SSO EAPHost 시나리오 개요
다음 항목에는 SSO(Single Sign-On)가 사용하도록 설정된 지원자의 장점을 보여 주는 두 가지 시나리오가 포함되어 있습니다.
시나리오 정보
SSO는 EAP 사용자 BLOB에 기존에 저장된 것보다 추가 사용자 자격 증명 정보를 유지하는 기능을 제공합니다. 다른 자격 증명 프로세스와 달리 SSO 지원 지원자는 사용자 개입 없이 AP 로밍 및 암호 변경과 같은 로그인 상황을 resolve 수 있습니다.
SSO EAP-TLS PIN 캐싱 동작
지원자는 EAP-TLS(확장 가능한 인증 프로토콜 전송 계층 보안)와 같은 스마트 카드 기반 EAP 메서드를 사용하여 네트워크 인증을 시도할 수 있습니다. 이 시나리오와 유사한 시나리오에서 지원자는 사용자로부터 스마트 카드 PIN을 가져오고 네트워크 인증을 위한 사용자 인증서를 검색한 다음 로컬 컴퓨터에서 WinLogin을 호출합니다. 인증에 성공하면 지원자는 사용자 BLOB을 캐시하고 사용자 PIN 정보를 저장하지 않습니다.
사용자가 다른 위치로 로밍하는 경우 세션 재개 및 다시 인증이 발생해야 합니다. 인증서는 사전 로그온을 저장할 수 없으므로 사용자 인증이 실패하고 지원자가 사용자 BLOB을 플러시합니다. 이 시점에서 네트워크 인증을 위해 스마트 카드에서 사용자 인증서를 검색하려면 사용자 PIN이 필요합니다. SSO는 PIN을 캐시하므로 사용자 개입 없이 인증서를 검색할 수 있습니다. SSO가 없으면 EAP-TLS는 PIN 컬렉션 UI를 다시 발생해야 합니다.
단계별 접근 방식은 SSO EAP-TLS PIN 캐싱 동작을 참조하세요.
SSO 암호 변경 동작
지원자는 WinLogin 자격 증명을 사용하도록 구성된 Microsoft Challenge 핸드셰이크 인증 프로토콜 버전 2.0(MS-CHAPv2)과 같은 암호 기반 EAP 메서드를 사용하여 네트워크 인증을 시도할 수 있습니다. 이 시나리오에서 지원자는 사용자 자격 증명을 한 번 수집하여 네트워크 인증을 위해 EAPHost에 제공합니다. 네트워크 인증에 성공하면 지원자는 WinLogin에 대해 동일한 자격 증명 집합을 사용합니다.
그러나 SSO 사용 지원 지원 자격 증명 없이 네트워크 인증 중에 사용자 암호와 같은 자격 증명이 변경된 경우 후속 WinLogin 호출이 실패합니다. SSO는 새 자격 증명을 유지하고 추가 사용자 개입 없이 성공적인 WinLogin을 허용합니다.
단계별 접근 방식은 SSO 암호 변경 동작을 참조하세요.
관련 항목