Cuando el servicio de Workspace ONE Access se integra con una puerta de enlace de validación, como F5, debe habilitarse el ajuste Encapsular artefacto en JWT en el servicio de Workspace ONE Access para autenticar los recursos de Horizon asignados a los usuarios.
Cuando Encapsular artefacto en JWT está habilitado para autenticar una solicitud de inicio de recursos de Horizon, el servicio de Workspace ONE Access genera un token de JWT firmado digitalmente que incluye el artefacto SAML para permitir la verificación.
El token de JWT se envía a la puerta de enlace de validación en la DMZ. La puerta de enlace valida el token de JWT desde Workspace ONE Access y extrae el valor del artefacto SAML del token. La puerta de enlace reenvía la solicitud con el valor real del artefacto SAML al servidor de conexión de Horizon. El servidor de conexión comprueba la solicitud y el usuario inicia sesión en el recurso de Horizon.
Si Encapsular artefacto en JWT no está habilitado, la puerta de enlace de validación no transfiere el artefacto al servidor de conexión de Horizon para su validación y se produce un error de autenticación.
Requisitos previos
- La puerta de enlace de validación debe estar configurada con los siguientes detalles de Workspace ONE Access.
- Certificado SSL
- Secreto e ID de cliente de OAuth2
- Dirección URL de endpoint de validación de Workspace ONE Access
- Se requiere una función de superadministrador en Workspace ONE Access para realizar este procedimiento.
Procedimiento
Qué hacer a continuación
Los nombres de audiencia únicos que se agregan aquí también deben agregarse a la configuración de la puerta de enlace de validación.