Udostępnij za pośrednictwem

Model uwierzytelniania LSA

  • Artykuł

Model uwierzytelniania lokalnego urzędu zabezpieczeń (LSA) ma następujące funkcje:

  • Uwierzytelnianie LSA obsługuje niestandardowe pakiety uwierzytelniania . Dzięki temu klienci końcowi i niezależni dostawcy oprogramowania (ISV) mogą dostosowywać lub zastępować procedury uwierzytelniania, aby spełnić wymagania wykraczające poza te udostępniane przez standardowe pakiety uwierzytelniania firmy Microsoft. Pakiety uwierzytelniania udostępniane przez firmę Microsoft wymagają danych logowania użytkownika i nazwy użytkownika, ale niestandardowy pakiet uwierzytelniania może przyjmować inne formy danych logowania, takich jak informacje o karcie bankomatu i osobisty numer identyfikacyjny (PIN). Niestandardowy pakiet uwierzytelniania może również służyć do implementowania nowego protokołu zabezpieczeń .
  • LSA obsługuje niestandardowe pakiety zabezpieczeń, które działają jako dostawcy obsługi zabezpieczeń dla aplikacji rozproszonych i jako pakiety uwierzytelniania dla aplikacji wymagających usług uwierzytelniania. Dostęp do funkcji uwierzytelniania jest uzyskiwany przy użyciu tego samego interfejsu co autonomiczny pakiet uwierzytelniania, podczas gdy dostęp do funkcji dostawcy obsługi zabezpieczeń jest uzyskiwany przy użyciu interfejsu dostawcy obsługi zabezpieczeń (SSPI). Zestaw funkcji obsługujących LSA dostępnych dla niestandardowych pakietów zabezpieczeń umożliwia dostarczanie zaawansowanych funkcji zabezpieczeń, takich jak tworzenie tokenów i poświadczenia uzupełniające zarządzania.
  • LSA obsługuje heterogeniczne zarządzanie poświadczeniami w celu interfejsu z produktami innych firm, takimi jak sieci i bazy danych. Ponieważ takie produkty często mają własne poświadczenia zabezpieczeń, LSA udostępnia funkcje, których pakiety uwierzytelniania mogą używać do kojarzenia poświadczeń firmy innej niż Microsoft z procesami systemu Windows. Niestandardowe pakiety uwierzytelniania mogą udostępniać usługi do wykonywania zapytań dotyczących tych poświadczeń w razie potrzeby, takich jak próba nawiązania połączenia z systemem zdalnym przez przekierowanie sieci.
  • Każda klasa urządzenia logowania zainstalowanego w systemie może mieć własny proces logowania. Klasy urządzeń zwykle obejmują urządzenia, takie jak czytniki kart inteligentnych; jednak do celów uwierzytelniania LSA połączone sieci są również traktowane jako urządzenia. Domyślnie system operacyjny Windows udostępnia proces logowania, który obsługuje nazwy użytkownika i logowania przy użyciu klawiatury. Deweloperzy mogą dodać obsługę innych urządzeń, takich jak czytników. Aby uzyskać więcej informacji na temat kart inteligentnych, zobacz Uwierzytelnianie za pomocą karty inteligentnej. Aby uzyskać więcej informacji na temat obsługi urządzeń logowania, zobacz Winlogon i GINA.