Panoramica dello scenario SSO EAPHost

L'argomento seguente contiene due scenari che illustrano i vantaggi di un supplicante abilitato per l'accesso Single Sign-On (SSO).

Informazioni sugli scenari

L'accesso SSO offre funzionalità per conservare informazioni aggiuntive sulle credenziali utente rispetto a quelle tradizionalmente archiviate nel BLOB utente EAP. A differenza di altri processi di credenziali, i supplici abilitati per l'accesso SSO possono risolvere situazioni di accesso come il roaming delle API e la modifica della password senza intervento dell'utente.

Comportamento di memorizzazione nella cache del PIN EAP-TLS SSO

È possibile tentare l'autenticazione di rete usando un metodo EAP basato su smartcard, ad esempio Extensible Authentication Protocol Transport Layer Security (EAP-TLS). In questi scenari e simili, il supplicant ottiene il PIN della smart card dall'utente e recupera un certificato utente per l'autenticazione di rete seguito da una chiamata a WinLogin nel computer locale. Dopo aver eseguito l'autenticazione, la cache supplicante memorizza nella cache il BLOB utente e non archivia le informazioni sul PIN utente.

Quando l'utente esegue il roaming in una sessione di posizione diversa, è necessario eseguire nuovamente l'autenticazione. Poiché il certificato non può essere archiviato prima dell'accesso, l'autenticazione dell'utente avrà esito negativo e la supplicante scarica il BLOB utente. A questo punto è necessario il PIN utente per recuperare il certificato utente dalla smartcard per l'autenticazione di rete. Poiché l'accesso SSO memorizza nella cache il PIN, il certificato può essere recuperato senza intervento dell'utente. Senza SSO, EAP-TLS deve generare nuovamente un'interfaccia utente della raccolta PIN.

Per un approccio dettagliato, vedere Comportamento di memorizzazione nella cache del PIN SSO EAP-TLS.

Comportamento di modifica della password SSO

Un supplicante può tentare l'autenticazione di rete usando un metodo EAP basato su password, ad esempio Microsoft Challenge Handshake Authentication Protocol versione 2.0 (MS-CHAPv2), configurato per l'uso delle credenziali WinLogin. In questo scenario, il supplicant raccoglie le credenziali utente una volta e le fornisce a EAPHost per l'autenticazione di rete. Dopo aver completato l'autenticazione di rete, il supplicant usa lo stesso set di credenziali per WinLogin.

Tuttavia, se le credenziali come la password utente sono state modificate durante l'autenticazione di rete senza un supplicante abilitato per l'accesso SSO, la chiamata WinLogin successiva avrà esito negativo. L'accesso SSO mantiene le nuove credenziali e consente un'operazione WinLogin riuscita senza un intervento utente aggiuntivo.

Per un approccio dettagliato, vedere Comportamento di modifica password SSO.

SSO e PLAP