Configurer le service d’émission de jeton de sécurité (SharePoint Server 2010)

  • Article

 

S’applique à : SharePoint Foundation 2010, SharePoint Server 2010

Dernière rubrique modifiée : 2016-11-30

Cet article donne des conseils sur la configuration du service d’émission de jeton de sécurité (STS) de Microsoft SharePoint Server 2010. Il s’agit d’un service Web spécialisé conçu pour répondre aux demandes portant sur les jetons de sécurité et fournir la gestion des identités. Chacun de ces services fonctionne selon le même principe, mais la nature des tâches qu’il effectue varie selon le rôle qu’il joue par rapport aux autres services Web d’émission de jeton de sécurité dans votre structure.

Dans cet article :

  • Comment fonctionnent les applications Web qui utilisent un service d’émission de jeton de sécurité

  • Configurer une application Web SharePoint par revendications avec Windows PowerShell

  • Modifier les liaisons

  • Configurer une application Web qui utilise un service d’émission de jeton de sécurité

Comment fonctionnent les applications Web qui utilisent un service d’émission de jeton de sécurité

Les applications Web qui utilisent un service d’émission de jeton de sécurité gèrent les demandes d’émission, de gestion et de validation de jetons de sécurité. Les jetons de sécurité sont composés d’une collection de revendications d’identité (par exemple, un nom d’utilisateur, un rôle ou un identificateur anonyme). Les jetons peuvent être émis dans différents formats, par exemple des jetons SAML (Security Assertion Markup Language). Les jetons de sécurité peuvent être protégés par un certificat X.509 afin de protéger leur contenu dans les transits et permettre la validation des émetteurs approuvés. Pour des informations supplémentaires sur le service d’émission de jeton de sécurité, voir Planifier des méthodes d’authentification (SharePoint Server 2010).

Le service IP-STS (Identity Provider-STS) gère les demandes portant sur les revendications d’identité approuvées. Il utilise une base de données, dite magasin d’identités, pour stocker et gérer les identités et les attributs qui leur sont associés. Le magasin d’identités d’un fournisseur d’identités peut être simple, par exemple une table de base de données SQL. Un service IP-STS peut également utiliser un magasin d’identités complexe, tel que AD DS (Active Directory Domain Services) ou AD LDS (Active Directory Lightweight Directory Service).

Un service IP-STS est à la disposition des clients qui souhaitent créer et gérer des identités, et des applications impliquées et de confiance qui doivent valider les identités que leur présentent les clients. Chaque service IP-STS a une relation d’approbation fédérée avec des applications Web STS de confiance partenaires de la fédération et émet des jetons pour elles ; on les appelle les RP-STS. Les clients peuvent créer ou mettre en service des cartes d’informations gérées (à l’aide d’un sélecteur de carte tel que CardSpace) qui représentent les identités inscrites auprès du service IP-STS. Les clients interagissent avec le service IP-STS lorsqu’ils demandent des jetons de sécurité représentant une identité contenue dans le magasin d’identités du service IP-STS. Après l’authentification, le service IP-STS émet un jeton de sécurité approuvé que le client peut présenter à une application de confiance. Ces applications peuvent établir des relations d’approbation avec un service IP-STS. Cela leur permet de valider les jetons de sécurité émis par un service IP-STS. Une fois la relation d’approbation établie, les applications impliquées et de confiance peuvent examiner les jetons de sécurité que leur présentent les clients et déterminer la validité des revendications d’identité qu’ils contiennent.

Un service d’émission de jeton de sécurité impliqué et de confiance (RP-STS) reçoit des jetons de sécurité d’un service IP-STS partenaire de la fédération et approuvé. À son tour, le service RP-STS émet de nouveaux jetons de sécurité à l’intention d’une application locale impliquée et de confiance. L’utilisation d’applications WEB RP-STS en fédération avec des applications Web IP-STS permet aux organisations de proposer aux utilisateurs l’authentification unique (SSO) sur le Web à partir d’organisations partenaires. Chaque organisation continue de gérer ses propres magasins d’identités.

Configurer une application Web SharePoint par revendications avec Windows PowerShell

Exécutez les procédures suivantes pour utiliser Windows PowerShell afin de configurer une application Web SharePoint à base de revendications.

Pour configurer une application Web SharePoint par revendications avec Windows PowerShell

  1. Vérifiez que vous disposez de la configuration minimale requise suivante : Voir Add-SPShellAdmin.

  2. Dans le menu Démarrer, cliquez sur Tous les programmes.

  3. Cliquez sur Produits Microsoft SharePoint 2010.

  4. Cliquez sur SharePoint 2010 Management Shell.

  5. À partir de l’invite de commandes Windows PowerShell (c’est-à-dire PS C:\ >), créer un objet x509Certificate2, comme illustré dans l’exemple suivant :

    $cert = New-Object
System.Security.Cryptography.X509Certificates.X509Certificate2("path to cert file")

  6. Créez un mappage de type de revendication à utiliser dans votre fournisseur d’authentifications, comme illustré dans l’exemple suivant :

    New-SPClaimTypeMapping "https://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress"
-IncomingClaimTypeDisplayName "EmailAddress" -SameAsIncoming

  7. Créez un fournisseur de connexions approuvé en créant d’abord une valeur pour le paramètre de domaine, comme illustré dans l’exemple suivant :

    $realm = "urn:" + $env:ComputerName + ":domain-int"

  8. Créez une valeur pour le paramètre signinurl qui pointe vers l’application Web, comme dans l’exemple suivant :

    $signinurl = "https://test-2/FederationPassive/"

  9. Créez le fournisseur de connexions approuvé, en utilisant la même valeur IdentifierClaim que dans le mappage de revendication ($map1.InputClaimType), comme dans l’exemple suivant :

    $ap = New-SPTrustedIdentityTokenIssuer -Name
"WIF" -Description "Windows® Identity Foundation" -Realm
$realm -ImportTrustCertificate $cert
-ClaimsMappings $map1[,$map2..] -SignInUrl
$signinurl -IdentifierClaim $map1.InputClaimType

  10. Créez une application Web en créant d’abord une valeur pour le compte du pool d’applications (pour l’utilisateur actuel), comme dans l’exemple suivant :

    $account = "DOMAIN\" + $env:UserName

    Notes

    Le compte du pool d’applications doit être un compte géré. Pour créer un compte géré, utilisez New-SPManagedAccount.

  11. Créez une valeur pour l’URL de l’application Web ($webappurl = "https://" + $env:ComputerName), comme dans l’exemple suivant :

    $wa = New-SPWebApplication -name "Claims WIF"
-SecureSocketsLayer -ApplicationPool "SharePoint SSL"
-ApplicationPoolAccount $account -Url $webappurl -Port 443
-AuthenticationProvider $ap

  12. Créez un site en commençant par créer un objet de revendication, comme dans l’exemple suivant :

    $claim = New-SPClaimsPrincipal
-TrustedIdentityTokenIssuerr $ap -Identity
$env:UserName

  13. Créez un site, comme dans l’exemple suivant :

    $site = New-SPSite $webappurl -OwnerAlias
$claim.ToEncodedString() -template "STS#0"

Modifier les liaisons

Une fois que vous avez configuré une application Web SharePoint à base de revendications, modifiez les liaisons.

Pour modifier les liaisons

  1. Démarrez le Gestionnaire des services Internet en tapant INETMGR à une invite de commandes.

  2. Accédez au site Application Web des revendications dans IIS.

  3. Dans le volet gauche, cliquez avec le bouton droit sur Application Web des revendicationset sélectionnez Modifier les liaisons.

  4. Sélectionnez https et cliquez sur Modifier.

  5. Sous Certificat SSL, sélectionnez un certificat dans la liste.

Configurer une application Web qui utilise un service d’émission de jeton de sécurité

Une fois que vous avez configuré une application Web à base de revendications SharePoint Server 2010, modifié les liaisons et configuré le fichier Web.Config, vous pouvez utiliser la procédure décrite dans cette section pour configurer une application Web STS.

Pour configurer une application Web qui utilise un service d’émission de jeton de sécurité

  1. Ouvrez la console de gestion AD FS (Active Directory Federation Services)  2.0.

  2. Dans le volet gauche, développez Policy et sélectionnez l’option Relying Parties.

  3. Dans le volet droit, cliquez sur Add Relying Party. Cela ouvre l’Assistant de configuration AD FS (Active Directory Federation Services) 2.0.

  4. Dans la première page de l’Assistant, cliquez sur Start.

  5. Cliquez sur Enter relying party configuration manually, puis cliquez sur Next.

  6. Tapez le nom d’un partenaire de confiance et cliquez sur Next.

  7. Assurez-vous que Active Directory Federation Services (AD FS) 2.0 Server Profile est sélectionné, puis cliquez sur Next.

  8. Si vous n’avez pas l’intention d’utiliser de certificat de chiffrement, cliquez sur Next.

  9. Sélectionnez Enable support for Web-browser-based identity federation.

  10. Tapez le nom de l’URL de l’application Web, puis ajoutez /_trust/ (par exemple : https://nomserveur/_trust/). Cliquez sur Next.

  11. Tapez un identificateur, puis cliquez sur Add. Cliquez sur Next.

  12. Dans la page de synthèse, cliquez sur Next, puis cliquez sur Close. Cela ouvre la console de gestion de l’éditeur de règles. Utilisez cette console pour configurer le mappage des revendications entre une application Web LDAP et SharePoint.

  13. Dans le volet gauche, développez New rule et sélectionnez Predefined Rule.

  14. Sélectionnez Create Claims from LDAP Attribute Store.

  15. Dans le volet droit, dans la liste déroulante Attribute Store, sélectionnez Enterprise Active Directory User Account Store.

  16. Sous LDAP Attribute, sélectionnez sAMAccountName.

  17. Sous Outgoing Claim Type, sélectionnez E-Mail Address.

  18. Dans le volet gauche, cliquez sur Save.