Unified Access Gateway 支援 JSON Web 權杖 (JWT) 驗證。您可以設定 JSON Web 權杖取用者設定,以在單一登入 Horizon 期間驗證 Workspace ONE Access 所核發的 SAML 構件,以及在 Unified Access Gateway 與 Horizon Universal Broker 搭配使用時支援 Horizon 通訊協定重新導向功能。
當 Workspace ONE Access Horizon 組態中啟用了在 JWT 中包裝構件核取方塊時,Workspace ONE Access 會發出 JWT 包裝的 Horizon SAML 構件。這可讓 Unified Access Gateway 應用裝置封鎖驗證嘗試,除非 SAML 構件驗證嘗試提供了受信任的 JWT。
在這兩個使用案例中,您都必須指定 JWT 設定,以允許 Unified Access Gateway 信任所收到 JWT 權杖的簽發者。
對於 JWT 取用者設定,請使用動態公開金鑰 URL,讓 Unified Access Gateway 自動保有此信任的最新公開金鑰。如果 Unified Access Gateway 無法存取動態公開金鑰 URL,則您只能使用靜態公開金鑰。
下列程序說明 JSON Web 權杖取用者設定組態:
程序
- 在管理員 UI 的 [手動設定] 區段中,按一下選取。
- 在 [進階設定] 下,選取 [JWT 設定] 齒輪圖示。
- 在 [JWT 設定] 視窗中,按一下新增 JWT 取用者或新增 JWT 製作者。
若要新增 JWT 取用者,請輸入下列詳細資料:
選項 |
預設值和說明 |
名稱 |
用來識別此驗證設定的名稱。 |
簽發者 |
輸入區分大小寫的 JWT 簽發者值,此值存在於待驗證輸入權杖的簽發者宣告中。 依預設,此欄位的值會設定為名稱欄位。
備註: 僅當 Horizon Cloud Service 與
Unified Access Gateway 搭配使用時,才會設定
簽發者。
|
動態公開金鑰 URL |
輸入用來動態擷取公開金鑰的 URL。 公開金鑰可以是單一公開金鑰,或 JSON Web 金鑰集 (JWKS) 格式。採用 JWKS 格式時,可以取得 Web JSON 金鑰 (JWK) 格式的多個公開金鑰來驗證 JWT。 每個 JWK 都有唯一識別碼 (kid),且此識別碼存在於提供給 Unified Access Gateway 的 JWT 中。Unified Access Gateway 使用此識別碼來識別要使用的公開金鑰。 |
公用金鑰 URL 指紋 |
輸入公開金鑰 URL 指紋的清單。如果未提供指紋的清單,請確保伺服器憑證是由信任的 CA 核發。輸入十六進位的指紋數字。 |
受信任的憑證 |
- 若要選取 PEM 格式的憑證並新增至信任存放區,請按一下 +。
- 若要從信任存放區移除憑證,請按一下 -。
- 若要提供不同名稱,請編輯別名文字方塊。
依預設,別名名稱是 PEM 憑證的檔案名稱。
|
公開金鑰重新整理間隔 |
定期從 URL 擷取公開金鑰的時間間隔 (以秒為單位)。 |
靜態公開金鑰 |
按一下 + 以選取並新增要用於 JWT 驗證的公開金鑰。 檔案必須採用 PEM 格式。
備註: 如果動態公開金鑰 URL 無法使用,請設定靜態公開金鑰。
|
若要新增 JWT 製作者,請輸入下列詳細資料:
選項 |
預設值和說明 |
名稱 |
驗證時用於識別此設定的 JWT 製作者名稱。 |
簽發者 |
輸入區分大小寫的 JWT 簽發者值,以在產生要傳送給接收者的 JWT 簽發者宣告中指定。 依預設,此欄位的值會設定為名稱欄位。 |
JWT 簽署憑證類型 |
從下拉式功能表中選取用於 JWT 簽署的有效憑證類型。選項包括:
- PEM:
- 私密金鑰:按一下選取,並瀏覽到 PEM 格式憑證的私密金鑰檔案。
- 憑證鏈結:按一下選取,並瀏覽到 PEM 格式的憑證鏈結檔案。
- PFX:
- 上傳 PFX:按一下選取,並瀏覽到 PFX 格式的 JWT 簽署憑證。
- 密碼:輸入 PFX 憑證的密碼。
- 別名:如果憑證存放區中存在多個憑證,請輸入 PFX 憑證的別名稱。
|
JWT 簽署私密金鑰 |
按一下選取,並瀏覽到用於 JWT 簽署的 PEM 格式憑證的私密金鑰。 |
JWT 簽署憑證鏈結 |
按一下選取,並瀏覽到用於 JWT 簽署的 PEM 格式憑證鏈結。 |
設定加密公開金鑰設定 |
加密金鑰 (靜態或動態) 用於加密 Unified Access Gateway 產生的 JWT。 開啟此切換來設定加密公開金鑰 URL,以便從 URL 動態擷取公開金鑰。關閉此切換以上傳靜態加密公開金鑰。 |
動態公開金鑰 URL |
輸入用來動態擷取公開金鑰的 URL。 公開金鑰可以是單一公開金鑰,或 JSON Web 金鑰集 (JWKS) 格式。採用 JWKS 格式時,可以取得 Web JSON 金鑰 (JWK) 格式的多個公開金鑰來驗證 JWT。 每個 JWK 都有唯一識別碼 (kid),且此識別碼存在於提供給 Unified Access Gateway 的 JWT 中。Unified Access Gateway 使用此識別碼來識別要使用的公開金鑰。 |
公用金鑰 URL 指紋 |
輸入公開金鑰 URL 指紋的清單。如果未提供指紋的清單,請確保伺服器憑證是由信任的 CA 核發。輸入十六進位的指紋數字。 |
受信任的憑證 |
|
公開金鑰重新整理間隔 |
定期從 URL 擷取公開金鑰的時間間隔 (以秒為單位)。 預設值為 3600 (1 小時)。 如果這設定為 0,則會從 URL 只擷取一次公開金鑰。 |
靜態公開金鑰 |
按一下 + 以選取並新增要用於 JWT 加密的公開金鑰。 檔案必須採用 PEM 格式。
備註: 如果動態公開金鑰 URL 無法使用,請設定靜態公開金鑰。
|
- 按一下儲存。
結果
參數的詳細資料列於 [JWT 設定] 下方。