您可以在 Unified Access Gateway 中設定 x509 憑證驗證,以允許用戶端在其桌面平台或行動裝置上使用憑證進行驗證,或是使用智慧卡配接器進行驗證。
憑證式驗證是根據使用者所擁有的驗證工具 (私密金鑰或智慧卡),以及個人所知道的驗證內容 (私密金鑰的密碼或智慧卡 PIN)。智慧卡驗證提供雙因素驗證,一是驗證個人擁有的 (智慧卡),一是驗證個人知道的 (PIN)。使用者可將智慧卡用於登入遠端 Horizon 桌面平台作業系統,以及用於啟用智慧卡功能的應用程式,例如採用憑證簽署電子郵件以證明寄件者身分的電子郵件應用程式。
利用此功能,系統會對 Unified Access Gateway 服務執行智慧卡憑證驗證。Unified Access Gateway 使用 SAML 聲明來向 Horizon server 傳遞有關使用者的 X.509 憑證與智慧卡 PIN 的資訊。
您可以設定憑證撤銷檢查,以防止使用者憑證已撤銷的使用者進行驗證。通常當使用者離開組織、遺失智慧卡,或調動部門時,就會撤銷憑證。支援使用「憑證撤銷清單」(CRL) 和「線上憑證狀態通訊協定」(OCSP) 的憑證撤銷檢查。CRL 是核發憑證的 CA 所發佈的撤銷憑證清單。OCSP 是用來取得憑證撤銷狀態的憑證驗證通訊協定。
您可以在憑證驗證配接器組態中同時設定 CRL 和 OCSP。當您同時設定兩種類型的憑證撤銷檢查,且若啟用了
OCSP 失敗核取方塊時,則
使用 CRL,將會先檢查 OCSP,如果 OCSP 失敗,撤銷檢查會退而使用 CRL。
備註: 如果 CRL 失敗,撤銷檢查不會回復使用 OCSP。
備註: 針對
VMware Identity Manager,驗證一律會透過
Unified Access Gateway 傳遞至
VMware Identity Manager 服務。只有當
Unified Access Gateway 搭配 Horizon 7 使用時,才能設定在
Unified Access Gateway 應用裝置上執行智慧卡驗證。