Configurar asignaciones de certificados para la autenticación basada en certificados

Nota: Esta versión del tema se aplica a las versiones de seguridad 2111.2 y 2306 y posteriores de Horizon 8. La autenticación basada en certificados, como tarjetas inteligentes, se basa en los nombres principales de usuario (UPN) para autenticarse en VMware Horizon 8. Tras una reciente actualización de seguridad de Microsoft (consulte más información en Microsoft KB5014754), todos los tipos de asignación basados en nombres de usuario y direcciones de correo electrónico se consideran débiles y deben cambiarse a un tipo de asignación más seguro. Esta opción permite configurar la asignación de autenticación de certificados si utiliza la autenticación basada en certificados.

Procedimiento

Vaya a Configuración global > Configuración de seguridad > Autenticación de certificado.

Seleccione una opción de Control de asignación de autenticación de certificado.

Opción Descripción

SID Esta es la opción preferida y es la predeterminada para instalaciones nuevas. Si se selecciona con la opción Identidades de seguridad alternativas personalizadas, el SID se usará en primer lugar.

Identidades de seguridad alternativas personalizadas

Opción	Descripción
SID	Esta es la opción preferida y es la predeterminada para instalaciones nuevas. Si se selecciona con la opción Identidades de seguridad alternativas personalizadas, el SID se usará en primer lugar.
Identidades de seguridad alternativas personalizadas	Cuando la casilla de verificación Identidades de seguridad alternativas personalizadas está seleccionada, se mostrará un cuadro de texto para agregar nombres de asignación alternativos. La asignación de autenticación de certificados debe comenzar con 'x509:', seguido por los nombres de asignación de autenticación de certificados entre %%. Por ejemplo: `x509:<I>%issuer_dn%<S>%subject_dn%` Los valores predeterminados para los nombres de asignaciones de autenticación de certificado son: `issuer_dn`, `subject_key_id`,`serial`, `san_dns`, `ian_dns`, `san_822`, `public_key_sha1`, `san_other`, `oid:`: y `subject_dn`
UPN e identidades de seguridad alternativas predefinidas (heredado)	Esta es la opción predeterminada cuando se realizan actualizaciones.

Cuando la casilla de verificación Identidades de seguridad alternativas personalizadas está seleccionada, se mostrará un cuadro de texto para agregar nombres de asignación alternativos.

La asignación de autenticación de certificados debe comenzar con 'x509:', seguido por los nombres de asignación de autenticación de certificados entre %%. Por ejemplo: x509:<I>%issuer_dn%<S>%subject_dn%

Los valores predeterminados para los nombres de asignaciones de autenticación de certificado son: issuer_dn, subject_key_id,serial, san_dns, ian_dns, san_822, public_key_sha1, san_other, oid:: y subject_dn

UPN e identidades de seguridad alternativas predefinidas (heredado)

Esta es la opción predeterminada cuando se realizan actualizaciones.

Reinicie el servicio de puerta de enlace de seguridad para que se apliquen los cambios. Si ejecuta la versión 2309 o una posterior, puede omitir este paso.
Nota: Si se seleccionan varias opciones, la autenticación se realizará según la prioridad, en este orden:
- SID
- Identidades de seguridad alternativas personalizadas
- UPN e identidades de seguridad alternativas predefinidas (heredado)
Si aplicó la actualización de seguridad de Microsoft descrita en Microsoft KB5014754 y sigue usando UPN para la autenticación basada en certificados, la autenticación se denegará una vez que Microsoft active el modo de aplicación.