Wanneer de VMware Identity Manager-service met een validerende gateway is geïntegreerd, zoals F5, moet de instelling Artefact inpakken in JWT in de VMware Identity Manager-service worden ingeschakeld om Horizon-bronnen te verifiëren die aan gebruikers zijn toegewezen.

Wanneer Artefact inpakken in JWT is ingeschakeld om een aanvraag voor het starten van een Horizon-bron te verifiëren, genereert de VMware Identity Manager-service een digitaal ondertekend JWT-token met het SAML-artefact om verificatie toe te staan.

Dit JWT-token wordt naar de validerende gateway in de DMZ verzonden. De gateway valideert het JWT-token van VMware Identity Manager en extraheert de SAML-artefactwaarde van het token. De gateway stuurt de aanvraag met de werkelijke waarde van het SAML-artefact door naar de Horizon Connector Server. De Connector Server verifieert de aanvraag en de gebruiker wordt bij de Horizon-bron aangemeld.

Als Artefact inpakken in JWT niet is ingeschakeld, geeft de validerende gateway het artefact niet door aan de Horizon Connect Server voor validatie en mislukt de verificatie.

Voorwaarden

De validerende gateway geconfigureerd met de volgende VMware Identity Manger-details.

  • SSL-certificaat

  • OAuth2-client-ID en geheim

  • Eindpunt-URL voor VMware Identity Manager-validatie

Procedure

  1. Meld u aan bij de VMware Identity Manager-console.
  2. Selecteer het tabblad Catalogus > Virtuele apps en klik vervolgens op Instellingen voor virtuele apps.
  3. Klik op Netwerkinstellingen en selecteer het netwerkbereik van IP-adressen die de Horizon-bron kan gebruiken.

    Het gedeelte View-pod bevat alle View-pods die u heeft toegevoegd aan de verzameling waarvoor de optie Lokale rechten synchroniseren is geselecteerd. Zie Horizon-pods en -podfederaties in VMware Identity Manager configureren voor stappen om de clienttoegangs-URL's voor pods en podfederaties te configureren.

  4. Schakel het selectievakje Artefact inpakken in JWT in het gedeelte View-pod in voor de Horizon-omgeving die is geconfigureerd.
  5. Als meer dan één validerende gateway de aanvraag kan verwerken, maakt u unieke ID's en voegt u de namen toe aan het tekstvak Doelgroep in JWT.

    De naam van de doelgroep wordt geconfigureerd bij het instellen van de validerende gateway en wordt gebruikt om te controleren of deze gateway de bedoelde doelgroep is. Als de doelgroep in JWT niet overeenkomt met de naam van de doelgroep die hier is geconfigureerd, wordt de aanvraag geweigerd.

  6. Klik op Voltooien.

Volgende stappen

De unieke doelgroepnamen die u hier toevoegt, moeten ook worden toegevoegd aan de configuratie van de validerende gateway.