Quando il servizio Workspace ONE Access è integrato con un gateway di convalida, come ad esempio F5, l'artefatto di wrapping nell'impostazione di JWT deve essere attivato nel servizio Workspace ONE Access per autenticare le risorse di Horizon assegnate agli utenti.

Quando l'artefatto di wrapping in JWT è attivato per l'autenticazione di una richiesta di avvio delle risorse di Horizon, il servizio Workspace ONE Access genera un token JWT con firma digitale che include l'artefatto SAML per consentire la verifica.

Questo token JWT viene inviato al gateway durante la convalida nel DMZ. Il gateway convalida il token JWT da Workspace ONE Access ed estrae il valore dell'artefatto SAML dal token. Il gateway inoltra la richiesta con il valore dell'artefatto SAML reale al server di connessione di Horizon. Il server di connessione verifica la richiesta e l'utente viene connesso alla risorsa di Horizon.

Se l'opzione Esegui wrapping dell'artefatto in JWT non è abilitata, il gateway di convalida non passa l'artefatto al server di connessione di Horizon per la convalida e l'autenticazione non riesce.

Prerequisiti

  • Il gateway di convalida deve essere configurato con i dettagli di Workspace ONE Access seguenti.
    • Certificato SSL
    • ID e segreto del client OAuth2
    • URL dell'endpoint di convalida di Workspace ONE Access
  • Per eseguire questa procedura, è necessario disporre del ruolo di amministratore con privilegi avanzati in Workspace ONE Access.

Procedura

  1. Accedere alla console di Workspace ONE Access.
  2. Selezionare Risorse > Raccolte app virtuali.
  3. Fare clic sulla raccolta di Horizon da modificare, quindi fare clic sulla scheda Intervalli di rete.
  4. Fare clic sull'intervallo di rete di indirizzi IP che la risorsa di Horizon può utilizzare.
    La sezione Pod elenca tutti i pod di Horizon aggiunti alla raccolta in cui è selezionata l'opzione Sincronizza permessi locali. Per informazioni sui passaggi per la configurazione dei nomi di dominio completi di accesso al client per i pod e le federazioni di pod, vedere Configurarazione di pod Horizon e federazioni di pod in Workspace ONE Access.
  5. Nella sezione Pod attivare l'opzione Esegui wrapping dell'artefatto in JWT nell'ambiente di Horizon configurato.

    Abilitazione di JWT in un pod di Horizon

  6. Se più di un gateway di convalida è in grado di elaborare richieste, creare identificatori univoci e aggiungere i nomi nella casella di testo Destinatari in JWT.
    Questo nome dei destinatari è configurato nella configurazione del gateway di convalida e viene utilizzato per verificare che il gateway coincida con i destinatari desiderati. Se i destinatari in JWT non corrispondono al nome del gruppo di destinatari configurato qui, la richiesta viene rifiutata.
  7. Fare clic su Salva, quindi fare clic su Fine nella pagina Intervalli di rete.

Operazioni successive

I nomi univoci dei destinatari aggiunti devono inoltre essere aggiunti nella configurazione del gateway di convalida.