UAG (Unified Access Gateway) prend en charge la validation du jeton Web JSON (JWT). Vous pouvez configurer les paramètres de jeton Web JSON pour valider un artefact SAML émis par Workspace ONE Access pendant l'opération Single Sign-On à Horizon et pour prendre en charge la fonctionnalité de redirection du protocole Horizon lorsqu'UAG est utilisé avec le broker universel Horizon.
Workspace ONE Access génère un artefact Horizon SAML encapsulé dans JWT lorsque la case Encapsuler l'artefact dans JWT est activée dans la configuration de Workspace ONE Access Horizon. Cela permet à UAG de bloquer les tentatives d'authentification, sauf si un jeton JWT approuvé est fourni avec la tentative d'authentification de l'artefact SAML.
Dans les deux cas d'utilisation, vous devez spécifier les paramètres de JWT pour permettre à UAG de faire confiance à l'émetteur des jetons JWT reçus.
Utilisez une URL de clé publique dynamique pour les paramètres JWT afin qu'UAG conserve automatiquement les dernières clés publiques pour cette approbation. Vous ne devez utiliser des clés publiques statiques que si UAG ne peut pas accéder à l'URL de la clé publique dynamique.
La procédure suivante décrit la configuration des paramètres de jeton Web JSON :
Procédure
- Dans la section Configuration manuelle de l'interface utilisateur d'administration, cliquez sur Sélectionner.
- Sous Paramètres avancés, sélectionnez l'icône en forme d'engrenage Paramètres JWT.
- Dans la fenêtre Paramètres JWT, cliquez sur Ajouter.
- Dans la fenêtre Paramètres du compte, saisissez les informations suivantes :
Option Par défaut et description Nom Nom permettant d'identifier ce paramètre pour la validation. Émetteur Valeurs de l'émetteur de JWT spécifiées dans la réclamation émetteur du jeton entrant à valider. Par défaut, la valeur de ce champ est définie sur le champ Nom.
Note : L'option Émetteur n'est configurée que pour le cas d'utilisation de redirection du protocole de broker universel.URL de clé publique dynamique Entrez l'URL d'extraction dynamique de la clé publique.
Empreintes numériques d'URL de clé publique Entrez la liste des empreintes numériques d'URL de clé publique. Si vous ne fournissez pas de liste d'empreintes numériques, assurez-vous que les certificats de serveur sont émis par une autorité de certification approuvée. Entrez les chiffres d'empreintes numériques au format hexadécimal. Par exemple, sha1= C3 89 A2 19 DC 7A 48 2B 85 1C 81 EC 5E 8F 6A 3C 33 F2 95 C3. Certificats approuvés Cliquez sur le signe « + » pour sélectionner un certificat au format PEM et l'ajouter au magasin des approbations. Cliquez sur le signe «- » pour supprimer un certificat du magasin d'approbations. Par défaut, le nom d'alias est le nom de fichier du certificat PEM. Pour fournir un nom différent, modifiez la zone de texte de l'alias.
Intervalle d'actualisation de clé publique Intervalle de temps en secondes d'extraction périodique de clé publique de l'URL.
Clés publiques statiques Note : Si aucune URL de clé publique dynamique n'est disponible, définissez une clé publique statique.Cliquez sur + pour sélectionner et ajouter une clé publique à utiliser pour la validation de JWT.Le fichier doit être au format PEM.
- Cliquez sur Enregistrer.
Résultats
Les détails des paramètres sont répertoriés sous Paramètres JWT.