Partager via


Types d’informations d’identification

L’API Gestion des informations d’identification fonctionne avec deux types d’informations d’identification :

Informations d'identification du domaine

Les informations d’identification de domaine sont utilisées par le système d’exploitation et authentifiées par l’autorité de sécurité locale (LSA). En règle générale, les informations d’identification de domaine sont établies pour un utilisateur lorsqu’un package de sécurité inscrit, tel que le protocole Kerberos, authentifie les données d’ouverture de session fournies par l’utilisateur. Les informations d’identification d’ouverture de session sont mises en cache par le système d’exploitation afin qu’une authentification unique donne à l’utilisateur l’accès à de nombreuses ressources différentes. Par exemple, les connexions réseau peuvent se produire de manière transparente et l’accès aux objets système protégés peut être accordé en fonction des informations d’identification de domaine mises en cache de l’utilisateur.

Les fonctions de gestion des informations d’identification fournissent un mécanisme permettant aux applications d’inviter un utilisateur à entrer des informations d’identification de domaine une fois que l’utilisateur s’est connecté et de demander au système d’exploitation d’authentifier les informations fournies par l’utilisateur.

La partie secrète des informations d’identification de domaine, le mot de passe, est protégée par le système d’exploitation. Seul le code s’exécutant in-process avec LSA peut lire et écrire des informations d’identification de domaine. Les applications sont limitées à l’écriture d’informations d’identification de domaine.

Windows prend en charge l’utilisation étendue des carte intelligentes et des informations d’identification de certificat. Pour garantir la sécurité, l’API Gestion des informations d’identification ne stocke jamais le code confidentiel smart carte sur l’ordinateur.

Informations d’identification génériques

Les informations d’identification génériques sont définies et authentifiées par les applications qui gèrent directement l’autorisation et la sécurité au lieu de déléguer ces tâches au système d’exploitation. Par exemple, une application peut obliger les utilisateurs à entrer un nom d’utilisateur et un mot de passe fournis par l’application ou à produire un certificat pour accéder à un site web.

Les applications utilisent des fonctions De gestion des informations d’identification pour inviter les utilisateurs à entrer des informations d’identification génériques définies par l’application, telles que le nom d’utilisateur, le certificat, le carte intelligent ou le mot de passe. Les informations entrées par l’utilisateur sont retournées à l’application à des fins d’authentification.

La gestion des informations d’identification fournit une gestion personnalisable du cache et un stockage à long terme pour les informations d’identification génériques. Les informations d’identification génériques peuvent être lues et écrites par les processus utilisateur.