Cuando el servicio de VMware Identity Manager se integra con una puerta de enlace de validación, como F5, debe habilitarse el ajuste Encapsular artefacto en JWT en el servicio de VMware Identity Manager para autenticar los recursos de Horizon asignados a los usuarios.
Cuando Encapsular artefacto en JWT está habilitado para autenticar una solicitud de inicio de recursos de Horizon, el servicio de VMware Identity Manager genera un token de JWT firmado digitalmente que incluye el artefacto SAML para permitir la verificación.
El token de JWT se envía a la puerta de enlace de validación en la DMZ. La puerta de enlace valida el token de JWT desde VMware Identity Manager y extrae el valor del artefacto SAML del token. La puerta de enlace reenvía la solicitud con el valor real del artefacto SAML al servidor de conexión de Horizon. El servidor de conexión comprueba la solicitud y el usuario inicia sesión en el recurso de Horizon.
Si Encapsular artefacto en JWT no está habilitado, la puerta de enlace de validación no transfiere el artefacto al servidor de conexión de Horizon para su validación y se produce un error de autenticación.
Requisitos previos
La puerta de enlace de validación debe estar configurada con los siguientes detalles de VMware Identity Manger.
Certificado SSL
Secreto e ID de cliente de OAuth2
Dirección URL de endpoint de validación de VMware Identity Manager
Se requiere una función de superadministrador en VMware Identity Manager para realizar este procedimiento.
Procedimiento
Qué hacer a continuación
Los nombres de audiencia únicos que se agregan aquí también deben agregarse a la configuración de la puerta de enlace de validación.