Com Horizon Client para Windows, quando os usuários selecionam Fazer login como usuário atual (Log in as current user) no menu Opções (Options), as credenciais que eles forneceram ao fazer login no sistema do cliente são usadas para autenticar à instância do intermediário de conexão e à área de trabalho remota usando o Kerberos. Nenhuma autenticação de usuário adicional é necessária.

Se você estiver inscrito no WindowsHello for Business com confiança de certificado no sistema cliente, o certificado de logon do usuário emitido pelo WindowsHello for Business será usado para logon único no sistema Horizon Agent. Para obter mais informações, consulte "Autenticação com o WindowsHello for Business" no documento Administração do Horizon 8.

Para oferecer suporte a esse recurso, as credenciais do usuário são armazenadas na instância do intermediário de conexão e no sistema do cliente.

  • Na instância do intermediário de conexão, as credenciais do usuário são criptografadas e armazenadas na sessão do usuário junto com o nome de usuário, o domínio e o UPN opcional. As credenciais são adicionadas quando ocorre a autenticação e são removidas quando o objeto de sessão é destruído. O objeto de sessão é destruído quando o usuário faz logout, a sessão atinge o tempo limite ou a autenticação falha. O objeto de sessão reside na memória volátil e não é armazenado no Horizon LDAP ou em um arquivo de disco.
  • Na instância do intermediário de conexão, ative a configuração Aceitar logon como usuário atual (Accept logon as current user) para permitir que a instância do intermediário de conexão aceite as informações de identidade e credencial do usuário que são passadas quando os usuários selecionam Fazer login como usuário atual (Log in as current user) } no menu Opções (Options) em Horizon Client.
    Importante: Você deve compreender os riscos de segurança antes de habilitar essa configuração. Consulte "Configurações do servidor relacionadas à segurança para autenticação do usuário" no documento Segurança Horizon.
  • No sistema cliente, as credenciais do usuário são criptografadas e armazenadas em uma tabela no Pacote de Autenticação, que é um componente de Horizon Client. As credenciais são adicionadas à tabela quando o usuário faz login e são removidas da tabela quando o usuário faz logout. A tabela reside na memória volátil.
    Ao selecionar Aceitar logon como usuário atual (Accept logon as current user), você pode ativar as seguintes configurações de usuário:
    • Permitir clientes herdados: suporte para clientes mais antigos. Horizon Client versões 2006 e 5.4 e versões anteriores são consideradas clientes mais antigos.
    • Permitir Fallback NTLM: usa a autenticação NTLM em vez de Kerberos quando não há acesso ao controlador de domínio. As configurações de política de grupo NTLM devem ser habilitadas na configuração Horizon Client.
    • Desativar associações de canal: uma camada de segurança adicional para proteger a autenticação NTLM. Por padrão, as associações de canal são habilitadas no cliente.
      Observação: Se a associação de canal estiver habilitada, confirme se o NTLMv2 está ativado usando a opção LMCompatibilityLevel e se o nível de segurança 3 ou superior no ambiente do usuário. Para obter mais informações, consulte a documentação da Microsoft aqui.
    • True SSO Integration: Habilite essa configuração no intermediário de conexão para permitir o SSO na área de trabalho usando o True SSO. Por exemplo, em um modo aninhado, o True SSO é usado para fazer logon em um cliente aninhado e, em seguida, um logon secundário da área de trabalho foi realizado. Para obter informações sobre o modo aninhado, consulte o Horizon Client para o Windows Guia.
      • Desabilitado: o usuário precisa inserir as informações de logon se o cliente não tiver recebido as credenciais de logon.
      • Opcional: As credenciais do cliente são usadas, se disponíveis; caso contrário, o True SSO será usado. Essa é a configuração recomendada se True SSO e Fazer login como usuário atual estiverem ativados.
      • Ativado: o SSO verdadeiro é usado para fazer logon na área de trabalho.

Os administradores podem usar as configurações de política de grupo Horizon Client para controlar a disponibilidade da configuração Fazer login como usuário atual (Log in as current user) no menu Opções (Options) e especificar seu valor padrão. Os administradores também podem usar a política de grupo para especificar quais instâncias do intermediário de conexão aceitam a identidade do usuário e as informações de credencial que são passadas quando os usuários selecionam Fazer login como usuário atual (Log in as current user) em Horizon Client.

O recurso Desbloqueio Recursivo é ativado depois que um usuário faz login no intermediário de conexão com o recurso Fazer login como usuário atual. O recurso Desbloqueio Recursivo desbloqueia todas as sessões remotas após o desbloqueio da máquina cliente. Os administradores podem controlar o recurso Desbloqueio recursivo com a configuração de política global Desbloquear sessões remotas quando a máquina cliente estiver desbloqueada (Unlock remote sessions when the client machine is unlocked) em Horizon Client. Para obter mais informações sobre as configurações de política global para Horizon Client, consulte a documentação do Horizon Client na página VMware Horizon Documentação dos clientes Web.
Observação: O recurso de desbloqueio recursivo pode ficar lento quando você usa Fazer login como usuário atual com autenticação NTLM se Horizon Client não puder acessar os controladores de domínio. Para mitigar esse problema, ative a configuração de política de grupo Sempre usar NTLM para servidores (Always use NTLM for servers) na pasta VMware Horizon Client Configuração > Configurações de segurança > Configurações de NTLM na Política de grupo Editor de Gestão.

O recurso Fazer login como usuário atual tem as seguintes limitações e requisitos:

  • Quando a autenticação de smart card está definida como Obrigatória em uma instância do intermediário de conexão, a autenticação falha para os usuários que selecionam Fazer login como usuário atual (Log in as current user) ao se conectarem à instância do intermediário de conexão. Esses usuários devem se autenticar novamente com o cartão inteligente e o PIN quando fizerem login no intermediário de conexão.
  • A hora no sistema em que o cliente efetua login e a hora no host do intermediário de conexão devem ser sincronizadas.
  • Se as atribuições de direitos de usuário padrão Acessar este computador pela rede (Access this computer from the network) forem modificadas no sistema do cliente, elas deverão ser modificadas conforme descrito no artigo 1025691 da VMware Base de Conhecimento (KB).