Lorsque le service VMware Identity Manager est intégré à une passerelle de validation, telle que F5, le paramètre Encapsuler l'artefact dans JWT doit être activé dans le service VMware Identity Manager pour authentifier les ressources Horizon affectées aux utilisateurs.

Lorsque le paramètre Encapsuler l'artefact dans JWT est activé pour authentifier une demande de lancement de ressource Horizon, le service VMware Identity Manager génère un jeton JWT signé numériquement qui inclut l'artefact SAML afin d'autoriser la vérification.

Ce jeton JWT est envoyé à la passerelle de validation dans la zone DMZ. La passerelle valide le jeton JWT depuis VMware Identity Manager et extrait la valeur d'artefact SAML du jeton. La passerelle transmet la demande avec la valeur d'artefact SAML réelle au serveur Horizon Connector. Le serveur Connector vérifie la demande et l'utilisateur est connecté à la ressource Horizon.

Si le paramètre Encapsuler l'artefact dans JWT n'est pas activé, la passerelle de validation ne transmet pas l'artefact au Serveur de connexion Horizon pour la validation, et l'authentification échoue.

Conditions préalables

Passerelle de validation configurée avec les détails suivants de VMware Identity Manger.

  • Certificat SSL
  • ID et secret du client OAuth2
  • URL de point de terminaison de validation de VMware Identity Manager

Procédure

  1. Connectez-vous à la console VMware Identity Manager.
  2. Sélectionnez l'onglet Catalogue > Applications virtuelles, puis cliquez sur Paramètres de l'application virtuelle.
  3. Cliquez sur Paramètres réseau et sélectionnez la plage réseau d'adresses IP que la ressource Horizon peut utiliser.
    La section Espace View répertorie tous les espaces View que vous avez ajoutés à la collecte pour laquelle vous avez sélectionné l'option Synchroniser les droits locaux. Pour obtenir les étapes de configuration des URL d'accès du client pour les espaces et les fédérations d'espaces, reportez-vous à la section Configurer des espaces Horizon et des fédérations de groupes dans VMware Identity Manager.
  4. Dans la section Espace View, cochez la case Encapsuler l'artefact dans JWT dans l'environnement Horizon configuré.
  5. Si plusieurs passerelles de validation peuvent traiter la demande, créez des identifiants uniques et ajoutez les noms à la zone de texte Public dans JWT.
    Ce nom de public est défini dans la configuration de la passerelle de validation et permet de vérifier que la passerelle est le public cible. Si le paramètre Public dans JWT ne correspond pas au nom de public configuré ici, la demande est rejetée.
  6. Cliquez sur Terminer.

Que faire ensuite

Les noms uniques de publics que vous ajoutez ici doivent également être ajoutés à la configuration de la passerelle de validation.