Partager via


Modèle d’authentification LSA

Le modèle d’authentification de l’autorité de sécurité locale (LSA) présente les fonctionnalités suivantes :

  • L’authentification LSA prend en charge les packages d’authentification personnalisés. Cela permet aux clients finaux et aux éditeurs de logiciels indépendants (ISV) de personnaliser ou de remplacer les routines d’authentification pour répondre à des exigences au-delà de celles fournies par les packages d’authentification Microsoft standard. Bien que les packages d’authentification fournis par Microsoft nécessitent un nom d’utilisateur et des données de connexion de mot de passe, un package d’authentification personnalisé peut prendre d’autres formes de données d’ouverture de session, telles que des informations de carte atm et un numéro d’identification personnel (PIN). Un package d’authentification personnalisé peut également être utilisé pour implémenter un nouveau protocole de sécurité.
  • LSA prend en charge les packages de sécurité personnalisés, qui fonctionnent en tant que fournisseurs de support de sécurité pour les applications distribuées et en tant que packages d’authentification pour les applications qui nécessitent des services d’authentification. La fonctionnalité d’authentification est accessible à l’aide de la même interface qu’un package d’authentification autonome, tandis que la fonctionnalité du fournisseur de support de sécurité est accessible à l’aide de l’interface SSPI ( Security Support Provider Interface ). L’ensemble des fonctions de prise en charge LSA disponibles pour les packages de sécurité personnalisés leur permet de fournir des fonctionnalités de sécurité avancées, telles que la création de jetons et la gestion des informations d’identification supplémentaires .
  • LSA prend en charge la gestion des informations d’identification hétérogènes pour s’interfacer avec des produits non-Microsoft, tels que des réseaux et des bases de données. Étant donné que ces produits ont souvent leurs propres informations d’identification de sécurité, LSA fournit des fonctions que les packages d’authentification peuvent utiliser pour associer des informations d’identification non-Microsoft à des processus Windows. Les packages d’authentification personnalisés peuvent fournir des services permettant d’interroger ces informations d’identification si nécessaire, par exemple lorsqu’un redirecteur réseau tente d’établir une connexion à un système distant.
  • Chaque classe d’appareil d’ouverture de session installée sur un système peut avoir son propre processus d’ouverture de session. Les classes d’appareils incluent généralement des appareils tels que des lecteurs de carte intelligents. Toutefois, pour l’authentification LSA, les réseaux connectés sont également traités comme des appareils. Par défaut, le système d’exploitation Windows fournit le processus d’ouverture de session qui prend en charge les ouvertures de session de nom d’utilisateur et de mot de passe à l’aide d’un clavier. Les développeurs peuvent ajouter la prise en charge d’autres appareils, tels que les carte readersintelligents. Pour plus d’informations sur les cartes à puce, consultez Authentification par carte à puce. Pour plus d’informations sur la prise en charge des appareils d’ouverture de session, consultez Winlogon et GINA.