您可以在 Unified Access Gateway 中配置 x509 证书身份验证,以允许客户端在其桌面或移动设备上使用证书进行身份验证或使用智能卡适配器进行身份验证。
基于证书的身份验证基于用户拥有的资源(私钥或智能卡)和掌握的信息(私钥的密码或智能卡 PIN)。智能卡身份验证通过验证用户是否具有智能卡以及用户是否知道 PIN 来提供双因素身份验证。最终用户可以使用智能卡登录到远程 Horizon 桌面操作系统以及访问启用智能卡的应用程序,例如,使用证书对电子邮件进行签名以证明发件人身份的电子邮件应用程序。
通过使用该功能,将针对 Unified Access Gateway 服务执行智能卡证书身份验证。Unified Access Gateway 使用 SAML 断言将有关最终用户的 X.509 证书和智能卡 PIN 的信息传送到 Horizon Server。
您可以配置证书吊销检查以防止对已吊销用户证书的用户进行身份验证。当用户离开组织、丢失智能卡或从一个部门调往另一个部门时,通常会吊销其证书。支持使用证书吊销列表 (Certificate Revocation List, CRL) 和在线证书状态协议 (Online Certificate Status Protocol, OCSP) 进行证书吊销检查。CRL 是由颁发证书的 CA 发布的吊销证书列表。OCSP 是用于获取证书吊销状态的证书验证协议。
您可以在证书身份验证适配器配置中配置 CRL 和 OCSP。如果配置这两种类型的证书吊销检查并启用
OCSP 失败时使用 CRL
复选框,将先检查 OCSP;如果 OCSP 失败,吊销检查将改用 CRL。
注: 如果 CRL 失败,吊销检查不会改用 OCSP。
注: 对于
VMware Identity Manager,身份验证信息将始终通过
Unified Access Gateway 传递到
VMware Identity Manager 服务。只有在将
Unified Access Gateway 与 Horizon 7 一起使用时,才能将智能卡身份验证配置为在
Unified Access Gateway 设备上执行。