L’authentification dans SharePointL’authentification dans SharePoint

Gérer les permissionsGérer les permissions

Configurer une ferme de serveurs de Configurer une ferme de serveurs de façon sécuriséefaçon sécurisée

Environnement de sécurité

Equipe interne

Hébergement IT

Equipe externe

Anonyme

• Authentification utilisateur•Valider le compte utilisateur•Gérer la sécurité par des utilisateurs/groupes•Pas de listes de distribution

• Authentification • Internet Information Services

•Anonyme, Basic, Windows intégré, Kerberos, Certificats

• Authentification par formulaire• Authentification « Web Single Sign-on »

(ADFS)

Comptes Windows

Challenge pour les entreprises

Authentification remise à plat

Base de données SQL Server

• Authentification enfichable• Positionnée au niveau

d’une zone dans une appli. Web

• Identité indépendante de l’OS

• Fournisseurs d’authentification et de rôles

• LDAP• Active Directory• SQL Server

• Domaine unique• Plus limité à

l’authentification sur Active Directory

• Formulaires ASP.NET

ASP.NET

En standar

d

Active Direc.

Module

d’Authent.

Gestionnaire

de rôles

Fournisseur

d’appartenance

SharePointBases de

contenu

Utilisateurs /

Groupes

Identité utilisateur

Redirection client

Groupes/Rôles

Autorisation

Invitations

Machine.config

Web.config Administration centrale

<membership><membership><providers><providers>

<add name=“<add name=“VotreMembershipProviderVotreMembershipProvider““connectionStringName=“connectionStringName=“VotreChaineDeConnexionVotreChaineDeConnexion" " ……/>/>

</providers></providers></membership></membership>

<roleManager><roleManager><providers><providers>

<add name=“<add name=“VotreRoleProviderVotreRoleProvider““connectionStringName=“connectionStringName=“VotreChaineDeConnexionVotreChaineDeConnexion““… />… />

</providers></providers></roleManager></roleManager>

<connectionStrings><connectionStrings><add name=“<add name=“VotreChaineDeConnexionVotreChaineDeConnexion" connectionString="data " connectionString="data source=127.0.0.1;Integrated Security=SSPI;Initial Catalog=aspnetdb" />source=127.0.0.1;Integrated Security=SSPI;Initial Catalog=aspnetdb" />

</connectionStrings></connectionStrings>

• Navigateurs clients• Accessible uniquement avec des navigateurs

Web• Crawler de recherche limité à une

authentification Windows• Fonctionnement dégradé depuis Office

• Une authentification• Un type d’authentification par application Web• Pas d’authentification Windows et Formulaire

pour le même domaine• Une paire de fournisseurs par domaine

• Comptes «formulaire»• Correspondent à des utilisateurs différents• Remplacent les comptes Windows

Démonstration

Authentification par formulaire sur une base de données SQL

Authentification SharepointAuthentification Sharepoint

Gérer les permissionsGérer les permissions

Configurer une ferme de serveursConfigurer une ferme de serveurs

PropriétairesAccès total

VisiteursAccès en lecture seule

MembresListes et

bibliothèques

Contrôle totalConcevoirContribuerLire

Autorisations

Finesse des autorisations

Interface utilisateur

• Interface d’administration disponible

• Accès consistant aux autorisations

• Héritage des permissions

• Lecture/Ecriture vs. Lecture seule

• Accessible dans les dossiers des listes

• Accessible au niveau d’un document dans une liste ou une bibliothèque

• Nouveaux objets à sécuriser

• Administration trois-tiers• En mode Web

• En fonction des rôles et des tâches

• Délégation contrôlée

• Isolation

Services partagés

• Autorisations des services

• Configuration des services

• MOSS uniquement

Administration centrale

• Authentification

• Politiques de sécurité

• Configuration de la ferme

Paramètres de site• Autorisation d’accès au

contenu

Admins de contenu

Admins centraux

Admins de contenu partagé

Administrateurs de la

Collection de sitesDévérrouiller

des documents

Corbeillede deuxième

niveau

Permissions non

supprimables

Plus d’accès complet par

défaut

Administrateurs de la

Collection de sitesDévérrouiller

des documents

Administrateurs centraux

Corbeillede deuxième

niveau

Permissions non

supprimables

S’auto accorder l’accès

Stocké dans le journal

d’évènements

DémonstrationUtilisation des groupes et des autorisations

Créer un groupeAjouter un utilisateur à un groupeCréer un niveau d’autorisation

Ouvrir les éléments

Enumérer les autorisations

Fonctionnalités d’intégration des clients

Création et gestion des

alertes

Utiliser les

interfaces

distantes

Afficher ou supprimer des

versions

Approuver des

éléments

Afficher les pages des application

Parcourir les informations utilisateurs

• Autorisations réduites• Accès en lecture seule• Pas d’accès aux interfaces

distantes• Pas de contrôle au niveau

dossier ou élément• Limitations en « dur »

• Utilisateurs ne disposant pas de comptes sur le serveur

• Activé dans IIS / désactivé dans SharePoint

• Activer ou désactiver l’accès anonyme

• Contrôle au niveau Liste• Accès en lecture seule à une

bibliothèque

Accès anonyme

Limitations

Services partagés

Complètement restructurés et remis à plat

Nouveau modèle de fournisseur de services

Inclut tous les services

Services partagés

Complètement restructurés et remis à plat

Nouveau modèle de fournisseur de services

Inclut tous les services

Utilisation

Permissions du Catalogue de données métiers

Emplacements approuvés de fichiers Excel

Visibilité des propriétés de profil utilisateur

Démonstration

Positionner des permissions sur un élément

Ajouter un utilisateur à une listeAjouter un groupe à un dossier

Stratégie de Sécurité

Nouvelles configurations

Office Server Single sign-on

• Accorder/enlever des autorisations au niveau de la zone dans une application Web

• Permissions “Refuser tout”• Scenarios “Refuser l’écriture”,

« Lecture totale »

• Types de fichiers bloqués, Masque de droits

• Liste de contrôles sûrs• « Code Access Security »,

recherche de virus

• Stockage et utilisation des comptes et mots de passe pour accéder à des applications métier

Authentification SharepointAuthentification Sharepoint

Gérer les permissionsGérer les permissions

Configurer une ferme de serveursConfigurer une ferme de serveurs

Plus de restrictions sur les topologies!Plus de restrictions sur les topologies!

Les servers ont des rôles:Les servers ont des rôles:Frontal WEB (WFE)Frontal WEB (WFE)

Serveur d’ApplicationServeur d’Application

Serveur de bases de donnéesServeur de bases de données

Possibilité de créer une ferme de n’importe quelle Possibilité de créer une ferme de n’importe quelle taille pour chaque rôle!taille pour chaque rôle!

Bonnes pratiques:Bonnes pratiques:1 serveur d’index1 serveur d’index

Pas plus de 8 WFEs pour un serveur SQLPas plus de 8 WFEs pour un serveur SQL

Architecture

logique

Topologie réseau

TopologieServeurs

Système d’exploitati

on

Canaux

IPSec SSL

Communication sécurisée

Impact sur les

performances

Approche méthodique

Specific roles

Listes d’instantan

és

Conception de la

sécurité

Communication serveur à

serveur

Comptes uniquesComptes uniquesAdministration centraleAdministration centrale

Processus des services partagésProcessus des services partagés

Compte service Web des services partagésCompte service Web des services partagés

Pool d’applications de contenuPool d’applications de contenu

KerberosKerberos activé (NTLM par défaut) activé (NTLM par défaut)Chaque compte de processus doit être un SPN enregistréChaque compte de processus doit être un SPN enregistré

Mode par défaut dans SQL 2005 pour les processus non systèmeMode par défaut dans SQL 2005 pour les processus non système

SSL activé (désactivé par défaut)SSL activé (désactivé par défaut)À activer pour les sites d’administration et la communication serveur à serveurÀ activer pour les sites d’administration et la communication serveur à serveur

Avertissement envoyer sur les pages de login si SSL est désactivéAvertissement envoyer sur les pages de login si SSL est désactivé

Service SPAdminService SPAdminDans une configuration à un seul serveur : DésactivéDans une configuration à un seul serveur : Désactivé

Dans une ferme : ActivéDans une ferme : Activé

Authentification enfichableAuthentification enfichableWindows : Kerberos, Windows intégré, Windows : Kerberos, Windows intégré, BasicBasicFormulaires ASP.Net et Web SSO (ADFS)Formulaires ASP.Net et Web SSO (ADFS)

Gestion des permissionsGestion des permissionsPossible au niveau site, liste, dossier et Possible au niveau site, liste, dossier et élémentélémentServices partagésServices partagésStratégies de l’administration centrale et Stratégies de l’administration centrale et configurationconfiguration

Configuration d’une ferme WebConfiguration d’une ferme WebTopologie de sécuritéTopologie de sécuritéSécurisation des communicationsSécurisation des communications

Sharepoint sur TechnetSharepoint sur TechnetAuthentification KerberosAuthentification KerberosModèles de fournisseurs Modèles de fournisseurs d’appartenance et de rôlesd’appartenance et de rôles

S’informer S’informer - Un portail d’informations, des - Un portail d’informations, des événements, une newsletter bimensuelle événements, une newsletter bimensuelle personnaliséepersonnalisée

Se former - Se former - Des webcasts, des articles techniques, des Des webcasts, des articles techniques, des téléchargements, des forums pour échanger avec vos téléchargements, des forums pour échanger avec vos pairspairs

Bénéficier de services - Bénéficier de services - Des cursus de formations et Des cursus de formations et de certifications, des offres de support techniquede certifications, des offres de support technique

Visual Studio 2005 +Visual Studio 2005 +

Abonnement Abonnement MSDN MSDN Premium Premium

Abonnement Abonnement TechNet TechNet Plus :Plus :

Versions d’éval + 2 incidents Versions d’éval + 2 incidents supportsupport

© 2007 Microsoft France

Votre potentiel, notre passion TM