Tipos de credenciais
A API de Gerenciamento de Credenciais funciona com dois tipos de credenciais:
Credenciais do domínio
As credenciais de domínio são usadas pelo sistema operacional e autenticadas pela LSA (Autoridade de Segurança Local). Normalmente, as credenciais de domínio são estabelecidas para um usuário quando um pacote de segurança registrado, como o protocolo Kerberos, autentica os dados de logon fornecidos pelo usuário. As credenciais de logon são armazenadas em cache pelo sistema operacional para que um logon único dê ao usuário acesso a muitos recursos diferentes. Por exemplo, as conexões de rede podem ocorrer de forma transparente e o acesso a objetos do sistema protegidos pode ser concedido com base nas credenciais de domínio armazenadas em cache do usuário.
As funções de Gerenciamento de Credenciais fornecem um mecanismo para que os aplicativos solicitem credenciais de domínio a um usuário após o logon do usuário e que o sistema operacional autentique as informações fornecidas pelo usuário.
A parte secreta das credenciais de domínio, a senha, é protegida pelo sistema operacional. Somente o código em execução em processo com a LSA pode ler e gravar credenciais de domínio. Os aplicativos estão limitados à gravação de credenciais de domínio.
O Windows dá suporte ao uso expandido de credenciais de certificado e cartão inteligentes. Para ajudar a garantir a segurança, a API de Gerenciamento de Credenciais nunca armazena o PIN de cartão inteligente no computador.
Credenciais Genéricas
As credenciais genéricas são definidas e autenticadas por aplicativos que gerenciam a autorização e a segurança diretamente em vez de delegar essas tarefas ao sistema operacional. Por exemplo, um aplicativo pode exigir que os usuários insiram um nome de usuário e senha fornecidos pelo aplicativo ou produzam um certificado para acessar um site.
Os aplicativos usam funções de Gerenciamento de Credenciais para solicitar aos usuários informações de credenciais definidas pelo aplicativo, genéricas, como nome de usuário, certificado, cartão inteligente ou senha. As informações inseridas pelo usuário são retornadas ao aplicativo para autenticação.
O Gerenciamento de Credenciais fornece gerenciamento de cache personalizável e armazenamento de longo prazo para credenciais genéricas. Credenciais genéricas podem ser lidas e gravadas por processos do usuário.