Compartir a través de


Tipos de credenciales

Credentials Management API funciona con dos tipos de credenciales:

Credenciales del dominio

El sistema operativo usa las credenciales de dominio y las autentica la autoridad de seguridad local (LSA). Normalmente, las credenciales de dominio se establecen para un usuario cuando un paquete de seguridad registrado, como el protocolo Kerberos, autentica los datos de inicio de sesión proporcionados por el usuario. El sistema operativo almacena en caché las credenciales de inicio de sesión para que un inicio de sesión único proporcione al usuario acceso a muchos recursos diferentes. Por ejemplo, las conexiones de red se pueden producir de forma transparente y se puede conceder acceso a objetos del sistema protegidos en función de las credenciales de dominio almacenadas en caché del usuario.

Las funciones de administración de credenciales proporcionan un mecanismo para que las aplicaciones pidan a un usuario las credenciales de dominio después de que el usuario inicie sesión y que el sistema operativo autentique la información proporcionada por el usuario.

La parte secreta de las credenciales de dominio, la contraseña, está protegida por el sistema operativo. Solo el código que se ejecuta en proceso con LSA puede leer y escribir credenciales de dominio. Las aplicaciones se limitan a escribir credenciales de dominio.

Windows admite el uso ampliado de credenciales de certificado y tarjeta inteligente. Para ayudar a garantizar la seguridad, credentials Management API nunca almacena el PIN de tarjeta inteligente en el equipo.

Credenciales genéricas

Las credenciales genéricas se definen y autentican mediante aplicaciones que administran la autorización y la seguridad directamente en lugar de delegar estas tareas en el sistema operativo. Por ejemplo, una aplicación puede requerir que los usuarios escriban un nombre de usuario y una contraseña proporcionados por la aplicación o generar un certificado para acceder a un sitio web.

Las aplicaciones usan funciones de administración de credenciales para solicitar a los usuarios información de credenciales, genéricas, definidas por la aplicación, como el nombre de usuario, el certificado, la tarjeta inteligente o la contraseña. La información especificada por el usuario se devuelve a la aplicación para la autenticación.

Administración de credenciales proporciona administración de caché personalizable y almacenamiento a largo plazo para credenciales genéricas. Los procesos de usuario pueden leer y escribir credenciales genéricas.