Partager via


Planifier les paramètres d'authentification pour les applications Web (Windows SharePoint Services)

Mise à jour : 2009-04-28

Dans cet article :

  • Planifier les paramètres d'authentification

  • Planifier les exclusions d'authentification

  • Feuille

Cet article traite des paramètres de configuration d'authentification que vous devez planifier pour les applications Web dans Windows SharePoint Services 3.0. Utilisez cet article avec la Feuille des paramètres d'authentification pour applications Web (en anglais) (https://go.microsoft.com/fwlink/?linkid=73334&clcid=0x40C). Remplissez une feuille distincte pour chacun des éléments suivants faisant partie de votre conception de solution de Windows SharePoint Services 3.0 :

  • Applications Web nouvelles ou étendues dans Windows SharePoint Services 3.0.

  • Zones supplémentaires dans une application Web (autres que la zone par défaut). Incluez les zones créées pour le compte de recherche.

Utilisez les feuilles remplies avec Déployer et configurer des sites SharePoint (Windows SharePoint Services).

Planifier les paramètres d'authentification

Cette section décrit chacun des paramètres de la page Modifier l'authentification du site Web Administration centrale de SharePoint. Pour accéder à cette page, dans la page Gestion des applications, dans la section Sécurité des applications, cliquez sur Fournisseurs d'authentification. Cliquez sur la zone dont vous souhaitez modifier les paramètres d'authentification. La page Modifier l'authentification s'ouvre.

En fonction des options d'authentification que vous choisissez, vous pourrez spécifier directement vos paramètres d'authentification lors de la création ou de l'extension de l'application Web dans Windows SharePoint Services 3.0. Toutefois, les options ne sont pas toutes disponibles lors de la création ou de l'extension initiale d'une application Web. Si vous ne pouvez pas configurer l'authentification lors de la création ou de l'extension de l'application Web, acceptez d'abord les paramètres d'authentification par défaut, puis modifiez les paramètres dans la page Modifier l'authentification.

Type d'authentification

Sélectionnez la méthode à utiliser. Si vous prévoyez d'autoriser l'accès anonyme au lieu d'implémenter une méthode d'authentification répertoriée dans cette section, sélectionnez l'authentification Windows.

Si vous sélectionnez Windows, spécifiez la méthode d'authentification Windows à utiliser dans la section Paramètres d'authentification IIS de la page Modifier l'authentification. Si vous sélectionnez Formulaires ou Authentification unique Web, les options de la page Modifier l'authentification changent pour vous autoriser à entrer le nom du fournisseur d'appartenance et le nom du gestionnaire de rôles.

Si vous souhaitez utiliser l'authentification de certificats ou l'authentification Kerberos, consultez le tableau suivant pour identifier les étapes de configuration supplémentaires nécessaires pour configurer ces méthodes.

Méthode d'authentification Configuration supplémentaire Rôles spécialisés

Certificats

  1. Sélectionner l'authentification Windows dans l'Administration centrale.

  2. Configurer Internet Informations Services (IIS) pour les certificats.

  3. Activer SSL (Secure Sockets Layer).

  4. Obtenir et configurer des certificats à partir d'une autorité de certification (CA).

Administrateur de Microsoft Windows Server 2003, pour obtenir et configurer des certificats

Kerberos (Windows intégrée)

  1. Sélectionner l'authentification Kerberos dans l'Administration centrale.

  2. Configurer un nom principal de service (Service Principal Name, SPN) pour le compte d'utilisateur de domaine utilisé pour l'identité du pool d'applications (compte de processus du pool d'applications).

  3. Inscrire le nom principal de service du compte d'utilisateur de domaine dans Active Directory.

Administrateur IIS

Action de feuille

Enregistrez la configuration supplémentaire nécessaire dans la section Configuration supplémentaire de la Feuille des paramètres d'authentification pour applications Web (en anglais) (https://go.microsoft.com/fwlink/?linkid=73334&clcid=0x40C).

Accès anonyme

Indiquez si l'accès anonyme est autorisé. Si vous avez sélectionné Formulaires ou Authentification unique Web dans la section Type d'authentification, activez la case à cocher Activer l'accès anonyme.

Intégration du client

Vous pouvez désactiver l'intégration du client, ce qui supprime les fonctionnalités qui démarrent les applications clientes. Ceci correspond à la configuration optimale de certains scénarios, tels que la publication de contenu en lecture seule sur le Web pour l'accès anonyme. En outre, si vous sélectionnez l'authentification par formulaires ASP.NET ou l'authentification unique Web (SSO), l'intégration du client est définie sur la valeur Non par défaut.

Si vous avez installé Windows SharePoint Services 3.0 avec Service Pack 2 (SP2), l'intégration du client est prise en charge, sauf l'intégration d'Outlook. Toutes les autres intégrations des clients sont prises en charge, notamment la création avec SharePoint Designer.

NoteRemarque :

Si vous n'avez pas installé Windows SharePoint Services 3.0 avec SP2, l’intégration du client est désactivée par défaut lorsque vous utilisez l’authentification basée sur des formulaires. Cela est dû au fait que l’intégration du client ne prend pas en charge en mode natif l’authentification basée sur des formulaires avant Windows SharePoint Services 3.0 avec SP2.

Comportements attendus lorsque l'intégration du client est désactivée

Lorsque l'intégration du client est désactivée, les sites se comportent comme suit :

  • Les liens qui démarrent les applications clientes ne sont pas visibles.

  • Les documents sont ouverts dans le navigateur. Les documents ne peuvent pas être ouverts par les applications clientes.

  • Les utilisateurs ne peuvent pas modifier directement des documents sur le site dans les applications clientes. En revanche, ils peuvent télécharger le document à partir du site, le modifier localement, puis le télécharger vers le site.

Le tableau suivant répertorie les commandes de menu et les fonctionnalités spécifiques qui ne sont pas disponibles lorsque l'intégration du client est désactivée.

Catégorie Commande ou fonctionnalité non disponible

Barres d'outils

Nouveau document

Travailler dans Microsoft Office Outlook

Ouvrir dans L'Explorateur Windows

Exporter vers une feuille de calcul

Ouvrir avec un programme de base de données

Modification de documents

Modifier dans des applications Microsoft Office telles que Word et Excel.

Affichages

Affichage de l'Explorateur

Créer un affichage Access

Bibliothèques d'images

Télécharger plusieurs

Modifier l'image

Télécharger

Envoyer à

Bibliothèques de diapositives

Publier une diapositive

Envoyer à Microsoft Office PowerPoint

Autre

Discuter

Se connecter à Office Outlook

Comportements des méthodes d'authentification spécifiques

Outre le scénario de déploiement (tel que la publication de contenu en lecture seule), le choix de la méthode d'authentification peut déterminer le mode de configuration de l'intégration du client. Certaines méthodes d'authentification se comportent différemment avec les applications clientes. Dans certains cas, le comportement dépend du fait que les navigateurs clients sont ou non configurés pour utiliser des cookies ou des cookies de session persistants.

Le tableau suivant récapitule les comportements potentiels de l'intégration du client lorsque celle-ci est utilisée avec des méthodes d'authentification spécifiques.

Méthode d'authentification Comportement

De base

Les utilisateurs sont invités à entrer leurs informations d'identification à chaque fois qu'ils accèdent à un document. D'autres fonctionnalités peuvent également nécessiter qu'ils entrent à nouveau leurs informations d'identification.

Formulaires ASP.NET et authentification unique Web

Si les conditions suivantes sont remplies, un cookie persistant est créé :

  • Le fournisseur d'authentification prend en charge les cookies persistants.

  • L'utilisateur clique sur M'inscrire automatiquement lorsqu'il ouvre une session.

Le cookie persistant est partagé par toutes les applications qui utilisent la même banque de cookies et l'utilisateur peut ouvrir des documents dans les applications clientes. Le cookie persistant est créé avec une valeur de délai d'attente par défaut de 30 minutes. Cette valeur peut être modifiée par l'ajout ou la mise à jour du paramètre de délai d'attente dans le nœud des formulaires du fichier web.config. Par exemple :

<forms loginUrl="login.aspx" name=".ASPXFORMSAUTH" timeout="100" />

Lorsque le cookie expire, l'intégration du client cesse de fonctionner. Si les utilisateurs sont dans un navigateur, ils sont invités à entrer à nouveau leurs informations d'identification.

Si le fournisseur d'authentification ne prend pas en charge les cookies persistants ou si l'utilisateur n'a pas cliqué sur M'inscrire automatiquement lors de l'ouverture de session, un cookie de session est utilisé. Un cookie de session est uniquement accessible par le navigateur. L'utilisateur ne pourra pas ouvrir directement un document dans les applications clientes.

Si le fournisseur d'authentification ne prend pas en charge les cookies persistants ou si les cookies persistants ne sont pas autorisés dans votre environnement, désactivez l'intégration du client. Par exemple, le service AD FS (Active Directory Federation Services) ne prend pas en charge les cookies persistants.

Anonyme

Lors de l'ouverture d'un document, les utilisateurs sont invités à plusieurs reprises à entrer leurs informations d'identification. S'ils cliquent dix fois sur Annuler dans la boîte de dialogue d'authentification, le site peut ouvrir le document en utilisant l'application cliente. En raison de cette expérience médiocre, il est recommandé de désactiver l'intégration du client pour les scénarios d'accès anonyme.

Utilisation du système d'exploitation Windows Vista avec Internet Explorer 7

Dans Windows Vista, Internet Explorer 7 inclut une fonctionnalité de sécurité supplémentaires appelée le mode protégé. Par défaut, le mode protégé est activé pour les zones Internet, intranet et Sites sensibles. Étant donné que cette fonctionnalité place des cookies persistants dans un emplacement qui empêche le partage entre applications, l'intégration du client ne fonctionne pas comme prévu.

Pour configurer Internet Explorer 7 de sorte à utiliser l'intégration du client, effectuez l'une des opérations suivantes :

  • Désactivez le mode protégé.

  • Si le mode protégé est activé, ajoutez les sites SharePoint à la zone Sites de confiance dans Internet Explorer

Pour plus d'informations sur la désactivation du mode protégé, voir « Configuration du mode protégé» dans Présentation et utilisation d'Internet Explorer en mode protégé (en anglais) (https://go.microsoft.com/fwlink/?linkid=78098&clcid=0x40C).

Test des paramètres d'intégration du client

Si vous avez des doutes sur la procédure à suivre pour configurer le paramètre d'intégration du client, testez les résultats dans un environnement de test avant de déployer les sites en production. Si ce paramètre est modifié après avoir été appliqué, les sites et applications clientes peuvent se comporter anormalement.

Action de feuille

Dans la Feuille des paramètres d'authentification pour applications Web (en anglais) (https://go.microsoft.com/fwlink/?linkid=73334&clcid=0x40C), dans la section Activer l'intégration des clients, sélectionnez Oui ou Non.

Paramètres de l'authentification par formulaires ASP.NET et authentification unique Web

Si vous implémentez l'authentification par formulaires ASP.NET ou l'authentification unique Web, vous devez développer les paramètres de configuration à insérer dans les fichiers Web.config applicables. Voir Exemples d'authentification (Windows SharePoint Services) pour consulter les exemples de chaînes correctement configurées pour plusieurs scénarios courants.

Action de feuille

Dans la Feuille des paramètres d'authentification pour applications Web (en anglais) (https://go.microsoft.com/fwlink/?linkid=73334&clcid=0x40C), entrez les deux types d'informations suivantes :

  • Nom   Nom du fournisseur d'appartenances, du gestionnaire de rôles et du module HTTP (le cas échéant). Ces noms apparaissent dans le site Administration centrale.

  • Configuration de Web.config   Collez les chaînes de configuration appropriées dans la feuille. Vous pouvez copier ces chaînes à partir de la feuille dans les fichiers Web.config lorsque l'application Web est déployée.

Assurez-vous que le nom MembershipProvider et le nom roleManager que vous avez inscrits dans le fichier web.config sont les mêmes que ceux que vous avez entrés dans la page Authentication.aspx de l'Administration centrale. Si vous n'entrez pas le gestionnaire de rôles dans le fichier web.config, le fournisseur par défaut spécifié dans le fichier Machine.config peut être utilisé à la place.

Par exemple, la chaîne suivante dans un fichier Web.config spécifie un fournisseur d'appartenances SQL :

<membership defaultProvider="AspNetSqlMembershipProvider">

Pour plus d'informations sur les conditions requises pour les fournisseurs d'appartenances et les gestionnaires de rôles, voir « Se connecter aux systèmes de gestion des identités qui sont externes ou non basés sur Windows » dans Planifier des méthodes d’authentification (Windows SharePoint Services).

Planifier les exclusions d'authentification

Si vous implémentez l'authentification par formulaires ASP.NET ou l'authentification unique Web, vous devez planifier des exclusions d'authentification. Si vous implémentez l'authentification Windows, il n'est pas nécessaire de lire cette section.

Lorsque vous créez ou étendez une application Web ou lorsque vous ajoutez une zone à une application Web, IIS crée un nouveau site Web. Les paramètres d'authentification enregistrés dans le fichier web.config de cette application Web sont hérités par les répertoires virtuels sous le site Web. Les répertoires virtuels qui sont ajoutés sous une application Web dans Windows SharePoint Services 3.0 ne sont pas gérés par Windows SharePoint Services 3.0 et sont considérés comme étant exclus des répertoires virtuels.

Si vous implémentez l'authentification par formulaires ASP.NET ou l'authentification unique Web et que vous prévoyez d'ajouter des répertoires virtuels en dessous de ces sites Web, vous devez décider si vous souhaitez que ces répertoires virtuels exclus héritent des paramètres de l'authentification par formulaires ASP.NET ou de l'authentification unique Web.

Action de feuille

Dans la Feuille des paramètres d'authentification pour applications Web (en anglais) (https://go.microsoft.com/fwlink/?linkid=73334&clcid=0x40C), indiquez si les répertoires virtuels exclus seront ajoutés dans IIS sous le site Web correspondant à cette application Web dans Windows SharePoint Services 3.0. Si les répertoires virtuels exclus seront ajoutés, indiquez si les paramètres d'authentification doivent être hérités.

Utilisez la procédure suivante pour configurer IIS de sorte que les paramètres d'authentification ne soient pas hérités.

Configurer IIS de sorte que les paramètres d''authentification ne soient pas hérités

  1. Ajoutez un nouveau répertoire virtuel IIS sous le site Web IIS correspondant à l'application Web ou à la zone appropriée dans Windows SharePoint Services 3.0.

  2. Dans le Gestionnaire IIS, cliquez avec le bouton droit sur le nouveau répertoire virtuel, puis cliquez sur Propriétés.

  3. Cliquez sur l'onglet Répertoire virtuel.

  4. Cliquez sur Créer (cela fait du répertoire virtuel une application).

  5. Cliquez sur Configuration.

  6. Sélectionnez les mappages d'applications génériques, puis cliquez sur Supprimer.

  7. Cliquez sur Oui, puis sur OK.

  8. Créez un fichier Web.config à la racine du nouveau chemin d'accès du système de fichiers du répertoire virtuel, et ajoutez les entrées suivantes :

    <?xml version="1.0" encoding="UTF-8" standalone="yes"?>
    <configuration>
     <system.web>
      <httpModules>
       <clear />
      </httpModules>
      <httpHandlers>
       <clear />
      </httpHandlers>
     </system.web>
    </configuration>
    

Feuille

Utilisez la feuille suivante pour planifier et enregistrer les paramètres de configuration pour chacun de vos applications Web dans Windows SharePoint Services 3.0.

Télécharger ce livre

Cette rubrique est incluse dans le livre téléchargeable suivant pour une lecture et une impression plus faciles :

Consultez la liste des livres disponibles à l'adresse Livres à télécharger pour Windows SharePoint Services.