SSO EAPHost 案例概觀
下列主題包含兩個案例,示範已啟用單一登入 (SSO) 優點。
關於案例
SSO 提供的功能可保留比傳統儲存在 EAP 使用者 BLOB 中的額外使用者認證資訊。 與其他認證程式不同,啟用 SSO 的支援人員可以解決登入情況,例如 AP 漫遊,以及不需要使用者介入的密碼變更。
SSO EAP-TLS PIN 快取行為
支援者可以使用智慧卡型 EAP 方法來嘗試網路驗證,例如可延伸驗證通訊協定傳輸層安全性 (EAP-TLS) 。 在此和類似的案例中,支援者會從使用者取得智慧卡 PIN,並擷取使用者憑證以進行網路驗證,後面接著本機電腦上的 WinLogin 呼叫。 成功驗證之後,支援者會快取使用者 BLOB,且不會儲存使用者 PIN 資訊。
當使用者漫遊至不同的位置會話繼續並重新驗證時,必須發生。 由於憑證無法預先儲存登入,因此使用者驗證將會失敗,且要求者會清除使用者 BLOB。 此時需要使用者 PIN,才能從智慧卡擷取使用者憑證以進行網路驗證。 因為 SSO 會快取 PIN,所以可以在不需使用者介入的情況下擷取憑證。 如果沒有 SSO,EAP-TLS 必須再次引發 PIN 集合 UI。
如需逐步方法,請參閱 SSO EAP-TLS PIN 快取行為。
SSO 密碼變更行為
建議者可以使用密碼型 EAP 方法來嘗試網路驗證,例如 Microsoft Challenge Handshake Authentication Protocol 2.0 版 (MS-CHAPv2) ,設定為使用 WinLogin 認證。 在此案例中,支援者會收集使用者認證一次,並將其提供給 EAPHost 以進行網路驗證。 成功網路驗證之後,支援者會針對 WinLogin 使用相同的認證集。
不過,如果在網路驗證期間變更了使用者密碼之類的認證,但未啟用 SSO 的 supplicant,後續的 WinLogin 呼叫將會導致失敗。 SSO 會保留新的認證,並允許成功的 WinLogin,而不需要額外的使用者介入。
如需逐步方法,請參閱 SSO 密碼變更行為。
相關主題