Partager via


Planifier des méthodes d’authentification (Office SharePoint Server)

Mise à jour : 2009-04-23

Dans cet article :

  • À propos de l’authentification

  • Méthodes d’authentification prises en charge

  • Configurer l’authentification

  • Planifier l’authentification pour l’analyse du contenu

  • Planification des zones pour votre conception d’authentification

  • Choisir les méthodes d’authentification autorisées dans votre environnement

  • Feuille

Cet article décrit les méthodes d’authentification prises en charge par Microsoft Office SharePoint Server 2007. Après avoir lu cet article, vous pourrez :

  • comprendre de quelle manière l’authentification est implémentée dans Office SharePoint Server 2007 ;

  • identifier les méthodes d’authentification qui conviennent à votre environnement.

À propos de l’authentification

L’authentification est le processus de validation de l’identité d’un utilisateur. Une fois l’identité d’un utilisateur validée, le processus d’autorisation détermine les sites, le contenu et d’autres fonctionnalités auxquels l’utilisateur a accès.

Dans Office SharePoint Server 2007, le processus d’authentification est géré par Internet Information Services (IIS). Une fois les utilisateurs authentifiés, les fonctionnalités de sécurité d’Office SharePoint Server 2007 exécutent le processus d’autorisation.

Pour plus d’informations sur l’implémentation du processus d’autorisation Office SharePoint Server 2007, voir Planifier la sécurité de site et de contenu (Office SharePoint Server).

La planification de l’authentification est importante non seulement pour protéger votre solution en validant l’identité des utilisateurs, mais aussi pour sécuriser les informations d’identification des utilisateurs sur le réseau.

Méthodes d’authentification prises en charge

Office SharePoint Server 2007 fournit un système d’authentification flexible et extensible, qui prend en charge l’authentification des systèmes de gestion des identités, basés ou non sur le système d’exploitation Microsoft Windows. Par l’intégration avec l’authentification enfichable ASP .NET, Office SharePoint Server 2007 prend en charge un large éventail de schémas d’authentification basée sur les formulaires. La prise en charge de l’authentification dans Office SharePoint Server 2007 permet une kyrielle de scénarios d’authentification, notamment grâce à :

  • des méthodes d’authentification Windows standard ;

  • l’utilisation d’une simple base de données de noms d’utilisateur et de mots de passe ;

  • une connexion directe au système de gestion des identités d’une organisation ;

  • l’utilisation d’au moins deux méthodes d’authentification pour accéder aux applications partenaires (par exemple, connexion au système de gestion des identités de votre société partenaire pour l’authentification de ses employés, tout en utilisant des méthodes d’authentification Windows pour authentifier vos employés internes) ;

  • la participation à des systèmes fédérés de gestion des identités.

Le tableau suivant répertorie les méthodes d’authentification prises en charge :

Méthode d’authentification Description Exemples

Authentification Windows

Les méthodes d’authentification Windows IIS standard sont prises en charge.

  • Anonyme

  • De base

  • Digest

  • Certificats

  • Kerberos (Windows intégrée)

  • NTLM (Windows intégrée)

Formulaires ASP.NET

Office SharePoint Server 2007 ajoute la prise en charge des systèmes de gestion des identités qui ne sont pas basés sur Windows en intégrant le système d’authentification par formulaires ASP.NET. L’authentification ASP.NET permet à Office SharePoint Server 2007 d’utiliser les systèmes de gestion des identités qui implémentent l’interface MembershipProvider. Il n’est pas nécessaire de réécrire les pages d’administration de sécurité ou de gérer les comptes de service d’annuaire Active Directory cachés.

  • LDAP (Lightweight Directory Access Protocol)

  • Base de données SQL ou autre

  • Autres solutions d’authentification par formulaires ASP.NET

Authentification unique Web

Office SharePoint Server 2007 prend en charge l’authentification fédérée par le biais de fournisseurs d’authentification unique Web. L’authentification unique Web permet l’authentification unique dans les environnements qui incluent des services exécutés sur des plateformes disparates. Il est inutile de gérer les comptes Active Directory distincts.

  • Services ADFS (Active Directory Federation Services)

  • Autres systèmes de gestion des identités

Authentification des comptes système

L’authentification par formulaires ASP.NET et l’authentification unique Web peuvent servir à authentifier uniquement les comptes d’utilisateurs. Les comptes de processus utilisés pour vous connecter à des logiciels de base de données Microsoft SQL Server et exécuter la batterie de serveurs Web doivent être des comptes Windows, même lorsque vous utilisez d’autres méthodes pour authentifier les utilisateurs.

Office SharePoint Server 2007 prend en charge l’authentification SQL Server et les comptes de processus de l’ordinateur local pour les batteries de serveurs qui n’exécutent pas Active Directory. Par exemple, vous pouvez implémenter des comptes locaux en utilisant des noms d’utilisateur et des mots de passe identiques sur tous les serveurs d’une batterie.

Configurer l’authentification

Bien que la configuration de l’authentification Windows soit un processus simple, la configuration de l’authentification pour qu’elle utilise des formulaires ASP.NET ou l’authentification unique Web nécessite plus de planification. Cette section présente un résumé du mode de configuration de l’authentification dans Office SharePoint Server 2007. Ces informations vous permettront de comprendre comment élaborer une stratégie d’authentification pour votre solution et déterminer qui de votre organisation doit être impliqué dans la planification de l’authentification.

Configurer l’authentification pour les applications Web SharePoint

L’authentification dans Office SharePoint Server 2007 est configurée au niveau de l’application Web SharePoint. Le diagramme suivant illustre une batterie de serveurs Windows SharePoint Services configurée pour héberger les sites de plusieurs sociétés. L’authentification est configurée séparément pour chaque société.

Hébergement de l’authentification pour deux sociétés différentes

Lorsque vous créez initialement ou étendez une application Web, vous disposez d’un nombre limité d’options d’authentification (Kerberos, NTLM et anonyme). Si vous utilisez l’une de ces méthodes, vous pouvez configurer l’authentification lorsque vous créez ou étendez l’application Web.

L’illustration suivante montre les choix d’authentification limités disponibles lorsque vous créez initialement ou étendez une application Web :

Paramètres d’authentification par défaut

Toutefois, si vous utilisez d’autres paramètres d’authentification, sélectionnez les options d’authentification par défaut et configurez l’authentification après avoir créé ou étendu l’application Web. (Pour ce faire, dans l’Administration centrale, sur la page Gestion des applications, dans la section Sécurité des applications, sélectionnez Fournisseurs d’authentification, puis cliquez sur la zone pour ouvrir la page Modifier l’authentification.) Les paramètres configurés sur cette page dépendent du type d’authentification sélectionné : Windows, par formulaires ou authentification unique Web.

L’illustration suivante montre la page Modifier l’authentification :

Page Modifier l’authentification

Selon les options d’authentification sélectionnée dans l’Administration centrale, une configuration supplémentaire peut être nécessaire. Le tableau suivant résume les étapes de configuration en fonction de la méthode d’authentification. Ce tableau indique également si des rôles spécialisés supplémentaires sont nécessaires en plus du rôle Administrateur SharePoint.

Méthode d’authentification Configuration supplémentaire Rôles spécialisés

Anonyme

Aucune

Aucun

De base

Aucune

Aucun

Digest

Configurez l’authentification Digest directement dans IIS.

Aucun

Certificats

  1. Sélectionnez l’authentification Windows dans l’Administration centrale.

  2. Configurez IIS pour l’authentification par certificat.

  3. Activez SSL (Secure Sockets Layer).

  4. Obtenez des certificats auprès d’une Autorité de certification (CA) et configurez-les.

Administrateur Windows Server 2003, pour obtenir des certificats et les configurer

NTLM (Windows intégrée)

Aucune

Aucun

Kerberos (Windows intégrée)

  1. Configurez l’application Web pour qu’elle utilise l’authentification Kerberos.

  2. Configurez un nom principal de service pour le compte d’utilisateur de domaine qui est utilisé pour l’identité du pool d’applications (compte de processus du pool d’applications).

  3. Enregistrez le nom principal de service du compte d’utilisateur de domaine dans Active Directory.

Administrateur IIS

Par formulaires

  1. Enregistrez le fournisseur d’appartenances dans le fichier Web.config de l’application Web SharePoint.

  2. Enregistrez le gestionnaire de rôles dans le fichier Web.config de l’application Web SharePoint (facultatif).

  3. Enregistrez le fournisseur d’appartenances dans le fichier Web.config du site Administration centrale.

  • Développeur ASP.NET

  • Administrateur du système de gestion des identités auquel vous vous connectez

Authentification unique Web

Outre les étapes de configuration requises pour l’authentification par formulaires ASP.NET, enregistrez un module HTTP pour le fournisseur d’authentification unique Web.

  • Développeur ASP.NET

  • Administrateur du système de gestion des identités auquel vous vous connectez

Se connecter aux systèmes de gestion des identités externes ou non basés sur Windows

Pour utiliser des formulaires ASP.NET ou l’authentification unique Web pour authentifier les utilisateurs par rapport à un système de gestion des identités non basé sur Windows ou externe, vous devez inscrire le fournisseur d’appartenances dans le fichier Web.config. En plus du fournisseur d’appartenances, vous pouvez aussi inscrire un gestionnaire de rôles. Office SharePoint Server 2007 utilise l’interface standard du gestionnaire de rôles ASP.NET pour collecter les informations de groupe sur l’utilisateur actuel. Chaque rôle ASP.NET est traité comme un groupe de domaines par le processus d’autorisation dans Office SharePoint Server 2007. Vous enregistrez les gestionnaires de rôles dans le fichier Web.config de la même façon que les fournisseurs d’appartenances pour l’authentification.

Si vous souhaitez gérer les appartenances des utilisateurs ou les rôles à partir du site Administration centrale, vous pouvez éventuellement inscrire le fournisseur d’appartenances et le gestionnaire de rôles dans le fichier Web.config du site Administration centrale (en plus de les inscrire dans le fichier Web.config de l’application Web qui héberge le contenu).

Assurez-vous que les noms du fournisseur d’appartenances et du gestionnaire de rôles inscrits dans le fichier Web.config sont identiques à ceux entrés sur la page Authentication.aspx du site Administration centrale. Si vous n’entrez pas le gestionnaire de rôles dans le fichier Web.config, le fournisseur par défaut spécifié dans le fichier machine.config peut être utilisé à la place.

Par exemple, la chaîne suivante dans un fichier Web.config spécifie un fournisseur d’appartenances SQL :

<membership defaultProvider="AspNetSqlMembershipProvider">

Pour plus d’informations sur l’utilisation de l’authentification par formulaires ASP.NET pour vous connecter à un fournisseur d’authentification SQL Server, voir Exemples d’authentification.

Enfin, si vous utilisez l’authentification unique Web pour vous connecter à un système externe de gestion des identités, vous devez également inscrire un module HTTP pour l’authentification unique Web. Un module HTTP est un assembly appelé à chaque demande faite à votre application. Les modules HTTP sont appelés dans le cadre du pipeline des demandes ASP.NET. Pour plus d’informations, voir Introduction aux modules HTTP (https://go.microsoft.com/fwlink/?linkid=77954&clcid=0x40C) .

L’intégration avec l’authentification par formulaires ASP.NET place des exigences supplémentaires sur le fournisseur d’authentification. Outre l’inscription des différents éléments dans le fichier Web.config, le fournisseur d’appartenances, le gestionnaire de rôles et le module HTTP doivent être programmés pour interagir avec Office SharePoint Server 2007 et les méthodes ASP.NET, comme indiqué dans le tableau suivant :

Catégorie Description

Fournisseur d’appartenances

Pour fonctionner avec Office SharePoint Server 2007, le fournisseur d’appartenances doit implémenter les méthodes suivantes :

  • GetUser (String)   Office SharePoint Server 2007 appelle cette méthode pour résoudre les noms d’utilisateur lors des invitations et pour obtenir le nom complet de l’utilisateur.

  • GetUserNameByEmail   Office SharePoint Server 2007 appelle cette méthode pour résoudre les noms d’utilisateur dans les invitations.

  • FindUsersByName, FindUsersByEmail   Office SharePoint Server 2007 appelle ces méthodes pour remplir le contrôle de sélection des utilisateurs sur la page Ajouter des utilisateurs. Si le fournisseur d’appartenances ne retourne pas d’utilisateurs, le sélecteur ne fonctionne pas et les administrateurs doivent taper le nom ou l’adresse électronique de l’utilisateur dans la zone de texte Ajouter un utilisateur.

Gestionnaire de rôles

Le gestionnaire de rôles doit implémenter les méthodes suivantes :

  • RoleExists   Office SharePoint Server 2007 appelle cette méthode lors des invitations pour vérifier l’existence d’un nom de rôle.

  • GetRolesForUser   Office SharePoint Server 2007 appelle cette méthode lors du contrôle d’accès pour recueillir les rôles de l’utilisateur actuel.

  • GetAllRoles   Office SharePoint Server 2007 appelle cette méthode pour remplir le sélecteur de groupes et de rôles. Si le fournisseur de rôles ne retourne pas de groupe ou de rôle, le sélecteur Office SharePoint Server 2007 ne fonctionne pas et l’administrateur doit taper le nom du rôle dans la zone de texte Ajouter un utilisateur.

Module HTTP

Le module HTTP doit gérer les événements suivants :

  • AuthenticateRequest   Cet événement est appelé lorsque ASP.NET est prêt à authentifier l’utilisateur. Le module d’authentification unique Web doit décompacter le cookie d’authentification de l’utilisateur et affecter à l’objet HttpContext.User l’identité de l’utilisateur actuel.

  • EndRequest    Il s’agit du dernier événement dans le pipeline ASP.NET. Cet événement est appelé juste avant de retourner le code au client. Le module d’authentification unique Web doit capturer les réponses 401 provenant de Office SharePoint Server 2007 et les transformer en redirection 302 pour l’authentification sur le serveur d’ouverture de session d’authentification unique Web.

Activation de l’accès anonyme

Vous pouvez activer l’accès anonyme pour une application Web en plus de la configuration d’une méthode d’authentification plus sécurisée. Avec cette configuration, les administrateurs des sites appartenant à l’application Web peuvent choisir d’autoriser l’accès anonyme. Si des utilisateurs anonymes souhaitent accéder à des ressources sécurisées et fonctionnalités, ils peuvent cliquer sur un bouton d’ouverture de session pour envoyer leurs informations d’identification.

Utilisation d’autres méthodes d’authentification pour accéder à un site

Vous pouvez configurer l’accès aux applications Web dans Office SharePoint Server 2007 à l’aide de cinq méthodes d’authentification ou systèmes de gestion des identités. La figure suivante illustre une application partenaire configurée pour être accessible par les utilisateurs de deux systèmes de gestion des identités. Les employés internes sont authentifiés à l’aide de l’une des méthodes d’authentification Windows standard. Les employés de la société partenaire sont authentifiés à l’aide du système de gestion des identités de leur société.

Gérer le diagramme des options d’authentification

Pour configurer l’accès à une application Web à l’aide de plusieurs systèmes d’authentification différents, vous devez configurer des zones supplémentaires pour l’application Web. Les zones représentent différents chemins logiques d’accès à la même application physique. Avec une application classique partenaire, les employés d’une société partenaire accèdent à l’application via Internet, tandis que les employés internes accèdent à l’application directement par le biais de l’intranet.

Pour créer une nouvelle zone, étendez l’application Web. Sur la page Étendre une application Web à un autre site Web IIS, dans la section URL avec équilibrage de la charge réseau, spécifiez l’URL et le type de zone. Le type de zone est simplement un nom de catégorie appliqué à la zone et n’a pas d’incidence sur la configuration de la zone.

Après avoir étendu l’application Web, vous pouvez configurer une méthode d’authentification distincte pour la nouvelle zone. L’illustration suivante affiche la page Fournisseurs d’authentification pour une application Web configurée en utilisant deux zones différentes. La zone par défaut est la zone utilisée par les employés internes. La zone Internet est configurée pour l’accès partenaire et utilise des formulaires ASP.NET pour authentifier les employés partenaires par rapport au système de gestion des identités de la société partenaire.

Application Web configurée avec deux zones

Planifier l’authentification pour l’analyse du contenu

Pour réussir les analyses de contenu d’une application Web, vous devez comprendre l’authentification requise par le composant d’index du serveur d’index (également appelé robot). Cette section explique comment configurer l’authentification pour les applications Web et vous assurer que le contenu de ces applications peut être correctement analysé.

Lorsqu’un administrateur de batterie crée une application Web en utilisant tous les paramètres par défaut, la zone par défaut pour cette application Web est configurée pour utiliser NTLM. L’administrateur de batterie peut changer la méthode d’authentification de la zone par défaut en une méthode d’authentification prise en charge par Office SharePoint Server 2007.

L’administrateur de batterie peut également étendre une application Web une ou plusieurs fois pour activer des zones supplémentaires. Un maximum de cinq zones peut être associé à une application Web particulière, et chaque zone peut être configurée pour utiliser n’importe quelle méthode d’authentification prise en charge par Office SharePoint Server 2007.

Par défaut, le robot utilise NTLM lors de l’analyse du contenu. Un administrateur du service de recherche peut également créer une règle d’analyse pour configurer le robot afin qu’il utilise une méthode d’authentification différente, telle que l’authentification de base ou un certificat client, au lieu de NTLM, lors de l’analyse d’une plage d’URL particulière. Pour plus d’informations sur les règles d’analyse, voir Planifier l’analyse du contenu (Office SharePoint Server).

Ordre dans lequel le robot accède aux zones

Lorsque vous planifiez les zones d’une application Web, envisagez l’ordre d’interrogation dans lequel le robot accède aux zones lors de la tentative d’authentification. L’ordre d’interrogation est important, car si le robot rencontre une zone configurée pour utiliser l’authentification Digest ou l’authentification Kerberos et qui n’utilise pas un port standard (80 ou 443), l’authentification échoue et le robot ne tente pas d’accéder à la zone suivante dans l’ordre d’interrogation. Dans un tel cas, le robot n’analyse pas le contenu dans cette application Web.

TipConseil :

Assurez-vous que la méthode d’authentification configurée pour le robot précède dans l’ordre d’interrogation une zone configurée pour l’authentification Kerberos et utilisant un port non standard ou pour l’authentification Digest.

Le robot interroge les zones dans l’ordre suivant :

  • Zone par défaut

  • Zone intranet

  • Zone Internet

  • Zone personnalisée

  • Zone extranet

La figure suivante illustre les décisions prises par le système d’authentification lorsque le robot tente de s’authentifier :

Interrogation des zones par le robot

Ordre d’interrogation utilisée par l’analyseur

Le tableau suivant décrit les actions associées à chaque légende de la figure.

Légende Action

1

Le robot tente de s’authentifier en utilisant la zone par défaut.

Notes

Le robot essaie toujours d’utiliser d’abord la zone par défaut lors de l’authentification.

2

Si les méthodes d’authentification configurées pour le robot et la zone sont identiques, le robot est authentifié et passe à la phase d’autorisation. Sinon, le système passe à l’étape 3.

3

Si la zone est configurée pour l’authentification Kerberos, le système passe à l’étape 4. Sinon, il passe à l’étape 5.

4

Si la zone est configurée pour utiliser le port 80 ou 443, le robot est authentifié et passe à la phase d’autorisation. Sinon, l’authentification échoue et le robot ne tente pas de s’authentifier en utilisant une autre zone. En d’autres termes, le contenu n’est pas analysé.

5

S’il n’y a plus de zones dans l’ordre d’interrogation, l’authentification échoue et le contenu n’est pas analysé. Sinon, le système passe à l’étape 6.

6

Le robot tente de s’authentifier en utilisant la zone suivante dans l’ordre d’interrogation. Le système revient à l’étape 2.

Si vous configurez la zone par défaut pour qu’elle utilise une méthode d’authentification non prise en charge par le robot, par exemple l’authentification unique Web, vous devez créer au moins une zone supplémentaire et la configurer pour qu’elle utilise les certificats, l’authentification de base, l’authentification Kerberos avec utilisation d’un port standard ou de NTLM. Si des certificats ou l’authentification de base sont utilisés pour analyser l’application Web, l’administrateur du service de recherche doit créer une règle d’analyse qui configure le robot pour qu’il utilise la méthode d’authentification appropriée lors de l’analyse de cette application Web. Envisagez le scénario ci-dessous.

Scénario d’authentification

L’administrateur de batterie crée une application Web et la configure pour qu’elle utilise l’authentification par formulaires. Étant donné que l’administrateur de batterie souhaite analyser et indexer le contenu de l’application Web, et comme il sait que le robot requiert une zone configurée avec NTLM, l’authentification de base ou des certificats, il étend l’application Web et configure la zone intranet pour qu’elle utilise NTLM.

Lorsque le robot tente de s’authentifier en utilisant la zone par défaut, le système d’authentification constate que le robot et la zone ne sont pas configurés pour utiliser la même méthode d’authentification. Dans la mesure où la zone n’est pas configurée pour l’authentification Kerberos avec utilisation d’un port non standard ou pour l’authentification Digest et qu’il y a au moins une zone supplémentaire dans l’ordre d’interrogation, le robot tente de s’authentifier en utilisant la zone intranet. Étant donné que la zone intranet est configurée pour utiliser NTLM et que le robot utilise également cette méthode d’authentification, l’authentification réussit par défaut.

Notez que si l’administrateur de batterie a configuré la zone intranet pour l’authentification de base au lieu de NTLM, l’administrateur du service de recherche doit créer une règle d’analyse qui configure le robot pour qu’il utilise l’authentification de base lors de l’analyse de cette application Web particulière. Dans le cas contraire, l’authentification échoue et le contenu n’est pas analysé. De même, si l’administrateur de batterie a configuré la zone intranet pour qu’elle utilise un certificat client, l’administrateur du service de recherche doit créer une règle d’analyse qui configure le robot pour qu’il utilise un certificat client lors de l’analyse de cette application Web particulière. En outre, un administrateur de serveur doit enregistrer le certificat client avec le serveur d’index ; sinon, l’authentification échoue et le contenu n’est pas analysé.

TipConseil :

La planification efficace de l’authentification pour les applications Web et la planification de l’analyse de leur contenu nécessitent une collaboration entre les administrateurs de batterie qui créent les applications Web et les administrateurs du service de recherche qui configurent le robot.

N’oubliez pas que si vous configurez une zone pour qu’elle utilise l’authentification de base ou des certificats et souhaitez que le robot d’indexation s’authentifie à l’aide de cette zone, l’administrateur du service de recherche doit créer une règle d’analyse qui configure le robot pour qu’il recoure à la même méthode d’authentification que la zone à laquelle il doit s’authentifier. Sinon, le robot essaie d’utiliser la zone disponible suivante.

Outre la configuration appropriée de la méthode d’authentification, vous devez vous assurer que le robot est autorisé à analyser le contenu dans l’application Web. L’administrateur du service de recherche doit s’assurer que le compte d’accès au contenu dispose du niveau d’autorisation de lecture sur le contenu accessible via cette zone. Pour ce faire, les administrateurs de batterie peuvent créer une stratégie qui accorde au compte d’accès au contenu le niveau d’autorisation de lecture sur une application Web particulière.

Planification des zones pour votre conception d’authentification

Si vous souhaitez implémenter plusieurs méthodes d’authentification pour une application Web à l’aide de zones, utilisez les instructions suivantes :

  • Utilisez la zone par défaut pour implémenter les paramètres d’authentification les plus sécurisés. Si une demande ne peut pas être associée à une zone spécifique, les paramètres d’authentification et autres stratégies de sécurité de la zone par défaut sont appliqués. La zone par défaut est la zone créée lorsque vous créez initialement une application Web. En règle générale, les paramètres d’authentification les plus sécurisés sont conçus pour l’accès de l’utilisateur final. Par conséquent, la zone par défaut sera probablement la zone accessible par les utilisateurs finaux.

  • Utilisez le nombre minimal de zones requis par l’application. Chaque zone est associée à un site IIS et domaine pour accéder à l’application Web. Ajoutez de nouveaux points d’accès uniquement lorsqu’ils sont nécessaires.

  • Si vous souhaitez inclure le contenu de l’application Web dans les résultats de la recherche, vérifiez qu’au moins une zone est configurée pour utiliser l’authentification NTLM. L’authentification NTLM est requise par le composant d’index pour analyser le contenu. Ne créez pas de zone réservée au composant d’index, sauf en cas de nécessité.

Choisir les méthodes d’authentification autorisées dans votre environnement

En plus de déterminer le mode de configuration de l’authentification, la planification de l’authentification permet notamment de :

  • prendre en compte le contexte de sécurité ou l’environnement de votre application Web dans Office SharePoint Server 2007 ;

  • évaluer les recommandations et les compromis pour chaque méthode ;

  • comprendre comment les informations d’identification utilisateur et les données d’identité connexes sont mises en cache et utilisées par Office SharePoint Server 2007 ;

  • comprendre comment les comptes d’utilisateurs sont gérés ;

  • vérifier que les méthodes d’authentification sont compatibles avec les navigateurs qui sont utilisés par vos utilisateurs.

Action de feuille

Utilisez la feuille relative aux méthodes d’authentification (en anglais) (https://go.microsoft.com/fwlink/?linkid=77970&clcid=0x40C) (en anglais) pour identifier les méthodes d’authentification que vous souhaitez prendre en charge dans votre environnement et enregistrer vos décisions et recommandations pour chacune d’elles. Cette feuille sera utilisée lors de la planification des méthodes d’authentification pour des applications Web individuelles dans Office SharePoint Server 2007.

Recommandations liées à des environnements de sécurité spécifiques

Le choix des méthodes d’authentification dépend principalement du contexte de sécurité de votre application. Le tableau suivant présente des recommandations en fonction des environnements de sécurité courants :

Environnement Considérations

Intranet

Au minimum, protégez les informations d’identification de l’utilisateur contre l’affichage en clair. Intégrez-les au système de gestion des utilisateurs qui est implémenté dans votre environnement. Si Active Directory est implémenté, utilisez les méthodes d’authentification Windows intégrées dans IIS.

Collaboration sécurisée externe

Configurez une zone distincte pour chaque société partenaire qui se connecte au site. Utilisez l’authentification unique Web pour l’authentification par rapport au système de gestion des identités propre à chaque partenaire. Vous évitez ainsi de créer des comptes dans votre propre système de gestion des identités et les identités des collaborateurs restent gérées et validées par les employeurs partenaires. Si un collaborateur n’est plus employé par une société partenaire, le collaborateur n’a plus accès à votre application partenaire.

Anonyme externe

Activez l’accès anonyme (aucune authentification) et les autorisations en lecture seule pour les utilisateurs qui se connectent à partir d’Internet. Pour fournir un contenu ciblé ou basé sur les rôles, vous pouvez utiliser l’authentification par formulaires ASP.NET pour inscrire les utilisateurs en utilisant une base de données simple de noms d’utilisateurs et de rôles. Utilisez le processus d’inscription pour identifier les utilisateurs par rôle (par exemple médecin, patient ou pharmacien). Lorsque les utilisateurs ouvrent une session, votre site peut présenter un contenu spécifique au rôle d’utilisateur. Dans ce scénario, l’authentification n’est pas utilisée pour valider les informations d’identification ou pour limiter qui peut accéder au contenu ; le processus d’authentification fournit simplement une méthode pour cibler du contenu.

Recommandations et compromis liés aux méthodes d’authentification

Comprendre les avantages, les recommandations et les compromis liés à chaque méthode d’authentification peut vous aider à déterminer les méthodes à utiliser dans votre environnement. Le tableau suivant met en évidence les recommandations et les compromis de chaque méthode d’authentification. Pour plus d’informations sur chacune des méthodes d’authentification Windows prises en charge par IIS, voir Authentification IIS (https://go.microsoft.com/fwlink/?linkid=78066&clcid=0x40C) .

Méthode d’authentification Avantages et recommandations Compromis

Authentification Windows

  • Authentification à l’aide de vos comptes Active Directory existants.

  • Gestion des utilisateurs simplifiée.

  • Tirez parti des groupes Active Directory lors de la configuration de l’autorisation Office SharePoint Server 2007.

  • Évitez d’écrire du code personnalisé.

  • Chacune des méthodes possède ses propres avantages et inconvénients.

  • Certains protocoles d’authentification IIS ne sont pas pris en charge par tous les navigateurs Web.

Formulaires ASP.NET

  • Installez Office SharePoint Server 2007 dans un environnement qui n’utilise pas Active Directory (ne nécessite pas de comptes Windows).

  • Authentification par rapport à plusieurs systèmes de gestion des identités lors de la création d’applications partenaires.

  • Implémentez un schéma d’authentification personnalisé à l’aide de critères arbitraires.

  • Authentifiez les utilisateurs provenant d’Internet.

  • Nécessite la personnalisation du fichier Web.config.

  • Peut faire l’objet d’attaques par relecture pendant la durée de vie du cookie, à moins d’utiliser SSL TLS (Transport Layer Security).

Authentification unique Web

  • Implémentez Office SharePoint Server 2007 dans un environnement utilisant l’authentification fédérée pour sécuriser les identités numériques entre organisations et environnements de sécurité.

  • Implémentez Office SharePoint Server 2007 dans un environnement qui fournit l’authentification unique aux services exécutés sur diverses plateformes, y compris les environnements qui n’utilisent pas Active Directory.

  • Tirez parti des services ADFS (Active Directory Federation Services).

  • Authentification par rapport à plusieurs systèmes de gestion des identités lors de la création d’applications partenaires.

  • Nécessite un système d’authentification fédéré existant.

  • Nécessite la personnalisation du fichier Web.config.

  • Les services ADFS nécessitent SSL. Les autres systèmes d’authentification unique Web peuvent imposer d’autres conditions.

Gestion des informations d’identité d’utilisateur

La façon dont les informations d’identification et autres informations d’identité sont traitées et utilisées par Office SharePoint Server 2007 peut influencer votre décision concernant les options d’authentification les plus appropriées à vos besoins. Cette section explique comment sont traitées les informations d’identité d’utilisateur dans les catégories suivantes :

  • ID binaires   Façon dont les identificateurs binaires d’utilisateur sont créés ou utilisés par Office SharePoint Server 2007.

  • Mise en cache   Processus de conservation de l’identité d’un utilisateur pendant un laps de temps pour éviter la répétition du processus d’authentification à chaque demande.

  • Appartenance aux rôles et groupes   Outre déterminer qui sont les utilisateurs, le processus d’authentification détermine également les groupes ou rôles auxquels un utilisateur appartient. Ces informations sont utilisées au cours du processus d’autorisation pour déterminer les autorisations dont dispose un utilisateur pour effectuer des actions. Dans le cadre de l’autorisation, Office SharePoint Server 2007 traite les groupes Active Directory et les rôles ASP.NET en tant que même type d’entité.

Le tableau suivant détaille la façon dont Office SharePoint Server 2007 gère les ID binaires d’utilisateur, les données utilisateur mises en cache et les données d’appartenance aux rôles et groupes en fonction de la méthode d’authentification utilisée :

Élément Authentification Windows Formulaires ASP.NET et authentification unique Web

ID binaires

Office SharePoint Server 2007 utilise l’identificateur de sécurité (SID) Windows.

Office SharePoint Server 2007 crée un ID binaire unique en combinant le nom de fournisseur et le nom d’utilisateur.

Mise en cache

Les informations d’identification de l’utilisateur sont mises en cache et gérées par IIS, Internet Explorer et Windows.

ASP.NET utilise un cookie chiffré pour conserver les informations d’identification de l’utilisateur pendant la durée d’une session.

Appartenance aux rôles et groupes

Windows conserve la liste des groupes de domaines Active Directory auxquels l’utilisateur appartient dans le jeton d’accès. Office SharePoint Server 2007 utilise les informations stockées dans le jeton d’accès.

Lorsqu’un gestionnaire de rôles est enregistré, Windows SharePoint Services utilise l’interface du gestionnaire de rôles standard pour collecter des informations de groupe sur l’utilisateur actuel. Chaque rôle ASP.NET est traité comme un groupe de domaines par le processus d’autorisation. ASP.NET peut mettre en cache les rôles auxquels l’utilisateur appartient dans un cookie, selon les paramètres configurés dans le fichier Web.config.

Gestion des comptes d’utilisateurs

Comprendre la façon dont Office SharePoint Server 2007 gère les tâches de gestion des comptes d’utilisateur standard peut également influencer le choix de la méthode d’authentification. En règle générale, les utilisateurs membres d’un fournisseur d’authentification dans une seule zone peuvent gérer les comptes sur toutes les zones tant qu’ils disposent des autorisations nécessaires. Les informations de la liste ci-dessous s’appliquent quelle que soit la méthode d’authentification implémentée :

  • Ajout et invitation de nouveaux utilisateurs   Vous pouvez ajouter ou inviter un nouvel utilisateur d’une zone quelconque et toutes les méthodes d’authentification configurées si le fournisseur d’appartenances et le gestionnaire de rôles sont inscrits dans le fichier Web.config actuel. Lorsque vous ajoutez un nouvel utilisateur, Office SharePoint Server 2007 résout le nom d’utilisateur par rapport aux sources suivantes dans l’ordre suivant :

    • Table UserInfoList stockée par Office SharePoint Server 2007. Les informations utilisateur seront dans cette liste si les utilisateurs ont déjà été ajoutés à un autre site.

    • Fournisseur d’authentification configuré pour la zone actuelle. Par exemple, si un utilisateur est membre du fournisseur d’authentification configuré pour la zone par défaut, Office SharePoint Server 2007 vérifie d’abord ce fournisseur d’appartenances associé.

    • Tous les autres fournisseurs d’authentification.

  • Suppression d’utilisateurs   Les comptes d’utilisateurs sont marqués comme supprimés dans la base de données Office SharePoint Server 2007. Toutefois, l’enregistrement de l’utilisateur n’est pas supprimé.

Certains comportements de gestion des comptes utilisateur dans Office SharePoint Server 2007 varient selon le fournisseur d’authentification. Le tableau suivant met en évidence plusieurs tâches de compte utilisateur courantes qui diffèrent selon la méthode d’authentification implémentée :

Tâche Comptes authentifiés Windows Comptes authentifiés par des formulaires ASP.NET et l’authentification unique Web

Ajout et invitation de nouveaux utilisateurs

Office SharePoint Server 2007 valide des identités d’utilisateur à l’aide d’Active Directory.

Office SharePoint Server 2007 appelle le fournisseur d’appartenances et le gestionnaire de rôles pour vérifier que l’utilisateur et les rôles existent.

Modifications apportées aux noms d’ouverture de session

Les noms d’utilisateur mis à jour sont automatiquement reconnus par Office SharePoint Server 2007. Aucune entrée n’est ajoutée à la table UserInfoList.

Vous devez supprimer l’ancien nom de compte, puis ajouter le nouveau. Les autorisations ne peuvent pas être migrées.

Ouverture de session

Si l’authentification Windows intégrée (Kerberos ou NTLM) est utilisée et le navigateur est configuré pour permettre une ouverture de session automatique, les utilisateurs n’ont pas à ouvrir une session manuellement sur les sites SharePoint. Par défaut, Internet Explorer est configuré pour ouvrir automatiquement une session sur les sites intranet. Si une ouverture de session est requise (par exemple pour les sites nécessitant un autre jeu d’informations d’identification), les utilisateurs sont uniquement invités à taper un nom d’utilisateur et un mot de passe. Toutefois, si l’authentification de base est utilisée ou en cas d’utilisation d’un navigateur ne permettant pas une ouverture de session automatique, les utilisateurs peuvent être invités à entrer des informations d’identification d’ouverture de session lorsqu’ils accèdent à un site SharePoint.

Office SharePoint Server 2007 fournit une page standard d’ouverture de session à utiliser avec l’authentification par formulaires. Cette page contient les champs suivants : Nom d’utilisateur, Mot de passe, Se connecter automatiquement (pour conserver les cookies). Vous pouvez créer votre propre page d’ouverture de session pour ajouter des contrôles d’ouverture de session (par exemple, créer un nouveau compte ou réinitialiser le mot de passe).

Prise en charge du navigateur

Certains navigateurs ne fonctionnent pas avec toutes les méthodes d’authentification prises en charge. Avant de sélectionner les méthodes d’authentification à autoriser dans votre environnement, déterminez les navigateurs qui doivent être pris en charge. Ensuite, déterminez les méthodes d’authentification prises en charge par les navigateurs. Internet Explorer fonctionne avec chacune des méthodes d’authentification prises en charge. Les autres navigateurs pris en charge par Office SharePoint Server 2007 sont les suivants :

  • Netscape 8.0

  • Netscape 7.2

  • Mozilla 1.7.12

  • Firefox 1.5

  • Safari 2.02

Feuille

Utilisez la feuille suivante pour enregistrer les méthodes d’authentification qui conviennent à votre environnement :

Le tableau suivant représente un exemple d’une feuille remplie :

Méthode d’authentification Autoriser Ne pas autoriser Remarques et recommandations

Anonyme

x

De base

x

Digest

x

Certificats

x

NTLM (Windows intégrée)

x

*« Utiliser NTLM pour tous les sites de service à l’exception du service Finance. »*

Kerberos (Windows intégrée)

x

*« Utiliser l’authentification Kerberos pour les sites possédant un contrat de niveau de service (SLA) de sécurité élevée. »*

Formulaires ASP.NET

x

*« Utiliser l’authentification par formulaires pour autoriser l’accès de la société partenaire aux sites hébergés dans l’extranet partenaire. Nous autorisons actuellement l’authentification par rapport aux systèmes de gestion des identités suivants : Active Directory, LDAP. Collaborer avec Sidney Higa pour développer des paramètres d’authentification utilisables avec l’authentification par formulaires. »*

Authentification unique Web

x

*« Utiliser cette méthode pour les applications partenaires uniquement si une société partenaire participe à des systèmes de gestion des identités fédérés. Pour plus d’informations, consulter David Jones. »*

Remarques supplémentaires : « Collaborer avec Denise Smith pour valider tous les paramètres d’authentification des applications Web SharePoint avant l’implémentation. »

Télécharger ce livre

Cette rubrique est incluse dans le livre à télécharger suivant pour une lecture et une impression plus faciles :

Vous trouverez la liste complète des livres disponibles sur Livres à télécharger pour Office SharePoint Server 2007.

Voir aussi

Concepts

Modèle d’architecture logique : déploiement d’entreprise