Lorsque le service Workspace ONE Access est intégré à une passerelle de validation, telle que F5, le paramètre Encapsuler l'artefact dans JWT doit être activé dans le service Workspace ONE Access pour authentifier les ressources Horizon affectées aux utilisateurs.

Lorsque le paramètre Encapsuler l'artefact dans JWT est activé pour authentifier une demande de lancement de ressource Horizon, le service Workspace ONE Access génère un jeton JWT signé numériquement qui inclut l'artefact SAML afin d'autoriser la vérification.

Ce jeton JWT est envoyé à la passerelle de validation dans la zone DMZ. La passerelle valide le jeton JWT depuis Workspace ONE Access et extrait la valeur d'artefact SAML du jeton. La passerelle transmet la demande avec la valeur d'artefact SAML réelle au Serveur de connexion Horizon. Le Serveur de connexion vérifie la demande et l'utilisateur est connecté à la ressource Horizon.

Si le paramètre Encapsuler l'artefact dans JWT n'est pas activé, la passerelle de validation ne transmet pas l'artefact au Serveur de connexion Horizon pour la validation, et l'authentification échoue.

Conditions préalables

  • La passerelle de validation doit être configurée avec les détails suivants de Workspace ONE Access.
    • Certificat SSL
    • ID et secret du client OAuth2
    • URL du point de terminaison de validation Workspace ONE Access
  • Un rôle Super administrateur est requis dans Workspace ONE Access pour effectuer cette procédure.

Procédure

  1. Connectez-vous à la console Workspace ONE Access.
  2. Sélectionnez l'onglet Catalogue > Collections d'applications virtuelles.
  3. Cliquez sur la collecte Horizon à modifier, puis cliquez sur Modifier la plage réseau.
  4. Cliquez sur la plage réseau des adresses IP que la ressource Horizon peut utiliser.
    La section Espace répertorie tous les espaces Horizon que vous avez ajoutés à la collecte pour laquelle vous avez sélectionné l'option Synchroniser les droits locaux. Pour obtenir les étapes de configuration des noms de domaine complets de l'accès du client pour les espaces et les fédérations d'espaces, consultez la section Configurer des espaces Horizon et des fédérations de groupes dans Workspace ONE Access.
  5. Dans la section Espace, activez l'option Encapsuler l'artefact dans JWT dans l'environnement Horizon configuré.

    Activer JWT sur l'espace Horizon

  6. Si plusieurs passerelles de validation peuvent traiter la demande, créez des identifiants uniques et ajoutez les noms à la zone de texte Public dans JWT.
    Ce nom de public est défini dans la configuration de la passerelle de validation et permet de vérifier que la passerelle est le public cible. Si le paramètre Public dans JWT ne correspond pas au nom de public configuré ici, la demande est rejetée.
  7. Cliquez sur Enregistrer, puis sur Terminer sur la page Plages réseau.

Que faire ensuite

Les noms uniques de publics que vous ajoutez ici doivent également être ajoutés à la configuration de la passerelle de validation.