Arten von Anmeldeinformationen
Die Anmeldeinformationsverwaltungs-API funktioniert mit zwei Arten von Anmeldeinformationen:
Anmeldeinformationen für die Domäne
Domänenanmeldeinformationen werden vom Betriebssystem verwendet und von der lokalen Sicherheitsbehörde (Local Security Authority, LSA) authentifiziert. In der Regel werden Domänenanmeldeinformationen für einen Benutzer eingerichtet, wenn ein registriertes Sicherheitspaket, z. B. das Kerberos-Protokoll, Anmeldedaten authentifiziert, die vom Benutzer bereitgestellt werden. Die Anmeldeinformationen werden vom Betriebssystem zwischengespeichert, sodass ein einmaliges Anmelden dem Benutzer Zugriff auf viele verschiedene Ressourcen ermöglicht. Netzwerkverbindungen können beispielsweise transparent erfolgen, und der Zugriff auf geschützte Systemobjekte kann basierend auf den zwischengespeicherten Domänenanmeldeinformationen des Benutzers gewährt werden.
Die Verwaltungsfunktionen für Anmeldeinformationen bieten einen Mechanismus für Anwendungen, um einen Benutzer zur Eingabe von Domänenanmeldeinformationen aufzufordern, nachdem sich der Benutzer angemeldet hat, und um die vom Benutzer bereitgestellten Informationen vom Betriebssystem authentifizieren zu lassen.
Der geheime Teil der Domänenanmeldeinformationen, das Kennwort, wird vom Betriebssystem geschützt. Nur Code, der prozessintern mit dem LSA ausgeführt wird, kann Domänenanmeldeinformationen lesen und schreiben. Anwendungen sind auf das Schreiben von Domänenanmeldeinformationen beschränkt.
Windows unterstützt die erweiterte Verwendung von Smart Karte und Zertifikatanmeldeinformationen. Um die Sicherheit zu gewährleisten, speichert die Anmeldeinformationsverwaltungs-API niemals die smarte Karte PIN auf dem Computer.
Generische Anmeldeinformationen
Generische Anmeldeinformationen werden von Anwendungen definiert und authentifiziert, die Autorisierung und Sicherheit direkt verwalten, anstatt diese Aufgaben an das Betriebssystem zu delegieren. Beispielsweise kann eine Anwendung verlangen, dass Benutzer einen Benutzernamen und ein Kennwort eingeben, die von der Anwendung angegeben werden, oder ein Zertifikat für den Zugriff auf eine Website erstellen.
Anwendungen verwenden Funktionen zur Verwaltung von Anmeldeinformationen, um Benutzer zur Eingabe anwendungsdefinierter, generischer Anmeldeinformationen aufzufordern, z. B. Benutzername, Zertifikat, intelligente Karte oder Kennwort. Die vom Benutzer eingegebenen Informationen werden zur Authentifizierung an die Anwendung zurückgegeben.
Die Verwaltung von Anmeldeinformationen bietet anpassbare Cacheverwaltung und langfristigen Speicher für generische Anmeldeinformationen. Generische Anmeldeinformationen können von Benutzerprozessen gelesen und geschrieben werden.