Información general sobre el escenario de EAPHost de SSO
El tema siguiente contiene dos escenarios que muestran las ventajas de un supplicante habilitado para el inicio de sesión único (SSO).
Acerca de los escenarios
El inicio de sesión único proporciona funcionalidad para conservar información adicional de credenciales de usuario que se almacena tradicionalmente en el BLOB de usuario de EAP. A diferencia de otros procesos de credenciales, los suplicantes habilitados para SSO pueden resolver situaciones de inicio de sesión como la itinerancia de AP y el cambio de contraseña sin intervención del usuario.
Comportamiento de almacenamiento en caché de PIN de SSO EAP-TLS
Un supplicante puede intentar la autenticación de red mediante un método EAP basado en tarjetas inteligentes, como Seguridad de la capa de transporte del protocolo de autenticación extensible (EAP-TLS). En este escenario y similares, el suplicante obtiene el PIN de tarjeta inteligente del usuario y recupera un certificado de usuario para la autenticación de red seguido de una llamada a WinLogin en el equipo local. Después de la autenticación correcta, el supplicante almacena en caché el BLOB de usuario y no almacena información de PIN de usuario.
Cuando el usuario se desplaza a una reanudación de la sesión de ubicación diferente y se debe volver a autenticar. Puesto que el certificado no se puede almacenar previamente, se producirá un error en la autenticación del usuario y el supplicante vacía el BLOB de usuario. En este momento, se requiere el PIN de usuario para recuperar el certificado de usuario de la tarjeta inteligente para la autenticación de red. Dado que SSO almacena en caché el PIN, el certificado se puede recuperar sin intervención del usuario. Sin SSO, EAP-TLS tendría que volver a generar una interfaz de usuario de colección de PIN.
Para obtener un enfoque paso a paso, consulte SSO EAP-TLS PIN Caching Behavior (Comportamiento del almacenamiento en caché de PIN de SSO EAP-TLS).
Comportamiento del cambio de contraseña de SSO
Un supplicante puede intentar la autenticación de red mediante un método EAP basado en contraseña, como el Protocolo de autenticación de protocolo de enlace de desafío de Microsoft versión 2.0 (MS-CHAPv2), configurado para usar credenciales de WinLogin. En este escenario, el suplicante recopila las credenciales de usuario una vez y las proporciona a EAPHost para la autenticación de red. Después de realizar correctamente la autenticación de red, el suplicante usa el mismo conjunto de credenciales para WinLogin.
Sin embargo, si se cambiaron credenciales como la contraseña de usuario durante la autenticación de red sin un suplicante habilitado para SSO, la llamada posterior a WinLogin producirá un error. El inicio de sesión único conserva las nuevas credenciales y permite una operación correcta de WinLogin sin intervención adicional del usuario.
Para obtener un enfoque paso a paso, consulte Comportamiento del cambio de contraseña de SSO.
Temas relacionados
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de