Puede configurar la autenticación mediante certificado x509 en Unified Access Gateway para permitir a los clientes autenticarse con certificados en sus escritorios o dispositivos móviles, o bien utilizar un adaptador de tarjeta inteligente para la autenticación.

La autenticación basada en certificado se fundamenta en lo que el usuario tiene (clave privada o tarjeta inteligente) y en lo que la persona sabe (la contraseña de la clave privada o el PIN de la tarjeta inteligente). La autenticación de tarjeta inteligente proporciona autenticación de dos factores al verificar tanto lo que la persona tiene (la tarjeta inteligente) como lo que sabe (el PIN). Los usuarios finales utilizan tarjetas inteligentes para iniciar la sesión en sistemas operativos de escritorio remoto de Horizon y para acceder a aplicaciones habilitadas para tarjeta inteligente, como aplicaciones de correo electrónico que utilicen el certificado para firmar correo electrónico para demostrar la identidad del remitente.

Con esta función, la autenticación mediante certificado de tarjeta inteligente se realiza en el servicio Unified Access Gateway. Unified Access Gateway utiliza una aserción SAML para comunicar información sobre el certificado X.509 del usuario final y el PIN de la tarjeta inteligente al servidor de Horizon.

Puede configurar la comprobación de la revocación del certificado para impedir la autenticación de los usuarios que tengan certificados de usuario revocados. Los certificados se revocan con frecuencia cuando un usuario abandona una organización, pierde una tarjeta inteligente o se traslada de un departamento a otro. Se admite la comprobación de revocación de certificados con listas de revocación de certificados (CRL) y con el protocolo de estado de certificado en línea (OCSP). Una CRL es una lista de certificados revocados publicada por la entidad de certificación que los emitió. OCSP es un protocolo de validación de certificados que se utiliza para obtener el estado de revocación de un certificado.

Puede configurar tanto CRL como OCSP en la configuración del adaptador de autenticación mediante certificado. Cuando se configuran ambos tipos de comprobación de revocación de certificados y la casilla Usar CRL en caso de Error de OCSP está habilitada, se comprueba antes con OCSP y, si esto no funciona, la comprobación de revocación de certificados recae en la CRL.

Nota:

La comprobación de revocación no utiliza OCSP si CRL falla.

Nota:

Para VMware Identity Manager, la autenticación siempre pasa de Unified Access Gateway al servicio de VMware Identity Manager. Se puede configurar la autenticación de tarjeta inteligente para que solo se realice en el dispositivo de Unified Access Gateway si Unified Access Gateway se utiliza junto con Horizon 7.