Architecture d’authentification Windows
Cette rubrique de présentation destinée aux professionnels de l’informatique explique le schéma architectural de base pour Authentification Windows.
L’authentification est le processus par lequel le système valide les informations d’ouverture de session ou de connexion d’un utilisateur. Le nom et le mot de passe d’un utilisateur sont comparés à une liste autorisée, et si le système détecte une correspondance, l’accès est accordé dans la mesure spécifiée dans la liste d’autorisations pour cet utilisateur.
Dans le cadre d’une architecture extensible, les systèmes d’exploitation Windows Server implémentent un ensemble par défaut de fournisseurs de prise en charge de la sécurité de l’authentification, notamment Negotiate, le protocole Kerberos, NTLM, Schannel (canal sécurisé) et Digest. Les protocoles utilisés par ces fournisseurs permettent l’authentification des utilisateurs, des ordinateurs et des services ; le processus d’authentification permet à son tour aux utilisateurs et services autorisés d’accéder aux ressources de façon sécurisée.
Dans Windows Server, les applications authentifient les utilisateurs à l’aide de SSPI pour extraire les appels d’authentification. Par conséquent, les développeurs n’ont pas besoin de comprendre les complexités de protocoles d’authentification spécifiques ou de créer des protocoles d’authentification dans leurs applications.
Les systèmes d’exploitation Windows Server incluent un ensemble de composants de sécurité qui composent le modèle de sécurité Windows. Ces composants garantissent que les applications ne peuvent pas accéder aux ressources sans authentification et autorisation. Les sections suivantes décrivent les éléments de l’architecture d’authentification.
Autorité de sécurité locale
L’autorité de sécurité locale (LSA) est un sous-système protégé qui authentifie et connecte les utilisateurs à l’ordinateur local. En outre, LSA conserve des informations sur tous les aspects de la sécurité locale sur un ordinateur (ces aspects sont collectivement appelés stratégie de sécurité locale). Il fournit également différents services de traduction entre les noms et les identificateurs de sécurité (SID).
Le sous-système de sécurité effectue le suivi des stratégies de sécurité et des comptes qui se trouvent sur un système informatique. Dans le cas d’un contrôleur de domaine, ces stratégies et comptes sont ceux qui sont en vigueur pour le domaine dans lequel se trouve le contrôleur de domaine. Ces stratégies et comptes sont stockés dans Active Directory. Le sous-système LSA fournit des services de validation d’accès aux objets, de vérification des droits utilisateurs et de génération de messages d’audit.
interface du fournisseur de la prise en charge de la sécurité (Security Support Provider Interface ou SSPI)
L’interface SSPI (Security Support Provider Interface) est l’API qui obtient des services de sécurité intégrés pour l’authentification, l’intégrité des messages, la confidentialité des messages et la qualité de service de sécurité pour tout protocole d’application distribué.
L’interface SSPI correspond à l’implémentation de l’API de service de sécurité générique (GSSAPI). SSPI fournit un mécanisme par lequel une application distribuée peut appeler l’un des différents fournisseurs de sécurité pour obtenir une connexion authentifiée sans connaître les détails du protocole de sécurité.