Architecture d’authentification Windows
S'applique à: Windows Vista, Windows Server 2008, Windows 7, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 R2, Windows Server 2012, Windows 8
Cette rubrique de présentation pour les professionnels de l’informatique décrit le modèle d’architecture base pour l’authentification Windows.
L’authentification est le processus par lequel le système valide ouverture de session d’un utilisateur ou les informations de connexion. Nom et le mot de passe d’un utilisateur sont comparés à une liste autorisée, et si le système détecte une correspondance, l’accès à l’étendue spécifiée dans la liste des autorisations pour cet utilisateur.
Dans le cadre d’une architecture extensible, les systèmes d’exploitation Windows Server implémentent un jeu de fournisseurs de prise en charge de sécurité d’authentification, notamment Negotiate, le protocole Kerberos, NTLM, Schannel (canal sécurisé) et Digest. Les protocoles utilisés par ces fournisseurs d’activer l’authentification des utilisateurs, ordinateurs et services, et le processus d’authentification permet aux utilisateurs autorisés et les services accéder aux ressources de manière sécurisée.
Dans Windows Server, les applications authentifient les utilisateurs à l’aide de l’interface SSPI pour abstraire les appels pour l’authentification. Par conséquent, les développeurs est inutile comprendre la complexité des protocoles d’authentification spécifiques ou de générer des protocoles d’authentification dans leurs applications.
Systèmes d’exploitation Windows Server inclut un ensemble de composants de sécurité qui composent le modèle de sécurité Windows. Ces composants s’assurer que les applications ne peuvent pas accéder aux ressources sans authentification et d’autorisation. Les sections suivantes décrivent les éléments de l’architecture d’authentification. L’authentification de carte à puce est décrite dans le Informations techniques de référence sur les cartes à puce Windows.
Autorité de sécurité locale
L’autorité de sécurité locale (LSA) est un sous-système protégé qui authentifie et se connecte aux utilisateurs de l’ordinateur local. En outre, LSA conserve les informations sur tous les aspects de la sécurité locale sur un ordinateur (ces aspects sont collectivement regroupés sous la stratégie de sécurité locale). Il fournit également les divers services de traduction entre les noms et les identificateurs de sécurité (SID).
Le sous-système de sécurité effectue le suivi des stratégies de sécurité et les comptes qui sont sur un système informatique. Dans le cas d’un domaine contrôleur, ces stratégies et les comptes sont celles qui sont en vigueur pour le domaine dans lequel se trouve le contrôleur de domaine. Ces stratégies et les comptes sont stockés dans Active Directory. Le sous-système LSA fournit des services de validation de l’accès aux objets, la vérification des droits d’utilisateur et la génération des messages d’audit.
Security Support Provider Interface
Le fournisseur d’Interface SSPI (Security Support) est l’API qui obtient des services de sécurité intégrés pour l’authentification, l’intégrité des messages, confidentialité et sécurité de qualité de service pour n’importe quel protocole d’application distribuée.
SSPI est l’implémentation de la GSSAPI Generic Security Service API (). SSPI fournit un mécanisme par lequel une application distribuée peut appeler un des fournisseurs de sécurité pour obtenir une connexion authentifiée sans connaissance des détails du protocole de sécurité.