In Horizon Console können Einstellungen für verschiedene Smartcard-Authentifizierungsszenarien festgelegt werden.

Voraussetzungen

  • Ändern Sie Verbindungsserver-Konfigurationseigenschaften auf Ihrem Verbindungsserver-Host.
  • Überprüfen Sie, ob Horizon-Clients HTTPS-Verbindungen direkt mit Ihrem Verbindungsserver-Host herstellen. Die Authentifizierung per Smartcard wird nicht unterstützt, wenn Sie TLS auf ein Zwischengerät auslagern.

Prozedur

  1. Wählen Sie in Horizon Console Einstellungen > Server aus.
  2. Wählen Sie auf der Registerkarte Verbindungsserver die Verbindungsserver-Instanz aus und klicken Sie auf Bearbeiten.
  3. Um die Smartcard-Authentifizierung für Remote-Desktop- und Anwendungsbenutzer zu konfigurieren, führen Sie folgende Schritte durch.
    1. Wählen Sie auf der Registerkarte Authentifizierung aus dem Dropdown-Menü Smartcard-Authentifizierung für Benutzer im Abschnitt „Horizon-Authentifizierung“ eine Konfigurationsoption aus.
      Option Aktion
      Nicht zulässig Die Smartcard-Authentifizierung ist auf der Verbindungsserver-Instanz deaktiviert.
      Optional Benutzer können für die Verbindung mit der Verbindungsserver-Instanz die Smartcard-Authentifizierung oder die Kennwortauthentifizierung verwenden. Wenn die Smartcard-Authentifizierung fehlschlägt, muss der Benutzer ein Kennwort angeben.
      Erforderlich Benutzer müssen für die Verbindung mit der Verbindungsserver-Instanz die Smartcard-Authentifizierung verwenden.

      Wenn die Smartcard-Authentifizierung erforderlich ist, schlägt die Authentifizierung von Benutzern fehl, die das Kontrollkästchen Als aktueller Benutzer anmelden zur Herstellung einer Verbindung mit der Verbindungsserver-Instanz aktivieren. Diese Benutzer müssen sich bei der Anmeldung beim Verbindungsserver erneut mit ihrer Smartcard und ihrer PIN authentifizieren.

      Hinweis: Die Smartcard-Authentifizierung ersetzt nur die Windows-Kennwortauthentifizierung. Wenn SecurID aktiviert ist, müssen sich die Benutzer sowohl über SecurID als auch per Smartcard authentifizieren.
    2. Konfigurieren Sie die Richtlinie zum Entfernen von Smartcards.
      Die Richtlinie zum Entfernen von Smartcards kann nicht konfiguriert werden, wenn für die Smartcard-Authentifizierung Nicht zulässig festgelegt ist.
      Option Aktion
      Trennen der Benutzer von der Verbindungsserver-Instanz beim Entfernen der Smartcards. Aktivieren Sie das Kontrollkästchen Benutzersitzungen nach Entfernung der Smartcard trennen.
      Benutzer bleiben beim Entfernen der Smartcards weiterhin mit dem Verbindungsserver verbunden und können neue Desktop- oder Anwendungssitzungen ohne erneute Authentifizierung starten. Deaktivieren Sie das Kontrollkästchen Benutzersitzungen nach Entfernung der Smartcard trennen.
      Die Richtlinie zum Entfernen von Smartcards gilt nicht für Benutzer, die mit der Verbindungsserver-Instanz verbunden sind, für die das Kontrollkästchen Als aktueller Benutzer anmelden aktiviert ist, selbst wenn sie sich an ihrem Clientsystem mit einer Smartcard anmelden.
    3. Konfigurieren der Hinweisfunktion für den Smartcard-Benutzernamen.
      Die Hinweisfunktion für den Smartcard-Benutzernamen kann nicht konfiguriert werden, wenn für die Smartcard-Authentifizierung Nicht zulässig festgelegt ist.
      Option Aktion
      Benutzern die Verwendung eines einzigen Smartcard-Zertifikats zur Authentifizierung bei mehreren Benutzerkonten erlauben. Aktivieren Sie das Kontrollkästchen Hinweise für Smartcard-Benutzernamen zulassen.
      Benutzern keine Verwendung eines einzigen Smartcard-Zertifikats zur Authentifizierung bei mehreren Benutzerkonten erlauben. Deaktivieren Sie das Kontrollkästchen Hinweise für Smartcard-Benutzernamen zulassen.
  4. Um die Smartcard-Authentifizierung für Administratoren zu konfigurieren, die sich bei Horizon Console anmelden, wählen Sie im Abschnitt Horizon-Authentifizierung eine Konfigurationsoption aus dem Dropdown-Menü Smartcard-Authentifizierung für Administratoren aus.
    Option Aktion
    Nicht zulässig Die Smartcard-Authentifizierung ist auf der Verbindungsserver-Instanz deaktiviert.
    Optional Administratoren können die Authentifizierung per Smartcard oder Kennwort verwenden, um sich bei Horizon Console anzumelden. Wenn die Smartcard-Authentifizierung fehlschlägt, muss der Administrator ein Kennwort angeben.
    Erforderlich Administratoren müssen die Smartcard-Authentifizierung verwenden, wenn sie sich bei Horizon Console anmelden.
    Hinweis: Horizon-Administratoren mit der Berechtigung zur Umgehung der Smartcard können sich authentifizieren und APIs nutzen, auch wenn der Verbindungsserver Smartcard-Authentifizierung vorschreibt. Informationen finden Sie unter Globale Berechtigungen.
  5. Klicken Sie auf OK.
  6. Starten Sie den Verbindungsserver-Dienst neu.
    Mit einer Ausnahme müssen Sie den Verbindungsserver-Dienst neu starten, damit die Änderungen an den Smartcard-Einstellungen in Kraft treten. Sie können die Smartcard-Authentifizierungseinstellungen zwischen Optional und Erforderlich ändern, ohne den Verbindungsserver-Dienst neu starten zu müssen.

    Aktuell angemeldete Benutzer und Administratoren sind von Änderungen an Smartcard-Einstellungen nicht betroffen.

Nächste Maßnahme

Bereiten Sie Active Directory bei Bedarf für die Smartcard-Authentifizierung vor. Weitere Informationen finden Sie im Dokument Horizon 8-Installation und -Upgrade unter „Vorbereiten von Active Directory für die Smartcard-Authentifizierung“.

Überprüfen Sie die Konfiguration der Smartcard-Authentifizierung. Siehe Überprüfen der Smartcard-Authentifizierungskonfiguration in Horizon Console.