Les périphériques clients qui utilisent une carte à puce pour l’authentification utilisateur doivent satisfaire certaines exigences.
Exigences logicielles et matérielles du client
Chaque périphérique client qui utilise une carte à puce pour l'authentification de l'utilisateur doit disposer des logiciels et matériels suivants.
- Horizon Client
- Les cartes à puce et les lecteurs de carte à puce qui utilisent un fournisseur PKCS#11 ou Microsoft CNG API/CryptoAPI.
- Des pilotes d'application spécifiques du produit
Les utilisateurs qui s'authentifient avec des cartes à puce doivent posséder une carte à puce ou un jeton de carte à puce USB, et chaque carte à puce doit contenir un certificat utilisateur.
Avant d'émettre un certificat, vous devez créer le modèle de celui-ci. Vous devez sélectionner Fournisseur de stockage de clés ou Fournisseur de services de chiffrement hérités.
Pour créer un modèle de certificat KSP, sélectionnez Windows Server 2008 ou une version ultérieure pour l'autorité de certification dans l'onglet Compatibilité et sélectionnez Fournisseur de stockage de clés dans l'onglet Chiffrement.
Si vous utilisez un modèle de certificat KSP pour émettre le certificat, pour le CSP spécifié dans le modèle d'émission de certificat, sélectionnez Fournisseur de stockage de clés de carte à puce Microsoft ou un KSP de carte à puce tiers qui prend en charge RSA avec des algorithmes SHA-256. Si vous utilisez un modèle de certificat CSP hérité, sélectionnez Fournisseur de services de chiffrement Microsoft pour carte à puce ou une CSP de carte à puce tierce qui prend en charge RSA avec des algorithmes SHA-256.
Exigences de l'inscription par carte à puce
Pour installer des certificats sur une carte à puce, un administrateur doit configurer un ordinateur pour qu'il agisse comme une station d'inscription. Cet ordinateur doit avoir l'autorité d'émettre des certificats de carte à puce pour les utilisateurs, et il doit être membre du domaine pour lequel vous émettez des certificats.
Lorsque vous inscrivez une carte à puce, vous pouvez sélectionner la taille de clé du certificat résultant. Pour utiliser des cartes à puce avec des postes de travail locaux, vous devez sélectionner une clé de 1 024 bits ou de 2 048 bits lors de son inscription. Les certificats avec des clés de 512 bits ne sont pas pris en charge.
Le site Web Microsoft TechNet comporte des informations détaillées sur la planification et l'implémentation de l'authentification par carte à puce pour les systèmes Windows.
Configuration logicielle requise pour les postes de travail distants et les applications publiées
Un administrateur Horizon doit installer les pilotes d'application spécifiques du produit sur les postes de travail virtuels ou sur l'hôte RDS.
Activation de la zone de texte Aide-mémoire du nom utilisateur dans Horizon Client
Dans certains environnements, les utilisateurs de carte à puce peuvent utiliser un seul certificat de carte à puce pour s'authentifier sur plusieurs comptes d'utilisateur. Les utilisateurs entrent leur nom d'utilisateur dans la zone de texte Aide-mémoire du nom d'utilisateur lorsqu'ils se connectent avec une carte à puce.
Pour que le champ Aide-mémoire du nom d'utilisateur apparaisse dans la boîte de dialogue de connexion d'Horizon Client, vous devez activer la fonctionnalité Aide-mémoire du nom d'utilisateur de carte à puce sur le Serveur de connexion. Pour plus d'informations sur l'activation de la fonctionnalité d'aide-mémoire du nom d'utilisateur de carte à puce, consultez le document Administration d'Horizon.
Si votre environnement utilise un dispositif Unified Access Gateway pour sécuriser l'accès externe, vous devez configurer le dispositif Unified Access Gateway pour qu'il prenne en charge la fonctionnalité d'aide-mémoire du nom d'utilisateur de carte à puce. La fonctionnalité d'aide-mémoire du nom d'utilisateur de carte à puce n'est prise en charge qu'avec Unified Access Gateway 2.7.2 et versions ultérieures. Pour plus d'informations sur l'activation de la fonctionnalité d'aide-mémoire du nom d'utilisateur de carte à puce dans Unified Access Gateway, consultez le document Déploiement et configuration de VMware Unified Access Gateway.
Horizon Client prend toujours en charge les certificats de carte à puce de compte unique lorsque la fonctionnalité d'aide-mémoire du nom d'utilisateur de carte à puce est activée.
Exigences supplémentaires de l'authentification par carte à puce
Outre le respect des exigences de carte à puce pour les systèmes Horizon Client, les autres composants d'Horizon doivent également respecter certaines exigences de configuration pour prendre en charge les cartes à puce.
- Hôtes du Serveur de connexion et du serveur de sécurité
-
Un administrateur doit ajouter toutes les chaînes de certificats d'autorité de certification (CA) applicables pour tous les certificats utilisateur de confiance à un fichier de magasin d'approbations de serveur sur l'hôte du Serveur de connexion ou, si un serveur de sécurité est utilisé, sur l'hôte du serveur de sécurité. Ces chaînes de certificats incluent des certificats racines et, si une autorité de certification intermédiaire émet le certificat de carte à puce de l'utilisateur, elles doivent inclure également les certificats intermédiaires.
Pour plus d'informations sur la configuration du Serveur de connexion pour la prise en charge des cartes à puce, consultez le documentAdministration d'Horizon.
- Dispositifs Unified Access Gateway
- Pour plus d'informations sur la configuration de l'authentification par carte à puce sur un dispositif Unified Access Gateway, consultez le document Déploiement et configuration de VMware Unified Access Gateway.
- Active Directory
- Pour plus d'informations sur les tâches qu'un administrateur peut effectuer dans Active Directory afin d'implémenter l'authentification par carte à puce, consultez le document Administration d'Horizon.