Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Les fournisseurs d’informations d’identification sont le mécanisme principal pour l’authentification utilisateur. Il s’agit actuellement de la seule méthode permettant aux utilisateurs de prouver leur identité qui est requise pour l’ouverture de session et d’autres scénarios d’authentification système. Depuis Windows 10 et l’introduction de Microsoft Passport, les fournisseurs d’informations d’identification ont été plus importants que jamais. Ils sont utilisés pour l’authentification dans des applications, des sites web et bien plus encore.
Microsoft fournit divers fournisseurs d’informations d’identification dans le cadre de Windows, tels que le mot de passe, le code confidentiel, la carte à puce et Windows Hello (empreinte digitale, visage et reconnaissance iris). Ceux-ci sont appelés « fournisseurs d’informations d’identification système » dans cet article. Les oem, les entreprises et d’autres entités peuvent écrire leurs propres fournisseurs d’informations d’identification et les intégrer facilement dans Windows. Ceux-ci sont appelés « fournisseurs d’informations d’identification tiers » dans cet article. Notez que les fournisseurs d’informations d’identification V1 et V2 sont pris en charge dans Windows. Il est important pour les créateurs et les gestionnaires de fournisseurs d’informations d’identification tiers de comprendre ces recommandations.
Fournisseurs d’informations d’identification système
Il est fortement recommandé d’avoir toujours au moins un fournisseur d’informations d’identification système disponible pour chaque utilisateur sur l’appareil en plus de tous les fournisseurs d’informations d’identification tiers. En outre, pendant la configuration du fournisseur d’informations d’identification tiers, chaque utilisateur sur l’appareil doit être invité à configurer au moins un fournisseur d’informations d’identification système (si aucune autre option de récupération n’est disponible ; voir le scénario A, ci-dessous).
Scénario A
Un utilisateur de compte local a configuré un fournisseur d’informations d’identification tiers et l’utilise régulièrement pour se connecter à l’appareil. Un jour, l’utilisateur installe une mise à jour sur l’appareil qui interrompt le fournisseur d’informations d’identification tiers, et l’utilisateur ignore cette modification avant de redémarrer l’ordinateur.
Lors du redémarrage suivant, l’utilisateur est sur l’écran d’ouverture de session et ne peut pas utiliser le fournisseur d’informations d’identification tiers attendu. Si l’utilisateur a configuré un fournisseur d’informations d’identification système, l’utilisateur pourra se connecter à l’ordinateur à l’aide de celui-ci. Si ce n’est pas le cas, l’utilisateur n’a aucun moyen de récupérer le compte sur l’ordinateur.
Scénario B
Un compte Microsoft (MSA), Active Directory (AD) ou un utilisateur du compte Microsoft Entra ID a configuré un fournisseur d’informations d’identification tiers et l’utilise régulièrement pour se connecter à l’appareil. Un jour, l’utilisateur installe une mise à jour sur l’appareil qui interrompt le fournisseur d’informations d’identification tiers, et l’utilisateur ignore cette modification avant de redémarrer l’ordinateur.
Lors du redémarrage suivant, l’utilisateur est sur l’écran d’ouverture de session et ne peut pas utiliser le fournisseur d’informations d’identification tiers attendu. Si l’utilisateur a configuré un fournisseur d’informations d’identification système, l’utilisateur pourra se connecter à l’ordinateur à l’aide de celui-ci. Sinon, si le fournisseur d’informations d’identification du système est disponible, l’utilisateur peut demander/réinitialiser à distance le mot de passe et l’utiliser pour se connecter à l’ordinateur. Si aucune des options n’est disponible, l’utilisateur n’a aucun moyen de récupérer le compte sur l’ordinateur.
Conclusion
En résumé, la désactivation de tous les fournisseurs d’informations d’identification système sur un appareil doit être déconseillée. Bien que les fournisseurs d’informations d’identification tiers puissent répondre à des exigences d’authentification supplémentaires pour des groupes d’utilisateurs particuliers, il est très important de s’assurer que l’utilisateur peut toujours récupérer l’accès à son ordinateur lorsqu’une modification cassant se produit. Les fournisseurs d’informations d’identification système fournissent cette garantie.
Fournisseurs d’informations d’identification personnalisés
L’infrastructure du fournisseur d’informations d’identification Windows permet aux développeurs de créer des fournisseurs d’informations d’identification personnalisés. Lorsque Winlogon souhaite collecter les informations d’identification, l’interface utilisateur d’ouverture de session interroge chaque fournisseur d’informations d’identification pour le nombre d’informations d’identification qu’il souhaite énumérer. Une fois que tous les fournisseurs ont énuméré leurs vignettes, l’interface utilisateur de connexion les affiche à l’utilisateur. L’utilisateur interagit ensuite avec une vignette pour fournir les informations d’identification nécessaires. L’interface utilisateur de connexion envoie ces informations d’identification pour l’authentification. Les fournisseurs d’informations d’identification peuvent également être utilisés par l’interface utilisateur d’informations d’identification lorsque des informations d’identification sont nécessaires. Consultez CREDENTIAL_PROVIDER_USAGE_SCENARIO pour obtenir la liste des scénarios dans lesquels un fournisseur d’informations d’identification peut être pris en charge.
Grâce à ce système, il est beaucoup plus facile de créer un fournisseur d’informations d’identification qu’il était historiquement. Une grande partie du travail est gérée par la combinaison de Winlogon, de l’interface utilisateur de connexion et de l’interface utilisateur des informations d’identification. Pour ce faire, vous devez créer votre propre implémentation de ICredentialProvider et ICredentialProviderCredential. Si vous implémentez un fournisseur d’informations d’identification V2, qui est recommandé, vous devez également implémenter ICredentialProviderCredential2.
Il est important de noter que les fournisseurs d’informations d’identification ne sont pas des mécanismes d’application. Ils sont utilisés pour collecter et sérialiser les informations d’identification, en les soumettant pour autorisation. Les packages d’autorité locale et d’authentification gèrent et toute application de sécurité nécessaire.
En combinant des fournisseurs d’informations d’identification avec du matériel pris en charge, vous pouvez étendre Windows pour prendre en charge la connexion avec des informations biométriques, des mots de passe, des codes CONFIDENTIELs, des certificats de carte à puce ou tout package d’authentification personnalisé que vous choisissez de créer. Vous pouvez également personnaliser l’expérience d’ouverture de session pour l’utilisateur de différentes façons. Par exemple, lorsque l’interface utilisateur de connexion interroge votre fournisseur d’informations d’identification pour les vignettes d’informations d’identification, vous pouvez spécifier une vignette par défaut pour fournir une expérience personnalisée pour un utilisateur. Les fournisseurs d’informations d’identification peuvent même être conçus pour prendre en charge l’authentification unique (SSO), l’authentification des utilisateurs à un point d’accès sécurisé ainsi que l’ouverture de session de l’ordinateur.
Les fournisseurs d’informations d’identification sont inscrits sur un ordinateur Windows et sont responsables des éléments suivants.
- Description des informations d’identification requises pour l’authentification.
- Gestion de la communication et de la logique avec toutes les autorités d’authentification externes.
- Empaquetage des informations d’identification pour l’ouverture de session interactive et réseau.
Pourboire
N’oubliez pas que plusieurs fournisseurs d’informations d’identification peuvent être installés sur un seul ordinateur.
Habillage des fournisseurs d’informations d’identification
L’habillage d’un fournisseur d’informations d’identification système peut être effectué pour ajouter des fonctionnalités à ce fournisseur d’informations d’identification qui n’est pas pris en charge en mode natif. Cela n’est pas recommandé, car il peut entraîner un comportement problématique. Les modifications peuvent être apportées au fournisseur d’informations d’identification qui peut entrer en conflit avec le wrapper, provoquant une expérience utilisateur médiocre ou empêchant même l’utilisateur d’accéder à son appareil. Cela est particulièrement vrai avec la fréquence de mise à jour fréquente de Windows.
Si la fonctionnalité d’un fournisseur d’informations d’identification est nécessaire qui n’est pas incluse en mode natif, le chemin recommandé crée un fournisseur d’informations d’identification personnalisé. Il s’agit d’une approche plus stable qui n’a pas de dépendances sur les fournisseurs de système.