VMware Identity Manager サービスが検証ゲートウェイ(F5 など)と統合されている場合、[アーティファクト を JWT にラップ] 設定を VMware Identity Manager サービスで有効にして、ユーザーに割り当てられている Horizon リソースを認証する必要があります。

[アーティファクト を JWT にラップ] で Horizon リソース起動要求の認証が有効な場合、VMware Identity Manager サービスは、検証を許可する SAML アーティファクトが含まれているデジタル署名付き JWT トークンを生成します。

この JWT トークンは DMZ で検証ゲートウェイに送信されます。ゲートウェイは VMware Identity Manager からの JWT トークンを検証し、トークンから SAML アーティファクトの値を抽出します。ゲートウェイは、Horizon Connection Server に実際の SAML アーティファクトの値で要求を転送します。Connection Server は要求を検証し、ユーザーは Horizon リソースにログインします。

[アーティファクト を JWT にラップ] が有効でない場合、検証ゲートウェイは検証のためのアーティファクトを Horizon Connection Server に渡さず、認証が失敗します。

前提条件

  • 検証ゲートウェイは次の VMware Identity Manger 詳細で構成する必要があります。

    • SSL 証明書

    • OAuth2 クライアント ID およびシークレット

    • VMware Identity Manager 検証エンドポイントの URL

  • この手順を実行するには、VMware Identity Manager でスーパー管理者ロールが必要です。

手順

  1. VMware Identity Manager コンソールにログインします。
  2. [カタログ] > [仮想アプリケーションのコレクション] タブを選択します。
  3. 編集する Horizon コレクションをクリックして、[ネットワーク範囲を編集] をクリックします。
  4. Horizon リソースで使用できるネットワーク範囲の IP アドレスをクリックします。

    [ポッド] セクションには、[ローカル資格を同期] オプションが選択された、コレクションに追加したすべての Horizon ポッドが表示されます。ポッドとポッド フェデレーションのクライアント アクセスの FQDN を構成する手順については、VMware Identity Manager での Horizon ポッドおよびポッド フェデレーションの構成を参照してください。

  5. [ポッド] セクションで、構成されている Horizon 環境の [アーティファクト を JWT にラップ] オプションを有効にします。


    Horizon ポッドで JWT を有効にする


  6. 複数の検証ゲートウェイが要求を処理できる場合は、一意の識別子を作成し、名前を [JWT の対象者] テキスト ボックスに追加します。

    この対象者名は検証ゲートウェイの設定で構成されており、このゲートウェイが対象者であることを確認するために使用されます。JWT の対象者がここで構成されている対象者名と一致しない場合、要求は拒否されます。

  7. [ネットワーク範囲] ページで [保存][終了] の順にクリックします。

次のタスク

追加する一意の対象者名も、検証ゲートウェイの構成に追加する必要があります。