Autorisation et authentification
Dernière modification : mardi 20 avril 2010
S’applique à : SharePoint Foundation 2010
Microsoft SharePoint Foundation prend en charge la sécurité de l’accès utilisateur aux niveaux du site Web, des listes, des dossiers de listes ou bibliothèques et des éléments. La gestion de la sécurité est basée sur les rôles à tous les niveaux, fournissant une gestion de la sécurité cohérente sur la plateforme SharePoint Foundation avec une interface utilisateur cohérente reposant sur des rôles et un modèle objet pour l’affectation d’autorisations sur les objets. En conséquence, la sécurité au niveau des listes, des dossiers ou des éléments implémente le même modèle utilisateur que la sécurité au niveau du site Web, ce qui facilite la gestion des droits d’utilisateurs et des droits de groupes dans un site Web. SharePoint Foundation prend également en charge des autorisations uniques sur les dossiers et les éléments contenus dans les listes et les bibliothèques de documents.
L’autorisation fait référence au processus par lequel SharePoint Foundation assure la sécurité des sites Web, des listes, des dossiers ou des éléments en déterminant quels utilisateurs peuvent effectuer des actions spécifiques sur un objet donné. Le processus d’autorisation suppose que l’utilisateur a déjà été authentifié, ce qui fait référence au processus par lequel SharePoint Foundation identifie l’utilisateur actuel. SharePoint Foundation n’implémente pas son propre système d’authentification ou de gestion des identités, mais repose uniquement sur des systèmes externes, quel que soit le type d’authentification (Windows ou autre).
SharePoint Foundation prend en charge les types d'authentification suivants :
Windows : toutes les options d'intégration de l'authentification Microsoft Internet Information Services (IIS) et Windows, notamment Basic, Digest, Certificates, Windows NT LAN Manager (NTLM) et Kerberos. L'authentification Windows permet à IIS d'effectuer l'authentification pour SharePoint Foundation.
Pour plus d’informations sur la connexion à SharePoint à l’aide du mode revendications Windows, voir Revendications entrantes : connexion à SharePoint.
Important
Pour plus d’informations sur la suspension de l’emprunt d’identité, voir Éviter de suspendre l’emprunt d’identité de l’utilisateur appelant.
Formulaires ASP.NET : un système de gestion des identités autre que Windows qui utilise le système d’authentification enfichable basé sur des formulaires Microsoft ASP.NET. Ce mode permet à SharePoint Foundation d’utiliser un large éventail de systèmes de gestion des identités, y compris les groupes ou rôles définis en externe, tels que les systèmes de gestion des identités de base de données légers Lightweight Directory Access Protocol (LDAP). L’authentification des formulaires permet à ASP.NET d’effectuer l’authentification pour SharePoint Foundation, ce qui implique souvent une redirection vers une page d’ouverture de session. Dans SharePoint Foundation, les formulaires ASP.NET ne sont pris en charge que sous l’authentification par revendications. Un fournisseur de formulaires doit être inscrit dans une application Web configurée pour les revendications. Pour plus d’informations sur la connexion à SharePoint en utilisant une connexion passive avec rôle et appartenance ASP.NET, voir Revendications entrantes : connexion à SharePoint.
Notes
SharePoint Foundation ne prend pas en charge l’utilisation d’un fournisseur d’appartenances qui respecte la casse. Il utilise le stockage SQL ne respectant pas la casse pour tous les utilisateurs de la base de données, indépendamment du fournisseur d’appartenances.
Identité et authentification basées sur les revendications
L’identité basée sur des revendications est un modèle d’identité dans SharePoint Foundation et Microsoft SharePoint Server 2010 qui comprend des fonctionnalités telles que l’authentification des utilisateurs sur des systèmes Windows et non-Windows, les types d’authentification multiples, l’authentification en temps réel renforcée, un jeu plus large de types principaux et la délégation de l’identité des utilisateurs entre les applications.
Lorsqu’un utilisateur se connecte à SharePoint Foundation et SharePoint Server 2010, son jeton est validé, puis utilisé pour la connexion à SharePoint. Le jeton de l’utilisateur est un jeton de sécurité émis par un fournisseur de revendications. Cinq modes d’accès ou de connexion sont pris en charge dans SharePoint Foundation et SharePoint Server 2010 :
connexion en mode Windows classique ;
connexion en mode revendications Windows ;
mode de connexion passive SAML ;
connexion passive avec rôle et appartenance ASP.NET ;
accès anonyme.
Notes
Pour plus d’informations sur la connexion à SharePoint et sur les différents modes de connexion, voir Revendications entrantes : connexion à SharePoint.
Lorsque vous créez des applications prenant en charge les revendications, l’utilisateur présente une identité à votre application sous la forme d’un jeu de revendications. Une revendication peut être le nom d’utilisateur, une autre une adresse de messagerie. En l’occurrence, l’idée est qu’un système d’identité externe est configuré pour donner à votre application toutes les informations dont elle a besoin sur l’utilisateur avec chaque demande, ainsi qu’une assurance cryptographique que les données d’identité reçues par votre application proviennent d’une source approuvée.
Sous ce modèle, l’authentification unique est beaucoup plus facile à obtenir et votre application n’est plus responsable des aspects suivants :
authentification des utilisateurs ;
stockage des comptes et mots de passe utilisateur ;
appel des annuaires d’entreprise pour rechercher les détails de l’identité de l’utilisateur ;
intégration aux systèmes d’identité à partir d’autres plateformes ou entreprises.
Sous ce modèle, votre application prend des décisions au sujet de l’identité en fonction des revendications fournies par l’utilisateur. Cela peut aller d’une simple personnalisation d’application avec le prénom de l’utilisateur à l’octroi à l’utilisateur de l’autorisation d’accéder à des fonctionnalités et à des ressources de plus grande valeur dans votre application.
Notes
Pour plus d’informations sur l’identité basée sur des revendications et sur les fournisseurs de revendications, voir Vue d’ensemble et concepts de l’identité basée sur des revendications et Fournisseur de revendications.
Authentification à base de formulaires
L’authentification à base de formulaires fournit la gestion des identités personnalisées dans SharePoint Foundation en implémentant un fournisseur d’appartenances, ce qui définit les interfaces permettant d’identifier et d’authentifier les utilisateurs individuels, et un gestionnaire de rôles, qui définit les interfaces pour le regroupement des utilisateurs individuels en groupes logiques ou rôles. Dans SharePoint Foundation, un fournisseur d’appartenances doit implémenter la méthode System.Web.Security.Membership.ValidateUser requise. En fonction d’un nom d’utilisateur, le système de fournisseur de rôles retourne une liste de rôles à laquelle l’utilisateur appartient.
Le fournisseur d’appartenances est responsable de la validation des informations d’identification à l’aide de la méthode System.Web.Security.Membership.ValidateUser (désormais requise dans SharePoint Foundation). Toutefois, le jeton utilisateur proprement dit est créé par le service d’émission de jeton de sécurité (STS, Security Token Service). Le service STS crée le jeton utilisateur à partir du nom d’utilisateur validé par le fournisseur d’appartenances et de l’ensemble des appartenances au groupe associées au nom d’utilisateur et fournies par le fournisseur d’appartenances.
Notes
Pour plus d’informations sur le service STS, voir Vue d’ensemble et concepts de l’identité basée sur des revendications.
Le gestionnaire de rôles est facultatif. Si un système d’authentification personnalisé ne prend pas en charge les groupes, un gestionnaire de rôles n’est pas nécessaire. SharePoint Foundation prend en charge un fournisseur d’appartenances et un gestionnaire de rôles par zone d’URL (SPUrlZone). Les rôles des formulaires ASP.NET ne possèdent aucun droit inhérent qui leur est associé. À la place, SharePoint Foundation assigne des droits aux rôles de formulaires via ses stratégies et autorisations. Dans SharePoint Foundation, l’authentification par formulaire est intégrée au modèle d’identité basée sur des revendications. Si vous avez besoin d’une augmentation supplémentaire pour contourner la limite d’un fournisseur par zone URL, vous pouvez vous en remettre à des fournisseurs de revendications.
Notes
Pour plus d’informations sur l’identité basée sur des revendications et sur les fournisseurs de revendications, voir Vue d’ensemble et concepts de l’identité basée sur des revendications et Fournisseur de revendications.
Dans la connexion passive avec rôle et appartenance ASP.NET, le client est redirigé vers une page Web qui héberge les contrôles de connexion ASP.NET. Une fois que l’objet d’identité représentant une identité utilisateur est créé, SharePoint Foundation 2010 le convertit en un objet ClaimsIdentity (qui représente un utilisateur sur la base de revendications).
Notes
Pour plus d’informations sur la connexion à SharePoint, voir Revendications entrantes : connexion à SharePoint.
SharePoint Foundation utilise l'interface du fournisseur de rôles ASP.NET 2.0 standard pour collecter des informations de groupe sur l'utilisateur actuel. Pour l'authentification, les rôles et les groupes représentent la même chose : un moyen de regrouper les utilisateurs dans des jeux logiques pour l'autorisation. Chaque rôle ASP.NET est traité comme un groupe de domaines par SharePoint Foundation.
Pour obtenir des informations sur l’infrastructure d’authentification enfichable fournie par ASP.NET, voir New Security Features in ASP.NET 2.0.
Notes
Pour plus d’informations sur l’authentification par formulaire, voir Forms Authentication in SharePoint Products and Technologies (Part 1): Introduction.