UAG (Unified Access Gateway) は、JSON Web Token (JWT) 検証をサポートしています。JSON Web トークンを設定して、Horizon へのシングル サインオン中に Workspace ONE Access によって発行された SAML アーティファクトを検証し、UAG が Horizon ユニバーサル ブローカで使用されている場合に Horizon プロトコル リダイレクト機能をサポートできます。

Workspace ONE Access Horizon 構成で [アーティファクト を JWT にラップ] チェック ボックスが有効になっている場合、Workspace ONE Access は、JWT でラップされた Horizon SAML アーティファクトを発行します。これにより、SAML アーティファクト認証の試行で信頼された JWT が指定されない限り、UAG は認証の試行をブロックできます。

どちらの使用事例でも、受信した JWT トークンの発行者を UAG が信頼できるようにするには、JWT 設定を指定する必要があります。

JWT の設定に動的なパブリック キーの URL を使用して、UAG がこの信頼の最新のパブリック キーを自動的に維持できるようにします。UAG が動的パブリック キーの URL にアクセスできない場合にのみ、静的パブリック キーを使用する必要があります。

次の手順では、JSON Web トークンの設定について説明します。

手順

  1. 管理ユーザー インターフェイスの [手動設定] セクションで、[選択] をクリックします。
  2. [詳細設定] で、[JWT 設定] ギア アイコンを選択します。
  3. [JWT 設定] 画面で、[追加] をクリックします。
  4. [アカウント設定] 画面で、次の情報を入力します。
    オプション デフォルトと説明
    名前 検証のためにこの設定を識別するための名前。
    発行者 検証される着信トークンの発行者要求で指定されている JWT 発行者の値。

    デフォルトでは、このフィールドの値は [名前] フィールドに設定されています。

    注: [発行者] は、ユニバーサル ブローカ プロトコル リダイレクトの使用事例に対してのみ設定されます。
    動的パブリック キー URL

    パブリック キーを動的に取得するための URL を入力します。
    パブリック キー URL のサムプリント パブリック キー URL のサムプリントのリストを入力します。サムプリントのリストを指定しない場合は、サーバ証明書が信頼された認証局 (CA) によって発行されることを確認します。16 進数のサムプリントを入力します。たとえば、sha1= C3 89 A2 19 DC 7A 48 2B 85 1C 81 EC 5E 8F 6A 3C 33 F2 95 C3 のようになります。
    信頼される証明書

    PEM 形式の証明書を選択し、トラスト ストアに追加するには「+」記号をクリックします。トラスト ストアから証明書を削除するには「-」記号をクリックします。デフォルトでは、エイリアス名は PEM 証明書のファイル名です。別の名前を指定するには、エイリアス テキスト ボックスを編集します。
    パブリック キーの更新間隔

    パブリック キーが URL から定期的に取得される時間間隔(秒単位)。
    静的パブリック キー
    注: 動的パブリック キーの URL を使用できない場合は、静的パブリック キーを設定します。
    [+] をクリックして、JWT 検証に使用するパブリック キーを選択して追加します。

    ファイルは PEM 形式でなければなりません。
  5. [[保存]] をクリックします。

結果

パラメータの詳細は、[JWT 設定] に表示されます。