Los dispositivos cliente que utilizan una tarjeta inteligente para la autenticación del usuario deben cumplir ciertos requisitos.
Requisitos de hardware y de software del cliente
Cada máquina cliente que utilice una tarjeta inteligente para la autenticación del usuario debe contar con el software y el hardware especificados a continuación.
- Horizon Client
- Lector de tarjeta inteligente compatible
- Controladores de aplicaciones específicos para el producto
Los usuarios deben contar con una tarjeta inteligente, y cada tarjeta inteligente debe tener un certificado de usuario. Se admiten las siguientes tarjetas inteligentes.
- Tarjeta de acceso común (CAC) del Departamento de Defensa de los Estados Unidos
- Tarjetas inteligentes FIPS-201, que corresponde a la verificación de la identidad del personal (PIV) del gobierno federal de Estados Unidos
- Tarjeta Gemalto .NET
- Tarjeta Gemalto IDPrime MD
Para las tarjetas CAC y PIV, Horizon Client utiliza el controlador de tarjetas inteligentes CryptoTokenKit de forma predeterminada y no es necesario instalar ningún software intermedio.
Para las tarjetas Gemalto .NET, instale la versión adecuada de SafeNet Authentication Client para su versión de macOS. Gemalto SafeNet Client Authentication admite los controladores de tarjetas inteligentes CryptoTokenKit y TokenD para las tarjetas inteligentes Gemalto .NET.
También puede utilizar los siguientes controladores de tarjetas inteligentes de terceros con las tarjetas CAC y PIV.
- PKard for Mac v1.7 y v1.7.1
- Charismathics (CCSI_5.0.3_PIV)
- Centrify Express
Para utilizar un controlador de tarjetas inteligentes de terceros, debe deshabilitar el controlador de tarjetas inteligentes CryptoTokenKit. Si desea obtener más información, consulte Deshabilitar el controlador de tarjetas inteligentes CryptoTokenKit.
Requisitos del software agente
Un administrador de Horizon debe instalar controladores de aplicaciones específicos para cada producto en la máquina agente.
Con las tarjetas PIV, el sistema operativo instala el controlador correspondiente al insertar un lector de tarjetas inteligentes y una tarjeta PIV para un escritorio virtual Windows 7. Se admiten los siguientes controladores agente para las tarjetas PIV en escritorios virtuales Windows 7.
- Charismathics (CSTC PIV 5.2.2)
- Minicontrolador de Microsoft
- ActivClient 6.x
Se admiten los siguientes controladores agente para las tarjetas PIV en escritorios virtuales Windows 10.
- Charismathics (CSTC PIV 5.2.2)
- ActivClient 7.x
Para las tarjetas Gemalto .NET, se admite el controlador Gemalto Minidriver for .NET Smart Card.
Habilitar el campo Sugerencia de nombre de usuario en Horizon Client
En algunos entornos, los usuarios pueden usar un certificado de tarjeta inteligente único para autenticar varias cuentas de usuario. Los usuarios escriben su nombre en el cuadro de texto Sugerencia de nombre de usuario cuando usan una tarjeta inteligente para autenticarse.
Para que el cuadro de texto Sugerencia de nombre de usuario aparezca en el cuadro de diálogo de inicio de sesión de Horizon Client, debe habilitar la función de sugerencia del nombre de usuario de la tarjeta inteligente en la instancia del servidor de conexión en Horizon Console. Para obtener más información sobre cómo habilitar la función de sugerencias de nombre de usuario de la tarjeta inteligente, consulte el documento Administración de Horizon.
Si el entorno usa un dispositivo Unified Access Gateway para conseguir un acceso externo seguro, debe configurar el dispositivo Unified Access Gateway para que admita la función de sugerencias de nombre de usuario de la tarjeta inteligente. Dicha función es compatible únicamente con Unified Access Gateway 2.7.2 y versiones posteriores. Para obtener más información sobre cómo habilitar la función de sugerencias de nombre de usuario de la tarjeta inteligente en Unified Access Gateway, consulte el documento Implementación y configuración de VMware Unified Access Gateway.
Requisitos adicionales para la autenticación con tarjetas inteligentes
Además de cumplir los requisitos de las tarjetas inteligentes en los sistemas Horizon Client, otros componentes de VMware Horizon deben cumplir ciertos requisitos de configuración para ser compatibles con las tarjetas inteligentes.
- Servidor de conexión y hosts del servidor de seguridad
-
Un administrador de Horizon debe agregar todos los certificados de entidad de certificación (CA) aplicables a todos los certificados de usuario de confianza en un archivo del almacén de confianza del servidor en el servidor de conexión o en el host del servidor de seguridad. Estos certificados incluyen certificados raíz y deben incluir certificados intermedios si el certificado de la tarjeta inteligente del usuario fue emitido por una entidad de certificación intermedia.
Cuando genera un certificado para una tarjeta PIV en blanco, introduzca la ruta en el archivo del almacén de confianza del servidor en el host del servidor de seguridad o el servidor de conexión en la pestaña Proveedor de cifrado de la herramienta para generar los datos PIV.
Para obtener más información sobre cómo configurar el servidor de conexión de forma que admita el uso de tarjetas inteligentes, consulte el documento Administración de Horizon.
- Unified Access Gateway
- Para obtener más información sobre la configuración de la autenticación con tarjeta inteligente en un dispositivo de Unified Access Gateway, consulte el documento Implementación y configuración de VMware Unified Access Gateway.
- Active Directory
- Para obtener más información sobre las tareas que puede que tengan que llevar a cabo los administradores en Active Directory para implementar la autenticación con tarjeta inteligente, consulte el documento Administración de Horizon.