SSO EAP-TLS PIN キャッシュの動作

このトピックでは、SSO EAP-TLS 環境でのローミングユーザーのセッション再開と再認証に関する問題を解決するための段階的なアプローチについて説明します。

ステップバイステップアプローチ

次の一覧は、SSO EAP-TLS 環境でのローミングユーザーのセッション再開と再認証の問題を解決するための段階的なアプローチを示しています。

EAP-TLS を使用した SSO 環境で最初に認証が成功すると、サプリカントは既定ですべてのユーザー資格情報関連情報を保持します。

注意

特定のサプリカント実装の対象ですが、サプリカントが EAPHost を呼び出す EapHostPeerQueryUserBlobFromCredentialInputFields で最後に使用したEAP_CONFIG_INPUT_FIELD ARRAY 構造体全体を保持することをお勧めします。
ユーザーが最初にローミングし、再認証が開始されると、サプリカントは同じEAP_CONFIG_INPUT_FIELD ARRAY 構造体を使用して EapHostPeerQueryUserBlobFromCredentialInputFields を再度呼び出します。サプリカントは、最初の認証が成功した後も保持されている同じユーザー BLOB を渡す必要があります。
その後、EAPHost はユーザー BLOB の情報を EAP メソッドに渡します。
次に、EAP メソッドは、資格情報フィールド ( たとえば、pEapConfigInputFieldArray で提供される PIN) を使用してユーザー BLOB を更新し、残りの値 (サーバー証明書など) を元のユーザー BLOB に保持します。
これらの手順を完了すると、サプリカントは、このユーザー BLOB で EapHostPeerBeginSession ランタイム関数を呼び出すことによって、通常の方法で認証を再開できます。