認證種類
認證管理 API 適用於兩種認證:
網域認證
作系統會使用網域認證,並由本地安全機構 (LSA) 驗證。 一般而言,註冊的安全性套件,例如 Kerberos 通訊協定時,會為使用者建立網域認證,以驗證使用者所提供的登入數據。 登入認證是由作系統快取,因此單一登錄可讓使用者存取許多不同的資源。 例如,網路連線可能會以透明方式進行,而且可以根據使用者的快取網域認證來授與受保護系統物件的存取權。
認證管理功能提供一種機制,可讓應用程式在使用者登入之後提示使用者輸入網域認證,並讓作系統驗證使用者提供的資訊。
網域認證的秘密部分,密碼會受到作系統的保護。 只有使用 LSA 執行同進程的程式代碼才能讀取和寫入網域認證。 應用程式僅限於撰寫網域認證。
Windows 支援擴充智慧卡和憑證認證的使用。 為了協助確保安全性,認證管理 API 絕不會將智慧卡 PIN 儲存在電腦上。
一般認證
一般認證是由直接管理授權和安全性的應用程式所定義及驗證,而不是將這些工作委派給作系統。 例如,應用程式可能需要使用者輸入應用程式所提供的使用者名稱和密碼,或產生 憑證, 存取網站。
應用程式會使用認證管理功能來提示使用者輸入應用程式定義、泛型、認證資訊,例如使用者名稱、憑證、智慧卡或密碼。 使用者輸入的資訊會傳回給應用程式進行驗證。
認證管理可為一般認證提供可自定義的快取管理和長期記憶體。 一般認證可由用戶進程讀取和寫入。