Quando il servizio VMware Identity Manager è integrato con un gateway di convalida, come ad esempio F5, l'artefatto di wrapping nell'impostazione di JWT deve essere attivato nel servizio VMware Identity Manager per autenticare le risorse di Horizon assegnate agli utenti.

Quando l'artefatto di wrapping in JWT è attivato per l'autenticazione di una richiesta di avvio delle risorse di Horizon, il servizio VMware Identity Manager genera un token JWT con firma digitale che include l'artefatto SAML per consentire la verifica.

Questo token JWT viene inviato al gateway durante la convalida nel DMZ. Il gateway convalida il token JWT da VMware Identity Manager ed estrae il valore dell'artefatto SAML dal token. Il gateway inoltra la richiesta con il valore dell'artefatto SAML reale al server di connessione di Horizon. Il server di connessione verifica la richiesta e l'utente viene connesso alla risorsa di Horizon.

Se l'opzione Esegui wrapping dell'artefatto in JWT non è abilitata, il gateway di convalida non passa l'artefatto al server di connessione di Horizon per la convalida e l'autenticazione non riesce.

Prerequisiti

  • Il gateway di convalida deve essere configurato con i dettagli di VMware Identity Manger seguenti.
    • Certificato SSL
    • ID e segreto del client OAuth2
    • URL dell'endpoint di convalida di VMware Identity Manager
  • Per eseguire questa procedura è necessario disporre del ruolo di amministratore con privilegi avanzati in VMware Identity Manager.

Procedura

  1. Accedere alla console di VMware Identity Manager.
  2. Selezionare la scheda Catalogo > Raccolta app virtuali.
  3. Fare clic sulla raccolta di Horizon da modificare, quindi fare clic su Modifica intervallo di rete.
  4. Fare clic sull'intervallo di rete di indirizzi IP che la risorsa di Horizon può utilizzare.
    La sezione Pod elenca tutti i pod di Horizon aggiunti alla raccolta in cui è selezionata l'opzione Sincronizza permessi locali. Per informazioni sui passaggi per la configurazione dei nomi di dominio completi di accesso al client per i pod e le federazioni di pod, vedere ISHPUBLMODULEMISSING.html#GUID-0F51186D-624F-4208-818F-A06D5ACE6F3D.
  5. Nella sezione Pod abilitare l'opzione Esegui wrapping dell'artefatto in JWT nell'ambiente di Horizon configurato.

    Abilitazione di JWT in un pod di Horizon

  6. Se più di un gateway di convalida è in grado di elaborare richieste, creare identificatori univoci e aggiungere i nomi nella casella di testo Destinatari in JWT.
    Questo nome dei destinatari è configurato nella configurazione del gateway di convalida e viene utilizzato per verificare che il gateway coincida con i destinatari desiderati. Se i destinatari in JWT non corrispondono al nome del gruppo di destinatari configurato qui, la richiesta viene rifiutata.
  7. Fare clic su Salva, quindi fare clic su Fine nella pagina Intervalli di rete.

Operazioni successive

I nomi univoci dei destinatari aggiunti devono inoltre essere aggiunti nella configurazione del gateway di convalida.