VMware Identity Manager 服務與驗證閘道 (例如 F5) 整合時,必須在 VMware Identity Manager 服務中啟用「包裝 JWT 中的構件」設定,才能驗證指派給使用者的 Horizon 資源。

啟用「包裝 JWT 中的構件」以驗證 Horizon 資源啟動要求時,VMware Identity Manager 服務會產生數位簽署的 JWT 權杖,其中包含要允許驗證的 SAML 構件。

此 JWT 權杖會傳送至 DMZ 中的驗證閘道。閘道會驗證來自 VMware Identity Manager 的 JWT 權杖,並從權杖擷取 SAML 構件值。閘道會將具有實際 SAML 構件值的要求轉送至 Horizon 連線伺服器。連線伺服器會驗證要求,且使用者已登入至 Horizon 資源。

如果「包裝 JWT 中的構件」未啟用,驗證閘道不會將構件傳遞至 Horizon 連線伺服器以進行驗證,而驗證會失敗。

必要條件

  • 驗證閘道必須已使用下列 VMware Identity Manger 詳細資料設定。
    • SSL 憑證
    • OAuth2 用戶端識別碼和密碼
    • VMware Identity Manager 驗證端點 URL
  • 需要超級管理員角色,才能在 VMware Identity Manager 中執行此程序。

程序

  1. 登入 VMware Identity Manager 主控台。
  2. 選取目錄 > 虛擬應用程式集合索引標籤。
  3. 按一下要編輯的 Horizon 集合,然後按一下編輯網路範圍
  4. 按一下 Horizon 資源可以使用的 IP 位址的網路範圍。
    [網繭] 區段會列出所有已新增至集合、且已選取 [同步本機權利] 選項的 Horizon 網繭。請參閱 在 VMware Identity Manager 中設定 Horizon 網繭和網繭聯盟以取得為網繭和網繭聯盟設定用戶端 FQDN 的步驟。
  5. 在 [網繭] 區段中,於已設定的 Horizon 環境上啟用包裝 JWT 中的構件選項。

    在 Horizon 網繭上啟用 JWT

  6. 如果有多個驗證閘道可處理要求,請建立唯一識別碼,並將名稱新增至 JWT 中的對象文字方塊。
    此對象名稱是在驗證閘道安裝中所設定,用來驗證此閘道是預定的對象。如果 JWT 中的對象不符合此處設定的對象名稱,則系統會拒絕要求。
  7. 按一下儲存,然後在 [網路範圍] 頁面中按一下完成

下一步

您在此處新增的唯一對象名稱也必須新增至驗證閘道組態。