Lorsque le service VMware Identity Manager est intégré à une passerelle de validation, telle que F5, le paramètre Encapsuler l'artefact dans JWT doit être activé dans le service VMware Identity Manager pour authentifier les ressources Horizon affectées aux utilisateurs.

Lorsque le paramètre Encapsuler l'artefact dans JWT est activé pour authentifier une demande de lancement de ressource Horizon, le service VMware Identity Manager génère un jeton JWT signé numériquement qui inclut l'artefact SAML afin d'autoriser la vérification.

Ce jeton JWT est envoyé à la passerelle de validation dans la zone DMZ. La passerelle valide le jeton JWT depuis VMware Identity Manager et extrait la valeur d'artefact SAML du jeton. La passerelle transmet la demande avec la valeur d'artefact SAML réelle au Serveur de connexion Horizon. Le Serveur de connexion vérifie la demande et l'utilisateur est connecté à la ressource Horizon.

Si le paramètre Encapsuler l'artefact dans JWT n'est pas activé, la passerelle de validation ne transmet pas l'artefact au Serveur de connexion Horizon pour la validation, et l'authentification échoue.

Conditions préalables

  • La passerelle de validation doit être configurée avec les détails suivants de VMware Identity Manger.
    • Certificat SSL
    • ID et secret du client OAuth2
    • URL de point de terminaison de validation de VMware Identity Manager
  • Un rôle Super administrateur est requis dans VMware Identity Manager pour effectuer cette procédure.

Procédure

  1. Connectez-vous à la console VMware Identity Manager.
  2. Sélectionnez l'onglet Catalogue > Collections d'applications virtuelles.
  3. Cliquez sur la collecte Horizon à modifier, puis cliquez sur Modifier la plage réseau.
  4. Cliquez sur la plage réseau des adresses IP que la ressource Horizon peut utiliser.
    La section Espace répertorie tous les espaces Horizon que vous avez ajoutés à la collecte pour laquelle vous avez sélectionné l'option Synchroniser les droits locaux. Pour obtenir les étapes de configuration des noms de domaine complets de l'accès du client pour les espaces et les fédérations d'espaces, consultez la section Configurer des espaces Horizon et des fédérations de groupes dans VMware Identity Manager.
  5. Dans la section Espace, activez l'option Encapsuler l'artefact dans JWT dans l'environnement Horizon configuré.

    Activer JWT sur l'espace Horizon

  6. Si plusieurs passerelles de validation peuvent traiter la demande, créez des identifiants uniques et ajoutez les noms à la zone de texte Public dans JWT.
    Ce nom de public est défini dans la configuration de la passerelle de validation et permet de vérifier que la passerelle est le public cible. Si le paramètre Public dans JWT ne correspond pas au nom de public configuré ici, la demande est rejetée.
  7. Cliquez sur Enregistrer, puis sur Terminer sur la page Plages réseau.

Que faire ensuite

Les noms uniques de publics que vous ajoutez ici doivent également être ajoutés à la configuration de la passerelle de validation.