Wenn der VMware Identity Manager-Dienst mit einem validierenden Gateway wie F5 integriert ist, muss die Einstellung „Artefakt in JWT umschließen“ im VMware Identity Manager-Dienst aktiviert sein, um die den Benutzern zugewiesenen Horizon-Ressourcen zu authentifizieren.

Wenn „Artefakt in JWT umschließen“ aktiviert ist, um eine Horizon-Ressourcenstartanforderung zu authentifizieren, generiert der VMware Identity Manager-Dienst ein digital signiertes JWT-Token, das das SAML-Artefakt zur Überprüfung enthält.

Dieser JWT-Token wird an das validierende Gateway in der DMZ gesendet. Das Gateway validiert das JWT-Token aus VMware Identity Manager und extrahiert den SAML-Artefaktwert aus dem Token. Das Gateway leitet die Anfrage mit dem tatsächlichen SAML-Artefaktwert an den Horizon Connector Server weiter. Der Verbindungsserver überprüft die Anfrage und der Benutzer ist bei der Horizon-Ressource angemeldet.

Wenn „Artefakt in JWT umschließen“ nicht aktiviert ist, übergibt das validierende Gateway den Artefakt nicht an den Horizon-Verbindungsserver zur Validierung und Authentifizierung.

Voraussetzungen

Das Validierungs-Gateway, das mit den folgenden VMware Identity Manger-Details konfiguriert ist.

  • SSL-Zertifikat
  • OAuth2-Client-ID und geheimer Schlüssel
  • VMware Identity Manager-Validierung der Endpoint-URL

Prozedur

  1. Melden Sie sich bei der VMware Identity Manager-Konsole an.
  2. Wählen Sie die Registerkarte Katalog > Virtuelle Apps aus und klicken Sie dann auf Einstellungen für virtuelle Apps.
  3. Klicken Sie auf Netzwerkeinstellungen und wählen Sie den Netzwerkbereich der IP-Adressen aus, den die Horizon-Ressource verwenden kann.
    Der Abschnitt View-Pod enthält alle View-Pods, die Sie der Sammlung hinzugefügt haben und für die die Option „Lokale Berechtigungen synchronisieren“ ausgewählt wurde. Schritte zur Konfiguration von Client-Zugriffs-URLs für Pods und Pod-Föderationen finden Sie unter Konfigurieren von Horizon Pods und Pod-Verbünden in VMware Identity Manager.
  4. Aktivieren Sie im Abschnitt View Pod das Kontrollkästchen Artefakt in JWT umschließen in der konfigurierten Horizon-Umgebung.
  5. Wenn mehr als ein validierendes Gateway Anfragen bearbeiten kann, erstellen Sie eindeutige Identifikatoren und fügen Sie die Namen zum Textfeld Zielgruppe in JWT hinzu.
    Dieser Zielgruppenname wird im Setup des Validierungs-Gateway konfiguriert und dient zur Überprüfung, ob es sich bei diesem Gateway um die beabsichtigte Zielgruppe handelt. Wenn die Zielgruppe in JWT nicht mit dem hier konfigurierten Publikumsnamen übereinstimmt, wird die Anfrage abgelehnt.
  6. Klicken Sie auf Fertig stellen.

Nächste Maßnahme

Die eindeutigen Publikumsnamen, die Sie hier hinzufügen, müssen auch der validierenden Gateway-Konfiguration hinzugefügt werden.