Fournisseurs de revendications personnalisés pour le sélecteur de personnes (SharePoint Foundation 2010)
S’applique à : SharePoint Foundation 2010
Dernière rubrique modifiée : 2016-11-30
Une revendication contient des informations sur l’identité de l’utilisateur, comme le nom, l’adresse de messagerie ou l’appartenance à un groupe. Un fournisseur de revendications dans Microsoft SharePoint Foundation 2010 émet des revendications, que SharePoint Foundation 2010 empaquète ensuite sous la forme de jetons de sécurité pour les utilisateurs. Lorsqu’un utilisateur se connecte à SharePoint Foundation 2010, le jeton de l’utilisateur est validé puis utilisé pour se connecter à SharePoint Foundation 2010. Les fournisseurs de revendications sont affichés dans l’interface utilisateur de la boîte de dialogue Sélectionner des personnes et des groupes, dans le sélecteur de personnes. Ils fournissent la fonctionnalité permettant de rechercher et sélectionner des utilisateurs, des groupes et des revendications lorsque des autorisations sont attribuées à des éléments tels que des listes, des bibliothèques et des sites dans SharePoint Foundation 2010. Pour des informations sur le sélecteur de personnes, voir Présentation du sélecteur de personnes (SharePoint Foundation 2010).
Cet article décrit l’utilisation des fournisseurs de revendications, leurs avantages, leur architecture, et met l’accent sur certains points à prendre en compte avec les fournisseurs de revendications personnalisés et leur planification. Il n’explique pas comment créer ou configurer des fournisseurs de revendications personnalisés. Pour savoir comment créer un fournisseur de revendications personnalisé, voir Procédures liées aux revendications (https://go.microsoft.com/fwlink/?linkid=207578&clcid=0x40C) et Création de fournisseurs de revendications personnalisés dans SharePoint 2010 (éventuellement en anglais) (https://go.microsoft.com/fwlink/?linkid=211324&clcid=0x40C) (éventuellement en anglais).
Avant de lire cet article, vous devez comprendre les concepts présentés dans Planifier des méthodes d’authentification (SharePoint Foundation 2010) et Rôle des revendications (éventuellement en anglais) (https://go.microsoft.com/fwlink/?linkid=208326&clcid=0x40C) (éventuellement en anglais). Pour plus d’informations sur l’authentification basée sur les revendications, voir Identité basée sur des revendications SharePoint (https://go.microsoft.com/fwlink/?linkid=196647&clcid=0x40C) et Guide pour l’identité et le contrôle d’accès basés sur des revendications (éventuellement en anglais) (https://go.microsoft.com/fwlink/?linkid=187911&clcid=0x40C) (éventuellement en anglais).
Dans cet article :
Utilisation et avantages
Architecture
À propos des fournisseurs de revendications personnalisés
Déploiement et configuration de fournisseurs de revendications personnalisés
Utilisation de fournisseurs de revendications personnalisés sur plusieurs batteries de serveurs
Considérations à propos des fournisseurs de revendications personnalisés
Utilisation et avantages
Un fournisseur de revendications dans SharePoint Foundation 2010 sert principalement les deux objectifs suivants :
Augmenter les revendications
Fournir la résolution des noms
Sur le plan de l’augmentation, le fournisseur de revendications augmente le jeton d’un utilisateur avec des revendications supplémentaires durant la connexion. Pour plus d’informations sur l’augmentation des revendications, voir Fournisseur de revendications (https://go.microsoft.com/fwlink/?linkid=207579&clcid=0x40C).
Sur le plan de la sélection, le fournisseur de revendications liste, résout, recherche et détermine l’affichage « convivial » des utilisateurs, des groupes et des revendications dans le sélecteur de personnes. Grâce à la sélection des revendications, une application peut exposer des revendications dans le sélecteur de personnes, par exemple pour configurer la sécurité d’un site ou d’un service SharePoint. Pour plus d’informations sur le sélecteur de personnes, voir Présentation du sélecteur de personnes (SharePoint Foundation 2010).
Vous pouvez utiliser les fournisseurs de revendications qui sont inclus dans SharePoint Foundation 2010 ou créer vos propres fournisseurs de revendications personnalisés pour ajouter des revendications supplémentaires dans le jeton de sécurité d’un utilisateur ou pour se connecter à d’autres sources de revendications. Par exemple, si vous avez une application de gestion de la relation client qui contient des rôles introuvables dans le référentiel utilisateur d’Active Directory, vous pouvez créer un fournisseur de revendications personnalisé pour se connecter à cette base de données et ajouter les données de rôle voulu au jeton de revendications d’origine de l’utilisateur. Pour plus d’informations sur les scénarios d’utilisation de fournisseur de revendications, voir Fournisseur de revendications (https://go.microsoft.com/fwlink/?linkid=207579&clcid=0x40C).
Architecture
Lorsqu’une application Web est configurée afin d’utiliser l’authentification basée sur les revendications, SharePoint Foundation 2010 se sert automatiquement des deux fournisseurs de revendications par défaut suivants :
La classe SPSystemClaimProvider (éventuellement en anglais) (https://go.microsoft.com/fwlink/?linkid=210011&clcid=0x40C) (éventuellement en anglais) fournit les informations sur les revendications relatives à la batterie de serveurs où SharePoint Foundation 2010 est installé.
La classe SPAllUserClaimProvider (éventuellement en anglais) (https://go.microsoft.com/fwlink/?linkid=210012&clcid=0x40C) (éventuellement en anglais) fournit une revendication Tous les utilisateurs qui est affichée dans la boîte de dialogue Sélectionner des personnes et des groupes, dans le sélecteur de personnes.
Selon la méthode d’authentification choisie sur une zone d’une application Web, SharePoint Foundation 2010 utilise également un ou plusieurs des fournisseurs de revendications par défaut répertoriés dans le tableau suivant.
Méthode d’authentification | Fournisseur de revendications |
---|---|
Authentification Windows |
SPActiveDirectoryClaimProvider (éventuellement en anglais) (https://go.microsoft.com/fwlink/?linkid=208325&clcid=0x40C) (éventuellement en anglais) |
Authentification par formulaire |
SPFormsClaimProvider (éventuellement en anglais) (https://go.microsoft.com/fwlink/?linkid=210013&clcid=0x40C) (éventuellement en anglais) |
Authentification par jeton SAML (Security Assertion Markup Language) |
SPTrustedClaimProvider (éventuellement en anglais) (https://go.microsoft.com/fwlink/?linkid=210014&clcid=0x40C) (éventuellement en anglais) |
Ces fournisseurs de revendications sont affichés dans la boîte de dialogue Sélectionner des personnes et des groupes, dans le sélecteur de personnes. Vous pouvez afficher la liste des fournisseurs de revendications d’une batterie de serveurs à l’aide de l’applet de commande Get-SPClaimProviderWindows PowerShell.
Notes
Lorsqu’une application Web est configurée pour utiliser l’authentification par jeton SAML, la classe SPTrustedClaimProvider ne fournit pas la fonctionnalité de recherche au sélecteur de personnes. Tout texte entré dans le sélecteur de personnes sera automatiquement affiché comme s’il avait été résolu, qu’il s’agisse ou non d’un utilisateur, d’un groupe ou d’une revendication valide. Si votre solution SharePoint Foundation 2010 doit utiliser l’authentification par jeton SAML, il vous faut planifier la création d’un fournisseur de déclarations personnalisé pour implémenter la recherche et la résolution de nom personnalisées.
Les fournisseurs de revendications sont enregistrés sur une batterie de serveurs en tant que composants fonctionnels déployés sur la batterie. Leur portée est au niveau de la batterie. Chaque objet fournisseur de revendications utilise la classe SPClaimProviderDefinition pour inclure des informations sur le fournisseur de revendications, telles que nom d’affichage, description, assembly et type. IsEnabled et IsUsedByDefault sont deux propriétés importantes de la classe SPClaimProviderDefinition, qui déterminent si un fournisseur de revendications enregistré est activé sur la batterie de serveurs, et si celui-ci est utilisé par défaut sur une zone particulière. Par défaut, tous les fournisseurs de revendications sont activés lorsqu’ils sont déployés sur une batterie de serveurs. Pour des informations sur la classe SPClaimProviderDefinition, voir Classe SPClaimProviderDefinition (éventuellement en anglais) (https://go.microsoft.com/fwlink/?linkid=207595&clcid=0x40C) (éventuellement en anglais).
Pour plus d’informations sur les zones et l’authentification, voir Planifier des méthodes d’authentification (SharePoint Foundation 2010).
Pour savoir comment écrire un fournisseur de revendications personnalisé, voir Création de fournisseurs de revendications personnalisés dans SharePoint 2010 (éventuellement en anglais) (https://go.microsoft.com/fwlink/?linkid=211324&clcid=0x40C) (éventuellement en anglais) et Procédure pas à pas pour les revendications : écriture de fournisseurs de revendications pour SharePoint 2010 (https://go.microsoft.com/fwlink/?linkid=207589&clcid=0x40C). Pour savoir comment remplacer le fournisseur de revendications par défaut, voir Comment remplacer la résolution de nom et le fournisseur de revendications par défaut de SharePoint 2010 (éventuellement en anglais) (https://go.microsoft.com/fwlink/?linkid=207591&clcid=0x40C) (éventuellement en anglais).
À propos des fournisseurs de revendications personnalisés
Par défaut, les informations résolues dans le sélecteur de personnes lorsqu’une requête est effectuée dépendent des informations fournies par le fournisseur de revendications. Vous ne pouvez pas changer la nature des informations fournies ni leur affichage si vous utilisez un fournisseur de revendications prédéfini. Pour réaliser cela, un développeur doit créer un fournisseur de revendications personnalisé qui répond aux besoins de votre solution en matière de recherche et de sélection des utilisateurs, des groupes et des revendications lorsqu’un utilisateur attribue des autorisations à des éléments tels qu’une liste, une bibliothèque ou un site.
Par exemple, si votre application Web utilise l’authentification SAML et que vous souhaitez aussi retrouver les utilisateurs à partir d’Active Directory, vous devez créer un fournisseur de revendications personnalisé. Pour d’autres exemples de scénarios d’utilisation des fournisseurs de revendications, voir Fournisseur de revendications (https://go.microsoft.com/fwlink/?linkid=207579&clcid=0x40C).
Lorsque vous créez un fournisseur de revendications personnalisé, vous pouvez contrôler les informations affichées et les résultats retournés en réponse à une requête depuis le sélecteur de personnes. Par défaut, vous configurez l’application Web pour qu’elle utilise l’authentification par revendications, puis vous enregistrez le fournisseur de revendications sur le serveur.
Notes
Vous ne pouvez pas contrôler l’ordre dans lequel les fournisseurs de revendications sont affichés dans la boîte de dialogue Sélectionner des personnes et des groupes, dans le sélecteur de personnes.
Pour savoir comment écrire un fournisseur de revendications personnalisé, voir Procédure : créer un fournisseur de revendications (https://go.microsoft.com/fwlink/?linkid=207588&clcid=0x40C) et Procédure pas à pas pour les revendications : écriture de fournisseurs de revendications pour SharePoint 2010 (https://go.microsoft.com/fwlink/?linkid=207589&clcid=0x40C). Pour savoir comment remplacer le fournisseur de revendications par défaut, voir Comment remplacer la résolution de nom et le fournisseur de revendications par défaut de SharePoint 2010 (éventuellement en anglais) (https://go.microsoft.com/fwlink/?linkid=207591&clcid=0x40C) (éventuellement en anglais).
Déploiement et configuration de fournisseurs de revendications personnalisés
Par défaut, lorsque vous enregistrez un fournisseur de revendications personnalisé sur la batterie de serveurs, les propriétés IsEnabled et IsUsedByDefault sont toutes deux définies à True. À moins que la propriété IsUsedByDefault soit définie à False, le fournisseur de revendications personnalisé est affiché dans la boîte de dialogue Sélectionner des personnes et des groupes, dans le sélecteur de personnes pour toutes les zones. Selon le nombre de zones nécessaires pour votre solution SharePoint Foundation 2010, les méthodes d’authentification utilisées par chaque zone, et les utilisateurs de chaque zone, vous pouvez limiter les zones dans lesquelles le fournisseur de revendications personnalisé est affiché dans le sélecteur de personnes.
Comme les fournisseurs de revendications sont définis au niveau de la batterie de serveurs et activés au niveau de la zone, vous devez planifier avec soin les zones dans lesquelles afficher le fournisseur de revendications personnalisé. En général, vous devez vous assurer que la propriété IsUsedByDefault est définie à False, puis configurer la classe SPIisSettings pour chaque zone dans laquelle utiliser le fournisseur de revendications personnalisé. Pour configurer un fournisseur de revendications personnalisé afin de sélectionner des zones, vous pouvez créer un script Windows PowerShell qui définit le fournisseur de revendications sur une zone, à l’aide de la propriété SPIisSettings.ClaimsProviders, ou créer une application personnalisée permettant d’activer un fournisseur de revendications personnalisé afin de sélectionner des zones. Pour des informations sur la propriété SPIisSettings.ClaimsProvider, voir SPIisSettings.ClaimsProvider, propriété (éventuellement en anglais) (https://go.microsoft.com/fwlink/?linkid=207597&clcid=0x40C) (éventuellement en anglais). Pour savoir comment créer une application personnalisée pour configurer un fournisseur de revendications personnalisé afin de sélectionner des zones, voir le billet de blog TechNet Configuration d’un fournisseur de revendications personnalisé à utiliser uniquement sur des zones choisies dans SharePoint 2010 (éventuellement en anglais) (https://go.microsoft.com/fwlink/?linkid=207592&clcid=0x40C) (éventuellement en anglais).
Par exemple, considérons un scénario avec deux applications Web : la première application, PartnerWeb, comprend deux zones — un intranet qui utilise l’authentification basée sur les revendications Windows et un extranet qui utilise l’authentification par formulaires — et est utilisée pour la collaboration entre employés et partenaires. La seconde application, PublishingWeb, ne comprend qu’une seule zone qui utilise l’authentification par formulaires et est un site de publication Internet pour les employés, les partenaires commerciaux et les clients. Supposons maintenant que pour la zone extranet sur PartnerWeb, vous souhaitez que les employés puissent collaborer avec les partenaires commerciaux, mais pas avec les clients. Pour cela, vous écrivez un fournisseur de revendications personnalisé qui détermine si l’utilisateur actuel est un partenaire commercial ou un client, en fonction de l’identité de l’utilisateur. Dans cet exemple, les utilisateurs de fabrikam.com sont des partenaires commerciaux, tandis que les utilisateurs de contoso.com sont des clients. Lorsqu’un partenaire commercial est authentifié dans l’application PartnerWeb, une revendication de rôle appelé BusinessPartner est ajoutée au jeton de revendication ; lorsqu’un client est authentifié, une revendication de rôle appelé CustomerPartner est ajoutée au jeton de revendication. Pour s’assurer que les clients ne puissent pas être ajoutés au site extranet de collaboration, vous ajoutez une stratégie d’application Web à l’application PartnerWeb sur la zone extranet qui refuse explicitement l’accès à tout utilisateur ayant une revendication de rôle appelé CustomerPartner. Le fournisseur de revendications personnalisé doit aussi implémenter la prise en charge de la recherche et de la saisie afin que la stratégie d’application Web résolve la revendication de rôle CustomerPartner pour pouvoir l’ajouter. Finalement, pour activer cette fonctionnalité sur la zone extranet, vous configurez la classe SPIisSettings pour que cette zone utilise le fournisseur de revendications personnalisé. Le diagramme suivant illustre les méthodes d’authentification et les paramètres du fournisseur de revendications pour chaque application Web et chaque zone.
Notes
Sur le site Web Administration centrale, tous les fournisseurs de revendications sont affichés dans la boîte de dialogue Sélectionner des personnes et des groupes, dans le sélecteur de personnes, que la propriété IsUsedByDefault soit définie ou non à True.
Vous pouvez définir la propriété IsUsedByDefault en la configurant dans un récepteur de fonctionnalité que vous créez pour votre fournisseur de revendications personnalisé. Pour savoir comment utiliser un récepteur de fonctionnalité pour déployer un fournisseur de revendications personnalisé, voir Exemple : récepteur de fonctionnalités pour déployer un fournisseur de revendications (https://go.microsoft.com/fwlink/?linkid=207590&clcid=0x40C).
Vous pouvez également remplacer la définition des propriétés IsEnabled et IsUsedByDefault à l’aide de l’applet de commande Set-SPClaimProviderWindows PowerShell.
Important
Si vous remplacez la valeur de la propriété IsEnabled par False, cela désactive le fournisseur de revendications sur la batterie entière de serveurs. Cela peut être utile pour dépanner des problèmes susceptibles d’être causés par un fournisseur de revendications personnalisé. Mais, en règle générale, la propriété IsEnabled doit être définie à True.
Utilisation de revendications personnalisées sur plusieurs batteries de serveurs
Les valeurs des revendications sont une combinaison de la revendication, du nom du fournisseur de revendications et de l’ordre d’installation du fournisseur de revendications sur le serveur. Par conséquent, si vous souhaitez utiliser une revendication sur plusieurs batteries ou environnements, vous devez installer les fournisseurs de revendications dans le même ordre sur chaque batterie où utiliser la revendication. Utilisez la procédure suivante si vous avez installé un fournisseur de revendications personnalisé sur une batterie et souhaitez utiliser la même revendication sur d’autres batteries.
Enregistrez les fournisseurs de revendications sur les batteries supplémentaires dans l’ordre où ils ont été enregistrés sur la première batterie.
Effectuez une sauvegarde de la première batterie de serveurs. Pour savoir comment sauvegarder une batterie de serveurs, voir Sauvegarder une batterie de serveurs (SharePoint Foundation 2010).
Utilisez la sauvegarde de la première batterie de serveurs pour restaurer les autres batteries. Pour savoir comment restaurer une batterie de serveurs, voir Restaurer une batterie de serveurs (SharePoint Foundation 2010).
Considérations à propos des fournisseurs de revendications personnalisés
Pour planifier des fournisseurs de revendications personnalisés à utiliser avec le sélecteur de personnes dans votre solution SharePoint, prenez en compte les questions suivantes :
Quelles sont les zones de votre application Web et quelles méthodes d’authentification sont utilisées sur chacune ?
Faut-il ajouter des revendications personnalisées aux utilisateurs pour permettre des scénarios de sécurité plus avancés ?
Utiliserez-vous l’authentification SAML avec un fournisseur d’identité approuvé ?
Quelle sera la source des valeurs pour les utilisateurs et les rôles affichés dans les résultats de requête du sélecteur de personnes ?
Quelles données de revendication faut-il résoudre dans la boîte de dialogue Sélectionner des personnes et des groupes ?
L’équipe de publication de contenu SharePoint Foundation 2010 remercie Steve Peschka pour sa contribution à cet article. Son blog se trouve ici (éventuellement en anglais) (https://go.microsoft.com/fwlink/?linkid=210274&clcid=0x40C) (éventuellement en anglais).
See Also
Concepts
Planifier des méthodes d’authentification (SharePoint Foundation 2010)