Aracılığıyla paylaş

SSO EAPHost Senaryosuna Genel Bakış

  • Makale

Aşağıdaki konu, TekSign-On (SSO) özellikli bir destek öğesinin avantajlarını gösteren iki senaryo içerir.

Senaryolar Hakkında

SSO, EAP kullanıcı BLOB'unda geleneksel olarak depolanandan daha fazla kullanıcı kimlik bilgisi bilgisi tutmak için işlevsellik sağlar. Diğer kimlik bilgisi işlemlerinden farklı olarak, SSO etkinleştirilmiş istemciler kullanıcı müdahalesi olmadan Erişim Noktası dolaşımı ve parola değişikliği gibi oturum açma durumlarını çözebilir.

SSO EAP-TLS PIN Önbelleğe Alma Davranışı

Bir istemci, Genişletilebilir Kimlik Doğrulama Protokolü Aktarım Katmanı Güvenliği (EAP-TLS) gibi akıllı kart tabanlı bir EAP yöntemi kullanarak ağ kimlik doğrulamasını deneyebilir. Bu ve benzer senaryolarda, istemci kullanıcıdan akıllı kart PIN'ini alır, ardından ağ kimlik doğrulaması için bir kullanıcı sertifikası alır ve yerel bilgisayarda WinLogin çağrısı yapar. Kimlik doğrulaması başarılı olduktan sonra, istemci kullanıcı BLOB'unu önbelleğe alır ve kullanıcı PIN bilgilerini depolamaz.

Kullanıcı farklı bir konuma dolaşıma geçtiğinde oturum yeniden başlatma ve yeniden kimlik doğrulaması gerçekleştirilmelidir. Sertifika oturum açma öncesi depolanamadığı için kullanıcı kimlik doğrulaması başarısız olur ve istemci kullanıcı BLOB'unu temizler. Bu noktada, ağ kimlik doğrulaması için akıllı karttan kullanıcı sertifikasını almak için kullanıcı PIN'i gerekir. SSO PIN'i önbelleğe aldığından, kullanıcı müdahalesi olmadan sertifika alınabilir. SSO olmadan, EAP-TLS tekrar bir PIN toplama kullanıcı arabirimi oluşturmak zorunda kalır.

Adım adım yaklaşım için bkz. SSO EAP-TLS PIN Önbelleğe Alma Davranışı.

SSO Parola Değiştirme Davranışı

Bir istemci, WinLogin kimlik bilgilerini kullanacak şekilde yapılandırılmış Microsoft Challenge Handshake Authentication Protocol sürüm 2.0 (MS-CHAPv2) gibi parola tabanlı bir EAP yöntemi kullanarak ağ kimlik doğrulamasını deneyebilir. Bu senaryoda, istemci kullanıcı kimlik bilgilerini bir kez toplar ve bunları ağ kimlik doğrulaması için EAPHost'a sunar. Başarılı ağ kimlik doğrulamasından sonra, istemci WinLogin için aynı kimlik bilgileri kümesini kullanır.

Ancak, kullanıcı parolası gibi kimlik bilgileri SSO özellikli bir destekleme olmadan ağ kimlik doğrulaması sırasında değiştirildiyse, sonraki WinLogin çağrısı başarısızlığa neden olur. SSO yeni kimlik bilgilerini korur ve ek kullanıcı müdahalesi olmadan başarılı bir WinLogin'e izin verir.

Adım adım yaklaşım için bkz. SSO Parola Değiştirme Davranışı.

SSO ve PLAP