Penyedia Kredensial di Windows
Penyedia kredensial adalah mekanisme utama untuk autentikasi pengguna. Mereka saat ini adalah satu-satunya metode bagi pengguna untuk membuktikan identitas mereka yang diperlukan untuk masuk dan skenario autentikasi sistem lainnya. Sejak Windows 10 dan pengenalan Microsoft Passport, penyedia kredensial telah lebih penting dari sebelumnya. Mereka digunakan untuk autentikasi ke dalam aplikasi, situs web, dan banyak lagi.
Microsoft menyediakan berbagai penyedia kredensial sebagai bagian dari Windows, seperti kata sandi, PIN, smartcard, dan Windows Hello (Pengenalan Sidik Jari, Wajah, dan Iris). Ini disebut sebagai "penyedia kredensial sistem" dalam artikel ini. OEM, Perusahaan, dan entitas lain dapat menulis penyedia info masuk mereka sendiri dan mengintegrasikannya dengan mudah ke Windows. Ini disebut sebagai "penyedia kredensial pihak ketiga" dalam artikel ini. Perhatikan bahwa penyedia kredensial V1 dan V2 didukung di Windows. Penting bagi pembuat dan manajer penyedia kredensial pihak ketiga untuk memahami rekomendasi ini.
Penyedia kredensial sistem
Sangat disarankan agar selalu ada setidaknya satu penyedia kredensial sistem yang tersedia untuk setiap pengguna di perangkat selain penyedia kredensial pihak ketiga. Selain itu, selama penyiapan penyedia kredensial pihak ketiga, setiap pengguna di perangkat harus diminta untuk mengonfigurasi setidaknya satu penyedia kredensial sistem (jika tidak ada opsi pemulihan lain yang tersedia; lihat Skenario A, di bawah).
Skenario A
Pengguna akun lokal telah menyiapkan penyedia kredensial pihak ketiga dan secara teratur menggunakannya untuk masuk ke perangkat. Suatu hari, pengguna menginstal beberapa pembaruan ke perangkat yang merusak penyedia kredensial pihak ketiga, dan pengguna tidak menyadari perubahan ini sebelum memulai ulang komputer.
Pada mulai ulang berikutnya, pengguna berada di layar masuk dan tidak dapat menggunakan penyedia kredensial pihak ketiga yang diharapkan. Jika pengguna telah menyiapkan penyedia kredensial sistem, pengguna akan dapat masuk ke mesin menggunakannya. Jika tidak, pengguna tidak memiliki cara untuk memulihkan akun di komputer.
Skenario B
Pengguna akun Microsoft Account (MSA), Active Directory (AD), atau Microsoft Entra ID telah menyiapkan penyedia kredensial pihak ketiga dan secara teratur menggunakannya untuk masuk ke perangkat. Suatu hari, pengguna menginstal beberapa pembaruan ke perangkat yang merusak penyedia kredensial pihak ketiga, dan pengguna tidak menyadari perubahan ini sebelum memulai ulang komputer.
Pada mulai ulang berikutnya, pengguna berada di layar masuk dan tidak dapat menggunakan penyedia kredensial pihak ketiga yang diharapkan. Jika pengguna telah mengonfigurasi penyedia kredensial sistem, pengguna akan dapat masuk ke komputer menggunakannya. Atau, jika penyedia kredensial kata sandi sistem tersedia, pengguna dapat meminta/mengatur ulang kata sandi dari jarak jauh dan menggunakannya untuk masuk ke komputer. Jika tidak ada opsi yang tersedia, pengguna tidak memiliki cara untuk memulihkan akun di komputer.
Kesimpulan
Singkatnya, penonaktifan semua penyedia kredensial sistem pada perangkat harus disarankan. Meskipun penyedia kredensial pihak ketiga dapat memenuhi persyaratan autentikasi tambahan untuk grup pengguna tertentu, sangat penting untuk memastikan bahwa pengguna selalu dapat mendapatkan kembali akses ke komputer mereka ketika perubahan yang melanggar terjadi. Penyedia kredensial sistem memberikan jaminan ini.
Penyedia kredensial kustom
Kerangka kerja penyedia info masuk Windows memungkinkan pengembang untuk membuat penyedia kredensial kustom. Ketika Winlogon ingin mengumpulkan kredensial, UI Masuk meminta setiap penyedia kredensial untuk jumlah kredensial yang ingin dijumlahkan. Setelah semua penyedia menghitung petak peta mereka, UI Masuk menampilkannya kepada pengguna. Pengguna kemudian berinteraksi dengan petak peta untuk menyediakan kredensial yang diperlukan. UI Masuk mengirimkan kredensial ini untuk autentikasi. Penyedia kredensial juga dapat digunakan oleh UI Kredensial saat kredensial diperlukan. Lihat CREDENTIAL_PROVIDER_USAGE_SCENARIO untuk daftar skenario di mana penyedia kredensial dapat didukung.
Berkat sistem ini, jauh lebih mudah untuk membuat penyedia kredensial daripada secara historis. Sebagian besar pekerjaan ditangani oleh kombinasi Winlogon, UI Masuk, dan Antarmuka Pengguna Kredensial. Untuk melakukannya, Anda harus membuat implementasi ICredentialProvider dan ICredentialProviderCredential Anda sendiri. Jika Anda menerapkan penyedia kredensial V2, yang direkomendasikan, Anda juga perlu menerapkan ICredentialProviderCredential2.
Penting untuk dicatat bahwa penyedia info masuk bukan mekanisme penegakan. Mereka digunakan untuk mengumpulkan dan menserialisasikan kredensial, mengirimkannya untuk otorisasi. Otoritas lokal dan paket autentikasi akan menangani dan penegakan keamanan yang diperlukan.
Dengan menggabungkan penyedia kredensial dengan perangkat keras yang didukung, Anda dapat memperluas Windows untuk mendukung masuk dengan informasi biometrik, kata sandi, PIN, sertifikat Kartu Pintar, atau paket autentikasi kustom apa pun yang Anda pilih untuk dibuat. Anda juga dapat menyesuaikan pengalaman masuk untuk pengguna dengan berbagai cara. Misalnya, saat UI Masuk meminta penyedia kredensial Anda untuk petak kredensial, Anda dapat menentukan petak peta default untuk memberikan pengalaman yang disesuaikan bagi pengguna. Penyedia kredensial bahkan dapat dirancang untuk mendukung akses menyeluruh (SSO), mengautentikasi pengguna ke titik akses yang aman serta masuk mesin.
Penyedia kredensial terdaftar di komputer Windows dan bertanggung jawab atas hal berikut.
- Menjelaskan informasi kredensial yang diperlukan untuk autentikasi.
- Menangani komunikasi dan logika dengan otoritas autentikasi eksternal apa pun.
- Mengemas kredensial untuk masuk interaktif dan jaringan.
Tip
Ingatlah bahwa beberapa penyedia kredensial dapat diinstal pada satu komputer.
Membungkus penyedia kredensial
Membungkus penyedia kredensial sistem dapat dilakukan untuk menambahkan fungsionalitas ke penyedia kredensial yang tidak didukung secara asli. Ini tidak disarankan karena dapat menyebabkan perilaku bermasalah. Perubahan dapat dilakukan pada penyedia info masuk yang mungkin bertentangan dengan pembungkus, menyebabkan pengalaman pengguna yang buruk atau bahkan mencegah pengguna mengakses perangkat mereka. Ini terutama berlaku dengan irama pembaruan Windows yang sering.
Jika fungsionalitas dalam penyedia kredensial diperlukan yang tidak disertakan secara asli, jalur yang direkomendasikan membuat penyedia kredensial kustom. Ini adalah pendekatan yang lebih stabil yang tidak memiliki dependensi pada penyedia sistem.