Unified Access Gateway 支援 JSON Web 權杖 (JWT) 驗證。您可以設定 JSON Web 權杖取用者設定,以在單一登入 Horizon 期間驗證 Workspace ONE Access 所核發的 SAML 構件,以及在 Unified Access Gateway 與 Horizon Universal Broker 搭配使用時支援 Horizon 通訊協定重新導向功能。

當 Workspace ONE Access Horizon 組態中啟用了在 JWT 中包裝構件核取方塊時,Workspace ONE Access 會發出 JWT 包裝的 Horizon SAML 構件。這可讓 Unified Access Gateway 應用裝置封鎖驗證嘗試,除非 SAML 構件驗證嘗試提供了受信任的 JWT。

在這兩個使用案例中,您都必須指定 JWT 設定,以允許 Unified Access Gateway 信任所收到 JWT 權杖的簽發者。

對於 JWT 取用者設定,請使用動態公開金鑰 URL,讓 Unified Access Gateway 自動保有此信任的最新公開金鑰。如果 Unified Access Gateway 無法存取動態公開金鑰 URL,則您只能使用靜態公開金鑰。

下列程序說明 JSON Web 權杖取用者設定組態:

程序

  1. 在管理員 UI 的 [手動設定] 區段中,按一下選取
  2. 在 [進階設定] 下,選取 [JWT 設定] 齒輪圖示。
  3. 在 [JWT 設定] 視窗中,按一下新增 JWT 取用者
  4. 在 [JWT 取用者設定] 視窗中,輸入下列資訊:
    選項 預設值和說明
    名稱 用來識別此驗證設定的名稱。
    簽發者 輸入區分大小寫的 JWT 簽發者值,此值存在於待驗證輸入權杖的簽發者宣告中。

    依預設,此欄位的值會設定為名稱欄位。

    備註: 僅當 Horizon Cloud Service 與 Unified Access Gateway 搭配使用時,才會設定 簽發者
    動態公開金鑰 URL

    輸入用來動態擷取公開金鑰的 URL。

    公開金鑰可以是單一公開金鑰,或 JSON Web 金鑰集 (JWKS) 格式。

    採用 JWKS 格式時,可以取得 Web JSON 金鑰 (JWK) 格式的多個公開金鑰來驗證 JWT。

    每個 JWK 都有唯一識別碼 (kid),且此識別碼存在於提供給 Unified Access Gateway 的 JWT 中。Unified Access Gateway 使用此識別碼來識別要使用的公開金鑰。

    公用金鑰 URL 指紋 輸入公開金鑰 URL 指紋的清單。如果未提供指紋的清單,請確保伺服器憑證是由信任的 CA 核發。輸入十六進位的指紋數字。例如,sha1= C3 89 A2 19 DC 7A 48 2B 85 1C 81 EC 5E 8F 6A 3C 33 F2 95 C3。
    受信任的憑證
    • 若要選取 PEM 格式的憑證並新增至信任存放區,請按一下 +
    • 若要從信任存放區移除憑證,請按一下 -
    • 若要提供不同名稱,請編輯別名文字方塊。

      依預設,別名名稱是 PEM 憑證的檔案名稱。
    公開金鑰重新整理間隔

    定期從 URL 擷取公開金鑰的時間間隔 (以秒為單位)。
    靜態公開金鑰 按一下 + 以選取並新增要用於 JWT 驗證的公開金鑰。

    檔案必須採用 PEM 格式。

    備註: 如果動態公開金鑰 URL 無法使用,請設定靜態公開金鑰。
  5. 按一下儲存

結果

參數的詳細資料列於 [JWT 設定] 下方。