Workspace ONE Access サービスが検証ゲートウェイ(F5 など)と統合されている場合、[アーティファクト を JWT にラップ] 設定を Workspace ONE Access サービスで有効にして、ユーザーに割り当てられている Horizon リソースを認証する必要があります。

[アーティファクト を JWT にラップ] で Horizon リソース起動要求の認証が有効な場合、Workspace ONE Access サービスは、検証を許可する SAML アーティファクトが含まれているデジタル署名付き JWT トークンを生成します。

この JWT トークンは DMZ で検証ゲートウェイに送信されます。ゲートウェイは Workspace ONE Access からの JWT トークンを検証し、トークンから SAML アーティファクトの値を抽出します。ゲートウェイは、Horizon Connection Server に実際の SAML アーティファクトの値で要求を転送します。Connection Server は要求を検証し、ユーザーは Horizon リソースにログインします。

[アーティファクト を JWT にラップ] が有効でない場合、検証ゲートウェイは検証のためのアーティファクトを Horizon Connection Server に渡さず、認証が失敗します。

前提条件

  • 検証ゲートウェイは次の Workspace ONE Access 詳細で構成する必要があります。
    • SSL 証明書
    • OAuth2 クライアント ID およびシークレット
    • Workspace ONE Access 検証エンドポイント URL
  • この手順を実行するには、Workspace ONE Access のスーパー管理者ロールが必要です。

手順

  1. Workspace ONE Access コンソールにログインします。
  2. [リソース] > [仮想アプリケーションのコレクション] の順に選択します。
  3. 編集する Horizon コレクションをクリックして、[ネットワーク範囲] タブをクリックします。
  4. Horizon リソースで使用できるネットワーク範囲の IP アドレスをクリックします。
    [ポッド] セクションには、[ローカル資格を同期] オプションが選択された、コレクションに追加したすべての Horizon ポッドが表示されます。ポッドとポッド フェデレーションのクライアント アクセスの FQDN を構成する手順については、 Workspace ONE Access での Horizon ポッドおよびポッド フェデレーションの構成を参照してください。
  5. [ポッド] セクションで、構成されている Horizon 環境の [アーティファクト を JWT にラップ] オプションをオンにします。

    Horizon ポッドで JWT を有効にする

  6. 複数の検証ゲートウェイが要求を処理できる場合は、一意の識別子を作成し、名前を [JWT の対象者] テキスト ボックスに追加します。
    この対象者名は検証ゲートウェイの設定で構成されており、このゲートウェイが対象者であることを確認するために使用されます。JWT の対象者がここで構成されている対象者名と一致しない場合、要求は拒否されます。
  7. [ネットワーク範囲] ページで [保存][終了] の順にクリックします。

次のタスク

追加する一意の対象者名も、検証ゲートウェイの構成に追加する必要があります。