Configurer l’authentification (Windows SharePoint Services)

Mise à jour : 2008-05-01

Dans cet article :

• Configuration de l’accès anonyme (Windows SharePoint Services)

• Configurer l'authentification Digest (Windows SharePoint Services)

• Configurer l’authentification basée sur des formulaires (Windows SharePoint Services)

• Configurer l’authentification unique Web à l’aide des services ADFS (Windows SharePoint Services)

L’authentification est un processus consistant à valider l’identité d’un client, en général par le biais d’une autorité désignée. Sur les sites Web, l’authentification aide à contrôler si un utilisateur qui essaie d’accéder aux ressources du site est une entité authentifiée. Une application d’authentification est chargée d’obtenir auprès des utilisateurs demandant l’accès au site Web leurs informations d’identification. Ces informations varient selon le mode d’identification utilisé. Il peut s’agir, par exemple, d’un nom d’utilisateur et d’un mot de passe. L’application d’authentification tente de vérifier les informations d’identification auprès d’une autorité d’authentification. Si les informations sont valides, l’utilisateur qui a fourni ces informations est considéré comme une identité authentifiée.

Authentification dans Windows SharePoint Services

Pour déterminer le mécanisme d’authentification à utiliser dans Windows SharePoint Services 3.0, prenez en compte les remarques suivantes :

• Pour utiliser un mécanisme d’authentification Windows, l'environnement doit prendre en charge les comptes d’utilisateur pouvant être authentifiés par une autorité de confiance.

• Si vous utilisez un mécanisme d’authentification Windows, le système d’exploitation se charge des tâches de gestion des informations d’identification des utilisateurs. Si vous utilisez un fournisseur d’authentification autre que Windows, par exemple, une authentification par formulaires, vous devez planifier et implémenter un système de gestion des informations d’identification et définir l'emplacement de stockage des informations d’identification des utilisateurs.

Dans Windows SharePoint Services 3.0, l’authentification s’appuie sur le modèle d’authentification ASP.NET et comprend trois fournisseurs d’authentification :

• Fournisseur d’authentification Windows

• Fournisseur d’authentification par formulaires

• Fournisseur d’authentification unique Web

Vous pouvez utiliser le service d’annuaire Active Directory pour l’authentification ou concevoir votre propre environnement pour valider les informations d’identification auprès d’autres magasins de données, par exemple, une base de données Microsoft SQL Server, un annuaire LDAP (Lightweight Directory Access Protocol) ou un autre annuaire disposant d’un fournisseur d’appartenances ASP.NET 2.0. Le fournisseur d’appartenances spécifie le type de magasin de données que vous allez utiliser. Le fournisseur d’appartenances ASP.NET 2.0 par défaut utilise une base de données SQL Server. ASP.NET 2.0 intègre un fournisseur d’appartenances SQL Server.

Les fournisseurs d’authentification permettent l’authentification des utilisateurs par rapport aux informations d’identification des utilisateurs et des groupes stockées dans Active Directory, une base de données SQL Server ou un service d’annuaire LDAP autre qu’Active Directory LDAP (NDS, par exemple). Pour plus d’informations sur les fournisseurs d’appartenances ASP.NET, reportez-vous à la section Configuration d’une application ASP.NET pour utiliser l’appartenance (https://go.microsoft.com/fwlink/?linkid=87014&clcid=0x40C).

Fournisseur d’authentification Windows

Le fournisseur d’authentification Windows prend en charge les méthodes d’authentification suivantes :

• Authentification anonyme

  L’authentification anonyme permet aux utilisateurs de rechercher des ressources dans les zones publiques des sites Web sans avoir à fournir d’informations d’identification. Les services Internet (IIS) créent le compte IUSR_nom_ordinateur pour authentifier les utilisateurs anonymes lorsque du contenu Web est demandé. Le compte IUSR_nom_ordinateur, où nom_ordinateur représente le nom du serveur qui exécute les services Internet (IIS), permet à l’utilisateur d’accéder aux ressources de manière anonyme dans le contexte du compte IUSR. Vous pouvez réinitialiser l’accès utilisateur anonyme pour utiliser n’importe quel compte Windows valide. Dans un environnement autonome, le compte IUSR_nom_ordinateur se trouve sur le serveur local. Si le serveur est un contrôleur de domaine, le compte IUSR_nom_ordinateur est défini pour le domaine. Par défaut, l’accès anonyme est désactivé lorsque vous créez une application Web. La sécurité est ainsi renforcée, car les services Internet (IIS) rejettent les demandes d’accès anonyme avant même qu’elles puissent être traitées lorsque l’accès anonyme est désactivé.

• Authentification de base

  L’authentification de base nécessite les informations d’identification du compte Windows précédemment attribuées pour l’accès des utilisateurs. L’authentification de base permet à un navigateur Web de fournir des informations d’identification lorsqu’il effectue une demande au cours d’une transaction HTTP. Étant donné que les informations d’identification de l’utilisateur ne sont pas chiffrées pour la transmission réseau, mais envoyées sur le réseau en texte brut, il n’est pas recommandé d’utiliser l’authentification de base sur une connexion HTTP non sécurisée. Pour utiliser l’authentification de base, vous devez activer le chiffrement SSL (Secure Sockets Layer).

• Authentification Digest

  L’authentification Digest offre les mêmes fonctions que l’authentification de base, mais avec une sécurité accrue. Les informations d’identification de l’utilisateur sont chiffrées au lieu d’être envoyées sur le réseau en texte brut. Elles sont envoyées sous forme de synthèse de message MD5, qui ne permet pas de déchiffrer le nom d’utilisateur et le mot de passe d’origine. L’authentification Digest utilise un protocole de type stimulation/réponse, qui exige que le demandeur de l’authentification présente des informations d’identification valides en réponse à une demande du serveur. Pour s’authentifier sur le serveur, le client doit fournir une synthèse de message MD5 dans une réponse contenant un mot de passe secret partagé sous forme de chaîne. L’algorithme Message Digest MD5 est décrit en détail dans le document RFC 1321 de l’IETF (Internet Engineering Task Force, http://www.ietf.org/).

  Pour utiliser l’authentification Digest, les conditions requises sont les suivantes :

  • L’utilisateur et le serveur IIS doivent être membres du même domaine ou approuvés par le même domaine.

  • Les utilisateurs doivent posséder un compte d’utilisateur Windows valide stocké dans Active Directory sur le contrôleur de domaine.

  • Le domaine doit utiliser un contrôleur de domaine Microsoft Windows Server 2003.

  • Vous devez installer le fichier IISSuba.dll sur le contrôleur de domaine. Ce fichier est copié automatiquement au cours de l’installation de Windows Server 2003.

• Authentification Windows intégrée avec utilisation de NTLM

  Cette méthode est valable pour les serveurs Windows qui n’exploitent pas Active Directory sur un contrôleur de domaine. NTLM est un protocole sécurisé prenant en charge le chiffrement des informations d’identification des utilisateurs et leur transmission sur un réseau. Le protocole NTLM chiffre les noms d’utilisateur et les mots de passe avant de les envoyer sur le réseau. Il s’agit du protocole d’authentification utilisé dans les environnements de groupe de travail Windows NT Server et Windows 2000 Server ainsi que dans de nombreux déploiements Active Directory. NTLM est utilisé dans les environnements de domaine mixtes Windows 2000 Active Directory devant authentifier des systèmes Windows NT.

Fournisseur d’authentification par formulaires

Le fournisseur d’authentification par formulaires prend en charge l’authentification par rapport à des informations d’identification stockées dans Active Directory, dans une base de données SQL Server (ou autre) ou dans un magasin de données LDAP tel que Novell eDirectory, NDS (Novell Directory Services) ou Sun ONE. L’authentification par formulaires permet d’authentifier l’utilisateur en validant les informations d’identification entrées dans un formulaire d’ouverture de session. Les demandes non authentifiées sont redirigées vers une page d’ouverture de session, dans laquelle l’utilisateur doit fournir des informations d’identification valides et envoyer le formulaire. Si la demande peut être authentifiée, le système génère un cookie qui contient une clé pour rétablir l’identité en vue des demandes ultérieures.

Fournisseur d’authentification unique Web

L’authentification unique Web est parfois appelée authentification fédérée ou authentification déléguée, car elle prend en charge la communication sécurisée à travers différents réseaux.

L’authentification unique est une méthode d’authentification qui permet d’accéder à plusieurs ressources sécurisées grâce à une unique authentification à partir des informations d’identification des utilisateurs. Il existe différentes implémentations d’authentification unique. L’authentification unique Web prend en charge la communication sécurisée à travers différents réseaux en permettant aux utilisateurs authentifiés dans une organisation d’accéder aux applications Web d’autres organisations. Les services ADFS (Active Directory Federation Services) prennent en charge l’authentification unique Web. Dans un scénario ADFS, deux organisations peuvent créer une relation de fédération de confiance permettant aux utilisateurs d’une des organisations d’accéder aux applications Web contrôlées par l’autre organisation. Pour plus d’informations sur l’utilisation des services ADFS pour la configuration de l’authentification unique Web, reportez-vous à la section Configurer l’authentification unique Web à l’aide des services ADFS (Windows SharePoint Services).