SSO EAPHost シナリオの概要
次のトピックでは、シングル サインオン (SSO) が有効なサプリカントの利点を示す 2 つのシナリオについて説明します。
シナリオについて
SSO は、従来 EAP ユーザー BLOB に格納されているよりも追加のユーザー資格情報を保持する機能を提供します。 他の資格情報プロセスとは異なり、SSO 対応サプリカントは、AP ローミングやパスワード変更などのログイン状況をユーザーの介入なしで解決できます。
SSO EAP-TLS PIN キャッシュ動作
サプリカントは、拡張認証プロトコル トランスポート層セキュリティ (EAP-TLS) などのスマートカードベースの EAP メソッドを使用してネットワーク認証を試みることができます。 このシナリオと同様のシナリオでは、サプリカントはユーザーからスマートカード PIN を取得し、ネットワーク認証用のユーザー証明書を取得し、その後、ローカル コンピューターで WinLogin を呼び出します。 認証が成功すると、サプリカントはユーザー BLOB をキャッシュし、ユーザー PIN 情報を格納しません。
ユーザーが別の場所にローミングすると、セッションが再開され、再認証が行われる必要があります。 証明書はログオン前に保存できないため、ユーザー認証は失敗し、サプリカントはユーザー BLOB をフラッシュします。 この時点で、ユーザー PIN は、ネットワーク認証のためにスマートカードからユーザー証明書を取得するために必要です。 SSO は PIN をキャッシュするため、ユーザーの介入なしに証明書を取得できます。 SSO を使用しない場合、EAP-TLS は PIN コレクション UI をもう一度生成する必要があります。
詳細な方法については、「 SSO EAP-TLS PIN キャッシュ動作」を参照してください。
SSO パスワード変更の動作
サプリカントは、WinLogin 資格情報を使用するように構成された Microsoft チャレンジ ハンドシェイク認証プロトコル バージョン 2.0 (MS-CHAPv2) などのパスワードベースの EAP メソッドを使用して、ネットワーク認証を試みることができます。 このシナリオでは、サプリカントはユーザー資格情報を 1 回収集し、ネットワーク認証のために EAPHost に提供します。 ネットワーク認証が成功すると、サプリカントは WinLogin に同じ資格情報セットを使用します。
ただし、SSO 対応サプリカントなしでネットワーク認証中にユーザー パスワードなどの資格情報が変更された場合、後続の WinLogin 呼び出しでエラーが発生します。 SSO は新しい資格情報を保持し、追加のユーザー介入なしで WinLogin を成功させます。
詳細な方法については、「 SSO パスワード変更の動作」を参照してください。
関連トピック