Modelo de autenticação LSA

  • Artigo

O modelo de autenticação LSA ( Autoridade de Segurança Local ) tem os seguintes recursos:

  • A autenticação LSA dá suporte a pacotes de autenticação personalizados. Isso permite que clientes finais e ISVs (fornecedores independentes de software) personalizem ou substituam rotinas de autenticação para atender aos requisitos além daqueles fornecidos pelos pacotes de autenticação padrão da Microsoft. Embora os pacotes de autenticação fornecidos pela Microsoft exijam um nome de usuário e dados de logon de senha, um pacote de autenticação personalizado pode usar outras formas de dados de logon, como informações de cartão de caixa eletrônico e um PIN (número de identificação pessoal). Um pacote de autenticação personalizado também pode ser usado para implementar um novo protocolo de segurança.
  • A LSA dá suporte a pacotes de segurança personalizados, que funcionam como provedores de suporte de segurança para aplicativos distribuídos e como pacotes de autenticação para aplicativos que exigem serviços de autenticação. A funcionalidade de autenticação é acessada usando a mesma interface que um pacote de autenticação autônomo, enquanto a funcionalidade do provedor de suporte de segurança é acessada usando a SSPI ( Interface do Provedor de Suporte de Segurança ). O conjunto de funções de suporte LSA disponíveis para pacotes de segurança personalizados permite que eles forneçam recursos avançados de segurança, como criação de token e gerenciamento de credenciais complementares .
  • A LSA dá suporte ao gerenciamento heterogêneo de credenciais para interface com produtos que não são da Microsoft, como redes e bancos de dados. Como esses produtos geralmente têm suas próprias credenciais de segurança, a LSA fornece funções que os pacotes de autenticação podem usar para associar credenciais que não são da Microsoft aos processos do Windows. Os pacotes de autenticação personalizados podem fornecer serviços para consultar essas credenciais quando necessário, como quando um redirecionador de rede tenta estabelecer uma conexão com um sistema remoto.
  • Cada classe de dispositivo de logon instalado em um sistema pode ter seu próprio processo de logon. As classes de dispositivo normalmente incluem dispositivos como leitores de cartão inteligentes; no entanto, para fins de autenticação LSA, redes conectadas também são tratadas como dispositivos. Por padrão, o sistema operacional Windows fornece o processo de logon que dá suporte a logons de nome de usuário e senha usando um teclado. Os desenvolvedores podem adicionar suporte para outros dispositivos, como cartãoreaders inteligentes. Para obter mais informações sobre cartões inteligentes, consulte Autenticação de Cartão Inteligente. Para obter mais informações sobre o suporte a dispositivos de logon, consulte Winlogon e GINA.