您可以在 Unified Access Gateway 中配置 x509 证书身份验证,以允许客户端在其桌面或移动设备上使用证书进行身份验证或使用智能卡适配器进行身份验证。
基于证书的身份验证基于用户拥有的资源(私钥或智能卡)和掌握的信息(私钥的密码或智能卡 PIN)。智能卡身份验证通过验证用户是否具有智能卡以及用户是否知道 PIN 来提供双因素身份验证。最终用户可以使用智能卡登录到远程 View 桌面操作系统以及访问启用智能卡的应用程序,例如,使用证书对电子邮件进行签名以证明发件人身份的电子邮件应用程序。
通过使用该功能,将针对 Unified Access Gateway 服务执行智能卡证书身份验证。Unified Access Gateway 使用 SAML 断言将有关最终用户的 X.509 证书和智能卡 PIN 的信息传送到 Horizon Server。
您可以配置证书吊销检查以防止对已吊销用户证书的用户进行身份验证。当用户离开组织、丢失智能卡或从一个部门调往另一个部门时,通常会吊销其证书。支持使用在线证书状态协议 (OCSP) 进行证书吊销检查。OCSP 是用于获取证书吊销状态的证书验证协议。
您可以在证书身份验证适配器配置中配置 OCSP。
您也可以设置身份验证,以便 Unified Access Gateway 需要智能卡身份验证,然后又将身份验证信息传送到服务器,这可能需要 Active Directory 身份验证。
注: 对于 VMware Identity Manager,始终通过
Unified Access Gateway 将身份验证信息传送到 VMware Identity Manager 服务。只有在将
Unified Access Gateway 与 Horizon 7 一起使用时,才能将智能卡身份验证配置为在
Unified Access Gateway 设备上执行。