请确认我正确理解 CAC 的这些 ActivIdentity 概念。
Per Session:用户运行 IE 并点击需要 CAC 身份验证的 SSL 网页。他进行身份验证,然后……他进入了。如果用户打开另一个选项卡(另一个进程),并尝试访问同一个网站,那么他已经通过了身份验证。因此,他不需要重新进行身份验证。
Per Process:用户通过成功的 CAC PIN 验证打开第一个网页(同上)。现在,当他打开一个新选项卡来访问 SSL 网站时,他需要重新进行身份验证,因为他正在访问一个新进程。
我假设您指的是ActivClient PIN 缓存设置?
每个会话是指整个 Windows 登录会话。 每个进程是指启动的每个 Windows 进程。
因此,如果 PIN 缓存设置为每个会话,那么一旦您输入卡的 PIN,它将被缓存 15 分钟(默认),以便在该 Windows 会话中请求卡操作的任何应用程序。因此,在 PIN 缓存超时之前,不会再次提示用户为任何应用程序输入 PIN。
在Per Process模式下,PIN 只为请求它的进程缓存。例如; 用户打开 IE 并使用 PIN 登录到 CAC 应用程序,然后 PIN 会为特定的 IEXPLORE.EXE 进程缓存 15 分钟(默认)。如果用户随后在 15 分钟窗口内打开 Outlook,并尝试使用 is 卡签署电子邮件,那么他将必须输入 PIN,因为它没有为 OUTLOOK.EXE 缓存。由于每个 IE 选项卡都会生成一个新进程,因此主体应该是相同的。
以下内容来自 ActivClient 管理指南:
ActivClient PIN 缓存可配置为按会话(指 Windows 会话)或按进程(指 Windows 进程)应用。
每会话模式(默认配置)允许用户的 Windows 会话中的所有进程共享相同的 PIN 缓存(即,无论会话期间使用什么应用程序,整个会话都需要一次用户身份验证)。
在每个进程模式下,每个 Windows 进程的 PIN 缓存都是独立的(也就是说,用户需要在每个将使用该卡的进程中输入他们的 PIN 至少一次)。
在这两种模式下,您都可以使用包含列表、排除列表和打开卡列表进一步自定义特定应用程序的 PIN 缓存行为