Unified Access Gateway prend en charge la validation du jeton Web JSON (JWT). Vous pouvez configurer les paramètres de consommateur de jeton Web JSON pour valider un artefact SAML émis par Workspace ONE Access pendant la connexion Single Sign-On à Horizon et pour prendre en charge la fonctionnalité de redirection du protocole Horizon lorsqu'Unified Access Gateway est utilisé avec Horizon Universal Broker.
Workspace ONE Access génère un artefact Horizon SAML encapsulé dans JWT lorsque la case Encapsuler l'artefact dans JWT est activée dans la configuration de Workspace ONE Access Horizon. Cela permet au dispositif Unified Access Gateway de bloquer les tentatives d'authentification, sauf si un jeton JWT approuvé est fourni avec la tentative d'authentification de l'artefact SAML.
Dans les deux cas d'utilisation, vous devez spécifier les paramètres JWT pour permettre à Unified Access Gateway de faire confiance à l'émetteur des jetons JWT reçus.
Utilisez une URL de clé publique dynamique pour les paramètres du consommateur JWT afin qu'Unified Access Gateway conserve automatiquement les dernières clés publiques pour cette approbation. Vous ne devez utiliser des clés publiques statiques que si Unified Access Gateway ne peut pas accéder à l'URL de clé publique dynamique.
La procédure suivante décrit la configuration des paramètres du consommateur de jeton Web JSON :
Procédure
- Dans la section Configuration manuelle de l'interface utilisateur d'administration, cliquez sur Sélectionner.
- Sous Paramètres avancés, sélectionnez l'icône en forme d'engrenage Paramètres JWT.
- Dans la fenêtre Paramètres JWT, cliquez sur Ajouter un consommateur JWT.
- Dans la fenêtre Paramètres de consommateur JWT, entrez les informations suivantes :
Option Par défaut et description Nom Nom permettant d'identifier ce paramètre pour la validation. Émetteur Entrez la valeur de l'émetteur JWT sensible à la casse qui est présente dans la réclamation de l'émetteur du jeton entrant à valider. Par défaut, la valeur de ce champ est définie sur le champ Nom.
Note : L'émetteur est configuré uniquement lorsqu' Unified Access Gateway est utilisé avec Horizon Cloud Service.URL de clé publique dynamique Entrez l'URL d'extraction dynamique de la clé publique.
Une clé publique peut être une clé publique unique ou un format JWKS (JSON Web Key Set).Avec le format JWKS, plusieurs clés publiques au format JWK (JSON Web Key) peuvent être obtenues pour la validation du JWT.
Chaque jeton JWK dispose d'un identifiant unique (kid) et cet identifiant est présent dans le jeton JWT fourni à Unified Access Gateway. Cet identifiant permet à Unified Access Gateway d'identifier la clé publique à utiliser.
Empreintes numériques d'URL de clé publique Entrez la liste des empreintes numériques d'URL de clé publique. Si vous ne fournissez pas de liste d'empreintes numériques, assurez-vous que les certificats de serveur sont émis par une autorité de certification approuvée. Entrez les chiffres d'empreintes numériques au format hexadécimal. Par exemple, sha1= C3 89 A2 19 DC 7A 48 2B 85 1C 81 EC 5E 8F 6A 3C 33 F2 95 C3. Certificats approuvés - Pour sélectionner un certificat au format PEM et l'ajouter au magasin d'approbations, cliquez sur le signe +.
- Pour supprimer un certificat du magasin d'approbations, cliquez sur le signe -.
- Pour fournir un nom différent, modifiez la zone de texte de l'alias.
Par défaut, le nom d'alias est le nom de fichier du certificat PEM.
Intervalle d'actualisation de clé publique Intervalle de temps en secondes d'extraction périodique de clé publique de l'URL.
Clés publiques statiques Cliquez sur + pour sélectionner et ajouter une clé publique à utiliser pour la validation de JWT. Le fichier doit être au format PEM.
Note : Si aucune URL de clé publique dynamique n'est disponible, définissez une clé publique statique. - Cliquez sur Enregistrer.
Résultats
Les détails des paramètres sont répertoriés sous Paramètres JWT.