要使用“派生的凭据”功能,您必须创建一个虚拟智能卡,以便在登录到服务器并连接到远程桌面时使用。一个虚拟智能卡可容纳多个证书。

前提条件

  • 确认客户端设备、远程桌面、RDS 主机、连接服务器主机和其他 Horizon 组件满足智能卡身份验证要求。请参阅智能卡身份验证要求
  • 确认设备具有通行码。需要使用通行码才能创建虚拟智能卡。
  • 使用适用于 iOS 的 VMware Workspace ONE PIV-D Manager v22.10 或更高版本,或者使用 Purebred 等第三方移动应用程序向客户端设备颁发证书,创建派生的凭据并在客户端设备上置备凭据。

如果使用 Workspace ONE PIV-D Manager,则必须满足以下要求:

  • 适用于 iOS 的 VMware Workspace ONE PIV-D Manager v22.10 及更高版本。
  • 装有 iOS 14 或更高版本,以及 iPadOS 14 或更高版本的设备。
  • 已启用永久性令牌。为此,请执行以下操作:
    1. 创建名为 config.txt 的本地文本文件。
    2. 将以下行添加到此文件并保存:EnablePersistentTokens=True
    3. 使用 Finder 将此文件同步到适用于 iOS 的 Horizon Client 的公用文件夹。(适用于 iOS 的 Horizon Client 已发布其“文档”目录)。
  • 从控制台向 iOS 设备发送派生凭据时,在 Workspace ONE UEM 上设置以下应用程序配置。有关 PersistentTokenExtensionAllowedUserPresenceProtectionPIVDPromptForPIN,以及如何对它们进行设置的详细信息,请参阅 Workspace ONE PIV-D Manager 指南中的从控制台将派生凭据发送到 iOS 设备
    • 必需:将 PersistentTokenExtensionAllowed 设置为 True 以启用永久性令牌扩展。这将允许将 PIV-D Manager 作为 CTK 提供程序。
    • 可选:将 UserPresenceProtectionPIVDPromptForPIN 设置为 False,并启用 SSO 以避免冗余身份验证。

过程

  1. 点击 Horizon Client 窗口底部的设置
  2. 点击派生的凭据,然后点击创建新虚拟智能卡
  3. 执行设备身份验证。
    • 如果启用了 Touch ID 或 Face ID,则使用 Touch ID 或 Face ID 进行身份验证。
    • 如果 Touch ID 和 Face ID 均未启用,则使用通行码进行身份验证。
  4. 输入并确认虚拟智能卡的 PIN。
  5. 点击继续,并导入证书。
    1. 点击 PIV 身份验证证书
    2. 选择 Purebred 密钥链位置。
      注: 如果使用 VMware WorkSpace ONE PIV-D Manager,可以跳过此步骤。
    3. 选择要导入的证书。
      注: 如果在 Purebred 密钥链位置中找不到该证书,请检查是否成功配置了 Purebred。
  6. (可选) 要在导入 PIV 身份验证证书之后导入数字签名证书或加密证书,请点击数字签名证书加密证书,然后按照提示进行操作。
  7. 要创建虚拟智能卡,请点击完成
    派生的凭据将显示在 设置窗口中。 使用派生的凭据设置被设置为“开”。
  8. 要为不同的 Horizon 环境创建其他虚拟智能卡,请点击创建新的虚拟智能卡,然后重复上述步骤。

下一步做什么

将虚拟智能卡与智能卡中间件配对)。