Mechanizm zarządzania poświadczeniami w systemie Windows XP obejmuje trzy składniki: interfejs monitowania o poświadczenia, przechowywane nazwy użytkownika i hasła, oraz pierścień kluczy. Razem składniki te tworzą kompletną infrastrukturę logowania.
Monity o poświadczenia
Interfejs monitowania o poświadczenia jest wyświetlany przez aplikację w
przypadku, gdy z pakietu uwierzytelniającego zwracany jest błąd (dotyczy
jedynie aplikacji, które współpracują z tym interfejsem).
W oknie dialogowym można wprowadzić nazwę użytkownika i hasło lub też w obiekcie Mój magazyn można wybrać certyfikat X.509. Aplikacja może również powodować wyświetlanie pola wyboru Zapamiętaj moje hasło, które umożliwia zapisanie poświadczenia do późniejszego wykorzystania.
Poświadczenia
mogą być zapisywane tylko w przypadku zintegrowanych pakietów
uwierzytelniających (na przykład protokół Kerberos, NTLM, SSL itd.). W
przypadku podstawowego uwierzytelniania interfejs monitowania o poświadczenia
będzie w dalszym ciągu wyświetlany, ale nie będzie dostępna opcja zapisania
poświadczenia. Przykład interfejsu monitowania o poświadczenia pokazano na
rysunku.
Przechowywane nazwy użytkowników i hasła
Przechowywane nazwy użytkowników i hasła to bezpieczny przenośny magazyn, w
którym przechowywane są zapisane poświadczenia użytkownika. Dostęp do
poświadczeń jest kontrolowany za pośrednictwem lokalnych ustawień zabezpieczeń
(Local Security Settings, LSA). Poświadczenia są przechowywane na podstawie
informacji docelowych zwracanych z zasobu.
W przypadku zapisywania poświadczenia poprzez zaznaczenie pola wyboru Zapamiętaj moje hasło w interfejsie monitowania o poświadczenia zostanie ono zapisane w najbardziej ogólnej formie, jaka będzie możliwa. Jeśli na przykład użytkownik uzyskiwał dostęp do określonego serwera w domenie, poświadczenie może zostać zapisane jako *.domain.com.pl. Zapisanie innego poświadczenia dla innego serwera w tej domenie nie spowodowałoby zastąpienia tego poświadczenia. Zostałoby ono zapisane z uwzględnieniem bardziej szczegółowych informacji docelowych.
Jeśli dostęp do zasoby jest realizowany za pośrednictwem zintegrowanego pakietu uwierzytelniającego, pakiet ten będzie przeszukiwał nazwy użytkowników i hasła w celu odnalezienia najbardziej szczegółowych poświadczeń odpowiadających informacjom docelowym zwróconym przez zasób. Jeśli poświadczenie takie zostanie odnalezione, będzie użyte przez pakiet uwierzytelniający bez żadnej interwencji ze strony użytkownika. Jeśli poświadczenie nie zostanie odnalezione, do aplikacji próbującej uzyskać dostęp do zasobu zostanie zwrócony komunikat o błędzie uwierzytelniania.
Uwaga: Aplikacja uzyskująca dostęp do zasobu nie musi współpracować z interfejsem monitowania o poświadczenia, aby zapewnić płynne uwierzytelnianie. Jeśli aplikacja korzysta ze zintegrowanego pakietu uwierzytelniającego, pakiet będzie próbował uzyskać informacje o poświadczeniu. Prawdę mówiąc, jeśli poświadczenie zostało określone, tylko pakiet uwierzytelniający może je pobrać.
Przykłady interfejsów zarządzania hasłem pokazano na rysunkach.
Pierścień kluczy
Pierścień kluczy umożliwia ręczne zarządzanie poświadczeniami znajdującymi się
w przechowywanych nazwach użytkownika i hasłach. Dostęp do pierścienia kluczy
jest realizowany za pośrednictwem kont użytkownika zdefiniowanych za
pośrednictwem apletu Panel sterowania.
W pierścieniu kluczy widoczna jest lista wszystkich poświadczeń znajdujących się aktualnie w przechowywanych nazwach użytkowników i hasłach. Po podświetleniu poświadczenia u dołu pojawia się pole opisu, w którym wyświetlany jest krótki opis poświadczenia. Na liście poświadczeń można dodać nowe poświadczenie lub zmodyfikować albo usunąć istniejące poświadczenie.
-
Dodawanie poświadczenia. Zostanie wyświetlony interfejsu podobny do interfejsu monitowania o poświadczenia, w którym należy określić informacje docelowe. Informacje te mogą zawierać symbole wieloznaczne w postaci gwiazdki “*”.
-
Edycja poświadczenia. Edycja poświadczenia umożliwia zmianę informacji docelowych lub samego poświadczenia. Jeśli jest to poświadczenie zawarte w nazwie użytkownika i/lub haśle, z tego poziomu można zmienić hasło na serwerze. Użytkownik nie będzie mógł użyć interfejsu monitowania o poświadczenia w celu zmodyfikowania poświadczeń, które zostały utworzone przez aplikację. Nie można na przykład modyfikować poświadczeń dla paszportu.
-
Usuwanie poświadczenia. Można usunąć dowolne poświadczenie.
Funkcja zapisywania poświadczeń znajdujących się w przechowywanych nazwach użytkowników i hasłach może być włączana i wyłączana za pośrednictwem mechanizmu zasad grup.
Aby z mechanizmu tego mogli korzystać inni programiści, interfejs API monitowania o poświadczenia oraz interfejs API dla samych poświadczeń są udokumentowane w zestawie opracowania oprogramowania platformy (Software Development Kit, SDK).
341f31d.png)