Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Os provedores de credenciais são o mecanismo principal para autenticação do usuário. Atualmente, eles são o único método para que os usuários provem sua identidade, o que é necessário para o logon e outros cenários de autenticação do sistema. Desde o Windows 10 e a introdução do Microsoft Passport, os provedores de credenciais têm sido mais importantes do que nunca. Eles são usados para autenticação em aplicativos, sites e muito mais.
A Microsoft fornece uma variedade de provedores de credenciais como parte do Windows, como senha, PIN, cartão inteligente e Windows Hello (reconhecimento de impressão digital, face e íris). Eles são conhecidos como "provedores de credenciais do sistema" neste artigo. OEMs, Empresas e outras entidades podem escrever seus próprios provedores de credenciais e integrá-los facilmente ao Windows. Eles são conhecidos como "provedores de credenciais de terceiros" neste artigo. Observe que os provedores de credenciais V1 e V2 têm suporte no Windows. É importante que criadores e gerentes de provedores de credenciais de terceiros entendam essas recomendações.
Provedores de credenciais do sistema
É altamente recomendável que sempre haja pelo menos um provedor de credenciais do sistema disponível para cada usuário no dispositivo, além de quaisquer provedores de credenciais de terceiros. Além disso, durante a configuração do provedor de credenciais de terceiros, cada usuário no dispositivo deverá ser solicitado a configurar pelo menos um provedor de credenciais do sistema (se nenhuma outra opção de recuperação estiver disponível; consulte o Cenário A, abaixo).
Cenário A
Um usuário de conta local configurou um provedor de credenciais de terceiros e o usa regularmente para fazer logon no dispositivo. Um dia, o usuário instala alguma atualização no dispositivo que interrompe o provedor de credenciais de terceiros e o usuário não está ciente dessa alteração antes de reiniciar o computador.
Na próxima reinicialização, o usuário está na tela de logon e não consegue usar o provedor de credenciais de terceiros esperado. Se o usuário tiver configurado um provedor de credenciais do sistema, o usuário poderá fazer logon no computador usando-o. Caso contrário, o usuário não tem como recuperar a conta no computador.
Cenário B
Um usuário de conta da Microsoft (MSA), Active Directory (AD) ou da conta do Microsoft Entra ID configurou um provedor de credenciais de terceiros e o usa regularmente para fazer logon no dispositivo. Um dia, o usuário instala alguma atualização no dispositivo que interrompe o provedor de credenciais de terceiros e o usuário não está ciente dessa alteração antes de reiniciar o computador.
Na próxima reinicialização, o usuário está na tela de logon e não consegue usar o provedor de credenciais de terceiros esperado. Se o usuário tiver configurado um provedor de credenciais do sistema, o usuário poderá fazer logon no computador usando-o. Como alternativa, se o provedor de credenciais de senha do sistema estiver disponível, o usuário poderá solicitar/redefinir remotamente a senha e usá-la para fazer logon no computador. Se nenhuma das opções estiver disponível, o usuário não terá como recuperar a conta no computador.
Conclusão
Em resumo, a desabilitação de todos os provedores de credenciais do sistema em um dispositivo deve ser desencorajada. Embora provedores de credenciais de terceiros possam atender a requisitos de autenticação adicionais para determinados grupos de usuários, é muito importante garantir que o usuário sempre possa recuperar o acesso ao computador quando ocorrer uma alteração significativa. Os provedores de credenciais do sistema fornecem essa garantia.
Provedores de credenciais personalizadas
A estrutura do provedor de credenciais do Windows permite que os desenvolvedores criem provedores de credenciais personalizados. Quando Winlogon deseja coletar credenciais, a interface do usuário de logon consulta cada provedor de credenciais pelo número de credenciais que deseja enumerar. Depois que todos os provedores enumeraram seus blocos, a interface do usuário do Logon os exibe para o usuário. Em seguida, o usuário interage com um bloco para fornecer as credenciais necessárias. A interface do usuário do Logon envia essas credenciais para autenticação. Os provedores de credenciais também podem ser usados pela interface do usuário da credencial quando as credenciais são necessárias. Consulte CREDENTIAL_PROVIDER_USAGE_SCENARIO para obter uma lista de cenários em que um provedor de credenciais pode ter suporte.
Graças a esse sistema, é muito mais fácil criar um provedor de credenciais do que historicamente. Grande parte do trabalho é tratado pela combinação de winlogon, a interface do usuário de logon e a interface do usuário da credencial. Para fazer isso, você precisará criar sua própria implementação de ICredentialProvider e ICredentialProviderCredential. Se você estiver implementando um provedor de credenciais V2, o que é recomendado, você também precisará implementar ICredentialProviderCredential2.
É importante observar que os provedores de credenciais não são mecanismos de imposição. Eles são usados para coletar e serializar credenciais, enviando-as para autorização. A autoridade local e os pacotes de autenticação manipularão e qualquer imposição de segurança necessária.
Combinando provedores de credenciais com hardware com suporte, você pode estender o Windows para dar suporte ao logon com informações biométricas, senhas, PINs, certificados de Cartão Inteligente ou qualquer pacote de autenticação personalizado que você escolher criar. Você também pode personalizar a experiência de logon para o usuário de várias maneiras. Por exemplo, quando a interface do usuário de logon consulta seu provedor de credenciais para os blocos de credencial, você pode especificar um bloco padrão para fornecer uma experiência personalizada para um usuário. Os provedores de credenciais podem até mesmo ser projetados para dar suporte ao SSO (logon único), autenticando usuários em um ponto de acesso seguro, bem como logon do computador.
Os provedores de credenciais são registrados em um computador Windows e são responsáveis pelo seguinte.
- Descrevendo as informações de credencial necessárias para autenticação.
- Tratando a comunicação e a lógica com quaisquer autoridades de autenticação externas.
- Empacotando as credenciais para logon interativo e de rede.
Ponta
Lembre-se de que vários provedores de credenciais podem ser instalados em um único computador.
Encapsulando provedores de credenciais
Encapsular um provedor de credenciais do sistema pode ser feito para adicionar funcionalidade a esse provedor de credenciais que não tem suporte nativo. Isso não é recomendado porque pode levar a um comportamento problemático. Alterações podem ser feitas no provedor de credenciais que podem entrar em conflito com o wrapper, causando uma experiência ruim do usuário ou até mesmo impedindo o usuário de acessar seu dispositivo. Isso é especialmente verdadeiro com a cadência de atualização frequente do Windows.
Se a funcionalidade em um provedor de credenciais for necessária que não seja incluída nativamente, o caminho recomendado será criar um provedor de credenciais personalizado. Essa é uma abordagem mais estável que não tem dependências nos provedores do sistema.