Créer une application Web qui utilise l’authentification Windows par revendications (SharePoint Server 2010)
Dernière rubrique modifiée : 2016-11-30
Cet article explique comment créer une application Web qui utilise l’authentification par revendications Windows.
Conseil
Si vous souhaitez utiliser plutôt l’authentification classique de Windows, reportez-vous à la section Créer une application Web qui utilise l’authentification classique Windows (SharePoint Server 2010).
Avant d’effectuer cette procédure, assurez-vous que :
Votre système exécute Microsoft SharePoint Server 2010.
Votre conception d’architecture logique est en place. Pour plus d’informations, voir Composants de l’architecture logique (SharePoint Server 2010).
Vous avez planifié l’authentification pour votre application Web. Pour plus d’informations, voir Planifier des méthodes d’authentification (SharePoint Server 2010), Planifier l’authentification Kerberos (SharePoint Server 2010) et Choisir les groupes de sécurité (SharePoint Server 2010).
Vous avez sélectionné les applications de service que vous souhaitez utiliser pour votre application Web. Pour plus d’informations, voir Gérer des applications de service et des services (SharePoint Server 2010).
Si vous utilisez SSL (Secure Sockets Layer), vous devez associer le certificat SSL avec le site Web IIS de l’application Web après la création du site Web IIS. Pour plus d’informations sur la configuration de SSL, voir Comment configurer SSL sur IIS 7.0 (éventuellement en anglais) (https://go.microsoft.com/fwlink/?linkid=187887&clcid=0x40C) (éventuellement en anglais).
Vous avez lu des informations sur le mappage d’accès de substitution.
Si UAC (User Account Control) est activé dans Windows et que vous utilisez Windows PowerShell 2,0 pour créer une application Web, vous devez cliquer avec le bouton droit sur SharePoint 2010 Management Shell et sélectionner Exécuter en tant qu’administrateur.
Vous pouvez créer une application Web à l’aide du site Web Administration centrale de SharePoint ou de Windows PowerShell. Vous utilisez en général l’Administration centrale pour créer une application Web. Si vous souhaitez automatiser la tâche de création d’une application Web, ce qui est courant dans les entreprises, utilisez Windows PowerShell. Une fois la procédure terminée, vous pouvez créer des collections de sites sur l’application Web que vous avez créée.
Pour créer une application Web avec l’authentification par revendications Windows à l’aide de l’Administration centrale
Vérifiez que vous disposez des informations d’identification administratives suivantes :
- Pour créer une application Web, vous devez être membre du groupe SharePoint Administrateurs de batterie et membre du groupe Administrateurs local sur l’ordinateur exécutant l’Administration centrale.
Dans la page d’accueil de l’Administration centrale, dans la section Gestion des applications, cliquez sur Gérer les applications Web.
Sur le ruban, cliquez sur Nouveau.
Dans la page Créer une Application Web, dans la section Authentification, cliquez sur Authentification par revendications.
Dans la section Site Web IIS, vous pouvez configurer les paramètres de votre nouvelle application Web en sélectionnant l’une des deux options suivantes :
Cliquez sur Utiliser un site Web existant, puis sélectionnez le site Web sur lequel installer votre nouvelle application Web.
Cliquez sur Créer un nouveau site Web IIS, puis tapez le nom du site Web dans la zone Nom.
Dans la section Site Web IIS, dans la zone Port, tapez le numéro de port que vous souhaitez utiliser pour accéder à l’application Web. Si vous créez un nouveau site Web, ce champ est rempli avec un numéro de port aléatoire. Si vous utilisez un site Web existant, ce champ est rempli avec le numéro de port actuel.
Notes
Le numéro de port par défaut pour l’accès HTTP est 80, et le numéro de port par défaut pour l’accès HTTPS est 443. Si vous souhaitez que les utilisateurs accèdent à l’application Web sans taper de numéro de port, ils doivent utiliser le numéro de port par défaut approprié.
Facultatif : dans la section Site Web IIS, dans la zone En-tête de l’hôte, tapez le nom de l’hôte (par exemple, www.contoso.com) que vous souhaitez utiliser pour accéder à l’application Web.
Notes
En règle générale, ce champ n’est pas défini, sauf si vous souhaitez configurer plusieurs sites Web IIS qui partagent le même numéro de port sur le même serveur, et DNS a été configuré pour acheminer les demandes au même serveur.
Dans la section Site Web IIS, dans la zone Chemin d’accès, tapez le chemin d’accès du répertoire de base du site Web IIS sur le serveur. Si vous créez un nouveau site Web, ce champ est rempli avec un chemin d’accès suggéré. Si vous utilisez un site Web existant, ce champ est rempli avec le chemin d’accès actuel à ce site Web.
Dans la section Configuration de la sécurité, choisissez d’autoriser ou non l’accès anonyme et d’utiliser ou non SSL (Secure Sockets Layer).
Sous Autoriser l’accès anonyme, cliquez sur Oui ou Non. Si vous choisissez d’autoriser l’accès anonyme, cela permet l’accès anonyme au site Web à l’aide du compte d’accès anonyme spécifique à l’ordinateur (en l’occurrence, IIS_IUSRS).
Notes
Si vous souhaitez que les utilisateurs puissent accéder au contenu de tout site de façon anonyme, vous devez autoriser l’accès anonyme pour toute la zone d’application Web avant d’activer l’accès anonyme au niveau du site SharePoint ; ultérieurement, les propriétaires de sites peuvent configurer le mode d’utilisation de l’accès anonyme sur leurs sites. Si vous ne permettez pas l’accès anonyme au niveau de l’application Web, vous ne pouvez pas permettre l’accès anonyme ultérieurement au niveau du site. Pour plus d’informations, voir Choisir les groupes de sécurité (SharePoint Server 2010).
Sous Utiliser le protocole SSL, cliquez sur Oui ou Non. Si vous choisissez d’activer le protocole SSL pour le site Web, vous devez configurer SSL en demandant et en installant un certificat SSL. Pour plus d’informations sur la configuration de SSL, voir Configuration de SSL sur IIS 7.0 (éventuellement en anglais) (https://go.microsoft.com/fwlink/?linkid=187887&clcid=0x40C) (éventuellement en anglais).
Dans la section Types d’authentification basée sur les revendications, sélectionnez l’authentification que vous souhaitez utiliser pour l’application Web.
Pour activer l’authentification Windows, sélectionnez Activer l’authentification Windows et, dans le menu déroulant, sélectionnez Négocier (Kerberos) ou NTLM. Pour plus d’informations, voir Planifier l’authentification Kerberos (SharePoint Server 2010).
Si vous ne souhaitez pas utiliser l’authentification Windows intégrée, désactivez Authentification Windows intégrée.
Si vous souhaitez que les informations d’identification des utilisateurs soient envoyées sur le réseau sous une forme non chiffrée, sélectionnez Authentification de base (le mot de passe est envoyé en texte clair).
Notes
Vous pouvez sélectionner l’authentification de base ou l’authentification Windows intégrée, ou les deux. Si vous sélectionnez les deux, SharePoint Server 2010 offre les deux types d’authentification au navigateur Web client. Ce dernier détermine ensuite quel type d’authentification utiliser. Si vous sélectionnez l’authentification de base uniquement, assurez-vous que le protocole SSL est activé ; sinon, les informations d’identification peuvent être interceptées par un utilisateur malveillant.
Pour activer l’authentification par formulaire, sélectionnez Activer l’authentification par formulaire, puis entrez le nom du fournisseur d’appartenances et le nom du gestionnaire de rôles dans les zones.
Pour plus d’informations, voir Configurer l’authentification basée sur les formulaires pour une application Web basée sur les déclarations (SharePoint Server 2010).
Notes
Si vous sélectionnez cette option, assurez-vous que le protocole SSL est activé ; sinon, les informations d’identification peuvent être interceptées par un utilisateur malveillant.
Si vous avez configuré l’authentification par fournisseur d’identité approuvé dans Windows PowerShell, la case à cocher Fournisseur d’identité approuvé est activée.
Pour plus d’informations, voir Configurer l’authentification à l’aide d’un jeton de sécurité SAML (SharePoint Server 2010).
Vous pouvez utiliser un ou plusieurs types d’authentification par revendications. Pour plus d’informations, voir Planifier des méthodes d’authentification (SharePoint Server 2010).
Dans la section URL de page de connexion, choisissez l’une des options suivantes pour vous connecter à SharePoint Server 2010.
Sélectionnez Utiliser l’URL de la page de connexion par défaut si vous souhaitez que les utilisateurs soient redirigés vers un site Web de connexion par défaut pour l’authentification par revendications.
Sélectionnez Utiliser une URL de page de connexion personnalisée, puis tapez l’URL de connexion si vous souhaitez que les utilisateurs soient redirigés vers un site Web de connexion personnalisé pour l’authentification par revendications.
Dans la section URL publique, tapez l’URL pour le nom de domaine de tous les sites auxquels les utilisateurs auront accès dans cette application Web. Cette URL sera utilisée comme URL de base dans les liens apparaissant sur les pages dans l’application Web. L’URL par défaut est le nom et le port du serveur actuel, et est automatiquement actualisée pour refléter les paramètres SSL, d’en-tête d’hôte et de numéro de port actuels sur la page. Si vous déployez SharePoint Server 2010 derrière un équilibreur de charge ou un serveur proxy, cette URL peut devoir différer des paramètres SSL, d’en-tête d’hôte et de port sur cette page.
La valeur Zone est automatiquement définie sur Par défaut pour une nouvelle application Web.
Notes
Vous pouvez également changer la zone lorsque vous étendez une application Web. Pour plus d’informations, voir Étendre une application Web (SharePoint Server 2010).
Dans la section Pool d’applications, exécutez l’une des actions suivantes :
Cliquez sur Utiliser le pool d’applications existant, puis sélectionnez le pool d’applications que vous souhaitez utiliser dans le menu déroulant.
Cliquez sur Créer un nouveau pool d’applications, puis tapez le nom du nouveau pool d’applications ou conservez le nom par défaut.
Pour plus d’informations, voir Composants de l’architecture logique (SharePoint Server 2010).
Sous Sélectionnez un compte de sécurité pour ce pool d’applications, effectuez l’une des opérations suivantes :
Cliquez sur Prédéfini pour utiliser un compte de sécurité prédéfini, puis sélectionnez le compte de sécurité dans le menu déroulant.
Cliquez sur Configurable pour spécifier un nouveau compte de sécurité à utiliser pour un pool d’applications existant.
Notes
Vous pouvez créer un nouveau compte en cliquant sur le lien Enregistrer le nouveau compte géré.
Dans la section Nom de la base de données et authentification, choisissez le serveur de base de données, le nom de la base de données et la méthode d’authentification pour votre nouvelle application Web, comme décrit dans le tableau suivant.
Élément Action Serveur de base de données
Tapez le nom du serveur de la base de données et l’instance Microsoft SQL Server que vous souhaitez utiliser sous la forme <NOM_SERVEUR\instance>. Vous pouvez également utiliser l’entrée par défaut.
Nom de la base de données
Tapez le nom de la base de données ou utilisez l’entrée par défaut.
Authentification de la base de données
Pour sélectionner l’authentification de base de données à utiliser, effectuer l’une des opérations suivantes :
Si vous souhaitez utiliser l’authentification Windows, laissez cette option activée. Nous recommandons cette option car l’authentification Windows chiffre automatiquement le mot de passe lors de la connexion à SQL Server.
Pour utiliser l’authentification SQL, cliquez sur Authentification SQL. Dans la zone Compte, tapez le nom du compte que l’application Web doit utiliser pour s’authentifier auprès de la base de données SQL Server, puis tapez le mot de passe dans la zone Mot de passe.
Notes
L’authentification SQL envoie le mot de passe d’authentification SQL non chiffré au serveur SQL. Nous recommandons d’utiliser l’authentification SQL uniquement si vous forcez le chiffrement de protocole sur SQL Server ou si vous chiffrez le trafic réseau en utilisant IPsec.
Si vous utilisez la mise en miroir des bases de données, dans la section Serveur de basculement, dans la zone Serveur de bases de données de basculement, tapez le nom d’un serveur de bases de données de basculement spécifique que vous souhaitez associer à une base de données de contenu.
Dans la section Connexions aux applications de service, sélectionnez les connexions aux applications de service qui seront disponibles pour l’application Web. Dans le menu déroulant, cliquez sur Par défaut ou Personnalisé. L’option Personnalisé permet de choisir les connexions aux application de service que vous souhaitez utiliser pour l’application Web.
Dans la section Programme d’amélioration du produit, cliquez sur Oui ou Non.
Cliquez sur OK pour créer la nouvelle application Web.
Pour créer une application Web qui utilise l’authentification par revendications Windows à l’aide de Windows PowerShell
Vérifiez que vous disposez de la configuration requise suivante : Voir Add-SPShellAdmin. Vous devez aussi être membre du groupe Administrateurs local sur l’ordinateur exécutant Windows PowerShell. En outre, certaines procédures nécessitent l’appartenance aux rôles serveur fixes SQL Server dbcreator et securityadmin.
Dans le menu Démarrer, cliquez sur Tous les programmes.
Cliquez sur Produits Microsoft SharePoint 2010.
Cliquez sur SharePoint 2010 Management Shell.
Pour créer un fournisseur d’authentification par revendications Windows, à l’invite de commandes de Windows PowerShell, tapez la commande suivante :
$ap = New-SPAuthenticationProviderPour créer une application Web qui utilise l’authentification par revendications Windows, à l’invite de commandes de Windows PowerShell, tapez la commande suivante :
$wa = New-SPWebApplication -Name <ClaimsWindowsWebApplication> -ApplicationPool <ClaimsApplicationPool> -ApplicationPoolAccount <ClaimsApplicationPoolAccount> -URL <URL> -Port <Port> -AuthenticationProvider $apNotes
Nous recommandons que le compte du pool d’applications soit un compte géré sur la batterie de serveurs.
Où :
<Name> est le nom de la nouvelle application Web qui utilise l’authentification par revendications Windows.
<ApplicationPool> est le nom du pool d’applications.
<ApplicationPoolAccount> est le compte d’utilisateur sous lequel ce pool d’applications s’exécutera.
<URL> est l’URL publique pour l’application Web.
<Port> est le port sur lequel l’application Web sera créée dans IIS.
Exemple
$ap = New-SPAuthenticationProvider $wa = New-SPWebApplication -Name "Contoso Internet Site" -ApplicationPool "ContosoAppPool" -ApplicationPoolAccount (Get-SPManagedAccount "DOMAIN\jdoe") -URL "https://www.contoso.com" -Port 80 -AuthenticationProvider $ap
Pour plus d’informations, voir New-SPWebApplication et New-SPAuthenticationProvider.
Notes
Nous vous recommandons d’utiliser Windows PowerShell pour les tâches d’administration en ligne de commande. L’outil en ligne de commande Stsadm a été abandonné, mais il est inclus pour assurer la compatibilité avec les versions précédentes.
See Also
Concepts
Étendre une application Web (SharePoint Server 2010)
Créer une collection de sites (SharePoint Server 2010)
Configurer l’authentification basée sur les formulaires pour une application Web basée sur les déclarations (SharePoint Server 2010)
Configurer l’authentification à l’aide d’un jeton de sécurité SAML (SharePoint Server 2010)
Créer une application Web qui utilise l’authentification classique Windows (SharePoint Server 2010)Other Resources