使用智能卡进行用户身份验证的客户端设备必须符合特定要求。

使用“派生的凭据”功能

要使用“派生的凭据”功能,Horizon 管理员必须在虚拟桌面或托管已发布桌面的 RDS 主机上安装智能卡中间件。不得在同一虚拟桌面或 RDS 主机上安装其他 PIV 卡中间件。VMware 测试了 Charismathics CSSI/CSTC 5.2.2 和 ActivClient 7.1。不支持 Windows Inbox 智能卡微型驱动程序。

在客户端设备上,您必须使用 Purebred 应用程序创建一个派生的凭据并为客户端设备置备凭据,创建一个虚拟智能卡,然后将虚拟智能卡与远程桌面上安装的智能卡中间件进行配对。有关信息,请参阅创建虚拟智能卡将虚拟智能卡与智能卡中间件配对

Horizon Client 中启用“用户名提示”文本框

在某些环境中,智能卡用户可以使用单个智能卡证书验证多个用户帐户的身份。用户在使用智能卡登录时,他们在用户名提示文本框中输入其用户名。

要在 Horizon Client 登录对话框中显示用户名提示字段,您必须在连接服务器中启用智能卡用户名提示功能。有关启用智能卡用户名提示功能的信息,请参阅《Horizon 管理指南》文档。

如果您的环境使用 Unified Access Gateway 设备来确保外部访问的安全,则必须配置 Unified Access Gateway 设备,以使其支持智能卡用户名提示功能。仅 Unified Access Gateway 2.7.2 和更高版本支持智能卡用户名提示功能。有关在 Unified Access Gateway 中启用智能卡用户名提示功能的信息,请参阅 《部署和配置 VMware Unified Access Gateway》 文档。

即使启用了智能卡用户名提示功能,Horizon Client 仍继续支持单帐户智能卡证书。

额外的智能卡身份验证要求

除了满足 Horizon Client 系统的智能卡要求以外,其他 Horizon 组件还必须满足特定的配置要求以支持智能卡。

连接服务器和安全服务器主机
管理员必须将所有受信任的用户证书的所有适用证书颁发机构 (Certificate Authority, CA) 证书链添加到连接服务器主机或安全服务器主机(如果使用安全服务器)上的服务器信任存储区文件中。这些证书链包括根证书,如果中间证书颁发机构颁发用户的智能卡证书,则还必须包括中间证书。

有关配置连接服务器以支持智能卡使用的信息,请参阅《Horizon 管理指南》文档。

Unified Access Gateway 设备
有关在 Unified Access Gateway 设备上配置智能卡身份验证的信息,请参阅 《部署和配置 VMware Unified Access Gateway》文档。
Active Directory
有关管理员为了实施智能卡身份验证而可能需要在 Active Directory 中执行的任务的信息,请参阅 《Horizon 管理指南》文档。