Fournisseur de revendications
Dernière modification : mercredi 14 avril 2010
S’applique à : SharePoint Foundation 2010
Fournisseur de revendications
Un fournisseur de revendications dans Microsoft SharePoint 2010 émet des revendications et les regroupe dans des jetons de sécurité, autrement dit, dans le jeton de l’utilisateur. Lorsqu’un utilisateur se connecte à Microsoft SharePoint Foundation 2010 ou à Microsoft SharePoint Server 2010, son jeton est validé, puis utilisé pour la connexion à SharePoint.
Un fournisseur de revendications dans SharePoint joue deux rôles : augmentation et sélection.
Notes
Pour des informations sur la façon de créer un fournisseur de revendications, voir Procédure : créer un fournisseur de revendications.
Augmentation des revendications
Dans le rôle d’augmentation, un fournisseur de revendications augmente un jeton d’utilisateur avec des revendications au cours de la connexion. L’augmentation des revendications permet à une application d’augmenter des revendications supplémentaires dans le jeton de l’utilisateur. Par exemple, avec la connexion basée sur Windows, le service d’annuaire Active Directory peut augmenter tous les groupes de sécurité d’un utilisateur dans le jeton Windows de l’utilisateur. Avec la connexion basée sur les revendications, une application de gestion de relation client (CRM, Customer Relationship Management) peut augmenter des rôles à partir d’une base de données CRM. Grâce à leur présence dans le jeton de l’utilisateur, ces revendications peuvent déterminer si les ressources sont autorisées. En d’autres termes, ces revendications sont utilisées pour déterminer si un utilisateur donné a accès à des ressources spécifiques.
Sélection des revendications
Dans le rôle de sélection, un fournisseur de revendications fournit les fonctionnalités de recensement, de résolution, de recherche et d’affichage convivial des revendications dans le sélecteur de personnes. La sélection des revendications permet à une application d’exposer des revendications dans le sélecteur de personnes, par exemple lors de la configuration de la sécurité d’un site SharePoint ou d’un service SharePoint.
Scénarios d’utilisation du fournisseur de revendications
Les fournisseurs de revendications permettent de résoudre des scénarios différents. Voici quelques exemples de scénarios que vous pouvez résoudre à l’aide de fournisseurs de revendications.
Liste, résolution et recherche
Microsoft SharePoint Server 2010 comprend des fournisseurs de revendications intégrés qui permettent d’activer les fonctionnalités de recensement, de résolution et de recherche des fournisseurs d’authentification intégrés. Parmi les exemples de fournisseurs d’authentification intégrés citons un émetteur de jeton Windows Active Directory, un émetteur de jeton d’authentification par formulaire et un émetteur de jeton SAML (Security Assertion Markup Language) approuvé, c’est-à-dire un Service d’émission de jeton de sécurité (STS).
Dans le cas d’un émetteur de jeton SAML approuvé, SharePoint Server 2010n’offre pas de fonctionnalité de recensement ou de recherche. Lorsqu’un utilisateur entre une valeur, SharePoint Server 2010 la résout toujours. Cela signifie que si vous entrez adam@contoso.com, le sélecteur de personnes accepte la valeur. En effet, aucune norme industrielle ne spécifie comment un STS procède à la résolution, à la mise en œuvre de la recherche ou au recensement des valeurs des revendications.
Les utilisateurs peuvent remplacer le fournisseur de revendications intégré pour mettre en œuvre des fonctionnalités de recherche, de résolution de noms et de recensement personnalisées. Ceci est très utile dans des scénarios tels que l’utilisation d’un émetteur de jeton SAML approuvé.
Revendications relatives aux utilisateurs authentifiés ou à tous les utilisateurs
SharePoint Server 2010 comprend certains fournisseurs de revendications intégrés spécifiques qui permettent de mettre en œuvre des concepts tels que le concept d’utilisateurs authentifiés. Ce procédé est également connu sous le nom de revendication Tous les utilisateurs. Ce scénario permet d’accorder des droits à tous les utilisateurs à partir d’un fournisseur d’authentification donné.
Notes
Un fournisseur d’authentification peut être un émetteur de jeton Windows Active Directory, d’authentification par formulaire ou SAML approuvé (c’est-à-dire, un STS).
SharePoint Server 2010 comprend également un fournisseur de revendications système qui ajoute certaines revendications internes utilisées par un service de taxonomie. Par exemple, il ajoute une identité de batterie de serveurs et un compte de pool d’applications.
Ajout de revendications à un jeton d’origine
Certains fournisseurs de revendications intégrés sont également utilisés pour ajouter les revendications issues du « jeton » d’origine. Le mot « jeton » est placé entre guillemets parce que certains fournisseurs d’authentification, tels que les fournisseurs d’authentification par formulaire (c’est-à-dire, les fournisseurs de rôles et d’appartenances ASP.NET), ne fournissent pas un jeton réel. Dans ce cas, songez à ce jeton d’un point de vue conceptuel.
Il peut être nécessaire d’ajouter des revendications au jeton de revendications d’origine d’un utilisateur. Dans ce scénario, un fournisseur de revendications peut s’avérer nécessaire. Par exemple, un fournisseur de revendications peut être nécessaire pour ajouter des rôles SAP au jeton de revendications d’origine d’un utilisateur.
Identité ne provenant pas du jeton d’origine
Supposons un scénario dans lequel votre système présente des exigences spécifiques en matière de sélection de personnes et de revendications de jeton. Dans ce scénario, vous connaissez l’identité de l’utilisateur en fonction de l’ID unique Microsoft .NET Passport (PUID) et de l’utilisateur d’origine. Toutefois, les informations relatives à l’utilisateur ne proviennent pas du jeton d’utilisateur d’origine, mais de votre service Active Directory personnalisé. Il existe également certains groupes Active Directory supplémentaires auxquels l’utilisateur peut appartenir et qui ne figurent pas dans le jeton d’utilisateur d’origine (émis par Windows Live ID). Dans ce scénario, vous pouvez créer un fournisseur de revendications en fonction des besoins spécifiques à votre système.