Sie können die x509-Zertifikatauthentifizierung in Unified Access Gateway so konfigurieren, dass Clients sich mithilfe von Zertifikaten auf Desktops oder mobilen Geräten authentifizieren oder einen Smartcard-Adapter für die Authentifizierung verwenden können.
Die zertifikatbasierte Authentifizierung beruht auf etwas, was der Benutzer besitzt (dem privaten Schlüssel oder der Smartcard) und auf etwas, was die Person weiß (dem Kennwort für den privaten Schlüssel oder der PIN der Smartcard). Die Smartcard-Authentifizierung bietet eine zweistufige Authentifizierung, indem einerseits überprüft wird, ob die Person im Besitz der Smartcard ist, und andererseits, ob die Person die erforderliche PIN kennt. Endbenutzer haben die Möglichkeit, Smartcards für die Anmeldung bei einem Horizon-Remote-Desktop-Betriebssystem und für den Zugriff auf Smartcard-fähige Anwendungen zu verwenden, z. B. E-Mail-Anwendungen, die das Zertifikat für das Signieren von E-Mails zur Bestätigung der Absenderidentität einsetzen.
Mit dieser Funktion wird die Smartcard-Zertifikatauthentifizierung im Unified Access Gateway-Dienst ausgeführt. Unified Access Gateway verwendet eine SAML-Zusicherung, um Informationen zum X.509-Zertifikat und der Smartcard-PIN des Endbenutzers an den Horizon-Server zu übermitteln.
Sie können die Zertifikatsperrüberprüfung konfigurieren, um zu verhindern, dass sich Benutzer authentifizieren, deren Benutzerzertifikate gesperrt sind. Wenn Benutzer eine Organisation verlassen, eine Smartcard verlieren oder die Abteilung wechseln, werden Zertifikate häufig gesperrt. Es wird sowohl eine Zertifikatsperrüberprüfung mit Zertifikatsperrlisten (CRL, Certificate Revocation Lists) als auch mit dem Online Certificate Status Protocol (OCSP) unterstützt. Eine Zertifikatsperrliste ist eine Liste mit gesperrten Zertifikaten, die von der Zertifizierungsstelle veröffentlicht wird, die das Zertifikat ausgestellt hat. Bei OCSP handelt es sich um ein Zertifikatüberprüfungsprotokoll zur Ermittlung des Sperrstatus eines Zertifikats.
Sie können CRL und OCSP in der Zertifikat-Authentifizierungsadapter-Konfiguration festlegen. Wenn Sie beide Arten der Zertifikatsperrüberprüfung konfiguriert haben und das Kontrollkästchen „CRL im Falle eines OCSP-Fehlers verwenden“ aktiviert ist, wird OCSP zuerst überprüft und bei einem Scheitern die Sperrüberprüfung an CRL weitergegeben.
Beachten Sie, dass umgekehrt bei einem Scheitern der CRL-Überprüfung die Sperrüberprüfung nicht an OCSP zurückgegeben wird.
Für VMware Identity Manager wird die Authentifizierung immer durch Unified Access Gateway zum VMware Identity Manager-Dienst weitergeleitet. Die Smartcard-Authentifizierung für die Unified Access Gateway-Appliance kann nur konfiguriert werden, wenn Unified Access Gateway mit Horizon 7 verwendet wird.
