Vous pouvez configurer l'authentification par certificat x509 dans Unified Access Gateway afin de permettre aux clients de s'authentifier avec des certificats sur leur poste de travail et périphériques mobiles ou d'utiliser un adaptateur de carte à puce pour l'authentification.
L'authentification par certificat est basée sur ce que possède l'utilisateur (la clé privée ou la carte à puce) et sur ce que la personne connaît (le mot de passe de la clé privée ou le code PIN de la carte à puce). L'authentification par carte à puce fournit une authentification à deux facteurs en vérifiant à la fois ce que la personne a (la carte à puce) et ce qu'elle sait (le code PIN). Les utilisateurs finaux peuvent utiliser des cartes à puce pour ouvrir une session sur un système d'exploitation de poste de travail Horizon distant et pour accéder à des applications compatibles avec les cartes à puce, telles qu'une application de messagerie électronique qui utilise le certificat pour signer des e-mails afin de prouver l'identité de l'expéditeur.
Avec cette fonctionnalité, l'authentification par certificat ou carte à puce est effectuée sur la base du service Unified Access Gateway. Unified Access Gateway utilise une assertion SAML pour communiquer des informations relatives au certificat X.509 de l'utilisateur final et le code PIN de la carte à puce à Horizon Server.
Vous pouvez configurer le contrôle de la révocation des certificats pour empêcher les utilisateurs dont les certificats d'utilisateur sont révoqués de s'authentifier. Les certificats sont souvent révoqués lorsqu'un utilisateur quitte une entreprise, perd une carte à puce ou passe d'un service à un autre. Le contrôle de la révocation des certificats à l'aide de listes de révocation de certificats (CRL) et du protocole OCSP est pris en charge. Une CRL est une liste de certificats révoqués publiée par l'autorité de certification qui a émis les certificats. OCSP est un protocole de validation des certificats utilisé pour obtenir le statut de révocation d'un certificat.
Il est possible de configurer la CRL et OCSP en configurant l'adaptateur d'authentification par certificat. Lorsque vous configurez les deux types de contrôle de révocation des certificats et que la case Utiliser la CRL en cas de défaillance d'OCSP est cochée, OCSP est contrôlé en premier et, s'il échoue, le contrôle de la révocation est effectué par la CRL.
Le contrôle de la révocation ne revient pas à OCSP en cas d'échec de la CRL.
Pour VMware Identity Manager, l'authentification est toujours transmise via Unified Access Gateway au service VMware Identity Manager. Vous pouvez configurer l'authentification par carte à puce pour qu'elle soit exécutée sur le dispositif Unified Access Gateway uniquement si Unified Access Gateway est utilisé avec Horizon 7.