Vous pouvez configurer l'authentification par certificat x509 dans Access Point afin de permettre aux utilisateurs de s'authentifier avec des certificats sur leur poste de travail et périphériques mobiles ou d'utiliser un adaptateur de carte à puce pour l'authentification.

L'authentification par certificat est basée sur ce que possède l'utilisateur (la clé privée ou la carte à puce) et sur ce que la personne connaît (le mot de passe de la clé privée ou le code PIN de la carte à puce). L'authentification par carte à puce fournit une authentification à deux facteurs en vérifiant à la fois ce que la personne a (la carte à puce) et ce qu'elle sait (le code PIN). Les utilisateurs finaux peuvent utiliser des cartes à puce pour ouvrir une session sur un système d'exploitation de poste de travail View distant et pour accéder à des applications compatibles avec les cartes à puce, telles qu'une application de messagerie électronique qui utilise le certificat pour signer des e-mails afin de prouver l'identité de l'expéditeur.

Avec cette fonctionnalité, l'authentification par certificat ou carte à puce est effectuée sur la base du service Access Point. Access Point utilise une assertion SAML pour communiquer des informations relatives au certificat X.509 de l'utilisateur final et le code PIN de la carte à puce au serveur Horizon.

Vous pouvez configurer le contrôle de la révocation des certificats pour empêcher les utilisateurs dont les certificats d'utilisateur sont révoqués de s'authentifier. Les certificats sont souvent révoqués lorsqu'un utilisateur quitte une entreprise, perd une carte à puce ou passe d'un service à un autre. Le contrôle de la révocation des certificats à l'aide de listes de révocation de certificats (CRL) et du protocole OCSP est pris en charge. Une CRL est une liste de certificats révoqués publiée par l'autorité de certification qui a émis les certificats. OCSP est un protocole de validation des certificats utilisé pour obtenir le statut de révocation d'un certificat.

Il est possible de configurer la CRL et OCSP en configurant le même adaptateur d'authentification par certificat. Lorsque vous configurez les deux types de contrôle de révocation des certificats et que la case Utiliser la CRL en cas de défaillance d'OCSP est cochée, OCSP est contrôlé en premier et, s'il échoue, le contrôle de la révocation est effectué par la CRL. Le contrôle de la révocation ne revient pas à OCSP en cas d'échec de la CRL.

Vous pouvez également configurer l'authentification afin qu'Access Point requière l'authentification par carte à puce, mais l'authentification est alors également transmise au serveur, ce qui peut nécessiter l'authentification Active Directory.

Note : Pour VMware Identity Manager, l'authentification transite toujours par Access Point vers le service VMware Identity Manager. Vous pouvez configurer l'authentification par carte à puce pour qu'elle soit exécutée sur le dispositif Access Point uniquement si Access Point est utilisé avec Horizon 7.