Wanneer de Workspace ONE Access-service met een validerende gateway is geïntegreerd, zoals F5, moet de instelling Artefact inpakken in JWT in de Workspace ONE Access-service worden ingeschakeld om Horizon-bronnen te verifiëren die aan gebruikers zijn toegewezen.

Wanneer Artefact inpakken in JWT is ingeschakeld om een aanvraag voor het starten van een Horizon-bron te verifiëren, genereert de Workspace ONE Access-service een digitaal ondertekend JWT-token met het SAML-artefact om verificatie toe te staan.

Dit JWT-token wordt naar de validerende gateway in de DMZ verzonden. De gateway valideert het JWT-token van Workspace ONE Access en extraheert de SAML-artefactwaarde van het token. De gateway stuurt de aanvraag met de werkelijke waarde van het SAML-artefact door naar de Horizon-verbindingsserver. De verbindingsserver verifieert de aanvraag en de gebruiker wordt bij de Horizon-bron aangemeld.

Als Artefact inpakken in JWT niet is ingeschakeld, geeft de validerende gateway het artefact niet door aan de Horizon-verbindingsserver voor validatie en mislukt de verificatie.

Voorwaarden

  • De validerende gateway moet met de volgende Workspace ONE Access-details worden geconfigureerd.
    • SSL-certificaat
    • OAuth2-client-ID en geheim
    • Eindpunt-URL voor Workspace ONE Access-validatie
  • De rol Superbeheerder is in Workspace ONE Access vereist om deze procedure uit te voeren.

Procedure

  1. Meld u aan bij de Workspace ONE Access-console.
  2. Selecteer Resources > Verzamelingen van virtuele apps.
  3. Klik op de Horizon-verzameling die u wilt bewerken en klik vervolgens op het tabblad Netwerkbereiken.
  4. Klik op het netwerkbereik van IP-adressen die de Horizon-bron kan gebruiken.
    De sectie Pod bevat alle Horizon-pods die u aan de verzameling heeft toegevoegd en waarvoor de optie Lokale rechten synchroniseren is geselecteerd. Zie Horizon-pods en -podfederaties in Workspace ONE Access configureren voor stappen om de FQDN's voor clienttoegang voor pods en podfederaties te configureren.
  5. Schakel in de sectie Pod de optie Artefact inpakken in JWT in op de Horizon-omgeving die is geconfigureerd.

    JWT inschakelen op Horizon-pod

  6. Als meer dan één validerende gateway de aanvraag kan verwerken, maakt u unieke ID's en voegt u de namen toe aan het tekstvak Doelgroep in JWT.
    De naam van de doelgroep wordt geconfigureerd bij het instellen van de validerende gateway en wordt gebruikt om te controleren of deze gateway de bedoelde doelgroep is. Als de doelgroep in JWT niet overeenkomt met de naam van de doelgroep die hier is geconfigureerd, wordt de aanvraag geweigerd.
  7. Klik op Opslaan en vervolgens op Voltooien op de pagina Netwerkbereiken.

Volgende stappen

De unieke doelgroepnamen die u hier toevoegt, moeten ook worden toegevoegd aan de configuratie van de validerende gateway.