VMware Identity Manager サービスが検証ゲートウェイ(F5 など)と統合されている場合、[アーティファクト を JWT にラップ] 設定を VMware Identity Manager サービスで有効にして、ユーザーに割り当てられている Horizon リソースを認証する必要があります。

[アーティファクト を JWT にラップ] で Horizon リソース起動要求の認証が有効な場合、VMware Identity Manager サービスは、検証を許可する SAML アーティファクトが含まれているデジタル署名付き JWT トークンを生成します。

この JWT トークンは DMZ で検証ゲートウェイに送信されます。ゲートウェイは VMware Identity Manager からの JWT トークンを検証し、トークンから SAML アーティファクトの値を抽出します。ゲートウェイは、Horizon Connector サーバに実際の SAML アーティファクトの値で要求を転送します。Connector サーバは要求を検証し、ユーザーは Horizon リソースにログインします。

[アーティファクト を JWT にラップ] が有効でない場合、検証ゲートウェイは検証のためのアーティファクトを Horizon Connector サーバに渡さず、認証が失敗します。

前提条件

次の詳細 VMware Identity Manger で構成された検証ゲートウェイ。

  • SSL 証明書
  • OAuth2 クライアント ID およびシークレット
  • VMware Identity Manager 検証エンドポイントの URL

手順

  1. VMware Identity Manager コンソールにログインします。
  2. [カタログ] > [仮想アプリケーション] タブを選択し、[仮想アプリケーションの設定] をクリックします。
  3. [ネットワーク設定] をクリックし、Horizon リソースで使用できるネットワーク範囲の IP アドレスを選択します。
    [View ポッド] セクションには、[ローカル資格を同期] オプションが選択された、コレクションに追加したすべての View ポッドが表示されます。ポッドとポッド フェデレーションのクライアント アクセス URL を構成する手順については、 VMware Identity Manager での Horizon ポッドおよびポッド フェデレーションの構成を参照してください。
  4. [View ポッド] セクションで、構成されている Horizon 環境の [アーティファクト を JWT にラップ] チェック ボックスを有効にします。
  5. 複数の検証ゲートウェイが要求を処理できる場合は、一意の識別子を作成し、名前を [JWT の対象者] テキスト ボックスに追加します。
    この対象者名は検証ゲートウェイの設定で構成されており、このゲートウェイが対象者であることを確認するために使用されます。JWT の対象者がここで構成されている対象者名と一致しない場合、要求は拒否されます。
  6. [終了] をクリックします。

次のタスク

追加する一意の対象者名も、検証ゲートウェイの構成に追加する必要があります。