SSO EAPHost 方案概述

以下主题包含两种方案,这些方案演示启用了单一登录 (SSO) 请求者的优势。

关于方案

SSO 提供的功能可保留其他用户凭据信息,而不是传统上存储在 EAP 用户 BLOB 中的信息。 与其他凭据过程不同,启用 SSO 的请求者可以在无需用户干预的情况下解决 AP 漫游和密码更改等登录情况。

SSO EAP-TLS PIN 缓存行为

请求者可以使用基于智能卡的 EAP 方法(例如可扩展身份验证协议传输层安全性 (EAP-TLS) )尝试网络身份验证。 在此和类似方案中,请求者从用户获取智能卡 PIN,并检索用户证书进行网络身份验证,然后在本地计算机上调用 WinLogin。 成功身份验证后,请求者将缓存用户 BLOB,并且不存储用户 PIN 信息。

当用户漫游到其他位置时,必须恢复会话并重新进行身份验证。 由于证书无法在登录前存储,因此用户身份验证将失败,请求者会刷新用户 BLOB。 此时,需要用户 PIN 才能从智能卡检索用户证书进行网络身份验证。 由于 SSO 会缓存 PIN,因此无需用户干预即可检索证书。 如果没有 SSO,EAP-TLS 将不得不再次引发 PIN 集合 UI。

有关分步方法,请参阅 SSO EAP-TLS PIN 缓存行为

SSO 密码更改行为

请求者可以使用配置为使用 WinLogin 凭据的基于密码的 EAP 方法(例如 Microsoft 质询握手身份验证协议版本 2.0 (MS-CHAPv2) )尝试网络身份验证。 在此方案中,请求者收集用户凭据一次,并将其提供给 EAPHost 进行网络身份验证。 成功进行网络身份验证后,请求方将同一组凭据用于 WinLogin。

但是,如果在没有启用 SSO 的请求者进行网络身份验证期间更改了用户密码等凭据,则后续 WinLogin 调用将导致失败。 SSO 会保留新凭据,并允许 WinLogin 成功,而无需其他用户干预。

有关分步方法,请参阅 SSO 密码更改行为

SSO 和 PLAP