UAG (Unified Access Gateway) admite la validación de token web de JSON (JWT). Puede configurar las opciones de token web de JSON para validar un artefacto SAML emitido por Workspace ONE Access durante el inicio de sesión único para Horizon y para admitir la función de redireccionamiento del protocolo de Horizon cuando UAG se usa con el agente universal de Horizon.

Workspace ONE Access emite un artefacto SAML de Horizon encapsulado de JWT cuando la casilla de verificación Encapsular artefacto en JWT está habilitada en la configuración de Horizon de Workspace ONE Access. Esto permite que UAG bloquee los intentos de autenticación, a menos que se suministre un JWT de confianza con el intento de autenticación de artefacto SAML.

En ambos casos de uso, debe especificar la configuración de JWT para permitir que UAG confíe en el emisor de los tokens de JWT recibidos.

Utilice una URL de clave pública dinámica para la configuración de JWT, de modo que la UAG mantenga automáticamente las claves públicas más recientes para esta confianza. Solo debe utilizar claves públicas estáticas si UAG no puede acceder a la URL de clave pública dinámica.

El siguiente procedimiento describe la configuración del token web JSON:

Procedimiento

  1. En la sección de configuración manual de la IU del administrador, haga clic en Seleccionar.
  2. En Configuración avanzada, seleccione el icono de engranaje de Configuración de JWT.
  3. En la ventana Configuración de JWT, haga clic en Agregar.
  4. En la ventana Configuración de la cuenta, introduzca la siguiente información:
    Opción Valor predeterminado y descripción
    Nombre Un nombre para identificar este ajuste para la validación.
    Emisor Los valores del emisor de JWT especificados en la notificación del emisor en el token entrante que se validará.

    De forma predeterminada, el valor de este campo se establece en el campo Nombre.

    Nota: El Emisor solo se configura para el caso de uso de redireccionamiento del protocolo del agente universal.
    URL de clave pública dinámica

    Introduzca la URL para recuperar la clave pública dinámicamente.
    Huellas digitales de URL de clave pública Introduzca la lista de huellas digitales de la URL de la clave pública. Si no proporciona una lista de huellas digitales, asegúrese de que una entidad de certificación de confianza emita los certificados del servidor. Introduzca los dígitos hexadecimales de las huellas digitales. Por ejemplo, sha1= C3 89 A2 19 DC 7A 48 2B 85 1C 81 EC 5E 8F 6A 3C 33 F2 95 C3.
    Certificados de confianza

    Haga clic en '+' para seleccionar un certificado en formato PEM y agregarlo al almacén de confianza. Haga clic en '-' para eliminar un certificado del almacén de confianza. De forma predeterminada, el nombre de alias es el nombre de archivo del certificado PEM. Para proporcionar un nombre diferente, edite el cuadro de texto del alias.
    Intervalo de actualización de clave pública

    El intervalo de tiempo en segundos bajo el cual se recupera la clave pública de la URL de forma periódica.
    Claves públicas estáticas
    Nota: Si una URL de clave pública dinámica no está disponible, establezca una clave pública estática.
    Haga clic en + para seleccionar y agregar una clave pública que se utilizará para la validación de JWT.

    El archivo debe estar en el formato PEM.
  5. Haga clic en Guardar.

Resultados

Los detalles de los parámetros se enumeran en Configuración de JWT.