Unified Access Gateway admite la validación de token web de JSON (JWT). Puede configurar los ajustes de consumidor de token web de JSON para validar un artefacto SAML emitido por Workspace ONE Access durante el inicio de sesión único para Horizon y para admitir la función de redireccionamiento del protocolo de Horizon cuando Unified Access Gateway se usa con Horizon Universal Broker.
Workspace ONE Access emite un artefacto SAML de Horizon encapsulado de JWT cuando la casilla de verificación Encapsular artefacto en JWT está habilitada en la configuración de Horizon de Workspace ONE Access. Esto permite que el dispositivo Unified Access Gateway bloquee los intentos de autenticación, a menos que se suministre un JWT de confianza con el intento de autenticación de artefacto SAML.
En ambos casos de uso, debe especificar la configuración de JWT para permitir que Unified Access Gateway confíe en el emisor de los tokens de JWT recibidos.
Utilice una URL de clave pública dinámica para la configuración de consumidor de JWT, de modo que Unified Access Gateway mantenga automáticamente las claves públicas más recientes para esta confianza. Solo debe utilizar claves públicas estáticas si Unified Access Gateway no puede acceder a la URL de clave pública dinámica.
El siguiente procedimiento describe la configuración del consumidor de token web JSON:
Procedimiento
- En la sección de configuración manual de la IU del administrador, haga clic en Seleccionar.
- En Configuración avanzada, seleccione el icono de engranaje de Configuración de JWT.
- En la ventana Configuración de JWT, haga clic en Agregar consumidor de JWT.
- En la ventana Configuración del consumidor de JWT, introduzca la siguiente información:
Opción Valor predeterminado y descripción Nombre Un nombre para identificar este ajuste para la validación. Emisor Introduzca el valor del emisor de JWT con distinción entre mayúsculas y minúsculas que está presente en la notificación del emisor del token entrante que se validará. De forma predeterminada, el valor de este campo se establece en el campo Nombre.
Nota: El Emisor se configura solo cuando se utiliza Unified Access Gateway con Horizon Cloud Service.URL de clave pública dinámica Introduzca la URL para recuperar la clave pública dinámicamente.
Una clave pública puede ser una clave pública única o un formato JSON Web Key Set (JWKS).Con el formato JWKS, se pueden obtener varias claves públicas con formato JSON Web Key (JWK) para validar JWT.
Cada JWK tiene un identificador único (kid) y este identificador está presente en el JWT proporcionado a Unified Access Gateway. Con este identificador, Unified Access Gateway identifica la clave pública que se utilizará.
Huellas digitales de URL de clave pública Introduzca la lista de huellas digitales de la URL de la clave pública. Si no proporciona una lista de huellas digitales, asegúrese de que una entidad de certificación de confianza emita los certificados del servidor. Introduzca los dígitos hexadecimales de las huellas digitales. Por ejemplo, sha1= C3 89 A2 19 DC 7A 48 2B 85 1C 81 EC 5E 8F 6A 3C 33 F2 95 C3. Certificados de confianza - Para seleccionar un certificado en formato PEM y agregarlo al almacén de confianza, haga clic en +.
- Para eliminar un certificado del almacén de confianza, haga clic en -.
- Para proporcionar un nombre diferente, edite el cuadro de texto del alias.
De forma predeterminada, el nombre de alias es el nombre de archivo del certificado PEM.
Intervalo de actualización de clave pública El intervalo de tiempo en segundos bajo el cual se recupera la clave pública de la URL de forma periódica.
Claves públicas estáticas Haga clic en + para seleccionar y agregar una clave pública que se utilizará para la validación de JWT. El archivo debe estar en el formato PEM.
Nota: Si una URL de clave pública dinámica no está disponible, establezca una clave pública estática. - Haga clic en Guardar.
Resultados
Los detalles de los parámetros se enumeran en Configuración de JWT.
