Anmeldeinformationsanbieter in Windows 10
Anmeldeinformationsanbieter sind der primäre Mechanismus für die Benutzerauthentifizierung. Sie sind derzeit die einzige Methode, mit der Benutzer ihre Identität nachweisen können, was für die Anmeldung und andere Systemauthentifizierungsszenarien erforderlich ist. Mit Windows 10 und der Einführung von Microsoft Passport sind Anmeldeinformationsanbieter wichtiger denn je. sie werden für die Authentifizierung bei Apps, Websites und mehr verwendet.
Microsoft stellt eine Vielzahl von Anmeldeinformationsanbietern als Teil von Windows zur Verfügung, z. B. Kennwort, PIN, Smartcard und Windows Hello (Fingerabdruck-, Gesichts- und Iriserkennung). Diese werden in diesem Artikel als "System-Anmeldeinformationsanbieter" bezeichnet. OEMs, Unternehmen und andere Entitäten können eigene Anmeldeinformationsanbieter schreiben und diese problemlos in Windows. Diese werden in diesem Artikel als "Drittanbieter für Anmeldeinformationen" bezeichnet. Beachten Sie, dass sowohl V1- als auch V2-Anmeldeinformationsanbieter in Windows 10. Es ist wichtig, dass Ersteller und Manager von Drittanbieter-Anmeldeinformationen diese Empfehlungen verstehen.
Anbieter von System-Anmeldeinformationen
Es wird dringend empfohlen, zusätzlich zu den Anmeldeinformationsanbietern von Drittanbietern immer mindestens einen System-Anmeldeinformationsanbieter für jeden Benutzer auf dem Gerät verfügbar zu machen. Darüber hinaus sollte während der Einrichtung des Drittanbieters für Anmeldeinformationen jeder Benutzer auf dem Gerät aufgefordert werden, mindestens einen System-Anmeldeinformationsanbieter (sofern keine anderen Wiederherstellungsoptionen verfügbar sind, siehe Szenario A weiter unten) zu richten.
Szenario A
Ein lokaler Kontobenutzer hat einen Drittanbieter für Anmeldeinformationen eingerichtet und verwendet ihn regelmäßig für die Anmeldung beim Gerät. Eines Tages installiert der Benutzer ein Update auf dem Gerät, das den Drittanbieter für Anmeldeinformationen unterbricht, und dem Benutzer ist diese Änderung vor dem Neustart des Computers nicht bekannt.
Beim nächsten Neustart befindet sich der Benutzer auf dem Anmeldebildschirm und kann den erwarteten Drittanbieter für Anmeldeinformationen nicht verwenden. Wenn der Benutzer einen System-Anmeldeinformationsanbieter eingerichtet hat, kann sich der Benutzer mit dem Computer anmelden. Falls nicht, kann der Benutzer das Konto auf dem Computer nicht wiederherstellen.
Szenario B
Ein MSA/AD/AAD-Kontobenutzer hat einen Drittanbieter für Anmeldeinformationen eingerichtet und verwendet ihn regelmäßig für die Anmeldung beim Gerät. Einmal installiert der Benutzer ein Update auf dem Gerät, das den Drittanbieter für Anmeldeinformationen unterbricht, und dem Benutzer ist diese Änderung vor dem Neustart des Computers nicht bekannt.
Beim nächsten Neustart befindet sich der Benutzer auf dem Anmeldebildschirm und kann den erwarteten Drittanbieter für Anmeldeinformationen nicht verwenden. Wenn der Benutzer einen System-Anmeldeinformationsanbieter eingerichtet hat, kann sich der Benutzer mit dem Computer anmelden. Wenn der Anbieter für Kennwort-Anmeldeinformationen des Systems verfügbar ist, kann der Benutzer das Kennwort auch remote anfordern/zurücksetzen und es für die Anmeldung am Computer verwenden. Wenn keine der Optionen verfügbar ist, kann der Benutzer das Konto auf dem Computer nicht wiederherstellen.
Zusammenfassung
Zusammenfassend möchten wir davon abraten, alle System-Anmeldeinformationsanbieter auf einem Gerät zu deaktivieren. Obwohl Anmeldeinformationsanbieter von Drittanbietern möglicherweise zusätzliche Authentifizierungsanforderungen für bestimmte Benutzergruppen erfüllen, ist es sehr wichtig sicherzustellen, dass der Benutzer immer wieder Zugriff auf seinen Computer erhält, wenn eine Breaking Change auftritt. System-Anmeldeinformationsanbieter bieten diese Garantie.
Benutzerdefinierte Anmeldeinformationsanbieter
Das Windows Framework für Anmeldeinformationen ermöglicht Entwicklern das Erstellen benutzerdefinierter Anmeldeinformationsanbieter. Wenn Winlogon Anmeldeinformationen sammeln möchte, fragt die Anmeldebenutzeroberfläche jeden Anmeldeinformationsanbieter nach der Anzahl der Anmeldeinformationen ab, die er aufzählen möchte. Nachdem alle Anbieter ihre Kacheln aufzählt haben, werden sie auf der Anmeldebenutzeroberfläche dem Benutzer angezeigt. Der Benutzer interagiert dann mit einer Kachel, um die erforderlichen Anmeldeinformationen anzugeben. Die Anmeldebenutzeroberfläche übermittelt diese Anmeldeinformationen für die Authentifizierung. Anmeldeinformationsanbieter können auch von der Benutzeroberfläche für Anmeldeinformationen verwendet werden, wenn Anmeldeinformationen erforderlich sind. Eine Liste der Szenarien, in denen ein Anmeldeinformationsanbieter unterstützt werden kann, finden Sie unter SZENARIO FÜR DIE VERWENDUNG DES ANMELDEINFORMATIONSANBIETERs. _ _ _
Dank dieses Systems ist es viel einfacher, einen Anmeldeinformationsanbieter zu erstellen, als es in der Vergangenheit der Fall war. Ein Teil der Arbeit wird durch die Kombination von Winlogon,der Anmeldebenutzeroberfläche und der Benutzeroberfläche für Anmeldeinformationen verarbeitet. Dazu müssen Sie Ihre eigene Implementierung von ICredentialProvider und ICredentialProviderCredential erstellen. Wenn Sie einen V2-Anmeldeinformationsanbieter implementieren, was empfohlen wird, müssen Sie auch ICredentialProviderCredential2 implementieren.
Es ist wichtig zu beachten, dass Anmeldeinformationsanbieter keine Erzwingungsmechanismen sind. Sie werden einfach verwendet, um Anmeldeinformationen zu sammeln und zu serialisieren und zur Autorisierung zu übermitteln. Die lokalen Autoritäts- und Authentifizierungspakete übernehmen und alle erforderlichen Sicherheitserzwingungsmaßnahmen.
Durch die Kombination von Anmeldeinformationsanbietern mit unterstützter Hardware können Sie Windows erweitern, um die Anmeldung mit biometrischen Informationen, Kennwörtern, PINs, Smartcardzertifikaten oder einem beliebigen benutzerdefinierten Authentifizierungspaket zu unterstützen, das Sie erstellen möchten. Sie können die Anmeldeerfahrung für den Benutzer auch auf unterschiedliche Weise anpassen. Wenn die Anmeldeinformationsanbieter von der Anmeldebenutzeroberfläche z. B. nach den Kacheln für Anmeldeinformationen abgefragt wird, können Sie eine Standardkachel angeben, um einem Benutzer eine benutzerdefinierte Benutzeroberfläche zu bieten. Anmeldeinformationsanbieter können sogar so entworfen werden, dass sie einmaliges Anmelden (Single Sign-On, SSO) unterstützen und Benutzer bei einem sicheren Zugriffspunkt sowie bei der Computeranmeldung authentifizieren.
Anmeldeinformationsanbieter werden auf einem Windows registriert und sind für Folgendes verantwortlich.
- Beschreiben der anmeldeinformationen, die für die Authentifizierung erforderlich sind.
- Behandeln der Kommunikation und Logik mit externen Authentifizierungsstellen.
- Packen der Anmeldeinformationen für die interaktive anmeldung und die Netzwerkanmeldung.
Tipp
Beachten Sie, dass mehrere Anmeldeinformationsanbieter auf einem einzelnen Computer installiert werden können.
Umschließen von Anmeldeinformationsanbietern
Das Umschließen eines System-Anmeldeinformationsanbieters kann durchgeführt werden, um diesem Anmeldeinformationsanbieter Funktionen hinzuzufügen, die nicht nativ unterstützt werden. Dies wird nicht empfohlen, da dies zu problematischen Verhaltensweisen führen kann. Am Anmeldeinformationsanbieter können Änderungen vorgenommen werden, die mit dem Wrapper in Konflikt stehen können, was zu einer schlechten Benutzerfreundlichkeit führt oder sogar verhindert, dass der Benutzer auf sein Gerät zugreifen kann. Dies gilt insbesondere für den häufigen Update-Windows 10.
Wenn Funktionalität in einem Anmeldeinformationsanbieter erforderlich ist, die nicht nativ enthalten ist, wird empfohlen, einen benutzerdefinierten Anmeldeinformationsanbieter zu erstellen. Dies ist ein stabilerer Ansatz, der keine Abhängigkeiten von den Systemanbietern übernimmt.