Clientgeräte, die eine Smartcard für die Benutzerauthentifizierung verwenden, müssen bestimmte Anforderungen erfüllen.

Hardware- und Softwareanforderungen an den Client

Für jeden Client Computer, der zur Benutzerauthentifizierung eine Smartcard verwendet, gelten die folgenden Hardware- und Softwareanforderungen.

  • Horizon Client
  • Ein kompatibler Smartcard-Leser
  • Produktspezifische Anwendungstreiber

Benutzer müssen über eine Smartcard verfügen, und jede Smartcard muss ein Benutzerzertifikat enthalten. Die folgenden Smartcards werden unterstützt.

  • U.S. Department of Defense Common Access Card (CAC)
  • U.S. Federal Government Personal Identity Verification Card (PIV), (auch als FIPS-201 Smartcards bezeichnet)
  • Gemalto .NET-Karte
  • Gemalto IDPrime MD-Karte

Für CAC- und PIV-Karten verwendet Horizon Client standardmäßig den CryptoTokenKit-Smartcard-Treiber, und Sie müssen keine Middleware installieren.

Für Gemalto .NET-Karten installieren Sie die richtige SafeNet Authentication Client-Version für Ihre macOS-Version. Gemalto SafeNet Authentication Client unterstützt sowohl CryptoTokenKit- als auch TokenD-Smartcard-Treiber für Gemalto .NET-Smartcards.

Sie können auch die folgenden Smartcard-Treiber von Drittanbietern mit CAC- und PIV-Karten verwenden.

  • PKard für Mac v1.7 und v1.7.1
  • Charismathics (CCSI_5.0.3_PIV)
  • Centrify Express

Um einen Smartcard-Treiber eines Drittanbieters verwenden zu können, müssen Sie den CryptoTokenKit-Smartcard-Treiber deaktivieren. Weitere Informationen finden Sie unter Deaktivieren des CryptoTokenKit-Smartcard-Treibers.

Anforderungen an die Agent-Software

Ein Horizon-Administrator muss produktspezifische Anwendungstreiber auf dem Agent-Computer installieren.

Bei PIV-Karten installiert das Betriebssystem den entsprechenden Treiber, wenn Sie ein Smartcard-Lesegerät und eine PIV-Karte für einen virtuellen Windows 7-Desktop einlegen. Die folgenden Agenttreiber werden für PIV-Karten für virtuelle Windows 7-Desktops unterstützt.

  • Charismathics (CSTC PIV 5.2.2)
  • Microsoft-Minitreiber
  • ActivClient 6.x

Die folgenden Agenttreiber werden für PIV-Karten für virtuelle Windows 10-Desktops unterstützt.

  • Charismathics (CSTC PIV 5.2.2)
  • ActivClient 7.x

Für Gemalto .NET-Karten wird der Gemalto Minidriver for .NET Smart Card-Treiber unterstützt.

Aktivieren des Feldes „Benutzernamenhinweis“ in Horizon Client

In einigen Umgebungen können Smartcard-Benutzer ein einziges Smartcard-Zertifikat zur Authentifizierung bei mehreren Benutzerkonten verwenden. Benutzer geben ihren Benutzernamen in das Textfeld Benutzernamenhinweis ein, wenn sie sich über eine Smartcard authentifizieren.

Damit das Textfeld Benutzernamenhinweis im Anmeldungsdialogfeld von Horizon Client angezeigt wird, müssen Sie die Funktion für Smartcard-Benutzernamenhinweise für die Verbindungsserver-Instanz in Horizon Console aktivieren. Informationen zur Aktivierung von Smartcard-Benutzernamenhinweisen erhalten Sie im Dokument Horizon 8-Verwaltung.

Wenn Ihre Umgebung für den sicheren externen Zugriff eine Unified Access Gateway-Appliance verwendet, müssen Sie die Unified Access Gateway-Appliance zur Unterstützung von Smartcard-Benutzernamenhinweisen konfigurieren. Die Funktion für Smartcard-Benutzernamenhinweise wird nur mit Unified Access Gateway 2.7.2 und höher unterstützt. Informationen zur Aktivierung von Smartcard-Benutzernamenhinweisen in Unified Access Gateway erhalten Sie im Dokument Bereitstellen und Konfigurieren von VMware Unified Access Gateway.

Hinweis: Horizon Client unterstützt Smartcard-Zertifikate für Einzelkonten auch dann, wenn die Funktion für Smartcard-Benutzernamenhinweise aktiviert ist.

Zusätzliche Anforderungen für die Smartcard-Authentifizierung

Neben der Einhaltung der Smartcard-Anforderungen für Horizon Client-Systeme müssen andere VMware Horizon-Komponenten zur Unterstützung von Smartcards bestimmte Anforderungen an die Konfiguration erfüllen.

Verbindungsserver- und Sicherheitsserver-Hosts
Ein Horizon-Administrator muss alle anwendbaren Zertifizierungsstellenzertifikate für alle vertrauenswürdigen Benutzerzertifikate einer Serververtrauensspeicher-Datei auf dem Verbindungsserver- oder Sicherheitsserver-Host hinzufügen. Diese Zertifikate beinhalten Stammzertifikate und müssen auch Zwischenzertifikate enthalten, wenn das Smartcard-Zertifikat des Benutzers von einer Zwischenzertifizierungsstelle herausgegeben wurde.

Wenn Sie ein Zertifikat für eine leere PIV-Karte generieren, geben Sie im PIV Data Generator-Tool auf der Registerkarte Crypto Provider (Kryptografieanbieter) den Pfad zur Serververtrauensspeicher-Datei auf dem Verbindungsserver oder Sicherheitsserverhost ein.

Informationen zur Konfiguration des Verbindungsservers für die Unterstützung von Smartcards finden Sie im Dokument Horizon 8-Verwaltung.

Unified Access Gateway
Informationen zur Konfiguration der Smartcard-Authentifizierung auf einer Unified Access Gateway-Appliance finden Sie im Dokument Bereitstellen und Konfigurieren von VMware Unified Access Gateway.
Active Directory
Informationen zu den Aufgaben, die Ihr Administrator eventuell in Active Directory zur Implementierung der Smartcard-Authentifizierung durchführen muss, finden Sie im Dokument Horizon 8-Verwaltung.