Verrouillage des sites Office SharePoint Server
Mise à jour : 2009-07-02
En activant le mode verrouillage sur un site Microsoft Office SharePoint Server 2007, vous pouvez restreindre les autorisations pour les utilisateurs anonymes. Pour plus d’informations sur le mode verrouillage dans Office SharePoint Server 2007, voir la section « Utiliser le mode verrouillage » dans Planifier la sécurité pour un environnement d’accès anonyme externe (Office SharePoint Server).
Toutefois, même lorsque le mode verrouillage est activé, les utilisateurs anonymes peuvent accéder à certaines URL d’application Office SharePoint Server, telles que les pages du répertoire _layouts et les services Web exposés dans le répertoire _vti_bin. Cette rubrique explique comment modifier le fichier Web.config pour restreindre l’accès à ces ressources supplémentaires.
.gif "Note") Remarque : |
|---|
Pour renforcer la sécurité sur votre site Office SharePoint Server, vous devez activer le mode verrouillage et modifier le fichier Web.config, comme indiqué dans cette rubrique. |
Autorisation et refus de l’accès à l’aide du fichier Web.config
Vous pouvez autoriser et refuser l’accès aux ressources Web en ajoutant des éléments location au fichier Web.config. Par exemple, vous pouvez ajouter un élément location pour refuser aux utilisateurs anonymes l’accès au répertoire _layouts, puis ajouter un second élément location pour accorder explicitement aux utilisateurs anonymes l’accès à la page _layouts/login.aspx. Le second élément location remplace le premier élément location et crée une exception au refus d’accès pour la page de connexion.
Pour plus d’informations sur l’élément location, voir la section « Utiliser le mode verrouillage » dans Planifier la sécurité pour un environnement d’accès anonyme externe (Office SharePoint Server).
| Remarque : |
|---|
La modification directe du fichier Web.config n’est pas recommandée. Si vous modifiez le fichier Web.config directement, il est possible que les modifications soient écrasées lorsque vous mettez à niveau votre installation Office SharePoint Server ou que le fichier Web.config modifié ne soit pas copié sur tous les serveurs Web frontaux de la batterie de serveurs. Par conséquent, vous devez créer un fichier XML spécial et l’enregistrer dans le répertoire \Config. Pendant une mise à niveau, Windows SharePoint Services 3.0 et Office SharePoint Server 2007 recherchent les fichiers dans ce répertoire et appliquent les modifications spécifiées dans les fichiers au fichier Web.config, ce qui rend permanentes toutes les modifications que vous apportez. Pour plus d’informations sur la façon de rendre permanentes les personnalisations dans le fichier Web.config dans Windows SharePoint Services 3.0 et Office SharePoint Server 2007, voir Procédure : ajouter des paramètres de configuration personnalisés pour étendre une application Web (https://go.microsoft.com/fwlink/?linkid=157096&clcid=0x40C). |
À quelles pages les utilisateurs anonymes doivent-ils avoir accès ?
Pour autoriser les utilisateurs anonymes à s’authentifier auprès du serveur, vous devez vous assurer qu’ils ont accès aux pages suivantes :
_layouts/login.aspx
_layouts/accessdenied.aspx
_layouts/error.aspx
Si vous refusez aux utilisateurs anonymes l’accès à l’une de ces pages, Office SharePoint Server ne fonctionnera pas correctement.
Si vous avez déployé des solutions personnalisées dans le cadre desquelles les utilisateurs anonymes sont appelés à accéder à des pages supplémentaires dans le répertoire _layouts ou à des services supplémentaires dans le répertoire _vti_bin, autorisez explicitement l’accès anonyme à ces ressources également.
Exemples
Les deux premiers exemples dans cette section illustrent des stratégies possibles de restriction de l’accès anonyme. Pour faciliter la lecture, les deux exemples présentent le code XML qui apparaîtrait dans le fichier Web.config. Le troisième exemple illustre la marche à suivre pour ajouter des éléments XML au fichier Web.config dans Windows SharePoint Services et Office SharePoint Server.
.gif "Important") Important : |
|---|
N’ajoutez pas les instructions XML de l’un des deux premiers exemples directement au fichier Web.config. À la place, créez un fichier similaire au troisième exemple et enregistrez-le dans le répertoire \Config, comme expliqué dans Procédure : ajouter des paramètres de configuration personnalisés pour étendre une application Web (https://go.microsoft.com/fwlink/?linkid=157096&clcid=0x40C). |
Exemple 1 : refuser l’accès à tout élément ; autoriser l’accès à des ressources spécifiques
Le fragment XML suivant refuse d’abord aux utilisateurs anonymes l’accès à toutes les pages des répertoires _layouts et _vti_bin, puis leur accorde l’accès à quatre pages spécifiques du répertoire _layouts. Le point d’interrogation (?) représente les utilisateurs anonymes. Ces restrictions ne s’appliquent pas aux utilisateurs authentifiés.
<configuration>
<location path="_layouts">
<system.web>
<authorization>
<deny users="?" />
</authorization>
</system.web>
</location>
<location path="_vti_bin">
<system.web>
<authorization>
<deny users="?" />
</authorization>
</system.web>
</location>
<location path="_layouts/login.aspx">
<system.web>
<authorization>
<allow users="?" />
</authorization>
</system.web>
</location>
<location path="_layouts/error.aspx">
<system.web>
<authorization>
<allow users="?" />
</authorization>
</system.web>
</location>
<location path="_layouts/accessdenied.aspx">
<system.web>
<authorization>
<allow users="?" />
</authorization>
</system.web>
</location>
</configuration>
Exemple 2 : refuser l’accès à des ressources spécifiques
Le fragment XML suivant refuse aux utilisateurs anonymes l’accès à _layouts/error.aspx et _layouts/SearchResults.aspx. L’accès aux autres pages du répertoire _layouts est régi par l’état du mode verrouillage du site. Le point d’interrogation (?) représente les utilisateurs anonymes. Ces restrictions ne s’appliquent pas aux utilisateurs authentifiés.
<configuration>
<location path="_layouts/error.aspx">
<system.web>
<authorization>
<deny users="?" />
</authorization>
</system.web>
</location>
<location path="_layouts/SearchResults.aspx">
<system.web>
<authorization>
<deny users="?" />
</authorization>
</system.web>
</location>
<configuration>
Exemple 3 : façon recommandée pour implémenter l’exemple 1
Les instructions XML suivantes montrent comment ajouter les instructions XML à partir de l’exemple 1 au fichier Web.config de telle façon que les ajouts soient conservés lorsque Windows SharePoint Services ou Office SharePoint Server est mis à jour, comme décrit dans Procédure : ajouter des paramètres de configuration personnalisés pour étendre une application Web (https://go.microsoft.com/fwlink/?linkid=157096&clcid=0x40C).
<?xml version="1.0" encoding="utf-8" ?>
<actions>
<add path="configuration">
<location path="_layouts">
<system.web>
<authorization>
<deny users="?" />
</authorization>
</system.web>
</location>
<location path="_vti_bin">
<system.web>
<authorization>
<deny users="?" />
</authorization>
</system.web>
</location>
<location path="_layouts/login.aspx">
<system.web>
<authorization>
<allow users="?" />
</authorization>
</system.web>
</location>
<location path="_layouts/error.aspx">
<system.web>
<authorization>
<allow users="?" />
</authorization>
</system.web>
</location>
<location path="_layouts/accessdenied.aspx">
<system.web>
<authorization>
<allow users="?" />
</authorization>
</system.web>
</location>
</add>
</actions>
Après avoir créé un fichier contenant des instructions XML similaires à celles de l’exemple 3, vous enregistrez le fichier dans le répertoire \Config sous un nom au format webconfig. <nom>.xml. Pour appliquer ces modifications à la batterie de serveurs, exécutez l’opération Stsadm copyappobincontent sur chaque serveur Web frontal. Pour plus d’informations, voir Copyappbincontent : opération Stsadm (Office SharePoint Server).
Voir aussi
Concepts
Planifier la sécurité pour un environnement d’accès anonyme externe (Office SharePoint Server)