Wenn der VMware Identity Manager-Dienst mit einem validierenden Gateway wie F5 integriert ist, muss die Einstellung „Artefakt in JWT umschließen“ im VMware Identity Manager-Dienst aktiviert sein, um die den Benutzern zugewiesenen Horizon-Ressourcen zu authentifizieren.

Wenn „Artefakt in JWT umschließen“ aktiviert ist, um eine Horizon-Ressourcenstartanforderung zu authentifizieren, generiert der VMware Identity Manager-Dienst ein digital signiertes JWT-Token, das das SAML-Artefakt zur Überprüfung enthält.

Dieser JWT-Token wird an das validierende Gateway in der DMZ gesendet. Das Gateway validiert das JWT-Token aus VMware Identity Manager und extrahiert den SAML-Artefaktwert aus dem Token. Das Gateway leitet die Anfrage mit dem tatsächlichen SAML-Artefaktwert an den Horizon-Verbindungsserver weiter. Der Verbindungsserver überprüft die Anfrage und der Benutzer ist bei der Horizon-Ressource angemeldet.

Wenn „Artefakt in JWT umschließen“ nicht aktiviert ist, übergibt das validierende Gateway den Artefakt nicht an den Horizon-Verbindungsserver zur Validierung und Authentifizierung.

Voraussetzungen

  • Das Validierungs-Gateway muss mit den folgenden VMware Identity Manger-Details konfiguriert werden.
    • SSL-Zertifikat
    • OAuth2-Client-ID und geheimer Schlüssel
    • VMware Identity Manager-Validierung der Endpoint-URL
  • In VMware Identity Manager ist eine Super-Admin-Rolle erforderlich, um diesen Vorgang durchzuführen.

Prozedur

  1. Melden Sie sich bei der VMware Identity Manager-Konsole an.
  2. Wählen Sie die Registerkarte Katalog > Sammlungen virtueller Apps.
  3. Klicken Sie auf die Horizon-Sammlung, die Sie bearbeiten möchten, und klicken Sie dann auf Netzwerkbereich bearbeiten.
  4. Klicken Sie auf den Netzwerkbereich der IP-Adressen aus, den die Horizon-Ressource verwenden kann.
    Der Abschnitt „Pod“ enthält alle Horizon-Pods, die Sie der Sammlung hinzugefügt haben und für die die Option „Lokale Berechtigungen synchronisieren“ ausgewählt wurde. Schritte zur Konfiguration von Clientzugriffs-FQDNs für Pods und Pod-Verbünde finden Sie unter Konfigurieren von Horizon Pods und Pod-Verbünden in VMware Identity Manager.
  5. Aktivieren Sie im Abschnitt „Pod“ das Kontrollkästchen Artefakt in JWT umschließen in der Horizon-Umgebung, die konfiguriert ist.

    JWT für Horizon-Pod aktivieren

  6. Wenn mehr als ein validierendes Gateway Anfragen bearbeiten kann, erstellen Sie eindeutige Identifikatoren und fügen Sie die Namen zum Textfeld Zielgruppe in JWT hinzu.
    Dieser Zielgruppenname wird im Setup des Validierungs-Gateway konfiguriert und dient zur Überprüfung, ob es sich bei diesem Gateway um die beabsichtigte Zielgruppe handelt. Wenn die Zielgruppe in JWT nicht mit dem hier konfigurierten Publikumsnamen übereinstimmt, wird die Anfrage abgelehnt.
  7. Klicken Sie auf Speichern und dann auf der Seite „Netzwerkbereiche“ auf Fertig stellen.

Nächste Maßnahme

Die eindeutigen Publikumsnamen, die Sie hier hinzufügen, müssen auch der validierenden Gateway-Konfiguration hinzugefügt werden.