Jenis Kredensial
API Manajemen Kredensial berfungsi dengan dua jenis kredensial:
Kredensial Domain
Kredensial domain digunakan oleh sistem operasi dan diautentikasi oleh Otoritas Keamanan Lokal (LSA). Biasanya, kredensial domain dibuat untuk pengguna saat paket keamanan terdaftar, seperti protokol Kerberos, mengautentikasi data masuk yang disediakan oleh pengguna. Kredensial masuk di-cache oleh sistem operasi sehingga akses menyeluruh memberi pengguna akses ke banyak sumber daya yang berbeda. Misalnya, koneksi jaringan dapat terjadi secara transparan, dan akses ke objek sistem yang dilindungi dapat diberikan berdasarkan kredensial domain yang di-cache pengguna.
Fungsi Manajemen Kredensial menyediakan mekanisme bagi aplikasi untuk meminta kredensial domain kepada pengguna setelah pengguna masuk, dan agar sistem operasi mengautentikasi informasi yang disediakan oleh pengguna.
Bagian rahasia dari kredensial domain, kata sandi, dilindungi oleh sistem operasi. Hanya kode yang berjalan dalam proses dengan LSA yang dapat membaca dan menulis kredensial domain. Aplikasi terbatas pada penulisan kredensial domain.
Windows mendukung penggunaan kartu pintar dan kredensial sertifikat yang diperluas. Untuk membantu memastikan keamanan, API Manajemen Kredensial tidak pernah menyimpan PIN kartu pintar di komputer.
Kredensial Generik
Kredensial generik ditentukan dan diautentikasi oleh aplikasi yang mengelola otorisasi dan keamanan secara langsung alih-alih mendelegasikan tugas-tugas ini ke sistem operasi. Misalnya, aplikasi dapat mengharuskan pengguna memasukkan nama pengguna dan kata sandi yang disediakan oleh aplikasi atau menghasilkan sertifikat untuk mengakses situs web.
Aplikasi menggunakan fungsi Manajemen Kredensial untuk meminta pengguna untuk informasi yang ditentukan aplikasi, generik, kredensial, seperti nama pengguna, sertifikat, kartu pintar, atau kata sandi. Informasi yang dimasukkan oleh pengguna dikembalikan ke aplikasi untuk autentikasi.
Manajemen Kredensial menyediakan manajemen cache yang dapat disesuaikan dan penyimpanan jangka panjang untuk kredensial generik. Kredensial umum dapat dibaca dan ditulis oleh proses pengguna.