UAG (Unified Access Gateway) unterstützt die Validierung des JSON-Webtokens (JWT). Sie können die JSON-Webtokeneinstellungen so konfigurieren, dass ein SAML-Artefakt validiert wird, das von Workspace ONE Access während der Single Sign-On-Anmeldung bei Horizon ausgestellt wird, und dass die Funktion der Horizon-Protokollumleitung unterstützt wird, wenn das UAG mit Horizon Universal Broker verwendet wird.
Workspace ONE Access gibt ein JWT-umschlossenes Horizon-SAML-Artefakt aus, wenn das Kontrollkästchen Artefakt in JWT umschließen in der Workspace ONE Access Horizon-Konfiguration aktiviert ist. Dies ermöglicht dem UAG die Blockierung von Authentifizierungsversuchen, es sei denn, ein vertrauenswürdiges JWT wird mit dem SAML-Artefakt-Authentifizierungsversuch bereitgestellt.
In beiden Anwendungsfällen müssen Sie die JWT-Einstellungen so konfigurieren, dass das UAG den Aussteller der empfangenen JWT-Token als vertrauenswürdig einstuft.
Verwenden Sie eine dynamische URL für den öffentlichen Schlüssel für die JWT-Einstellungen, damit das UAG automatisch die neuesten öffentlichen Schlüssel für diese Vertrauensstellung verwaltet. Sie dürfen nur statische öffentliche Schlüssel verwenden, wenn das UAG nicht auf die dynamische URL für den öffentlichen Schlüssel zugreifen kann.
Die folgende Vorgehensweise beschreibt die Konfiguration der JSON-Webtokeneinstellungen:
Prozedur
- Klicken Sie auf der Verwaltungsoberfläche im Bereich „Manuell konfigurieren“ auf Auswählen.
- Wählen Sie unter „Erweiterte Einstellungen“ das Zahnradsymbol für die JWT-Einstellungen aus.
- Klicken Sie im Fenster „JWT-Einstellungen“ auf Hinzufügen.
- Geben Sie im Fenster Kontoeinstellungen die folgenden Informationen ein:
Option Standard und Beschreibung Name Einen Namen zur Identifizierung dieser Einstellung für die Validierung. Aussteller Die JWT-Austellerwerte, wie sie im Issuer-Anspruch im eingehenden Token angegeben sind, müssen validiert werden. Standardmäßig ist der Wert für dieses Feld auf das Feld Name festgelegt.
Hinweis: Aussteller ist nur für den Anwendungsfall „Universal Broker-Protokollumleitung“ konfiguriert.URL des dynamischen öffentlichen Schlüssels Geben Sie die URL für das dynamische Abrufen des öffentlichen Schlüssels ein.
URL-Fingerabdrücke für den öffentlichen Schlüssel Geben Sie die Liste der URL-Fingerabdrücke für den öffentlichen Schlüssel ein. Wenn Sie keine Fingerabdruckliste zur Verfügung stellen, müssen Sie sicherstellen, dass die Serverzertifikate durch eine vertrauenswürdige Zertifizierungsstelle ausgestellt wurden. Geben Sie die Fingerabdrücke als Hexadezimalzahlen ein. Beispiel: sha1 = C3 89 A2 19 DC 7A 48 2B 85 1C 81 EC 5E 8F 6A 3C 33 F2 95 C3. Vertrauenswürdige Zertifikate Klicken Sie auf „+“, wählen Sie ein Zertifikat im PEM-Format und fügen Sie es zum Trust Store hinzu. Klicken Sie auf „-“, um ein Zertifikat aus dem Trust Store zu entfernen. Standardmäßig ist der Aliasname der Dateinamen des PEM-Zertifikats. Um einen anderen Namen anzugeben, bearbeiten Sie das Textfeld „Alias“.
Aktualisierungsintervall für den öffentlichen Schlüssel Das Zeitintervall in Sekunden, in dem der öffentliche Schlüssel regelmäßig von der URL abgerufen wird.
Statische öffentliche Schlüssel Hinweis: Wenn keine dynamische URL für den öffentlichen Schlüssel verfügbar ist, legen Sie einen statischen öffentlichen Schlüssel fest.Klicken Sie auf +, um einen öffentlichen Schlüssel auszuwählen und hinzuzufügen, der für die JWT-Validierung verwendet wird.Die Datei muss im PEM-Format vorliegen.
- Klicken Sie auf Speichern.
Ergebnisse
Die Details der Parameter werden unter „JWT-Einstellungen“ aufgelistet.