Wenn der VMware Identity Manager-Dienst mit einem validierenden Gateway wie F5 integriert ist, muss die Einstellung „Artefakt in JWT umschließen“ im VMware Identity Manager-Dienst aktiviert sein, um die den Benutzern zugewiesenen Horizon-Ressourcen zu authentifizieren.
Wenn „Artefakt in JWT umschließen“ aktiviert ist, um eine Horizon-Ressourcenstartanforderung zu authentifizieren, generiert der VMware Identity Manager-Dienst ein digital signiertes JWT-Token, das das SAML-Artefakt zur Überprüfung enthält.
Dieser JWT-Token wird an das validierende Gateway in der DMZ gesendet. Das Gateway validiert das JWT-Token aus VMware Identity Manager und extrahiert den SAML-Artefaktwert aus dem Token. Das Gateway leitet die Anfrage mit dem tatsächlichen SAML-Artefaktwert an den Horizon Connector Server weiter. Der Verbindungsserver überprüft die Anfrage und der Benutzer ist bei der Horizon-Ressource angemeldet.
Wenn „Artefakt in JWT umschließen“ nicht aktiviert ist, übergibt das validierende Gateway den Artefakt nicht an den Horizon-Verbindungsserver zur Validierung und Authentifizierung.
Voraussetzungen
Das Validierungs-Gateway, das mit den folgenden VMware Identity Manger-Details konfiguriert ist.
- SSL-Zertifikat
- OAuth2-Client-ID und geheimer Schlüssel
- VMware Identity Manager-Validierung der Endpoint-URL
Prozedur
Nächste Maßnahme
Die eindeutigen Publikumsnamen, die Sie hier hinzufügen, müssen auch der validierenden Gateway-Konfiguration hinzugefügt werden.