SSO EAPHost シナリオの概要

  • [アーティクル]

次のトピックでは、シングル サインオン (SSO) が有効なサプリカントの利点を示す 2 つのシナリオについて説明します。

シナリオについて

SSO は、従来 EAP ユーザー BLOB に格納されているよりも追加のユーザー資格情報を保持する機能を提供します。 他の資格情報プロセスとは異なり、SSO 対応サプリカントは、AP ローミングやパスワード変更などのログイン状況をユーザーの介入なしで解決できます。

SSO EAP-TLS PIN キャッシュ動作

サプリカントは、拡張認証プロトコル トランスポート層セキュリティ (EAP-TLS) などのスマートカードベースの EAP メソッドを使用してネットワーク認証を試みることができます。 このシナリオと同様のシナリオでは、サプリカントはユーザーからスマートカード PIN を取得し、ネットワーク認証用のユーザー証明書を取得し、その後、ローカル コンピューターで WinLogin を呼び出します。 認証が成功すると、サプリカントはユーザー BLOB をキャッシュし、ユーザー PIN 情報を格納しません。

ユーザーが別の場所にローミングすると、セッションが再開され、再認証が行われる必要があります。 証明書はログオン前に保存できないため、ユーザー認証は失敗し、サプリカントはユーザー BLOB をフラッシュします。 この時点で、ユーザー PIN は、ネットワーク認証のためにスマートカードからユーザー証明書を取得するために必要です。 SSO は PIN をキャッシュするため、ユーザーの介入なしに証明書を取得できます。 SSO を使用しない場合、EAP-TLS は PIN コレクション UI をもう一度生成する必要があります。

詳細な方法については、「 SSO EAP-TLS PIN キャッシュ動作」を参照してください。

SSO パスワード変更の動作

サプリカントは、WinLogin 資格情報を使用するように構成された Microsoft チャレンジ ハンドシェイク認証プロトコル バージョン 2.0 (MS-CHAPv2) などのパスワードベースの EAP メソッドを使用して、ネットワーク認証を試みることができます。 このシナリオでは、サプリカントはユーザー資格情報を 1 回収集し、ネットワーク認証のために EAPHost に提供します。 ネットワーク認証が成功すると、サプリカントは WinLogin に同じ資格情報セットを使用します。

ただし、SSO 対応サプリカントなしでネットワーク認証中にユーザー パスワードなどの資格情報が変更された場合、後続の WinLogin 呼び出しでエラーが発生します。 SSO は新しい資格情報を保持し、追加のユーザー介入なしで WinLogin を成功させます。

詳細な方法については、「 SSO パスワード変更の動作」を参照してください。

SSO と PLAP