Planifier le service Banque d’informations sécurisé dans SharePoint Server

 

**Sapplique à :**SharePoint Server 2013, SharePoint Server 2016

**Dernière rubrique modifiée :**2017-07-07

Résumé : Planifiez le stockage des informations d’identification d’autorisation dans une base de données chiffrée à l’aide du service Banque d’informations sécurisé dans SharePoint Server 2013 et SharePoint Server 2016.

Le service Banque d’informations sécurisé est un service d’autorisation prenant en charge les revendications qui inclut une base de données chiffrée pour le stockage des informations d’identification.

Contenu de cet article :

  • À propos du service Banque d'informations sécurisé

  • Préparation du service Banque d'informations sécurisé

  • Applications cibles dans la banque d’informations sécurisée

  • Mappages des informations d'identification du service Banque d'informations sécurisé

  • Service Banque d'informations sécurisé et authentification basée sur les revendications

À propos du service Banque d’informations sécurisé

Le service Banque d’informations sécurisé est un service d’autorisation qui s’exécute sur SharePoint Server. Il fournit une base de données où stocker les informations d’identification, qui se composent généralement d’une identité d’utilisateur et d’un mot de passe, plus éventuellement d’autres champs que vous définissez. Par exemple, SharePoint Server peut utiliser la base de données de la banque d’informations sécurisée pour stocker et récupérer les informations d’identification requises pour l’accès aux sources de données externes. Dans le service Banque d’informations sécurisé, il est possible de stocker plusieurs jeux d’informations d’identification pour différents systèmes principaux.

Les scénarios d’utilisation du service Banque d’informations sécurisé sont les suivants :

  • Excel Online dans Office Online Server peut utiliser le service Banque d’informations sécurisé pour autoriser des utilisateurs à accéder aux sources de données externes dans les classeurs publiés dans SharePoint Server 2016. Ce mode d’autorisation remplace la méthode consistant à transmettre les informations d’identification d’un utilisateur à la source de données, ce qui nécessite souvent de configurer une délégation Kerberos contrainte.

  • Excel Services dans SharePoint Server 2013 peut utiliser le service Banque d’informations sécurisé pour autoriser des utilisateurs à accéder aux sources de données externes dans les classeurs publiés. Ce mode d’autorisation remplace la méthode consistant à transmettre les informations d’identification d’un utilisateur à la source de données, ce qui nécessite souvent de configurer une délégation Kerberos. Par ailleurs, Excel Services doit utiliser le service Banque d’informations sécurisé lorsque vous voulez configurer un compte de service automatisé pour l’authentification des données.

  • Visio Services peut utiliser le service Banque d’informations sécurisé pour autoriser des utilisateurs à accéder aux sources de données externes dans les diagrammes liés aux données qui sont publiés. Ce mode d’autorisation remplace la méthode consistant à transmettre les informations d’identification d’un utilisateur à la source de données, ce qui nécessite souvent de configurer une délégation Kerberos contrainte. Par ailleurs, Visio Services doit utiliser le service Banque d’informations sécurisé lorsque vous voulez configurer un compte de service automatisé pour l’authentification des données.

  • PerformancePoint Services peut utiliser le service Banque d’informations sécurisé pour autoriser des utilisateurs à accéder aux sources de données externes. Par ailleurs, PerformancePoint Services doit utiliser le service Banque d’informations sécurisé lorsque vous voulez configurer un compte de service automatisé pour l’authentification des données.

  • PowerPivot doit utiliser le service Banque d’informations sécurisé pour l’actualisation planifiée des classeurs PowerPivot.

  • Services Microsoft Business Connectivity peut utiliser le service Banque d’informations sécurisé pour mapper les informations d’identification d’un utilisateur à un jeu d’informations d’identification associé à un système externe. Vous pouvez soit mapper les informations d’identification de chaque utilisateur à un compte unique sur le système externe, soit mapper un jeu d’utilisateurs authentifiés à un compte de groupe unique. Business Connectivity Services peut également utiliser le service Banque d’informations sécurisé pour le stockage des certificats autorisant l’accès à une source de données locale à partir de SharePoint Online.

  • SharePoint Runtime peut utiliser le service Banque d’informations sécurisé pour stocker les informations d’identification requises pour communiquer avec les services Azure, dans le cas où des applications utilisateur nécessitent SharePoint Runtime pour mettre en service et utiliser des services Azure.

Préparation du service Banque d’informations sécurisé

Lorsque vous vous préparez à déployer le Service Banque d’informations sécurisé, gardez à l’esprit les instructions importantes suivantes :

  • Avant de générer une nouvelle clé de chiffrement, sauvegardez la base de données de la Banque d’informations sécurisée. Vous devez sauvegarder la base de données de la Banque d’informations sécurisée après sa création initiale, puis à chaque rechiffrement des informations d’identification lorsqu’une nouvelle clé est générée. En cas d’échec de l’actualisation de la clé ou d’oubli de la phrase secrète, les informations d’identification ne seront pas utilisables.

  • Sauvegardez la clé de chiffrement après avoir initialement configuré la Banque d’informations sécurisée, puis sauvegardez de nouveau la clé chaque fois qu’elle est régénérée.

  • Ne stockez pas le support de sauvegarde de la clé de chiffrement au même endroit que le support de sauvegarde de la base de données de la banque d’informations sécurisée. Si un utilisateur obtient une copie à la fois de la base de données et de la clé, les informations d’identification stockées dans la base de données risquent d’être compromises.

Étant donné que la Banque d’informations sécurisée est utilisée pour stocker des informations sensibles, il est préférable d’observer les recommandations suivantes à des fins de sécurité :

  • Exécutez le Service Banque d’informations sécurisé dans un pool d’applications distinct qui n’est utilisé pour aucun autre service.

  • Créez la base de données de la Banque d’informations sécurisée sur un serveur distinct exécutant SQL Server. N’utilisez pas la même instance SQL Server que celle qui contient les bases de données de contenu.

Applications cibles dans la banque d’informations sécurisée

Une application cible est une collection d’informations qui mappe un ou plusieurs utilisateurs à un jeu d’informations d’identification chiffrées dans la base de données de la banque d’informations sécurisée. Vous devez définir les informations suivantes dans les applications cibles :

  • s’il s’agit d’un mappage individuel ou de groupe ;

  • les champs à stocker dans la base de données de la banque d’informations sécurisée (par défaut, ce sont les champs « Nom d’utilisateur Windows » et « Mot de passe Windows », mais d’autres sont possibles en fonction de l’application) ;

  • les utilisateurs autorisés à administrer l’application cible ;

  • le nom de l’utilisateur ou du groupe à mapper aux informations d’identification.

Chaque application cible est associée à un ID d’application unique de votre choix, qui sert à la référencer dans des applications externes, telles qu’Excel Online ou SharePoint Designer.

Mappages des informations d’identification du service Banque d’informations sécurisé

Le service Banque d’informations sécurisé prend en charge les mappages de groupe et individuels. Dans un mappage de groupe, chaque utilisateur qui est membre d’un groupe de domaines spécifique est mappé au même jeu d’informations d’identification. Dans un mappage individuel, chaque utilisateur est mappé à un jeu unique d’informations d’identification. Les mappages individuels sont utiles si vous avez besoin de journaliser des informations sur les accès individuels des utilisateurs aux ressources partagées. Pour les mappages de groupe, une couche de sécurité mappe les informations d’identification pour plusieurs utilisateurs d’un domaine à un seul jeu d’informations d’identification stockées dans la base de données de la banque d’informations sécurisée. Les mappages de groupe sont plus faciles à gérer que les mappages individuels, tout en contribuant à l’amélioration des performances.

Service Banque d’informations sécurisé et authentification basée sur les revendications

Le service Banque d’informations sécurisé prend en charge les revendications. Il accepte les jetons de sécurité et les déchiffre pour obtenir l’ID d’application, puis il effectue une recherche. Lorsqu’un service d’émission de jeton de sécurité de SharePoint Server émet un jeton de sécurité en réponse à une demande d’authentification, le service Banque d’informations sécurisé déchiffre le jeton et lit la valeur de l’ID d’application. Le service Banque d’informations sécurisé utilise l’ID d’application pour récupérer les informations d’identification de la base de données de la banque d’informations sécurisée. Ces informations d’identification sont ensuite utilisées pour autoriser l’accès aux ressources.

See also

Configurer le service Banque d’informations sécurisé dans SharePoint Server