Bagikan melalui

Gambaran Umum Skenario SSO EAPHost

  • Artikel

Topik berikut berisi dua skenario yang menunjukkan keuntungan dari supplikasi yang diaktifkan single-Sign-On (SSO).

Tentang Skenario

SSO menyediakan fungsionalitas untuk menyimpan informasi kredensial pengguna tambahan daripada yang secara tradisional disimpan di BLOB pengguna EAP. Tidak seperti proses kredensial lainnya, pemohon dengan dukungan SSO dapat menyelesaikan situasi login seperti roaming AP, dan perubahan kata sandi tanpa intervensi pengguna.

Perilaku Pengelolaan Cache PIN SSO EAP-TLS

Pemohon dapat mencoba autentikasi jaringan menggunakan metode EAP berbasis kartu pintar seperti Extensible Authentication Protocol Transport Layer Security (EAP-TLS). Dalam skenario ini dan serupa, pemohon memperoleh PIN kartu pintar dari pengguna dan mengambil sertifikat pengguna untuk autentikasi jaringan diikuti dengan panggilan ke WinLogin di komputer lokal. Setelah autentikasi berhasil, supplicant menyimpan sementara BLOB pengguna dan tidak menyimpan informasi PIN pengguna.

Ketika pengguna berpindah ke lokasi yang berbeda, dimulainya kembali sesi dan autentikasi ulang harus terjadi. Karena sertifikat tidak dapat disimpan sebelum logon, autentikasi pengguna akan gagal dan klien supplikasi menghapus BLOB pengguna. Pada titik ini PIN pengguna diperlukan untuk mengambil sertifikat pengguna dari kartu pintar untuk autentikasi jaringan. Karena SSO menyimpan PIN, sertifikat dapat diambil tanpa intervensi pengguna. Tanpa SSO, EAP-TLS harus menampilkan antarmuka pengumpulan PIN kembali.

Untuk pendekatan langkah demi langkah, lihat SSO EAP-TLS Perilaku Penembolokan PIN.

Perilaku Perubahan Kata Sandi SSO

Pemohon dapat mencoba autentikasi jaringan menggunakan metode EAP berbasis kata sandi seperti Microsoft Challenge Handshake Authentication Protocol versi 2.0 (MS-CHAPv2), dikonfigurasi untuk menggunakan kredensial WinLogin. Dalam skenario ini, pemohon mengumpulkan kredensial pengguna sekali dan menyediakannya ke EAPHost untuk autentikasi jaringan. Setelah autentikasi jaringan berhasil, pemohon menggunakan set kredensial yang sama untuk WinLogin.

Namun, jika kredensial seperti kata sandi pengguna diubah selama autentikasi jaringan tanpa supplikasi berkemampuan SSO, panggilan WinLogin berikutnya akan mengakibatkan kegagalan. SSO mempertahankan kredensial baru dan memungkinkan WinLogin yang berhasil tanpa intervensi pengguna tambahan.

Untuk pendekatan langkah demi langkah, lihat Perilaku Perubahan Kata Sandi SSO.

SSO dan PLAP