Unified Access Gateway は、JSON Web Token (JWT) 検証をサポートしています。JSON Web Token コンシューマ設定を構成して、Horizon へのシングル サインオン中に Workspace ONE Access によって発行された SAML アーティファクトを検証し、Unified Access Gateway が Horizon Universal Broker で使用されている場合に Horizon プロトコル リダイレクト機能をサポートできます。

Workspace ONE Access Horizon 構成で [アーティファクト を JWT にラップ] チェック ボックスが有効になっている場合、Workspace ONE Access は、JWT でラップされた Horizon SAML アーティファクトを発行します。これにより、SAML アーティファクト認証の試行で信頼された JWT が指定されない限り、Unified Access Gateway アプライアンスは認証の試行をブロックできます。

どちらの使用事例でも、受信した JWT トークンの発行者を Unified Access Gateway が信頼できるようにするには、JWT 設定を指定する必要があります。

JWT コンシューマ設定に動的なパブリック キーの URL を使用して、Unified Access Gateway がこの信頼の最新のパブリック キーを自動的に維持できるようにします。Unified Access Gateway が動的パブリック キーの URL にアクセスできない場合にのみ、静的パブリック キーを使用する必要があります。

次の手順では、JSON Web Token コンシューマ設定の構成について説明します。

手順

  1. 管理ユーザー インターフェイスの [手動構成] セクションで、[選択] をクリックします。
  2. [詳細設定] で、[JWT 設定] ギア アイコンを選択します。
  3. [JWT 設定] ウィンドウで、[JWT コンシューマの追加] または [JWT 発行者の追加] をクリックします。
    JWT コンシューマを追加する場合は、次の詳細を入力します。
    オプション デフォルトと説明
    名前 検証のためにこの設定を識別するための名前。
    発行者 検証される着信トークンの発行者要求に存在する、大文字と小文字が区別される JWT 発行者の値を入力します。

    デフォルトでは、このフィールドの値は [名前] フィールドに設定されています。

    注: Horizon Cloud Service で Unified Access Gateway が使用されている場合にのみ、 [発行者] が構成されます。
    動的パブリック キー URL

    パブリック キーを動的に取得するための URL を入力します。

    パブリック キーは、単一のパブリック キーまたは JSON Web Key Set (JWKS) 形式のいずれかです。

    JWKS 形式では、JWT を検証するために、複数の JSON Web Key (JWK) 形式のパブリック キーを取得できます。

    各 JWK には一意の識別子 (kid) があり、この識別子は Unified Access Gateway に提供される JWT に存在します。この識別子を使用して、Unified Access Gateway は使用するパブリック キーを識別します。

    パブリック キー URL のサムプリント パブリック キー URL のサムプリントのリストを入力します。サムプリントのリストを指定しない場合は、サーバ証明書が信頼された認証局 (CA) によって発行されることを確認します。16 進数のサムプリントを入力します。
    信頼される証明書
    • PEM 形式の証明書を選択してトラスト ストアに追加するには、[+] をクリックします。
    • トラスト ストアから証明書を削除するには、[-] をクリックします。
    • 別の名前を指定するには、エイリアス テキスト ボックスを編集します。

      デフォルトでは、エイリアス名は PEM 証明書のファイル名です。

    パブリック キーの更新間隔

    パブリック キーが URL から定期的に取得される時間間隔(秒単位)。

    静的パブリック キー [+] をクリックして、JWT 検証に使用するパブリック キーを選択して追加します。

    ファイルは PEM 形式でなければなりません。

    注: 動的パブリック キーの URL を使用できない場合は、静的パブリック キーを設定します。
    JWT 発行者を追加する場合は、次の詳細を入力します。
    オプション デフォルトと説明
    名前 検証のためにこの設定を識別するための JWT 発行者名。
    発行者 受信者に送信される生成された JWT の発行者要求で指定される、大文字と小文字が区別される JWT 発行者の値を入力します。

    デフォルトでは、このフィールドの値は [名前] フィールドに設定されています。

    JWT 署名証明書タイプ

    ドロップダウン メニューから JWT 署名の有効な証明書タイプを選択します。次のオプションがあります。

    • PEM:
      • [プライベート キー][選択] をクリックし、PEM 形式の証明書のプライベート キー ファイルを参照します。
      • [証明書チェーン][選択] をクリックし、PEM 形式の証明書チェーン ファイルを参照します。
    • PFX:
      • [PFX のアップロード][選択] をクリックし、PFX 形式の JWT 署名証明書を参照します。
      • [パスワード]:PFX 証明書のパスワードを入力します。
      • [エイリアス]:証明書ストアに複数の証明書がある場合は、PFX 証明書のエイリアスを入力します。

    JWT 署名プライベート キー

    [選択] をクリックし、JWT 署名に使用される PEM 形式の証明書のプライベート キーを参照します。

    JWT 署名証明書チェーン

    [選択] をクリックし、JWT 署名に使用される PEM 形式の証明書チェーンを参照します。
    暗号化パブリック キーの設定

    暗号化キー(静的または動的)は、Unified Access Gateway によって生成された JWT を暗号化するために使用されます。

    URL から動的にパブリック キーを取得するための暗号化パブリック キー URL を構成するには、このトグルをオンにします。

    静的暗号化パブリック キーをアップロードするには、このトグルをオフにします。

    動的パブリック キー URL

    パブリック キーを動的に取得するための URL を入力します。

    パブリック キーは、単一のパブリック キーまたは JSON Web Key Set (JWKS) 形式のいずれかです。

    JWKS 形式では、JWT を検証するために、複数の JSON Web Key (JWK) 形式のパブリック キーを取得できます。

    各 JWK には一意の識別子 (kid) があり、この識別子は Unified Access Gateway に提供される JWT に存在します。この識別子を使用して、Unified Access Gateway は使用するパブリック キーを識別します。

    パブリック キー URL のサムプリント パブリック キー URL のサムプリントのリストを入力します。サムプリントのリストを指定しない場合は、サーバ証明書が信頼された認証局 (CA) によって発行されることを確認します。16 進数のサムプリントを入力します。
    信頼される証明書
    • PEM 形式の証明書を選択してトラスト ストアに追加するには、[+] をクリックします。
    • トラスト ストアから証明書を削除するには、[-] をクリックします。
    • 別の名前を指定するには、エイリアス テキスト ボックスを編集します。

      デフォルトでは、エイリアス名は PEM 証明書のファイル名です。最大 64 個の信頼できる証明書ファイルを追加できます。

    パブリック キーの更新間隔

    パブリック キーが URL から定期的に取得される時間間隔(秒単位)。

    デフォルト値は 3600(1 時間)です。

    これを 0 に設定すると、パブリック キーは URL から一度だけ取得されます。

    静的パブリック キー [+] をクリックして、JWT 暗号化に使用するパブリック キーを選択して追加します。

    ファイルは PEM 形式でなければなりません。

    注: 動的パブリック キーの URL を使用できない場合は、静的パブリック キーを設定します。
  4. [保存] をクリックします。

結果

パラメータの詳細は、[JWT 設定] に表示されます。