Con Horizon Client para Windows, cuando los usuarios seleccionan Iniciar sesión como usuario actual en el menú Opciones, las credenciales que se proporcionaron al iniciar sesión en el sistema cliente se usan para autenticarse en la instancia del agente de conexión y en el escritorio remoto usando Kerberos. No es necesaria otra autenticación del usuario.
Si está inscrito a Windows Hello para empresas con certificado de confianza en el sistema cliente, se utilizará el certificado de inicio de sesión de usuario emitido por Windows Hello para empresas para el inicio de sesión único en el sistema Horizon Agent. Para obtener más información, consulte "Autenticación con Windows Hello para empresas" en el documento Administración de Horizon 8.
Para dar soporte a esta función, las credenciales del usuario se almacenan en la instancia del agente de conexión y en el sistema cliente.
- En la instancia del agente de conexión, las credenciales del usuario están cifradas y se almacenan en la sesión del usuario junto al nombre de usuario, dominio y el UPN opcional. Las credenciales se agregan cuando se produce una autenticación y se eliminan cuando el objeto de sesión se destruye. El objeto de sesión se elimina cuando el usuario cierra sesión, se acaba el tiempo de espera de la sesión o se produce un error en la autenticación. El objeto de sesión reside en la memoria volátil y no se almacena en LDAP de Horizon ni en el archivo de disco.
- En la instancia del agente de conexión, habilite la opción Aceptar inicio de sesión como usuario actual para permitir que la instancia del agente de conexión acepte las credenciales y la identidad del usuario que se envían cuando los usuarios seleccionan Iniciar sesión como usuario actual en el menú Opciones de Horizon Client.
Importante: Debe comprender los riesgos de seguridad antes de habilitar esta opción. Consulte "Opciones del servidor relacionadas con la seguridad para la autenticación de usuarios" en el documento Seguridad de Horizon.
- En el sistema cliente, las credenciales del usuario se cifran y se almacenan en una tabla del paquete de autenticación, que es un componente de Horizon Client. Las credenciales se agregan a la tabla cuando el usuario inicia sesión y se eliminan de la tabla cuando cierra sesión. La tabla se encuentra en una memoria volátil.
Al seleccionar Aceptar inicio de sesión como usuario actual, puede habilitar las siguientes opciones de usuario:
- Permitir clientes heredados: admite clientes más antiguos. Horizon Client 2006 y 5.4 y versiones anteriores se consideran clientes más antiguos.
- Permitir reserva de NTLM: utiliza la autenticación NTLM en lugar de Kerberos cuando no hay acceso al controlador de dominio. La configuración de directiva de grupo de NTLM debe estar habilitada en la configuración de Horizon Client.
- Deshabilitar enlaces de canal: una capa de seguridad adicional para proteger la autenticación NTLM. De forma predeterminada, los enlaces de canal están habilitados en el cliente.
Nota: Si el enlace de canal está habilitado, confirme que NTLMv2 está activado mediante el conmutador LMCompatibilityLevel y que el nivel de seguridad es 3 o superior en el entorno del usuario. Para obtener más información, consulte la documentación de Microsoft aquí.
- Integración de True SSO: habilite esta opción en el agente de conexión para permitir SSO en el escritorio mediante True SSO. Por ejemplo, en un modo anidado, True SSO se utiliza para iniciar sesión en un cliente anidado y, a continuación, se realiza un inicio de sesión de escritorio secundario. Para obtener información sobre el modo anidado, consulte Guía de Horizon Client para Windows.
- Inhabilitado: el usuario debe introducir la información de inicio de sesión si el cliente no recibió las credenciales de inicio de sesión.
- Opcional: se utilizan las credenciales del cliente si están disponibles; de lo contrario se utiliza True SSO. Esta es la opción recomendada las opciones True SSO e Iniciar sesión como usuario actual están habilitadas.
- Habilitado: True SSO se utiliza para iniciar sesión en el escritorio.
Los administradores pueden usar la configuración de la directiva de grupo de Horizon Client para controlar la disponibilidad de la opción Iniciar sesión como usuario actual del menú Opciones y para especificar su valor predeterminado. Los administradores también pueden usar la directiva de grupo para especificar las instancias del agente de conexión que aceptan la información de la credencial y de la identidad de usuario que se transmite cuando los usuarios seleccionan Iniciar sesión como usuario actual en Horizon Client.
La función Iniciar sesión como usuario actual tiene las siguientes limitaciones y requisitos:
- Cuando la autenticación con tarjeta inteligente se establece como Requerida en una instancia del agente de conexión, se produce un error en la autenticación de los usuarios que seleccionaron Iniciar sesión como usuario actual cuando se conectan a la instancia del agente de conexión. Estos usuarios se deben volver a autenticar con la tarjeta inteligente y el PIN cuando inicien sesión en el agente de conexión.
- La hora del sistema en el que el cliente inicia sesión y la hora del host del agente de conexión deben estar sincronizadas.
- Si las asignaciones de los derechos del usuario Tener acceso a este equipo desde la red se modifican en el sistema cliente, deben modificarse como se describe en el artículo 1025691 de la base de conocimientos de VMware.