Anmeldeinformationsanbieter in Windows

Artikel
02/02/2024

Anmeldeinformationsanbieter sind der wichtigste Mechanismus für die Benutzerauthentifizierung. Sie sind derzeit die einzige Methode für Benutzer, ihre Identität nachzuweisen, die für die Anmeldung und andere Systemauthentifizierungsszenarien erforderlich ist. Seit Windows 10 und der Einführung von Microsoft Passport sind Anmeldeinformationsanbieter wichtiger denn je. Sie werden für die Authentifizierung bei Anwendungen, Websites und mehr verwendet.

Microsoft bietet eine Vielzahl von Anmeldeinformationsanbietern als Teil von Windows, z. B. Kennwort, PIN, Smartcard und Windows Hello (Fingerabdruck, Gesicht und Iriserkennung). Diese werden in diesem Artikel als „Systemanmeldeinformationsanbieter“ bezeichnet. OEMs, Unternehmen und andere Entitäten können eigene Anmeldeinformationsanbieter schreiben und einfach in Windows integrieren. Diese werden in diesem Artikel als „Drittanbieter für Anmeldeinformationen“ bezeichnet. Beachten Sie, dass sowohl V1- als auch V2-Anmeldeinformationsanbieter in Windows unterstützt werden. Es ist wichtig, dass die Ersteller und Manager von Drittanbietern von Berechtigungsnachweisen diese Empfehlungen verstehen.

Systemanmeldeinformationsanbieter

Es wird dringend empfohlen, dass neben allen Anmeldeinformationsanbietern von Drittanbietern immer mindestens ein Systemanmeldeinformationsanbieter für jeden Benutzer auf dem Gerät verfügbar ist. Darüber hinaus sollte jeder Benutzer auf dem Gerät während der Einrichtung des Drittanbieters für Anmeldeinformationen aufgefordert werden, mindestens einen Systemanmeldeinformationsanbieter zu konfigurieren (wenn keine anderen Wiederherstellungsoptionen verfügbar sind, siehe Szenario A, unten).

Szenario A

Ein Benutzer eines lokalen Kontos hat einen Drittanbieter von Anmeldeinformationen eingerichtet und verwendet diesen regelmäßig, um sich bei dem Gerät anzumelden. Eines Tages installiert der Benutzer ein Update auf dem Gerät, das den Anbieter von Anmeldeinformationen von Drittanbietern außer Kraft setzt. Der Benutzer ist sich dieser Änderung nicht bewusst, bevor er den Computer neu startet.

Szenario B

Ein Microsoft-Konto (MSA), Active Directory (AD) oder Microsoft Entra ID-Kontobenutzer hat einen Anmeldeinformationsanbieter eines Drittanbieters eingerichtet und verwendet diesen regelmäßig, um sich beim Gerät anzumelden. Eines Tages installiert der Benutzer ein Update auf dem Gerät, das den Anbieter von Anmeldeinformationen von Drittanbietern außer Kraft setzt. Der Benutzer ist sich dieser Änderung nicht bewusst, bevor er den Computer neu startet.

Beim nächsten Neustart befindet sich der Benutzer auf dem Anmeldebildschirm und kann den erwarteten Anmeldeinformationsanbieter nicht verwenden. Wenn der Benutzer einen Systemanmeldeinformationsanbieter konfiguriert hat, kann sich der Benutzer mithilfe des Computers anmelden. Alternativ kann der Benutzer, wenn der Kennwortanbieter des Systems verfügbar ist, das Kennwort aus der Ferne anfordern/zurücksetzen und sich damit am Computer anmelden. Wenn keine der beiden Optionen verfügbar ist, hat der Benutzer keine Möglichkeit, das Konto auf dem Computer wiederherzustellen.

Zusammenfassung

Zusammenfassend lässt sich sagen, dass von der Deaktivierung aller Systemanmeldeanbieter auf einem Gerät abgeraten werden sollte. Während Anmeldeinformationsanbieter von Drittanbietern zusätzliche Authentifizierungsanforderungen für bestimmte Benutzergruppen erfüllen können, ist es sehr wichtig, sicherzustellen, dass der Benutzer immer wieder auf seinen Computer zugreifen kann, wenn eine wesentliche Änderung auftritt. Systemanmeldeinformationsanbieter bieten diese Garantie.

Benutzerdefinierte Anmeldeinformationsanbieter

Mit dem Anmeldeinformationsanbieter-Framework von Windows können Entwickler benutzerdefinierte Anmeldeinformationsanbieter erstellen. Wenn Winlogon Anmeldeinformationen sammeln möchte, fragt die Anmelde-UI jeden Anmeldeinformationsanbieter nach der Anzahl der Anmeldeinformationen, die aufgezählt werden sollen. Nachdem alle Anbieter ihre Kacheln aufgezählt haben, zeigt die Benutzeroberfläche „Anmeldung“ sie dem Benutzer an. Der Benutzer interagiert dann mit einer Kachel, um die erforderlichen Anmeldeinformationen einzugeben. Die Anmeldeoberfläche übermittelt diese Anmeldeinformationen für die Authentifizierung. Anmeldeinformationsanbieter können auch durch die Anmeldeinformationsoberfläche verwendet werden, wenn Anmeldeinformationen erforderlich sind. Eine Liste der Szenarien, in denen ein Anmeldeinformationsanbieter unterstützt werden kann, finden Sie unter CREDENTIAL_PROVIDER_USAGE_SCENARIO.

Dank dieses Systems ist es viel einfacher, einen Anmeldeinformationsanbieter zu erstellen, als es in der Vergangenheit war. Ein Großteil der Arbeit wird von der Kombination aus Winlogon, der Anmeldeoberfläche und der Anmeldeinformationsoberfläche behandelt. Dazu müssen Sie eine eigene Implementierung von ICredentialProvider und ICredentialProviderCredential erstellen. Wenn Sie einen V2-Anmeldeinformationsanbieter implementieren, der empfohlen wird, müssen Sie auch ICredentialProviderCredential2 implementieren.

Beachten Sie, dass Anmeldeinformationsanbieter keine Durchsetzungsmechanismen sind. Sie werden verwendet, um Anmeldedaten zu sammeln und zu serialisieren und sie zur Autorisierung einzureichen. Die lokalen Autoritäts- und Authentifizierungspakete behandeln und alle erforderlichen Sicherheitserzwingungen.

Durch die Kombination von Anbietern von Anmeldeinformationen mit unterstützter Hardware können Sie Windows so erweitern, dass es die Anmeldung mit biometrischen Informationen, Passwörtern, PINs, Smart Card-Zertifikaten oder jedem beliebigen benutzerdefinierten Authentifizierungspaket unterstützt. Sie können auch die Anmeldeumgebung für den Benutzer auf unterschiedliche Weise anpassen. Wenn die Benutzeroberfläche für die Anmeldung Ihren Anbieter von Anmeldeinformationen nach den Anmeldeinformationskacheln abfragt, können Sie beispielsweise eine Standardkachel angeben, um einem Benutzer ein individuelles Erlebnis zu bieten. Anmeldeinformationsanbieter können sogar konzipiert werden, dass sie einmaliges Anmelden (SSO) unterstützen, d. h. die Authentifizierung von Benutzern an einem sicheren Zugangspunkt sowie die Anmeldung am Computer.

Anmeldeinformationsanbieter werden auf einem Windows-Computer registriert und sind für Folgendes zuständig.

Beschreibung der Anmeldeinformationen, die für die Authentifizierung erforderlich sind.
Abwicklung der Kommunikation und Logik mit externen Authentifizierungsstellen.
Verpacken Sie die Anmeldedaten für die interaktive und die Netzwerkanmeldung.

Tipp

Denken Sie daran, dass mehrere Anmeldeinformationsanbieter auf einem einzigen Computer installiert werden können.

Umschließung von Anmeldeinformationsanbietern

Die Umschließung eines Systemanmeldeinformationsanbieters kann zwecks Hinzufügen von Funktionen zu diesem Anmeldeinformationsanbieter erfolgen, der nicht nativ unterstützt wird. Dies wird nicht empfohlen, da sie zu problematischen Verhaltensweisen führen kann. Es können Änderungen am Anbieter der Anmeldeinformationen vorgenommen werden, die zu Konflikten mit dem Wrapper führen können, was eine schlechte Benutzererfahrung zur Folge hat oder sogar verhindert, dass der Benutzer auf sein Gerät zugreifen kann. Dies gilt insbesondere bei der häufigen Update-Kadenz von Windows.

Wenn Sie Funktionen in einem Anbieter von Anmeldeinformationen benötigen, die nicht nativ enthalten sind, empfiehlt es sich, einen eigenen Anbieter von Anmeldeinformationen zu erstellen. Dies ist ein stabilerer Ansatz, der keine Abhängigkeiten von den Systemanbietern hat.