Anmeldeinformationsanbieter in Windows
Anmeldeinformationsanbieter sind der primäre Mechanismus für die Benutzerauthentifizierung. Sie sind derzeit die einzige Methode, mit der Benutzer ihre Identität nachweisen können, die für die Anmeldung und andere Systemauthentifizierungsszenarien erforderlich ist. Seit Windows 10 und der Einführung von Microsoft Passport sind Anmeldeinformationsanbieter wichtiger denn je. Sie werden für die Authentifizierung in Apps, Websites und mehr verwendet.
Microsoft bietet eine Vielzahl von Anmeldeinformationsanbietern als Teil von Windows, z. B. Kennwort, PIN, Smartcard und Windows Hello (Fingerabdruck, Gesicht und Iriserkennung). Diese werden in diesem Artikel als "Systemanmeldeinformationsanbieter" bezeichnet. OEMs, Unternehmen und andere Entitäten können eigene Anmeldeinformationsanbieter schreiben und einfach in Windows integrieren. Diese werden in diesem Artikel als "Drittanbieter für Anmeldeinformationen" bezeichnet. Beachten Sie, dass sowohl V1- als auch V2-Anmeldeinformationsanbieter in Windows unterstützt werden. Es ist wichtig, dass Ersteller und Manager von Anmeldeinformationsanbietern von Drittanbietern diese Empfehlungen verstehen.
Systemanmeldeinformationsanbieter
Es wird dringend empfohlen, dass neben allen Anmeldeinformationsanbietern von Drittanbietern immer mindestens ein Systemanmeldeinformationsanbieter für jeden Benutzer auf dem Gerät verfügbar ist. Darüber hinaus sollte jeder Benutzer auf dem Gerät während der Einrichtung des Drittanbieters für Anmeldeinformationen aufgefordert werden, mindestens einen Systemanmeldeinformationsanbieter zu konfigurieren (wenn keine anderen Wiederherstellungsoptionen verfügbar sind; siehe Szenario A, unten).
Szenario A
Ein lokaler Kontobenutzer hat einen Anmeldeinformationsanbieter eines Drittanbieters eingerichtet und verwendet es regelmäßig, um sich beim Gerät anzumelden. Ein Tag installiert der Benutzer ein Update auf dem Gerät, das den Anmeldeinformationsanbieter des Drittanbieters umbricht, und der Benutzer weiß diese Änderung nicht, bevor er den Computer neu startet.
Beim nächsten Neustart befindet sich der Benutzer auf dem Anmeldebildschirm und kann den erwarteten Anmeldeinformationsanbieter nicht verwenden. Wenn der Benutzer einen Systemanmeldeinformationsanbieter eingerichtet hat, kann sich der Benutzer mithilfe des Computers anmelden. Wenn nicht, hat der Benutzer keine Möglichkeit, das Konto auf dem Computer wiederherzustellen.
Szenario B
Ein Microsoft-Konto (MSA), Active Directory (AD) oder Microsoft Entra ID-Kontobenutzer hat einen Anmeldeinformationsanbieter eines Drittanbieters eingerichtet und verwendet es regelmäßig, um sich beim Gerät anzumelden. Ein Tag installiert der Benutzer ein Update auf dem Gerät, das den Anmeldeinformationsanbieter des Drittanbieters umbricht, und der Benutzer weiß diese Änderung nicht, bevor er den Computer neu startet.
Beim nächsten Neustart befindet sich der Benutzer auf dem Anmeldebildschirm und kann den erwarteten Anmeldeinformationsanbieter nicht verwenden. Wenn der Benutzer einen Systemanmeldeinformationsanbieter konfiguriert hat, kann sich der Benutzer mithilfe des Computers anmelden. Wenn der Kennwortanmeldeinformationsanbieter des Systems verfügbar ist, kann der Benutzer das Kennwort remote anfordern/zurücksetzen und dies verwenden, um sich beim Computer anzumelden. Wenn keine der beiden Optionen verfügbar ist, hat der Benutzer keine Möglichkeit, das Konto auf dem Computer wiederherzustellen.
Schlussfolgerung
Zusammenfassend sollte die Deaktivierung aller Systemanmeldeinformationsanbieter auf einem Gerät abgeraten werden. Während Anmeldeinformationsanbieter von Drittanbietern zusätzliche Authentifizierungsanforderungen für bestimmte Benutzergruppen erfüllen können, ist es sehr wichtig, sicherzustellen, dass der Benutzer immer wieder auf seinen Computer zugreifen kann, wenn eine wesentliche Änderung auftritt. Systemanmeldeinformationsanbieter bieten diese Garantie.
Benutzerdefinierte Anmeldeinformationsanbieter
Mit dem Windows-Anmeldeinformationsanbieterframework können Entwickler benutzerdefinierte Anmeldeinformationsanbieter erstellen. Wenn Winlogon Anmeldeinformationen sammeln möchte, fragt die Anmelde-UI jeden Anmeldeinformationsanbieter nach der Anzahl der Anmeldeinformationen ab, die aufgezählt werden sollen. Nachdem alle Anbieter ihre Kacheln aufgezählt haben, zeigt die Anmelde-Benutzeroberfläche sie dem Benutzer an. Der Benutzer interagiert dann mit einer Kachel, um die erforderlichen Anmeldeinformationen einzugeben. Die Anmelde-UI sendet diese Anmeldeinformationen für die Authentifizierung. Anmeldeinformationsanbieter können auch von der Anmeldeinformations-UI verwendet werden, wenn Anmeldeinformationen erforderlich sind. Eine Liste der Szenarien, in denen ein Anmeldeinformationsanbieter unterstützt werden kann, finden Sie unter CREDENTIAL_PROVIDER_USAGE_SCENARIO.
Dank dieses Systems ist es viel einfacher, einen Anmeldeinformationsanbieter zu erstellen, als es historisch war. Ein Großteil der Arbeit wird durch die Kombination aus Winlogon, der Anmelde-UI und der Anmeldeinformations-UI behandelt. Dazu müssen Sie ihre eigene Implementierung von ICredentialProvider und ICredentialProviderCredentialerstellen. Wenn Sie einen V2-Anmeldeinformationsanbieter implementieren, der empfohlen wird, müssen Sie auch ICredentialProviderCredential2implementieren.
Beachten Sie, dass Anmeldeinformationsanbieter keine Durchsetzungsmechanismen sind. Sie werden verwendet, um Anmeldeinformationen zu sammeln und zu serialisieren, um sie zur Autorisierung zu übermitteln. Die lokalen Autoritäts- und Authentifizierungspakete behandeln und alle erforderlichen Sicherheitserzwingungen.
Durch die Kombination von Anmeldeinformationsanbietern mit unterstützter Hardware können Sie Windows erweitern, um die Anmeldung mit biometrischen Informationen, Kennwörtern, PINs, Smartcardzertifikaten oder einem benutzerdefinierten Authentifizierungspaket zu unterstützen, das Sie erstellen möchten. Sie können auch die Anmeldeumgebung für den Benutzer auf unterschiedliche Weise anpassen. Wenn die Anmelde-UI beispielsweise Ihren Anmeldeinformationsanbieter für die Kacheln für Anmeldeinformationen abfragt, können Sie eine Standardkachel angeben, um eine benutzerdefinierte Benutzeroberfläche für einen Benutzer bereitzustellen. Anmeldeinformationsanbieter können sogar entwickelt werden, um einmaliges Anmelden (Single Sign On, SSO) zu unterstützen, Benutzer für einen sicheren Zugriffspunkt zu authentifizieren sowie die Computeranmeldung.
Anmeldeinformationsanbieter werden auf einem Windows-Computer registriert und sind für Folgendes verantwortlich.
- Beschreiben der anmeldeinformationen, die für die Authentifizierung erforderlich sind.
- Behandeln der Kommunikation und Logik mit allen externen Authentifizierungsstellen.
- Packen der Anmeldeinformationen für die interaktive und Netzwerkanmeldung.
Trinkgeld
Denken Sie daran, dass mehrere Anmeldeinformationsanbieter auf einem einzigen Computer installiert werden können.
Umschließen von Anmeldeinformationsanbietern
Das Umschließen eines Systemanmeldeinformationsanbieters kann zum Hinzufügen von Funktionen zu diesem Anmeldeinformationsanbieter erfolgen, der nicht nativ unterstützt wird. Dies wird nicht empfohlen, da sie zu problematischen Verhaltensweisen führen kann. Änderungen können an dem Anmeldeinformationsanbieter vorgenommen werden, der möglicherweise mit dem Wrapper in Konflikt steht, was zu einer schlechten Benutzererfahrung führt oder sogar verhindert, dass der Benutzer auf sein Gerät zugreift. Dies gilt insbesondere für die häufige Aktualisierungshäufigkeit von Windows.
Wenn Funktionen in einem Anmeldeinformationsanbieter erforderlich sind, die nicht nativ enthalten sind, wird der empfohlene Pfad zum Erstellen eines benutzerdefinierten Anmeldeinformationsanbieters verwendet. Dies ist ein stabilerer Ansatz, der keine Abhängigkeiten von den Systemanbietern hat.