Windows 認証のアーキテクチャ
適用対象: Windows Server 2022、Windows Server 2019、Windows Server 2016
IT プロフェッショナル向けのこの概要トピックでは、Windows 認証の基本的なアーキテクチャ スキームについて説明します。
認証は、システムがユーザーのログオンまたはサインイン情報を検証するプロセスです。 ユーザーの名前とパスワードが認可されたリストと比較され、システムで一致が検出されると、そのユーザーのアクセス許可リストで指定された範囲へのアクセスが許可されます。
拡張可能なアーキテクチャの一部として、Windows Server オペレーティング システムでは、Negotiate、Kerberos プロトコル、NTLM、Schannel (セキュリティで保護されたチャネル)、ダイジェストなど、認証セキュリティ サポート プロバイダーの既定のセットが実装されています。 これらのプロバイダーで使用されるプロトコルによって、ユーザー、コンピューター、サービスの認証が可能になります。また、認証処理によって、認可されたユーザーとサービスが安全な方法でリソースにアクセスできるようになります。
Windows Server では、アプリケーションは SSPI を使用してユーザーを認証し、認証の呼び出しを抽象化します。 そのため、開発者は、特定の認証プロトコルの複雑さを理解したり、認証プロトコルをアプリケーションに組み込んだりする必要がありません。
Windows Server オペレーティング システムには、Windows セキュリティ モデルを構成する一連のセキュリティ コンポーネントがあります。 これらのコンポーネントにより、アプリケーションが認証と認可なしでリソースにアクセスすることはできません。 次のセクションでは、認証アーキテクチャの要素について説明します。
ローカル セキュリティ機関
ローカル セキュリティ機関 (LSA) は、ユーザーを認証してローカル コンピューターにサインインする、保護されたサブシステムです。 さらに、LSA は、コンピューター上のローカル セキュリティのすべての側面に関する情報を保持します (これらの側面は、まとめてローカル セキュリティ ポリシーと呼ばれています)。 また、名前とセキュリティ識別子 (SID) の間で変換するためのさまざまなサービスも提供されます。
セキュリティ サブシステムは、コンピューター システム上のセキュリティ ポリシーとアカウントを追跡します。 ドメイン コントローラーの場合、これらのポリシーとアカウントは、ドメイン コントローラーがインストールされているドメインに対して有効なポリシーとアカウントです。 これらのポリシーとアカウントは Active Directory に格納されます。 LSA サブシステムは、オブジェクトへのアクセスの検証、ユーザー権限の確認、監査メッセージの生成を行うサービスを提供します。
セキュリティ サポート プロバイダー インターフェイス
セキュリティ サポート プロバイダー インターフェイス (SSPI) は、任意の分散アプリケーション プロトコルの認証、メッセージの整合性、メッセージのプライバシー、セキュリティ サービス品質について、統合されたセキュリティ サービスを取得する API です。
SSPI は、Generic Security Service API (GSSAPI) の実装です。 SSPI では、分散アプリケーションが複数のセキュリティ プロバイダーのいずれかを呼び出して、セキュリティ プロトコルの詳細を知らなくても認証された接続を取得するメカニズムが提供されます。