Instructions pour la résolution des problèmes d'autorisation IIS

BizTalk Server utilise largement Microsoft Internet Information Services (IIS) pour la prise en charge des services Web et pour une utilisation avec les adaptateurs HTTP, SOAP et Windows SharePoint Services.

Avant de résoudre les problèmes d'autorisation IIS, il est utile de comprendre comment IIS implémente l'isolation des applications.

IIS fournit des fonctionnalités pour la création d'applications IIS en tant que processus hôte distincts exécutés dans leur propre espace mémoire. Une fois que vous avez créé un hôte d’application IIS, vous devez définir deux ensembles d’autorisations, l’identité du processus hôte d’application IIS et les droits d’accès utilisateur de l’hôte d’application IIS. Lorsque vous résolvez les problèmes d'autorisation IIS, vous devez étudier ces deux ensembles d'autorisations.

Cette rubrique explique comment définir l’identité de processus et les droits d’accès utilisateur pour un processus hôte d’application IIS et fournit des instructions générales pour résoudre les problèmes d’autorisations IIS.

Définition de l'identité du processus hôte d'application IIS

La configuration d'un processus hôte d'application IIS varie en fonction du niveau des fonctionnalités servies par le processus hôte. Par exemple, un processus hôte d’application IIS qui sert uniquement des pages HTML statiques est généralement configuré différemment d’un processus hôte d’application IIS qui sert des pages ASP ou des applications ASP.NET.

La configuration d'un processus hôte d'application IIS dépend également de la version d'IIS hébergeant l'application. L'identité du processus hôte des applications s'exécutant sur Windows Server 2008 (IIS 7.0) est régie par l'identité du pool d'applications associé à l'application.

Définition de l'identité du processus IIS pour IIS 7.0 sur Windows Server 2008 ou Windows Vista

1. Cliquez sur Démarrer, puis sur Tous les programmes, puis sur Gestionnaire des services Internet (IIS) 7.

2. Dans le Gestionnaire des services Internet (IIS), développez <nom> de l’ordinateur(compte d’utilisateur), puis cliquez sur Pools d’applications.

3. Cliquez avec le bouton droit sur un pool d’applications , puis cliquez sur Afficher les applications pour afficher les applications associées au pool d’applications.

4. Cliquez avec le bouton droit sur un pool d’applications, puis cliquez sur Paramètres avancés pour afficher la boîte de dialogue Paramètres avancés du pool d’applications.

5. Modifiez l’identité du pool d’applications en cliquant sur le bouton de sélection (...) en regard de Identité sous la section Modèle de processus de la boîte de dialogue Paramètres avancés .

Définition des droits d'accès utilisateur pour le serveur IIS

Tandis que l'identité du processus détermine le contexte de sécurité disponible dans le processus hôte d'application IIS en cours d'exécution, les autorisations d'accès utilisateur régissent le contexte de sécurité du compte qui accède réellement aux pages Web servies. Les autorisations doivent être définies de façon appropriée pour les deux contextes, afin d'éviter toute erreur.

IIS 7.0 prend en charge les méthodes d’authentification utilisateur suivantes :

• Accès anonyme : Permet aux utilisateurs d’établir une connexion anonyme. Le serveur IIS connecte l'utilisateur avec le compte invité spécifié.

• emprunt d’identité ASP.NET Permet à une application de s’exécuter dans l’un des deux contextes différents : soit en tant qu’utilisateur authentifié par IIS, soit en tant que compte arbitraire que vous configurez.

• Authentification de base : Transmet les mots de passe sur le réseau en texte clair, sous une forme non chiffrée.

• Authentification Digest : Fonctionne uniquement avec les comptes Active Directory, en envoyant une valeur de hachage sur le réseau, plutôt qu’un mot de passe en texte clair. L'authentification Digest traverse les serveurs proxy et les pare-feu et est disponible dans les répertoires WebDAV (Web Distributed Authoring and Versioning). L'utilisation de l'authentification Digest nécessite que l'authentification anonyme soit au préalable désactivée.

• Authentification par formulaire Prend en charge l’authentification pour les sites ou applications à trafic élevé sur les serveurs publics. L'authentification par formulaires vous permet de gérer l'inscription et l'authentification clientes au niveau de l'application, plutôt que de s'appuyer sur des mécanismes d'authentification fournis par le système d'exploitation.

• Authentification Windows : utilise l’authentification sur votre domaine Windows pour authentifier les connexions client.

Pour définir les droits d'accès utilisateur d'un répertoire virtuel dans IIS 7.0

1. Dans le Gestionnaire des services Internet (IIS), développez <nom> de l’ordinateur, Sites et Site web par défaut dans le volet Connexions.

2. Cliquez pour sélectionner le répertoire virtuel, puis cliquez sur la vue Fonctionnalités en bas du volet Espace de travail pour répertorier les fonctionnalités configurables pour le répertoire virtuel.

3. Double-cliquez sur la fonctionnalité Authentification dans le volet Espace de travail pour répertorier les méthodes d’authentification activées pour le répertoire virtuel.

4. Cliquez pour sélectionner la méthode d’authentification que vous souhaitez activer ou désactiver, puis cliquez sur Désactiver ou Activer dans le volet Actions du Gestionnaire des services Internet.

   Notes

   Si l’option Activer l’accès anonyme est activée, IIS définit les droits d’accès utilisateur comme identité d’utilisateur anonyme configurée avant de définir les droits d’accès utilisateur avec d’autres méthodes d’authentification activées.

   Pour configurer l’identité de l’utilisateur anonyme, cliquez avec le bouton droit sur la méthode d’authentification anonyme , puis cliquez sur Modifier pour afficher la boîte de dialogue Modifier les informations d’identification d’authentification anonyme .

Recommandations générales pour la résolution des problèmes d'autorisation IIS

Pour résoudre les problèmes d'autorisation IIS, procédez comme indiqué ci-dessous :

1. Recherchez les erreurs dans le journal d'application de l'ordinateur exécutant le serveur IIS.

2. Suivez les étapes décrites dans IIS 7.0 : Configuration du suivi des demandes ayant échoué dans IIS 7.0 pour résoudre les problèmes d’autorisations sur les ordinateurs IIS 7.0.

3. Recherchez les erreurs HTTP 401 dans les fichiers journaux IIS du serveur IIS.

   Les fichiers journaux IIS d'un ordinateur exécutant Windows Server 2008 ou Windows Vista se trouvent par défaut dans le répertoire suivant :

   C:\inetpub\logs\LogFiles\W3SVC1\

   • Si le fichier journal IIS d’un ordinateur IIS 7.0 contient des erreurs HTTP 401, suivez les étapes décrites dans l’article de la Base de connaissances Microsoft 943891, « Les codes HTTP status dans IIS 7.0 » disponibles sur https://support.microsoft.com/kb/943891 pour déterminer le code de sous-état et résoudre le problème d’autorisations en fonction du code status.

   • Vérifiez la valeur du champ cs-username associé à l’erreur HTTP 401. Ce champ contient le nom de l'utilisateur authentifié ayant accédé au serveur IIS. Le compte d'utilisateur anonyme est représenté par un trait d'union (-) dans ce champ. Vérifiez que ce compte dispose des autorisations associées aux ressources appropriées.

4. Vérifiez que les informations d'identification de l'identité du processus utilisées par le processus hôte d'application IIS sont correctement définies et que le compte dispose des autorisations appropriées. Si le compte utilisé pour l'identité du processus ne dispose pas des autorisations suffisantes, vous devez soit changer de compte, soit accorder au compte utilisé les autorisations appropriées.

5. Utilisez les utilitaires RegMon et FileMon décrits dans Outils et utilitaires à utiliser pour la résolution des problèmes afin de diagnostiquer les problèmes d’autorisations d’accès aux fichiers ou au Registre.

Voir aussi

Résolution des problèmes BizTalk Server autorisationsIIS 7.0 : Configuration de l’authentification dans IIS 7.0