Unified Access Gateway unterstützt die Validierung des JSON-Webtokens (JWT). Sie können die Einstellungen für JSON-Webtoken-Verbraucher so konfigurieren, dass ein SAML-Artefakt validiert wird, das von Workspace ONE Access während der Single Sign-On-Anmeldung bei Horizon ausgestellt wird, und dass die Funktion der Horizon-Protokollumleitung unterstützt wird, wenn das Unified Access Gateway mit Horizon Universal Broker verwendet wird.
Workspace ONE Access gibt ein JWT-umschlossenes Horizon-SAML-Artefakt aus, wenn das Kontrollkästchen Artefakt in JWT umschließen in der Workspace ONE Access Horizon-Konfiguration aktiviert ist. Dies ermöglicht der Unified Access Gateway-Appliance die Blockierung von Authentifizierungsversuchen, es sei denn, ein vertrauenswürdiges JWT wird mit dem SAML-Artefakt-Authentifizierungsversuch bereitgestellt.
In beiden Anwendungsfällen müssen Sie die JWT-Einstellungen so konfigurieren, dass das Unified Access Gateway den Aussteller der empfangenen JWT-Token als vertrauenswürdig einstuft.
Verwenden Sie eine dynamische URL für den öffentlichen Schlüssel für die JWT-Verbrauchereinstellungen, damit das Unified Access Gateway automatisch die neuesten öffentlichen Schlüssel für diese Vertrauensstellung verwaltet. Sie dürfen nur statische öffentliche Schlüssel verwenden, wenn das Unified Access Gateway nicht auf die dynamische URL für den öffentlichen Schlüssel zugreifen kann.
Das folgende Verfahren beschreibt die Konfiguration der Einstellungen für den JSON-Webtoken-Verbraucher:
Prozedur
- Klicken Sie auf der Verwaltungsoberfläche im Bereich „Manuell konfigurieren“ auf Auswählen.
- Wählen Sie unter „Erweiterte Einstellungen“ das Zahnradsymbol für die JWT-Einstellungen aus.
- Klicken Sie im Fenster „JWT-Einstellungen“ auf JWT-Verbraucher hinzufügen.
- Geben Sie im Fenster „JWT-Verbrauchereinstellungen“ die folgenden Informationen ein:
Option Standard und Beschreibung Name Einen Namen zur Identifizierung dieser Einstellung für die Validierung. Aussteller Geben Sie den JWT-Ausstellerwert unter Berücksichtigung der Groß- und Kleinschreibung ein, der im Ausstelleranspruch des zu validierenden eingehenden Tokens enthalten ist. Standardmäßig ist der Wert für dieses Feld auf das Feld Name festgelegt.
Hinweis: Aussteller wird nur konfiguriert, wenn Unified Access Gateway mit Horizon Cloud Service verwendet wird.URL des dynamischen öffentlichen Schlüssels Geben Sie die URL für das dynamische Abrufen des öffentlichen Schlüssels ein.
Ein öffentlicher Schlüssel kann entweder ein einzelner öffentlicher Schlüssel sein oder im JSON Web Key Set(JWKS)-Format vorliegen.Mit dem JWKS-Format können mehrere öffentliche Schlüssel im JSON Web Key(JWK)-Format für die Validierung des JWT abgerufen werden.
Jeder JWK verfügt über einen eindeutigen Bezeichner (kid). Dieser Bezeichner ist in dem für Unified Access Gateway bereitgestellten JWT vorhanden. Mit diesem Bezeichner identifiziert Unified Access Gateway den zu verwendenden öffentlichen Schlüssel.
URL-Fingerabdrücke für den öffentlichen Schlüssel Geben Sie die Liste der URL-Fingerabdrücke für den öffentlichen Schlüssel ein. Wenn Sie keine Fingerabdruckliste zur Verfügung stellen, müssen Sie sicherstellen, dass die Serverzertifikate durch eine vertrauenswürdige Zertifizierungsstelle ausgestellt wurden. Geben Sie die Fingerabdrücke als Hexadezimalzahlen ein. Beispiel: sha1 = C3 89 A2 19 DC 7A 48 2B 85 1C 81 EC 5E 8F 6A 3C 33 F2 95 C3. Vertrauenswürdige Zertifikate - Klicken Sie auf +, um ein Zertifikat im PEM-Format auszuwählen und es zum Trust Store hinzuzufügen.
- Klicken Sie auf -, um ein Zertifikat aus dem Trust Store zu entfernen.
- Um einen anderen Namen anzugeben, bearbeiten Sie das Textfeld „Alias“.
Standardmäßig ist der Aliasname der Dateiname des PEM-Zertifikats.
Aktualisierungsintervall für den öffentlichen Schlüssel Das Zeitintervall in Sekunden, in dem der öffentliche Schlüssel regelmäßig von der URL abgerufen wird.
Statische öffentliche Schlüssel Klicken Sie auf +, um einen öffentlichen Schlüssel auszuwählen und hinzuzufügen, der für die JWT-Validierung verwendet wird. Die Datei muss im PEM-Format vorliegen.
Hinweis: Wenn keine dynamische URL für den öffentlichen Schlüssel verfügbar ist, legen Sie einen statischen öffentlichen Schlüssel fest. - Klicken Sie auf Speichern.
Ergebnisse
Die Details der Parameter werden unter „JWT-Einstellungen“ aufgelistet.