Você pode usar Horizon Console para especificar configurações para acomodar diferentes cenários de autenticação de cartão inteligente.
Pré-requisitos
- Modifique as propriedades de configuração do Servidor de Conexão no host do Servidor de Conexão.
- Verifique se os clientes do Horizon fazem conexões HTTPS diretamente com o host do Servidor de Conexão. A autenticação de cartão inteligente não será compatível se você descarregar o TLS para um dispositivo intermediário.
Procedimento
- Em Horizon Console, selecione Configurações (Settings) > Servidores (Servers).
- Na guia Servidores de Conexão (Connection Servers), selecione a instância do Servidor de Conexão e clique em Editar (Edit).
- Para configurar a autenticação de cartão inteligente para usuários de aplicativos e áreas de trabalho remotas, execute estas etapas.
- Na guia Autenticação (Authentication), selecione uma opção de configuração no menu suspenso Autenticação de cartão inteligente para usuários (Smart card authentication for users) na seção Autenticação do Horizon.
Opção Ação Não permitido A autenticação de cartão inteligente está desativada na instância do Servidor de Conexão. Opcional Os usuários podem usar a autenticação de cartão inteligente ou a autenticação de senha para se conectar à instância do Servidor de Conexão. Se a autenticação do cartão inteligente falhar, o usuário deverá fornecer uma senha. Obrigatório Os usuários são obrigados a usar a autenticação de cartão inteligente ao se conectar à instância do Servidor de Conexão. Quando a autenticação de cartão inteligente é necessária, a autenticação falha para os usuários que marcam a caixa de seleção Fazer login como usuário atual (Log in as current user) quando se conectam à instância do Servidor de Conexão. Esses usuários devem se autenticar novamente com o cartão inteligente e o PIN quando fizerem login no Servidor de Conexão.
Observação: A autenticação de cartão inteligente substitui apenas a autenticação de senha Windows. Se o SecurID estiver ativado, os usuários deverão se autenticar usando a autenticação do SecurID e do cartão inteligente. - Configure a política de remoção de cartão inteligente.
Não é possível configurar a política de remoção de cartão inteligente quando a autenticação de cartão inteligente está definida como Não permitida (Not Allowed).
Opção Ação Desconecte os usuários do Servidor de Conexão quando eles removerem seus cartões inteligentes. Marque a caixa de seleção Desconectar sessões do usuário na remoção do cartão inteligente (Disconnect user sessions on smart card removal). Mantenha os usuários conectados ao Servidor de Conexão quando eles removerem seus cartões inteligentes e permita que eles iniciem novas sessões de área de trabalho ou aplicativo sem reautenticar. Desmarque a caixa de seleção Desconectar sessões do usuário na remoção do cartão inteligente (Disconnect user sessions on smart card removal). A política de remoção de cartão inteligente não se aplica a usuários que se conectam à instância do Servidor de Conexão com a caixa de seleção Fazer login como usuário atual (Log in as current user) marcada, mesmo que eles façam login no sistema do cliente com um cartão inteligente. - Configure o recurso de dicas de nome de usuário do smart card.
Não é possível configurar o recurso de dicas de nome de usuário do smart card quando a autenticação do smart card está definida como Não permitida (Not Allowed).
Opção Ação Permita que os usuários usem um único certificado de cartão inteligente para autenticar em várias contas de usuário. Marque a caixa de seleção Permitir dicas de nome de usuário de smart card (Allow smart card user name hints). Desabilite os usuários de usar um único certificado de cartão inteligente para autenticar em várias contas de usuário. Desmarque a caixa de seleção Permitir dicas de nome de usuário de smart card (Allow smart card user name hints).
- Na guia Autenticação (Authentication), selecione uma opção de configuração no menu suspenso Autenticação de cartão inteligente para usuários (Smart card authentication for users) na seção Autenticação do Horizon.
- Para configurar a autenticação de cartão inteligente para administradores que fazem login em Horizon Console, selecione uma opção de configuração no menu suspenso Autenticação de cartão inteligente para administradores (Smart card authentication for administrators) na seção Autenticação Horizonte (Horizon Authentication).
Opção Ação Não permitido A autenticação de cartão inteligente está desativada na instância do Servidor de Conexão. Opcional Os administradores podem usar a autenticação de cartão inteligente ou a autenticação de senha para fazer login em Horizon Console. Se a autenticação do cartão inteligente falhar, o administrador deverá fornecer uma senha. Obrigatório Os administradores são obrigados a usar a autenticação de cartão inteligente quando fazem login em Horizon Console. Observação: Os administradores do Horizon com privilégio de ignorar cartão inteligente podem autenticar e consumir APIs, mesmo se o Servidor de Conexão exigir a autenticação de cartão inteligente. Consulte Privilégios globais para obter detalhes. - Clique em OK.
- Reinicie o serviço do Servidor de Conexão.
Você deve reiniciar o serviço Servidor de Conexão para que as alterações nas configurações do cartão inteligente entrem em vigor, com uma exceção. Você pode alterar as configurações de autenticação de smart card entre Opcional (Optional) e Obrigatório (Required) sem precisar reiniciar o serviço do Servidor de Conexão.
O usuário e os administradores conectados no momento não são afetados por alterações nas configurações do cartão inteligente.
O que Fazer Depois
Prepare o Active Directory para autenticação de cartão inteligente, se necessário. Consulte "Preparar Active Directory para autenticação de cartão inteligente" no documento Instalação e upgrade do Horizon 8.
Verifique a configuração de autenticação do seu cartão inteligente. Consulte Verifique a configuração de autenticação do cartão inteligente em Horizon Console.
