Когда служба Workspace ONE Access интегрируется с проверяемым шлюзом (например, F5), параметр «Артефакт для переноса в JWT» должен быть включен в службе Workspace ONE Access для проверки подлинности ресурсов Horizon, назначенных пользователям.

Если параметр «Артефакт для переноса в JWT» включен для проверки подлинности запроса на запуск ресурса Horizon, служба Workspace ONE Access создает маркер JWT с цифровой подписью, который включает в себя артефакт SAML для разрешения проверки.

Этот маркер JWT отправляется на проверяемый шлюз в демилитаризованной зоне. Шлюз проверяет маркер JWT из Workspace ONE Access и извлекает значение артефакта SAML из маркера. Шлюз перенаправляет запрос с действительным значением артефакта SAML на сервер подключений Horizon. Сервер подключений проверяет запрос, и выполняется вход пользователя на ресурс Horizon.

Если параметр «Артефакт для переноса в JWT» не включен, проверяемый шлюз не передает артефакт на сервер подключений Horizon для проверки, в результате чего проверка подлинности завершается сбоем.

Необходимые условия

  • На проверяемом шлюзе должны быть настроены следующие сведения Workspace ONE Access.
    • Сертификат SSL
    • Идентификатор клиента OAuth2 и секретный ключ
    • URL-адрес конечной точки проверки Workspace ONE Access
  • Для выполнения этой процедуры в Workspace ONE Access требуется роль привилегированного администратора.

Процедура

  1. Выполните вход в консоль Workspace ONE Access.
  2. Выберите Ресурсы > Коллекции виртуальных приложений.
  3. Выберите коллекцию Horizon, которую необходимо изменить, а затем перейдите на вкладку Сетевые диапазоны.
  4. Щелкните сетевой диапазон IP-адресов, которые могут использоваться ресурсом Horizon.
    В разделе модуля перечислены все модули Horizon, которые добавлены в коллекцию и для которых задан параметр «Синхронизировать локальные права». Сведения о настройке полных доменных имен клиентского доступа для модулей и их федераций см. в разделе Настройка модулей Horizon и федерации модулей в Workspace ONE Access.
  5. В разделе модуля включите параметр Артефакт для переноса в JWT в настроенной среде Horizon.

    Включение JWT в модуле Horizon

  6. Если запрос может обработать несколько проверяемых шлюзов, создайте уникальные идентификаторы и добавьте имя в текстовое поле Аудитория в JWT.
    Это имя аудитории настраивается в параметрах проверяемого шлюза и используется для проверки того, что этот шлюз является целевой аудиторией. Если аудитория в JWT не совпадает с именем аудитории, настроенным здесь, запрос отклоняется.
  7. Нажмите кнопку Сохранить , а затем нажмите Готово на странице «Сетевые диапазоны».

Дальнейшие действия

Уникальные добавляемые имена аудитории должны быть добавлены в конфигурацию проверяемого шлюза.