Quando il servizio VMware Identity Manager è integrato con un gateway di convalida, come ad esempio F5, l'artefatto di wrapping nell'impostazione di JWT deve essere attivato nel servizio VMware Identity Manager per autenticare le risorse di Horizon assegnate agli utenti.

Quando l'artefatto di wrapping in JWT è attivato per l'autenticazione di una richiesta di avvio delle risorse di Horizon, il servizio VMware Identity Manager genera un token JWT con firma digitale che include l'artefatto SAML per consentire la verifica.

Questo token JWT viene inviato al gateway durante la convalida nel DMZ. Il gateway convalida il token JWT da VMware Identity Manager ed estrae il valore dell'artefatto SAML dal token. Il gateway inoltra la richiesta con il valore reale dell'artefatto SAML al server di Horizon Connector. Il server del connettore verifica la richiesta e l'utente accede alla risorsa di Horizon.

Se l'artefatto di wrapping in JWT non è attivato, il gateway di convalida non trasferisce l'artefatto al server di connessione di Horizon per la convalida e l'autenticazione ha esito negativo.

Prerequisiti

Il gateway di convalida è configurato con i seguenti dettagli di VMware Identity Manger.

  • Certificato SSL
  • ID e segreto del client OAuth2
  • URL dell'endpoint di convalida di VMware Identity Manager

Procedura

  1. Accedere alla console di VMware Identity Manager.
  2. Selezionare la scheda Catalogo > App virtuali, quindi fare clic su Impostazioni app virtuali.
  3. Fare clic su Impostazioni di rete e selezionare l'intervallo di rete di indirizzi IP che può utilizzare la risorsa di Horizon.
    La sezione Pod di View elenca tutti i pod di View aggiunti alla raccolta in cui è selezionata l'opzione Sincronizza permessi locali. Vedere Configurarazione di pod Horizon e federazioni di pod in VMware Identity Manager per la procedura di configurazione degli URL di accesso al client pod e federazioni di pod.
  4. Nella sezione Pod di View, selezionare la casella di controllo Esegui wrapping dell'artefatto in JWT nell'ambiente Horizon configurato.
  5. Se più di un gateway di convalida è in grado di elaborare richieste, creare identificatori univoci e aggiungere i nomi nella casella di testo Destinatari in JWT.
    Questo nome dei destinatari è configurato nella configurazione del gateway di convalida e viene utilizzato per verificare che il gateway coincida con i destinatari desiderati. Se i destinatari in JWT non corrispondono al nome del gruppo di destinatari configurato qui, la richiesta viene rifiutata.
  6. Fare clic su Fine.

Operazioni successive

I nomi univoci dei destinatari aggiunti devono inoltre essere aggiunti nella configurazione del gateway di convalida.