È possibile configurare l'autenticazione del certificato x509 per consentire ai client di autenticarsi con i certificati sul proprio desktop e sui dispositivi mobili oppure di utilizzare una scheda smart card per l'autenticazione. L'autenticazione basata sul certificato cambia a seconda che l'utente disponga di una chiave privata o di una smart card e a seconda che conosca la password per la chiave privata o il PIN della smart card. Un certificato X.509 utilizza lo standard PKI (Public Key Infrastructure) per verificare che una chiave pubblica contenuta nel certificato appartenga all'utente. Con l'autenticazione della smart card, gli utenti si connettono alla smart card tramite il computer e immettono un PIN.
I certificati smart card vengono copiati nell'archivio dei certificati locale sul computer dell'utente. Ad eccezione di alcuni casi, i certificati nell'archivio dei certificati locale sono disponibili per tutti i browser in esecuzione nel computer dell'utente e quindi anche per un'istanza di Workspace ONE Access nel browser.