Les périphériques clients qui utilisent une carte à puce pour l’authentification utilisateur doivent satisfaire certaines exigences.
Exigences logicielles et matérielles du client
Chaque machine cliente qui utilise une carte à puce pour l'authentification utilisateur doit disposer des logiciels et matériels suivants.
- Horizon Client
- Un lecteur de carte à puce compatible
- Des pilotes d'application spécifiques du produit
Les utilisateurs doivent posséder une carte à puce et chaque carte à puce doit contenir un certificat utilisateur. Les cartes à puce suivantes sont prises en charge.
- U.S. Department of Defense Common Access Card (CAC)
- U.S. Federal Government Personal Identity Verification (PIV) (également appelée carte à puce FIPS-201)
- Carte Gemalto .NET
- Carte Gemalto IDPrime MD
Pour les cartes CAC et PIV, Horizon Client utilise le pilote de carte à puce CryptoTokenKit par défaut et vous n'avez pas besoin d'installer de middleware.
Pour les cartes Gemalto .NET, installez la version correcte du client d'authentification SafeNet pour votre version de macOS. Gemalto SafeNet Authentication Client prend en charge les pilotes de carte à puce CryptoTokenKit et TokenD pour les cartes à puce Gemalto .NET.
Vous pouvez également utiliser les pilotes de carte à puce tiers suivants avec les cartes CAC et PIV.
- PKard pour Mac v1.7 et v1.7.1
- Charismathics (CCSI_5.0.3_PIV)
- Centrify Express
Pour utiliser un pilote de carte à puce tiers, vous devez désactiver le pilote de carte à puce CryptoTokenKit. Pour plus d'informations, reportez-vous à la section Désactivation du pilote de carte à puce CryptoTokenKit.
Configuration requise du logiciel de l'agent
Un administrateur Horizon doit installer les pilotes d'application spécifiques du produit sur la machine de l'agent.
Avec les cartes PIV, le système d'exploitation installe le pilote associé lorsque vous insérez un lecteur de carte à puce et une carte PIV pour un poste de travail virtuel Windows 7. Les pilotes de l'agent suivants sont pris en charge pour les cartes PIV pour postes de travail virtuels Windows 7.
- Charismathics (CSTC PIV 5.2.2)
- Minipilote de Microsoft
- ActivClient 6.x
Les pilotes de l'agent suivants sont pris en charge pour les cartes PIV pour postes de travail virtuels Windows 10.
- Charismathics (CSTC PIV 5.2.2)
- ActivClient 7.x
Pour les cartes Gemalto .NET, le minipilote Gemalto pour le pilote .NET Smart Card est pris en charge.
Activation du champ Aide-mémoire du nom d'utilisateur dans Horizon Client
Dans certains environnements, les utilisateurs de carte à puce peuvent utiliser un seul certificat de carte à puce pour s'authentifier sur plusieurs comptes d'utilisateur. Les utilisateurs entrent leur nom d'utilisateur dans la zone de texte Aide-mémoire du nom d'utilisateur lorsqu'ils utilisent une carte à puce pour s'authentifier.
Pour que la zone de texte Aide-mémoire du nom d'utilisateur apparaisse dans la boîte de dialogue de connexion d'Horizon Client, vous devez activer la fonctionnalité d'aide-mémoire du nom d'utilisateur de carte à puce pour l'instance du Serveur de connexion dans Horizon Console. Pour plus d'informations sur l'activation de la fonctionnalité d'aide-mémoire du nom d'utilisateur de carte à puce, consultez le document Administration d'Horizon 8.
Si votre environnement utilise un dispositif Unified Access Gateway pour sécuriser l'accès externe, vous devez configurer le dispositif Unified Access Gateway pour qu'il prenne en charge la fonctionnalité d'aide-mémoire du nom d'utilisateur de carte à puce. La fonctionnalité d'aide-mémoire du nom d'utilisateur de carte à puce n'est prise en charge qu'avec Unified Access Gateway 2.7.2 et versions ultérieures. Pour plus d'informations sur l'activation de la fonctionnalité d'aide-mémoire du nom d'utilisateur de carte à puce dans Unified Access Gateway, consultez le document Déploiement et configuration de VMware Unified Access Gateway.
Exigences supplémentaires de l'authentification par carte à puce
Outre le respect des exigences de carte à puce pour les systèmes Horizon Client, les autres composants de VMware Horizon doivent également respecter certaines exigences de configuration pour prendre en charge les cartes à puce.
- Hôtes du Serveur de connexion et du serveur de sécurité
-
Un administrateur Horizon doit ajouter tous les certificats d'autorité de certification applicables pour tous les certificats d'utilisateur de confiance à un fichier de magasin d'approbations de serveur sur l'hôte du Serveur de connexion ou du serveur de sécurité. Ces certificats incluent des certificats racines et doivent inclure des certificats intermédiaires si le certificat de carte à puce de l'utilisateur a été délivré par une autorité de certification intermédiaire.
Lorsque vous générez un certificat pour une carte PIV vierge, dans l'onglet CSP de l'outil de génération de données PIV, entrez le chemin d'accès au fichier de magasin d'approbations du serveur sur l'hôte du serveur de sécurité ou du Serveur de connexion.
Pour plus d'informations sur la configuration du Serveur de connexion pour la prise en charge des cartes à puce, consultez le documentAdministration d'Horizon 8.
- Unified Access Gateway
- Pour plus d'informations sur la configuration de l'authentification par carte à puce sur un dispositif Unified Access Gateway, consultez le document Déploiement et configuration de VMware Unified Access Gateway.
- Active Directory
- Pour plus d'informations sur les tâches qu'un administrateur peut effectuer dans Active Directory afin d'implémenter l'authentification par carte à puce, consultez le document Administration d'Horizon 8.