Общие сведения о сценарии единого входа EAPHost
В следующем разделе содержатся два сценария, демонстрирующие преимущества запрашивающего пользователя с поддержкой единого входа.
Сведения о сценариях
Единый вход предоставляет функции для хранения дополнительных сведений об учетных данных пользователя, чем обычно хранится в большом двоичном объекте пользователя EAP. В отличие от других процессов учетных данных, просители с поддержкой единого входа могут разрешать ситуации входа, такие как роуминг AP и изменение пароля без вмешательства пользователя.
Поведение кэширования ПИН-кода единого входа EAP-TLS
Запрашивающий может попытаться выполнить проверку подлинности сети с помощью метода EAP на основе смарт-карт, например EAP-TLS. В этом и аналогичных сценариях запрашивающий получает ПИН-код смарт-карты от пользователя и получает сертификат пользователя для сетевой проверки подлинности, а затем вызывает WinLogin на локальном компьютере. После успешной проверки подлинности запрашивающий кэширует большой двоичный объект пользователя и не сохраняет сведения о ПИН-коде пользователя.
Когда пользователь перемещается в другое расположение, необходимо возобновить сеанс и выполнить повторную проверку подлинности. Так как сертификат не может храниться перед входом в систему, проверка подлинности пользователя завершится сбоем, и запрашивающий запрос сбрасывает пользовательский BLOB-объект. На этом этапе пин-код пользователя требуется для получения сертификата пользователя со смарт-карты для сетевой проверки подлинности. Так как единый вход кэширует ПИН-код, сертификат можно получить без вмешательства пользователя. Без единого входа EAP-TLS потребуется снова создать пользовательский интерфейс коллекции ПИН-кодов.
Пошаговый подход см. в статье Поведение кэширования ПИН-кода единого входа EAP-TLS.
Поведение изменения пароля единого входа
Запрашивающий может попытаться выполнить проверку подлинности сети с помощью метода EAP на основе пароля, например протокола проверки подлинности microsoft Challenge Handshake Authentication версии 2.0 (MS-CHAPv2), настроенного для использования учетных данных WinLogin. В этом сценарии проситель собирает учетные данные пользователя один раз и предоставляет их EAPHost для проверки подлинности сети. После успешной проверки подлинности сети запрашивающий использует тот же набор учетных данных для WinLogin.
Однако если учетные данные, такие как пароль пользователя, были изменены во время проверки подлинности сети без запроса с поддержкой единого входа, последующий вызов WinLogin приведет к сбою. Единый вход сохраняет новые учетные данные и обеспечивает успешное выполнение WinLogin без дополнительного вмешательства пользователя.
Пошаговый подход см. в статье Поведение изменения пароля единого входа.
Связанные темы
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по