Planifier des méthodes d’authentification (Windows SharePoint Services)
Mise à jour : 2009-04-16
Dans cet article :
À propos de l'authentification
Méthodes d'authentification prises en charge
Configurer l'authentification
Planifier l'authentification pour l'analyse du contenu
Planification des zones pour votre conception d'authentification
Choisir les méthodes d'authentification autorisées dans votre environnement
Feuille
Cet article décrit les méthodes d'authentification prises en charge par Windows SharePoint Services 3.0. Après avoir lu cet article, vous pourrez :
Comprendre de quelle manière l'authentification est implémentée dans Windows SharePoint Services 3.0.
Identifier les méthodes d'authentification qui conviennent à votre environnement.
À propos de l'authentification
L'authentification est le processus de validation de l'identité d'un utilisateur. Une fois l'identité d'un utilisateur validée, le processus d'autorisation détermine à quels sites, contenu et autres fonctionnalités l'utilisateur peut accéder.
Dans Windows SharePoint Services 3.0, le processus d'authentification est géré par Internet Information Services (IIS). Une fois les utilisateurs authentifiés, les fonctionnalités de sécurité de Windows SharePoint Services 3.0 exécutent le processus d'autorisation.
Pour plus d'informations sur l'implémentation du processus d'autorisation Windows SharePoint Services 3.0, voir Planifier la sécurité de site et de contenu (Windows SharePoint Services).
La planification de l'authentification est importante non seulement pour protéger votre solution en validant les identités des utilisateurs, mais aussi pour sécuriser les informations d'identification des utilisateurs sur le réseau.
Méthodes d'authentification prises en charge
Windows SharePoint Services 3.0 fournit un système d'authentification flexible et extensible, qui prend en charge l'authentification des systèmes de gestion des identités, basés ou non sur le système d'exploitation Microsoft Windows. Par l'intégration avec l'authentification enfichable ASP .NET, Windows SharePoint Services 3.0 prend en charge un large éventail de schémas d'authentification basée sur les formulaires. La prise en charge de l'authentification dans Windows SharePoint Services 3.0 permet une kyrielle de scénarios d'authentification, notamment grâce à :
Des méthodes d'authentification Windows standard.
Une simple base de données de noms d'utilisateur et de mots de passe.
Une connexion directe au système de gestion des identités d'une organisation.
Au moins deux méthodes d'authentification pour accéder aux applications partenaires (par exemple, connexion à votre système de gestion des identités de la société partenaire pour l'authentification des employés du partenaire lors de l'utilisation de méthodes d'authentification Windows pour authentifier vos employés internes).
La participation à des systèmes de gestion des identités fédérés.
Le tableau suivant répertorie les méthodes d'authentification prises en charge :
| Méthode d'authentification | Description | Exemples |
|---|---|---|
Windows |
Les méthodes d'authentification Windows IIS standard sont prises en charge. |
|
Formulaires ASP.NET |
Windows SharePoint Services 3.0 ajoute la prise en charge des systèmes de gestion des identités qui ne sont pas basés sur Windows en intégrant le système d'authentification par formulaires ASP.NET. L'authentification ASP.NET permet à Windows SharePoint Services 3.0 d'utiliser les systèmes de gestion des identités qui implémentent l'interface MembershipProvider. Vous n'avez pas besoin de réécrire les pages d'administration de sécurité ou de gérer les comptes de service d'annuaire Active Directory cachés. |
|
Authentification unique Web |
Windows SharePoint Services 3.0 prend en charge l'authentification fédérée par le biais de fournisseurs d'authentification unique Web. L'authentification unique Web permet l'authentification unique dans les environnements qui incluent des services exécutés sur des plates-formes disparates. Il est inutile de gérer les comptes Active Directory distincts. |
|
Authentification des comptes système
L'authentification par formulaire ASP.NET et l'authentification unique Web peuvent servir à authentifier uniquement les comptes d'utilisateurs. Les comptes de processus utilisés pour vous connecter à des logiciels de base de données Microsoft SQL Server et exécuter la batterie de serveurs Web doivent être des comptes Windows, même lorsque vous utilisez d'autres méthodes d'authentification pour authentifier les utilisateurs.
Windows SharePoint Services 3.0 prend en charge l'authentification SQL Server et les comptes de processus de l'ordinateur local pour les batteries qui n'exécutent pas Active Directory. Par exemple, vous pouvez implémenter des comptes locaux en utilisant des noms d'utilisateur et des mots de passe identiques sur tous les serveurs d'une batterie de serveurs.
Configurer l'authentification
Bien que la configuration de l'authentification Windows soit un processus simple, la configuration de l'authentification pour utiliser des formulaires ASP.NET ou l'authentification unique Web nécessite plus de planification. Cette section fournit un résumé de la manière dont l'authentification est configurée dans Windows SharePoint Services 3.0. Ces informations vous permettront de comprendre comment rassembler une stratégie d'authentification pour votre solution et déterminer qui dans votre organisation doit être impliqué dans la planification de l'authentification.
Configurer l'authentification pour les applications Web SharePoint
L'authentification dans Windows SharePoint Services 3.0 est configurée au niveau de l'application Web SharePoint. Le diagramme suivant illustre une batterie de serveurs Windows SharePoint Services qui est configurée pour héberger des sites de plusieurs sociétés. L'authentification est configurée séparément pour chaque société.
.gif "Hébergement de l’authentification pour deux sociétés différentes")
Lorsque vous créez initialement ou étendez une application Web, vous rencontrez un nombre limité d'options d'authentification (Kerberos, NTLM et anonyme). Si vous utilisez l'une de ces méthodes, vous pouvez configurer l'authentification lorsque vous créez ou étendez l'application Web.
L'illustration suivante montre les choix d'authentification limités qui sont disponibles lorsque vous créez initialement ou étendez une application Web :
.gif "Paramètres d’authentification par défaut")
Toutefois, si vous utilisez des paramètres d'authentification différents, sélectionnez les options d'authentification par défaut et configurez l'authentification après avoir créé ou étendu l'application Web. (Pour ce faire, dans l'Administration centrale, sur la page Gestion des applications, dans la section Sécurité des applications, sélectionnez Fournisseurs d'authentification, puis cliquez sur la zone pour ouvrir la page Modifier l'authentification.) Les paramètres qui sont configurés sur cette page dépendent du type d'authentification qui est sélectionné : Windows, par formulaires ou authentification unique Web.
L'illustration suivante montre la page Modifier l'authentification :
.gif "Page Modifier l’authentification")
Selon les options d'authentification que vous sélectionnez dans l'Administration centrale, une configuration supplémentaire peut être nécessaire. Le tableau suivant résume les étapes de configuration selon la méthode d'authentification. Ce tableau indique également si des rôles spécialisés supplémentaires sont nécessaires en plus du rôle Administrateur SharePoint.
| Méthode d'authentification | Configuration supplémentaire | Rôles spécialisés |
|---|---|---|
Anonyme, |
Aucune |
Aucun |
De base |
Aucune |
Aucun |
Digest |
Configurez l'authentification Digest directement dans IIS. |
Aucun |
Certificats |
|
Administrateur Windows Server 2003, pour obtenir et configurer des certificats |
NTLM (Windows intégrée) |
Aucune |
Aucun |
Kerberos (Windows intégrée) |
|
Administrateur IIS |
Formulaires |
|
|
Authentification unique Web |
Outre les étapes de configuration requises pour l'authentification par formulaire ASP.NET, enregistrez un module HTTP pour le fournisseur d'authentification unique Web. |
|
Se connecter aux systèmes de gestion des identités qui sont externes ou non basés sur Windows
Pour utiliser des formulaires ASP.NET ou l'authentification unique Web pour authentifier les utilisateurs dans un système de gestion des identités qui n'est pas basé sur Windows ou qui est externe, vous devez inscrire le fournisseur d'appartenances dans le fichier web.config. Outre l'enregistrement d'un fournisseur d'appartenances, vous pouvez aussi inscrire un gestionnaire de rôles. Windows SharePoint Services 3.0 utilise l'interface du gestionnaire de rôle ASP.NET standard pour collecter des informations de groupe sur l'utilisateur actuel. Chaque rôle ASP.NET est traité comme un groupe de domaines par le processus d'autorisation dans Windows SharePoint Services 3.0. Vous enregistrez les gestionnaires de rôles dans le fichier web.config de la même façon que vous enregistrez des fournisseurs d'appartenances pour l'authentification.
Si vous souhaitez gérer les appartenances des utilisateurs ou les rôles à partir du site Administration centrale, vous pouvez éventuellement enregistrer le fournisseur d'appartenances et le gestionnaire de rôles dans le fichier web.config du site Administration centrale (en plus d'enregistrer ces paramètres dans le fichier web.config de l'application Web qui héberge le contenu).
Assurez-vous que le nom du fournisseur d'appartenances et le nom du gestionnaire de rôles que vous avez enregistrés dans le fichier web.config sont identiques aux noms que vous avez entrés sur la page Authentication.aspx du site Administration centrale. Si vous n'entrez pas le gestionnaire de rôles dans le fichier web.config, le fournisseur par défaut spécifié dans le fichier machine.config peut être utilisé à la place.
Par exemple, la chaîne suivante dans un fichier web.config spécifie un fournisseur d'appartenances SQL :
<membership defaultProvider="AspNetSqlMembershipProvider">
Pour plus d'informations sur l'utilisation de l'authentification par formulaire ASP.NET pour vous connecter à un fournisseur d'authentification SQL Server, voir Exemples d'authentification (Windows SharePoint Services).
Enfin, si vous utilisez l'authentification unique Web pour vous connecter à un système de gestion des identités externe, vous devez également inscrire un module HTTP pour l'authentification unique Web. Un module HTTP est un assembly qui est appelé sur chaque demande faite à votre application. Les modules HTTP sont appelés dans le cadre de la canalisation des demandes ASP.NET. Pour plus d'informations, voir Introduction aux modules HTTP (https://go.microsoft.com/fwlink/?linkid=77954&clcid=0x40C) .
L'intégration avec l'authentification par formulaire ASP.NET place des exigences supplémentaires sur le fournisseur d'authentification. Outre enregistrer les différents éléments dans le fichier web.config, le fournisseur d'appartenances, le gestionnaire de rôles et le module HTTP doivent être programmés pour interagir avec Windows SharePoint Services 3.0 et les méthodes ASP.NET, comme indiqué dans le tableau suivant :
| Catégorie | Description |
|---|---|
Fournisseur d'appartenances |
Pour fonctionner avec Windows SharePoint Services 3.0, le fournisseur d'appartenances doit implémenter les méthodes suivantes :
|
Gestionnaire de rôles |
Le gestionnaire de rôles doit implémenter les méthodes suivantes :
|
Module HTTP |
Le module HTTP doit gérer les événements suivants :
|
Activation de l'accès anonyme
Vous pouvez activer l'accès anonyme pour une application Web en plus de configurer une méthode d'authentification plus sécurisée. Avec cette configuration, les administrateurs de sites au sein de l'application Web peuvent choisir d'autoriser l'accès anonyme. Si des utilisateurs anonymes souhaitent accéder à des ressources sécurisées et fonctionnalités, ils peuvent cliquer sur un bouton d'ouverture de session pour envoyer leurs informations d'identification.
Utilisation de différentes méthodes d'authentification pour accéder à un site
Vous pouvez configurer l'accès aux applications Web dans Windows SharePoint Services 3.0 à l'aide de cinq méthodes d'authentification ou systèmes de gestion des identités différents. La figure suivante illustre une application partenaire qui est configurée pour être accessible par les utilisateurs de deux systèmes de gestion des identités. Les employés internes sont authentifiés à l'aide de l'une des méthodes d'authentification Windows standard. Les employés de la société partenaire sont authentifiés à l'aide du système de gestion des identités de leur société.
.gif "Gérer le diagramme des options d’authentification")
Pour configurer l'accès à une application Web à l'aide de plusieurs systèmes d'authentification différents, vous devez configurer des zones supplémentaires pour l'application Web. Les zones représentent différents chemins logiques d'accès à la même application physique. Avec une application classique partenaire, les employés d'une société partenaire accèdent à l'application via Internet, tandis que les employés internes accèdent à l'application directement par le biais de l'intranet.
Pour créer une nouvelle zone, étendez l'application Web. Sur la page Étendre une application Web à un autre site Web IIS, dans la section URL avec équilibrage de la charge réseau, spécifiez le type d'URL et de zone. Le type de zone est simplement un nom de catégorie appliqué à la zone et n'affecte pas la configuration de la zone.
Après avoir étendu l'application Web, vous pouvez configurer une méthode d'authentification distincte pour la nouvelle zone. L'illustration suivante affiche la page Fournisseurs d'authentification pour une application Web qui est configurée en utilisant deux zones différentes. La zone par défaut est la zone utilisée par les employés internes. La zone Internet est configurée pour l'accès partenaire et utilise des formulaires ASP.NET pour authentifier les employés partenaires sur le système de gestion des identités de la société partenaire.
.gif "Application Web configurée avec deux zones")
Planifier l'authentification pour l'analyse du contenu
Pour réussir des analyses de contenu dans une application Web, vous devez comprendre les besoins d'authentification du composant d'index du serveur de recherche (également appelé robot). Cette section explique comment configurer l'authentification pour les applications Web pour vous assurer que le contenu de ces applications peut être correctement analysé.
Lorsqu'un administrateur de batterie crée une application Web en utilisant tous les paramètres par défaut, la zone par défaut pour cette application Web est configurée pour utiliser NTLM. L'administrateur de batterie peut changer la méthode d'authentification de la zone par défaut en une méthode d'authentification prise en charge par Windows SharePoint Services 3.0.
L'administrateur de batterie peut également étendre une application Web une ou plusieurs fois pour activer des zones supplémentaires. Un maximum de cinq zones peut être associé à une application Web particulière, et chaque zone peut être configurée pour utiliser n'importe quelle méthode d'authentification prise en charge par Windows SharePoint Services 3.0.
Ordre dans lequel le robot accède aux zones
Lorsque vous planifiez les zones d'une application Web, envisagez l'ordre d'interrogation dans lequel le robot accède aux zones lors de la tentative d'authentification. L'ordre d'interrogation est important, car si le robot rencontre une zone configurée pour utiliser l'authentification de base, Digest ou Kerberos, l'authentification échoue et le robot ne tente pas d'accéder à la zone suivante dans l'ordre d'interrogation. Si cela se produit, le robot n'analyse pas le contenu dans cette application Web.
.gif "Tip") Conseil : |
|---|
Vérifiez qu'une zone configurée pour NTLM est antérieure dans l'ordre d'interrogation à une zone configurée pour l'authentification de base, Digest ou Kerberos. |
Le robot interroge les zones dans l'ordre suivant :
Zone par défaut
Zone intranet
Zone Internet
Zone personnalisée
Zone extranet
La figure suivante illustre les décisions prises par le système d'authentification lorsque le robot tente de s'authentifier :
.gif "Affiche l’ordre des zones d’interrogation du robot.")
Le tableau suivant décrit les actions associées à chaque légende dans la figure :
| Légende | Action |
|---|---|
1 |
Le robot tente de s'authentifier en utilisant la zone par défaut. Notes Le robot essaie toujours d'utiliser la zone par défaut en premier lors de la tentative d'authentification d'une application Web particulière. |
2 |
Si la zone est configurée pour NTLM, le robot est authentifié et poursuit avec la phase d'autorisation. |
3 |
Si la zone est configurée pour l'authentification de base, Digest ou Kerberos, l'authentification échoue et le robot ne tente pas de s'authentifier en utilisant une autre zone. Cela signifie que le contenu n'est pas analysé. |
4 |
S'il n'y a plus de zones dans l'ordre d'interrogation, l'authentification échoue et le contenu n'est pas analysé. |
5 |
Le robot tente de s'authentifier en utilisant la zone suivante dans l'ordre d'interrogation. |
Si vous configurez la zone par défaut pour utiliser une méthode d'authentification que le robot ne prend pas en charge, par exemple, authentification par formulaire ou authentification unique Web, vous devez créer au moins une zone supplémentaire et configurer cette zone pour utiliser l'authentification NTLM. Envisagez le scénario suivant.
Scénario d'authentification
L'administrateur de batterie crée une application Web et la configure pour utiliser l'authentification par formulaire. Étant donné que l'administrateur de batterie souhaite que le contenu de l'application Web puisse être analysé et indexé, et, comme il sait que le robot requiert une zone configurée avec NTLM, il étend l'application Web et configure la zone intranet pour utiliser NTLM.
Lorsque le robot tente de s'authentifier en utilisant la zone par défaut, le système d'authentification détermine que le robot et la zone ne sont pas configurés pour utiliser la même méthode d'authentification. Dans la mesure où la zone n'est pas configurée pour l'authentification de base, Digest ou Kerberos et qu'il y a au moins une zone supplémentaire dans l'ordre d'interrogation, le robot tente de s'authentifier en utilisant la zone intranet. Étant donné que la zone intranet est configurée pour utiliser NTLM et le robot utilise également cette méthode d'authentification, l'authentification réussit.
Outre la configuration appropriée de la méthode d'authentification, vous devez vous assurer que le robot est autorisé à analyser le contenu dans l'application Web. Pour ce faire, vous devez vérifier que les informations d'identification utilisées pour le compte d'accès au contenu ont un niveau d'autorisation Lecture totale ou supérieur sur l'application Web que vous souhaitez analyser. Les administrateurs de batteries de serveurs peuvent utiliser la page Stratégie de l'application Web du site Administration centrale pour créer une stratégie qui octroie au compte d'accès au contenu le niveau d'autorisation Lecture totale sur une application Web spécifique.
Analyse des collections de sites de l'hôte nommé
Les processus et les règles illustrés dans la figure précédente ne s'appliquent pas aux collections de sites de l'hôte nommé. Cela est dû au fait que celles-ci sont disponibles uniquement dans la zone par défaut. Si vous ne configurez pas la zone par défaut pour utiliser NTLM lors du déploiement des collections de sites de l'hôte nommé, vous devez configurer une autre méthode pour que le composant d'index accède au contenu.
Pour plus d'informations sur l'analyse des collections de sites de l'hôte nommé qui ne sont pas configurées pour l'authentification NTLM, voir les articles suivants :
Planification des zones pour votre conception d'authentification
Si vous souhaitez implémenter plusieurs méthodes d'authentification pour une application Web à l'aide de zones, utilisez les instructions suivantes :
Utilisez la zone par défaut pour implémenter les paramètres d'authentification les plus sécurisés. Si une demande ne peut pas être associée à une zone spécifique, les paramètres d'authentification et autres stratégies de sécurité de la zone par défaut sont appliqués. La zone par défaut est la zone qui est créée lorsque vous créez initialement une application Web. En règle générale, les paramètres d'authentification les plus sécurisés sont conçus pour l'accès de l'utilisateur final. Par conséquent, la zone par défaut sera probablement la zone accessible par les utilisateurs finaux.
Utilisez le nombre minimal de zones requis par l'application. Chaque zone est associée à un site IIS et domaine pour accéder à l'application Web. Ajoutez uniquement de nouveaux points d'accès lorsqu'ils sont nécessaires.
Si vous souhaitez inclure le contenu de l'application Web dans les résultats de la recherche, vérifiez qu'au moins une zone est configurée pour utiliser l'authentification NTLM. L'authentification NTLM est requise par le composant d'index pour analyser le contenu. Ne créez pas de zone dédiée pour le composant d'index, sauf si cela est nécessaire.
Choisir les méthodes d'authentification autorisées dans votre environnement
Outre présenter la configuration de l'authentification, la planification de l'authentification permet les opérations suivantes :
Envisager le contexte de sécurité ou l'environnement de votre application Web dans Windows SharePoint Services 3.0.
Évaluer les recommandations et les compromis pour chaque méthode.
Comprendre comment les informations d'identification utilisateur et les données d'identité connexes sont mises en cache et utilisées par Windows SharePoint Services 3.0.
Comprendre comment les comptes d'utilisateurs sont gérés.
Vérifier que les méthodes d'authentification sont compatibles avec les navigateurs qui sont utilisés par vos utilisateurs.
| Action de feuille |
|---|
Utilisez la feuille des méthodes d'authentification (en anglais) (https://go.microsoft.com/fwlink/?linkid=77970&clcid=0x40C) (en anglais) pour identifier les méthodes d'authentification que vous souhaitez prendre en charge dans votre environnement et enregistrer vos décisions et recommandations pour chacune d'elles. Cette feuille sera utilisée lors de la planification des méthodes d'authentification pour des applications Web individuelles dans Windows SharePoint Services 3.0. |
Recommandations liées à des environnements de sécurité spécifiques
Votre choix de méthodes d'authentification est principalement guidé par le contexte de sécurité de votre application. Le tableau suivant fournit des recommandations basées sur les environnements de sécurité courants :
| Environnement | Considérations |
|---|---|
Intranet |
Au minimum, protégez les informations d'identification de l'utilisateur contre l'affichage en clair. Intégrez-les au système de gestion des utilisateurs qui est implémenté dans votre environnement. Si Active Directory est implémenté, utilisez les méthodes d'authentification Windows intégrées dans IIS. |
Collaboration sécurisée externe |
Configurez une zone distincte pour chaque société partenaire qui se connecte au site. Utilisez l'authentification unique Web pour l'authentification dans chaque système de gestion des identités propre à chaque partenaire. Cela évite d'avoir à créer des comptes dans votre propre système de gestion des identités et vous avez la garantie que les identités des collaborateurs continuent à être gérées et validées par des employeurs partenaires. Si un collaborateur n'est plus employé par une société partenaire, le collaborateur n'a plus accès à votre application partenaire. |
Anonyme externe |
Activez l'accès anonyme (aucune authentification) et les autorisations en lecture seule pour les utilisateurs qui se connectent à partir d'Internet. Si vous souhaitez fournir un contenu ciblé ou basé sur les rôles, vous pouvez utiliser l'authentification par formulaire ASP.NET pour inscrire les utilisateurs en utilisant une base de données de noms d'utilisateurs et rôles simple. Utilisez le processus d'inscription pour identifier les utilisateurs par rôle (par exemple médecin, patient ou pharmacien). Lorsque les utilisateurs ouvrent une session, votre site peut présenter le contenu qui est spécifique au rôle d'utilisateur. Dans ce scénario, l'authentification n'est pas utilisée pour valider les informations d'identification ou pour limiter qui peut accéder au contenu ; le processus d'authentification fournit simplement une méthode de ciblage du contenu. |
Recommandations et compromis liés aux méthodes d'authentification
Comprendre les avantages, les recommandations et les compromis liés à chaque méthode d'authentification spécifique peut vous aider à déterminer les méthodes à utiliser dans votre environnement. Le tableau suivant met en évidence les recommandations et des compromis pour chaque méthode d'authentification. Pour plus d'informations sur chacune des méthodes d'authentification Windows prises en charge par IIS, voir Authentification IIS (https://go.microsoft.com/fwlink/?linkid=78066&clcid=0x40C) .
| Méthode d'authentification | Avantages et recommandations | Compromis |
|---|---|---|
Windows |
|
|
Formulaires ASP.NET |
|
|
Authentification unique Web |
|
|
Gestion des informations d'identité d'utilisateur
La façon dont les informations d'identification et autres informations d'identité sont traitées et utilisées par Windows SharePoint Services 3.0 peut influencer votre décision concernant les options d'authentifications les plus appropriées à vos besoins. Cette section explique comment sont traitées les informations d'identité d'utilisateur dans les catégories suivantes :
ID binaires Façon dont les identificateurs binaires d'utilisateur sont créés ou utilisés par Windows SharePoint Services 3.0.
Mise en cache Processus de conservation de l'identité d'un utilisateur pendant un laps de temps pour éviter la répétition du processus d'authentification à chaque demande.
Appartenance aux rôles et groupes Outre déterminer qui sont les utilisateurs, le processus d'authentification détermine également les groupes ou rôles auxquels un utilisateur appartient. Ces informations sont utilisées au cours du processus d'autorisation pour déterminer les autorisations dont dispose un utilisateur pour effectuer des actions. Dans le cadre de l'autorisation, Windows SharePoint Services 3.0 traite les groupes Active Directory et les rôles ASP.NET en tant que même type d'entité.
Le tableau suivant décrit en détail la façon dont Windows SharePoint Services 3.0 gère les ID binaires d'utilisateur, les données utilisateur mises en cache et les données d'appartenance aux rôles et groupes en fonction de la méthode d'authentification utilisée :
| Élément | Authentification Windows | Formulaires ASP.NET et authentification unique Web |
|---|---|---|
ID binaires |
Windows SharePoint Services 3.0 utilise l'identificateur de sécurité (SID) Windows. |
Windows SharePoint Services 3.0 crée un ID binaire unique en combinant le nom de fournisseur et le nom d'utilisateur. |
Mise en cache |
Les informations d'identification de l'utilisateur sont mises en cache et gérées par IIS, Internet Explorer et Windows. |
ASP.NET utilise un cookie chiffré pour conserver les informations d'identification de l'utilisateur pendant la durée d'une session. |
Appartenance aux rôles et groupes |
Windows conserve la liste des groupes de domaines Active Directory auxquels l'utilisateur appartient dans le jeton d'accès. Windows SharePoint Services 3.0 utilise les informations stockées dans le jeton d'accès. |
Lorsqu'un gestionnaire de rôles est enregistré, Windows SharePoint Services utilise l'interface du gestionnaire de rôles standard pour collecter des informations de groupe sur l'utilisateur actuel. Chaque rôle ASP.NET est traité comme un groupe de domaines par le processus d'autorisation. ASP.NET peut mettre en cache les rôles auxquels l'utilisateur appartient dans un cookie, selon les paramètres configurés dans le fichier web.config. |
Gestion des comptes d'utilisateurs
Comprendre la façon dont Windows SharePoint Services 3.0 gère les tâches de gestion de compte d'utilisateur standard peut également influencer le choix de la méthode d'authentification. En règle générale, les utilisateurs qui sont membres d'un fournisseur d'authentification dans une zone peuvent gérer des comptes dans toutes les zones tant qu'ils disposent des autorisations nécessaires. Les informations dans la liste ci-dessous s'appliquent quelle que soit la méthode d'authentification implémentée :
Ajout et invitation de nouveaux utilisateurs Vous pouvez ajouter ou inviter un nouvel utilisateur à partir de toute zone et toutes les méthodes d'authentification qui sont configurées si le fournisseur d'appartenances et le gestionnaire de rôles sont enregistrés dans le fichier web.config actuel. Lorsque vous ajoutez un nouvel utilisateur, Windows SharePoint Services 3.0 résout le nom d'utilisateur dans les sources suivantes dans l'ordre suivant :
La table UserInfoList stockée par Windows SharePoint Services 3.0. Les informations utilisateur seront dans cette liste si les utilisateurs ont déjà été ajoutés à un autre site.
Le fournisseur d'authentification qui est configuré pour la zone actuelle. Par exemple, si un utilisateur est membre du fournisseur d'authentification qui est configuré pour la zone par défaut, Windows SharePoint Services 3.0 vérifie tout d'abord ce fournisseur d'appartenances associé.
Tous les autres fournisseurs d'authentification.
Suppression d'utilisateurs Des comptes d'utilisateurs sont marqués comme étant supprimés dans la base de données Windows SharePoint Services 3.0. Toutefois, l'enregistrement de l'utilisateur n'est pas supprimé.
Certains comportements de gestion de compte utilisateur dans Windows SharePoint Services 3.0 varient selon le fournisseur d'authentification. Le tableau suivant met en évidence plusieurs tâches de compte utilisateur courantes qui diffèrent en fonction de la méthode d'authentification qui est implémentée :
| Tâche | Comptes authentifiés Windows | Comptes authentifiés par des formulaires ASP.NET et l'authentification unique Web |
|---|---|---|
Ajout et invitation de nouveaux utilisateurs |
Windows SharePoint Services 3.0 valide des identités d'utilisateur à l'aide d'Active Directory. |
Windows SharePoint Services 3.0 appelle le fournisseur d'appartenances et le gestionnaire de rôles pour vérifier que l'utilisateur et les rôles existent. |
Modifications apportées à des noms d'ouverture de session |
Les noms d'utilisateur mis à jour sont automatiquement reconnus par Windows SharePoint Services 3.0. Aucune entrée n'est ajoutée à la table UserInfoList. |
Vous devez supprimer l'ancien nom de compte, puis ajouter le nouveau nom de compte. Les autorisations ne peuvent pas être migrées. |
Ouverture de session |
Si l'authentification Windows intégrée (Kerberos ou NTLM) est utilisée et le navigateur est configuré afin de permettre une ouverture de session automatique, les utilisateurs n'ont pas besoin d'ouvrir une session manuellement sur des sites SharePoint. Par défaut, Internet Explorer est configuré pour ouvrir automatiquement une session sur des sites intranet. Si une ouverture de session est requise (par exemple, sites nécessitant un ensemble différent d'informations d'identification), les utilisateurs sont uniquement invités à taper un nom d'utilisateur et un mot de passe. Toutefois, si l'authentification de base est utilisée, ou si l'utilisateur utilise un navigateur qui n'est pas configuré afin de permettre une ouverture de session automatique, les utilisateurs peuvent être invités à entrer des informations d'identification d'ouverture de session lorsqu'ils accèdent à un site SharePoint. |
Windows SharePoint Services 3.0 fournit une page standard d'ouverture de session à utiliser avec l'authentification par formulaire. Cette page contient les champs suivants : Nom d'utilisateur, Mot de passe, Se connecter automatiquement (pour conserver les cookies). Vous pouvez créer votre propre page d'ouverture de session afin d'ajouter des contrôles d'ouverture de session (par exemple, créer un nouveau compte, ou réinitialiser le mot de passe). |
Prise en charge du navigateur
Certains navigateurs ne fonctionnent avec toutes les méthodes d'authentification qui sont prises en charge. Avant de sélectionner des méthodes d'authentification à autoriser dans votre environnement, déterminez quels navigateurs doivent être pris en charge. Ensuite, déterminez les méthodes d'authentification prises en charge par les navigateurs. Internet Explorer fonctionne avec chacune des méthodes d'authentification prise en charge. Les autres navigateurs pris en charge par Windows SharePoint Services 3.0 sont les suivants :
Netscape 8.0
Netscape 7.2
Mozilla 1.7.12
Firefox 1.5
Safari 2.02
Feuille
Utilisez la feuille suivante pour enregistrer les méthodes d'authentification qui conviennent à votre environnement :
- Feuille des méthodes d'authentification (en anglais) (https://go.microsoft.com/fwlink/?linkid=77970&clcid=0x40C) (en anglais)
Le tableau suivant représente un exemple d'une feuille remplie :
| Méthode d'authentification | Autoriser | Ne pas autoriser | Remarques et recommandations |
|---|---|---|---|
Anonyme |
x |
||
De base |
x |
||
Digest |
x |
||
Certificats |
x |
||
NTLM (Windows intégrée) |
x |
*« Utiliser NTLM pour tous les sites de service à l'exception du service Finance. »* |
|
Kerberos (Windows intégrée) |
x |
*« Utiliser l'authentification Kerberos pour les sites possédant un contrat de niveau de service (SLA) de sécurité élevée. »* |
|
Formulaires ASP.NET |
x |
*« Utiliser l'authentification par formulaire pour autoriser l'accès de la société partenaire à des sites hébergés dans l'extranet partenaire. Nous autorisons actuellement l'authentification dans les systèmes de gestion des identités suivants : Active Directory, LDAP. Collaborer avec Sidney Higa pour développer des paramètres d'authentification pour une utilisation avec l'authentification par formulaire. »* |
|
Authentification unique Web |
x |
*« Utiliser cette méthode pour les applications partenaires uniquement si une société partenaire participe à des systèmes de gestion des identités fédérés. Pour plus d'informations, consulter David Jones. »* |
Remarques supplémentaires : « Collaborer avec Denise Smith pour valider les paramètres d'authentification des applications Web SharePoint avant l'implémentation. »
Télécharger ce livre
Cette rubrique est incluse dans le livre téléchargeable suivant pour une lecture et une impression plus faciles :
Planification et architecture de Windows SharePoint Services 3.0, partie 2 (en anglais)
Planification d'un environnement extranet pour Windows SharePoint Services (en anglais)
Consultez la liste des livres disponibles à l’adresse Livres à télécharger pour Windows SharePoint Services.