証明書ベースの認証のための証明書マッピングの構成

[注：]このバージョンのトピックは、Horizon 8 セキュリティバージョン 2111.2 および 2306 以降に適用されます。スマートカードなどの証明書ベースの認証は、VMware Horizon 8 で認証するためにユーザープリンシパル名 (UPN) に依存します。Microsoft Security の最新の更新プログラム（詳細については、Microsoft KB5014754 を参照）では、ユーザー名とメールアドレスに基づくすべてのマッピングタイプは脆弱と見なされ、より強力なマッピングタイプの 1 つに変更する必要があります。この設定では、証明書ベースの認証を使用している場合に証明書認証マッピングを構成できます。

手順

[グローバル設定] > [セキュリティ設定] > [証明書の認証] の順に移動します。

[証明書認証マッピングの制御] オプションを選択します。

オプション説明

SID これは推奨のオプションで、フレッシュインストールのデフォルトです。カスタム代替セキュリティ ID オプションの使用を選択した場合は、最初に SID が解決されます。

カスタム代替セキュリティ ID

オプション	説明
SID	これは推奨のオプションで、フレッシュインストールのデフォルトです。カスタム代替セキュリティ ID オプションの使用を選択した場合は、最初に SID が解決されます。
カスタム代替セキュリティ ID	[カスタム代替セキュリティ ID] チェックボックスがオンになっている場合、代替マッピング名を追加するテキストボックスが表示されます。証明書認証マッピングは x509: で始まり、その後に %% 内にラップされた証明書認証マッピング名が続く必要があります。例：`x509:<I>%issuer_dn%<S>%subject_dn%` 証明書認証マッピング名のデフォルト値は、 `subject_dn`、`issuer_dn`、 `subject_key_id`、`serial`、`san_dns`、`ian_dns`、`san_822`、`public_key_sha1`、`san_other`:、`oid:` です。
UPN および事前定義済みの代替セキュリティ ID (レガシー)	これは、アップグレードが実行される場合のデフォルトのオプションです。

[カスタム代替セキュリティ ID] チェックボックスがオンになっている場合、代替マッピング名を追加するテキストボックスが表示されます。

証明書認証マッピングは x509: で始まり、その後に %% 内にラップされた証明書認証マッピング名が続く必要があります。例：x509:<I>%issuer_dn%<S>%subject_dn%

証明書認証マッピング名のデフォルト値は、 subject_dn、issuer_dn、 subject_key_id、serial、san_dns、ian_dns、san_822、public_key_sha1、san_other:、oid: です。

UPN および事前定義済みの代替セキュリティ ID (レガシー)

これは、アップグレードが実行される場合のデフォルトのオプションです。

セキュアゲートウェイサービスを再起動して、変更を有効にします。バージョン 2309 以降を実行している場合は、この手順をスキップできます。
注：複数のオプションが選択されている場合、優先順位に基づいて、次の順序で認証が行われます。
- SID
- カスタム代替セキュリティ ID
- UPN および事前定義済みの代替セキュリティ ID (レガシー)
「Microsoft KB5014754」で説明されている Microsoft Security 更新プログラムを適用し、証明書ベースの認証に UPN を引き続き使用する場合、Microsoft が適用モードを有効にしたときに認証が拒否されます。