Trusted Application Deployment Overview
Cet article a fait l'objet d'une traduction manuelle. Déplacez votre pointeur sur les phrases de l'article pour voir la version originale de ce texte. Informations supplémentaires.
Traduction
Source

Trusted Application Deployment Overview

 

This topic provides an overview of how to deploy ClickOnce applications that have elevated permissions by using the Trusted Application Deployment technology.

Le déploiement d'applications approuvées, qui fait partie de la technologie de déploiement ClickOnce, permet aux entreprises de toute taille d'accorder des autorisations supplémentaires à une application managée de façon plus sûre et plus sécurisée, sans la confirmation de l'utilisateur.Avec le déploiement d'applications approuvées, une organisation peut simplement configurer un ordinateur client pour avoir une liste d'éditeurs approuvés, identifiés à l'aide de certificats Authenticode.Dès lors, toute application ClickOnce signée par un de ces éditeurs approuvés reçoit un niveau de confiance supérieur.

System_CAPS_noteRemarque

Le déploiement d'applications approuvées requiert une configuration unique de l'ordinateur d'un utilisateur.Dans les environnements de postes de travail gérés, cette configuration peut être effectuée à l'aide de la stratégie globale.Si ce n'est pas ce que vous voulez pour votre application, utilisez plutôt l'élévation d'autorisations.Pour plus d'informations, consultez Securing ClickOnce Applications.

Le tableau suivant indique les objets et les rôles qui interviennent dans le déploiement d'applications approuvées.

Objet ou rôle

Description

administrateur

Entité organisationnelle responsable de la mise à jour et la maintenance des ordinateurs client

gestionnaire de confiance

Sous-système dans le Common Language Runtime (CLR) chargé d'appliquer la sécurité des applications clientes.

publisher

Entité qui écrit et gère l'application.

système de déploiement

Entité qui assemble et distribue l'application aux utilisateurs.

certificat

Signature de chiffrement qui se compose d'une clé publique et privée, émise en général par une autorité de certification (CA) pouvant se porter garante de son authenticité.

certificat Authenticode

Certificat avec des métadonnées incorporées décrivant, entre autres choses, les utilisations pour lesquelles le certificat peut être employé.

autorité de certification

Organisation qui vérifie l'identité des éditeurs et leur délivre des certificats incorporés avec les métadonnées de l'éditeur.

autorité racine

Autorité de certification qui autorise d'autres autorités de certification à émettre des certificats.

conteneur de clé

Espace de stockage logique dans Microsoft Windows pour stocker des certificats.

éditeur approuvé

Éditeur dont le certificat Authenticode a été ajouté à une liste de certificats de confiance (CTL) sur un ordinateur client.

Dans les grandes entreprises, l'éditeur et le système de déploiement sont souvent deux entités distinctes :

  • L'éditeur est le groupe qui crée l'application ClickOnce.

  • Le système de déploiement est le groupe, en général le service informatique, qui distribue l'application ClickOnce aux ordinateurs de bureau de l'entreprise.

Vous devez suivre ces étapes pour tirer parti du déploiement d'applications approuvées :

  1. Obtenir un certificat pour l'éditeur.

  2. Ajouter l'éditeur au magasin d'éditeurs approuvés sur tous les clients.

  3. Créer votre application ClickOnce.

  4. Signer le manifeste de déploiement avec le certificat de l'éditeur.

  5. Publier le déploiement d'applications sur les ordinateurs clients.

Les certificats numériques sont un composant principal du système de sécurité et d'authentification de Microsoft Authenticode.Authenticode est un composant standard du système d'exploitation Windows.Toutes les applications ClickOnce doivent être signées avec un certificat numérique, qu'elles participent ou non au déploiement d'applications approuvées.Pour une explication complète du fonctionnement d'Authenticode avec ClickOnce, consultez ClickOnce and Authenticode.

Pour que votre application ClickOnce reçoive un niveau supérieur de confiance, vous devez ajouter votre certificat en tant qu'éditeur approuvé à chaque ordinateur client sur lequel l'application s'exécutera.Cette tâche est une configuration unique.Une fois terminée, vous pouvez déployer autant d'applications ClickOnce signées avec le certificat de votre éditeur que vous souhaitez, et elles s'exécuteront toutes avec un niveau de confiance élevé.

Si vous déployez votre application dans un environnement de bureau géré, par exemple, un intranet d'entreprise exécutant le système d'exploitation Windows, vous pouvez ajouter des éditeurs approuvés au magasin d'un client en créant une nouvelle liste de certificats de confiance (CTL) avec la stratégie de groupe.Pour plus d'informations, consultez Créer une liste de certificats de confiance pour un objet Stratégie de groupe.

Si vous ne déployez pas votre application dans un environnement de bureau géré, vous disposez des options suivantes pour ajouter un certificat au magasin d'éditeurs approuvés :

Une application ClickOnce est une application cliente .NET Framework combinée avec des fichiers manifestes qui décrivent l'application et fournissent les paramètres d'installation.Vous pouvez transformer votre programme en application ClickOnce à l'aide de la commande Publier dans Visual Studio.Vous pouvez également générer tous les fichiers requis pour le déploiement ClickOnce à l'aide des outils inclus dans le Kit de développement logiciel Windows.Pour une procédure détaillée concernant le déploiement ClickOnce, consultez Walkthrough: Manually Deploying a ClickOnce Application.

Le déploiement d'applications approuvées est spécifique de ClickOnce et peut uniquement être utilisé avec des applications ClickOnce.

Après avoir obtenu votre certificat, vous devez l'utiliser pour signer votre déploiement.Si vous déployez votre application à l'aide de l'Assistant Publication de Visual Studio, ce dernier génère automatiquement un certificat de test pour vous si vous n'avez pas spécifié de certificat.Vous pouvez également utiliser la fenêtre du Concepteur de projets Visual Studio, pour fournir un certificat fourni par une autorité de certification.  Consultez également Procédure : publication d'une application ClickOnce à l'aide de l'Assistant Publication ou Procédure : publication d'une application ClickOnce à l'aide de l'Assistant Publication.

System_CAPS_cautionAttention

Nous ne recommandons pas le déploiement de l'application avec un certificat de test.

Vous pouvez également signer l'application à l'aide des outils des SDK Mage.exe ou MageUI.exe.Pour plus d'informations, consultez Walkthrough: Manually Deploying a ClickOnce Application.Pour une liste complète des options de ligne de commande relatives à la signature de déploiement, consultez Mage.exe (Manifest Generation and Editing Tool).

Dès que vous avez signé vos manifestes ClickOnce, l'application est prête à être publiée dans votre emplacement d'installation.L'emplacement d'installation peut être un serveur web, un partage de fichiers ou le disque local.Quand un client accède au manifeste de déploiement pour la première fois, le Gestionnaire de confiance doit déterminer si l'application ClickOnce a été autorisée ou non à ne pas s'exécuter à un niveau de confiance supérieur par un éditeur approuvé installé.Le Gestionnaire de confiance fait ce choix en comparant le certificat utilisé pour signer le déploiement aux certificats stockés dans le magasin d'éditeurs approuvés du client.Si le Gestionnaire de confiance trouve une correspondance, l'application s'exécute avec un niveau de confiance élevé.

Si l'éditeur actuel n'est pas un éditeur approuvé, le Gestionnaire de confiance utilise l'élévation d'autorisations pour demander à l'utilisateur s'il souhaite accorder à votre application des autorisations élevées.Toutefois, si l'élévation d'autorisations est désactivée par l'administrateur, l'application ne peut pas obtenir l'autorisation de s'exécuter.L'application ne s'exécute pas et aucune notification n'est affichée à l'utilisateur.Pour plus d'informations sur l'élévation d'autorisations, consultez Securing ClickOnce Applications.

Vous pouvez utiliser le déploiement d'applications approuvées pour accorder une confiance élevée aux applications ClickOnce déployées sur le web ou via un partage de fichiers d'entreprise.Vous n'êtes pas obligé d'utiliser le déploiement d'applications approuvées pour les applications ClickOnce distribuées sur un CD, car, par défaut, ces applications ont un niveau de confiance totale.

Afficher:
© 2016 Microsoft