Unified Access Gateway는 JWT(JSON 웹 토큰) 유효성 검사를 지원합니다. Horizon에 대한 Single Sign-On 동안 Workspace ONE Access에서 발급한 SAML 아티팩트가 유효한지 확인하고 Unified Access Gateway가 Horizon Universal Broker에 사용할 때 Horizon 프로토콜 리디렉션 기능을 지원하도록 JSON 웹 토큰 소비자 설정을 구성할 수 있습니다.

Workspace ONE Access는 Workspace ONE Access Horizon 구성에서 JWT에서 아티팩트 래핑 확인란을 사용하도록 설정한 경우 JWT 래핑 Horizon SAML 아티팩트를 발급합니다. 이렇게 하면 신뢰할 수 있는 JWT가 SAML 아티팩트 인증 시도에 제공되지 않는 한, Unified Access Gateway 장치가 인증 시도를 차단할 수 있습니다.

두 사용 사례에서 Unified Access Gateway가 수신된 JWT 토큰의 발급자를 신뢰하도록 허용하는 JWT 설정을 지정해야 합니다.

Unified Access Gateway가 이 신뢰를 위해 최신 공개 키를 자동으로 유지하도록 JWT 소비자 설정에 동적 공개 키 URL을 사용합니다. Unified Access Gateway가 동적 공개 키 URL에 액세스할 수 없는 경우에만 고정 공개 키를 사용해야 합니다.

다음 절차에서는 JSON 웹 토큰 소비자 설정 구성에 관해 설명합니다.

프로시저

  1. 관리 UI [수동 구성] 섹션에서 선택을 클릭합니다.
  2. [고급 설정]에서 [JWT 설정] 톱니 모양 아이콘을 선택합니다.
  3. [JWT 설정] 창에서 JWT 소비자 추가 또는 JWT 생성자 추가를 클릭합니다.
    JWT 소비자를 추가하는 경우 다음 세부 정보를 입력합니다.
    옵션 기본값 및 설명
    이름 유효성 검사를 위해 이 설정을 식별할 수 있는 이름입니다.
    발급자 유효성을 검사할 수신 토큰의 발급자 할당에 있는 대/소문자를 구분하는 JWT 발급자 값을 입력합니다.

    기본적으로 이 필드의 값은 이름 필드로 설정됩니다.

    참고: 발급자는 Horizon Cloud Service에서 Unified Access Gateway가 사용되는 경우에만 구성됩니다.
    동적 공개 키 URL

    공개 키를 동적으로 가져오기 위한 URL을 입력합니다.

    공개 키는 단일 공개 키 또는 JWKS(JSON Web Key Set) 형식일 수 있습니다.

    JWKS 형식을 사용하여 JWK(JSON Web Key) 형식의 공개 키를 여러 개 획득하여 JWT를 검증할 수 있습니다.

    각 JWK에는 고유 식별자(kid)가 있으며 이 식별자는 Unified Access Gateway에 제공된 JWT에 있습니다. Unified Access Gateway는 이 식별자를 사용하여 사용할 공개 키를 식별합니다.

    공개 키 URL 지문 공개 키 URL 지문 목록을 입력합니다. 지문 목록을 제공하지 않은 경우에는 신뢰할 수 있는 CA에서 서버 인증서를 발급해야 합니다. 16진수 지문 숫자를 입력합니다.
    신뢰할 수 있는 인증서
    • PEM 형식의 인증서를 선택하고 신뢰 저장소에 추가하려면 +를 클릭합니다.
    • 신뢰 저장소에서 인증서를 제거하려면 -를 클릭합니다.
    • 다른 이름을 제공하려면 별칭 텍스트 상자를 편집합니다.

      기본적으로 별칭 이름은 PEM 인증서의 파일 이름입니다.

    공개 키 새로 고침 간격

    URL에서 정기적으로 공개 키를 가져오는 시간 간격(초)입니다.

    정적 공개 키 +를 클릭하여 JWT 유효성 검사에 사용할 공개 키를 선택하고 추가합니다.

    파일은 PEM 형식이어야 합니다.

    참고: 동적 공개 키 URL을 사용할 수 없는 경우 정적 공개 키를 설정합니다.
    JWT 생성자를 추가하는 경우 다음 세부 정보를 입력합니다.
    옵션 기본값 및 설명
    이름 유효성 검사를 위해 이 설정을 식별할 수 있는 JWT 생성자 이름입니다.
    발급자 수신자에게 보낼 생성된 JWT 발급자 할당에 지정할 대/소문자를 구분하는 JWT 발급자 값을 입력합니다.

    기본적으로 이 필드의 값은 이름 필드로 설정됩니다.

    JWT 서명 인증서 유형

    드롭다운 메뉴에서 JWT 서명에 유효한 인증서 유형을 선택합니다. 옵션은 다음과 같습니다.

    • PEM:
      • 개인 키: 선택을 클릭하고 PEM 형식의 인증서에 대한 개인 키 파일을 찾습니다.
      • 인증서 체인: 선택을 클릭하고 PEM 형식의 인증서 체인 파일을 찾습니다.
    • PFX:
      • PFX 업로드: 선택을 클릭하고 PFX 형식의 JWT 서명 인증서를 찾습니다.
      • 암호: PFX 인증서의 암호를 입력합니다.
      • 별칭: 인증서 저장소에 여러 인증서가 있는 경우 PFX 인증서의 별칭을 입력합니다.

    JWT 서명 개인 키

    선택을 클릭하고 JWT 서명에 사용되는 PEM 형식의 인증서에 대한 개인 키를 찾습니다.

    JWT 서명 인증서 체인

    선택을 클릭하고 JWT 서명에 사용되는 PEM 형식의 인증서 체인을 찾습니다.
    암호화 공개 키 설정 구성

    암호화 키(고정 또는 동적)는 Unified Access Gateway에서 생성된 JWT를 암호화하는 데 사용됩니다.

    URL에서 동적으로 공개 키를 가져오기 위한 암호화 공용 키 URL을 구성하려면 이 토글을 켭니다.

    고정 암호화 공용 키를 업로드하려면 이 토글을 해제하십시오.

    동적 공개 키 URL

    공개 키를 동적으로 가져오기 위한 URL을 입력합니다.

    공개 키는 단일 공개 키 또는 JWKS(JSON Web Key Set) 형식일 수 있습니다.

    JWKS 형식을 사용하여 JWK(JSON Web Key) 형식의 공개 키를 여러 개 획득하여 JWT를 검증할 수 있습니다.

    각 JWK에는 고유 식별자(kid)가 있으며 이 식별자는 Unified Access Gateway에 제공된 JWT에 있습니다. Unified Access Gateway는 이 식별자를 사용하여 사용할 공개 키를 식별합니다.

    공개 키 URL 지문 공개 키 URL 지문 목록을 입력합니다. 지문 목록을 제공하지 않은 경우에는 신뢰할 수 있는 CA에서 서버 인증서를 발급해야 합니다. 16진수 지문 숫자를 입력합니다.
    신뢰할 수 있는 인증서
    • PEM 형식의 인증서를 선택하고 신뢰 저장소에 추가하려면 +를 클릭합니다.
    • 신뢰 저장소에서 인증서를 제거하려면 -를 클릭합니다.
    • 다른 이름을 제공하려면 별칭 텍스트 상자를 편집합니다.

      기본적으로 별칭 이름은 PEM 인증서의 파일 이름입니다. 신뢰할 수 있는 인증서 파일을 최대 64개까지 추가할 수 있습니다.

    공개 키 새로 고침 간격

    URL에서 정기적으로 공개 키를 가져오는 시간 간격(초)입니다.

    기본값은 3600(1시간)입니다.

    이 값을 0으로 설정하면 URL에서 공개 키를 한 번만 가져옵니다.

    정적 공개 키 +를 클릭하여 JWT 암호화에 사용할 공개 키를 선택하고 추가합니다.

    파일은 PEM 형식이어야 합니다.

    참고: 동적 공개 키 URL을 사용할 수 없는 경우 정적 공개 키를 설정합니다.
  4. 저장을 클릭합니다.

결과

매개 변수의 세부 정보가 JWT 설정 아래에 나열됩니다.