Upload
patrice-delaunay
View
105
Download
0
Embed Size (px)
Citation preview
L’authentification dans SharePointL’authentification dans SharePoint
Gérer les permissionsGérer les permissions
Configurer une ferme de serveurs de Configurer une ferme de serveurs de façon sécuriséefaçon sécurisée
Environnement de sécurité
Equipe interne
Hébergement IT
Equipe externe
Anonyme
• Authentification utilisateur•Valider le compte utilisateur•Gérer la sécurité par des utilisateurs/groupes•Pas de listes de distribution
• Authentification • Internet Information Services
•Anonyme, Basic, Windows intégré, Kerberos, Certificats
• Authentification par formulaire• Authentification « Web Single Sign-on »
(ADFS)
Comptes Windows
Challenge pour les entreprises
Authentification remise à plat
Base de données SQL Server
• Authentification enfichable• Positionnée au niveau
d’une zone dans une appli. Web
• Identité indépendante de l’OS
• Fournisseurs d’authentification et de rôles
• LDAP• Active Directory• SQL Server
• Domaine unique• Plus limité à
l’authentification sur Active Directory
• Formulaires ASP.NET
ASP.NET
En standar
d
Active Direc.
Module
d’Authent.
Gestionnaire
de rôles
Fournisseur
d’appartenance
SharePointBases de
contenu
Utilisateurs /
Groupes
Identité utilisateur
Redirection client
Groupes/Rôles
Autorisation
Invitations
Machine.config
Web.config Administration centrale
<membership><membership><providers><providers>
<add name=“<add name=“VotreMembershipProviderVotreMembershipProvider““connectionStringName=“connectionStringName=“VotreChaineDeConnexionVotreChaineDeConnexion" " ……/>/>
</providers></providers></membership></membership>
<roleManager><roleManager><providers><providers>
<add name=“<add name=“VotreRoleProviderVotreRoleProvider““connectionStringName=“connectionStringName=“VotreChaineDeConnexionVotreChaineDeConnexion““… />… />
</providers></providers></roleManager></roleManager>
<connectionStrings><connectionStrings><add name=“<add name=“VotreChaineDeConnexionVotreChaineDeConnexion" connectionString="data " connectionString="data source=127.0.0.1;Integrated Security=SSPI;Initial Catalog=aspnetdb" />source=127.0.0.1;Integrated Security=SSPI;Initial Catalog=aspnetdb" />
</connectionStrings></connectionStrings>
• Navigateurs clients• Accessible uniquement avec des navigateurs
Web• Crawler de recherche limité à une
authentification Windows• Fonctionnement dégradé depuis Office
• Une authentification• Un type d’authentification par application Web• Pas d’authentification Windows et Formulaire
pour le même domaine• Une paire de fournisseurs par domaine
• Comptes «formulaire»• Correspondent à des utilisateurs différents• Remplacent les comptes Windows
Démonstration
Authentification par formulaire sur une base de données SQL
Authentification SharepointAuthentification Sharepoint
Gérer les permissionsGérer les permissions
Configurer une ferme de serveursConfigurer une ferme de serveurs
PropriétairesAccès total
VisiteursAccès en lecture seule
MembresListes et
bibliothèques
Contrôle totalConcevoirContribuerLire
Autorisations
Finesse des autorisations
Interface utilisateur
• Interface d’administration disponible
• Accès consistant aux autorisations
• Héritage des permissions
• Lecture/Ecriture vs. Lecture seule
• Accessible dans les dossiers des listes
• Accessible au niveau d’un document dans une liste ou une bibliothèque
• Nouveaux objets à sécuriser
• Administration trois-tiers• En mode Web
• En fonction des rôles et des tâches
• Délégation contrôlée
• Isolation
Services partagés
• Autorisations des services
• Configuration des services
• MOSS uniquement
Administration centrale
• Authentification
• Politiques de sécurité
• Configuration de la ferme
Paramètres de site• Autorisation d’accès au
contenu
Admins de contenu
Admins centraux
Admins de contenu partagé
Administrateurs de la
Collection de sitesDévérrouiller
des documents
Corbeillede deuxième
niveau
Permissions non
supprimables
Plus d’accès complet par
défaut
Administrateurs de la
Collection de sitesDévérrouiller
des documents
Administrateurs centraux
Corbeillede deuxième
niveau
Permissions non
supprimables
S’auto accorder l’accès
Stocké dans le journal
d’évènements
DémonstrationUtilisation des groupes et des autorisations
Créer un groupeAjouter un utilisateur à un groupeCréer un niveau d’autorisation
Ouvrir les éléments
Enumérer les autorisations
Fonctionnalités d’intégration des clients
Création et gestion des
alertes
Utiliser les
interfaces
distantes
Afficher ou supprimer des
versions
Approuver des
éléments
Afficher les pages des application
Parcourir les informations utilisateurs
• Autorisations réduites• Accès en lecture seule• Pas d’accès aux interfaces
distantes• Pas de contrôle au niveau
dossier ou élément• Limitations en « dur »
• Utilisateurs ne disposant pas de comptes sur le serveur
• Activé dans IIS / désactivé dans SharePoint
• Activer ou désactiver l’accès anonyme
• Contrôle au niveau Liste• Accès en lecture seule à une
bibliothèque
Accès anonyme
Limitations
Services partagés
Complètement restructurés et remis à plat
Nouveau modèle de fournisseur de services
Inclut tous les services
Services partagés
Complètement restructurés et remis à plat
Nouveau modèle de fournisseur de services
Inclut tous les services
Utilisation
Permissions du Catalogue de données métiers
Emplacements approuvés de fichiers Excel
Visibilité des propriétés de profil utilisateur
Démonstration
Positionner des permissions sur un élément
Ajouter un utilisateur à une listeAjouter un groupe à un dossier
Stratégie de Sécurité
Nouvelles configurations
Office Server Single sign-on
• Accorder/enlever des autorisations au niveau de la zone dans une application Web
• Permissions “Refuser tout”• Scenarios “Refuser l’écriture”,
« Lecture totale »
• Types de fichiers bloqués, Masque de droits
• Liste de contrôles sûrs• « Code Access Security »,
recherche de virus
• Stockage et utilisation des comptes et mots de passe pour accéder à des applications métier
Authentification SharepointAuthentification Sharepoint
Gérer les permissionsGérer les permissions
Configurer une ferme de serveursConfigurer une ferme de serveurs
Plus de restrictions sur les topologies!Plus de restrictions sur les topologies!
Les servers ont des rôles:Les servers ont des rôles:Frontal WEB (WFE)Frontal WEB (WFE)
Serveur d’ApplicationServeur d’Application
Serveur de bases de donnéesServeur de bases de données
Possibilité de créer une ferme de n’importe quelle Possibilité de créer une ferme de n’importe quelle taille pour chaque rôle!taille pour chaque rôle!
Bonnes pratiques:Bonnes pratiques:1 serveur d’index1 serveur d’index
Pas plus de 8 WFEs pour un serveur SQLPas plus de 8 WFEs pour un serveur SQL
Architecture
logique
Topologie réseau
TopologieServeurs
Système d’exploitati
on
Canaux
IPSec SSL
Communication sécurisée
Impact sur les
performances
Approche méthodique
Specific roles
Listes d’instantan
és
Conception de la
sécurité
Communication serveur à
serveur
Comptes uniquesComptes uniquesAdministration centraleAdministration centrale
Processus des services partagésProcessus des services partagés
Compte service Web des services partagésCompte service Web des services partagés
Pool d’applications de contenuPool d’applications de contenu
KerberosKerberos activé (NTLM par défaut) activé (NTLM par défaut)Chaque compte de processus doit être un SPN enregistréChaque compte de processus doit être un SPN enregistré
Mode par défaut dans SQL 2005 pour les processus non systèmeMode par défaut dans SQL 2005 pour les processus non système
SSL activé (désactivé par défaut)SSL activé (désactivé par défaut)À activer pour les sites d’administration et la communication serveur à serveurÀ activer pour les sites d’administration et la communication serveur à serveur
Avertissement envoyer sur les pages de login si SSL est désactivéAvertissement envoyer sur les pages de login si SSL est désactivé
Service SPAdminService SPAdminDans une configuration à un seul serveur : DésactivéDans une configuration à un seul serveur : Désactivé
Dans une ferme : ActivéDans une ferme : Activé
Authentification enfichableAuthentification enfichableWindows : Kerberos, Windows intégré, Windows : Kerberos, Windows intégré, BasicBasicFormulaires ASP.Net et Web SSO (ADFS)Formulaires ASP.Net et Web SSO (ADFS)
Gestion des permissionsGestion des permissionsPossible au niveau site, liste, dossier et Possible au niveau site, liste, dossier et élémentélémentServices partagésServices partagésStratégies de l’administration centrale et Stratégies de l’administration centrale et configurationconfiguration
Configuration d’une ferme WebConfiguration d’une ferme WebTopologie de sécuritéTopologie de sécuritéSécurisation des communicationsSécurisation des communications
Sharepoint sur TechnetSharepoint sur TechnetAuthentification KerberosAuthentification KerberosModèles de fournisseurs Modèles de fournisseurs d’appartenance et de rôlesd’appartenance et de rôles
S’informer S’informer - Un portail d’informations, des - Un portail d’informations, des événements, une newsletter bimensuelle événements, une newsletter bimensuelle personnaliséepersonnalisée
Se former - Se former - Des webcasts, des articles techniques, des Des webcasts, des articles techniques, des téléchargements, des forums pour échanger avec vos téléchargements, des forums pour échanger avec vos pairspairs
Bénéficier de services - Bénéficier de services - Des cursus de formations et Des cursus de formations et de certifications, des offres de support techniquede certifications, des offres de support technique
Visual Studio 2005 +Visual Studio 2005 +
Abonnement Abonnement MSDN MSDN Premium Premium
Abonnement Abonnement TechNet TechNet Plus :Plus :
Versions d’éval + 2 incidents Versions d’éval + 2 incidents supportsupport
© 2007 Microsoft France
Votre potentiel, notre passion TM