Avec Horizon Client pour Windows, lorsque des utilisateurs sélectionnent Se connecter en tant qu'utilisateur actuel dans le menu Options, les informations d'identification qu'ils fournissent lors de l'ouverture de session sur le système client sont utilisées pour les authentifier sur l'instance d'Horizon Connection Server et sur le poste de travail distant à l'aide de Kerberos. Aucune autre authentification d'utilisateur n'est requise.
Pour prendre en charge cette fonction, les informations d’identification utilisateur sont stockées sur l’instance du Serveur de connexion et sur le système client.
- Sur l’instance du Serveur de connexion, les informations d’identification utilisateur sont chiffrées et stockées dans la session utilisateur avec le nom d'utilisateur, le domaine et le nom d’utilisateur principal (UPN) facultatif. Les informations d'identification sont ajoutées lors de l'authentification et sont supprimées lors de la destruction de l'objet de session. L'objet de session est détruit quand l'utilisateur ferme sa session, quand la session expire ou quand l'authentification échoue. L'objet de session réside dans une mémoire volatile et n'est pas stocké dans Horizon LDAP ou dans un fichier de disque.
- Sur l'instance du Serveur de connexion, activez le paramètre Autoriser l'ouverture de session en tant qu'utilisateur actuel pour permettre à l'instance du Serveur de connexion d'accepter l'identité et les informations d'identification utilisateur qui sont transmises lorsque les utilisateurs sélectionnent Se connecter en tant qu'utilisateur actuel dans le menu Options dans Horizon Client.
Important : Vous devez comprendre les risques de sécurité avant d'activer ce paramètre. Consultez la section « Paramètres de serveur liés à la sécurité pour l'authentification utilisateur » dans le document Sécurité d'Horizon 7.
- Sur le système client, les informations d'identification d'utilisateur sont chiffrées et stockées dans un tableau dans Authentication Package, qui est un composant d'Horizon Client. Les informations d'identification sont ajoutées au tableau quand l'utilisateur ouvre une session et sont supprimées du tableau quand l'utilisateur ferme sa session. Le tableau réside dans la mémoire volatile.
- Autoriser les clients hérités : prise en charge des clients plus anciens. Les versions 2006 et 5.4, et les versions antérieures d'Horizon Client sont considérées comme des clients plus anciens.
- Autoriser le recours NTLM : utilise l'authentification NTLM au lieu de Kerberos lorsqu'il n'existe aucun accès au contrôleur de domaine. Vous devez activer les paramètres de stratégie de groupe NTLM dans la configuration d'Horizon Client.
- Désactiver les liaisons de canal : couche de sécurité supplémentaire permettant de sécuriser l'authentification NTLM. Par défaut, les liaisons de canal sont activées sur le client.
Note : Si la liaison de canal est activée, vérifiez que NTLMv2 est activé à l'aide du commutateur LMCompatibilityLevel et que le niveau de sécurité 3 ou supérieur est défini dans l'environnement utilisateur. Pour plus d'informations, reportez-vous ici à la documentation de Microsoft https://docs.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/network-security-lan-manager-authentication-level.
- Intégration de True SSO : activez ce paramètre sur le Serveur de connexion pour autoriser SSO sur le poste de travail à l'aide de True SSO. Par exemple, en mode imbriqué, True SSO permet de se connecter à un client imbriqué, puis une connexion de poste de travail secondaire est effectuée. Pour plus d'informations sur le mode imbriqué, reportez-vous à la section Guide d'installation et de configuration de VMware Horizon Client pour Windows.
- Désactivé : l'utilisateur doit entrer des informations de connexion si le client n'a pas reçu d'informations d'identification d'ouverture de session.
- Facultatif : les informations d'identification du client sont utilisées, le cas échéant. Sinon True SSO est utilisée. Il s'agit du paramètre recommandé si les options True SSO et Connexion en tant qu'utilisateur actuel sont activées.
- Activé : True SSO est utilisée pour se connecter au poste de travail.
Les administrateurs peuvent utiliser des paramètres de stratégie de groupe Horizon Client pour contrôler la disponibilité du paramètre Se connecter en tant qu'utilisateur actuel dans le menu Options et pour spécifier sa valeur par défaut. Les administrateurs peuvent également utiliser une stratégie de groupe pour spécifier les instances du Serveur de connexion qui acceptent l’identité et les informations d'identification de l’utilisateur qui sont transmises lorsque celui-ci sélectionne Se connecter en tant qu'utilisateur actuel dans Horizon Client.
La fonction Se connecter en tant qu'utilisateur actuel a les limites et exigences suivantes :
- Lorsque l’authentification par carte à puce est requise sur une instance du Serveur de connexion, l’authentification échoue pour les utilisateurs qui sélectionnent Se connecter en tant qu'utilisateur actuel lorsqu’ils se connectent à cette instance. Ces utilisateurs doivent s’authentifier à nouveau avec leur carte à puce et leur code PIN lorsqu’ils se connectent au Serveur de connexion.
- L’heure du système sur lequel le client se connecte et l’heure de l'hôte du Serveur de connexion doivent être synchronisées.
- Si les affectations de droits d'usage par défaut Accéder à cet ordinateur à partir du réseau sont modifiées sur le système client, elles doivent être modifiées comme indiqué dans l'article 1025691 de la base de connaissances de VMware.