Когда служба VMware Identity Manager интегрируется с проверяемым шлюзом (например, F5), параметр «Артефакт для переноса в JWT» должен быть включен в службе VMware Identity Manager для проверки подлинности ресурсов Horizon, назначенных пользователям.

Если параметр «Артефакт для переноса в JWT» включен для проверки подлинности запроса на запуск ресурса Horizon, служба VMware Identity Manager создает маркер JWT с цифровой подписью, который включает в себя артефакт SAML для разрешения проверки.

Этот маркер JWT отправляется на проверяемый шлюз в демилитаризованной зоне. Шлюз проверяет маркер JWT из VMware Identity Manager и извлекает значение артефакта SAML из маркера. Шлюз перенаправляет запрос с действительным значением артефакта SAML на сервер подключений Horizon. Сервер подключений проверяет запрос, и выполняется вход пользователя на ресурс Horizon.

Если параметр «Артефакт для переноса в JWT» не включен, проверяемый шлюз не передает артефакт на сервер подключений Horizon для проверки, в результате чего проверка подлинности завершается сбоем.

Необходимые условия

  • На проверяемом шлюзе должны быть настроены следующие сведения VMware Identity Manger.

    • Сертификат SSL

    • Идентификатор клиента OAuth2 и секретный ключ

    • URL-адрес конечной точки для проверки VMware Identity Manager

  • Для выполнения этой процедуры в VMware Identity Manager требуется роль привилегированного администратора.

Процедура

  1. Выполните вход в консоль VMware Identity Manager.
  2. Выберите вкладку Каталог > Коллекции виртуальных приложений.
  3. Выберите коллекцию Horizon, которую необходимо изменить, а затем щелкните Изменить сетевой диапазон.
  4. Щелкните сетевой диапазон IP-адресов, которые могут использоваться ресурсом Horizon.

    В разделе модуля перечислены все модули Horizon, которые добавлены в коллекцию и для которых задан параметр «Синхронизировать локальные права». Сведения о настройке полных доменных имен клиентского доступа для модулей и их федераций см. в разделе Настройка модулей Horizon и федерации модулей в VMware Identity Manager.

  5. В разделе модуля включите параметр Артефакт для переноса в JWT в настроенной среде Horizon.


    Включение JWT в модуле Horizon


  6. Если запрос может обработать несколько проверяемых шлюзов, создайте уникальные идентификаторы и добавьте имя в текстовое поле Аудитория в JWT.

    Это имя аудитории настраивается в параметрах проверяемого шлюза и используется для проверки того, что этот шлюз является целевой аудиторией. Если аудитория в JWT не совпадает с именем аудитории, настроенным здесь, запрос отклоняется.

  7. Нажмите кнопку Сохранить , а затем нажмите Готово на странице «Сетевые диапазоны».

Дальнейшие действия

Уникальные добавляемые имена аудитории должны быть добавлены в конфигурацию проверяемого шлюза.