Configurer le service Banque d’informations sécurisé (SharePoint Server 2010)

  • Article

 

S’applique à : SharePoint Server 2010

Dernière rubrique modifiée : 2017-01-19

Cet article décrit les opérations du service Banque d’informations sécurisé Microsoft SharePoint Server 2010 qui permettent aux concepteurs de solutions de créer des applications cibles qui mappent les informations d’identification d’utilisateurs et de groupes aux informations d’identification de sources de données externes. À l’aide de ces applications cibles, des types de contenus externes du Service Business Data Connectivity peuvent interagir avec leurs sources de données externes pour lire, écrire et modifier des données qui y sont stockées. Pour une présentation du service Banque d’informations sécurisé, voir Planifier le service banque d’informations sécurisé (SharePoint Server 2010).

Avant d’utiliser le service Banque d’informations sécurisé pour créer des applications cibles, vous devez lui fournir une phrase secrète. La phrase secrète est utilisée pour générer une clé qui est utilisée pour chiffrer et déchiffrer les informations d’identification stockées dans la base de données du service Banque d’informations sécurisé. Si vous devez fournir la phrase secrète initiale, le message suivant apparaît lorsque vous ouvrez une instance d’application du service Banque d’informations sécurisé : « Please generate a new key for this Secure Store Service application ».

Dans cet article :

  • Initialisation d'une instance d'application du service Banque d'informations sécurisé

  • Actualisation de la clé de chiffrement

  • Génération d'une nouvelle clé de chiffrement

  • Création d'une application cible

  • Définition d'informations d'identification pour une application cible

  • Activer le journal d’audit

Notes

Vous utilisez l’Administration centrale pour effectuer les procédures suivantes. Pour utiliser Windows PowerShell, voir Configurer le service Banque d’informations sécurisé à l’aide de PowerShell (éventuellement en anglais) (https://go.microsoft.com/fwlink/?linkid=207030&clcid=0x40C) (éventuellement en anglais) dans le centre de scripts et les lignes « Creating Secure Store Service and Proxy » du billet de blog de Todd Carter intitulé L’Assistant et les GUID (éventuellement en anglais) (https://go.microsoft.com/fwlink/?linkid=207031&clcid=0x40C) (éventuellement en anglais). En outre, si vous souhaitez utiliser un journal d’audit, vous devez recourir aux paramètres AuditingEnabled et AuditlogMaxSize de l’applet de commande New-SPSecureStoreServiceApplication ou de l’applet de commande Set-SPSecureStoreServiceApplication.

Initialisation d’une instance d’application du service Banque d’informations sécurisé

Vous pouvez utiliser les commandes du groupe Modifier du Ruban pour initialiser une instance d’une application du service Banque d’informations sécurisé.

Pour initialiser une instance d’application du service Banque d’informations sécurisé

  1. Vérifiez que vous disposez des informations d’identification administratives suivantes :

    • Vous devez être administrateur d’application de service pour l’instance du service Banque d’informations sécurisé.

  2. Dans une instance d’une application du service Banque d’informations sécurisé, cliquez sur l’onglet Gérer.

  3. Dans le groupe Gestion des clés, cliquez sur Générer la nouvelle clé.

  4. Dans la page Générer la nouvelle clé, entrez un mot de passe dans la zone Mot de passe, et entrez la même chaîne dans la zone Confirmez le mot de passe.

    Important

    Un mot de passe doit comporter au moins huit caractères et avoir au moins trois des quatre éléments suivants :

    • des caractères majuscules

    • des caractères minuscules

    • des chiffres

    • un des caractères spéciaux suivants

      “! " # $ % & ’ ( ) * + , - . / : ; < = > ? @ [ \ ] ^ _ ` { | } ~

    Conseil

    Le mot de passe que vous entrez ne sera pas stocké. Assurez-vous de l’écrire et de le stocker dans un endroit sûr. Vous devrez actualiser la clé, par exemple si vous ajoutez un nouveau serveur d’applications à la batterie de serveurs.

  5. Cliquez sur OK.

Il peut être nécessaire d’actualiser la clé de chiffrement si :

  • vous ajoutez un nouveau serveur d’applications à la batterie de serveurs ;

  • vous restaurez une base de données du service Banque d’informations sécurisé précédemment sauvegardée et que vous avez entretemps changé la clé de chiffrement ;

  • vous recevez un message d’erreur indiquant qu’il est impossible d’obtenir la clé principale.

Actualisation de la clé de chiffrement

Vous pouvez utiliser les commandes du groupe Gestion des clés du Ruban pour actualiser la clé de chiffrement.

Pour actualiser la clé de chiffrement

  1. Vérifiez que vous disposez des informations d’identification administratives suivantes :

    • Vous devez être administrateur d’application de service pour l’instance du service Banque d’informations sécurisé.

  2. Dans une instance d’une application du service Banque d’informations sécurisé, cliquez sur l’onglet Gérer.

  3. Dans le groupe Gestion de clé, cliquez sur Actualiser la clé.

  4. Dans la zone Mot de passe, entrez le mot de passe que vous avez utilisé initialement pour générer la clé de chiffrement.

    Il s’agit du mot de passe que vous avez utilisé lors de l’initialisation de l’application du service Banque d’informations sécurisé ou bien de celui que vous avez utilisé lors de la création d’une nouvelle clé à l’aide de la commande Générer la nouvelle clé.

  5. Cliquez sur OK.

Génération d’une nouvelle clé de chiffrement

À titre de précaution de sécurité ou dans le cadre de la maintenance normale, vous pouvez décider de générer une nouvelle clé de chiffrement et éventuellement de forcer un nouveau chiffrement du service Banque d’informations sécurisé sur la base de la nouvelle clé.

Avertissement

Vous devez sauvegarder la base de données de l’application du service Banque d’informations sécurisé avant de générer une nouvelle clé.

Pour générer une nouvelle clé de chiffrement

  1. Vérifiez que vous disposez des informations d’identification administratives suivantes :

    • Vous devez être administrateur d’application de service pour l’instance du service Banque d’informations sécurisé.

  2. Dans une instance d’une application du service Banque d’informations sécurisé, cliquez sur l’onglet Gérer.

  3. Dans le groupe Gestion des clés, cliquez sur Générer une nouvelle clé.

  4. Dans la page Générer la nouvelle clé, entrez un mot de passe dans la zone Mot de passe, et entrez la même chaîne dans la zone Confirmez le mot de passe.

    Important

    Un mot de passe doit comporter au moins huit caractères et avoir au moins trois des quatre éléments suivants :

    • des caractères majuscules

    • des caractères minuscules

    • des chiffres

    • un des caractères spéciaux suivants

      “! " # $ % & ’ ( ) * + , - . / : ; < = > ? @ [ \ ] ^ _ ` { | } ~

    Conseil

    Le mot de passe que vous entrez ne sera pas stocké. Assurez-vous de l’écrire et de le stocker dans un endroit sûr. Vous devrez actualiser la clé, par exemple si vous ajoutez un nouveau serveur d’applications à la batterie de serveurs.

  5. Pour forcer le rechiffrement de la base de données du service Banque d’informations sécurisé, cliquez sur Rechiffrer la base de données avec la nouvelle clé de chiffrement.

  6. Cliquez sur OK.

Création d’une application cible

Vous utilisez le service Banque d’informations sécurisé pour créer des applications cibles. Une application cible mappe les informations d’identification d’un utilisateur, d’un groupe ou d’une revendication à un ensemble d’informations d’identification sur une source de données externe, telle qu’une base de données SQL Server ou un service Web. Après avoir créé une application cible, vous pouvez l’associer à un type de contenu ou un modèle d’application externe pour fournir un accès à une source de données externe.

Pour créer une application cible

  1. Vérifiez que vous disposez des informations d’identification administratives suivantes :

    • Vous devez être administrateur d’application de service pour l’instance du service Banque d’informations sécurisé.

  2. Dans une instance d’une application du service Banque d’informations sécurisé, cliquez sur l’onglet Gérer.

  3. Dans la page Gérer les applications cibles, cliquez sur Nouveau.

  4. Dans la zone ID de l’application cible, entrez une chaîne de texte.

    Il s’agit de la chaîne unique qui sera utilisée en interne par le service Banque d’informations sécurisé pour identifier cette application cible.

  5. Dans la zone Nom complet, entrez une chaîne de texte qui sera utilisée pour afficher l’identificateur de l’application cible dans l’interface utilisateur.

  6. Dans la zone Adresse de messagerie du contact, entrez l’adresse de messagerie du contact principal pour cette application cible.

    Il peut s’agir de toute adresse de messagerie valide et il n’est pas nécessaire que ce soit l’identité d’un administrateur de l’application du service Banque d’informations sécurisé.

  7. Lorsque vous créez une application cible de type Individuel (voir plus loin), vous pouvez implémenter une page Web personnalisée qui permet aux utilisateurs d’ajouter des informations d’identification individuelles pour la source de données de destination. Ceci requiert du code personnalisé pour passer les informations d’identification à l’application cible. Si vous avez procédé ainsi, entrez l’URL complète de cette page dans le champ URL de la page de l’application cible. Il existe trois options :

    • Utiliser la page fournie : tout site Web utilisant l’application cible pour accéder à des données externes se voit ajouter automatiquement une page d’inscription individuelle. L’URL de cette page est http:/<exemple_site>/_layouts/SecureStoreSetCredentials.aspx?TargetAppId=<ID_application_cible>, où <ID_application_cible> est la chaîne entrée dans la zone ID de l’application cible. En rendant public l’emplacement de cette page, vous pouvez permettre aux utilisateurs d’entrer leurs informations d’identification pour la source de données externe.

    • Utiliser une page personnalisée : vous fournissez une page Web personnalisée qui permet aux utilisateurs d’indiquer des informations d’identification individuelles. Tapez l’URL de la page personnalisée dans ce champ.

    • Aucune : il n’existe pas de page d’inscription. Les informations d’identification individuelles sont ajoutées uniquement par un administrateur du service Banque d’informations sécurisé à l’aide de l’application du service Banque d’informations sécurisé.

  8. Dans la zone Type d’application cible, entrez le type d’application cible : Groupe pour des informations d’identification de groupe, ou Individuel si chaque personne doit être mappée à un ensemble unique d’informations d’identification sur la source de données externe.

    Notes

    Il existe deux types principaux pour la création d’une application cible :

    • Groupe, pour le mappage de tous les membres d’un ou plusieurs groupes à un même ensemble d’informations d’identification sur la source de données externe.

    • Individuel, pour le mappage de chaque personne à un ensemble unique d’informations d’identification sur la source de données externe.

  9. Si les informations d’identification sur la source de données externe sont des informations d’identification Windows, activez la case à cocher Windows.

    Désactivez la case à cocher si les informations d’identification sur la source de données externe ne sont pas des informations d’identification Windows.

  10. Cliquez sur Suivant pour configurer les champs à utiliser pour envoyer les informations d’identification à la source de données externe.

  11. Utilisez la page Spécifiez les champs des informations d’identification pour votre application cible de la banque sécurisée pour configurer les différents champs qui peuvent être nécessaires pour fournir des informations d’identification à la source de données externe. Deux champs figurent par défaut dans la liste : Nom d’utilisateur et Mot de passe.

    Pour ajouter un champ supplémentaire pour fournir des informations d’identification à la source de données externe, dans la page Spécifiez les champs des informations d’identification pour votre application cible de la banque sécurisée, cliquez sur Ajouter un champ.

    Par défaut, le type du nouveau champ est Générique. Les types de champs suivants sont disponibles :

    Champ Description

    Générique

    Des valeurs qui ne correspondent à aucune des autres catégories.

    Nom de l’utilisateur

    Un compte d’utilisateur qui identifie l’utilisateur.

    Mot de passe

    Un mot ou une phrase secrète.

    Code confidentiel

    Un numéro d’identification personnel.

    Clé

    Un paramètre qui détermine la sortie fonctionnelle d’un algorithme de chiffrement.

    Nom d’utilisateur Windows

    Un compte d’utilisateur Windows qui identifie l’utilisateur.

    Mot de passe Windows

    Un mot ou une phrase secrète pour un compte Windows.

    • Pour modifier le type d’un champ nouveau ou existant, cliquez sur la flèche qui apparaît à côté du type du champ, puis sélectionnez son nouveau type.

      Notes

      Chaque champ que vous ajoutez doit contenir des données lorsqu’il est envoyé pour définir les informations d’identification.

    • Vous pouvez modifier le nom qu’un utilisateur voit lorsqu’il interagit avec un champ. Dans la colonne Nom du champ de la page Spécifiez les champs des informations d’identification pour votre application cible de la banque sécurisée, modifiez un nom de champ en sélectionnant le texte actuel puis en entrant le nouveau texte.

    • Lorsqu’un champ est masqué, les caractères entrés par un utilisateur ne sont pas affichés : ils sont remplacés par un caractère de masque, tel que l’astérisque (« * »). Pour masquer un champ, cliquez sur la case à cocher pour ce champ dans la colonne Masqué de la page.

    • Pour supprimer un champ, cliquez sur l’icône de suppression pour ce champ dans la colonne Supprimer de la page.

    Lorsque vous avez terminé les modifications à apporter aux champs des informations d’identification, cliquez sur Suivant.

  12. Dans la page Spécifier les paramètres d’appartenance, dans le champ Administrateurs de l’application cible, indiquez la liste de tous les utilisateurs qui disposent d’un accès pour gérer les paramètres de l’application cible.

  13. Si le type de l’application cible est Groupe, dans le champ Membres, spécifiez la liste des groupes d’utilisateurs à mapper à un ensemble d’informations d’identification pour cette application cible.

  14. Cliquez sur OK pour terminer la configuration de l’application cible.

Définition d’informations d’identification pour une application cible

Après la création d’une application cible, un administrateur de cette application cible peut définir des informations d’identification pour celle-ci. Ces informations d’identification seront utilisées par les Services Microsoft Business Connectivity et par d’autres services pour fournir un accès à une source de données externe. Si l’application cible est de type Individuel, vous pouvez si vous le souhaitez permettre à des personnes individuelles de fournir leurs propres informations d’identification.

Pour définir des informations d’identification pour une application cible

  1. Vérifiez que vous disposez des informations d’identification administratives suivantes :

    • Vous devez être administrateur d’application de service pour l’instance du service Banque d’informations sécurisé.

  2. Dans une instance d’application du service Banque d’informations sécurisé, pointez sur l’identificateur de l’application cible, cliquez sur la flèche qui apparaît puis, dans le menu, cliquez sur Définir les informations d’identification.

    Si l’application cible est du type Groupe, entrez les informations d’identification pour la source de données externe. Les champs pour définir les informations d’identification varient en fonction des informations requises par la source de données externe.

    Si l’application cible est du type Individuel, entrez le nom d’utilisateur de la personne individuelle qui sera mappé à un ensemble d’informations d’identification sur la source de données externe, puis entrez les informations d’identification pour la source de données externe. Les champs pour définir les informations d’identification varient en fonction des informations requises par la source de données externe.

Activer le journal d’audit

Les entrées d’audit du service Banque d’informations sécurisé sont stockées dans la base de données du service Banque d’informations sécurisé. Par défaut, le fichier journal d’audit est désactivé.

Une entrée du journal d’audit stocke des informations sur une action du service Banque d’informations sécurisé, notamment le moment auquel l’action a été réalisée, son issue (réussite ou échec), la raison de son échec éventuel, l’utilisateur du service Banque d’informations sécurisé qui l’a réalisée et, éventuellement, l’utilisateur du service Banque d’informations sécurisé au nom duquel elle a été réalisée. Par conséquent, une raison valable d’activer un fichier journal d’audit est la résolution d’un problème d’authentification.

Notes

Si la base de données du service Banque d’informations sécurisé est définie en lecture seule, le fichier journal d’audit doit être désactivé, sinon le message d’erreur suivant apparaît pendant l’authentification : « Impossible de terminer cette action, car le service partagé Banque d’informations sécurisé ne répond pas. Contactez votre administrateur. ».

Pour activer le journal d’audit à l’aide de l’Administration centrale

  1. Vérifiez que le compte d’utilisateur qui effectue cette procédure est membre du groupe SharePoint Administrateurs de batterie de serveurs.

  2. Dans l’Administration centrale, dans la page d’accueil, cliquez sur Gestion des applications.

  3. Dans la page Gestion des applications, dans la section Applications de service, cliquez sur Gérer les applications de service.

  4. Sous l’onglet Application de service, cliquez sur Banque d’informations sécurisée (le type doit être associé à l’application du service Banque d’informations sécurisé).

  5. Dans le Ruban, cliquez sur Propriétés.

  6. Dans la section Activer l’audit, activez la case à cocher Journal d’audit activé.

  7. Pour modifier le nombre de jours au terme desquels les entrées seront vidées du fichier journal d’audit, spécifiez un nombre en jours dans le champ Nb de jours avant vidage. La valeur par défaut est de 30 jours.

  8. Cliquez sur OK.