通过

如何通过 VPN 和 WLAN 连接使用单一登录 (SSO)

本文介绍通过 Wi-Fi 或 VPN 连接对本地域资源启用单一登录 (SSO) 的要求。 通常使用以下方案:

  • 使用 Wi-Fi 或 VPN 连接到网络
  • 使用凭据进行 Wi-Fi 或 VPN 身份验证,同时对访问域资源的请求进行身份验证,而无需系统提示输入域凭据

例如,你想要连接到公司网络并访问需要 Windows 集成身份验证的内部网站。

用于连接身份验证的凭据作为登录会话的默认凭据放置在凭据管理器中。 凭据管理器存储可用于特定域资源的凭据。 它们基于资源的目标名称:

  • 对于 VPN,VPN 堆栈将其凭据保存为 默认会话
  • 对于 Wi-Fi,可扩展身份验证协议 (EAP) 提供支持

凭据作为 会话凭据放置在凭据管理器中:

  • 会话凭据意味着它对于当前用户会话有效
  • 当 Wi-Fi 或 VPN 连接断开连接时,将清理凭据

注意

在 Windows 10 版本 21H2 及更高版本中,会话凭据在凭据管理器中不可见。

例如,如果使用 Microsoft Edge 的人尝试访问域资源,则 Microsoft Edge 具有正确的企业身份验证功能。 这允许 WinInet 将它从凭据管理器获取的凭据发布到请求它的 SSP。 有关企业身份验证功能的详细信息,请参阅 应用功能声明

本地安全机构会查看设备应用程序,以确定它是否具有适当的功能。 这包括通用 Windows 平台 (UWP) 应用程序等项。 如果应用不是 UWP,则没关系。 但是,如果应用程序是 UWP 应用,它会根据设备功能进行企业身份验证。 如果它确实具有该功能,并且你尝试访问的资源位于 Internet 选项 (ZoneMap) 的 Intranet 区域中,则会释放凭据。 此行为有助于防止不受信任的第三方滥用凭据。

Intranet 区域

对于 Intranet 区域,默认情况下,它仅允许单标签名称,例如 http://finance。 如果需要访问的资源具有多个域标签,则解决方法是使用 注册表 CSP

设置 ZoneMap

使用可通过 MDM 设置的注册表控制 ZoneMap。 默认情况下,单标签名称(如) http://finance 已位于 Intranet 区域中。 对于多标签名称(例如 http://finance.net),需要更新 ZoneMap。

MDM 策略

OMA URI 示例:

./Vendor/MSFT/Registry/HKU/S-1-5-21-2702878673-795188819-444038987-2781/Software/Microsoft/Windows/CurrentVersion/Internet%20Settings/ZoneMap/Domains/<domain name> Integer作为 要从设备 SSO 到的每个域的值1。 这会将指定的域添加到 Microsoft Edge 浏览器的 Intranet 区域。

凭据要求

对于 VPN,身份验证后,以下类型的凭据将添加到凭据管理器:

  • 用户名和密码
  • 基于证书的身份验证:
    • TPM 密钥存储提供程序 (KSP) 证书
    • 软件密钥存储提供程序 (KSP) 证书
    • 智能卡证书
    • Windows Hello 企业版证书

用户名还应包含可通过 VPN 或 WiFi) (连接访问的域。

用户证书模板

如果凭据是基于证书的,则需要为证书模板配置下表中的元素,以确保它们也可用于 Kerberos 客户端身份验证。

Template 元素 配置
SubjectName 用户的可分辨名称 (DN) 其中,当 SubjectAlternativeName 没有查找域控制器所需的完全限定 UPN 时,可分辨名称的域组件反映内部 DNS 命名空间。
此要求与多林环境相关,因为它可确保可以定位域控制器。
SubjectAlternativeName 用户的完全限定 UPN,其中用户的 UPN 的域名组件与组织内部域的 DNS 命名空间匹配。
此要求在多林环境中相关,因为它可确保在 SubjectName 没有查找域控制器所需的 DN 时能够找到域控制器。
密钥存储提供程序 (KSP) 如果设备已加入Microsoft Entra ID,则使用离散 SSO 证书。
EnhancedKeyUsage 需要以下一个或多个 EKU:
  • VPN) 的客户端身份验证 (
  • 适用于Windows Hello 企业版) 的 EAP 筛选 OID (
  • 适用于已加入Microsoft Entra设备的 SmartCardLogon ()
如果域控制器需要智能卡 EKU:
  • SmartCardLogon
  • id-pkinit-KPClientAuth (1.3.6.1.5.2.3.4)
否则:
  • TLS/SSL 客户端身份验证 (1.3.6.1.5.5.7.3.2)

NDES 服务器配置

需要配置 NDES 服务器,以便传入的 SCEP 请求可以映射到要使用的正确模板。 有关详细信息,请参阅 为 SCEP 配置证书基础结构

Active Directory 要求

需要通过网络接口与 DNS 服务器和域控制器建立 IP 连接,以便身份验证也能成功。

域控制器必须具有适当的 KDC 证书,客户端才能信任它们作为域控制器。 由于手机未加入域,因此 KDC 证书的根 CA 必须位于第三方根 CA 或智能卡受信任根存储中。

域控制器必须使用基于更新的 KDC 证书模板 Kerberos 身份验证的证书。