Unified Access Gateway는 JWT(JSON 웹 토큰) 유효성 검사를 지원합니다. Horizon에 대한 Single Sign-On 동안 Workspace ONE Access에서 발급한 SAML 아티팩트가 유효한지 확인하고 Unified Access Gateway가 Horizon Universal Broker에 사용할 때 Horizon 프로토콜 리디렉션 기능을 지원하도록 JSON 웹 토큰 소비자 설정을 구성할 수 있습니다.
Workspace ONE Access는 Workspace ONE Access Horizon 구성에서 JWT에서 아티팩트 래핑 확인란을 사용하도록 설정한 경우 JWT 래핑 Horizon SAML 아티팩트를 발급합니다. 이렇게 하면 신뢰할 수 있는 JWT가 SAML 아티팩트 인증 시도에 제공되지 않는 한, Unified Access Gateway 장치가 인증 시도를 차단할 수 있습니다.
두 사용 사례에서 Unified Access Gateway가 수신된 JWT 토큰의 발급자를 신뢰하도록 허용하는 JWT 설정을 지정해야 합니다.
Unified Access Gateway가 이 신뢰를 위해 최신 공개 키를 자동으로 유지하도록 JWT 소비자 설정에 동적 공개 키 URL을 사용합니다. Unified Access Gateway가 동적 공개 키 URL에 액세스할 수 없는 경우에만 고정 공개 키를 사용해야 합니다.
다음 절차에서는 JSON 웹 토큰 소비자 설정 구성에 관해 설명합니다.
프로시저
- 관리 UI [수동 구성] 섹션에서 선택을 클릭합니다.
- [고급 설정]에서 [JWT 설정] 톱니 모양 아이콘을 선택합니다.
- [JWT 설정] 창에서 JWT 소비자 추가를 클릭합니다.
- [JWT 소비자 설정] 창에서 다음 정보를 입력합니다.
옵션 기본값 및 설명 이름 유효성 검사를 위해 이 설정을 식별할 수 있는 이름입니다. 발급자 유효성을 검사할 수신 토큰의 발급자 할당에 있는 대/소문자를 구분하는 JWT 발급자 값을 입력합니다. 기본적으로 이 필드의 값은 이름 필드로 설정됩니다.
참고: 발급자는 Horizon Cloud Service에서 Unified Access Gateway가 사용되는 경우에만 구성됩니다.동적 공개 키 URL 공개 키를 동적으로 가져오기 위한 URL을 입력합니다.
공개 키는 단일 공개 키 또는 JWKS(JSON Web Key Set) 형식일 수 있습니다.JWKS 형식을 사용하여 JWK(JSON Web Key) 형식의 공개 키를 여러 개 획득하여 JWT를 검증할 수 있습니다.
각 JWK에는 고유 식별자(kid)가 있으며 이 식별자는 Unified Access Gateway에 제공된 JWT에 있습니다. Unified Access Gateway는 이 식별자를 사용하여 사용할 공개 키를 식별합니다.
공개 키 URL 지문 공개 키 URL 지문 목록을 입력합니다. 지문 목록을 제공하지 않은 경우에는 신뢰할 수 있는 CA에서 서버 인증서를 발급해야 합니다. 16진수 지문 숫자를 입력합니다. 예를 들어 sha1= C3 89 A2 19 DC 7A 48 2B 85 1C 81 EC 5E 8F 6A 3C 33 F2 95 C3입니다. 신뢰할 수 있는 인증서 - PEM 형식의 인증서를 선택하고 신뢰 저장소에 추가하려면 +를 클릭합니다.
- 신뢰 저장소에서 인증서를 제거하려면 -를 클릭합니다.
- 다른 이름을 제공하려면 별칭 텍스트 상자를 편집합니다.
기본적으로 별칭 이름은 PEM 인증서의 파일 이름입니다.
공개 키 새로 고침 간격 URL에서 정기적으로 공개 키를 가져오는 시간 간격(초)입니다.
정적 공개 키 +를 클릭하여 JWT 유효성 검사에 사용할 공개 키를 선택하고 추가합니다. 파일은 PEM 형식이어야 합니다.
참고: 동적 공개 키 URL을 사용할 수 없는 경우 정적 공개 키를 설정합니다. - 저장을 클릭합니다.
결과
매개 변수의 세부 정보가 JWT 설정 아래에 나열됩니다.
