Partager via


Architecture de la sécurité pour la synchronisation Web

MicrosoftMicrosoftSQL Server permet un contrôle fin de la configuration de la sécurité de la synchronisation Web. Cette rubrique donne une liste complète de tous les composants qui peuvent être inclus dans une configuration de synchronisation Web, ainsi que des informations sur les connexions qui sont établies entre ces composants. Lorsque c'est possible, utilisez l'authentification Windows.

L'illustration suivante présente toutes les connexions envisageables, mais il est possible que certaines d'entre elles ne soient pas nécessaires dans une topologie donnée. Par exemple, une connexion à un serveur FTP est nécessaire uniquement si la capture instantanée est remise à l'aide de FTP.

Composants et connexions dans la synchronisation Web

Les tableaux suivants décrivent les composants et les connexions présentés dans l'illustration.

A. Utilisateur Windows sous lequel l'Agent de fusion est exécuté

Au cours de la synchronisation, l'Agent de fusion (A) est démarré chez l'Abonné. L'Agent de fusion peut être démarré à partir d'une étape de travail de l'Agent SQL Server ou d'une application personnalisée indépendante. Si l'Agent de fusion est démarré à partir d'une étape de travail de l'Agent SQL Server, l'Agent de fusion est exécuté dans le contexte d'un utilisateur Windows que vous spécifiez. Si vous ne spécifiez pas d'utilisateur Windows, l'Agent de fusion est exécuté dans le contexte du compte de service Windows pour l'Agent SQL Server.

Type de compte

Emplacement de spécification du compte

Utilisateur Windows

Transact-SQL : paramètres @job_login et @job_password de sp_addmergepullsubscription_agent.

Objets RMO (Replication Management Objects) : propriétés Login()()()() et Password()()()() de SynchronizationAgentProcessSecurity.

Compte de service Windows pour l'Agent SQL Server

Gestionnaire de configuration SQL Server

Application indépendante

L'Agent de fusion est exécuté dans le contexte de l'utilisateur Windows qui exécute l'application.

B. Connexion à l'Abonné

L'Agent de fusion se connecte à l'Abonné à l'aide de l'authentification Windows ou de l'authentification SQL Server. L'utilisateur Windows ou la connexion SQL Server spécifié doit être associé à un utilisateur de base de données membre du rôle de base de données fixe dbowner dans la base de données d'abonnement.

[!REMARQUE]

L'authentification Windows est toujours employée lorsque vous démarrez l'Agent de fusion à partir d'un travail de l'Agent SQL Server. L'authentification Windows est également utilisée lorsque vous démarrez automatiquement l'Agent de fusion, sauf si l'authentification SQL Server est précisée de manière explicite.

Type d'authentification

Emplacement de spécification de l'authentification

  • Authentification Windows.

L'Agent de fusion établit les connexions dans le contexte de l'utilisateur Windows spécifié pour l'Agent de fusion (A).

L'authentification SQL Server est utilisée uniquement si les conditions suivantes sont spécifiées :

RMO : SubscriberLogin et SubscriberPassword.

Ligne de commande de l'Agent de fusion : -SubscriberLogin et -SubscriberLogin.

C. Connexion à un serveur proxy sortant

Spécifiez un utilisateur Windows pour cette connexion uniquement si un serveur proxy sortant limite l'accès au réseau interne de l'Abonné.

Type d'authentification

Emplacement de spécification de l'authentification

Authentification Windows

RMO : InternetProxyLogin et InternetProxyPassword avec InternetProxyServer.

Ligne de commande de l'Agent de fusion : -InternetProxyLogin et -InternetProxyPassword avec -InternetProxyServer.

D. Connexion à IIS

Après s'être connecté à l'Abonné et après avoir extrait les éventuelles modifications de la base de données d'abonnement, l'Agent de fusion envoie une demande HTTPS à Microsoft Internet Information Services (IIS) et télécharge les modifications apportées aux données sous forme de message XML. L'Agent de fusion doit disposer d'autorisations d'ouverture de session sur IIS.

Type d'authentification

Emplacement de spécification de l'authentification

L'authentification de base est utilisée si l'une des conditions suivantes est spécifiée :

Transact-SQL : paramètres @internet_login et @internet_password de sp_addmergepullsubscription_agent.

RMO : InternetLogin et InternetPassword.

Ligne de commande de l'Agent de fusion : -InternetLogin et -InternetPassword.

L'authentification intégrée1 est utilisée si l'une des conditions suivantes est spécifiée :

L'Agent de fusion établit les connexions dans le contexte de l'utilisateur Windows spécifié pour l'Agent de fusion (A).

1 L'authentification intégrée peut être utilisée uniquement si tous les ordinateurs appartiennent au même domaine ou à des domaines différents liés l'un à l'autre par des relations d'approbation.

[!REMARQUE]

La délégation est nécessaire en cas d'utilisation de l'authentification intégrée. Nous vous recommandons d'utiliser l'authentification de base et SSL pour les connexions de l'Abonné vers IIS.

E. Connexion au serveur de publication

L'écouteur de réplication SQL Server et le réconciliateur de réplication de fusion sont hébergés sur l'ordinateur exécutant IIS. Ces composants réalisent les actions suivantes :

  • Ils récupèrent la demande HTTPS décrite dans la section « D. Connexion à IIS ».

  • Ils établissent une connexion SQL à la base de données de publication et lui appliquent les modifications téléchargées.

  • Ils extraient les modifications téléchargées et renvoient une réponse HTTPS à l'Agent de fusion.

Le réconciliateur de réplication de fusion se connecte au serveur de publication à l'aide de l'authentification Windows ou de l'authentification SQL Server. L'utilisateur Windows ou la connexion SQL Server spécifié doit respecter les conditions suivantes :

  • faire partie de la liste d'accès à la publication (PAL, Publication Access List). Pour plus d'informations, consultez Sécurisation du serveur de publication.

  • être associé à un utilisateur de la base de données de publication.

Type d'authentification

Emplacement de spécification de l'authentification

L'authentification Windows est utilisée si l'une des conditions suivantes est spécifiée :

L'Agent de fusion établit les connexions au serveur de publication dans le contexte de l'utilisateur Windows spécifié pour la connexion à IIS (D). Si le serveur de publication et IIS se trouvent sur des ordinateurs différents et si l'authentification intégrée est utilisée pour la connexion (D), vous devez activer la délégation Kerberos sur l'ordinateur exécutant IIS. Pour plus d'informations, consultez la documentation de Windows.

L'authentification SQL Server est utilisée si l'une des conditions suivantes est spécifiée :

Transact-SQL : paramètres @publisher_login et @publisher_password de sp_addmergepullsubscription_agent.

RMO : PublisherLogin et PublisherPassword.

Ligne de commande de l'Agent de fusion : -PublisherLogin et -PublisherPassword.

F. Connexion au serveur de distribution

Le réconciliateur de réplication de fusion hébergé sur l'ordinateur exécutant IIS établit également des connexions au serveur de distribution. Le réconciliateur de réplication de fusion se connecte au serveur de distribution à l'aide de l'authentification Windows ou de l'authentification SQL Server. L'utilisateur Windows ou la connexion SQL Server spécifié doit respecter les conditions suivantes :

  • faire partie de la liste d'accès à la publication (PAL, Publication Access List). Pour plus d'informations, consultez Sécurisation du serveur de publication.

  • être associé à un utilisateur de la base de données de distribution. l'utilisateur peut être un Guest ;

Le partage de fichiers de captures instantanées se trouve en général sur le serveur de distribution. Pour plus d'informations sur les partages de fichiers de captures instantanées, consultez la section « H. Accès au partage de fichiers de captures instantanées » plus loin dans cette rubrique.

  • Type d'authentification

Emplacement de spécification de l'authentification

L'authentification Windows est utilisée si l'une des conditions suivantes est spécifiée :

L'Agent de fusion établit les connexions au serveur de distribution dans le contexte de l'utilisateur Windows spécifié pour la connexion à IIS (D). Si le serveur de distribution et IIS se trouvent sur des ordinateurs différents et si l'authentification intégrée est utilisée pour la connexion (D), vous devez activer la délégation Kerberos sur l'ordinateur exécutant IIS. Pour plus d'informations, consultez la documentation de Windows.

L'authentification SQL Server est utilisée si l'une des conditions suivantes est spécifiée :

Transact-SQL : paramètres @distributor_login et @distributor_password de sp_addmergepullsubscription_agent.

RMO : DistributorLogin et DistributorPassword

Ligne de commande de l'Agent de fusion : -DistributorLogin et -DistributorPassword.

G. Connexion à un serveur FTP

Spécifiez un utilisateur Windows pour cette connexion uniquement si vous allez télécharger des fichiers de captures instantanées à partir d'un serveur FTP au lieu d'un emplacement UNC vers l'ordinateur exécutant IIS avant d'appliquer la capture instantanée à l'Abonné. Pour plus d'informations, consultez Transfert de captures instantanées via FTP.

Type d'authentification

Emplacement de spécification de l'authentification

Authentification Windows

Transact-SQL : paramètres @ftp_login et @ftp_password de sp_addmergepublication.

RMO : FtpLogin et FtpPassword.

H. Accès au partage de fichiers de captures instantanées

L'accès au partage de fichiers de captures instantanées est assuré par le réconciliateur de réplication de fusion hébergé sur l'ordinateur exécutant IIS.

Type d'authentification

Emplacement de spécification de l'authentification

Authentification Windows

L'Agent de fusion accède au partage de fichiers de captures instantanées dans le contexte de l'utilisateur Windows spécifié pour la connexion à IIS (D). Si le partage de fichiers de captures instantanées et IIS se trouvent sur des ordinateurs différents et si l'authentification intégrée est utilisée pour la connexion (D), vous devez activer la délégation Kerberos sur l'ordinateur exécutant IIS. Pour plus d'informations, consultez la documentation de Windows.

I. Compte du pool d'applications pour IIS

Ce compte sert à démarrer le processus W3wp.exe sur l'ordinateur exécutant IIS pour Windows Server 2003 ou le processus Dllhost.exe sur Windows 2000. Ces processus hébergent des applications sur l'ordinateur exécutant IIS, telles que le réconciliateur de réplication de fusion et l'écouteur de réplication SQL Server. Ce compte doit disposer sur l'ordinateur exécutant IIS d'autorisations en lecture et en exécution sur les DLL de réplication suivantes :

  • Replisapi

  • Replrec

  • Replprov

  • Msgprox

  • Xmlsub

Le compte doit également faire partie du groupe IIS_WPG. Pour plus d'informations, consultez la section « Définition des autorisations pour l'écouteur de réplication SQL Server » dans la rubrique Procédure : configurer IIS pour la synchronisation Web.

Type de compte

Emplacement de spécification du compte

Tout utilisateur Windows disposant des autorisations nécessaires.

Gestionnaire IIS (Internet Information Services). Par défaut, sur Windows Server 2003, le compte utilisé est SERVICE RÉSEAU.