SSO EAPHost 案例概觀
下列主題包含兩個案例,示範已啟用單一Sign-On (SSO) 的訴求者的優點。
關於案例
SSO 的功能能夠保留比傳統 EAP 使用者 BLOB 中更多的使用者憑證資訊。 不同於其他認證程式,已啟用 SSO 的 supplicants 可以解決 AP 漫遊和密碼變更等登入情況,而不需要使用者介入。
SSO EAP-TLS PIN 快取行為
要求者可以使用智慧卡型 EAP 方法嘗試網路驗證,例如可延伸驗證協議(EAP)傳輸層安全性 (EAP-TLS)。 在此和類似的案例中,要求者會從使用者取得智慧卡 PIN,並擷取用戶憑證以進行網路驗證,然後在本機計算機上呼叫 WinLogin。 成功驗證之後,客戶端會暫存使用者 BLOB,並不儲存使用者 PIN 資訊。
當使用者漫遊至不同的位置時,必須進行會話繼續和重新驗證。 由於憑證無法儲存於登入前,因此使用者驗證會失敗,而用戶端會清除使用者 BLOB 資料。 此時,使用者 PIN 必須從智慧卡擷取用戶憑證以進行網路驗證。 由於 SSO 會快取 PIN,因此不需要使用者介入即可擷取憑證。 如果沒有 SSO,EAP-TLS 必須再次調出 PIN 輸入界面。
如需逐步指南,請參閱 SSO EAP-TLS PIN 快取行為。
SSO 密碼更改行為
請求者可以使用基於密碼的 EAP 方法嘗試網路驗證,例如 Microsoft 挑戰交握驗證協議 2.0 版(MS-CHAPv2),設定為使用 WinLogin 憑證。 在此案例中,要求者會收集用戶認證一次,並將其提供給 EAPHost 進行網路驗證。 成功完成網路驗證後,用戶會針對 WinLogin 使用相同的憑證。
不過,如果在網路驗證期間變更了用戶密碼之類的認證,但未使用啟用單一簽入 (SSO) 的認證客戶端,隨後的 Windows 登入呼叫將會導致失敗。 SSO 會保留新的認證,並允許成功的 WinLogin,而不需要額外的使用者介入。
如需逐步指南,請參閱 SSO 密碼變更行為。
相關主題