È possibile configurare l'autenticazione del certificato x509 per consentire ai client di autenticarsi con i certificati sul proprio desktop e sui dispositivi mobili oppure di utilizzare una scheda smart card per l'autenticazione. L'autenticazione basata sul certificato cambia a seconda che l'utente disponga di una chiave privata o di una smart card e a seconda che conosca la password per la chiave privata o il PIN della smart card. Un certificato X.509 utilizza lo standard PKI (Public Key Infrastructure) per verificare che una chiave pubblica contenuta nel certificato appartenga all'utente. Con l'autenticazione della smart card, gli utenti si connettono alla smart card tramite il computer e immettono un PIN.

I certificati smart card vengono copiati nell'archivio dei certificati locale sul computer dell'utente. Ad eccezione di alcuni casi, i certificati nell'archivio dei certificati locale sono disponibili per tutti i browser in esecuzione nel computer dell'utente e quindi anche per un'istanza di Workspace ONE Access nel browser.

Nota: (Solo in locale) Quando l'autenticazione del certificato è configurata e l'appliance del servizio è impostata dietro un bilanciamento del carico, assicurarsi che il server Windows del connettore sia configurato con il PassThrough SSL a livello del bilanciamento del carico e non per terminare SSL a livello del bilanciamento del carico. Questa configurazione assicura che l'handshake SSL venga eseguito tra il server e il client per passare il certificato al connettore. È possibile configurare connettori aggiuntivi dietro un altro bilanciamento del carico configurato con il PassThrough SSL, nonché abilitare e configurare l'autenticazione basata sul certificato in tali connettori.