Unified Access Gateway prend en charge la validation du jeton Web JSON (JWT). Vous pouvez configurer les paramètres de consommateur de jeton Web JSON pour valider un artefact SAML émis par Workspace ONE Access pendant la connexion Single Sign-On à Horizon et pour prendre en charge la fonctionnalité de redirection du protocole Horizon lorsqu'Unified Access Gateway est utilisé avec Horizon Universal Broker.

Workspace ONE Access génère un artefact Horizon SAML encapsulé dans JWT lorsque la case Encapsuler l'artefact dans JWT est activée dans la configuration de Workspace ONE Access Horizon. Cela permet au dispositif Unified Access Gateway de bloquer les tentatives d'authentification, sauf si un jeton JWT approuvé est fourni avec la tentative d'authentification de l'artefact SAML.

Dans les deux cas d'utilisation, vous devez spécifier les paramètres JWT pour permettre à Unified Access Gateway de faire confiance à l'émetteur des jetons JWT reçus.

Utilisez une URL de clé publique dynamique pour les paramètres du consommateur JWT afin qu'Unified Access Gateway conserve automatiquement les dernières clés publiques pour cette approbation. Vous ne devez utiliser des clés publiques statiques que si Unified Access Gateway ne peut pas accéder à l'URL de clé publique dynamique.

La procédure suivante décrit la configuration des paramètres du consommateur de jeton Web JSON :

Procédure

  1. Dans la section Configuration manuelle de l'interface utilisateur d'administration, cliquez sur Sélectionner.
  2. Sous Paramètres avancés, sélectionnez l'icône en forme d'engrenage Paramètres JWT.
  3. Dans la fenêtre Paramètres JWT, cliquez sur Ajouter un consommateur JWT ou Ajouter un producteur JWT.
    Si vous ajoutez un consommateur JWT, entrez les détails suivants :
    Option Par défaut et description
    Nom Nom permettant d'identifier ce paramètre pour la validation.
    Émetteur Entrez la valeur de l'émetteur JWT sensible à la casse qui est présente dans la réclamation de l'émetteur du jeton entrant à valider.

    Par défaut, la valeur de ce champ est définie sur le champ Nom.

    Note : L'émetteur est configuré uniquement lorsqu' Unified Access Gateway est utilisé avec Horizon Cloud Service.
    URL de clé publique dynamique

    Entrez l'URL d'extraction dynamique de la clé publique.

    Une clé publique peut être une clé publique unique ou un format JWKS (JSON Web Key Set).

    Avec le format JWKS, plusieurs clés publiques au format JWK (JSON Web Key) peuvent être obtenues pour la validation du JWT.

    Chaque jeton JWK dispose d'un identifiant unique (kid) et cet identifiant est présent dans le jeton JWT fourni à Unified Access Gateway. Cet identifiant permet à Unified Access Gateway d'identifier la clé publique à utiliser.

    Empreintes numériques d'URL de clé publique Entrez la liste des empreintes numériques d'URL de clé publique. Si vous ne fournissez pas de liste d'empreintes numériques, assurez-vous que les certificats de serveur sont émis par une autorité de certification approuvée. Entrez les chiffres d'empreintes numériques au format hexadécimal.
    Certificats approuvés
    • Pour sélectionner un certificat au format PEM et l'ajouter au magasin d'approbations, cliquez sur le signe +.
    • Pour supprimer un certificat du magasin d'approbations, cliquez sur le signe -.
    • Pour fournir un nom différent, modifiez la zone de texte de l'alias.

      Par défaut, le nom d'alias est le nom de fichier du certificat PEM.
    Intervalle d'actualisation de clé publique

    Intervalle de temps en secondes d'extraction périodique de clé publique de l'URL.
    Clés publiques statiques Cliquez sur + pour sélectionner et ajouter une clé publique à utiliser pour la validation de JWT.

    Le fichier doit être au format PEM.

    Note : Si aucune URL de clé publique dynamique n'est disponible, définissez une clé publique statique.
    Si vous ajoutez un producteur JWT, entrez les détails suivants :
    Option Par défaut et description
    Nom Nom du producteur JWT permettant d'identifier ce paramètre pour la validation.
    Émetteur Entrez la valeur de l'émetteur JWT sensible à la casse à spécifier dans la réclamation de l'émetteur JWT produite qui doit être envoyée au destinataire.

    Par défaut, la valeur de ce champ est définie sur le champ Nom.
    Type de certificat de signature JWT

    Sélectionnez les types de certificats valides pour la signature JWT dans le menu déroulant. Les options sont les suivantes :

    • PEM :
      • Clé privée : cliquez sur Sélectionner et accédez au fichier de clé privée du certificat au format PEM.
      • Chaîne de certificats : cliquez sur Sélectionner et accédez au fichier de chaîne de certificats au format PEM.
    • PFX :
      • Charger PFX : cliquez sur Sélectionner et accédez au certificat de signature JWT au format PFX.
      • Mot de passe : entrez le mot de passe du certificat PFX.
      • Alias : entrez l'alias du certificat PFX s'il existe plusieurs certificats dans le magasin de certificats.

    Clé privée de signature JWT

    		 Cliquez sur Sélectionner et accédez à la clé privée du certificat au format PEM utilisé pour la signature JWT.

    Chaîne de certificats de signature JWT

    		 Cliquez sur Sélectionner et accédez à la chaîne de certificats au format PEM utilisé pour la signature JWT.
    Configurer les paramètres de clé publique de chiffrement

    La clé de chiffrement (statique ou dynamique) est utilisée pour chiffrer le jeton JWT généré par Unified Access Gateway.

    Activez cette option pour configurer l'URL de clé publique de chiffrement afin d'extraire la clé publique de manière dynamique à partir de l'URL.

    Désactivez cette option pour charger les clés publiques de chiffrement statique.
    URL de clé publique dynamique

    Entrez l'URL d'extraction dynamique de la clé publique.

    Une clé publique peut être une clé publique unique ou un format JWKS (JSON Web Key Set).

    Avec le format JWKS, plusieurs clés publiques au format JWK (JSON Web Key) peuvent être obtenues pour la validation du JWT.

    Chaque jeton JWK dispose d'un identifiant unique (kid) et cet identifiant est présent dans le jeton JWT fourni à Unified Access Gateway. Cet identifiant permet à Unified Access Gateway d'identifier la clé publique à utiliser.

    Empreintes numériques d'URL de clé publique Entrez la liste des empreintes numériques d'URL de clé publique. Si vous ne fournissez pas de liste d'empreintes numériques, assurez-vous que les certificats de serveur sont émis par une autorité de certification approuvée. Entrez les chiffres d'empreintes numériques au format hexadécimal.
    Certificats approuvés
    • Pour sélectionner un certificat au format PEM et l'ajouter au magasin d'approbations, cliquez sur le signe +.
    • Pour supprimer un certificat du magasin d'approbations, cliquez sur le signe -.
    • Pour fournir un nom différent, modifiez la zone de texte de l'alias.

      Par défaut, le nom d'alias est le nom de fichier du certificat PEM. Vous pouvez ajouter un maximum de 64 fichiers de certificat approuvés.

    Intervalle d'actualisation de clé publique

    Intervalle de temps en secondes d'extraction périodique de clé publique de l'URL.

    La valeur par défaut est 3 600 (1 heure).

    Cette valeur est définie sur 0. La ou les clés publiques sont extraites de l'URL une fois exactement.

    Clés publiques statiques Cliquez sur + pour sélectionner et ajouter une clé publique à utiliser pour le chiffrement du jeton JWT.

    Le fichier doit être au format PEM.

    Note : Si aucune URL de clé publique dynamique n'est disponible, définissez une clé publique statique.
  4. Cliquez sur Enregistrer.

Résultats

Les détails des paramètres sont répertoriés sous Paramètres JWT.