Когда служба VMware Identity Manager интегрируется с проверяемым шлюзом (например, F5), параметр «Артефакт для переноса в JWT» должен быть включен в службе VMware Identity Manager для проверки подлинности ресурсов Horizon, назначенных пользователям.

Если параметр «Артефакт для переноса в JWT» включен для проверки подлинности запроса на запуск ресурса Horizon, служба VMware Identity Manager создает маркер JWT с цифровой подписью, который включает в себя артефакт SAML для разрешения проверки.

Этот маркер JWT отправляется на проверяемый шлюз в демилитаризованной зоне. Шлюз проверяет маркер JWT из VMware Identity Manager и извлекает значение артефакта SAML из маркера. Шлюз перенаправляет запрос с действительным значением артефакта SAML на сервер Horizon Connector. Сервер соединителя проверяет запрос, и выполняется вход пользователя на ресурс Horizon.

Если параметр «Артефакт для переноса в JWT» не включен, проверяемый шлюз не передает артефакт на сервер Horizon Connect для проверки, в результате чего проверка подлинности завершается сбоем.

Необходимые условия

На проверяемом шлюзе настраиваются следующие сведения VMware Identity Manger.

  • Сертификат SSL
  • Идентификатор клиента OAuth2 и секретный ключ
  • URL-адрес конечной точки для проверки VMware Identity Manager

Процедура

  1. Выполните вход в консоль VMware Identity Manager.
  2. Перейдите на вкладку Каталог > Виртуальные приложения и щелкните Параметры виртуального приложения.
  3. Щелкните Сетевые параметры и выберите сетевой диапазон IP-адресов, которые могут использоваться ресурсом Horizon.
    В разделе «Сегмент View» перечислены все сегменты View, которые добавлены в коллекцию и для которых задан параметр «Синхронизировать локальные права». Сведения по настройке URL-адресов клиентского доступа для модулей и их федераций см. в разделе Настройка модулей Horizon и федерации модулей в VMware Identity Manager.
  4. В разделе «Сегмент View» установите флажок Артефакт для переноса в JWT в настроенной среде Horizon.
  5. Если запрос может обработать несколько проверяемых шлюзов, создайте уникальные идентификаторы и добавьте имя в текстовое поле Аудитория в JWT.
    Это имя аудитории настраивается в параметрах проверяемого шлюза и используется для проверки того, что этот шлюз является целевой аудиторией. Если аудитория в JWT не совпадает с именем аудитории, настроенным здесь, запрос отклоняется.
  6. Нажмите кнопку Готово.

Дальнейшие действия

Уникальные добавляемые имена аудитории должны быть добавлены в конфигурацию проверяемого шлюза.