Condividi tramite

Tipi di credenziali

  • Articolo

L'API Gestione credenziali funziona con due tipi di credenziali:

Credenziali di dominio

Le credenziali di dominio vengono usate dal sistema operativo e autenticate dall'Autorità di sicurezza locale (LSA). In genere, le credenziali di dominio vengono stabilite per un utente quando un pacchetto di sicurezza registrato, ad esempio il protocollo Kerberos, autentica i dati di accesso forniti dall'utente. Le credenziali di accesso vengono memorizzate nella cache dal sistema operativo in modo che un single sign-on consenta all'utente di accedere a molte risorse diverse. Ad esempio, le connessioni di rete possono verificarsi in modo trasparente e l'accesso agli oggetti di sistema protetti può essere concesso in base alle credenziali di dominio memorizzate nella cache dell'utente.

Le funzioni di gestione delle credenziali forniscono un meccanismo per le applicazioni per richiedere a un utente le credenziali di dominio dopo l'accesso dell'utente e per fare in modo che il sistema operativo esegua l'autenticazione delle informazioni fornite dall'utente.

La parte privata delle credenziali di dominio, la password, è protetta dal sistema operativo. Solo il codice in esecuzione in-process con LSA può leggere e scrivere credenziali di dominio. Le applicazioni sono limitate alla scrittura delle credenziali di dominio.

Windows supporta l'uso espanso di smart card e credenziali del certificato. Per garantire la sicurezza, l'API Gestione credenziali non archivia mai il PIN della smart card nel computer.

Credenziali generica

Le credenziali generiche vengono definite e autenticate dalle applicazioni che gestiscono direttamente l'autorizzazione e la sicurezza anziché delegare queste attività al sistema operativo. Ad esempio, un'applicazione può richiedere agli utenti di immettere un nome utente e una password forniti dall'applicazione o di produrre un certificato per accedere a un sito Web.

Le applicazioni usano le funzioni di gestione delle credenziali per richiedere agli utenti informazioni sulle credenziali definite dall'applicazione, generica, come nome utente, certificato, smart card o password. Le informazioni immesse dall'utente vengono restituite all'applicazione per l'autenticazione.

Gestione delle credenziali offre la gestione personalizzabile della cache e l'archiviazione a lungo termine per le credenziali generice. Le credenziali generice possono essere lette e scritte dai processi utente.