当用户或管理员将智能卡插入智能卡读卡器中后,如果客户端操作系统是 Windows,智能卡上的用户证书将被复制到客户端系统上的本地证书存储中。本地证书存储中的证书可供客户端计算机上运行的所有应用程序(包括 Horizon Client)使用。
当用户或管理员与配置为使用智能卡身份验证的连接服务器实例建立连接时,连接服务器实例将向客户端系统发送受信任的证书颁发机构 (Certificate Authority, CA) 列表。客户端系统将依据可用的用户证书来检查受信任 CA 列表,选择合适的证书,然后提示用户或管理员输入智能卡 PIN 码。如果存在多个有效的用户证书,客户端系统会提示用户或管理员选择其中一个证书。
客户端系统将用户证书发送给连接服务器实例,连接服务器实例将通过检查证书的信任和有效期限对其进行验证。通常情况下,只要签发了用户证书而且该证书有效,用户和管理员即可成功通过身份验证。如果配置了证书撤消检查,已撤消用户证书的用户或管理员将无法通过身份验证。
在一些环境中,用户的智能卡证书可以映射到多个 Active Directory 域用户帐户。用户可能有多个具有管理员权限的帐户,因此需要指定在智能卡登录时“用户名提示”字段中使用哪个帐户。要使 Horizon Client 登录对话框中显示“用户名提示”字段,管理员必须在 Horizon Console 中为连接服务器实例启用智能卡用户名提示功能。然后,在智能卡登录期间,智能卡用户可以在“用户名提示”字段中输入用户名或 UPN。
如果您的环境使用 Unified Access Gateway 设备来确保外部访问的安全,则必须配置 Unified Access Gateway 设备,以使其支持智能卡用户名提示功能。仅 Unified Access Gateway 2.7.2 和更高版本支持智能卡用户名提示功能。有关在 Unified Access Gateway 设备中启用智能卡用户名提示功能的信息,请参阅《部署和配置 VMware Unified Access Gateway》文档。
在 Horizon Client 中使用智能卡身份验证时,不支持显示协议切换。要在 Horizon Client 中使用智能卡进行身份验证后更改显示协议,用户必须注销并重新登录。