichen Schlüssel

    Das Zeitintervall in Sekunden, in dem der öffentliche Schlüssel regelmäßig von der URL abgerufen wird.
    Statische öffentliche Schlüssel
    Hinweis: Wenn keine dynamische URL für den öffentlichen Schlüssel verfügbar ist, legen Sie einen statischen öffentlichen Schlüssel fest.
    Klicken Sie auf +, um einen öffentlichen Schlüssel auszuwählen und hinzuzufügen, der für die JWT-Validierung verwendet wird.

    Die Datei muss im PEM-Format vorliegen.
  5. Klicken Sie auf Speichern.

Ergebnisse

Die Details der Parameter werden unter „JWT-Einstellungen“ aufgelistet.