Wenn der Workspace ONE Access-Dienst mit einem validierenden Gateway wie F5 integriert ist, muss die Einstellung „Artefakt in JWT umschließen“ im Workspace ONE Access-Dienst aktiviert sein, um die den Benutzern zugewiesenen Horizon-Ressourcen zu authentifizieren.

Wenn „Artefakt in JWT umschließen“ aktiviert ist, um eine Horizon-Ressourcenstartanforderung zu authentifizieren, generiert der Workspace ONE Access-Dienst ein digital signiertes JWT-Token, das das SAML-Artefakt zur Überprüfung enthält.

Dieser JWT-Token wird an das validierende Gateway in der DMZ gesendet. Das Gateway validiert das JWT-Token aus Workspace ONE Access und extrahiert den SAML-Artefaktwert aus dem Token. Das Gateway leitet die Anfrage mit dem tatsächlichen SAML-Artefaktwert an den Horizon-Verbindungsserver weiter. Der Verbindungsserver überprüft die Anfrage und der Benutzer ist bei der Horizon-Ressource angemeldet.

Wenn „Artefakt in JWT umschließen“ nicht aktiviert ist, übergibt das validierende Gateway den Artefakt nicht an den Horizon-Verbindungsserver zur Validierung und Authentifizierung.

Voraussetzungen

  • Das Validierungs-Gateway muss mit den folgenden Workspace ONE Access-Details konfiguriert werden.
    • SSL-Zertifikat
    • OAuth2-Client-ID und geheimer Schlüssel
    • Endpoint-URL für die Workspace ONE Access-Validierung
  • Zum Durchführen dieses Vorgangs ist eine Super-Admin-Rolle in Workspace ONE Access erforderlich.

Prozedur

  1. Melden Sie sich bei der Workspace ONE Access-Konsole an.
  2. Wählen Sie Ressourcen > Sammlungen virtueller Apps aus.
  3. Klicken Sie auf die Horizon-Sammlung, die Sie bearbeiten möchten, und klicken Sie dann auf Netzwerkbereiche.
  4. Klicken Sie auf den Netzwerkbereich der IP-Adressen aus, den die Horizon-Ressource verwenden kann.
    Der Abschnitt „Pod“ enthält alle Horizon-Pods, die Sie der Sammlung hinzugefügt haben und für die die Option „Lokale Berechtigungen synchronisieren“ ausgewählt wurde. Schritte zur Konfiguration von Clientzugriffs-FQDNs für Pods und Pod-Verbünde finden Sie unter Konfigurieren von Horizon Pods und Pod-Verbünden in Workspace ONE Access.
  5. Aktivieren Sie im Abschnitt „Pod“ das Kontrollkästchen Artefakt in JWT umschließen in der Horizon-Umgebung, die konfiguriert ist.

    JWT für Horizon-Pod aktivieren

  6. Wenn mehr als ein validierendes Gateway Anfragen bearbeiten kann, erstellen Sie eindeutige Identifikatoren und fügen Sie die Namen zum Textfeld Zielgruppe in JWT hinzu.
    Dieser Zielgruppenname wird im Setup des Validierungs-Gateway konfiguriert und dient zur Überprüfung, ob es sich bei diesem Gateway um die beabsichtigte Zielgruppe handelt. Wenn die Zielgruppe in JWT nicht mit dem hier konfigurierten Publikumsnamen übereinstimmt, wird die Anfrage abgelehnt.
  7. Klicken Sie auf Speichern und dann auf der Seite „Netzwerkbereiche“ auf Fertig stellen.

Nächste Maßnahme

Die eindeutigen Publikumsnamen, die Sie hier hinzufügen, müssen auch der validierenden Gateway-Konfiguration hinzugefügt werden.