Authentification, autorisation et sécurité dans SharePoint
Nouveautés concernant l'authentification, l'autorisation et la sécurité dans SharePoint
Voici quelques-unes des améliorations ajoutées à SharePoint :
Connexion de l'utilisateur
SharePoint prend encore en charge les modes d'authentification classique et par revendications. L'authentification par revendications est l'option d'authentification par défaut dans SharePoint. L'authentification en mode classique est obsolète et ne peut être gérée qu'à l'aide de Windows PowerShell. De nombreuses fonctionnalités dans SharePoint requièrent le mode de revendications.
La méthode MigrateUsers dans SharePoint 2010 est maintenant obsolète et n'est plus recommandée pour effectuer une migration des comptes. Utilisez la nouvelle cmdlet Windows PowerShell appelée
Convert-SPWebApplication. Pour plus d’informations, consultez Migrer du mode classique vers l’authentification basée sur les revendications dans SharePoint.L’obligation d’inscrire les fournisseurs de revendications est éliminée. Toutefois, vous devez préconfigurer le type de revendications. Vous pouvez choisir les caractères pour le type de revendication et il n’existe aucune application sur l’ordre des types de revendication.
SharePoint effectue le suivi des cookies FedAuth dans le nouveau service distribué de mise en cache de Windows Server AppFabric.
Une journalisation considérable est fournie dans le but de résoudre les problèmes d'authentification.
Authentification des applications et services
Dans SharePoint, vous avez maintenant la possibilité de créer des applications pour SharePoint. Une Complément SharePoint possède une identité qui lui est propre et est associée à un principal de sécurité, appelé principal d'application. Comme les utilisateurs et les groupes, un principal d'application dispose de certains droits et autorisations.
Dans SharePoint, le service d'émission de jeton de sécurité (STS) de serveur à serveur fournit des jetons d'accès pour l'authentification de serveur à serveur. Le STS de serveur à serveur permet à des jetons d'accès temporaires d'accéder à d'autres services d'application, tels que Exchange Server 2013, Microsoft Lync 2013 et les applications pour SharePoint.
Authentification et autorisation
SharePoint prend en charge la sécurité de l'accès utilisateur aux niveaux du site web, des listes, des dossiers de listes ou bibliothèques et des éléments. La gestion de la sécurité est basée sur les rôles à tous les niveaux, fournissant une gestion de la sécurité cohérente sur la plateforme SharePoint avec une interface utilisateur cohérente reposant sur des rôles et un modèle objet pour l'affectation d'autorisations sur les objets. En conséquence, la sécurité au niveau des listes, des dossiers ou des éléments implémente le même modèle utilisateur que la sécurité au niveau du site web, ce qui facilite la gestion des droits d'utilisateurs et des droits de groupes dans un site web. SharePoint prend également en charge des autorisations uniques sur les dossiers et les éléments contenus dans les listes et les bibliothèques de documents.
Remarque
Pour plus d’informations sur l’autorisation liée aux compléments SharePoint, voir Autorisation et authentification des compléments SharePoint.
L'autorisation fait référence au processus par lequel SharePoint assure la sécurité des sites web, des listes, des dossiers ou des éléments en déterminant quels utilisateurs peuvent effectuer des actions spécifiques sur un objet donné. Le processus d'autorisation suppose que l'utilisateur a déjà été authentifié, ce qui fait référence au processus par lequel SharePoint identifie l'utilisateur actuel. SharePoint n'implémente pas son propre système d'authentification ou de gestion des identités, mais repose sur des systèmes externes, quel que soit le type d'authentification (Windows ou autre).
SharePoint prend en charge les types d'authentification suivants :
Windows : toutes les options d'intégration de l'authentification Internet Information Services (IIS) et Windows, notamment Basic, Digest, Certificates, Windows NT LAN Manager (NTLM) et Kerberos sont prises en charge. L'authentification Windows permet à IIS d'effectuer l'authentification pour SharePoint.
Pour plus d’informations sur la connexion à SharePoint à l’aide du mode revendications Windows, voir Revendications entrantes : connexion à SharePoint.
Importante
Pour plus d’informations sur la suspension de l’emprunt d’identité, consultez Éviter de suspendre l’emprunt d’identité de l’utilisateur appelant.
Formulaires ASP.NET : un système de gestion des identités autre que Windows qui utilise le système d'authentification enfichable basé sur des formulaires ASP.NET est pris en charge. Ce mode permet à SharePoint d'utiliser un large éventail de systèmes de gestion des identités, y compris les groupes ou rôles définis en externe, tels que les systèmes de gestion des identités de base de données légers Lightweight Directory Access Protocol (LDAP). L'authentification des formulaires permet à ASP.NET d'effectuer l'authentification pour SharePoint, ce qui implique souvent une redirection vers une page d'ouverture de session. Dans SharePoint, les formulaires ASP.NET ne sont pris en charge que sous l'authentification par revendications. Un fournisseur de formulaires doit être inscrit dans une application web configurée pour les revendications.
Pour plus d’informations sur la connexion à SharePoint à l’aide de l’appartenance ASP.NET et de la connexion passive de rôle, voir Revendications entrantes : connexion à SharePoint.
Remarque
SharePoint ne prend pas en charge l’utilisation d’un fournisseur d’appartenances sensible à la casse. Il utilise un stockage SQL insensible à la casse pour tous les utilisateurs dans la base de données, quel que soit le fournisseur d’appartenances.
Identité et authentification basées sur les revendications
L'identité basée sur des revendications est un modèle d'identité de SharePoint qui comprend des fonctionnalités telles que l'authentification des utilisateurs sur des systèmes Windows et non-Windows, les types d'authentification multiples, l'authentification en temps réel renforcée, un jeu plus large de types principaux et la délégation de l'identité des utilisateurs entre les applications.
Lorsqu'un utilisateur se connecte à SharePoint, son jeton est validé, puis utilisé pour la connexion à SharePoint. Le jeton de l'utilisateur est un jeton de sécurité émis par un fournisseur de revendications. Les modes d'accès ou de connexion pris en charge sont les suivants :
Connexion en mode de revendications Windows (par défaut)
Mode de connexion passive SAML
Appartenance ASP.NET et connexion de rôle passive
Connexion Windows en mode classique (déconseillée dans cette version)
Remarque
Pour plus d’informations sur la connexion à SharePoint et les différents modes de connexion, voir Revendications entrantes : connexion à SharePoint.
Lorsque vous créez des applications prenant en charge les revendications, l'utilisateur présente une identité à votre application sous la forme d'un jeu de revendications. Une revendication peut être le nom d'utilisateur, une autre une adresse de messagerie. En l'occurrence, l'idée est qu'un système d'identité externe est configuré pour donner à votre application toutes les informations dont elle a besoin sur l'utilisateur avec chaque demande, ainsi qu'une assurance cryptographique que les données d'identité reçues par votre application proviennent d'une source approuvée.
Sous ce modèle, l'authentification unique est beaucoup plus facile à obtenir et votre application n'est plus responsable des aspects suivants :
Authentification des utilisateurs
Le stockage des comptes d'utilisateurs et les mots de passe
L'appel à des annuaires d'entreprise pour rechercher des détails d'identité utilisateur
intégration aux systèmes d'identité à partir d'autres plateformes ou entreprises.
Sous ce modèle, votre application prend des décisions au sujet de l'identité en fonction des revendications fournies par l'utilisateur. Cela peut aller d'une simple personnalisation d'application avec le prénom de l'utilisateur à l'octroi à l'utilisateur de l'autorisation d'accéder à des fonctionnalités et à des ressources de plus grande valeur dans votre application.
Remarque
Pour plus d’informations sur les fournisseurs d’identité et de revendications basées sur les revendications, voir Identité et concepts basés sur les revendications dans SharePoint et Fournisseur de revendications dans SharePoint.
Authentification basée sur les formulaires
L'authentification à base de formulaires fournit la gestion des identités personnalisées dans SharePoint en implémentant un fournisseur d'appartenances, ce qui définit les interfaces permettant d'identifier et d'authentifier les utilisateurs individuels, et un gestionnaire de rôles, qui définit les interfaces pour le regroupement des utilisateurs individuels en groupes logiques ou rôles. Dans SharePoint, un fournisseur d’appartenances doit implémenter la méthode System.Web.Security.Membership.ValidateUser requise. En fonction d'un nom d'utilisateur, le système de fournisseur de rôles retourne une liste de rôles à laquelle l'utilisateur appartient.
Le fournisseur d’appartenances est chargé de valider les informations d’identification à l’aide de la méthode System.Web.Security.Membership.ValidateUser (requise maintenant dans SharePoint). Toutefois, le jeton utilisateur proprement dit est créé par le service d'émission de jeton de sécurité (STS, Security Token Service). Le service STS crée le jeton utilisateur à partir du nom d'utilisateur validé par le fournisseur d'appartenances et de l'ensemble des appartenances au groupe associées au nom d'utilisateur et fournies par le fournisseur d'appartenances.
Remarque
Pour plus d’informations sur STS, voir Identité et concepts basés sur les revendications dans SharePoint.
Le gestionnaire de rôles est facultatif. Si un système d'authentification personnalisé ne prend pas en charge les groupes, un gestionnaire de rôles n'est pas nécessaire. SharePoint prend en charge un fournisseur d'appartenances et un gestionnaire de rôles par zone d'URL ( SPUrlZone ). Les rôles des formulaires ASP.NET ne possèdent aucun droit inhérent qui leur soit associé. À la place, SharePoint assigne des droits aux rôles de formulaires via ses stratégies et autorisations. Dans SharePoint, l'authentification par formulaire est intégrée au modèle d'identité basée sur des revendications. Si vous avez besoin d'une augmentation supplémentaire pour contourner la limite d'un fournisseur par zone URL, vous pouvez vous en remettre à des fournisseurs de revendications.
Remarque
Pour plus d’informations sur les fournisseurs d’identité et de revendications basées sur les revendications, voir Identité et concepts basés sur les revendications dans SharePoint et Fournisseur de revendications dans SharePoint.
L'appartenance ASP.NET et passive connexion de rôle, la connexion en se trouve en redirigeant les clients vers une page Web dans laquelle les contrôles de connexion ASP.NET sont hébergés. Une fois l’objet d’identité qui représente une identité d’utilisateur créé, SharePoint le convertit en objet ClaimsIdentity (qui représente une représentation basée sur les revendications d’un utilisateur).
Remarque
Pour plus d’informations sur la connexion à SharePoint, voir Revendications entrantes : connexion à SharePoint.
SharePoint utilise l'interface du fournisseur de rôles ASP.NET standard pour collecter des informations de groupe sur l'utilisateur actuel. Pour l'authentification, les rôles et les groupes représentent la même chose : un moyen de regrouper les utilisateurs dans des jeux logiques pour l'autorisation. Chaque rôle ASP.NET est traité comme un groupe de domaines par SharePoint.
Pour plus d’informations sur l’infrastructure d’authentification enfichable fournie par ASP.NET, consultez la documentation pour les développeurs ASP.NET.
Remarque
Pour plus d’informations sur l’authentification basée sur les formulaires, voir Authentification par formulaires dans les produits et technologies SharePoint (partie 1) : Introduction.