Cuando el servicio de VMware Identity Manager se integra con una puerta de enlace de validación, como F5, debe habilitarse el ajuste Encapsular artefacto en JWT en el servicio de VMware Identity Manager para autenticar los recursos de Horizon asignados a los usuarios.

Cuando Encapsular artefacto en JWT está habilitado para autenticar una solicitud de inicio de recursos de Horizon, el servicio de VMware Identity Manager genera un token de JWT firmado digitalmente que incluye el artefacto SAML para permitir la verificación.

El token de JWT se envía a la puerta de enlace de validación en la DMZ. La puerta de enlace valida el token de JWT desde VMware Identity Manager y extrae el valor del artefacto SAML del token. La puerta de enlace reenvía la solicitud con el valor real del artefacto SAML al servidor de conexión de Horizon. El servidor de conexión comprueba la solicitud y el usuario inicia sesión en el recurso de Horizon.

Si Encapsular artefacto en JWT no está habilitado, la puerta de enlace de validación no transfiere el artefacto al servidor de Horizon Connector para su validación y se produce un error de autenticación.

Requisitos previos

La puerta de enlace de validación configurada con los siguientes detalles de VMware Identity Manger.

  • Certificado SSL
  • Secreto e ID de cliente de OAuth2
  • Dirección URL de endpoint de validación de VMware Identity Manager

Procedimiento

  1. Inicie sesión en la consola de VMware Identity Manager.
  2. Seleccione la pestaña Catálogo > Aplicaciones virtuales y, a continuación, haga clic en Configuración de aplicaciones virtuales.
  3. Haga clic en Configuración de la red y seleccione el rango de redes de direcciones IP que el recurso de Horizon pueda utilizar.
    En la sección Pod de View se enumeran todos los pods de View que agregó a la colección y que tienen seleccionada la opción Sincronizar autorizaciones locales. Si desea conocer los pasos para configurar direcciones URL de acceso de cliente para pods y federaciones de pods, consulte Configurar federaciones de módulos y pods de Horizon en VMware Identity Manager.
  4. En la sección Pod de View, habilite la casilla de verificación Encapsular artefacto en JWT en el entorno de Horizon que está configurado.
  5. Si más de una puerta de enlace de validación puede procesar solicitudes, cree identificadores únicos y agregue los nombres al cuadro de texto Audiencia en JWT.
    El nombre de audiencia se configura en la configuración de la puerta de enlace de validación y se utiliza para comprobar que esta sea la audiencia de destino. Si la audiencia en JWT no coincide con el nombre de audiencia configurado aquí, se rechaza la solicitud.
  6. Haga clic en Finalizar.

Qué hacer a continuación

Los nombres de audiencia únicos que se agregan aquí también deben agregarse a la configuración de la puerta de enlace de validación.