Zarządzanie poświadczeniami

Zarządzanie poświadczeniami

Autor: Microsoft

Opublikowano: 4/7/2006, 12:00 AM

Liczba odsłon: 44978

Mechanizm zarządzania poświadczeniami w systemie Windows XP obejmuje trzy składniki: interfejs monitowania o poświadczenia, przechowywane nazwy użytkownika i hasła, oraz pierścień kluczy. Razem składniki te tworzą kompletną infrastrukturę logowania.

Monity o poświadczenia
Interfejs monitowania o poświadczenia jest wyświetlany przez aplikację w przypadku, gdy z pakietu uwierzytelniającego zwracany jest błąd (dotyczy jedynie aplikacji, które współpracują z tym interfejsem).

W oknie dialogowym można wprowadzić nazwę użytkownika i hasło lub też w obiekcie Mój magazyn można wybrać certyfikat X.509. Aplikacja może również powodować wyświetlanie pola wyboru Zapamiętaj moje hasło, które umożliwia zapisanie poświadczenia do późniejszego wykorzystania.

Interfejs monitowania o poświadczeniaPoświadczenia mogą być zapisywane tylko w przypadku zintegrowanych pakietów uwierzytelniających (na przykład protokół Kerberos, NTLM, SSL itd.). W przypadku podstawowego uwierzytelniania interfejs monitowania o poświadczenia będzie w dalszym ciągu wyświetlany, ale nie będzie dostępna opcja zapisania poświadczenia. Przykład interfejsu monitowania o poświadczenia pokazano na rysunku.

Przechowywane nazwy użytkowników i hasła
Przechowywane nazwy użytkowników i hasła to bezpieczny przenośny magazyn, w którym przechowywane są zapisane poświadczenia użytkownika. Dostęp do poświadczeń jest kontrolowany za pośrednictwem lokalnych ustawień zabezpieczeń (Local Security Settings, LSA). Poświadczenia są przechowywane na podstawie informacji docelowych zwracanych z zasobu.

W przypadku zapisywania poświadczenia poprzez zaznaczenie pola wyboru Zapamiętaj moje hasło w interfejsie monitowania o poświadczenia zostanie ono zapisane w najbardziej ogólnej formie, jaka będzie możliwa. Jeśli na przykład użytkownik uzyskiwał dostęp do określonego serwera w domenie, poświadczenie może zostać zapisane jako *.domain.com.pl. Zapisanie innego poświadczenia dla innego serwera w tej domenie nie spowodowałoby zastąpienia tego poświadczenia. Zostałoby ono zapisane z uwzględnieniem bardziej szczegółowych informacji docelowych.

Jeśli dostęp do zasoby jest realizowany za pośrednictwem zintegrowanego pakietu uwierzytelniającego, pakiet ten będzie przeszukiwał nazwy użytkowników i hasła w celu odnalezienia najbardziej szczegółowych poświadczeń odpowiadających informacjom docelowym zwróconym przez zasób. Jeśli poświadczenie takie zostanie odnalezione, będzie użyte przez pakiet uwierzytelniający bez żadnej interwencji ze strony użytkownika. Jeśli poświadczenie nie zostanie odnalezione, do aplikacji próbującej uzyskać dostęp do zasobu zostanie zwrócony komunikat o błędzie uwierzytelniania.

Uwaga: Aplikacja uzyskująca dostęp do zasobu nie musi współpracować z interfejsem monitowania o poświadczenia, aby zapewnić płynne uwierzytelnianie. Jeśli aplikacja korzysta ze zintegrowanego pakietu uwierzytelniającego, pakiet będzie próbował uzyskać informacje o poświadczeniu. Prawdę mówiąc, jeśli poświadczenie zostało określone, tylko pakiet uwierzytelniający może je pobrać.

Przykłady interfejsów zarządzania hasłem pokazano na rysunkach.

Klasyczny interfejs zarządzania hasłami (komputer oparty na systemie Windows XP Professional funkcjonujący w domenie)

Przyjazny interfejs zarządzania hasłami (komputer oparty na systemie Windows XP Home Edition i Windows XP Professional funkcjonujący w grupie roboczej)

Przyjazny interfejs zarządzania hasłami (komputer oparty na systemie Windows XP Home Edition i Windows XP Professional funkcjonujący w grupie roboczej)

Pierścień kluczy
Pierścień kluczy umożliwia ręczne zarządzanie poświadczeniami znajdującymi się w przechowywanych nazwach użytkownika i hasłach. Dostęp do pierścienia kluczy jest realizowany za pośrednictwem kont użytkownika zdefiniowanych za pośrednictwem apletu Panel sterowania.

W pierścieniu kluczy widoczna jest lista wszystkich poświadczeń znajdujących się aktualnie w przechowywanych nazwach użytkowników i hasłach. Po podświetleniu poświadczenia u dołu pojawia się pole opisu, w którym wyświetlany jest krótki opis poświadczenia. Na liście poświadczeń można dodać nowe poświadczenie lub zmodyfikować albo usunąć istniejące poświadczenie.

  • Dodawanie poświadczenia. Zostanie wyświetlony interfejsu podobny do interfejsu monitowania o poświadczenia, w którym należy określić informacje docelowe. Informacje te mogą zawierać symbole wieloznaczne w postaci gwiazdki “*”.

  • Edycja poświadczenia. Edycja poświadczenia umożliwia zmianę informacji docelowych lub samego poświadczenia. Jeśli jest to poświadczenie zawarte w nazwie użytkownika i/lub haśle, z tego poziomu można zmienić hasło na serwerze. Użytkownik nie będzie mógł użyć interfejsu monitowania o poświadczenia w celu zmodyfikowania poświadczeń, które zostały utworzone przez aplikację. Nie można na przykład modyfikować poświadczeń dla paszportu.

  • Usuwanie poświadczenia. Można usunąć dowolne poświadczenie.

Funkcja zapisywania poświadczeń znajdujących się w przechowywanych nazwach użytkowników i hasłach może być włączana i wyłączana za pośrednictwem mechanizmu zasad grup.

Aby z mechanizmu tego mogli korzystać inni programiści, interfejs API monitowania o poświadczenia oraz interfejs API dla samych poświadczeń są udokumentowane w zestawie opracowania oprogramowania platformy (Software Development Kit, SDK).