Cisco Cisco NAC Appliance 4.1.0

Cisco NAC Appliance supports Single Sign-On (SSO) for the following:

Cisco VPN Concentrators 

Cisco ASA 5500 Series Adaptive Security Appliances

Cisco Airespace Wireless LAN Controllers

Cisco SSL VPN Client (Full Tunnel) 

Cisco VPN Client (IPSec)

Cisco NAC Appliance provides integration with Cisco VPN concentrators and can enable SSO capability 
for VPN users, using RADIUS Accounting information. The Clean Access Server can acquire the client's 
IP address from either Framed_IP_address or Calling_Station_ID RADIUS attributes for SSO purposes. 

Single Sign-On (SSO) for Cisco VPN concentrator users—VPN users do not need to login to the 
web browser or the Clean Access Agent because the RADIUS accounting information sent to the 
CAS/CAM by the VPN concentrator provides the user ID and IP address of users logging into the 
VPN concentrator (RADIUS Accounting Start Message). 

Single Sign-On (SSO) for Cisco Airespace Wireless LAN Controller users — For SSO to work, the 
Cisco Airespace Wireless LAN Controller must send the Calling_Station_IP attribute as the client's 
IP address (as opposed to the Framed_IP_address that the VPN concentrator uses).

Accurate Session Timeout/Expiry—Due to the use of RADIUS accounting, the VPN concentrator 
informs the Clean Access Server exactly when the user has logged out (RADIUS Accounting Stop 
Message). See 

 for additional details. 

To enable SSO for Cisco VPN concentrator users, add a Cisco VPN SSO auth server: 

Go to User Management > Auth Servers > New.

From the Authentication Type dropdown menu, choose Cisco VPN SSO.