Nouveautés : améliorations en matière de sécurité

Dernière modification : mercredi 14 avril 2010

S’applique à : SharePoint Foundation 2010

Dans cet article
Identité basée sur des revendications et authentification
Modification automatique du mot de passe et comptes gérés
API d’autorisations effectives
Service Banque d’informations sécurisé

Microsoft SharePoint Foundation et Microsoft SharePoint Server 2010 continuent de s’appuyer sur les fonctionnalités de sécurité de Windows SharePoint Services 3.0 et Microsoft Office SharePoint Server 2007 tout en les améliorant. Cette rubrique présente une synthèse des nouveautés et des améliorations en matière de sécurité dans SharePoint Foundation et SharePoint Server 2010.

Identité basée sur des revendications et authentification

L’identité basée sur des revendications est un modèle d’identité de SharePoint Foundation et SharePoint Server 2010 qui comprend des fonctionnalités, telles que l’authentification des utilisateurs de systèmes Windows et non-Windows, plusieurs types d’authentification, une authentification en temps réel renforcée, un ensemble plus large de types de principal et la délégation d’identité utilisateur entre les applications.

Lorsqu’un utilisateur se connecte à SharePoint Foundation et SharePoint Server 2010, son jeton est validé puis utilisé pour la connexion à SharePoint. Le jeton de l’utilisateur est un jeton de sécurité émis par un fournisseur de revendications. Il existe cinq modes de connexion ou d’accès pris en charge dans SharePoint Foundation et SharePoint Server 2010 :

• Connexion en mode classique Windows

• Connexion en mode revendications Windows

• Mode de connexion passive SAML

• Connexion passive basée sur les rôles et l’appartenance ASP.NET

• Accès anonyme

Notes

La connexion passive SAML décrit le processus de connexion. Lorsqu’une connexion pour une application Web est configurée pour accepter les jetons en provenance d’un fournisseur de connexions approuvé, ce type de connexion est appelé connexion passive SAML. Un fournisseur de connexions approuvé est un service STS externe (c.-à.-d., externe à SharePoint) approuvé par SharePoint. Pour plus d’informations sur la connexion à SharePoint et aux différents modes de connexion, voir Revendications entrantes : connexion à SharePoint.

Lorsque vous créez des applications prenant en charge les revendications, l’utilisateur présente une identité à votre application sous la forme d’un ensemble de revendications, l’une pouvant être le nom de l’utilisateur, une autre son adresse de messagerie. L’idée ici est qu’un système d’identité externe est configuré pour fournir à votre application toutes les informations dont il a besoin à propos de l’utilisateur pour chaque demande, ainsi qu’une assurance cryptographique que les données d’identité reçues par votre application proviennent d’une source approuvée.

Avec ce modèle, l’authentification unique est beaucoup plus facile à réaliser, et votre application n’est plus responsable des aspects suivants :

• authentification des utilisateurs ;

• stockage des comptes et des mots de passe des utilisateurs ;

• appel aux annuaires d’entreprises pour y rechercher les informations d’identité des utilisateurs ;

• intégration aux systèmes d’identité d’autres plateformes ou sociétés.

Avec ce modèle, votre application prend les décisions en matière d’identité en fonction des revendications fournies par l’utilisateur. Cela peut aller de la simple personnalisation d’application à partir du prénom de l’utilisateur jusqu’à autoriser l’utilisateur à accéder aux fonctionnalités et aux ressources de valeur supérieure de votre application.

Pour plus d’informations sur l’identité basée sur les revendications et les fournisseurs de revendications, voir Vue d’ensemble et concepts de l’identité basée sur des revendications et Fournisseur de revendications.

Jeton utilisateur d’appartenance ASP.NET converti en jeton de sécurité des revendications

Dans SharePoint Foundation, un fournisseur d’appartenances ASP.NET doit implémenter la méthode System.Web.Security.Membership.ValidateUser requise. À partir d’un nom d’utilisateur fourni, le système fournisseur de rôles renvoie une liste de rôles auxquels l’utilisateur appartient. Le fournisseur d’appartenances est chargé de valider les informations d’identification à l’aide de la méthode System.Web.Security.Membership.ValidateUser (désormais obligatoire dans SharePoint Foundation).

Toutefois, le jeton utilisateur réel est créé par le service d’émission de jeton de sécurité (STS) SharePoint Foundation. Le service STS SharePoint Foundation crée le jeton de sécurité des revendications à partir du nom d’utilisateur validé par le fournisseur d’appartenances et de l’ensemble des appartenances de groupe associées au nom d’utilisateur fournies par le fournisseur d’appartenances.

Notes

Pour plus d’informations sur le service STS, voir Vue d’ensemble et concepts de l’identité basée sur des revendications. Pour plus d’informations sur la connexion à SharePoint, voir Revendications entrantes : connexion à SharePoint.

Modification automatique du mot de passe et comptes gérés

La nouvelle fonctionnalité de modification automatique du mot de passe de SharePoint Foundation permet de mettre à jour et de déployer les mots de passe sans avoir à effectuer des tâches de mise à jour de mot de passe manuelles sur plusieurs comptes, services et applications Web. La gestion des mots de passe dans SharePoint Foundation s’en trouve ainsi simplifiée. Vous pouvez utiliser la fonctionnalité de modification automatique du mot de passe pour déterminer si un mot de passe arrive à expiration et pour le réinitialiser avec une chaîne aléatoire longue et fiable du point de vue cryptographique.

Pour implémenter la fonction de modification automatique du mot de passe, vous devez utiliser des comptes gérés. Les comptes gérés dans SharePoint Foundation améliorent la sécurité et assurent l’isolation d’applications.

Pour plus d’informations sur l’API de comptes gérés, voir :

• SPManagedAccount

• SPManagedAccount.EventProcessingOptions

• SPManagedAccount.EventType

API d’autorisations effectives

Dans Windows SharePoint Services 3.0, il est difficile d’obtenir l’autorisation effective d’un utilisateur sur des objets sécurisables, tels que SPWeb, SPList, SPListItem, et ainsi de suite. Au fil du temps, le site peut avoir des paramètres d’autorisation très complexes, surtout lorsqu’un grand nombre d’objets n’héritent pas des autorisations des parents (étendue unique). Il est difficile pour les administrateurs d’identifier l’autorisation effective d’un utilisateur spécifique et de savoir comment il l’obtient pour un objet particulier. SharePoint Foundation a introduit une nouvelle commande de ruban nommée Vérifier les autorisations, ainsi qu’un ensemble d’API d’autorisations effectives, qui permettent d’énumérer rapidement toutes les attributions de rôles d’un utilisateur spécifique dans une étendue spécifique.

La classe SPSecurableObject présente une nouvelle méthode GetUserEffectivePermissionsInfo(). Cette méthode permet d’extraire un objet comportant des informations détaillées sur les autorisations effectives dont bénéficie un utilisateur spécifié dans l’étendue actuelle et les attributions de rôles associées à cet utilisateur dans cette étendue. Cette méthode n’inclut pas d’informations sur la stratégie de sécurité d’application Web dans le masque d’autorisation si l’utilisateur spécifié dépend d’une stratégie marquée « Le compte opère en tant que système ». Cette méthode est accessible aux utilisateurs auxquels l’autorisation EnumeratePermissions a été accordée. Pour plus d’informations sur EnumeratePermissions, voir l’énumération SPBasePermissions.

La classe SPSecurableObject présente également une nouvelle méthode GetUserEffectivePermissions(). Pour l’étendue actuelle, cette méthode renvoie un objet SPBasePermissions qui représente le masque d’autorisation effective de l’utilisateur.

La classe SPWeb propose une nouvelle méthode nommée GetWebsAndListsWithUniquePermissions() pour les administrateurs de collections de sites qui leur permet d’extraire une collection de sites Web et des listes qui bénéficient d’autorisations uniques ou qui contiennent des éléments assortis d’autorisations uniques.

Le comportement de l’API est le suivant : à partir de l’URL de départ, elle renvoie une liste d’URL de conteneurs (par exemple, SPWeb ou SPList) s’il existe une étendue de sécurité unique (si l’héritage des rôles a été annulé), notamment tous les conteneurs qui ne possèdent pas d’étendue de sécurité unique mais qui contiennent un ou plusieurs éléments enfants avec des étendues de sécurité uniques.

La classe SPList propose une nouvelle méthode GetItemsWithUniquePermissions() pour les administrateurs de collections de sites qui leur permet d’extraire tous les éléments de liste assortis d’autorisations uniques.

Pour plus d’informations sur ces API, voir Microsoft.SharePoint.

Notes

Cette rubrique ne présente qu’une partie des nouvelles API. Elle ne recense pas toutes les nouvelles API de sécurité ajoutées à SharePoint Foundation.

Service Banque d’informations sécurisé

Le Service Banque d’informations sécurisé remplace la fonctionnalité d’authentification unique de Microsoft Office SharePoint Server 2007. Le Service Banque d’informations sécurisé est un service qui assure le stockage et le mappage des informations d’identification, telles que les noms et les mots de passe de comptes. Il permet de sécuriser le stockage des données qui fournissent les informations d’identification nécessaires à la connexion aux systèmes externes et à l’association de ces informations d’identification à une identité ou un groupe d’identités spécifique. Il est courant que les solutions cherchent à s’authentifier à un système externe dans lequel l’utilisateur actuel est connu sous une autre identité ou possède un compte différent pour l’authentification. En pareils cas, le Service Banque d’informations sécurisé peut être utilisé pour stocker et mapper les informations d’identification utilisateur requises par le système externe. Vous pouvez configurer le Service Banque d’informations sécurisé pour permettre à plusieurs utilisateurs d’accéder à un système externe en utilisant un ensemble unique d’informations d’identification sur ce système externe.

Pour plus d'informations sur le Service Banque d’informations sécurisé, voir Service Banque d’informations sécurisé.

Voir aussi

Concepts

Prise en main de la sécurité et du modèle d’identité basée sur des revendications