認證漫遊能讓組織將憑證及私密金鑰儲存在 Active Directory 網域服務 (AD DS) 中,以便與應用程式狀態或設定資訊分開。
認證漫遊的運作方式
認證漫遊會使用現有的登入及自動註冊機制在使用者每次登入時,安全地將憑證及金鑰下載到本機電腦,如有需要,還能在使用者登出時將之移除。此外,這些認證的完整性在所有狀況中均會受到保護 (例如更新憑證,以及使用者同時登入一台以上的電腦時)。
下列步驟說明了數位認證漫遊的運作方式。
-
使用者登入已連線至 Active Directory 網域的用戶端電腦。
-
因為認證漫遊群組原則是登入處理程序的一部分,所以會套用到使用者電腦中。
-
如果這是第一次使用認證漫遊,則會將用戶端電腦上使用者存放區中的憑證複製到 AD DS 中。
-
如果使用者在 AD DS 中已有憑證,則用戶端電腦上使用者憑證存放區中的憑證會與儲存在 AD DS 的使用者憑證進行比較。
-
如果使用者憑證存放區中的憑證是最新的,則不需採取進一步的動作。然而,若較新的使用者憑證是儲存在 AD DS 中,則會將這些認證複製到用戶端電腦中。若較新的使用者憑證是儲存在用戶端電腦中,則會將這些認證複製到 AD DS 中。
-
若在用戶端電腦上需要其他憑證,則會處理未執行的憑證自動註冊要求。
附註 最近簽發的憑證會儲存在用戶端電腦的憑證存放區中,並複寫到 AD DS。
-
在使用者登入已連線到該網域的另一台用戶端電腦時,會套用相同的群組原則設定,並再次從 AD DS 中複寫憑證。認證漫遊會同步處理及解決憑證與私密金鑰 (來自該使用者登入的所有用戶端電腦) 間的所有衝突,而 AD DS 也一樣。
重要 於多重網域環境及具有多重網域控制站的網域中,在向不同網域控制站確認使用者身分的電腦上簽發憑證之後,若使用者很快地便登入使用單一網域控制站的網路,則認證可能無法立即可用。唯有在這兩個網域或網域控制站間的複寫完成之後,認證才會變成可用。
-
當使用者的憑證到期時,會自動將舊的憑證保存到電腦上的使用者設定檔及 AD DS 中。
在任何時候,只要使用者本機憑證存放區中的私密金鑰或憑證有所變更、使用者鎖定或解除鎖定電腦,以及重新整理群組原則時,都會觸發認證漫遊。
本機電腦元件之間,及本機電腦與 AD DS 之間的所有憑證相關通訊均會進行簽章及加密。