Outil Administration de site Web, onglet Sécurité

Article
10/22/2014

Mise à jour : novembre 2007

Utilisez l'onglet Sécurité de l'outil Administration de site Web pour gérer des règles pour sécuriser des ressources spécifiques dans l'application Web. ASP.NET utilise un système de sécurité qui vous permet de restreindre l'accès aux comptes d'utilisateurs spécifiques ou aux rôles auxquels les comptes d'utilisateurs appartiennent. Avec l'onglet Sécurité, vous gérez des comptes d'utilisateurs, des rôles et des règles d'accès pour le site Web. Avant d'utiliser l'onglet Sécurité pour la première fois, utilisez l' Assistant Installation de sécurité pour configurer des paramètres de sécurité de base pour le site Web.

La sécurité ASP.NET est basée sur les concepts des comptes d'utilisateurs, des rôles et des règles d'accès et vous permet de restreindre l'accès à vos ressources d'application Web uniquement aux comptes d'utilisateurs que vous spécifiez. Les paramètres de sécurité sont établis à l'aide d'une combinaison de paramètres de configuration et de données stockées dans une base de données (ou tout autre magasin de données). Les comptes d'utilisateurs et les rôles que vous créez sont stockés dans la base de données et les règles d'accès sont stockées dans le fichier Web.config.

Vous pouvez configurer votre application pour utiliser les types de sécurité suivants, ceux-ci dépendent de l'utilisation du site Web :

Authentification à base de formulaires (À partir d'Internet)

L'authentification à base de formulaires est utilisée pour les sites Web qui sont rendus disponibles sur l'Internet. L'authentification à base de formulaires utilise le système d'appartenance (membership) d'ASP.NET pour gérer des comptes d'utilisateurs individuels et des groupes (rôles). Les informations sur le compte d'utilisateur sont stockées dans une base de données locale ou dans une base de données Microsoft SQL Server. Vous pouvez utiliser les contrôles d'ouverture de session ASP.NET pour créer une page d'ouverture de session dans laquelle les utilisateurs peuvent entrer leurs informations d'identification.
Authentification Microsoft Windows intégrée (À partir d'un réseau local)

L'authentification Windows interagit avec la sécurité Windows, à l'aide des informations d'identification d'ouverture de session que les utilisateurs fournissent lorsqu'ils ouvrent une session sur Windows. Par conséquent, l'authentification Windows est adaptée à l'intranet, où les utilisateurs se connectent à un réseau Windows. Vous ne devez pas créer une page d'ouverture de session, car les utilisateurs se connectent automatiquement à une session sur votre application avec leurs informations d'identification Windows.

Utilisez la section Utilisateurs de l'onglet Sécurité pour effectuer les tâches suivantes :

Créez, modifiez et supprimez des comptes d'utilisateurs inscrits pour le site Web.
Affichez une liste de tous les comptes d'utilisateurs inscrits pour le site Web.
Modifiez la méthode d'authentification qui est utilisée par le site Web.

Remarque :
Vous pouvez créer et gérer des comptes d'utilisateurs, si vous avez choisi l'option À partir d'Internet comme type d'authentification (si vous utilisez l'authentification à base de formulaires). Si vous avez choisi l'option À partir d'un réseau local comme type d'authentification (si vous utilisez l'authentification Windows intégrée), vous ne pouvez pas gérer de comptes d'utilisateurs individuels. Si vous modifiez le type d'authentification, toute information utilisateur que vous avez créée sera perdue. En outre, les règles d'accès peuvent ne plus fonctionner de la manière dont vous les avez configurées. En général, il est préférable de sélectionner un type d'authentification uniquement lorsque vous configurez le site Web pour la première fois.

Vous pouvez créer et gérer des comptes d'utilisateurs, si vous avez choisi l'option À partir d'Internet comme type d'authentification (si vous utilisez l'authentification à base de formulaires). Si vous avez choisi l'option À partir d'un réseau local comme type d'authentification (si vous utilisez l'authentification Windows intégrée), vous ne pouvez pas gérer de comptes d'utilisateurs individuels. Si vous modifiez le type d'authentification, toute information utilisateur que vous avez créée sera perdue. En outre, les règles d'accès peuvent ne plus fonctionner de la manière dont vous les avez configurées. En général, il est préférable de sélectionner un type d'authentification uniquement lorsque vous configurez le site Web pour la première fois.

Utilisez la section Rôles de l'onglet Sécurité pour grouper des comptes d'utilisateurs car elle simplifie l'assignation des autorisations.

Utilisez la section Règles d'accès de l'onglet Sécurité pour autoriser ou refuser l'accès à des pages spécifiées aux comptes d'utilisateurs spécifiques ou à tous les comptes d'utilisateurs qui appartiennent à un rôle spécifié. En général, vous utilisez une règle d'accès pour restreindre l'accès aux pages de quelques comptes d'utilisateurs.

Création d'utilisateurs

Vous pouvez créer et gérer des comptes d'utilisateurs, si vous avez affecté au type d'authentification la valeur À partir d'Internet (authentification par formulaire). Pour modifier des types d'authentification, cliquez sur Sélectionnez le type d'authentification.

Pour créer des comptes d'utilisateurs

Cliquez sur Créer un utilisateur, puis spécifiez les informations suivantes.

Nom d'utilisateur

Entrez le nom pour le compte d'utilisateur à créer.
Mot de passe

Entrez le mot de passe pour Nom d'utilisateur. Les mots de passe respectent la casse.
Confirmer le mot de passe

Entrez à nouveau le Mot de passe.
Adresse de messagerie

Entrez l'adresse de messagerie pour le Nom d'utilisateur.

L'outil Administration de site Web ne confirme pas si l'adresse que vous entrez est une adresse de messagerie valide, mais il valide le fait que l'adresse de messagerie se conforme au format correct pour les adresses de messagerie.
Question de sécurité

Entrez une question à demander à l'utilisateur lorsqu'il doit réinitialiser ou récupérer son mot de passe.
Réponse de sécurité

Entrez la réponse à Question de sécurité.
Utilisateur actif

Sélectionnez cette option pour activer ce compte d'utilisateur en tant qu'utilisateur actif (actuel) du site. Si vous ne sélectionnez pas cette option, les informations utilisateur sont stockées dans la base de données, mais l'utilisateur ne peut pas se connecter au site Web.
Rôles

Sélectionnez les rôles pour le Nom d'utilisateur. Vous créez des rôles séparément. Pour plus d'informations, consultez la section suivante.

Création de rôles

Pour créer des rôles

Sous l'onglet Sécurité, cliquez sur Activer les rôles.
Cliquez sur Créer ou gérer des rôles.
Dans la zone Nouveau nom de rôle, entrez un nom pour le rôle à créer, tel que Administrateur, Membre ou Invité, puis cliquez sur Ajouter le rôle.

Pour ajouter des comptes d'utilisateurs aux rôles

Sous l'onglet Sécurité, cliquez sur Gérer les utilisateurs, puis sur Modifier l'utilisateur.
Sous Rôles, sélectionnez les rôles pour le compte d'utilisateur.

Création de règles d'accès

Pour créer des règles d'accès

Sous l'onglet Sécurité, cliquez sur Créer des règles d'accès.

Spécifiez les options suivantes :

Sélectionnez un répertoire pour cette règle

Vous pouvez choisir de créer une règle qui s'applique au site complet ou uniquement à un sous-répertoire spécifique. Dans l'affichage de la structure du répertoire pour le site Web, sélectionnez le répertoire auquel la règle s'applique.

Sous La règle s'applique à, spécifiez comment appliquer la règle.

Rôle

Sélectionnez Rôle, puis dans la liste, sélectionnez le nom du rôle auquel la règle d'accès s'applique.
Utilisateur

Sélectionnez Utilisateur, puis entrez le nom du compte d'utilisateur auquel la règle d'accès s'applique. Si vous utilisez l'appartenance d'ASP.NET (la sécurité de site Web est définie a la valeur À partir d'Internet), vous pouvez également utiliser la fonctionnalité Rechercher des utilisateurs.
Tous les utilisateurs

Sélectionnez cette option pour appliquer la règle à tous les visiteurs du site Web.

Remarque :
Soyez prudent lorsque vous créez une règle avec l'option Tous les utilisateurs. Étant donné que les règles sont appliquées dans l'ordre, vous pouvez involontairement créer une règle qui empêche tous les utilisateurs d'accéder à un dossier.

Utilisateurs anonymes

Sélectionnez cette option pour appliquer cette règle uniquement à des comptes d'utilisateurs anonymes (non-inscrits).

En général, vous choisissez l'option Utilisateurs anonymes pour restreindre (refuser) l'accès aux utilisateurs qui ne sont pas connectés.

Autorisation

Sélectionnez Autoriser pour autoriser l'accès au répertoire spécifié pour le compte d'utilisateur ou le rôle spécifié.

Sélectionnez Refuser pour refuser l'accès au répertoire spécifié pour le compte d'utilisateur ou le rôle spécifié.

Par exemple, pour empêcher des utilisateurs qui ne sont pas connectés (anonymes) d'afficher des pages dans un dossier, cliquez sur le dossier, sélectionnez Utilisateurs anonymes, puis sélectionnez Refuser.

Dans certains cas, vous pouvez avoir besoin de créer plusieurs règles pour le même dossier afin de définir les autorisations correctes. Par exemple, vous pouvez créer une règle qui refuse l'accès aux comptes d'utilisateurs anonymes et une deuxième règle qui refuse l'accès aux comptes d'utilisateurs dont le rôle est Invité. De cette façon, seuls les utilisateurs qui sont connectés et se trouvent dans un autre groupe peuvent accéder au dossier.

En coulisse

L'outil Administration de site Web gère des informations sur la sécurité dans les deux endroits suivants :

Le fichier Web.config à la racine du site Web.
La base de données de fournisseur de sites qui est utilisée pour stocker les informations d'utilisateur et de groupe.

Paramètres Web.config

Les paramètres Web.config gérés via l'onglet Sécurité correspondent aux sections <authorization>, <roleManager> et <authentication>.

L'exemple de code suivant est le fichier Web.config qui est créé par l'outil Administration de site Web dans un sous-répertoire restreint du site Web. L'accès au sous-répertoire restreint est autorisé aux administrateurs et refusé aux utilisateurs anonymes.

<?xml version="1.0" encoding="utf-8"?>
<configuration>
    <system.web>
        <authorization>            <allow roles="administrators" />            <deny users="?" />        </authorization>
    </system.web>
</configuration>

Base de données

Lorsque vous utilisez le fournisseur de données par défaut, l'outil Administration de site Web crée des entrées dans la base de données ASP.NET par défaut. Par défaut, l'outil Administration de site Web crée une base de données dans le dossier App_Data du site Web. Toutefois, vous pouvez spécifier que les informations d'application pour les comptes d'utilisateurs et les rôles doivent être conservées dans une autre base de données (par exemple, la récupération des informations de rôle à partir de la base de données utilisateur Windows) à l'aide de l'onglet Fournisseur. Pour plus d'informations, consultez Outil Administration de site Web, onglet Fournisseur.

Informations

Pour plus d'informations sur les paramètres qui sont gérés sous l'onglet Sécurité, dans la documentation .NET Framework, consultez les rubriques suivantes :