Partager via

Team Foundation Server, authentification et accès

  • Article

Vous pouvez configurer votre déploiement pour contribuer à sécuriser les connexions entre vos utilisateurs et votre déploiement de Visual Studio Team Foundation Server.Team Foundation Server (TFS) peut prendre en charge l'authentification de base, l'authentification Digest et les certificats.Par conséquent, vous pouvez configurer votre déploiement de TFS pour qu'il utilise le protocole S-HTTP avec le protocole SSL et l'authentification de base ou Digest.Si vous adoptez cette stratégie, vos utilisateurs bénéficient d'une connexion plus sécurisée à votre déploiement sans devoir utiliser de connexion de réseau privé virtuel (VPN).

Configurations

Pour prendre en charge des connexions externes plus sécurisées vers votre déploiement de Team Foundation Server, vous devez configurer les services IIS (Internet Information Services) pour activer l'authentification de base, l'authentification Digest ou les deux.Vous devez également configurer toutes les connexions externes pour qu'elles exigent des certificats.

Aa833874.collapse_all(fr-fr,VS.110).gifAuthentification de base et authentification Digest

L'authentification de base fait partie de la spécification HTTP 1.0 et utilise les comptes d'utilisateur Windows.Pendant l'authentification de base, le navigateur invite l'utilisateur à entrer un nom d'utilisateur et un mot de passe, puis transmet ces informations via le protocole HTTP à l'aide de l'encodage Base64.Par défaut, l'authentification de base nécessite que le compte d'utilisateur Windows dispose des droits d'ouverture de session locale au niveau du serveur Web.Vous pouvez utiliser l'authentification de base dans les déploiements de groupes de travail et de domaines.La plupart des serveurs Web, des serveurs proxy et des navigateurs Web prennent en charge l'authentification de base, mais cette dernière n'est pas sécurisée.Étant donné que les données encodées avec Base64 sont faciles à décoder, l'authentification de base envoie en quelque sorte le mot de passe sous forme de texte en clair.Un utilisateur malveillant qui surveille des communications sur le réseau peut facilement intercepter et déchiffrer ces mots de passe en utilisant des outils disponibles publiquement.Pour améliorer la sécurité, vous devez envisager d'utiliser le protocole S-HTTP avec SSL.

L'authentification Digest est un mécanisme de stimulation/réponse qui envoie sur le réseau un condensé (également appelé hachage) plutôt qu'un mot de passe.Au cours de l'authentification Digest, IIS envoie une stimulation au client pour créer un condensé, puis l'envoie au serveur.En réponse à la stimulation, le client envoie un condensé basé sur le mot de passe de l'utilisateur avec des données qui sont connues à la fois du client et du serveur.Le serveur utilise le même processus que le client pour créer son propre condensé, les informations concernant l'utilisateur étant obtenues à partir d'Active Directory.IIS authentifie le client uniquement si le condensé créé par le serveur correspond au condensé créé par le client.Vous pouvez seulement utiliser l'authentification Digest dans les déploiements Active Directory.En soi, l'authentification Digest constitue une petite amélioration par rapport à l'authentification de base.Un utilisateur malveillant pourrait enregistrer la communication entre le client et le serveur, puis utiliser ces informations pour relire la transaction.L'authentification Digest a également des dépendances vis-à-vis du protocole HTTP 1.1, qui n'est pas pris en charge par tous les navigateurs Web.De plus, les tentatives d'accès à Team Foundation Server échoueront si vous ne configurez pas correctement l'authentification Digest.Choisissez l'authentification Digest uniquement si votre déploiement répond à toutes les conditions requises de ce mode.Pour plus d'informations, consultez la page suivante sur le site Web Microsoft (Configuration de l'authentification Digest (IIS 7.0) (page éventuellement en anglais)).

Aa833874.collapse_all(fr-fr,VS.110).gifProtocoles d'authentification

Par défaut, Team Foundation Server utilise le protocole d'authentification de Stimulation/Réponse de Windows (NTLM).Les informations d'identification NTLM reposent sur les données obtenues lors de le processus d'ouverture de session interactive et incluent un hachage unidirectionnel du mot de passe.

Team Foundation Server prend également en charge l'authentification de négociation Microsoft en tant que fournisseur d'authentification.Dans le protocole de négociation, Kerberos est sélectionné sauf s'il ne peut pas être utilisé par l'un des systèmes impliqués dans la procédure d'authentification.Pour les systèmes qui ne sont pas configurés pour Kerberos, NTLM est utilisé.La négociation est l'option la plus sûre pour la plupart des déploiements, mais peut nécessiter des tâches de configuration supplémentaires.

Aa833874.collapse_all(fr-fr,VS.110).gifLimitations

Outre les conditions requises pour les domaines et groupes de travail mentionnées précédemment dans cette rubrique, les authentifications de base et Digest sont en soi insuffisantes pour sécuriser le réseau pour les clients externes.Par conséquent, vous ne devez pas configurer Team Foundation Server pour prendre en charge des clients externes, à moins que vous ne configuriez également ces connexions pour qu'elles exigent S-HTTP avec SSL.

Voir aussi

Concepts

Architecture de Team Foundation Server

Autres ressources

Securing Team Foundation Server with HTTPS and Secure Sockets Layer (SSL)