Configurar mapeamentos de certificado para autenticação baseada em certificado

Observação: (Note:) esta versão do tópico se aplica ao Horizon 8 Security versões 2111.2 e 2306 e posteriores. A autenticação baseada em certificado, como o cartão inteligente, depende dos nomes principais do usuário (UPNs) para autenticar em VMware Horizon 8. Com uma atualização de segurança recente da Microsoft (consulte Microsoft KB5014754 para obter detalhes.), todos os tipos de mapeamento com base em nomes de usuário e endereços de e-mail são considerados fracos e devem ser alterados para um dos tipos de mapeamento mais fortes. Essa configuração permite que você configure o mapeamento de autenticação de certificado se estiver usando a autenticação baseada em certificado.

Procedimento

Vá para Configurações globais > Configurações de segurança > Autenticação de certificado (Global Settings > Security Settings > Certificate Authentication).

Selecione uma opção de Controle de Mapeamento de Autenticação de Certificado.

Opção Descrição

SID Essa é a opção preferida e o padrão para uma nova instalação. Se selecionado com a opção Identidades de segurança alternativas personalizadas, o SID será abordado primeiro.

Identidades de segurança alternativas personalizadas

Opção	Descrição
SID	Essa é a opção preferida e o padrão para uma nova instalação. Se selecionado com a opção Identidades de segurança alternativas personalizadas, o SID será abordado primeiro.
Identidades de segurança alternativas personalizadas	Quando a caixa de seleção Identidades de segurança alternativas personalizadas está marcada, uma caixa de texto para adicionar Nomes de Mapeamento Alternativos é exibida. O mapeamento de autenticação de certificado deve começar com 'x509:', seguido pelos nomes de mapeamento de autenticação de certificado dentro de %%. Por exemplo: `x509:<I>%issuer_dn%<S>%subject_dn%` Os valores padrão para nomes de mapeamento de autenticação de certificado são: `subject_dn`, `issuer_dn`, `subject_key_id`, `serial`, `san_dns`, `ian_dns`, `san_822`, `public_key_sha1`, `san_other`, `oid:`
UPN e identidades de segurança alternativas predefinidas (herdado)	Essa é a opção padrão quando as atualizações são realizadas.

Quando a caixa de seleção Identidades de segurança alternativas personalizadas está marcada, uma caixa de texto para adicionar Nomes de Mapeamento Alternativos é exibida.

O mapeamento de autenticação de certificado deve começar com 'x509:', seguido pelos nomes de mapeamento de autenticação de certificado dentro de %%. Por exemplo: x509:<I>%issuer_dn%<S>%subject_dn%

Os valores padrão para nomes de mapeamento de autenticação de certificado são: subject_dn, issuer_dn, subject_key_id, serial, san_dns, ian_dns, san_822, public_key_sha1, san_other, oid:

UPN e identidades de segurança alternativas predefinidas (herdado)

Essa é a opção padrão quando as atualizações são realizadas.

Reinicie o serviço de gateway seguro para que as alterações entrem em vigor.
Observação: Se mais de uma opção for selecionada, a autenticação será feita com base na prioridade, nesta ordem:
- SID
- Identidades de segurança alternativas personalizadas
- UPN e identidades de segurança alternativas predefinidas (herdado)
Se você tiver aplicado a atualização de Segurança da Microsoft descrita em Microsoft KB5014754 e ainda continuar usando o UPN para autenticação baseada em certificado, a autenticação será negada quando o modo de imposição for habilitado pela Microsoft.