Partilhar via

Visão geral do cenário SSO EAPHost

  • Artigo

Este tópico contém dois cenários que demonstram as vantagens de um suplicante com autenticação única (Sign-On) ativada.

Sobre os cenários

O SSO fornece funcionalidade para reter informações de credenciais de usuário adicionais do que as tradicionalmente armazenadas no BLOB do usuário EAP. Ao contrário de outros processos de credenciais, os suplicantes habilitados para SSO podem resolver situações de login, como roaming de AP e alteração de senha sem intervenção do usuário.

Comportamento de cache de SSO EAP-TLS PIN

Um suplicante pode tentar a autenticação de rede usando um método EAP baseado em cartão inteligente, como Extensible Authentication Protocol Transport Layer Security (EAP-TLS). Neste e em cenários semelhantes, o agente obtém do utilizador o PIN do cartão inteligente e recupera um certificado de utilizador para autenticação de rede, seguido por uma chamada para WinLogin no computador local. Após a autenticação bem-sucedida, o suplicante armazena em cache o BLOB do utilizador e não guarda informações sobre o PIN do utilizador.

Quando o usuário se desloca para um local diferente, a retomada da sessão e a nova autenticação devem ocorrer. Como o certificado não pode ser armazenado antes do login, a autenticação do usuário falhará e o suplicante liberará o BLOB do usuário. Neste ponto, o PIN do usuário é necessário para recuperar o certificado do usuário do cartão inteligente para autenticação de rede. Como o SSO armazena em cache o PIN, o certificado pode ser recuperado sem a intervenção do usuário. Sem o SSO, EAP-TLS teria que apresentar uma interface de recolha de PIN novamente.

Para obter uma abordagem passo a passo, consulte SSO EAP-TLS Comportamento de Armazenamento de PIN.

Comportamento de alteração de senha SSO

Um suplicante pode tentar a autenticação de rede usando um método EAP baseado em senha, como o Microsoft Challenge Handshake Authentication Protocol versão 2.0 (MS-CHAPv2), configurado para usar credenciais WinLogin. Nesse cenário, o suplicante coleta credenciais de usuário uma vez e as fornece ao EAPHost para autenticação de rede. Após a autenticação de rede bem-sucedida, o suplicante usa o mesmo conjunto de credenciais para WinLogin.

No entanto, se credenciais como a senha do utilizador sejam alteradas durante a autenticação de rede sem um cliente habilitado para SSO, a chamada WinLogin subsequente resultará em falha. O SSO retém as novas credenciais e permite um WinLogin bem-sucedido sem intervenção adicional do usuário.

Para obter os passos detalhados, consulte Comportamento de alteração de senha de SSO.

SSO e PLAP