Arten von Anmeldeinformationen
Die Anmeldeinformationsverwaltungs-API funktioniert mit zwei Arten von Anmeldeinformationen:
Domänenanmeldeinformationen
Domänenanmeldeinformationen werden vom Betriebssystem verwendet und von der lokalen Sicherheitsbehörde (Local Security Authority, LSA) authentifiziert. In der Regel werden Domänenanmeldeinformationen für einen Benutzer eingerichtet, wenn ein registriertes Sicherheitspaket, z. B. das Kerberos-Protokoll, Anmeldedaten authentifiziert, die vom Benutzer bereitgestellt werden. Die Anmeldeinformationen werden vom Betriebssystem zwischengespeichert, sodass ein einmaliges Anmelden dem Benutzer Zugriff auf viele verschiedene Ressourcen gewährt. Netzwerkverbindungen können beispielsweise transparent erfolgen, und der Zugriff auf geschützte Systemobjekte kann basierend auf den zwischengespeicherten Domänenanmeldeinformationen des Benutzers gewährt werden.
Die Anmeldeinformationsverwaltungsfunktionen bieten einen Mechanismus für Anwendungen, um einen Benutzer nach der Anmeldung des Benutzers zur Eingabe von Domänenanmeldeinformationen aufzufordern und das Betriebssystem die vom Benutzer bereitgestellten Informationen zu authentifizieren.
Der geheime Teil der Domänenanmeldeinformationen, das Kennwort, wird vom Betriebssystem geschützt. Nur Code, der mit der LSA ausgeführt wird, kann Domänenanmeldeinformationen lesen und schreiben. Anwendungen sind auf das Schreiben von Domänenanmeldeinformationen beschränkt.
Windows unterstützt die erweiterte Verwendung von Smartcard- und Zertifikatanmeldeinformationen. Um die Sicherheit zu gewährleisten, speichert die Anmeldeinformationsverwaltungs-API niemals die Smartcard-PIN auf dem Computer.
Generische Anmeldeinformationen
Generische Anmeldeinformationen werden von Anwendungen definiert und authentifiziert, die Autorisierung und Sicherheit direkt verwalten, anstatt diese Aufgaben an das Betriebssystem zu delegieren. Eine Anwendung kann z. B. verlangen, dass Benutzer einen Benutzernamen und ein Kennwort eingeben, das von der Anwendung bereitgestellt wird, oder ein Zertifikat erstellen, um auf eine Website zuzugreifen.
Anwendungen verwenden Anmeldeinformationsverwaltungsfunktionen, um Benutzer zur Eingabe anwendungsdefinierter, generischer Anmeldeinformationen wie Benutzername, Zertifikat, Smartcard oder Kennwort aufzufordern. Die vom Benutzer eingegebenen Informationen werden zur Authentifizierung an die Anwendung zurückgegeben.
Die Anmeldeinformationsverwaltung bietet anpassbare Cacheverwaltung und langfristigen Speicher für generische Anmeldeinformationen. Generische Anmeldeinformationen können von Benutzerprozessen gelesen und geschrieben werden.