Windows 認証のアーキテクチャ
適用対象: Windows Vista,Windows Server 2008,Windows 7,Windows 8.1,Windows Server 2008 R2,Windows Server 2012 R2,Windows Server 2012,Windows 8
IT プロフェッショナル向けのこの概要トピックでは、Windows 認証用の基本的なアーキテクチャ スキームについて説明します。
認証は、ユーザーのログオンまたはサインイン情報、システムを検証するプロセスです。 ユーザーの名前とパスワード、承認されたリストと比較し、そのユーザーのアクセス許可リストに指定された範囲にアクセスする場合は、一致が検出されると、します。
拡張可能なアーキテクチャの一部として、Windows Server オペレーティング システムは、Negotiate、Kerberos プロトコル、NTLM、Schannel (セキュリティで保護されたチャネル)、ダイジェスト認証セキュリティ サポート プロバイダーの既定のセットを実装します。 これらのプロバイダーによって使用されるプロトコルは、ユーザー、コンピューター、およびサービスの認証を有効にして、認証プロセスは、安全な方法でリソースにアクセスするには、承認されたユーザーおよびサービスを使用します。
Windows Server では、アプリケーションは、認証への呼び出しを抽象化するため、SSPI を使用してユーザーを認証します。 したがって、開発者は、特定の認証プロトコルの複雑さを理解またはアプリケーションに認証プロトコルをビルドするのには必要ありません。
Windows Server オペレーティング システムには、Windows セキュリティ モデルを構成するためのセキュリティ コンポーネントのセットが含まれます。 これらのコンポーネントは、アプリケーションが認証と承認のないリソースへのアクセスを取得できないことを確認します。 次のセクションでは、認証のアーキテクチャの要素について説明します。 スマート カード認証については、「、 Windows におけるスマート カードのテクニカル リファレンスのページです。
ローカル セキュリティ機関
ローカル セキュリティ機関 (LSA) は、認証し、ローカル コンピューターにユーザーをサインインする保護されたサブシステムです。 さらに、LSA の情報を保持あらゆる側面に関するローカル セキュリティのコンピューター (これらの側面をまとめてといいますローカル セキュリティ ポリシー)。 また、さまざまなサービス名とセキュリティ識別子 (Sid) の間の変換も提供します。
セキュリティ サブシステムは、セキュリティ ポリシーとコンピューター システム上では、アカウントの追跡します。 ドメインの場合コント ローラー、これらのポリシーとアカウントはドメイン コント ローラーが配置されているドメインの有効となっているものです。 これらのポリシーとアカウントは、Active Directory に格納されます。 監査メッセージをユーザーの権限をチェックし、生成すること、LSA サブシステムは、オブジェクトへのアクセスを検証するためのサービスを提供します。
セキュリティ サポート プロバイダー インターフェイス
セキュリティ サポート プロバイダー インターフェイス (SSPI) は、認証、メッセージの整合性、メッセージのプライバシーおよびセキュリティ サービスが品質、分散アプリケーション プロトコル用の統合セキュリティ サービスの取得 API です。
SSPI は、汎用的なセキュリティ サービス API (GSSAPI) の実装です。 SSPI は、分散アプリケーション呼び出すことができます、セキュリティ プロトコルの詳細の知識がなくても認証された接続を取得するいくつかのセキュリティ プロバイダーのいずれかのメカニズムを提供します。