Übersicht über das SSO-EAPHost-Szenario

Das folgende Thema enthält zwei Szenarien, die die Vorteile eines SSO-fähigen Supplicanten (Single Sign-On, Einmaliges Anmelden) veranschaulichen.

Informationen zu den Szenarien

SSO bietet Funktionen zum Beibehalten zusätzlicher Benutzeranmeldeinformationen, die üblicherweise im EAP-Benutzerblob gespeichert werden. Im Gegensatz zu anderen Anmeldeinformationsprozessen können SSO-fähige Supplicants Anmeldesituationen wie AP-Roaming und Kennwortänderung ohne Benutzereingriff auflösen.

SSO-EAP-TLS-PIN-Zwischenspeicherungsverhalten

Ein Supplicant kann versuchen, die Netzwerkauthentifizierung mithilfe einer Smartcard-basierten EAP-Methode wie Extensible Authentication Protocol Transport Layer Security (EAP-TLS) zu versuchen. In diesem und ähnlichen Szenarien ruft der Supplicant die Smartcard-PIN vom Benutzer ab und ruft ein Benutzerzertifikat für die Netzwerkauthentifizierung ab, gefolgt von einem Aufruf von WinLogin auf dem lokalen Computer. Nach erfolgreicher Authentifizierung speichert der Supplicant das Benutzer-BLOB zwischen und speichert keine Informationen zur Benutzer-PIN.

Wenn der Benutzer an einen anderen Speicherort umherst, muss die Sitzung wieder gestartet werden, und die erneute Authentifizierung muss erfolgen. Da das Zertifikat nicht vor der Anmeldung gespeichert werden kann, schlägt die Benutzerauthentifizierung fehl, und der Supplicant leert das Benutzerblob. An diesem Punkt ist die Benutzer-PIN erforderlich, um das Benutzerzertifikat von der Smartcard für die Netzwerkauthentifizierung abzurufen. Da SSO die PIN zwischenspeichert, kann das Zertifikat ohne Benutzereingriff abgerufen werden. Ohne einmaliges Anmelden müsste EAP-TLS erneut eine PIN-Sammlungsbenutzeroberfläche auslösen.

Einen schritt-für-Schritt-Ansatz finden Sie unter SSO EAP-TLS-PIN-Cacheverhalten.

SSO-Kennwortänderungsverhalten

Ein Supplicant kann versuchen, die Netzwerkauthentifizierung mithilfe einer kennwortbasierten EAP-Methode wie Microsoft Challenge Handshake Authentication Protocol Version 2.0 (MS-CHAPv2) zu versuchen, die für die Verwendung von WinLogin-Anmeldeinformationen konfiguriert ist. In diesem Szenario sammelt der Supplicant einmal Benutzeranmeldeinformationen und stellt sie für die Netzwerkauthentifizierung an EAPHost bereit. Nach erfolgreicher Netzwerkauthentifizierung verwendet der Supplicant den gleichen Satz von Anmeldeinformationen für WinLogin.

Wenn Jedoch Anmeldeinformationen wie das Benutzerkennwort während der Netzwerkauthentifizierung ohne SSO-fähige Supplicant geändert wurden, führt der nachfolgende WinLogin-Aufruf zu einem Fehler. SSO behält die neuen Anmeldeinformationen bei und ermöglicht ein erfolgreiches WinLogin ohne zusätzlichen Benutzereingriff.

Einen schritt-für-Schritt-Ansatz finden Sie unter SSO-Kennwortänderungsverhalten.

SSO und PLAP