Unified Access Gateway admite la validación de token web de JSON (JWT). Puede configurar los ajustes de consumidor de token web de JSON para validar un artefacto SAML emitido por Workspace ONE Access durante el inicio de sesión único para Horizon y para admitir la función de redireccionamiento del protocolo de Horizon cuando Unified Access Gateway se usa con Horizon Universal Broker.

Workspace ONE Access emite un artefacto SAML de Horizon encapsulado de JWT cuando la casilla de verificación Encapsular artefacto en JWT está habilitada en la configuración de Horizon de Workspace ONE Access. Esto permite que el dispositivo de Unified Access Gateway bloquee los intentos de autenticación, a menos que se suministre un JWT de confianza con el intento de autenticación de artefacto SAML.

En ambos casos de uso, debe especificar la configuración de JWT para permitir que Unified Access Gateway confíe en el emisor de los tokens de JWT recibidos.

Utilice una URL de clave pública dinámica para la configuración de consumidor de JWT, de modo que Unified Access Gateway mantenga automáticamente las claves públicas más recientes para esta confianza. Solo debe utilizar claves públicas estáticas si Unified Access Gateway no puede acceder a la URL de clave pública dinámica.

El siguiente procedimiento describe la configuración del consumidor de token web JSON:

Procedimiento

  1. En la sección de configuración manual de la IU del administrador, haga clic en Seleccionar.
  2. En Configuración avanzada, seleccione el icono de engranaje de Configuración de JWT.
  3. En la ventana Configuración de JWT, haga clic en Agregar consumidor de JWT o Agregar productor de JWT.
    Si agrega un consumidor de JWT, introduzca los siguientes detalles:
    Opción Valor predeterminado y descripción
    Nombre Un nombre para identificar este ajuste para la validación.
    Emisor Introduzca el valor del emisor de JWT con distinción entre mayúsculas y minúsculas que está presente en la notificación del emisor del token entrante que se validará.

    De forma predeterminada, el valor de este campo se establece en el campo Nombre.

    Nota: El Emisor se configura solo cuando se utiliza Unified Access Gateway con Horizon Cloud Service.
    URL de clave pública dinámica

    Introduzca la URL para recuperar la clave pública dinámicamente.

    Una clave pública puede ser una clave pública única o un formato JSON Web Key Set (JWKS).

    Con el formato JWKS, se pueden obtener varias claves públicas con formato JSON Web Key (JWK) para validar JWT.

    Cada JWK tiene un identificador único (kid) y este identificador está presente en el JWT proporcionado a Unified Access Gateway. Con este identificador, Unified Access Gateway identifica la clave pública que se utilizará.

    Huellas digitales de URL de clave pública Introduzca la lista de huellas digitales de la URL de la clave pública. Si no proporciona una lista de huellas digitales, asegúrese de que una entidad de certificación de confianza emita los certificados del servidor. Introduzca los dígitos hexadecimales de las huellas digitales.
    Certificados de confianza
    • Para seleccionar un certificado en formato PEM y agregarlo al almacén de confianza, haga clic en +.
    • Para eliminar un certificado del almacén de confianza, haga clic en -.
    • Para proporcionar un nombre diferente, edite el cuadro de texto del alias.

      De forma predeterminada, el nombre de alias es el nombre de archivo del certificado PEM.

    Intervalo de actualización de clave pública

    El intervalo de tiempo en segundos bajo el cual se recupera la clave pública de la URL de forma periódica.

    Claves públicas estáticas Haga clic en + para seleccionar y agregar una clave pública que se utilizará para la validación de JWT.

    El archivo debe estar en el formato PEM.

    Nota: Si una URL de clave pública dinámica no está disponible, establezca una clave pública estática.
    Si agrega un productor de JWT, introduzca los siguientes detalles:
    Opción Valor predeterminado y descripción
    Nombre Un nombre de productor de JWT para identificar este ajuste para la validación.
    Emisor Introduzca el valor del emisor de JWT con distinción entre mayúsculas y minúsculas que se va a especificar en la notificación del emisor de JWT producido que se enviará al destinatario.

    De forma predeterminada, el valor de este campo se establece en el campo Nombre.

    Tipo de certificado de firma de JWT

    Seleccione los tipos de certificado válidos para la firma de JWT en el menú desplegable. Las opciones son:

    • PEM:
      • Clave privada: haga clic en Seleccionar y desplácese hasta el archivo de clave privada del certificado en formato PEM.
      • Cadena de certificados: haga clic en Seleccionar y desplácese hasta el archivo de cadena de certificados en formato PEM.
    • PFX:
      • Cargar PFX: haga clic en Seleccionar y desplácese hasta el certificado de firma de JWT en formato PFX.
      • Contraseña: introduzca la contraseña del certificado PFX.
      • Alias: introduzca el alias del certificado PFX si hay varios certificados presentes en el almacén de certificados.

    Clave privada de firma de JWT

    Haga clic en Seleccionar y desplácese hasta la clave privada del certificado en formato PEM utilizado para la firma de JWT.

    Cadena de certificados de firma de JWT

    Haga clic en Seleccionar y desplácese hasta la cadena de certificados en formato PEM utilizada para la firma de JWT.
    Configurar los ajustes de clave pública de cifrado

    La clave de cifrado (estática o dinámica) se utiliza para cifrar el JWT producido por Unified Access Gateway.

    Active esta opción para configurar la URL de clave pública de cifrado para obtener la clave pública dinámicamente desde la URL.

    Desactive esta opción para cargar claves públicas de cifrado estáticas.

    URL de clave pública dinámica

    Introduzca la URL para recuperar la clave pública dinámicamente.

    Una clave pública puede ser una clave pública única o un formato JSON Web Key Set (JWKS).

    Con el formato JWKS, se pueden obtener varias claves públicas con formato JSON Web Key (JWK) para validar JWT.

    Cada JWK tiene un identificador único (kid) y este identificador está presente en el JWT proporcionado a Unified Access Gateway. Con este identificador, Unified Access Gateway identifica la clave pública que se utilizará.

    Huellas digitales de URL de clave pública Introduzca la lista de huellas digitales de la URL de la clave pública. Si no proporciona una lista de huellas digitales, asegúrese de que una entidad de certificación de confianza emita los certificados del servidor. Introduzca los dígitos hexadecimales de las huellas digitales.
    Certificados de confianza
    • Para seleccionar un certificado en formato PEM y agregarlo al almacén de confianza, haga clic en +.
    • Para eliminar un certificado del almacén de confianza, haga clic en -.
    • Para proporcionar un nombre diferente, edite el cuadro de texto del alias.

      De forma predeterminada, el nombre de alias es el nombre de archivo del certificado PEM. Puede agregar un máximo de 64 archivos de certificado de confianza.

    Intervalo de actualización de clave pública

    El intervalo de tiempo en segundos bajo el cual se recupera la clave pública de la URL de forma periódica.

    El valor predeterminado es 3600 (1 hora).

    Si se establece en 0, las claves públicas se recuperan de la URL exactamente una vez.

    Claves públicas estáticas Haga clic en + para seleccionar y agregar una clave pública que se utilizará para el cifrado de JWT.

    El archivo debe estar en el formato PEM.

    Nota: Si una URL de clave pública dinámica no está disponible, establezca una clave pública estática.
  4. Haga clic en Guardar.

Resultados

Los detalles de los parámetros se enumeran en Configuración de JWT.