Partager via


Vue d’ensemble du scénario EAPHost SSO

La rubrique suivante contient deux scénarios qui illustrent les avantages d’un fournisseur pour lequel l’authentification unique (SSO) est activée.

À propos des scénarios

L’authentification unique fournit des fonctionnalités permettant de conserver des informations d’identification utilisateur supplémentaires que celles qui sont généralement stockées dans l’objet BLOB utilisateur EAP. Contrairement à d’autres processus d’informations d’identification, les demandeurs prenant en charge l’authentification unique peuvent résoudre des situations de connexion telles que l’itinérance ap et le changement de mot de passe sans intervention de l’utilisateur.

Comportement de mise en cache du code pin EAP-TLS de l’authentification unique

Un demandeur peut tenter l’authentification réseau à l’aide d’une méthode EAP basée sur une carte à puce, telle que EAP-TLS (Extensible Authentication Protocol Transport Layer Security). Dans ce scénario et dans des scénarios similaires, le demandeur obtient le code pin de carte à puce de l’utilisateur et récupère un certificat utilisateur pour l’authentification réseau, suivi d’un appel à WinLogin sur l’ordinateur local. Une fois l’authentification réussie, le demandeur met en cache l’objet BLOB utilisateur et ne stocke pas les informations de code confidentiel utilisateur.

Lorsque l’utilisateur se déplace vers un autre emplacement, la reprise de la session et la réauthentification doit se produire. Étant donné que le certificat ne peut pas être stocké avant l’ouverture de session, l’authentification de l’utilisateur échoue et le demandeur vide l’objet BLOB utilisateur. À ce stade, le code confidentiel de l’utilisateur est requis pour récupérer le certificat utilisateur à partir de la carte à puce pour l’authentification réseau. Étant donné que l’authentification unique met en cache le code confidentiel, le certificat peut être récupéré sans intervention de l’utilisateur. Sans l’authentification unique, EAP-TLS devrait à nouveau déclencher une interface utilisateur de collection de code confidentiel.

Pour une approche pas à pas, consultez Comportement de mise en cache du code confidentiel SSO EAP-TLS.

Comportement de modification du mot de passe de l’authentification unique

Un demandeur peut tenter l’authentification réseau à l’aide d’une méthode EAP basée sur un mot de passe, telle que Microsoft Challenge Handshake Authentication Protocol version 2.0 (MS-CHAPv2), configurée pour utiliser les informations d’identification WinLogin. Dans ce scénario, le demandeur collecte les informations d’identification utilisateur une seule fois et les fournit à EAPHost pour l’authentification réseau. Une fois l’authentification réseau réussie, le demandeur utilise le même ensemble d’informations d’identification pour WinLogin.

Toutefois, si des informations d’identification telles que le mot de passe de l’utilisateur ont été modifiées pendant l’authentification réseau sans demande d’authentification unique, l’appel WinLogin suivant entraîne un échec. L’authentification unique conserve les nouvelles informations d’identification et permet un WinLogin réussi sans intervention supplémentaire de l’utilisateur.

Pour une approche pas à pas, consultez Comportement de modification du mot de passe de l’authentification unique.

Authentification unique et PLAP