Sie können die x509-Zertifikatauthentifizierung so konfigurieren, dass Clients sich mithilfe von Zertifikaten auf Desktops und mobilen Geräten authentifizieren oder einen Smartcard-Adapter für die Authentifizierung verwenden können. Die zertifikatbasierte Authentifizierung beruht auf etwas, was der Benutzer besitzt (dem privaten Schlüssel oder der Smartcard) und auf etwas, was die Person weiß (dem Kennwort für den privaten Schlüssel oder der PIN der Smartcard). Ein X.509-Zertifikat verwendet den Standard der Public Key Infrastructure (PKI), um zu überprüfen, ob ein im Zertifikat enthaltener öffentlicher Schlüssel dem Benutzer gehört. Bei der Smartcard-Authentifizierung legen Benutzer die Smartcard in den Computer ein und geben eine PIN ein.
Die Smartcard-Zertifikate werden in den lokalen Zertifikatspeicher des Benutzercomputers kopiert. Die Zertifikate im lokalen Zertifikatspeicher sind für alle Browser auf diesem Benutzercomputer verfügbar (mit einigen Ausnahmen) und stehen deshalb einer VMware Identity Manager-Instanz im Browser zur Verfügung.
Wenn die Zertifikatauthentifizierung konfiguriert ist und die Service-Appliance hinter dem Lastausgleichsdienst eingerichtet ist, müssen Sie sicherstellen, dass der VMware Identitätsmanager Connector mit SSL-Durchleitung am Lastausgleichsdienst konfiguriert ist, d.h. SSL darf nicht im Lastausgleichsdienst beendet werden. Diese Konfiguration stellt sicher, dass das SSL-Handshake zwischen Connector und Client stattfindet, damit das Zertifikat an den Connector übergeben wird. Wenn Ihr Lastausgleichsdienst so konfiguriert ist, dass er SSL im Lastausgleichsdienst beendet, können Sie zur Unterstützung der Zertifikatsauthentifizierung einen zweiten Connector hinter einem anderen Lastausgleichsdienst bereitstellen.
Informationen zum Hinzufügen eines zweiten Konnektors finden Sie im Handbuch „Installieren und Konfigurieren von VMware Identity Manager“.
