Omówienie scenariusza SSO EAPHost
Poniższy temat zawiera dwa scenariusze, które pokazują zalety obsługi jednokrotnegoSign-On (SSO).
Informacje o scenariuszach
Logowanie jednokrotne oferuje funkcję przechowywania dodatkowych informacji o poświadczeniach użytkownika w porównaniu do tych tradycyjnie przechowywanych w standardowym obiekcie danych użytkownika protokołu EAP (BLOB). W przeciwieństwie do innych procesów poświadczeń, klienci z obsługą SSO mogą rozwiązywać sytuacje logowania, takie jak przełączanie między punktami dostępu (AP) oraz zmiana hasła, bez interwencji użytkownika.
Zachowanie buforowania numeru PIN EAP-TLS logowania jednokrotnego
Supplicant może przeprowadzić próbę uwierzytelniania sieciowego przy użyciu metody EAP opartej na karcie chipowej, takiej jak Extensible Authentication Protocol Transport Layer Security (EAP-TLS). W tych i podobnych scenariuszach klient uwierzytelniający uzyskuje numer PIN karty inteligentnej od użytkownika, pobiera certyfikat użytkownika do uwierzytelniania sieciowego, a następnie wywołuje WinLogin na komputerze lokalnym. Supplicant zapamiętuje obiekt BLOB użytkownika po pomyślnym uwierzytelnieniu i nie przechowuje informacji o numerze PIN użytkownika.
Gdy użytkownik przenosi się do innej lokalizacji, musi nastąpić wznowienie sesji i ponowne uwierzytelnienie. Ponieważ certyfikat nie może być zapisany przed zalogowaniem, uwierzytelnianie użytkownika zakończy się niepowodzeniem, a klient czyści obiekt BLOB użytkownika. W tym momencie numer PIN użytkownika jest wymagany do pobrania certyfikatu użytkownika z karty inteligentnej na potrzeby uwierzytelniania sieciowego. Ponieważ logowanie jednokrotne buforuje numer PIN, certyfikat można pobrać bez interwencji użytkownika. Bez SSO EAP-TLS musiałby ponownie wyświetlić interfejs użytkownika do wprowadzania numeru PIN.
Aby zapoznać się z podejściem krok po kroku, zobacz logowanie jednokrotne EAP-TLS zachowanie buforowania kodu PIN.
Zachowanie zmiany hasła SSO
Supplicant może podjąć próbę uwierzytelniania sieciowego przy użyciu metody EAP opartej na hasłach, takiej jak Microsoft Challenge Handshake Authentication Protocol w wersji 2.0 (MS-CHAPv2), skonfigurowane do używania poświadczeń WinLogin. W tym scenariuszu supplicant zbiera poświadczenia użytkownika raz i udostępnia je EAPHost na potrzeby uwierzytelniania sieciowego. Po pomyślnym uwierzytelnieniu sieci użytkownik używa tego samego zestawu poświadczeń dla Winlogon.
Jeśli jednak poświadczenia, takie jak hasło użytkownika, zostały zmienione podczas uwierzytelniania sieciowego bez użycia klienta obsługującego SSO, kolejne wywołanie WinLogin spowoduje niepowodzenie. Logowanie jednokrotne (SSO) zachowuje nowe poświadczenia i umożliwia pomyślne logowanie w systemie Windows bez dodatkowej interwencji użytkownika.
Aby zapoznać się z podejściem krok po kroku, zobacz zmiana zachowania hasła SSO.
Tematy pokrewne