SharePoint 2010 : Planification de la sécurité SharePoint
Vous devez examiner attentivement la structure de SharePoint et consacrer du temps à la planification afin de définir la sécurité la plus efficace.
Steve Wright et Corey Erkes
Adapté de « Pro SharePoint 2010 Governance » (Apress)
Sécurité SharePoint peut devenir un problème plus vaste que le temps passe si vous ne développez et gouverner sans cesse un processus efficace de sécurité à l'avant. Un problème de sécurité peut causer injustifiée l'accès à SharePoint configuration options ou potentiel accès à un contenu qui est destiné pour seulement certains individus ou groupes. Défaillances de la sécurité non seulement ont des répercussions financières ou juridiques, mais peuvent également causer le ressentiment de l'utilisateur et réduit l'adoption des utilisateurs.
La meilleure façon de s'assurer que cela n'arrive pas est de comprendre les groupes par défaut disponibles dans SharePoint et les niveaux d'autorisation différents. Puis déterminer si un groupe personnalisé ou un nouveau niveau d'autorisation est nécessaire. Vous devriez documenter le processus et la stratégie pour la création de nouveaux niveaux d'autorisation et les groupes SharePoint au sein d'un plan de sécurité disponible pour tous les utilisateurs finaux.
Autorisation SharePoint par défaut
Niveaux d'autorisation SharePoint sont les fondements sur lesquels vous créez des groupes SharePoint. Le niveau d'autorisation est affecté à un groupe et par conséquent affectée à tous les utilisateurs au sein de ce groupe. Il est important de comprendre chaque niveau d'autorisation et de ce que l'utilisateur a la possibilité de faire si assignés à ce niveau d'autorisation. Par défaut, les niveaux d'autorisation suivants sont disponibles, si vous n'utilisez pas le modèle de la publication :
- **Accès limité :**Permet aux utilisateurs de visualiser une liste particulière au sein de la bibliothèque de documents sans leur donnant accès à l'ensemble du site. Les utilisateurs ne sont pas généralement directement ajoutés à ce groupe, mais indirectement de modifications de la permission à un élément individuel dans la liste ou le site.
- **Lire :**Permet aux utilisateurs de voir les objets sur une page.
- **Contribuer :**Permettre aux utilisateurs d'ajouter, modifier, ou supprimer des éléments sur les pages du site ou dans les listes et bibliothèques de documents.
- **Conception :**Permet aux utilisateurs de modifier la disposition des pages du site via le navigateur ou Microsoft SharePoint Designer 2010.
- **Contrôle total :**Inclut toutes les autorisations.
Si vous n'utilisez pas le modèle de publication, vous aurez les niveaux d'autorisation suivants disponibles :
- **Lecture restreinte :**Utilisateurs permet d'afficher les pages et documents.
- **Approuver :**Permet aux utilisateurs de modifier et approuver des pages, des éléments de liste et des documents.
- **Gérer la hiérarchie :**Permet aux utilisateurs de créer des sites, modifiez les pages et des éléments de liste et des documents.
SharePoint 2010 comprend 33 autorisations différentes, réparties sur cinq niveaux d'autorisation par défaut. Il est important de comprendre, par exemple, que les niveaux d'autorisation comme collaboration ou contrôle total sont associées à des groupes encore plus affinées d'autorisations. La meilleure façon d'examiner les autorisations attribuées au niveau d'autorisation est d'aller sur les autorisations de Site, sélectionnez un niveau d'autorisation et agir comme si vous allez à modifier les autorisations. Cela permet d'afficher les autorisations affinées du niveau d'autorisation.
Si vous avez besoin d'autorisations différentes pour un niveau d'autorisation particulière, vous devez probablement créer un nouveau niveau d'autorisation avec ces autorisations uniques. Cela permettra d'éliminer la confusion pour les administrateurs qui tentent d'attribuer les niveaux d'autorisation appropriée à des groupes SharePoint. La raison la plus courante pour créer un nouveau niveau d'autorisation est d'avoir un niveau d'autorisation contribuer-like qui supprime la capacité de supprimer.
Groupes SharePoint par défaut
Avant d'élaborer un plan de sécurité ou d'un plan de gouvernance autour de SharePoint, vous devez comprendre les groupes SharePoint par défaut. Il est également essentiel de comprendre le niveau d'autorisation assigné à chaque groupe. Les groupes SharePoint peuvent être différents selon quel modèle de site est sélectionné.
Vous devriez faire la plupart des membres du groupe de visiteurs ou membres utilisateurs. Cela va éliminer les indésirables modifications apportées à la structure, paramètres du site, = ou l'apparence du site. Toutefois, il est important de se rappeler que les utilisateurs du groupe membres ont supprimer privilèges. SharePoint ne fournit pas un groupe par défaut qui utilise un niveau d'autorisation avec la possibilité de créer, mais pas la capacité de supprimer. Ce type de fonctionnalité nécessiterait un niveau d'autorisation personnalisée et un groupe personnalisé.
Il y a aussi les administrateurs de batterie SharePoint et les administrateurs de collection de sites. Le groupe d'administrateurs de batterie de serveurs SharePoint permet d'administrer SharePoint à la ferme--la plus élevée. Ce groupe devrait être extrêmement limité aux utilisateurs. Le groupe d'administrateurs de collection de sites permet d'administrer SharePoint au niveau de la collection de sites. Ce niveau permet de configurer des groupes de sécurité, la structure du site et l'apparence. Ce groupe devrait également être limité chez les utilisatrices.
Déterminer la nécessité d'une autorisation personnalisée
Certaines organisations il suffit d'utiliser les groupes par défaut et niveaux d'autorisation. D'autres utilisaient comme un cadre ou une fondation sur laquelle bâtir. Si ces niveaux d'autorisation par défaut ou les groupes ne correspondent pas bien avec votre organisation, puis par tous les moyens vous devez créer des groupes et niveaux d'autorisation personnalisés.
Si vous avez besoin de niveaux d'autorisation personnalisés, vous devez créer un nouveau niveau d'autorisation avec les nouvelles autorisations, au lieu de changer le niveau d'autorisation par défaut. Quelques scénarios courants qui nécessitent un niveau d'autorisation personnalisées comprennent :
- Niveau d'autorisation par défaut peut inclure toutes les autorisations sauf un besoin par un certain groupe d'utilisateurs
- Niveau d'autorisation par défaut peut inclure une autorisation préalable par un groupe d'utilisateurs
N'oubliez pas de donner le nouveau niveau d'autorisation un nom clair et une description écrite pour vous et vos autres administrateurs puissent comprendre ce que fournit ce niveau d'autorisation. Utilisez ces niveaux d'autorisation avec précaution. Examiner les autorisations précises pour s'assurer qu'ils satisfont vos besoins exacts avant leur affectation à un groupe SharePoint.
Le fait que des groupes SharePoint personnalisés est plus fréquent et a moins d'impact global pour la sécurité de votre site que les niveaux d'autorisation personnalisés. Quelques raisons communes pour la création de nouveaux groupes SharePoint comprennent :
- Vous avez besoin de plus ou moins des rôles au sein de l'organisation que sont disponibles dans les groupes par défaut.
- Votre organisation a des noms connus pour les rôles qui effectuent des tâches différentes.
- Vous voulez créer un mappage direct à partir d'un groupe de sécurité Windows ou liste de distribution et le groupe SharePoint.
- Vous préférez des noms de groupes différents que les noms par défaut fournis.
Vous devriez soigneusement vos groupes SharePoint personnalisées de documents et mettre à disposition de tous les administrateurs pour une utilisation sur tout le site. Microsoft fournit un feuille de calcul afin de documenter tous les groupes et niveaux d'autorisation personnalisés.
Surveiller la sécurité de SharePoint
Votre statut de sécurité de SharePoint peut devenir difficiles à manier extrêmement rapidement, il est donc important de surveiller les nouveaux niveaux d'autorisation et les groupes SharePoint car ils sont créés. Le processus de création de ces niveaux et groupes d'éléments devrait passer par le Conseil de gouvernance pour s'assurer qu'ils sont nécessaires au sein de votre environnement.
Recherchez les sites qui annuler l'héritage des sites parents, comme ceux-ci, trop, peut devenir difficile de gouverner efficacement. SharePoint 2010 fournit une notification visible si les autorisations de site rompre l'héritage du site parent. Limiter la rupture de l'héritage autant que possible. Il s'agit d'où se posent des questions de sécurité et les choses dérapent.
Une bonne pratique consiste à effectuer des audits de sécurité régulière des niveaux d'autorisation, les groupes SharePoint et comment votre personnel est leur utilisation en conjonction avec les groupes Active Directory et les listes de distribution. Audit sécurité en utilisant les outils intégrés ou des outils tiers disponibles fera vos administrateurs de site à réfléchir deux fois avant d'assigner un niveau d'autorisation à un groupe. Ces processus devrait documenter entièrement dans votre Plan de sécurité.
.jpg)
Steve Wright est un cadre supérieur en Business Intelligence Management (BIM) pour Sogeti USA à Omaha, au Nebraska.Dernière plus de 20 ans, Wright a travaillé sur le contrôle du trafic aérien, financier, d'assurance et une multitude d'autres types de systèmes.Il a été auteur et effectué des examens techniques pour nombreux titres, couvrant les produits Microsoft, notamment Windows, SharePoint, SQL Serveret BizTalk..
.jpg)
Corey Erkes J'ais consultant manager pour Sogeti USA à Omaha, au Nebraska. Erkes a travaillé avec un large éventail de sociétés à différents points dans les cycles de vie de leurs implémentations de SharePoint. Il est également l'un des membres fondateurs du groupe d'utilisateurs de SharePoint Omaha.**
© 2012 Apress Inc. Tous droits réservés. Imprimé avec l'autorisation d'Apress. Copyright 2012. « Gouvernance pro SharePoint 2012 » par Steve Wright et Corey Erkes. Pour plus d'informations sur ce titre et autres ouvrages similaires, veuillez visiter apress.com.