Обзор сценария SSO EAPHost
В следующем разделе содержатся два сценария, демонстрирующие преимущества единогоSign-On входа с поддержкой единого входа.
Сведения о сценариях
Единый вход предоставляет функциональные возможности для хранения большего объёма данных учетных записей пользователя, чем традиционно хранится в объекте BLOB пользователя EAP. В отличие от других процессов учетных данных, клиенты с поддержкой единого входа могут разрешать ситуации с входом в систему, такие как роуминг точек доступа (AP), и изменение пароля без вмешательства пользователя.
Поведение кэширования ПИН-кода для единого входа (SSO) EAP-TLS
Запрашивающий может попытаться выполнить проверку подлинности сети с помощью метода EAP на основе смарт-карт, такого как безопасность транспортного уровня протокола расширяемой проверки подлинности (EAP-TLS). В таких и аналогичных сценариях запрашивающий получает ПИН-код смарт-карты от пользователя и получает сертификат пользователя для сетевой проверки подлинности, за которым следует вызов WinLogin на локальном компьютере. После успешной проверки подлинности запрашивающий кэширует BLOB-объект пользователя и не сохраняет сведения о ПИН-коде пользователя.
Когда пользователь перемещается в другое место, необходимо возобновить сеанс и заново пройти проверку подлинности. Так как сертификат не может храниться перед входом, проверка подлинности пользователя завершится ошибкой, и запрашивающий очищает BLOB-объект пользователя. На этом этапе пин-код пользователя требуется для получения сертификата пользователя из смарт-карты для проверки подлинности сети. Так как единый вход кэширует ПИН-код, сертификат можно получить без вмешательства пользователя. Без SSO EAP-TLS придется снова вызвать интерфейс для ввода ПИН-кода.
Посмотрите пошаговый подход в статье поведение кэширования ПИН-кода при едином входе EAP-TLS.
Поведение изменения пароля для SSO
Запрашивающий может попытаться выполнить проверку подлинности сети с помощью метода EAP на основе паролей, например протокола проверки подлинности Microsoft Challenge Handshake Authentication Версии 2.0 (MS-CHAPv2), настроенного для использования учетных данных WinLogin. В этом сценарии запрашивающий собирает учетные данные пользователя один раз и предоставляет их EAPHost для проверки подлинности сети. После успешной проверки подлинности сети запрашивающий использует тот же набор учетных данных для WinLogin.
Однако, если учетные данные, такие как пароль пользователя, были изменены во время сетевой аутентификации без клиента, поддерживающего единый вход, последующий вызов WinLogin завершится неудачей. Единый вход сохраняет новые учетные данные и позволяет успешно выполнить WinLogin без дополнительного вмешательства пользователя.
Чтобы ознакомиться с пошаговым подходом, см. Поведение изменения пароля SSO.
Связанные разделы