LSA 認証モデル

ローカル セキュリティ機関 (LSA) 認証モデルには、次の機能があります。

• LSA 認証では、カスタム 認証パッケージがサポートされています。 これにより、エンド カスタマーと独立系ソフトウェア ベンダー (ISV) は、標準の Microsoft 認証パッケージで提供される要件を超える要件を満たすために、認証ルーチンをカスタマイズまたは置き換えることができます。 Microsoft が提供する認証パッケージにはユーザー名とパスワード ログオン データが必要ですが、カスタム認証パッケージは、ATM カード情報や個人識別番号 (PIN) などの他の形式のログオン データを取得できます。 カスタム認証パッケージを使用して、新しい セキュリティ プロトコルを実装することもできます。
• LSA では、分散アプリケーションのセキュリティ サポート プロバイダーとして機能し、認証サービスを必要とするアプリケーションの認証パッケージとして機能するカスタム セキュリティ パッケージがサポートされています。 認証機能には、スタンドアロン認証パッケージと同じインターフェイスを使用してアクセスしますが、セキュリティ サポート プロバイダー機能には セキュリティ サポート プロバイダー インターフェイス (SSPI) を使用してアクセスします。 カスタム セキュリティ パッケージで使用できる LSA サポート機能のセットを使用すると、トークンの作成や 追加の資格情報 管理などの高度なセキュリティ機能を提供できます。
• LSA では、ネットワークやデータベースなどの Microsoft 以外の製品とインターフェイスするための異種資格情報管理がサポートされています。 このような製品は多くの場合、独自のセキュリティ資格情報を持っているため、LSA には、Microsoft 以外の資格情報を Windows プロセスに関連付けるために認証パッケージで使用できる機能が用意されています。 カスタム認証パッケージは、ネットワーク リダイレクターがリモート システムへの接続を確立しようとしたときなど、必要に応じてこれらの資格情報を照会するためのサービスを提供できます。
• システムにインストールされているログオン デバイスの各クラスは、独自のログオン プロセスを持つことができます。 デバイス クラスには通常、スマート カード リーダーなどのデバイスが含まれますが、LSA 認証の目的では、接続されたネットワークもデバイスとして扱われます。 既定では、Windows オペレーティング システムは、キーボードを使用したユーザー名とパスワードログオンをサポートするログオン プロセスを提供します。 開発者は、スマート カードリーダーなど、他のデバイスのサポートを追加できます。 スマート カードの詳細については、「 スマート カード認証」を参照してください。 ログオン デバイスのサポートの詳細については、「 Winlogon と GINA」を参照してください。