Einstellungen des JSON-Webtokens (JWT)

Unified Access Gateway unterstützt die Validierung des JSON-Webtokens (JWT). Sie können die Einstellungen für JSON-Webtoken-Verbraucher so konfigurieren, dass ein SAML-Artefakt validiert wird, das von Workspace ONE Access während der Single Sign-On-Anmeldung bei Horizon ausgestellt wird, und dass die Funktion der Horizon-Protokollumleitung unterstützt wird, wenn das Unified Access Gateway mit Horizon Universal Broker verwendet wird.

Workspace ONE Access gibt ein JWT-umschlossenes Horizon-SAML-Artefakt aus, wenn das Kontrollkästchen Artefakt in JWT umschließen in der Workspace ONE Access Horizon-Konfiguration aktiviert ist. Dies ermöglicht der Unified Access Gateway-Appliance die Blockierung von Authentifizierungsversuchen, es sei denn, ein vertrauenswürdiges JWT wird mit dem SAML-Artefakt-Authentifizierungsversuch bereitgestellt.

In beiden Anwendungsfällen müssen Sie die JWT-Einstellungen so konfigurieren, dass das Unified Access Gateway den Aussteller der empfangenen JWT-Token als vertrauenswürdig einstuft.

Verwenden Sie eine dynamische URL für den öffentlichen Schlüssel für die JWT-Verbrauchereinstellungen, damit das Unified Access Gateway automatisch die neuesten öffentlichen Schlüssel für diese Vertrauensstellung verwaltet. Sie dürfen nur statische öffentliche Schlüssel verwenden, wenn das Unified Access Gateway nicht auf die dynamische URL für den öffentlichen Schlüssel zugreifen kann.

Das folgende Verfahren beschreibt die Konfiguration der Einstellungen für den JSON-Webtoken-Verbraucher:

Prozedur

Klicken Sie auf der Verwaltungsoberfläche im Bereich „Manuell konfigurieren“ auf Auswählen.
Wählen Sie unter „Erweiterte Einstellungen“ das Zahnradsymbol für die JWT-Einstellungen aus.

Klicken Sie im Fenster „JWT-Einstellungen“ entweder auf JWT-Verbraucher hinzufügen oder JWT-Hersteller hinzufügen.

Wenn Sie einen JWT-Verbraucher hinzufügen, geben Sie die folgenden Details ein:

Option	Standard und Beschreibung
Name	Einen Namen zur Identifizierung dieser Einstellung für die Validierung.
Aussteller	Geben Sie den JWT-Ausstellerwert unter Berücksichtigung der Groß- und Kleinschreibung ein, der im Ausstelleranspruch des zu validierenden eingehenden Tokens enthalten ist. Standardmäßig ist der Wert für dieses Feld auf das Feld Name festgelegt. Hinweis: Aussteller wird nur konfiguriert, wenn Unified Access Gateway mit Horizon Cloud Service verwendet wird.
URL des dynamischen öffentlichen Schlüssels	Geben Sie die URL für das dynamische Abrufen des öffentlichen Schlüssels ein. Ein öffentlicher Schlüssel kann entweder ein einzelner öffentlicher Schlüssel sein oder im JSON Web Key Set(JWKS)-Format vorliegen. Mit dem JWKS-Format können mehrere öffentliche Schlüssel im JSON Web Key(JWK)-Format für die Validierung des JWT abgerufen werden. Jeder JWK verfügt über einen eindeutigen Bezeichner (kid). Dieser Bezeichner ist in dem für Unified Access Gateway bereitgestellten JWT vorhanden. Mit diesem Bezeichner identifiziert Unified Access Gateway den zu verwendenden öffentlichen Schlüssel.
URL-Fingerabdrücke für den öffentlichen Schlüssel	Geben Sie die Liste der URL-Fingerabdrücke für den öffentlichen Schlüssel ein. Wenn Sie keine Fingerabdruckliste zur Verfügung stellen, müssen Sie sicherstellen, dass die Serverzertifikate durch eine vertrauenswürdige Zertifizierungsstelle ausgestellt wurden. Geben Sie die Fingerabdrücke als Hexadezimalzahlen ein.
Vertrauenswürdige Zertifikate	Klicken Sie auf +, um ein Zertifikat im PEM-Format auszuwählen und es zum Trust Store hinzuzufügen. Klicken Sie auf -, um ein Zertifikat aus dem Trust Store zu entfernen. Um einen anderen Namen anzugeben, bearbeiten Sie das Textfeld „Alias“. Standardmäßig ist der Aliasname der Dateiname des PEM-Zertifikats.
Aktualisierungsintervall für den öffentlichen Schlüssel	Das Zeitintervall in Sekunden, in dem der öffentliche Schlüssel regelmäßig von der URL abgerufen wird.
Statische öffentliche Schlüssel	Klicken Sie auf +, um einen öffentlichen Schlüssel auszuwählen und hinzuzufügen, der für die JWT-Validierung verwendet wird. Die Datei muss im PEM-Format vorliegen. Hinweis: Wenn keine dynamische URL für den öffentlichen Schlüssel verfügbar ist, legen Sie einen statischen öffentlichen Schlüssel fest.

Wenn Sie einen JWT-Hersteller hinzufügen, geben Sie die folgenden Details ein:

Option	Standard und Beschreibung
Name	Ein JWT-Herstellername zur Identifizierung dieser Einstellung für die Validierung.
Aussteller	Geben Sie den JWT-Ausstellerwert unter Berücksichtigung der Groß- und Kleinschreibung ein, der in dem erstellten und an den Empfänger zu sendenden JWT-Ausstelleranspruch angegeben werden soll. Standardmäßig ist der Wert für dieses Feld auf das Feld Name festgelegt.
JWT-Signaturzertifikatstyp	Wählen Sie im Dropdown-Menü die gültigen Zertifikatstypen für die JWT-Signatur aus. Folgende Optionen stehen zur Verfügung: PEM: Privater Schlüssel: Klicken Sie auf Auswählen und navigieren Sie zu der Datei mit dem privaten Schlüssel für das Zertifikat im PEM-Format. Zertifikatskette: Klicken Sie auf Auswählen und navigieren Sie zur Zertifikatskettendatei im PEM-Format. PFX: PFX hochladen: Klicken Sie auf Auswählen und navigieren Sie zum JWT-Signaturzertifikat im PFX-Format. Kennwort: Geben Sie das Kennwort des PFX-Zertifikats ein. Alias: Geben Sie den Alias des PFX-Zertifikats ein, wenn mehrere Zertifikate im Zertifikatspeicher vorhanden sind.
Privater JWT-Signaturschlüssel	Klicken Sie auf Auswählen und navigieren Sie zum privaten Schlüssel für das Zertifikat im PEM-Format, das für die JWT-Signatur verwendet wird.
JWT-Signaturzertifikatskette	Klicken Sie auf Auswählen und navigieren Sie zur Zertifikatskette im PEM-Format, das für die JWT-Signatur verwendet wird.
Einstellungen für den öffentlichen Verschlüsselungsschlüssel konfigurieren	Der Verschlüsselungsschlüssel (statisch oder dynamisch) wird verwendet, um das von Unified Access Gateway erzeugte JWT zu verschlüsseln. Aktivieren Sie diese Umschaltoption, um die URL des öffentlichen Schlüssels für die Verschlüsselung zu konfigurieren, damit der öffentliche Schlüssel dynamisch von der URL abgerufen werden kann. Deaktivieren Sie diese Umschaltoption, um statische öffentliche Schlüssel für die Verschlüsselung hochzuladen.
URL des dynamischen öffentlichen Schlüssels	Geben Sie die URL für das dynamische Abrufen des öffentlichen Schlüssels ein. Ein öffentlicher Schlüssel kann entweder ein einzelner öffentlicher Schlüssel sein oder im JSON Web Key Set(JWKS)-Format vorliegen. Mit dem JWKS-Format können mehrere öffentliche Schlüssel im JSON Web Key(JWK)-Format für die Validierung des JWT abgerufen werden. Jeder JWK verfügt über einen eindeutigen Bezeichner (kid). Dieser Bezeichner ist in dem für Unified Access Gateway bereitgestellten JWT vorhanden. Mit diesem Bezeichner identifiziert Unified Access Gateway den zu verwendenden öffentlichen Schlüssel.
URL-Fingerabdrücke für den öffentlichen Schlüssel	Geben Sie die Liste der URL-Fingerabdrücke für den öffentlichen Schlüssel ein. Wenn Sie keine Fingerabdruckliste zur Verfügung stellen, müssen Sie sicherstellen, dass die Serverzertifikate durch eine vertrauenswürdige Zertifizierungsstelle ausgestellt wurden. Geben Sie die Fingerabdrücke als Hexadezimalzahlen ein.
Vertrauenswürdige Zertifikate	Klicken Sie auf +, um ein Zertifikat im PEM-Format auszuwählen und es zum Trust Store hinzuzufügen. Klicken Sie auf -, um ein Zertifikat aus dem Trust Store zu entfernen. Um einen anderen Namen anzugeben, bearbeiten Sie das Textfeld „Alias“. Standardmäßig ist der Aliasname der Dateiname des PEM-Zertifikats. Sie können maximal 64 vertrauenswürdige Zertifikatsdateien hinzufügen.
Aktualisierungsintervall für den öffentlichen Schlüssel	Das Zeitintervall in Sekunden, in dem der öffentliche Schlüssel regelmäßig von der URL abgerufen wird. Der Standardwert beträgt 3600 Minuten (1 Stunden). Wenn dieser Wert auf 0 festgelegt ist, wird der öffentliche Schlüssel genau einmal von der URL abgerufen.
Statische öffentliche Schlüssel	Klicken Sie auf +, um einen öffentlichen Schlüssel auszuwählen und hinzuzufügen, der für die JWT-Verschlüsselung verwendet wird. Die Datei muss im PEM-Format vorliegen. Hinweis: Wenn keine dynamische URL für den öffentlichen Schlüssel verfügbar ist, legen Sie einen statischen öffentlichen Schlüssel fest.

Klicken Sie auf Speichern.

Ergebnisse

Die Details der Parameter werden unter „JWT-Einstellungen“ aufgelistet.