Configurer l’authentification unique (Office SharePoint Server)
Mise à jour : 2009-03-26
L'authentification unique (SSO, Single Sign-on) est une fonctionnalité de Microsoft Office SharePoint Server qui fournit le stockage et le mappage d'informations d'identification comme les noms de compte et les mots de passe. À l'aide de l'authentification unique, les applications de site portail peuvent récupérer des informations à partir d'applications et systèmes principaux tiers, tels que les systèmes ERP (Enterprise Resource Planning) et de gestion des relations client (CRM).
L'utilisation de la fonctionnalité d'authentification unique permet aux utilisateurs de s'authentifier une seule fois lorsqu'ils accèdent à des applications de site portail qui doivent obtenir des informations à partir d'autres applications et systèmes d'entreprise.
La configuration de l'authentification unique consiste en cinq tâches :
Configurer et démarrer le service d’authentification unique de Microsoft
Configurer l’authentification unique pour Office SharePoint Server 2007
Gérer la clé de chiffrement
Gérer les définitions d’applications d’entreprise
Gérer des informations de compte pour une définition d’application d’entreprise
Notez que vous devez être connecté au site Web Administration centrale de SharePoint sur un serveur de la batterie pour configurer l'authentification unique (SSO) pour Office SharePoint Server 2007. Si vous essayez de configurer l'authentification unique sur une station de travail ou un autre ordinateur qui n'est pas un serveur de la batterie, un message d'erreur s'affiche, indiquant « Impossible de configurer le service d'authentification unique à partir de ce serveur. Pour configurer l'ouverture de session unique, allez sur l'ordinateur exécutant le service d'authentification unique et spécifiez ces paramètres localement. »
Suivez les procédures décrites dans les sections qui suivent pour configurer l'authentification unique pour votre environnement Office SharePoint Server 2007.
Configurer et démarrer le service d'authentification unique de Microsoft
Si vous souhaitez utiliser l'authentification unique, le service d'authentification unique de Microsoft (SSOSrv) doit être installé sur tous les serveurs frontaux Microsoft Windows de la batterie. Il doit également être installé sur tous les serveurs qui exécutent les services Excel Services. Si la recherche du catalogue de données métiers est utilisée, SSOSrv doit aussi être installé sur le serveur d'index.
SSOSrv se configure à l'aide de la console Services. Pour la configuration du service, un compte de connexion est nécessaire. Le compte de connexion doit satisfaire tous les critères suivants :
Doit être un compte d'utilisateur de domaine, qui ne peut pas être un compte de groupe.
Doit être un compte de batterie de serveurs Office SharePoint Server.
Doit être membre du groupe local Administrateurs sur le serveur de clés de chiffrement (il s'agit du premier serveur sur lequel vous démarrez le service SSOSrv).
Doit être membre du rôle Administrateurs de la sécurité et du rôle db_creator sur l'ordinateur exécutant Microsoft SQL Server.
Doit être le même compte que l'administrateur d'authentification unique ou un membre du compte de groupe qui est le compte d'administrateur d'authentification unique.
Configurer et démarrer le service d'authentification unique de Microsoft
Sur le serveur, cliquez sur Démarrer, Panneau de configuration, Outils d'administration, puis sur Gestion de l'ordinateur .
Dans la console Gestion de l'ordinateur, développez Services et applications , puis cliquez sur Services.
Cliquez avec le bouton droit sur Service d'authentification unique de Microsoft, puis choisissez Propriétés.
Sous l'onglet Général, remplacez le Type de démarrage par Automatique.
Sous l'onglet Général, sous État du service , cliquez sur Démarrer.
Cliquez sur OK pour enregistrer vos modifications et fermez la fenêtre Propriétés.
Répétez les étapes 1 à 6 pour chaque serveur concerné de la batterie.
Configurer l'authentification unique pour Office SharePoint Server 2007
La gestion des paramètres du serveur pour l'authentification unique consiste à spécifier les comptes administrateurs appropriés, le serveur de la base de données d'authentification unique (SSO) et son nom, et les paramètres de délai d'expiration et de journal d'audit.
Remarque : |
---|
Vous devez ouvrir l'Administration centrale sur l'ordinateur exécutant Office SharePoint Server 2007 pour gérer les paramètres du serveur d'authentification unique. |
Configurer l'authentification unique pour Office SharePoint Server 2007
Dans la barre de navigation supérieure de l'Administration centrale, cliquez sur Opérations.
Sur la page Opérations, dans la section Configuration de la sécurité, cliquez sur Gérer les paramètres d'authentification unique.
Sur la page Gérer les paramètres d'authentification unique, cliquez sur Gérer la clé de chiffrement dans la section Gérer les paramètres du serveur.
Sur la page Gérer les paramètres d'authentification unique, dans la zone Nom du compte de la section Compte d'administrateur de l'authentification unique, tapez le nom de ce compte sous la forme domaine/groupe ou domaine/nom_utilisateur.
Remarque : Le compte d'administrateur de l'authentification unique spécifie l'ensemble des personnes qui peuvent créer, supprimer ou modifier les définitions d'applications. Le compte d'administrateur peut également sauvegarder la clé de chiffrement.
L'utilisateur ou le groupe spécifié en tant qu'administrateur d'authentification unique doit être l'ensemble des comptes suivants :
Soit un compte de groupe global Windows, soit un compte utilisateur individuel. Ce compte ne peut pas être un compte de groupe local de domaine ou une liste de distribution.
Le même compte que le compte du service d'authentification unique, si un utilisateur est spécifié. Si un groupe est spécifié, le compte du service d'authentification unique doit être membre de ce groupe.
Le même compte que le compte de configuration pour l'authentification unique, si un utilisateur est spécifié. Si un groupe est spécifié, le compte de configuration pour l'authentification unique doit être membre de ce groupe.
Un membre du groupe Administrateurs de batterie sur l'Administration centrale.
Si un groupe est spécifié, tous les utilisateurs ajoutés à ce groupe pour administrer l'authentification unique doivent être membres du groupe Administrateurs local sur le serveur de clés de chiffrement. Ne faites pas de ce compte un membre du groupe Administrateurs local sur le serveur de clés de chiffrement.
Dans la section Compte d'administrateur des définitions d'applications d'entreprise, dans la zone Nom du compte, tapez le nom de compte du groupe ou de l'utilisateur qui peut configurer et gérer les définitions d'applications d'entreprise. Tapez le nom sous la forme domaine/groupe ou domaine/nom_utilisateur.
Le compte d'administrateur des définitions d'applications d'entreprise peut gérer les informations d'identification d'une définition d'application d'entreprise, notamment en changer le mot de passe et en changer ou en supprimer les informations d'identification.
L'utilisateur ou le groupe que vous spécifiez doit être :
Soit un compte de groupe global Windows, soit un compte utilisateur individuel. Ce compte ne peut pas être un compte de groupe local de domaine ou une liste de distribution.
Un membre du groupe Lecteurs de SharePoint sur l'Administration centrale.
Dans la section Paramètres de la base de données, dans la zone Nom du serveur, tapez le nom NetBIOS du serveur de bases de données d'authentification unique (par exemple nom_ordinateur ou nom_ordinateur\instance_SQL Server). Ne tapez pas le nom de domaine complet.
Dans la zone Nom de la base de données, entrez le nom du serveur de bases de données d'authentification unique.
Remarque : Sauf si vous créez d'avance des bases de données, il est recommandé d'utiliser le serveur de bases de données par défaut et le serveur de bases de données d'authentification unique (SSO).
Dans la section Paramètres d'expiration de délai, dans la zone Délai d'expiration du ticket (en minutes), tapez la valeur en minutes du délai qui s'écoule avant l'expiration d'un ticket d'authentification unique. Ce délai doit être suffisant pour couvrir le temps nécessaire entre l'émission du ticket et son échange par l'application d'entreprise. La valeur recommandée est de deux minutes.
Dans la zone Supprimer les enregistrements du journal d'audit datant de plus de (en jours), tapez le nombre de jours durant lesquels le journal d'audit conserve les enregistrements avant de les supprimer.
Cliquez sur OK.
Gérer la clé de chiffrement
Le premier serveur sur lequel SSOSrv est activé devient le serveur de clés de chiffrement. Le serveur de clés de chiffrement génère et stocke la clé de chiffrement. La clé de chiffrement permet de chiffrer et de déchiffrer les informations d'identification stockées dans la base de données SSO.
Étant donné que la clé de chiffrement protège les informations d'autorisation sécurisées, il est recommandé de créer une nouvelle clé de chiffrement selon une planification régulière (par exemple, tous les 90 jours). Il est également recommandé de créer immédiatement une nouvelle clé de chiffrement si vous suspectez que les informations d'identification de compte ont été compromises.
La clé de chiffrement doit être sauvegardée à chaque création d'une nouvelle clé. Il n'est pas nécessaire de sauvegarder la clé de chiffrement à d'autres moments (sauf en cas de déplacement du rôle de serveur de la clé de chiffrement d'un serveur à un autre). Vous devez sauvegarder la clé de chiffrement localement, à partir du serveur de la clé de chiffrement, car elle ne peut pas être sauvegardée à distance.
Le processus de sauvegarde et de restauration permet également de déplacer le rôle de serveur de clés de chiffrement d'un serveur à un autre. (Notez que d'autres tâches peuvent également s'effectuer dans le but de déplacer le rôle de serveur de clés de chiffrement.)
Remarque : |
---|
Vous devez ouvrir l'Administration centrale sur l'ordinateur exécutant Office SharePoint Server 2007 pour gérer la clé de chiffrement. |
Gérer la clé de chiffrement
Dans la barre de navigation supérieure de l'Administration centrale, cliquez sur Opérations.
Sur la page Opérations, dans la section Configuration de la sécurité, cliquez sur Gérer les paramètres d'authentification unique.
Sur la page Gérer les paramètres d'authentification unique, cliquez sur Gérer la clé de chiffrement dans la section Paramètres du serveur.
Sur la page Gérer la clé de chiffrement, vous pouvez effectuer trois tâches de gestion :
Créer une clé de chiffrement
Sauvegarder une clé de chiffrement
Restaurer une clé de chiffrement
Créer une clé de chiffrement
Sur la page Gérer la clé de chiffrement, dans la section Clé de chiffrement, cliquez sur Créer la clé de chiffrement.
Sur la page Créer une clé de chiffrement, activez la case à cocher Rechiffrer toutes les informations d'identification avec la nouvelle clé de chiffrement
Important : Si vous ne rechiffrez pas les informations d'identification existantes avec la nouvelle clé de chiffrement, il se peut que les utilisateurs doivent retaper leurs informations d'identification pour les définitions d'applications individuelles, et que les administrateurs doivent retaper les informations d'identification des définitions d'application de groupe.
Cliquez sur OK.
Sauvegarder une clé de chiffrement
Sur la page Gérer la clé de chiffrement, dans la liste Lecteur de la section Sauvegarde de la clé de chiffrement, cliquez sur le lecteur de disque amovible dans lequel vous souhaitez stocker la sauvegarde de la clé de chiffrement.
Cliquez sur Sauvegarder.
Restaurer une clé de chiffrement
Il est recommandé de sauvegarder systématiquement la clé de chiffrement lors de la sauvegarde de la base de données d'authentification unique, car la base de données est inutilisable sans sa clé de chiffrement. En outre, avant de remplacer un serveur de clés de chiffrement, il est également recommandé de sauvegarder la clé de chiffrement pour pouvoir la restaurer sur le nouveau serveur de clés de chiffrement.
Sur la page Gérer la clé de chiffrement, dans la liste Lecteur de la section Restauration de la clé de chiffrement, cliquez sur le lecteur de disque amovible à partir duquel vous souhaitez restaurer la sauvegarde de la clé de chiffrement.
Cliquez sur Restaurer.
Gérer les définitions d'applications d'entreprise
Dans l'environnement d'authentification unique, les systèmes et sources de données externes principaux sont appelés applications d'entreprise. Pour chaque application d'entreprise à laquelle Office SharePoint Server 2007 se connecte, il faut configurer une définition d'application d'entreprise correspondante.
Dans la barre de navigation supérieure de l'Administration centrale, cliquez sur Opérations.
Sur la page Opérations, dans la section Configuration de la sécurité, cliquez sur Gérer les paramètres d'authentification unique.
Sur la page Gérer les paramètres d'authentification unique, cliquez sur Gérer les paramètres pour les définitions d'applications d'entreprise.
Gérer des informations de compte pour la définition des applications d'entreprise
Si vous utilisez un groupe qui se connecte à une application d'entreprise, vous devez fournir des informations d'identification de compte que le groupe utilisera. Si des utilisateurs individuels se connectent directement à l'application d'entreprise, vous pouvez prédéfinir ou redéfinir des mots de passe utilisateurs, ou vous pouvez supprimer des utilisateurs de la définition de l'application d'entreprise.
Dans la barre de navigation supérieure de l'Administration centrale, cliquez sur Opérations.
Dans la page Opérations, dans la section Configuration de la sécurité, cliquez sur Gérer les paramètres d'authentification unique.
Dans la page Gérer les paramètres d'authentification unique, dans la section Paramètres des définitions d'applications d'entreprise, cliquez sur Gérer les informations de compte pour les définitions d'applications d'entreprise.
Dans la page Gérer les informations de compte pour la définition d'une application d'entreprise, dans la liste Définition d'application d'entreprise de la section Informations sur le compte, cliquez sur la définition d'application dont vous voulez gérer les informations de compte.
Dans la zone Nom du compte de groupe, tapez le nom du groupe autorisé à accéder à l'application d'entreprise.
Dans la section Définition d'application d'entreprise, sélectionnez l'une des options suivantes :
Option Objectif Mettre à jour les informations de compte
Entrez les informations d'identification pour la première fois ou mettez à jour les informations d'identification utilisées pour se connecter à l'application d'entreprise.
Supprimer les informations d'identification pour ce compte de cette définition d'application d'entreprise
Supprimez les informations d'identification actuellement utilisées pour se connecter à l'application d'entreprise.
Supprimer les informations d'identification de ce compte de toutes les définitions d'applications d'entreprise
Supprimez de toutes les définitions d'applications d'entreprise les informations d'identification actuellement utilisées pour se connecter à l'application d'entreprise sélectionnée. La suppression des informations d'identification stockées ne les supprime que pour les comptes individuels ; elle ne supprime pas les informations d'identification des comptes de groupe.
Si vous sélectionnez Mettre à jour les informations de compte, procédez comme suit :
Cliquez sur Définir.
Dans la page de saisie des informations de compte, dans la section Informations de connexion, tapez le nom d'utilisateur et le mot de passe du compte qui seront utilisés pour se connecter à l'application d'entreprise.
Cliquez sur OK.
Cliquez sur Opération terminée.
Télécharger ce livre
Cette rubrique est incluse dans le livre à télécharger suivant pour une lecture et une impression plus faciles :
Consultez la liste des livres disponibles dans la Bibliothèque TechNet pour Office SharePoint Server.