Compartilhar via

Visão geral do cenário de EAPHost de SSO

  • Artigo

O tópico a seguir contém dois cenários que demonstram as vantagens de um suplicável habilitado para SSO (logon único).

Sobre os cenários

O SSO fornece funcionalidade para reter informações adicionais de credencial de usuário do que é tradicionalmente armazenado no BLOB do usuário do EAP. Ao contrário de outros processos de credenciais, os suplicadores habilitados para SSO podem resolve situações de logon, como roaming de AP e alteração de senha sem intervenção do usuário.

Comportamento de cache de PIN do SSO EAP-TLS

Um suplicável pode tentar a autenticação de rede usando um método EAP baseado em cartão inteligente, como o Protocolo de Autenticação Extensível EAP-TLS. Neste e em cenários semelhantes, o supplicante obtém o PIN de cartão inteligente do usuário e recupera um certificado de usuário para autenticação de rede seguido por uma chamada para WinLogin no computador local. Após a autenticação bem-sucedida, o suplicante armazena em cache o BLOB do usuário e não armazena informações de PIN do usuário.

Quando o usuário percorre um roaming para uma retomada de sessão de local diferente e a nova autenticação deve ocorrer. Como o certificado não pode ser armazenado antes do logon, a autenticação do usuário falhará e o suplicante liberará o BLOB do usuário. Neste ponto, o PIN do usuário é necessário para recuperar o certificado do usuário do cartão inteligente para autenticação de rede. Como o SSO armazena em cache o PIN, o certificado pode ser recuperado sem intervenção do usuário. Sem o SSO, o EAP-TLS teria que gerar uma interface do usuário de coleção de PIN novamente.

Para obter uma abordagem passo a passo, consulte Comportamento de cache de PIN do SSO EAP-TLS.

Comportamento de alteração de senha de SSO

Um supplicante pode tentar a autenticação de rede usando um método EAP baseado em senha, como o Protocolo de Autenticação do Microsoft Challenge Handshake versão 2.0 (MS-CHAPv2), configurado para usar as credenciais do WinLogin. Nesse cenário, o supplicante coleta as credenciais do usuário uma vez e as fornece ao EAPHost para autenticação de rede. Após a autenticação de rede bem-sucedida, o suplicante usa o mesmo conjunto de credenciais para o WinLogin.

No entanto, se credenciais como a senha do usuário foram alteradas durante a autenticação de rede sem um supplicante habilitado para SSO, a chamada subsequente do WinLogin resultará em falha. O SSO retém as novas credenciais e permite um WinLogin bem-sucedido sem intervenção adicional do usuário.

Para obter uma abordagem passo a passo, consulte Comportamento de alteração de senha de SSO.

SSO e PLAP