Types d’informations d’identification
L’API Gestion des informations d’identification fonctionne avec deux types d’informations d’identification :
Informations d’identification de domaine
Les informations d’identification de domaine sont utilisées par le système d’exploitation et authentifiées par l’autorité de sécurité locale (LSA). En règle générale, les informations d’identification de domaine sont établies pour un utilisateur lorsqu’un package de sécurité inscrit, tel que le protocole Kerberos, authentifie les données d’ouverture de session fournies par l’utilisateur. Les informations d’identification d’ouverture de session sont mises en cache par le système d’exploitation afin qu’une authentification unique donne à l’utilisateur l’accès à de nombreuses ressources différentes. Par exemple, les connexions réseau peuvent se produire de manière transparente et l’accès aux objets système protégés peut être accordé en fonction des informations d’identification de domaine mises en cache de l’utilisateur.
Les fonctions De gestion des informations d’identification fournissent un mécanisme permettant aux applications d’inviter un utilisateur à entrer des informations d’identification de domaine après l’enregistrement de l’utilisateur et au fait que le système d’exploitation authentifie les informations fournies par l’utilisateur.
La partie secrète des informations d’identification de domaine, le mot de passe, est protégée par le système d’exploitation. Seul le code en cours d’exécution avec LSA peut lire et écrire des informations d’identification de domaine. Les applications sont limitées à l’écriture d’informations d’identification de domaine.
Windows prend en charge l’utilisation étendue des informations d’identification de carte à puce et de certificat. Pour garantir la sécurité, l’API Gestion des informations d’identification ne stocke jamais le code confidentiel de la carte à puce sur l’ordinateur.
Informations d’identification génériques
Les informations d’identification génériques sont définies et authentifiées par les applications qui gèrent directement l’autorisation et la sécurité au lieu de déléguer ces tâches au système d’exploitation. Par exemple, une application peut demander aux utilisateurs d’entrer un nom d’utilisateur et un mot de passe fournis par l’application ou de produire un certificat pour accéder à un site web.
Les applications utilisent des fonctions Gestion des informations d’identification pour inviter les utilisateurs à entrer des informations d’identification définies par l’application, génériques, telles que le nom d’utilisateur, le certificat, la carte à puce ou le mot de passe. Les informations entrées par l’utilisateur sont retournées à l’application pour l’authentification.
La gestion des informations d’identification fournit une gestion du cache personnalisable et un stockage à long terme pour les informations d’identification génériques. Les informations d’identification génériques peuvent être lues et écrites par les processus utilisateur.