Configurer l'accès HTTP à Analysis Services sur Internet Information Services (IIS) 7.0
Vous pouvez activer l'accès HTTP à Analysis Services en configurant MSMDPUMP.dll, une extension ISAPI qui s'exécute dans Internet Information Services (IIS) et qui pompe des données entre des applications clients et un serveur Analysis Services. Cette approche constitue une alternative à la connexion à Analysis Services lorsque votre solution de décisionnel nécessite les capacités suivantes :
Un accès client via une connexion Internet ou extranet, avec des restrictions au niveau des ports à activer
Connexions clientes provenant de domaines non approuvés du même réseau.
Une application cliente qui s'exécute dans un environnement réseau qui permet des connexions HTTP mais pas TCP/IP.
Des méthodes d'authentification autres que la sécurité intégrée de Windows sont requises. En particulier, vous pouvez utiliser des connexions anonymes et l'authentification de base lorsque vous configurez Analysis Services en vue de l'accès HTTP. Les authentifications Digest, ASP.NET et par formulaires ne sont pas prises en charge.
Des applications clientes qui ne peuvent pas utiliser les bibliothèques clientes Analysis Services (par exemple, une application Java s'exécutant sur un serveur UNIX). Si vous ne pouvez pas utiliser les bibliothèques clientes Analysis Services pour accéder aux données, vous pouvez utiliser SOAP et XML/A sur une connexion HTTP directe à une instance Analysis Services.
Cette rubrique explique comment configurer l'accès HTTP à une instance Analysis Services à l'aide d'IIS 7.0. Ces instructions valent pour toute version ou édition prise en charge d'une instance Analysis Services interagissant avec IIS 7.0, y compris SQL Server 2012, SQL Server 2008 R2, SQL Server 2008 et SQL Server 2005. L'accès HTTP est pris en charge aussi bien pour les serveurs en mode tabulaire que pour les serveurs en mode multidimensionnel.
[!REMARQUE]
La prise en charge des méthodologies d'authentification varie en fonction des applications clientes et serveur dans la pile de BI. Pour plus d'informations sur les scénarios activés via l'accès HTTP à Analysis Services, consultez Authentification et délégation d'identité Microsoft BI.
Cette rubrique comprend les sections suivantes :
Présentation
Configuration requise
Copier le fichier MSMDPUMP.dll dans un dossier du serveur Web
Créer un pool d'applications et un répertoire virtuel dans IIS
Configurer l'authentification IIS et ajouter l'extension
Modifier le fichier MSMDPUMP.INI pour définir le serveur cible
Tester votre configuration
Présentation
MSMDPUMP est une extension ISAPI qui se charge dans IIS et qui permet la redirection vers une instance Analysis Services, se trouvant sur le même ordinateur, ou bien sur un ordinateur distant du même domaine. En configurant cette extension ISAPI, vous créez un point de terminaison HTTP à une instance Analysis Services.
Vous devez créer et configurer un répertoire virtuel pour chaque point de terminaison HTTP. Chaque point de terminaison a besoin de son propre groupe de fichiers MSMDPUMP, pour chaque instance Analysis Services à laquelle vous souhaitez vous connecter. Un fichier de configuration de ce groupe de fichiers spécifie le nom de l'instance d'Analysis Services utilisée pour chaque point de terminaison HTTP.
Dans IIS, MSMDPUMP se connecte à Analysis Services à l'aide du fournisseur OLE DB Analysis Services via une connexion TCP/IP. Analysis Services et IIS doivent se trouver dans le même domaine, ou bien dans un domaine approuvé, pour que la connexion soit réussie.
Lorsque MSMDPUMP se connecte à Analysis Services, il le fait sous une identité d'utilisateur Windows. Ce compte peut être un compte anonyme si vous avez configuré le répertoire virtuel de façon à autoriser les connexions anonymes, ou bien il peut s'agir d'un compte d'utilisateur Windows. Ce compte doit avoir des autorisations d'accès aux données nécessaires sur le serveur et la base de données Analysis Services.
[!REMARQUE]
N'oubliez pas de débloquer les ports dans le Pare-feu Windows, afin de permettre les connexions client au serveur distant Analysis Services. Pour plus d'informations, consultez Configurer le pare-feu Windows pour autoriser l'accès à Analysis Services.
Le tableau suivant comprend d'autres éléments à prendre en compte lorsque vous activez l'accès HTTP dans différents scénarios.
Scénario |
Configuration |
---|---|
IIS et Analysis Services sur le même ordinateur |
Il s'agit de la configuration la plus simple car elle vous permet d'utiliser la configuration par défaut (lorsque le nom du serveur est localhost), le fournisseur OLE DB Analysis Services local et la sécurité intégrée de Windows avec NTLM. Si le client se trouve également dans le même domaine, l'authentification est transparente pour l'utilisateur et ne nécessite aucune action supplémentaire de votre part. |
IIS et Analysis Services sur des ordinateurs différents |
Pour cette topologie, vous devez installer le fournisseur OLE DB Analysis Services sur le serveur Web. Vous devez également modifier le fichier msmdpump.ini pour qu'il spécifie l'emplacement de l'instance Analysis Services sur l'ordinateur distant. Cette topologie ajoute une étape d'authentification double saut, dans laquelle les informations d'identification doivent passer du client vers le serveur Web, jusqu'au serveur principal Analysis Services. Si vous utilisez des informations d'identification Windows et NTLM, vous obtiendrez une erreur car NTLM ne permet pas la délégation d'informations d'identification client à un autre serveur. La solution habituelle consiste à utiliser l'authentification de base avec le protocole SSL. Cela nécessite, cependant, que les utilisateurs fournissent un nom d'utilisateur et un mot de passe pour accéder au répertoire virtuel MSMDPUMP. Une approche plus simple consiste à activer Kerberos et à configurer une délégation contrainte Analysis Services pour que les utilisateurs puissent accéder à Analysis Services facilement. Réfléchissez aux ports à débloquer dans le Pare-feu Windows. Vous devrez débloquer les ports sur les deux serveurs pour permettre l'accès à l'application Web sur IIS et à Analysis Services sur un serveur distant. |
Les connexions client proviennent d'un domaine non approuvé ou d'une connexion extranet |
Les connexions client provenant d'un domaine non approuvé nécessitent davantage de restrictions d'authentification. Par défaut, Analysis Services utilise l'authentification intégrée de Windows, qui nécessite que les utilisateurs se trouvent dans le même domaine que le serveur. Si vos utilisateurs extranet se connectent à IIS depuis un domaine extérieur, ils obtiendront une erreur de connexion si le serveur est configuré pour utiliser les paramètres par défaut. L'une des solutions de contournement consiste à demander aux utilisateurs extranet de se connecter via une connexion VPN à l'aide d'informations d'identification de domaine. Cependant, une meilleure approche serait d'activer l'authentification de base et le protocole SSL sur votre site Web IIS. |
Configuration requise
Sur le serveur web IIS, veillez à installer le fournisseur OLE DB pour Analysis Services (MSOLAP) pour SQL Server 2012. Vous pouvez télécharger le fournisseur à partir du Feature Pack SQL Server 2012.
Étape 1 : Copier les fichiers MSMDPUMP dans un dossier du serveur web
Chaque point de terminaison HTTP que vous créez doit posséder son propre groupe de fichiers MSMDPUMP. Dans cette étape, vous copiez le fichier exécutable MSMDPUMP, le fichier de configuration et les fichiers de ressources des dossiers du programme Analysis Services vers un nouveau dossier du répertoire virtuel que vous allez créer dans le système de fichiers sur l'ordinateur exécutant IIS.
Le lecteur doit être formaté à l'aide du système de fichier NTFS. Le chemin d'accès au dossier que vous créez ne doit contenir aucun espace.
Recherchez les fichiers que vous devez copier : MSMDPUMP.DLL, MSMDPUMP.INI et un dossier Resources contenant des fichiers de ressources linguistiques. Ces fichiers se trouvent ici : <lecteur>:\Program Files\Microsoft SQL Server\<instance>\OLAP\bin\isapi.
[!REMARQUE]
Notez que le format du nom de l'instance a changé dans les versions récentes de SQL Server. Si vous utilisez SQL Server 2012, le nom de l'instance par défaut est MSAS11.MSSQLSERVER.
Copiez tous les fichiers figurant dans le dossier \OLAP\bin\isapi, notamment le contenu du sous-dossier Resources.
Sur le serveur web, créez un dossier : <lecteur>:\inetpub\wwwroot\OLAP
Collez les fichiers que vous avez copiés précédemment dans ce nouveau dossier.
Vérifiez que le dossier \inetpub\wwwroot\OLAP de votre serveur web contient les éléments suivants : MSMDPUMP.DLL, MSMDPUMP.INI et un dossier Resources. La structure des dossiers doit ressembler à ceci :
<lecteur>:\inetpub\wwwroot\OLAP\MSMDPUMP.dll
<lecteur>:\inetpub\wwwroot\OLAP\MSMDPUMP.ini
<lecteur>:\inetpub\wwwroot\OLAP\Resources
Étape 2 : Créer un pool d'applications et un répertoire virtuel dans IIS
Ensuite, créez un pool d'applications et un répertoire virtuel qui fournit un point de terminaison à la pompe.
Créer un pool d'applications
Démarrez le Gestionnaire des services Internet. Cliquez sur Démarrer, pointez sur Exécuter, puis tapez Inetmgr.
Cliquez avec le bouton droit sur Pools d'applications, puis cliquez sur Ajouter un pool d'applications. Créez un pool d'applications nommé OLAP, à l'aide de .NET Framework v2.0.50727, avec le mode de pipeline géré défini sur Classique.
Par défaut, IIS crée des pools d'applications en utilisant le Service réseau comme identité de sécurité. Pour modifier l'identité du pool d'applications que vous venez de créer, cliquez avec le bouton droit sur OLAP, puis sélectionnez Paramètres avancés.
Dans Identité, cliquez sur le compte intégré qu'IIS a spécifié. Selon la version de Windows que vous utilisez, c'est Service réseau (affiché dans la capture d'écran) ou ApplicationPoolIdentity. Cliquez sur le bouton Modifier correspondant à cette propriété pour remplacer le compte intégré par le compte personnalisé que vous souhaitez utiliser.
Par défaut, sur les systèmes d'exploitation 64 bits, IIS attribue la valeur false à la propriété Activer les applications 32 bits. Si vous avez copié le fichier msmdpump.dll depuis une installation 64 bits d'Analysis Services, il s'agit du paramètre approprié pour l'extension MSMDPUMP sur un serveur IIS 64 bits. Si vous avez copié les fichiers binaires MSMDPUMP depuis une installation 32 bits, attribuez la valeur true. À présent, vérifiez que cette propriété est correctement paramétrée.
Créer un répertoire virtuel
Dans le Gestionnaire des services Internet, ouvrez Sites, cliquez avec le bouton droit sur Site Web par défaut (ou le site Web que vous utilisez pour accéder à la pompe), puis sélectionnez Ajouter un répertoire virtuel.
Dans Alias, tapez OLAP.
Dans Chemin d'accès physique, cliquez sur le bouton Parcourir et naviguez jusqu'à C:\inetpub\wwwroot\OLAP. Cliquez sur OK.
Cliquez avec le bouton droit sur le répertoire virtuel OLAP que vous venez de créer, puis cliquez sur Convertir en application.
Dans la boîte de dialogue Ajouter une application, en regard de Pool d'applications, cliquez sur Sélectionner, puis choisissez le pool d'applications OLAP créé dans la section précédente.
Cliquez sur OK à deux reprises pour accepter les modifications et convertir l'application.
Étape 3 : Configurer l'authentification IIS et ajouter l'extension
Dans cette étape, vous allez plus loin dans la configuration du répertoire virtuel SSAS que vous venez de créer. Vous allez spécifier une méthode d'authentification, puis ajouter un mappage de scripts. Les méthodes d'authentification prises en charge pour Analysis Services via HTTP sont les suivantes :
Authentification Windows (Kerberos ou NTLM)
Authentification anonyme
Authentification de base
L'authentification anonyme est souvent utilisée au cours du test initial car sa simplicité de configuration vous permet de valider rapidement une connectivité HTTP à Analysis Services. En seulement quelques étapes, vous pouvez affecter un compte d'utilisateur unique comme identité, accorder ces autorisations de compte dans Analysis Services, utiliser le compte pour vérifier l'accès aux données dans une application cliente, puis désactiver l'authentification anonyme lorsque le test est terminé.
Vous pouvez également utiliser l'authentification anonyme dans un environnement de production si les utilisateurs n'ont pas de comptes d'utilisateurs Windows, mais appliquez les meilleures pratiques en verrouillant les autorisations sur le système hôte, comme expliqué dans cet article : Activer l'authentification anonyme (IIS 7). Assurez-vous que l'authentification est définie sur le répertoire virtuel, et non sur le site Web parent, afin de limiter encore davantage le niveau d'accès du compte.
Si l'authentification anonyme est activée, toute connexion utilisateur au point de terminaison HTTP est autorisée à se connecter en tant qu'utilisateur anonyme. Vous ne serez pas en mesure d'auditer les connexions utilisateur individuelles, ni d'utiliser l'identité de l'utilisateur pour sélectionner les données d'un modèle. Comme vous pouvez le voir, l'utilisation de l'option Anonyme a une incidence globale, depuis la conception de modèle jusqu'à l'actualisation des données et à leur accès. Toutefois, si les utilisateurs n'ont pas de connexion d'utilisateur Windows pour démarrer, l'utilisation du compte anonyme peut être la seule option.
L'authentification Windows est considérée comme la plus sécurisée ; elle exploite l'infrastructure existante pour les réseaux qui utilisent Active Directory. Pour utiliser l'authentification Windows de manière efficace, tous les navigateurs, les applications clientes et les applications serveur doivent la prendre en charge. Il s'agit du mode le plus sécurisé et recommandé, mais il requiert qu'IIS soit en mesure d'accéder à un contrôleur de domaine Windows qui peut authentifier l'identité de l'utilisateur qui demande une connexion.
Pour les topologies qui placent Analysis Services et IIS sur des ordinateurs différents, vous devez résoudre les problèmes de double saut qui surviennent lorsqu'une identité d'utilisateur doit être déléguée à un autre service sur un ordinateur distant, généralement en activant Analysis Services pour la délégation contrainte Kerberos. Pour plus d'informations, consultez Configurer Analysis Services pour la délégation contrainte Kerberos.
L'authentification de base est utilisée en présence d'identités Windows, mais les connexions d'utilisateur proviennent de domaines non approuvés, ce qui interdit l'utilisation de connexions déléguées ou empruntées. L'authentification de base vous permet de spécifier une identité d'utilisateur et un mot de passe dans la chaîne de connexion. Au lieu d'utiliser le contexte de sécurité de l'utilisateur actuel, les informations d'identification dans la chaîne de connexion sont utilisées pour la connexion à Analysis Services. Comme Analysis Services prend uniquement en charge l'authentification Windows, les informations d'identification qui lui sont transmises doivent correspondre à un utilisateur ou à un groupe Windows qui est membre du domaine dans lequel Analysis Services est hébergé.
Définir le type d'authentification et ajouter un mappage de scripts
Dans le Gestionnaire des services Internet, ouvrez Sites, ouvrez le Site Web par défaut, puis sélectionnez le répertoire virtuel OLAP.
Double-cliquez sur Authentification dans la section IIS de la page principale.
Cochez la case Authentification Windows si vous utilisez la sécurité intégrée de Windows.
Vous pouvez aussi activer la case à cocher Authentification de base si vos applications clientes et serveur ne se trouvent pas dans le même domaine. Ce mode requiert que l'utilisateur entre un nom d'utilisateur et un mot de passe. Le nom d'utilisateur et le mot de passe sont transmis sur la connexion HTTP à IIS. IIS essaiera d'emprunter l'identité de l'utilisateur avec les informations d'identification fournies lors de la connexion à MSMDPUMP, mais les informations d'identification ne seront pas déléguées à Analysis Services. Au lieu de cela, vous devez transmettre un nom d'utilisateur et un mot de passe valides sur une connexion, comme indiqué à l'étape 6 de ce document.
Remarque relative à la sécurité Notez qu'il est impératif de sécuriser le canal de communication lorsqu'on crée un système où les mots de passe sont transmis. IIS fournit un ensemble d'outils qui vous aident à sécuriser le canal. Pour plus d'informations, consultez Procédure de configuration de SSL sur IIS 7.
Désactivez Authentification anonyme si vous utilisez l'authentification de base ou Windows. Si vous activez l'authentification anonyme, IIS l'utilisera toujours en premier, même si d'autres méthodes d'authentification sont activées.
Sous Authentification anonyme, la pompe (msmdpump.dll) s'exécute en tant que compte d'utilisateur que vous avez généré pour l'utilisateur anonyme. Il n'existe aucune distinction entre l'utilisateur qui se connecte à IIS et celui qui se connecte à Analysis Services. Par défaut, IIS utilise le compte IUSR, mais vous pouvez modifier ce comportement pour qu'il utilise un compte d'utilisateur de domaine détenteur d'autorisations réseau. Vous aurez besoin de cette fonction si IIS et Analysis Services se trouvent sur des ordinateurs différents.
Pour savoir comment configurer les informations d'identification de l'authentification anonyme, consultez Authentification anonyme.
Remarque relative à la sécurité L'authentification anonyme se rencontre principalement dans des environnements extrêmement contrôlés, où l'accès des utilisateurs est tantôt accordé, tantôt refusé sur la base de listes de contrôle d'accès dans le système de fichiers. Pour connaître les meilleures pratiques, consultez Activer l'authentification anonyme (IIS 7).
Cliquez sur le répertoire virtuel OLAP pour ouvrir la page principale. Double-cliquez sur Mappages de gestionnaires.
Cliquez avec le bouton droit n'importe où dans la page, puis sélectionnez Ajouter un mappage de scripts. Dans la boîte de dialogue Ajouter un mappage de scripts, spécifiez *.dll comme chemin d'accès à la demande, indiquez c:\inetpub\wwwroot\OLAP\msmdpump.dll comme fichier exécutable, puis entrez OLAP comme nom.
Cliquez sur Restrictions des demandes.
Sous l'onglet Verbes, vérifiez que Tous les verbes est sélectionné. Cliquez sur OK, puis encore sur OK pour terminer l'ajout du mappage de script.
Une invite vous demande si vous souhaitez autoriser l'extension ISAPI, cliquez sur Oui.
Étape 4 : Modifier le fichier MSMDPUMP.INI pour définir le serveur cible
Le fichier MSMDPUMP.INI spécifie l'instance Analysis Services à laquelle le fichier MSMDPUMP.DLL se connecte. Cette instance peut être locale ou distante, installée comme instance par défaut ou nommée.
Ouvrez le fichier msmdpump.ini situé dans le dossier C:\inetpub\wwwroot\OLAP et observez le contenu de ce fichier. Il devrait ressembler à ce qui suit :
<ConfigurationSettings>
<ServerName>localhost</ServerName>
<SessionTimeout>3600</SessionTimeout>
<ConnectionPoolSize>100</ConnectionPoolSize>
</ConfigurationSettings>
Si l'instance Analysis Services pour laquelle vous configurez l'accès HTTP se trouve sur l'ordinateur local et si elle est installée comme instance par défaut, il n'y a aucune raison de modifier ce paramètre. Sinon, vous devez spécifier le nom du serveur (par exemple, <NomServeur>ADWRKS-SRV01</NomServeur>). Pour un serveur installé en tant qu'instance nommée, ajoutez le nom de l'instance (par exemple, <NomServeur>ADWRKS-SRV01\Tabular</NomServeur>).
Par défaut, Analysis Services écoute le port TCP/IP 2383. Si vous avez installé Analysis Services comme instance par défaut, il n'est pas nécessaire de spécifier de port dans <ServerName>, car Analysis Services sait automatiquement comment écouter le port 2383. Cependant, vous devrez autoriser les connexions entrantes pour ce port dans le Pare-feu Windows. Pour plus d'informations, consultez Configurer le pare-feu Windows pour autoriser l'accès à Analysis Services.
Si vous avez configuré une instance Analysis Services nommée ou par défaut de façon à ce qu'elle écoute un port fixe, vous devez ajouter le numéro du port au nom du serveur (par exemple, <NomServeur>AW-SRV01:55555</NomServeur>), et vous devez autoriser les connexions entrantes pour ce port dans le Pare-feu Windows.
Étape 5 : Accorder des autorisations d'accès aux données
Comme indiqué précédemment, vous devez accorder des autorisations d'accès aux données sur l'instance Analysis Services. Chaque objet de base de données aura des rôles correspondant à un niveau donné d'autorisations (lecture ou lecture/écriture), et chaque rôle comportera des membres comprenant des identités d'utilisateur Windows.
Pour définir des autorisations, vous pouvez utiliser SQL Server Management Studio. Dans le dossier Base de données | Rôles, vous pouvez créer des rôles, spécifier des autorisations de base de données, affecter une appartenance à des comptes de groupe ou d'utilisateur Windows, puis accorder des autorisations en lecture ou en écriture sur des objets spécifiques. En général, les autorisations de lecture sur un cube sont suffisantes pour les connexions clientes qui utilisent, mais ne mettent pas à jour, les données du modèle.
L'attribution de rôle varie selon la façon dont vous avez configuré l'authentification.
Anonyme |
Ajoutez à la liste des membres le compte spécifié dans Modifier les informations d'identification pour l'authentification anonyme dans IIS. Pour plus d'informations, consultez Authentification anonyme, |
Authentification Windows |
Ajoutez à la liste des membres les comptes de groupe ou d'utilisateur Windows demandant des données Analysis Services via l'emprunt d'identité ou la délégation. |
Authentification de base |
Ajoutez à la liste des membres les comptes de groupe ou d'utilisateur Windows qui seront transmis à la chaîne de connexion. |
Pour plus d'informations sur la définition d'autorisations, consultez Autorisation de l'accès à des objets et des opérations (Analysis Services).
Étape 6 : Tester votre configuration
La syntaxe de la chaîne de connexion de MSMDPUMP est l'URL du fichier MSMDPUMP.dll.
Si l'application Web écoute un port fixe, ajoutez le numéro du port après le nom de serveur ou l'adresse IP (par exemple, http://my-web-srv01:8080/OLAP/msmdpump.dll ou http://123.456.789.012:8080/OLAP/msmdpump.dll.
Un moyen rapide de tester la connexion consiste à ouvrir une connexion à l'aide de Microsoft Excel ou SQL Server Management Studio.
Tester les connexions à l'aide d'Excel
Sous l'onglet Données dans Excel, dans Données externes, cliquez sur À partir d'autres sources, puis choisissez sur À partir d'Analysis Services pour démarrer l'Assistant Connexion de données.
Dans la zone Nom du serveur, entrez l'adresse HTTP de l'extension msmdpump : http://my-web-srv01/OLAP/msmdpump.dll.
Pour Références de connexion, choisissez Utiliser l'authentification Windows si vous utilisez la sécurité intégrée Windows ou l'authentification NTLM ou anonyme.
Pour l'authentification de base, choisissez Utiliser le nom d'utilisateur et le mot de passe suivants, puis spécifiez les informations d'identification utilisées pour la connexion. Les informations d'identification que vous fournissez sont transmises dans la chaîne de connexion à Analysis Services.
Tester les connexions à l'aide de SQL Server Management Studio
Dans la boîte de dialogue Management Studio Se connecter au serveur, sélectionnez Analysis Services comme type de serveur. Dans la zone Nom du serveur, entrez l'adresse HTTP de l'extension msmdpump : http://my-web-srv01/OLAP/msmdpump.dll.
L'authentification doit correspondre à l'authentification Windows, et la personne utilisant Management Studio doit être un administrateur Analysis Services.
Tester les connexions à l'aide d'AMO
Vous pouvez tester l'accès HTTP par programme à l'aide d'AMO, en remplaçant l'URL du point de terminaison par le nom du serveur. Pour plus d'informations, consultez la question du forum (Procédure de synchronisation des bases de données SSAS 2008 R2 via HTTPS sur les limites de domaine/forêt et de pare-feu).
Exemple de chaîne de connexion illustrant la syntaxe de l'accès HTTP(S) à l'aide de l'authentification de base :
Data Source=https://<servername>/olap/msmdpump.dll; Initial Catalog=AdventureWorksDW2012; Integrated Security=Basic; User ID=XXXX; Password=XXXXX;
Pour plus d'informations sur la configuration de la connexion par programme, consultez Établissement de connexions sécurisées dans ADOMD.NET.
Dans la dernière étape, veillez à effectuer des tests plus rigoureux à l'aide d'un ordinateur client s'exécutant dans l'environnement réseau duquel proviennent les connexions.
Voir aussi
Concepts
Configurer le pare-feu Windows pour autoriser l'accès à Analysis Services
Autorisation de l'accès à des objets et des opérations (Analysis Services)
Autres ressources
Question du forum (accès HTTP à l'aide de msmdpump et de l'authentification de base)