Avec Horizon Client pour Windows, lorsque des utilisateurs sélectionnent Se connecter en tant qu'utilisateur actuel dans le menu Options, les informations d'identification qu'ils fournissent lors de l’ouverture de session sur le système client sont utilisées pour les authentifier sur l’instance du Serveur de connexion Horizon et sur le poste de travail distant. Aucune autre authentification d'utilisateur n'est requise.
Pour prendre en charge cette fonction, les informations d’identification utilisateur sont stockées sur l’instance du Serveur de connexion et sur le système client.
- Sur l’instance du Serveur de connexion, les informations d’identification utilisateur sont chiffrées et stockées dans la session utilisateur avec le nom d'utilisateur, le domaine et le nom d’utilisateur principal (UPN) facultatif. Les informations d'identification sont ajoutées lors de l'authentification et sont supprimées lors de la destruction de l'objet de session. L'objet de session est détruit quand l'utilisateur ferme sa session, quand la session expire ou quand l'authentification échoue. L’objet de session réside dans une mémoire volatile et n’est pas stocké dans Horizon LDAP ou dans un fichier de disque.
- Sur l'instance du Serveur de connexion, activez le paramètre Autoriser l'ouverture de session en tant qu'utilisateur actuel pour permettre à l'instance du Serveur de connexion d'accepter l'identité et les informations d'identification utilisateur qui sont transmises lorsque les utilisateurs sélectionnent Se connecter en tant qu'utilisateur actuel dans le menu Options dans Horizon Client.
Important : Vous devez comprendre les risques de sécurité avant d'activer ce paramètre. Consultez la section « Paramètres de serveur liés à la sécurité pour l'authentification utilisateur » dans le document Sécurité d'Horizon 7.
- Sur le système client, les informations d'identification d'utilisateur sont chiffrées et stockées dans un tableau dans Authentication Package, qui est un composant d'Horizon Client. Les informations d'identification sont ajoutées au tableau quand l'utilisateur ouvre une session et sont supprimées du tableau quand l'utilisateur ferme sa session. Le tableau réside dans la mémoire volatile.
Les administrateurs peuvent utiliser des paramètres de stratégie de groupe Horizon Client pour contrôler la disponibilité du paramètre Se connecter en tant qu'utilisateur actuel dans le menu Options et pour spécifier sa valeur par défaut. Les administrateurs peuvent également utiliser une stratégie de groupe pour spécifier les instances du Serveur de connexion qui acceptent l’identité et les informations d'identification de l’utilisateur qui sont transmises lorsque celui-ci sélectionne Se connecter en tant qu'utilisateur actuel dans Horizon Client.
La fonction de déverrouillage récursif est activée lorsqu’un utilisateur se connecte au Serveur de connexion avec la fonction Se connecter en tant qu’utilisateur actuel. Cette fonctionnalité déverrouille toutes les sessions distantes après que la machine cliente a été déverrouillée. Les administrateurs peuvent contrôler la fonction de déverrouillage récursif avec le paramètre de stratégie globale Déverrouiller les sessions distantes lorsque la machine cliente est déverrouillée dans Horizon Client. Pour plus d’informations sur les paramètres de stratégie globale pour Horizon Client, consultez la documentation Horizon Client dans la page Web de la documentation des clients VMware Horizon Client.
La fonction Se connecter en tant qu'utilisateur actuel a les limites et exigences suivantes :
- Lorsque l’authentification par carte à puce est requise sur une instance du Serveur de connexion, l’authentification échoue pour les utilisateurs qui sélectionnent Se connecter en tant qu'utilisateur actuel lorsqu’ils se connectent à cette instance. Ces utilisateurs doivent s’authentifier à nouveau avec leur carte à puce et leur code PIN lorsqu’ils se connectent au Serveur de connexion.
- L’heure du système sur lequel le client se connecte et l’heure de l'hôte du Serveur de connexion doivent être synchronisées.
- Si les affectations de droits d'usage par défaut Accéder à cet ordinateur à partir du réseau sont modifiées sur le système client, elles doivent être modifiées comme indiqué dans l'article 1025691 de la base de connaissances de VMware.
- La machine client doit pouvoir communiquer avec le serveur Active Directory de l'entreprise et ne pas utiliser les informations d'identification mises en cache pour l'authentification. Par exemple, si des utilisateurs ouvrent une session sur leurs machines client depuis l'extérieur du réseau d'entreprise, les informations d'identification mises en cache sont utilisées pour l'authentification. Si l’utilisateur tente de se connecter à un serveur de sécurité ou à une instance du Serveur de connexion sans établir au préalable une connexion VPN, il est invité à fournir des informations d’identification, et la fonctionnalité Se connecter en tant qu'utilisateur actuel ne fonctionne pas.