Revendications entrantes : connexion à SharePoint
Dernière modification : mardi 28 juin 2011
S’applique à : SharePoint Foundation 2010
Connexion à SharePoint
Lorsqu’un utilisateur se connecte à Microsoft SharePoint Foundation 2010 ou Microsoft SharePoint Server 2010, son jeton est validé, puis utilisé pour la connexion à SharePoint. Le jeton de l’utilisateur est un jeton de sécurité émis par un fournisseur de revendications.
Notes
Pour plus d’informations sur l’authentification par revendications dans le cas d’une seule batterie de serveurs SharePoint et sur l’authentification par revendications SharePoint dans le cas de plusieurs batteries de serveurs, voir Planifier l’authentification par revendications sur TechNet.
Connexion en mode Windows classique
La connexion en mode Windows classique est similaire à la connexion en mode authentification Windows Windows SharePoint Services 3.0 et Microsoft Office SharePoint Server 2007. La connexion en mode Windows classique fait appel à la demande d’authentification Windows intégrée et à l’authentification par négociation (NTLM/Kerberos). Aucune augmentation de revendications n’étant réalisée, certaines fonctionnalités (telles que la prise en charge mutualisée des applications de service et des fournisseurs de revendications personnalisés) dans SharePoint Foundation 2010 et SharePoint Server 2010 ne fonctionnent pas lorsqu’un utilisateur se connecte en utilisant ce mode.
En outre, certaines applications de service peuvent avoir besoin du mode par revendications pour certaines fonctionnalités. Pour plus d’informations sur les contraintes liées aux applications de service, voir Architecture de l’Infrastructure des applications de service.
Connexion en mode revendications Windows
La connexion en mode revendications Windows fait appel à la demande d’authentification Windows intégrée et à l’authentification par négociation (NTLM/Kerberos). Toutefois, après la création de l’objet WindowsIdentity (qui représente un utilisateur Windows), SharePoint Foundation 2010 convertit l’objet WindowsIdentity en un objet ClaimsIdentity (qui représente un utilisateur sur la base de revendications).
Ensuite, SharePoint Foundation 2010 procède à une augmentation de revendications et gère le jeton obtenu émis par SharePoint Foundation 2010. Cela signifie que les nouvelles fonctionnalités (telles que la prise en charge mutualisée des applications de service et des fournisseurs de revendications personnalisés) dans SharePoint Foundation 2010 et SharePoint Server 2010 fonctionnent, même si les clients croient que SharePoint Foundation 2010 se trouve en mode de connexion Windows natif. La connexion en mode revendications Windows est configurée par défaut pour SharePoint Server 2010.
Tous les types de connexion par revendications reposent sur une connexion passive. La connexion passive fait appel à la demande Windows, mais à partir d’une page de connexion distincte obtenue par le biais d’une redirection 302. Ce mode est utile lorsque plusieurs méthodes de connexion sont activées et que l’utilisateur doit effectuer un choix parmi les fournisseurs de revendications pris en charge. Les clients Win32 doivent prendre en charge l’authentification par formulaire implémentée dans les clients Microsoft Office. Certains clients Office suivent un protocole différent.
Pour plus d’informations sur la connexion passive, voir la section suivante intitulée Mode de connexion passive SAML.
Mode de connexion passive SAML
Dans la connexion passive SAML (Security Assertion Markup Language), lorsqu’un utilisateur se connecte, le client (qui peut être une page Web) est redirigé vers le fournisseur de revendications désigné (par exemple, le fournisseur de revendications Windows Live ID). Une fois que le fournisseur de revendications a authentifié l’utilisateur, SharePoint Foundation 2010 prend possession du jeton SAML présenté par le fournisseur de revendications, traite le jeton SAML, puis augmente les revendications.
Pour les fournisseurs de revendications basés sur SAML, tels que le fournisseur de revendications ADFS (Active Directory Federation Services) et le fournisseur de revendications Windows Live ID, la connexion en mode passif SAML est la seule procédure prise en charge. La connexion passive SAML est le modèle d’identité en ligne SharePoint.
Notes
La connexion passive SAML décrit le processus de connexion. Lorsqu’une connexion pour une application Web est configurée de manière à accepter les jetons émis par un fournisseur de connexions approuvé, ce type de connexion est appelé connexion passive SAML. Un fournisseur de connexions approuvé est un service d’émission de jeton de sécurité externe à SharePoint et approuvé par celui-ci.
Les clients Win32 doivent prendre en charge l’authentification par formulaire implémentée dans les clients Office.
Connexion passive avec rôle et appartenance ASP.NET
Dans la connexion passive avec rôle et appartenance ASP.NET, le client est redirigé vers une page Web qui héberge les contrôles de connexion ASP.NET. Une fois que l’objet d’identité représentant une identité utilisateur est créé, SharePoint Foundation 2010 le convertit en un objet ClaimsIdentity (qui représente un utilisateur sur la base de revendications).
Ensuite, SharePoint Foundation 2010 procède à une augmentation de revendications. Les clients Win32 doivent prendre en charge l’authentification par formulaire implémentée dans les clients Office.
Accès anonyme
Vous pouvez activer l’accès anonyme pour une application Web. Les administrateurs de sites dans l’application Web peuvent choisir d’autoriser l’accès anonyme. Si des utilisateurs anonymes souhaitent avoir accès à des ressources sécurisées, ils peuvent cliquer sur un bouton d’ouverture de session pour envoyer leurs informations d’identification.
Ensuite, SharePoint Foundation 2010 procède à une augmentation de revendications. Les clients Win32 doivent prendre en charge l’authentification par formulaire implémentée dans les clients Office.