Typer av autentiseringsuppgifter

API:et för hantering av autentiseringsuppgifter fungerar med två typer av autentiseringsuppgifter:

• domänautentiseringsuppgifter
• allmänna autentiseringsuppgifter

Autentiseringsuppgifter för domän

Domänautentiseringsuppgifter används av operativsystemet och autentiseras av LSA (Local Security Authority). Vanligtvis upprättas domänautentiseringsuppgifter för en användare när ett registrerat säkerhetspaket, till exempel Kerberos-protokollet, autentiserar inloggningsdata som tillhandahålls av användaren. Inloggningsuppgifterna cachelagras av operativsystemet så att en enkel inloggning ger användaren åtkomst till många olika resurser. Nätverksanslutningar kan till exempel ske transparent och åtkomst till skyddade systemobjekt kan beviljas baserat på användarens cachelagrade domänautentiseringsuppgifter.

Funktioner för hantering av autentiseringsuppgifter ger en mekanism för program att uppmana en användare att ange domänautentiseringsuppgifter efter att användaren har loggat in och låta operativsystemet autentisera den information som tillhandahålls av användaren.

Den hemliga delen av domänautentiseringsuppgifterna, lösenordet, skyddas av operativsystemet. Endast kod som körs i processen med LSA kan läsa och skriva domänautentiseringsuppgifter. Program är begränsade till att skriva domänautentiseringsuppgifter.

Windows stöder utökad användning av smartkort och certifikatautentiseringsuppgifter. För att säkerställa säkerheten lagrar API:et för hantering av autentiseringsuppgifter aldrig pin-koden för smartkort på datorn.

Allmänna autentiseringsuppgifter

Allmänna autentiseringsuppgifter definieras och autentiseras av program som hanterar auktorisering och säkerhet direkt i stället för att delegera dessa uppgifter till operativsystemet. Ett program kan till exempel kräva att användarna anger ett användarnamn och lösenord som tillhandahålls av programmet eller att skapa ett certifikat för att få åtkomst till en webbplats.

Program använder funktioner för hantering av autentiseringsuppgifter för att fråga användare om programdefinierad, allmän information om autentiseringsuppgifter, till exempel användarnamn, certifikat, smartkort eller lösenord. Den information som användaren anger returneras till programmet för autentisering.

Hantering av autentiseringsuppgifter ger anpassningsbar cachehantering och långsiktig lagring för allmänna autentiseringsuppgifter. Allmänna autentiseringsuppgifter kan läsas och skrivas av användarprocesser.