LSA 認証モデル

ローカル セキュリティ機関 (LSA) 認証モデルには、次の機能があります。

• LSA 認証では、カスタム認証パッケージがサポートされます。 これにより、エンド カスタマーと独立系ソフトウェア ベンダー (ISV) は、標準の Microsoft 認証パッケージで提供される要件を超える要件を満たすために、認証ルーチンをカスタマイズまたは置き換えることができます。 Microsoft が提供する認証パッケージにはユーザー名とパスワードのログオン データが必要ですが、カスタム認証パッケージでは、ATM カード情報や暗証番号 (PIN) など、他の形式のログオン データを取得できます。 カスタム認証パッケージを使用して、新しい セキュリティ プロトコルを実装することもできます。
• LSA は、分散アプリケーションのセキュリティ サポート プロバイダーとして機能し、認証サービスを必要とするアプリケーションの認証パッケージとして機能するカスタム セキュリティ パッケージをサポートします。 認証機能にはスタンドアロン認証パッケージと同じインターフェイスを使用してアクセスしますが、セキュリティ サポート プロバイダーの機能には、セキュリティ サポート プロバイダー インターフェイス (SSPI) を使用してアクセスします。 カスタム セキュリティ パッケージで使用できる LSA サポート機能のセットを使用すると、トークンの作成や 補足資格情報の管理など、高度なセキュリティ機能 提供できます。
• LSA では、ネットワークやデータベースなど、Microsoft 以外の製品とインターフェイスするための異種資格情報管理がサポートされています。 多くの場合、このような製品には独自のセキュリティ資格情報があるため、LSA には、Microsoft 以外の資格情報を Windows プロセスに関連付けるために認証パッケージが使用できる機能が用意されています。 カスタム認証パッケージでは、ネットワーク リダイレクターがリモート システムへの接続を確立しようとしたときなど、必要に応じてこれらの資格情報を照会するためのサービスを提供できます。
• システムにインストールされているログオン デバイスの各クラスは、独自のログオン プロセスを持つことができます。 デバイス クラスには、通常、スマート カード リーダーなどのデバイスが含まれます。ただし、LSA認証目的で、接続されたネットワークもデバイスとして扱われます。 既定では、Windows オペレーティング システムは、キーボードを使用したユーザー名とパスワードのログオンをサポートするログオン プロセスを提供します。 開発者は、スマート カードリーダーなど、他のデバイスサポートを追加できます。 スマート カードの詳細については、「スマート カード認証 」を参照してください。 ログオン デバイスのサポートの詳細については、Winlogon と GINA を参照してください。