자격 증명 종류
자격 증명 관리 API는 다음 두 가지 종류의 자격 증명에서 작동합니다.
도메인 자격 증명
도메인 자격 증명은 운영 체제에서 사용되며 LSA(로컬 보안 기관)에서 인증합니다. 일반적으로 Kerberos 프로토콜과 같은 등록된 보안 패키지가 사용자가 제공하는 로그온 데이터를 인증할 때 사용자에 대해 도메인 자격 증명이 설정됩니다. 로그온 자격 증명은 운영 체제에서 캐시되므로 Single Sign-On은 사용자에게 다양한 리소스에 대한 액세스 권한을 부여합니다. 예를 들어 네트워크 연결은 투명하게 발생할 수 있으며, 사용자의 캐시된 도메인 자격 증명에 따라 보호된 시스템 개체에 대한 액세스 권한을 부여할 수 있습니다.
자격 증명 관리 함수는 애플리케이션이 사용자가 로그온한 후 사용자에게 도메인 자격 증명을 묻는 메시지를 표시하고 운영 체제가 사용자가 제공한 정보를 인증하도록 하는 메커니즘을 제공합니다.
도메인 자격 증명의 비밀 부분인 암호는 운영 체제에 의해 보호됩니다. LSA를 사용하여 in-process를 실행하는 코드만 도메인 자격 증명을 읽고 쓸 수 있습니다. 애플리케이션은 도메인 자격 증명 작성으로 제한됩니다.
Windows는 스마트 카드 및 인증서 자격 증명의 확장된 사용을 지원합니다. 보안을 보장하기 위해 자격 증명 관리 API는 스마트 카드 PIN을 컴퓨터에 저장하지 않습니다.
일반 자격 증명
일반 자격 증명은 이러한 작업을 운영 체제에 위임하는 대신 권한 부여 및 보안을 직접 관리하는 애플리케이션에 의해 정의되고 인증됩니다. 예를 들어 애플리케이션에서 사용자가 애플리케이션에서 제공하는 사용자 이름 및 암호를 입력하거나 웹 사이트에 액세스하기 위한 인증서 를 생성하도록 요구할 수 있습니다.
애플리케이션은 자격 증명 관리 함수를 사용하여 사용자에게 사용자 이름, 인증서, 스마트 카드 또는 암호와 같은 애플리케이션 정의, 일반 자격 증명 정보를 묻는 메시지를 표시합니다. 사용자가 입력한 정보는 인증을 위해 애플리케이션에 반환됩니다.
자격 증명 관리는 일반 자격 증명에 대한 사용자 지정 가능한 캐시 관리 및 장기 스토리지를 제공합니다. 일반 자격 증명은 사용자 프로세스에서 읽고 쓸 수 있습니다.