Planifier l’authentification unique

Mise à jour : 2009-04-23

Dans cet article :

  • À propos de l’authentification unique

  • Scénarios d’authentification unique courants

  • Architecture de l’authentification unique Office SharePoint Server

  • Planifier les paramètres d’authentification unique au niveau de la batterie

  • Planifier les paramètres des définitions d’applications d’entreprise

  • Planifier les opérations d’authentification unique

  • Feuilles

Utilisez cet article pour planifier l’utilisation de l’authentification unique (SSO, Single Sign-On) dans Microsoft Office SharePoint Server 2007. Cet article décrit de quelle manière l’authentification unique est configurée dans un environnement sécurisé, et explique comment l’utiliser pour vous connecter à des systèmes de données principaux.

À propos de l’authentification unique

La fonctionnalité d’authentification unique dans Office SharePoint Server 2007 mappe les informations d’identification de l’utilisateur à des systèmes de données principaux. L’authentification unique vous permet d’accéder aux données à partir d’ordinateurs et de services qui sont externes à Office SharePoint Server 2007. Dans les composants WebPart Office SharePoint Server 2007, vous pouvez afficher, créer et modifier ces données. La fonctionnalité d’authentification unique garantit que :

  • les informations d’identification utilisateur sont gérées de manière sécurisée ;

  • les niveaux d’autorisation utilisateur qui sont configurés dans la source de données externes sont appliqués ;

  • les utilisateurs ne sont pas invités à entrer de nouveau leurs informations d’identification lorsqu’ils affichent des données provenant de sources de données externes dans Office SharePoint Server 2007 ;

  • Office SharePoint Server 2007 peut se connecter à plusieurs systèmes de données externes, quelles que soient les exigences de plateforme et d’authentification.

L’authentification unique nécessite l’utilisation des informations d’identification Windows pour les comptes d’utilisateurs. Dans les environnements dans lesquels l’authentification unique Web est utilisée pour authentifier les comptes d’utilisateurs, l’authentification unique peut uniquement être utilisée si le thread actif qui appelle les interfaces de programmation d’application (API) d’authentification unique est associé à une identité Windows.

Scénarios d’authentification unique courants

L’authentification unique est principalement utilisée dans les scénarios décisionnels. Dans Office SharePoint Server 2007, de nombreuses fonctionnalités dépendent de l’authentification unique, notamment :

  • Le catalogue de données métiers

  • Services Excel

  • InfoPath Forms Services

  • Les composants WebPart de données métiers

  • Le composant WebPart Indicateur de performances clés

  • Le composant WebPart de formulaire de données Microsoft Office SharePoint Designer

  • La recherche de données métiers

  • Les données métiers dans des listes

En outre, vous pouvez ajouter des composants WebPart personnalisés qui se connectent à des sources de données externes, y compris à des sources de données basées sur des systèmes d’exploitation autres que Windows. Par exemple, vous pouvez vous connecter aux applications d’entreprise suivantes :

  • Module SAP Business Information Warehouse

  • Logiciels d’applications eBusiness Siebel

  • Microsoft BizTalk Server

Pour plus d’informations sur les scénarios décisionnels, voir Planifier l’aide à la décision.

Architecture de l’authentification unique Office SharePoint Server

Cette section décrit de quelle manière l’authentification unique est implémentée dans Office SharePoint Server 2007.

Service d’authentification unique Microsoft Single Sign-On

La fonctionnalité d’authentification unique d’Office SharePoint Server 2007 fait appel au service d’authentification unique Microsoft Single Sign-On (SSOSrv). La figure suivante montre comment ce service est implémenté dans une batterie de serveurs Office SharePoint Server 2007.

Service d’authentification unique dans une batterie de serveurs

  1. Serveur de clé de chiffrement d’authentification unique   Le premier ordinateur serveur sur lequel le service d’authentification unique est activé devient le serveur de clé de chiffrement. Le serveur de clé de chiffrement génère et stocke la clé de chiffrement. La clé de chiffrement sert à chiffrer et à déchiffrer les informations d’identification qui sont stockées dans la base de données du service d’authentification unique. Le serveur de clé de chiffrement doit être un ordinateur serveur d’applications, comme le serveur d’index.

  2. Service d’authentification unique   Ce service doit être installé sur tous les ordinateurs serveurs Web de la batterie de serveurs. Il doit également être installé sur tous les ordinateurs qui hébergent le rôle de serveur d’applications Excel Services. Si une recherche du catalogue de données métiers est utilisée, le service doit aussi être installé sur le serveur d’index.

  3. Base de données d’authentification unique   Lorsque vous configurez les paramètres de serveur d’authentification unique dans le site Administration centrale, Office SharePoint Server 2007 crée une base de données d’authentification unique sur l’ordinateur serveur de bases de données qui héberge la base de données de configuration. Si Microsoft SQL Server est installé, la base de données d’authentification unique est une base de données SQL Server. Si SQL Server n’est pas installé, le service d’authentification unique utilise SQL Server 2005 Express Edition. La base de données d’authentification unique stocke les informations d’identification chiffrées.

    NoteRemarque :

    Si vous effectuez une mise à niveau d’une version antérieure de SharePoint Portal Server, vous devez recréer votre environnement d’authentification unique, en créant notamment une nouvelle base de données du service d’authentification unique. En effet, l’authentification unique ne peut pas être migrée ou mise à niveau vers Office SharePoint Server 2007.

Définitions d’applications d’entreprise

Dans un environnement d’authentification unique, les sources de données externes et les systèmes principaux sont appelés des applications d’entreprise. Après avoir configuré l’environnement d’authentification unique, vous pouvez créer les définitions d’applications d’entreprise. Pour chaque application d’entreprise à laquelle Office SharePoint Server 2007 se connecte, correspond une définition d’application d’entreprise configurée par un administrateur. Ou, plusieurs définitions d’applications d’entreprise peuvent être configurées pour une même application d’entreprise physique pour sécuriser les différents groupes y ayant accès.

Une définition d’application d’entreprise définit :

  • L’identité de l’application d’entreprise (nom complet, nom du programme et adresse de messagerie du contact).

  • Le type des comptes d’utilisateurs qui sont mappés sur les applications d’entreprise. Cela dépend si l’application d’entreprise (ou dans certains cas, le composant WebPart) applique les autorisations sur la base de comptes individuels ou de comptes de groupes.

  • Les types d’informations d’identification collectés auprès des utilisateurs (nom d’utilisateur, mot de passe ou autre information d’identification, telle qu’une carte à puce).

  • Le compte utilisé par les composants WebPart d’Office SharePoint Server 2007 pour se connecter à l’application d’entreprise.

La fonctionnalité d’authentification unique permet des scénarios dans lesquels plusieurs composants WebPart accèdent à différentes applications d’entreprise. Chacune de ces applications d’entreprise peut utiliser un type d’authentification différent. Les applications d’entreprise peuvent également être basées sur des systèmes d’exploitation autres que Windows.

Tickets d’authentification unique

Dans un environnement d’entreprise dans lequel l’utilisateur interagit avec divers systèmes et applications, il est fort probable que l’environnement ne conserve pas le contexte de l’utilisateur dans les différents processus, produits et ordinateurs. Ce contexte utilisateur est crucial pour permettre les fonctionnalités d’authentification unique, car il est nécessaire de vérifier qui a lancé la demande initiale. Dans des scénarios dans lesquels plusieurs serveurs sont impliqués dans la transmission des informations d’identification à partir du serveur de clé de chiffrement vers l’application d’entreprise, le service d’authentification unique fournit un ticket d’authentification unique (et non un ticket Kerberos). Ces serveurs utilisent ce ticket pour obtenir les informations d’identification correspondant à l’utilisateur qui a effectué la demande d’origine.

Par exemple, un environnement de paie peut être configuré pour accéder aux données d’un système SAP via BizTalk Server. Si un composant WebPart se connecte au système SAP, les informations d’identification sont routées via l’ordinateur BizTalk Server. Dans un environnement d’authentification unique, un composant WebPart envoie un ticket d’authentification unique au service sur l’ordinateur BizTalk Server qui se connecte au système SAP. Si l’utilisateur appartient à un compte ou à un compte de groupe qui est spécifié dans la définition d’application d’entreprise, le service échange le ticket d’authentification unique contre les informations d’identification auprès du système SAP. Pour que le service sur l’ordinateur BizTalk Server puisse échanger les tickets d’authentification unique, le compte utilisé par le service doit être ajouté au groupe Administrateurs d’authentification unique.

Le service d’authentification unique émet un ticket lorsqu’un utilisateur Windows demande un ticket ou lorsqu’une application demande un ticket pour le compte d’un utilisateur. Ce service peut uniquement émettre un ticket pour l’utilisateur qui effectue la demande (vous ne pouvez pas demander un ticket pour d’autres utilisateurs). Un ticket contient le nom de domaine et le nom d’utilisateur chiffrés de l’utilisateur actif, et le délai d’expiration du ticket.

Dès que l’application d’entreprise a vérifié l’identité du demandeur d’origine, elle échange le ticket pour obtenir les informations d’identification de l’utilisateur qui a lancé la demande. Les tickets expirent au bout de deux minutes par défaut. Les administrateurs d’authentification unique peuvent modifier le délai d’expiration des tickets. La valeur du délai d’expiration du ticket doit être suffisamment longue pour permettre l’émission du ticket et son échange.

Administration de l’authentification unique

L’administration de l’authentification unique implique deux types d’administrateurs :

  • Administrateurs d’authentification unique   Ces administrateurs installent et configurent l’authentification unique, gèrent les comptes d’authentification unique, sauvegardent la clé de chiffrement et créent et modifient la clé de chiffrement. Pour des raisons de sécurité, les administrateurs d’authentification unique sont obligés de se connecter localement au serveur de clé de chiffrement pour installer, configurer et gérer l’authentification unique. Ils ne sont pas autorisés à gérer les paramètres de serveur d’authentification unique à partir d’un ordinateur serveur distant.

  • Administrateurs de définitions d’applications d’entreprise   Ces administrateurs créent et gèrent des définitions d’applications d’entreprise et mettent à jour les comptes et les informations d’identification servant à accéder aux applications d’entreprise. Ils peuvent gérer les définitions d’applications d’entreprise à distance.

Les comptes et autorisations spécifiques aux administrateurs d’authentification unique sont détaillés plus loin dans cet article.

Dépendances réseau

Dans une batterie de serveurs Office SharePoint Server 2007, le service d’authentification unique repose sur les noms NetBIOS pour communiquer entre le serveur de clés de chiffrement et l’ordinateur serveur de bases de données. Si la résolution des noms NetBIOS n’est pas disponible pour l’ordinateur serveur de bases de données, la configuration de l’authentification unique échoue.

Planifier les paramètres d’authentification unique au niveau de la batterie

Cette section décrit les choix de planification à effectuer pour les paramètres au niveau de la batterie. Ces choix de planification sont les suivants :

  • choix de l’ordinateur serveur qui hébergera le rôle serveur de clés de chiffrement d’authentification unique ;

  • configuration des comptes d’authentification unique et vérification que ces comptes sont créés avec les autorisations appropriées ;

  • enregistrement des décisions prises pour les paramètres au niveau de la batterie qui sont configurés dans la page Gérer les paramètres du serveur pour l’authentification unique de l’Administration centrale.

  • Action de feuille

Serveur de clé de chiffrement d’authentification unique

Déterminez l’ordinateur de votre batterie qui hébergera le rôle de serveur de clé de chiffrement d’authentification unique. La configuration recommandée consiste à sélectionner un ordinateur serveur d’applications, tel que le serveur d’index, pour les raisons suivantes :

  • Tous les ordinateurs serveurs qui exécutent le service d’authentification unique doivent être en mesure de communiquer sur le réseau avec le serveur de clé de chiffrement. Or, lors de l’utilisation d’une batterie de serveurs avec plusieurs ordinateurs serveurs Web, certaines technologies d’équilibrage de charge n’autorisent pas les serveurs Web à communiquer entre eux.

  • Les ordinateurs serveurs d’applications ne sont pas directement accessibles par les utilisateurs finaux et sont généralement protégés par des couches de sécurité supplémentaires. Par exemple, les protocoles IPsec ou SSL sont souvent implémentés pour sécuriser la communication de serveur à serveur au sein d’une batterie de serveurs. En outre, certaines topologies de batterie implémentent un routeur ou un pare-feu supplémentaire entre les ordinateurs serveurs Web et les ordinateurs serveurs d’applications.

Le service d’authentification unique doit être installé sur tous les ordinateurs serveurs d’applications qui hébergent le rôle Excel Services. Si une recherche du catalogue de données métiers est utilisée, le service doit aussi être installé sur le serveur d’index. Ces conditions requises font de chacun de ces ordinateurs serveurs un bon choix pour le rôle de serveur de clé de chiffrement.

Assurez-vous que les administrateurs d’authentification unique peuvent se connecter localement au serveur de clé de chiffrement. Assurez-vous également que les paramètres de sécurité dans Internet Explorer n’empêchent pas l’administration de l’authentification unique, en vérifiant que :

  • L’option par défaut, Connexion automatique uniquement dans la zone intranet, est sélectionnée. (Pour ce faire, dans le menu Outils, cliquez sur Options Internet, cliquez sur l’onglet Sécurité, cliquez sur le bouton Personnaliser le niveau, puis dans la boîte de dialogue Paramètres de sécurité, passez à la section Authentification de l’utilisateur).

  • Demander le nom d’utilisateur et le mot de passe n’est pas sélectionné.

Comptes d’authentification unique

Quatre comptes différents sont nécessaires pour configurer, exécuter et administrer le système d’authentification unique :

  • Compte de configuration d’authentification unique

  • Compte d’administrateur d’authentification unique

  • Compte du service d’authentification unique

  • Compte d’administrateur d’application d’entreprise

Dans un environnement d’évaluation, vous pouvez utiliser le compte de batterie de serveurs de chacun de ces comptes. En revanche, dans un environnement sécurisé, vous devez soigneusement réfléchir aux comptes que vous allez utiliser et à la manière dont vous les configurerez. Cette section décrit en détail les conditions requises des comptes et fournit des recommandations pour les configurer dans un environnement sécurisé.

Les quatre comptes nécessaires pour configurer, exécuter et administrer le système d’authentification unique fournissent la séparation des rôles et l’isolation des autorisations. Les tableaux suivants répertorient les comptes et décrivent les actions effectuées à l’aide de ces comptes.

Compte Description

Compte de configuration d’authentification unique

  • Configurer le service d’authentification unique dans Office SharePoint Server 2007.

  • Configurer et gérer le service d’authentification unique dans Office SharePoint Server 2007, y compris la gestion de la clé de chiffrement.

  • Créer, modifier ou supprimer des définitions d’applications d’entreprise dans Office SharePoint Server 2007.

Compte d’administrateur d’authentification unique

  • Configurer et gérer le service d’authentification unique dans Office SharePoint Server 2007, y compris la gestion de la clé de chiffrement.

  • Créer, modifier ou supprimer des définitions d’applications d’entreprise dans Office SharePoint Server 2007.

    Échanger des tickets d’authentification unique. Dans des scénarios dans lesquels les informations d’identification passent par un service intermédiaire (tel que BizTalk Server) avant d’atteindre la définition d’application d’entreprise, ce compte est utilisé pour donner aux services intermédiaires les autorisations d’échanger les tickets d’authentification unique.

Compte du service d’authentification unique

Exécuter le service d’authentification unique dans Windows.

Compte d’administrateur d’application d’entreprise

Créer, modifier ou supprimer des définitions d’applications d’entreprise dans Office SharePoint Server 2007.

Compte Conditions requises

Compte de configuration d’authentification unique

  • Doit être un compte d’utilisateur de domaine. Ne peut pas être un compte de groupe.

  • Le compte d’utilisateur doit être un administrateur de batterie de serveurs.

  • Doit être membre du groupe Administrateurs sur l’ordinateur serveur de clé de chiffrement.

  • Doit être membre des rôles de sécurité SQL Server suivants sur l’ordinateur qui exécute SQL Server :

    • Dbcreator

    • Securityadmin

  • Doit être identique au compte d’administrateur d’authentification unique ou membre du compte de groupe qui est le compte d’administrateur d’authentification unique.

Compte d’administrateur d’authentification unique

  • Doit être soit un groupe global Windows ou un compte d’utilisateur individuel. Ne peut pas être un compte de groupe local de domaine ou une liste de distribution.

  • Le compte du service d’authentification unique doit être cet utilisateur ou un membre de ce groupe.

  • Le compte de configuration d’authentification unique doit être cet utilisateur ou un membre de ce groupe.

  • Doit être ajouté au site Administration centrale de SharePoint avec le niveau d’autorisation de lecture.

  • Tous les utilisateurs qui sont ajoutés à ce groupe dans le but d’administrer l’authentification unique doivent être membres du groupe Administrateurs sur le serveur de clé de chiffrement. Ne définissez pas ce compte comme étant membre du groupe Administrateurs sur le serveur de clé de chiffrement.

Compte du service d’authentification unique

  • Doit être un compte d’utilisateur de domaine. Ne peut pas être un compte de groupe.

  • Doit être le compte d’administrateur d’authentification unique ou un membre du compte de groupe qui est le compte d’administrateur d’authentification unique.

  • Doit être membre du groupe local WSS_Admin_WPG sur tous les ordinateurs serveurs exécutant Office SharePoint Server 2007 dans la batterie de serveurs.

  • Doit être membre du rôle de base de données public sur la base de données de configuration Office SharePoint Server 2007.

  • Doit être membre du rôle de serveur Sysadmin sur l’instance SQL Server sur laquelle se trouve la base de données d’authentification unique.

  • Dans un environnement sécurisé, n’exécutez pas le service sous un compte qui est membre du groupe Administrateurs sur l’ordinateur local.

    Notes

    Pour modifier le compte de service, sauvegardez tout d’abord la clé principale, puis restaurez cette dernière une fois le compte de service modifié.

Compte d’administrateur d’application d’entreprise

  • Doit être un compte de groupe global ou un compte d’utilisateur individuel. Ce compte ne peut pas être un groupe local de domaine ou une liste de distribution.

  • Doit disposer du niveau d’autorisation de lecture sur le site Administration centrale de SharePoint.

Dans un environnement sécurisé, la recommandation consiste à configurer quatre comptes distincts et à utiliser un compte de groupe, dans la mesure du possible. Si vous utilisez un compte d’utilisateur pour le compte de configuration d’authentification unique, le compte d’administrateur d’authentification unique et le compte du service d’authentification unique, vous devez utiliser le même compte d’utilisateur. Le tableau suivant fournit quelques conseils pour configurer ces comptes.

Compte Environnement d’évaluation Environnement sécurisé

Compte de configuration d’authentification unique

Compte de batterie de serveurs

Utilisez le compte d’utilisateur individuel d’un administrateur qui est membre du groupe Administrateurs de batterie.

Compte d’administrateur d’authentification unique

Compte de batterie de serveurs

Créez un compte de groupe de domaine dédié. Ajoutez ce qui suit à ce groupe :

  • Un compte d’utilisateur qui servira de compte de configuration d’authentification unique.

  • Un compte utilisé pour exécuter le service d’authentification unique

  • Les utilisateurs autorisés à administrer le service d’authentification unique dans Office SharePoint Server 2007. Ajoutez également ces utilisateurs au groupe Administrateurs sur le serveur de clé de chiffrement.

    Les comptes de service des services qui échangent les tickets d’authentification unique. Il s’agit des services intermédiaires qui transmettent les informations d’identification entre le serveur de clé de chiffrement et l’application d’entreprise.

Compte du service d’authentification unique

Compte de batterie de serveurs

  • Utilisez un compte d’utilisateur individuel. Utilisez un compte autre que le compte de configuration d’authentification unique.

  • N’ajoutez pas ce compte au groupe Administrateurs de batterie ou au groupe Administrateurs sur l’ordinateur local.

    N’utilisez pas le même compte de service qui est utilisé pour exécuter les pools d’applications IIS.

Compte d’administrateur d’application d’entreprise

Compte de batterie de serveurs

Créez un compte de groupe de domaine dédié. Ajoutez à ce groupe les utilisateurs autorisés à créer et gérer les définitions d’applications d’entreprise.

La figure ci-dessous illustre la configuration sécurisée recommandée pour ces comptes.

Recommandations pour la configuration de comptes SSO

Paramètres de base de données

Les paramètres de base de données, utilisés pour créer la base de données d’authentification unique, sont les suivants :

  • Nom du serveur   Nom NetBIOS de l’ordinateur serveur de bases de données. N’entrez pas le nom de domaine complet.

  • Nom de la base de données   Nom de la base de données d’authentification unique.

Sauf si vous créez des bases de données au préalable, il est recommandé de conserver les paramètres par défaut.

Paramètres de délai d’expiration

Les paramètres de délai d’expiration sont les suivants :

  • Délai d’expiration du ticket (en minutes)   Utilisez ce paramètre pour définir le nombre de minutes pouvant s’écouler avant l’expiration d’un ticket d’authentification unique. Assurez-vous que la valeur du délai d’expiration du ticket est suffisamment longue pour permettre l’émission du ticket et son échange par l’application d’entreprise. Deux minutes est la valeur recommandée qui laisse suffisamment de temps pour l’échange des tickets. Si les tickets ne sont pas échangés dans les deux minutes, des problèmes réseau ou d’autres problèmes peuvent empêcher une connexion entre les ordinateurs.

  • Supprimer les enregistrements du journal d’audit datant de plus de   Utilisez ce paramètre pour définir le nombre de jours pendant lesquels conserver les enregistrements dans le journal d’audit avant de les supprimer.

Les paramètres de délai d’expiration par défaut sont les points de départ recommandés.

Planifier les paramètres de définition d’application d’entreprise

Cette section décrit les choix de planification pour les définitions d’applications d’entreprise.

Action de feuille

Utilisez la Feuille des définitions d’applications d’entreprise pour l’authentification unique (en anglais) (https://go.microsoft.com/fwlink/?linkid=73335&clcid=0x40C) (en anglais) pour enregistrer vos choix de planification. Remplissez cette feuille pour chaque définition d’application d’entreprise que vous souhaitez ajouter.

Après avoir créé une définition d’application d’entreprise, vous ne pouvez pas modifier les propriétés suivantes :

  • nom de la définition d’application d’entreprise ;

  • type de compte (de groupe ou individuel, de groupe ou individuel authentifié par Windows, ou de groupe utilisant un compte restreint) ;

  • champs d’informations du compte de connexion.

Informations sur l’application et le contact

Les informations sur l’application et le contact comportent les paramètres suivants :

  • Nom complet   Nom convivial de l’application d’entreprise.

  • Nom de l’application   Nom de programme de l’application d’entreprise. C’est ce nom que les composants WebPart utiliseront pour appeler la définition d’application d’entreprise.

  • Adresse de messagerie du contact   Adresse de messagerie que les utilisateurs peuvent contacter pour l’application d’entreprise.

Type de compte

Le type de compte désigne le type de compte qui est utilisé pour mapper les informations d’identification de l’utilisateur sur l’application d’entreprise : soit un compte individuel, soit un compte de groupe. Si chaque utilisateur possède un compte dans l’application d’entreprise, choisissez Individuel. Si l’application d’entreprise utilise un compte pour tous les utilisateurs, choisissez Groupe.

Sachez que l’autorisation de sécurité peut être effectuée par l’application d’entreprise ou par le composant WebPart qui se connecte à l’application d’entreprise. La manière dont l’autorisation de sécurité est configurée affecte le type de compte utilisé par l’application d’entreprise. Par exemple, l’autorisation d’accéder aux données personnelles dans une application stub de paie peut être configurée à l’aide de l’une des deux méthodes :

  • Les utilisateurs disposent de leurs propres comptes dans le système stub de paie pour accéder à leur stub de paie. Dans ce cas, des comptes individuels sont utilisés par l’application d’entreprise.

  • Le composant WebPart utilisé pour accéder aux données stub de paie applique l’autorisation de sécurité. Dans ce cas, le composant WebPart effectue l’autorisation utilisateur selon les informations d’identification de l’utilisateur et le système stub de paie utilise un compte de groupe pour tous les utilisateurs. Par conséquent, la définition d’application d’entreprise pour ce scénario utilise un compte de groupe.

En outre, si un compte de groupe est utilisé, la définition d’application d’entreprise peut être configurée pour utiliser un compte privilégié. Si vous choisissez un compte privilégié, les informations d’identification sont stockées séparément des informations d’identification normales et une autre API est utilisée pour accéder aux informations d’identification privilégiées. Les comptes privilégiés sont utilisés dans les scénarios dans lesquels une application intermédiaire, telle que le catalogue de données métiers, impose une limitation de sécurité supplémentaire sur les données qui ont été récupérées sur la base des informations d’identification.

Les applications qui font appel aux informations d’identification restreintes doivent effectuer une limitation des autorisations et des données supplémentaires sur la base des données retournées à l’aide des informations d’identification privilégiées. Les administrateurs de batterie doivent s’assurer que toutes les autres applications qui utilisent des comptes privilégiés effectuent cette limitation des autorisations et des données uniformément. Dans le cas contraire, si une application qui n’effectue pas cette limitation des autorisations et des données supplémentaire a accès à des comptes privilégiés, elle peut compromettre la sécurité en utilisant des informations d’identification privilégiées pour accéder à des données qui seraient autrement limitées.

Choisissez Groupe utilisant un compte privilégié uniquement dans les cas suivants :

  • Le compte est un compte de groupe.

  • Le catalogue de données métiers est utilisé pour se connecter à l’application d’entreprise.

  • L’application intermédiaire qui se connecte à l’application d’entreprise est conforme aux termes d’utilisation d’un compte privilégié.

  • Les données sont très sensibles.

Type d’authentification

Le type d’authentification désigne la méthode par laquelle le serveur Office SharePoint Server 2007 se connecte à l’application d’entreprise : par l’authentification Windows ou sans authentification. Cette authentification s’applique uniquement aux informations d’identification que le serveur qui exécute Office SharePoint Server 2007 utilise pour ouvrir une session sur l’application d’entreprise. L’authentification des informations d’identification de l’utilisateur n’est pas affectée.

Si l’application d’entreprise est hébergée sur un ordinateur exécutant Windows, sélectionnez Authentification Windows.Si l’application d’entreprise est hébergée sur un ordinateur qui n’exécute pas Windows, laissez ce paramètre vide. Si l’authentification Windows n’est pas utilisée, les informations d’identification ne sont pas chiffrées. Si vous activez l’authentification Windows et le système d’applications d’entreprise ne prend pas en charge l’authentification Windows, la connexion d’authentification unique échoue.

Informations du compte de connexion utilisateur

Les champs fournis pour les informations du compte de connexion utilisateur déterminent les éléments d’information nécessaires pour se connecter. Par défaut, seuls le nom d’utilisateur et le mot de passe sont spécifiés. Vous pouvez spécifier jusqu’à cinq éléments d’information différents à inclure. Par exemple, vous pouvez exiger un nom de serveur SAP ou un numéro client SAP. Les utilisateurs sont invités à entrer les informations d’identification dans les cas suivants :

  • L’authentification échoue ou des informations d’identification sont introuvables.

  • Le composant WebPart est programmé pour inviter les utilisateurs à entrer les informations d’identification.

Les informations du compte de connexion sont utilisées pour les définitions d’applications d’entreprise qui utilisent des comptes individuels. Il n’est pas recommandé de demander les informations du compte de connexion pour les définitions d’applications d’entreprise qui utilisent des comptes de groupes.

Les informations du compte de connexion que vous configurez ici doivent correspondre aux exigences de connexions pour l’application d’entreprise. En outre, vous devez également déterminer si le système doit masquer ces informations d’identification lorsque l’utilisateur les fournit.

En règle générale, seuls un nom d’utilisateur et un mot de passe sont requis. Certains environnements hautement sécurisés peuvent nécessiter des éléments d’identification utilisateur supplémentaires. En outre, certains systèmes peuvent exiger des informations supplémentaires de la part des utilisateurs pour identifier l’application. Par exemple, pour accéder à une base de données Oracle, les utilisateurs peuvent entrer les informations affichées dans le tableau ci-dessous.

Dans ce champ Entrez ces informations

Champ 1

Nom d’utilisateur Oracle

Champ 2

Mot de passe d’utilisateur Oracle (sélectionnez Oui pour l’option Masquer)

Champ 3

Nom de la base de données Oracle

Pour accéder à l’application SAP, les utilisateurs peuvent entrer les informations indiquées dans le tableau suivant.

Dans ce champ Entrez ces informations

Champ 1

Nom d’utilisateur SAP

Champ 2

Mot de passe SAP (sélectionnez Oui pour l’option Masquer)

Champ 3

Numéro du système SAP

Champ 4

Numéro du client SAP

Champ 5

Langue

Informations de compte pour l’application d’entreprise

Si vous utilisez un compte de groupe pour vous connecter à l’application d’entreprise, vous devez fournir les informations d’identification de compte. Après avoir ajouté une définition d’application d’entreprise, un administrateur d’authentification unique ou un membre du compte d’administrateur d’application d’entreprise spécifie le nom de compte et le mot de passe utilisés pour se connecter à l’ordinateur serveur externe en cliquant sur Gérer les informations de compte pour une définition d’application d’entreprise dans le site Administration centrale.

Action de feuille

Utilisez la Feuille des définitions d’applications d’entreprise pour l’authentification unique (en anglais) (https://go.microsoft.com/fwlink/?linkid=73335&clcid=0x40C) (en anglais) pour enregistrer le nom du compte de groupe.

L’administrateur qui entre les informations de compte dans le site Administration centrale doit également connaître le mot de passe du compte de groupe.

Si vous utilisez des comptes individuels pour vous connecter à l’application d’entreprise, il est inutile d’entrer des informations de compte dans le site Administration centrale.

Planifier les opérations d’authentification unique

Gestion de la clé de chiffrement

La clé de chiffrement est utilisée dans le cadre du processus de chiffrement des informations d’identification de l’authentification unique. La clé permet de déchiffrer les informations d’identification stockées dans la base de données d’authentification unique. La première fois que vous configurez l’authentification unique et les définitions d’applications d’entreprise dans la page Gérer les paramètres du serveur pour l’authentification unique de l’Administration centrale, la clé de chiffrement est créée automatiquement. La gestion de la clé de chiffrement inclut l’audit de la clé de chiffrement et sa régénération.

Audit de la clé de chiffrement

Vous pouvez activer l’audit des modifications apportées à la clé de chiffrement. Si une opération de lecture ou d’écriture est effectuée sur la clé, un événement de sécurité est enregistré dans le journal de sécurité. Vous pouvez afficher le journal de sécurité à l’aide de l’Observateur d’événements. L’activation de la journalisation implique :

  • la modification d’une clé de Registre d’authentification unique ;

  • la création d’une stratégie Ordinateur local dans l’Éditeur d’objets de stratégie de groupe.

Régénération de la clé de chiffrement

Étant donné que la clé de chiffrement protège les informations d’identification de sécurité, vous devez la régénérer régulièrement, par exemple, tous les 90 jours. Vous devez également la régénérer si les informations d’identification de compte sont compromises.

Le processus de renouvellement du chiffrement est une opération de longue durée. Il est recommandé de modifier la clé de chiffrement en dehors des périodes de pointe. Voici quel est l’impact du renouvellement du chiffrement de la clé sur l’environnement d’authentification unique :

  • Au cours du processus de renouvellement du chiffrement, les opérations d’écriture telles que la mise à jour des informations d’identification et la modification des définitions d’applications d’entreprises ne sont pas autorisées.

  • Les opérations de lecture telles que la récupération des informations d’identification continuent à fonctionner normalement.

Vous devez être connecté localement au serveur de clé de chiffrement pour renouveler le chiffrement de la clé. Vous devez également être membre du compte administrateur d’authentification unique.

Si le serveur de clé de chiffrement est redémarré ou si le service d’authentification unique est arrêté sur le serveur de clé de chiffrement au cours du processus de renouvellement du chiffrement, consultez le journal des événements pour rechercher des erreurs. Si le journal des événements signale une erreur, redémarrez le processus de renouvellement du chiffrement. Si le processus de renouvellement du chiffrement est interrompu de quelque manière que ce soit, il devra être réexécuté. S’il est interrompu, il revient à son état d’origine.

Lorsque vous créez une clé de chiffrement, vous avez la possibilité de renouveler le chiffrement des informations d’identification existantes avec la nouvelle clé. Si vous ne le faites pas, les utilisateurs devront retaper leurs informations d’identification pour les définitions d’applications d’entreprise individuelles et les administrateurs des définitions d’applications d’entreprise de groupe devront retaper les informations d’identification du groupe.

Lorsque vous renouvelez le chiffrement de la banque d’informations d’identification du service d’authentification unique, les événements sont enregistrés dans le journal des événements de l’application Microsoft Windows Server 2003. Une fois le renouvellement du chiffrement lancé, vous pouvez surveiller le journal des événements de l’application pour vérifier que le renouvellement du chiffrement de la banque d’informations d’identification a été effectué. L’ID d’événement 1032 est enregistré dans le journal des événements de l’application au démarrage du renouvellement du chiffrement. L’ID 1033 est enregistré dans le journal des événements de l’application à la fin du renouvellement du chiffrement. Si des problèmes se produisent au cours du processus, un événement est enregistré dans le journal.

Lorsque vous effectuez vos choix de planification pour la gestion de la clé de chiffrement, tenez compte des éléments suivants :

  • À quelle fréquence prévoyez-vous de renouveler le chiffrement de la clé ?

  • Souhaitez-vous que le renouvellement du chiffrement des informations d’identification existantes soit effectué en même temps que la nouvelle clé de chiffrement ?

  • Dans quels autres cas le renouvellement de la clé de chiffrement sera-t-il effectué ?

Action de feuille

Utilisez la Feuille des paramètres de batterie de serveur pour l’authentification unique (en anglais) (https://go.microsoft.com/fwlink/?linkid=73336&clcid=0x40C) (en anglais) pour enregistrer vos choix de planification.

Sauvegarde de l’environnement d’authentification unique

La sauvegarde de l’environnement d’authentification unique implique la sauvegarde des deux entités distinctes suivantes :

  • la clé de chiffrement ;

  • la base de données d’authentification unique.

Vous devez sauvegarder la clé de chiffrement après avoir configuré initialement l’authentification unique, puis sauvegarder la clé à chaque fois qu’elle est régénérée. Il est inutile de sauvegarder la clé à intervalles réguliers, sauf si ces intervalles sont liés à la régénération de la clé de chiffrement. La clé de chiffrement ne peut pas être sauvegardée à distance. Vous devez être membre du compte administrateur d’authentification unique et connecté localement au serveur de clé de chiffrement pour sauvegarder la clé de chiffrement. La clé de chiffrement peut uniquement être sauvegardée sur un support de stockage amovible. Elle ne peut pas être sauvegardée sur un disque dur local. Vous pouvez effectuer la sauvegarde de la clé de chiffrement dans la page Gérer la clé de chiffrement de l’Administration centrale.

Vous devez sauvegarder la base de données d’authentification unique après qu’elle a été initialement créée, puis à nouveau à chaque fois que le renouvellement du chiffrement des informations d’identification est effectué. En outre, vous pouvez inclure des sauvegardes de la base de données d’authentification unique aux sauvegardes régulièrement planifiées des bases de données de votre batterie de serveurs. Les sauvegardes planifiées régulièrement incluront d’autres modifications apportées à la base de données d’authentification unique, telles que les nouvelles définitions d’applications d’entreprise et les mises à jour des informations d’identification.

Ne stockez pas le support de sauvegarde de la clé de chiffrement dans le même emplacement que le support de sauvegarde de la base de données d’authentification unique. Si un utilisateur obtient une copie de la base de données et de la clé, les informations d’identification stockées dans la base de données risquent d’être compromises. L’idéal est de mettre sous clé la clé de chiffrement dans un endroit sûr.

Lorsque vous effectuez vos choix de planification pour la sauvegarde de l’environnement d’authentification unique, tenez compte des éléments suivants :

  • L’intervalle de sauvegarde de la clé de chiffrement.

  • Planifiez la sauvegarde de la base de données d’authentification unique. Le plan le plus efficace consiste à inclure la base de données d’authentification unique à vos sauvegardes régulières de batterie de serveurs.

Action de feuille

Utilisez la Feuille des paramètres de batterie de serveur pour l’authentification unique (en anglais) (https://go.microsoft.com/fwlink/?linkid=73336&clcid=0x40C) (en anglais) pour enregistrer vos choix de planification.

Restauration de l’environnement d’authentification unique

Plusieurs scénarios nécessitent la restauration de l’environnement d’authentification unique. Dans certains cas, vous devez restaurer uniquement la clé de chiffrement ou uniquement la base de données d’authentification unique. Le tableau suivant décrit plusieurs scénarios de restauration et indique ce qui doit être restauré.

Scénario Éléments à restaurer

Déplacer le rôle de serveur de clé de chiffrement vers un autre ordinateur serveur.

La clé de chiffrement

Modifier le compte du service d’authentification unique.

La clé de chiffrement

Restaurer l’ordinateur serveur de bases de données en panne.

La base de données d’authentification unique

Migrer la batterie de serveurs Office SharePoint Server 2007 vers un autre ensemble d’ordinateurs serveurs.

La clé de chiffrement et la base de données d’authentification unique

Récupérer après un incident à l’échelle de la batterie.

La clé de chiffrement et la base de données d’authentification unique

Le reste de cette section décrit de manière détaillée les tâches spécifiques impliquées dans la restauration de l’environnement d’authentification unique, en fonction du scénario.

Pour déplacer le rôle de serveur de clé de chiffrement vers un autre ordinateur serveur, procédez comme suit :

Déplacer le rôle de serveur de clé de chiffrement vers un autre ordinateur serveur.

  1. Sauvegardez la clé de chiffrement.

  2. Désactivez le service d’authentification unique sur tous les ordinateurs de la batterie de serveurs.

  3. Connectez-vous au nouveau serveur de clé de chiffrement.

  4. Démarrez le service d’authentification unique.

  5. Configurez les paramètres d’authentification unique au niveau de la batterie dans le site Administration centrale. Spécifiez la base de données d’authentification unique existante.

  6. Restaurez la clé de chiffrement.

  7. Démarrez le service d’authentification unique sur tous les ordinateurs serveurs Web de la batterie de serveurs.

Modifier le compte du service d’authentification unique

L’identificateur de sécurité (SID, Security Identifier) du compte du service d’authentification unique est utilisé dans le cadre de la formule de chiffrement des informations d’identification d’authentification unique. Par conséquent, pour modifier le compte du serveur d’authentification unique, vous devez reconfigurer l’environnement d’authentification unique. Pour modifier le compte du service d’authentification unique, procédez comme suit :

Modifier le compte du service d’authentification unique

  1. Sauvegardez la clé de chiffrement.

  2. Sur tous les ordinateurs serveurs de la batterie de serveurs qui exécutent le service d’authentification unique, reconfigurez le service avec le nouveau compte de service.

  3. Reconfigurez les paramètres d’authentification unique au niveau de la batterie, dans le site Administration centrale avec le nouveau compte de service d’authentification unique. Spécifiez la base de données d’authentification unique existante.

  4. Restaurez la clé de chiffrement.

  5. Renouvelez le chiffrement des informations d’identification dans la base de données d’authentification unique. La clé de chiffrement restaurée sert à renouveler le chiffrement des informations d’identification.

Restaurer uniquement le serveur de bases de données d’authentification unique

Si l’ordinateur serveur qui héberge la base de données d’authentification unique tombe en panne, vous devez restaurer uniquement la base de données d’authentification unique. Restaurez la base de données à l’aide de la même méthode que vous utiliseriez pour restaurer d’autres bases de données dans l’environnement Office SharePoint Server 2007. Si vous restaurez la base de données d’authentification unique sur un autre serveur, reconfigurez les paramètres d’authentification unique au niveau de la batterie avec le nom du nouvel ordinateur serveur de bases de données.

Restaurer l’intégralité de l’environnement d’authentification unique

Plusieurs scénarios nécessitent la restauration à la fois de la clé de chiffrement et de la base de données d’authentification unique. Procédez comme suit pour restaurer l’intégralité de l’environnement d’authentification unique :

Restaurer l’intégralité de l’environnement d’authentification unique

  1. Restaurez la base de données d’authentification unique sur l’ordinateur serveur de bases de données souhaité.

  2. Installez et configurez l’authentification unique comme si vous configuriez un nouvel environnement d’authentification unique, sauf que vous devez entrer le nom du serveur et le nom de la base de données d’authentification unique existante.

  3. Restaurez la clé de chiffrement dans le nouvel environnement d’authentification unique.

Réagir à une compromission de sécurité d’authentification unique

Une compromission de sécurité peut inclure la perte d’un support de sauvegarde, une fuite de mot de passe ou un autre événement susceptible de compromettre les informations d’identification stockées dans la base de données d’authentification unique ou les données stockées dans les applications d’entreprise. Si vous êtes confronté à une compromission de sécurité susceptible d’affecter votre environnement d’authentification unique, procédez comme suit pour y répondre :

Réagir à une compromission de sécurité

  1. Régénérez la clé de chiffrement.

  2. Renouvelez le chiffrement des informations d’identification dans la base de données d’authentification unique (la nouvelle clé de chiffrement est utilisée).

  3. Modifiez les mots de passe des applications d’entreprise si les mots de passe risquent d’être compromis.

  4. Encouragez les utilisateurs à modifier leurs mots de passe si leurs mots de passe risquent d’être compromis.

Si la compromission de sécurité est potentiellement grave, vous pouvez arrêter le service d’authentification unique pour stopper immédiatement l’accès aux informations d’identification stockées dans la base de données d’authentification unique. Si vous devez arrêter le service d’authentification unique, vous pouvez restaurer en toute sécurité le service dans la batterie de serveurs Office SharePoint Server 2007 existante en effectuant les étapes suivantes :

Restaurer le service d’authentification unique dans la batterie de serveurs existante

  1. Restaurez l’environnement d’authentification unique sur un ordinateur serveur isolé.

  2. Régénérez la clé de chiffrement.

  3. Renouvelez le chiffrement des informations d’identification dans la base de données d’authentification unique.

  4. Sauvegardez l’environnement d’authentification unique.

  5. Restaurez l’environnement d’authentification unique dans la batterie de serveurs Office SharePoint Server 2007 existante.

Feuilles

Utilisez les feuilles suivantes pour planifier l’authentification unique :

Télécharger ce livre

Cette rubrique est incluse dans le livre à télécharger suivant pour une lecture et une impression plus faciles :

Vous trouverez la liste complète des livres disponibles sur Livres à télécharger pour Office SharePoint Server 2007.