Когда служба VMware Identity Manager интегрируется с проверяемым шлюзом (например, F5), параметр «Артефакт для переноса в JWT» должен быть включен в службе VMware Identity Manager для проверки подлинности ресурсов Horizon, назначенных пользователям.

Если параметр «Артефакт для переноса в JWT» включен для проверки подлинности запроса на запуск ресурса Horizon, служба VMware Identity Manager создает маркер JWT с цифровой подписью, который включает в себя артефакт SAML для разрешения проверки.

Этот маркер JWT отправляется на проверяемый шлюз в демилитаризованной зоне. Шлюз проверяет маркер JWT из VMware Identity Manager и извлекает значение артефакта SAML из маркера. Шлюз перенаправляет запрос с действительным значением артефакта SAML на сервер подключений Horizon. Сервер подключений проверяет запрос, и выполняется вход пользователя на ресурс Horizon.

Если параметр «Артефакт для переноса в JWT» не включен, проверяемый шлюз не передает артефакт на сервер подключений Horizon для проверки, в результате чего проверка подлинности завершается сбоем.

Необходимые условия

  • На проверяемом шлюзе должны быть настроены следующие сведения VMware Identity Manger.
    • Сертификат SSL
    • Идентификатор клиента OAuth2 и секретный ключ
    • URL-адрес конечной точки для проверки VMware Identity Manager
  • Для выполнения этой процедуры в VMware Identity Manager требуется роль привилегированного администратора.

Процедура

  1. Выполните вход в консоль VMware Identity Manager.
  2. Выберите вкладку Каталог > Коллекции виртуальных приложений.
  3. Выберите коллекцию Horizon, которую необходимо изменить, а затем щелкните Изменить сетевой диапазон.
  4. Щелкните сетевой диапазон IP-адресов, которые могут использоваться ресурсом Horizon.
    В разделе модуля перечислены все модули Horizon, которые добавлены в коллекцию и для которых задан параметр «Синхронизировать локальные права». Сведения о настройке полных доменных имен клиентского доступа для модулей и их федераций см. в разделе ISHPUBLMODULEMISSING.html#GUID-0F51186D-624F-4208-818F-A06D5ACE6F3D.
  5. В разделе модуля включите параметр Артефакт для переноса в JWT в настроенной среде Horizon.

    Включение JWT в модуле Horizon

  6. Если запрос может обработать несколько проверяемых шлюзов, создайте уникальные идентификаторы и добавьте имя в текстовое поле Аудитория в JWT.
    Это имя аудитории настраивается в параметрах проверяемого шлюза и используется для проверки того, что этот шлюз является целевой аудиторией. Если аудитория в JWT не совпадает с именем аудитории, настроенным здесь, запрос отклоняется.
  7. Нажмите кнопку Сохранить , а затем нажмите Готово на странице «Сетевые диапазоны».

Дальнейшие действия

Уникальные добавляемые имена аудитории должны быть добавлены в конфигурацию проверяемого шлюза.