Cuando el servicio de VMware Identity Manager se integra con una puerta de enlace de validación, como F5, debe habilitarse el ajuste Encapsular artefacto en JWT en el servicio de VMware Identity Manager para autenticar los recursos de Horizon asignados a los usuarios.

Cuando Encapsular artefacto en JWT está habilitado para autenticar una solicitud de inicio de recursos de Horizon, el servicio de VMware Identity Manager genera un token de JWT firmado digitalmente que incluye el artefacto SAML para permitir la verificación.

El token de JWT se envía a la puerta de enlace de validación en la DMZ. La puerta de enlace valida el token de JWT desde VMware Identity Manager y extrae el valor del artefacto SAML del token. La puerta de enlace reenvía la solicitud con el valor real del artefacto SAML al servidor de conexión de Horizon. El servidor de conexión comprueba la solicitud y el usuario inicia sesión en el recurso de Horizon.

Si Encapsular artefacto en JWT no está habilitado, la puerta de enlace de validación no transfiere el artefacto al servidor de conexión de Horizon para su validación y se produce un error de autenticación.

Requisitos previos

  • La puerta de enlace de validación debe estar configurada con los siguientes detalles de VMware Identity Manger.
    • Certificado SSL
    • Secreto e ID de cliente de OAuth2
    • Dirección URL de endpoint de validación de VMware Identity Manager
  • Se requiere una función de superadministrador en VMware Identity Manager para realizar este procedimiento.

Procedimiento

  1. Inicie sesión en la consola de VMware Identity Manager.
  2. Seleccione la pestaña Catálogo > Colecciones de aplicaciones virtuales.
  3. Haga clic en la colección de Horizon para editarla y, a continuación, haga clic en Editar rango de redes.
  4. Haga clic en el rango de direcciones IP que el recurso de Horizon puede utilizar.
    En la sección Pod se enumeran todos los pods de Horizon que agregó a la colección y que tienen seleccionada la opción Sincronizar autorizaciones locales. Si desea conocer los pasos para configurar FQDN para acceso de cliente para pods y federaciones de pods, consulte Configurar federaciones de módulos y pods de Horizon en VMware Identity Manager.
  5. En la sección Pod, habilite la opción Encapsular artefacto en JWT en el entorno de Horizon que está configurado.

    Habilitar JWT en el pod de Horizon

  6. Si más de una puerta de enlace de validación puede procesar solicitudes, cree identificadores únicos y agregue los nombres al cuadro de texto Audiencia en JWT.
    El nombre de audiencia se configura en la configuración de la puerta de enlace de validación y se utiliza para comprobar que esta sea la audiencia de destino. Si la audiencia en JWT no coincide con el nombre de audiencia configurado aquí, se rechaza la solicitud.
  7. Haga clic en Guardar y, a continuación, haga clic en Finalizar en la página Rangos de redes.

Qué hacer a continuación

Los nombres de audiencia únicos que se agregan aquí también deben agregarse a la configuración de la puerta de enlace de validación.