Planifier l’authentification Kerberos dans SharePoint ServerPlan for Kerberos authentication in SharePoint Server

s’applique à: oui2013 oui2016 oui2019 nonSharePoint OnlineAPPLIES TO: yes2013 yes2016 yes2019 noSharePoint Online

Le protocole Kerberos prend en charge une méthode d’authentification qui utilise des tickets fournis par une source authentifiée. Les tickets Kerberos indiquent que les informations d’identification réseau d’un utilisateur associé à un ordinateur client ont été authentifiées. Le protocole Kerberos définit la façon dont les utilisateurs interagissent avec un service réseau pour avoir accès aux ressources du réseau. Le centre de distribution de clés (KDC) Kerberos émet un ticket TGT (ticket-granting-ticket) sur un ordinateur client de la part d’un utilisateur. Dans Windows, l’ordinateur client est membre d’un domaine AD DS (Active Directory Domain Services) et le ticket TGT prouve que le contrôleur de domaine a authentifié les informations d’identification utilisateur.The Kerberos protocol supports an authentication method that uses tickets that a trusted source provides. Kerberos tickets indicate that the network credentials of a user who is associated with a client computer were authenticated. The Kerberos protocol defines how users interact with a network service to gain access to network resources. The Kerberos Key Distribution Center (KDC) issues a ticket-granting-ticket (TGT) to a client computer on behalf of a user. In Windows, the client computer is a member of an Active Directory Domain Services (AD DS) domain and the TGT is proof that the domain controller authenticated the user credentials.

Avant d'établir une connexion réseau avec un service réseau, l'ordinateur client présente son ticket TGT au KDC et demande un ticket de service. En fonction du TGT émis précédemment, qui confirme que l'ordinateur client a été authentifié, le KDC émet un ticket de service sur l'ordinateur client. L'ordinateur client soumet ensuite le ticket de service au service réseau. Le ticket de service doit également contenir un nom de principal du service (SPN) acceptable qui identifie le service. Pour activer l'authentification Kerberos, les ordinateurs client et serveur doivent disposer déjà d'une connexion approuvée au KDC. Les ordinateurs client et serveur doivent également pouvoir accéder à AD DS.Before establishing a network connection to a network service, the client computer presents its TGT to the KDC and requests a service ticket. Based on the previously issued TGT, which confirms that the client computer was authenticated, the KDC issues a service ticket to the client computer. The client computer then submits the service ticket to the network service. The service ticket must also contain an acceptable Service Principal Name (SPN) that identifies the service. To enable Kerberos authentication, the client and server computers must already have a trusted connection to the KDC. The client and server computers must also be able to access AD DS.

Authentification Kerberos et SharePoint ServerKerberos authentication and SharePoint Server

Voici les avantages de l’authentification Kerberos :The reasons why you should consider Kerberos authentication are as follows:

  • Le protocole Kerberos est le protocole d'authentification Windows intégrée le plus fort et prend en charge des fonctionnalités avancées de sécurité, notamment le chiffrement AES (Advanced Encryption Standard) et l'authentification mutuelle de clients et de serveurs.The Kerberos protocol is the strongest Integrated Windows authentication protocol, and supports advanced security features including Advanced Encryption Standard (AES) encryption and mutual authentication of clients and servers.

  • Le protocole Kerberos autorise la délégation des informations d'identification du client.The Kerberos protocol allows for delegation of client credentials.

  • Parmi les méthodes d'authentification sécurisée disponibles, Kerberos est celle qui nécessite le moins de trafic réseau vers les contrôleurs de domaine AD DS. Suivant les scénarios, Kerberos peut réduire la latence des pages ou augmenter le nombre de pages qu'un serveur web frontal peut servir. Kerberos peut également réduire la charge sur les contrôleurs de domaine.Of the available secure authentication methods, Kerberos requires the least amount of network traffic to AD DS domain controllers. Kerberos can reduce page latency in certain scenarios, or increase the number of pages that a front-end web server can serve in certain scenarios. Kerberos can also reduce the load on domain controllers.

  • Kerberos est un protocole ouvert qui est pris en charge par de nombreuses plateformes et par de nombreux fournisseurs.The Kerberos protocol is an open protocol that is supported by many platforms and vendors.

Voici les inconvénients de l’authentification Kerberos :The reasons why Kerberos authentication might not be appropriate are as follows:

  • Comparée à d’autres méthodes d’authentification, l’authentification Kerberos nécessite une configuration supplémentaire de l’infrastructure et de l’environnement pour fonctionner correctement. Dans de nombreux cas, il est nécessaire de détenir l’autorisation d’administrateur de domaine pour configurer Kerberos. L’authentification Kerberos peut être difficile à configurer et à gérer. Une mauvaise configuration de Kerberos peut entraîner l’échec de l’authentification auprès de vos sites.In contrast to other authentication methods, Kerberos authentication requires additional infrastructure and environment configuration to function correctly. In many cases, domain administrator permission is required to configure Kerberos authentication which can be difficult to set up and manage. Misconfiguring Kerberos can prevent successful authentication to your sites.

  • L’authentification Kerberos nécessite que l’ordinateur client dispose d’une connexion à un centre de distribution de clés (KDC) et à un contrôleur de domaine des services de domaine Active Directory (AD DS, Active Directory Domain Services). Dans un déploiement Windows et SharePoint, le KDC est un contrôleur de domaine AD DS. Bien qu’il s’agisse d’une configuration réseau courante dans l’intranet d’une organisation, les déploiements exposés à Internet ne sont généralement pas configurés de la sorte.Kerberos authentication requires client computer connectivity to a KDC and to an AD DS domain controller. In a Windows and SharePoint deployment, the KDC is an AD DS domain controller. While this is a common network configuration on an organization intranet, Internet-facing deployments are typically not configured in this manner.

Délégation KerberosKerberos delegation

L'authentification Kerberos prend en charge la délégation de l'identité des clients. Cela signifie qu'un service peut emprunter l'identité d'un client authentifié. L'emprunt d'identité permet à un service de transmettre l'identité authentifiée à d'autres services réseau pour le compte du client. L'authentification basée sur les revendications permet également de déléguer les informations d'identification clientes, mais nécessite que l'application principale soit compatible avec les revendications.Kerberos authentication supports the delegation of client identity. This means that a service can impersonate an authenticated client's identity. Impersonation enables a service to pass the authenticated identity to other network services on behalf of the client. Claims-based authentication can also be used to delegate client credentials, but requires the back-end application to be claims-aware.

Utilisée avec SharePoint Server, la délégation Kerberos permet à un service frontal d'authentifier un client, puis d'utiliser l'identité du client pour s'authentifier auprès d'un système principal. Ce dernier procède ensuite à sa propre authentification. Lorsqu'un client utilise l'authentification Kerberos pour s'authentifier auprès d'un service frontal, la délégation Kerberos permet de transmettre l'identité du client à un système principal. Le protocole Kerberos prend en charge deux types de délégations :Used with SharePoint Server, Kerberos delegation enables a front-end service to authenticate a client and then use the client's identity to authenticate to a back-end system. The back-end system then performs its own authentication. When a client uses Kerberos authentication to authenticate with a front-end service, Kerberos delegation can be used to pass a client's identity to a back-end system. The Kerberos protocol supports two types of delegation:

  • délégation Kerberos de base (non contrainte) ;Basic Kerberos delegation (unconstrained)

  • délégation Kerberos contrainte ;Kerberos constrained delegation

délégation Kerberos de base et délégation Kerberos contrainte.Basic Kerberos delegation and Kerberos constrained delegation

La délégation Kerberos de base peut traverser les frontières de domaine au sein de la même forêt, mais ne peut pas franchir une frontière de forêt. La délégation Kerberos contrainte ne peut pas traverser les frontières de domaine ou de forêt, sauf si vous utilisez des contrôleurs de domaine qui s’exécutent sur Windows Server 2012.Basic Kerberos delegation can cross domain boundaries within the same forest but cannot cross a forest boundary. Kerberos constrained delegation cannot cross domain or forest boundaries, except when you are using domain controllers that run Windows Server 2012.

Suivant les applications de service qui font partie d’un déploiement SharePoint Server, l’implémentation des authentifications Kerberos avec SharePoint Server peut nécessiter la délégation Kerberos contrainte.Depending on the service applications that are part of a SharePoint Server deployment, implementing Kerberos authentications with SharePoint Server can require Kerberos constrained delegation.

Important

L'authentification Kerberos ne peut être déployée avec l'une des applications de service suivantes que si SharePoint Server et toutes les sources de données externes résident dans le même domaine Windows : > Excel Services > PerformancePoint Services > InfoPath Forms Services > Visio Services > Ces applications de service ne sont pas disponibles dans SharePoint Foundation 2013. Excel Services n'est pas disponible dans SharePoint Server 2016.To deploy Kerberos authentication with any of the following service applications, SharePoint Server and all external data sources must reside in the same Windows domain: > Excel Services > PerformancePoint Services > InfoPath Forms Services > Visio Services > These service applications are not available in SharePoint Foundation 2013. Excel Services is not available in SharePoint Server 2016.

Pour le déploiement de l’authentification Kerberos avec l’une des applications de service ou l’un des produits suivants, SharePoint Server peut utiliser la délégation Kerberos de base ou la délégation Kerberos contrainte :To deploy Kerberos authentication with any of the following service applications or products, SharePoint Server can use either basic Kerberos delegation or Kerberos constrained delegation:

  • Service Business Data Connectivity (cette application de service n'est pas disponible dans SharePoint Foundation 2013)Business Data Connectivity service (this service application is not available in SharePoint Foundation 2013)

  • Access Services (cette application de service n'est pas disponible dans SharePoint Foundation 2013)Access Services (this service application is not available in SharePoint Foundation 2013)

  • SQL Server Reporting Services (SSRS) (produit séparé)SQL Server Reporting Services (SSRS) (a separate product)

  • Project Server 2016 (produit séparé)Project Server 2016 (a separate product)

Les services qui sont activés pour l’authentification Kerberos peuvent déléguer l’identité plusieurs fois. À mesure qu’une identité se déplace de service en service, la méthode de délégation peut changer et passer de la délégation Kerberos de base à la délégation Kerberos contrainte. L’inverse est impossible. La méthode de délégation ne peut pas passer de la délégation Kerberos contrainte à la délégation Kerberos de base. Il est donc important de déterminer à l’avance si un service principal nécessitera la délégation Kerberos de base. Cela peut avoir une incidence sur la planification et la conception des frontières de domaine.Services that are enabled for Kerberos authentication can delegate identity multiple times. As an identity travels from service to service, the delegation method can change from basic Kerberos to Kerberos constrained. However, the reverse is not possible. The delegation method cannot change from Kerberos constrained to basic Kerberos. Therefore, it is important to anticipate and plan for whether a back-end service will require basic Kerberos delegation. This can affect the planning and design of domain boundaries.

Un service activé pour Kerberos peut utiliser la transition de protocole pour convertir une identité non-Kerberos en une identité Kerberos pouvant être déléguée à d’autres services activés pour Kerberos. Cette fonctionnalité permet, par exemple, de déléguer une identité non-Kerberos depuis un service frontal à une identité Kerberos sur un service principal.A Kerberos-enabled service can use protocol transition to convert a non-Kerberos identity to a Kerberos identity that can be delegated to other Kerberos enabled services. This capability can be used, for example, to delegate a non-Kerberos identity from a front-end service to a Kerberos identity on a back-end service.

Important

La transition de protocole nécessite la délégation Kerberos contrainte. Ainsi, les identités ayant subi une transition de protocole ne peuvent pas traverser de frontières entre domaines.Protocol transition requires Kerberos constrained delegation. Therefore, protocol transitioned identities cannot cross domain boundaries.

L'authentification basée sur les revendications peut être utilisée à la place de la délégation Kerberos. L'authentification basée sur les revendications permet la transmission de la revendication de l'authentification d'un client entre des services différents si ceux-ci satisfont à tous les critères suivants :Claims-based authentication can be used as an alternative to Kerberos delegation. Claims-based authentication enables a client's authentication claim to be passed between different services if the services meet all of the following criteria:

  • Il existe une relation d’approbation entre les services.There must be a trust relationship between the services.

  • Les services doivent prendre en charge les revendications.The services must be claims-aware.

Pour plus d’informations sur l’authentification Kerberos, voir les ressources suivantes :For more information about Kerberos authentication, see the following resources:

Authentification Kerberos et authentification basée sur les revendicationsKerberos authentication and claims-based authentication

SharePoint 2013 et SharePoint Server 2016 prennent en charge l'authentification basée sur les revendications. Celle-ci repose sur Windows Identity Foundation (WIF), ensemble de classes .NET Framework servant à implémenter l'identité basée sur les revendications. L'authentification basée sur les revendications repose sur des normes telles que WS-Federation et WS-Trust. Pour plus d'informations sur l'authentification basée sur les revendications, voir les ressources suivantes :SharePoint 2013 and SharePoint Server 2016 supports claims-based authentication. Claims-based authentication is built on the Windows Identity Foundation (WIF), which is a set of the .NET Framework classes that are used to implement claims-based identity. Claims-based authentication relies on standards such as WS-Federation and WS-Trust. For more information about claims-based authentication, see the following resources:

Quand vous créez une application web UNRESOLVED_TOKEN_VAL(SharePoint Server) en utilisant l'Administration centrale, vous devez sélectionner un ou plusieurs types d'authentifications basées sur les revendications. Quand vous créez une application web UNRESOLVED_TOKEN_VAL(SharePoint Server) en utilisant l'applet de commande New-SPWebApplication Microsoft PowerShell, vous pouvez indiquer l'authentification par revendications et les types d'authentifications par revendications ou l'authentification en mode classique. L'authentification par revendications est recommandée pour toutes les applications web UNRESOLVED_TOKEN_VAL(SharePoint Server). Avec cette authentification, tous les types d'authentifications pris en charge sont disponibles pour vos applications web et vous pouvez bénéficier de l'authentification de serveur à serveur et de l'authentification d'application. Pour plus d'informations, voir What's new in authentication for SharePoint Server 2013.When you create a SharePoint Server web application by using Central Administration, you must select one or more claims-based authentication types. When you create a SharePoint Server web application by using the New-SPWebApplication Microsoft PowerShell cmdlet, you can specify either claims authentication and claims authentication types or classic mode authentication. Claims authentication is recommended for all SharePoint Server web applications. By using claims authentication, all supported authentication types are available for your web applications and you can take advantage of server-to-server authentication and app authentication. For more information, see What's new in authentication for SharePoint Server 2013.

Important

Les applications de service suivantes dans SharePoint Server nécessitent la conversion des informations d’identification basées sur des revendications en informations d’identification Windows. Ce processus de conversion utilise le service d’émission de jetons Revendications vers Windows (C2WTS) : > Excel Services> PerformancePoint Services> InfoPath Forms Services> Visio Services> > Ces applications de service ne sont pas disponibles dans SharePoint Foundation 2013. Excel Services n’est pas disponible dans SharePoint Server 2016.The following service applications in SharePoint Server require the translation of claims-based credentials to Windows credentials. This process of translation uses the Claims to Windows Token Service (C2WTS): > Excel Services> PerformancePoint Services> InfoPath Forms Services> Visio Services> > These service applications are not available in SharePoint Foundation 2013. Excel Services is not available in SharePoint Server 2016.

Les applications de service qui nécessitent le service d’émission de jetons Revendications vers Windows doivent utiliser la délégation Kerberos contrainte, car C2WTS nécessite la transition de protocole, que seule prend en charge la délégation Kerberos contrainte. Pour les applications de service répertoriées dans la liste précédente, le service d’émission de jetons Revendications vers Windows convertit les revendications dans la batterie de serveurs en informations d’identification Windows pour l’authentification sortante. Il est important de comprendre que ces applications de service ne peuvent tirer parti du service d’émission de jetons Revendications vers Windows que si la méthode d’authentification entrante utilise le mode de revendications Windows ou le mode classique Windows. Les applications de service qui sont accessibles par le biais d’applications web et qui utilisent des revendications SAML (Security Assertion Markup Language) ou des revendications d’authentification par formulaire ne recourent pas au service d’émission de jetons Revendications vers Windows, et, ainsi, ne peuvent pas convertir les revendications en informations d’identification Windows.The service applications that require the C2WTS must use Kerberos constrained delegation because C2WTS requires protocol transition, which is only supported by Kerberos constrained delegation. For the service applications in the previous list, the C2WTS translates claims within the farm to Windows credentials for outgoing authentication. It is important to understand that these service applications can use the C2WTS only if the incoming authentication method is either Windows claims or Windows classic mode. Service applications that are accessed through web applications and that use Security Assertion Markup Language (SAML) claims or forms-based authentication claims do not use the C2WTS. Therefore, they cannot translate claims to Windows credentials.

L’authentification Kerberos et le nouveau modèle d’application SharePointKerberos authentication and the new SharePoint app model

Si vous utilisez le mode de revendications Windows pour l'authentification d'utilisateur et que l'application web est configurée pour utiliser uniquement l'authentification Kerberos sans revenir au protocole d'authentification NTLM, l'authentification d'application ne fonctionne pas. Pour plus d'informations, voir Planifier l'authentification d'application dans SharePoint Server.If you are using Windows claims mode for user authentication and the web application is configured to use only Kerberos authentication without falling back to NTLM as the authentication protocol, then app authentication does not work. For more information, see Plan for app authentication in SharePoint Server.

Voir aussiSee also

ConceptsConcepts

Planifier les méthodes d'authentification utilisateur dans SharePoint ServerPlan for user authentication methods in SharePoint Server