Configurer le service Banque d’informations sécurisé dans SharePoint Server

  • Article

 

**Sapplique à :**SharePoint Server 2013, SharePoint Server 2016

**Dernière rubrique modifiée :**2017-07-14

**Résumé :**Configurez le stockage d’informations d’identification d’autorisation dans Service Banque d’informations sécurisé sur une batterie de serveurs SharePoint Server 2013 ou SharePoint Server 2016.

Cet article explique comment configurer le Service Banque d’informations sécurisé sur une batterie de serveurs SharePoint Server. La Banque d’informations sécurisée doit faire l’objet d’une attention particulière en matière de planification. Veillez à lire Planifier le service Banque d’informations sécurisé dans SharePoint Server avant d’appliquer les procédures indiquées dans cet article.

Contenu de cet article :

  • Configurer le service Banque d'informations sécurisé

  • Utiliser des clés de chiffrement

  • Stocker des informations d'identification dans la Banque d'informations sécurisée

  • Créer une application cible

  • Définir des informations d'identification pour une application cible

  • Activer le journal d’audit de la banque d’informations sécurisée

Configurer le service Banque d’informations sécurisé dans SharePoint Server

Le service Banque d’informations sécurisée s’exécute sous les rôles serveur frontal et d’applications. Il est configuré automatiquement lorsque vous créez une application de service Banque d’informations sécurisée.

Procédez comme suit pour configurer le service Banque d’informations sécurisé :

  1. Enregistrez un compte géré dans SharePoint Server pour exécuter le pool d’applications du service Banque d’informations sécurisé.

  2. Démarrez le Service Banque d’informations sécurisé sur un serveur d’applications dans la batterie de serveurs. (SharePoint Server 2013 uniquement)

  3. Créez une Application de service Service Banque d’informations sécurisé.

Pour exécuter le pool d’applications, vous devez disposer d’un compte de domaine standard. Aucune autorisation spécifique n’est requise pour ce compte. Une fois le compte créé dans Active Directory, suivez les étapes ci-après pour l’enregistrer auprès de SharePoint Server.

Pour enregistrer un compte géré

  1. Dans la page d’accueil du site web Administration centrale de SharePoint, dans le volet de navigation de gauche, cliquez sur Sécurité.

  2. Dans la page Sécurité, dans la section Sécurité générale, cliquez sur Configurer les comptes gérés.

  3. Dans la page Comptes gérés, cliquez sur Enregistrer le compte géré.

  4. Dans la zone Nom d’utilisateur, tapez le nom du compte.

  5. Dans la zone Mot de passe, tapez le mot de passe du compte.

  6. Si vous souhaitez que SharePoint Server gère la modification du mot de passe du compte, activez la case à cocher Activer la modification automatique du mot de passe, puis spécifiez les paramètres de modification de mot de passe à utiliser.

  7. Cliquez sur OK.

Si vous utilisez SharePoint Server 2013, vous devez démarrer le service Banque d’informations sécurisé sur un serveur d’applications dans la batterie de serveurs. (Si vous utilisez SharePoint Server 2016, le service démarrera automatiquement par MinRole.)

Pour démarrer le service Banque d’informations sécurisé (SharePoint Server 2013)

  1. Dans la page d’accueil Administration centrale, dans la section Paramètres système, cliquez sur Gérer les services sur le serveur.

  2. Au-dessus de la liste Service, cliquez sur la liste déroulante Serveur, puis cliquez sur Modifier Serveur.

  3. Sélectionnez le serveur d’applications où vous souhaitez exécuter le service Banque d’informations sécurisé.

  4. Dans la liste Service, cliquez sur Démarrer en regard de Service Banque d’informations sécurisé.

Ensuite, vous devez créer une Application de service Service Banque d’informations sécurisé. Utilisez la procédure suivante pour créer l’application de service.

Pour créer une application de service du service Banque d’informations sécurisé

  1. Dans la page d’accueil de l’Administration centrale, dans la section Gestion des applications, cliquez sur Gérer les applications de service.

  2. Dans la page Gérer les applications de service, cliquez sur Nouveau, puis sur Service Banque d’informations sécurisé.

  3. Dans la zone Nom de l’application de service, tapez un nom pour l’application de service (par exemple, service Banque d’informations sécurisé).

  4. Dans la zone Serveur de base de données, tapez l’instance de SQL Server où vous souhaitez créer la base de données de la Banque d’informations sécurisée.

    Notes

    La base de données de la Banque d’informations sécurisée contient des informations sensibles ; c’est pourquoi nous vous recommandons de la déployer sur une instance de SQL Server indépendante du reste de SharePoint Server.

  5. Sélectionnez l’option Créer un nouveau pool d’applications, puis dans la zone de texte, tapez un nom pour le pool d’applications.

  6. Sélectionnez l’option Configurable, puis, dans la liste déroulante, sélectionnez le compte pour lequel vous avez précédemment créé le compte géré.

  7. Cliquez sur OK.

Le service Banque d’informations sécurisé est désormais configuré. La prochaine étape consiste à générer une clé de chiffrement pour le chiffrement de la base de données de la Banque d’informations sécurisée.

Utiliser des clés de chiffrement de banque d’informations sécurisée

Avant d’utiliser le service Banque d’informations sécurisé, vous devez générer une clé de chiffrement. Cette clé permet de chiffrer et de déchiffrer les informations d’identification stockées dans la base de données du service Banque d’informations sécurisé.

Générer une clé de chiffrement

La première fois que vous accédez à l’application du service Banque d’informations sécurisé, la seule option à votre disposition est la génération d’une nouvelle clé de chiffrement. Une fois la clé générée, les autres fonctionnalités de la Banque d’informations sécurisée deviennent accessibles.

Pour générer une nouvelle clé de chiffrement

  1. Dans la page d’accueil de l’Administration centrale, dans la section Gestion des applications, cliquez sur Gérer les applications de service.

  2. Cliquez sur l’application du service Banque d’informations sécurisé.

  3. Dans le groupe Gestion de clé, cliquez sur Générer la nouvelle clé.

  4. Dans la page Générer la nouvelle clé, entrez une chaîne de phrase secrète dans la zone Mot de passe, et entrez la même chaîne dans la zone Confirmez le mot de passe.

    Important

    Une chaîne de phrase secrète doit comporter au moins huit caractères et avoir au moins trois des quatre éléments suivants :

    • des caractères majuscules ;

    • des caractères minuscules ;

    • des chiffres ;

    • un des caractères spéciaux suivants :

      “! " # $ % & ' ( ) * + , - . / : ; < = > ? @ [ \ ] ^ _ ` { | } ~

    Important

    La phrase secrète que vous entrez n’est pas stockée. Assurez-vous de l’écrire et de la stocker dans un endroit sûr. Vous devrez actualiser la clé, par exemple si vous ajoutez un nouveau serveur d’applications à la batterie de serveurs.

  5. Cliquez sur OK.

Par mesure de sécurité ou dans le cadre d’une opération de maintenance normale, vous pouvez décider de générer une nouvelle clé de chiffrement et de forcer un nouveau chiffrement du service Banque d’informations sécurisé sur la base de la nouvelle clé. Vous pouvez utiliser cette même procédure à cette fin.

Avertissement

Vous devez sauvegarder la base de données de l’application du service Banque d’informations sécurisé avant de générer une nouvelle clé.

Actualiser la clé de chiffrement de la banque d’informations sécurisée

L’actualisation de la clé de chiffrement propage la clé à tous les serveurs d’applications dans la batterie de serveurs. Vous pouvez être amené à actualiser la clé de chiffrement dans les situations suivantes :

  • Vous ajoutez un nouveau serveur d’applications à la batterie de serveurs.

  • Vous restaurez une base de données du service Banque d’informations sécurisé précédemment sauvegardée et changez la clé de chiffrement entre-temps.

  • Vous recevez le message d’erreur « Impossible d’obtenir la clé principale ».

Pour actualiser la clé de chiffrement

  1. Dans la page d’accueil de l’Administration centrale, dans la section Gestion des applications, cliquez sur Gérer les applications de service.

  2. Cliquez sur l’application du service Banque d’informations sécurisé.

  3. Dans le groupe Gestion de clé, cliquez sur Actualiser la clé.

  4. Dans la zone Mot de passe, entrez la phrase secrète que vous avez utilisée au départ pour générer la clé de chiffrement.

    Il s’agit de la phrase secrète que vous avez utilisée lors de l’initialisation de l’application de service Service Banque d’informations sécurisé ou bien de celle que vous avez utilisée lors de la création d’une clé à l’aide de la commande Générer la nouvelle clé.

  5. Cliquez sur OK.

Stocker des informations d’identification dans la Banque d’informations sécurisée

Le stockage d’informations d’identification dans la Banque d’informations sécurisée s’effectue à l’aide d’une application cible de la Banque d’informations sécurisée. Une application cible mappe les informations d’identification d’un utilisateur, d’un groupe ou d’une revendication sur un ensemble d’informations d’identification chiffrées stockées dans la base de données de la Banque d’informations sécurisée. Une fois l’application cible créée, vous pouvez l’associer à un type de contenu externe ou à un modèle d’application, ou bien l’utiliser avec un service d’aide à la décision comme Excel Online ou Visio Services pour fournir un accès à une source de données externe. Lorsqu’une application de service SharePoint Server appelle l’application cible, la Banque d’informations sécurisée vérifie que l’utilisateur qui effectue la demande est un utilisateur autorisé de l’application cible, puis récupère les informations d’identification chiffrées. Les informations d’identification sont ensuite utilisées pour le compte de l’utilisateur par l’application de service SharePoint Server.

Pour créer une application cible, vous devez procéder comme suit :

  1. Créez l’application cible proprement dite, en spécifiant le type d’informations d’identification à stocker dans la base de données de la Banque d’informations sécurisée, les administrateurs de l’application cible et les propriétaires des informations d’identification.

  2. Spécifiez les informations d’identification à stocker.

Créer une application cible

Les applications cibles sont configurées dans la page Application du service Banque d’informations sécurisé de l’Administration centrale. Utilisez la procédure suivante pour créer une application cible.

Pour créer une application cible

  1. Dans la page d’accueil de l’Administration centrale, dans la section Gestion des applications, cliquez sur Gérer les applications de service.

  2. Cliquez sur l’application du service Banque d’informations sécurisé.

  3. Dans la page Gérer les applications cibles, cliquez sur Nouvelle.

  4. Dans la zone ID de l’application cible, entrez une chaîne de texte.

    Il s’agit de la chaîne unique que vous utiliserez en externe pour identifier cette application cible.

  5. Dans la zone Nom complet, entrez une chaîne de texte qui sera utilisée pour afficher l’identificateur de l’application cible dans l’interface utilisateur.

  6. Dans la zone Messagerie de contact, entrez l’adresse de messagerie du contact principal pour cette application cible.

    Il peut s’agir de toute adresse de messagerie valide et il n’est pas nécessaire que ce soit l’identité d’un administrateur de l’application du service Banque d’informations sécurisé.

  7. Lorsque vous créez une application cible de type Individuel (voir plus loin), vous pouvez implémenter une page web personnalisée qui permet aux utilisateurs d’ajouter des informations d’identification individuelles pour la source de données de destination. Ceci requiert du code personnalisé pour passer les informations d’identification à l’application cible. Si vous avez procédé ainsi, entrez l’URL complète de cette page dans le champ URL de la page de l’application cible. Il existe trois options :

    • Utiliser la page par défaut : tout site web utilisant l’application cible pour accéder à des données externes se voit ajouter automatiquement une page d’inscription individuelle. L’URL de cette page est http:/<exemple_site>/_layouts/SecureStoreSetCredentials.aspx?TargetAppId=<ID_application_cible>, où <ID_application_cible> est la chaîne entrée dans la zone ID de l’application cible. En rendant public l’emplacement de cette page, vous pouvez permettre aux utilisateurs d’entrer leurs informations d’identification pour la source de données externe.

    • Utiliser une page personnalisée : vous fournissez une page web personnalisée qui permet aux utilisateurs d’indiquer des informations d’identification individuelles. Tapez l’URL de la page personnalisée dans ce champ.

    • Aucune : il n’existe pas de page d’inscription. Les informations d’identification individuelles sont ajoutées uniquement par un administrateur du service Banque d’informations sécurisé qui utilise l’application du service Banque d’informations sécurisé.

  8. Dans la liste déroulante Type d’application cible, choisissez le type d’application cible : Groupe pour des informations d’identification de groupe, ou Individuel si chaque utilisateur doit être mappé à un ensemble unique d’informations d’identification sur la source de données externe.

    Notes

    Il existe deux types principaux pour la création d’une application cible :

    • Groupe, pour le mappage de tous les membres d’un ou plusieurs groupes à un même ensemble d’informations d’identification sur la source de données externe.

    • Individuel, pour le mappage de chaque utilisateur à un ensemble unique d’informations d’identification sur la source de données externe.

  9. Cliquez sur Suivant.

  10. Utilisez la page Spécifiez les champs d’informations d’identification de l’application cible du magasin sécurisé pour configurer les différents champs qui peuvent être nécessaires pour fournir des informations d’identification à la source de données externe. Par défaut, deux champs figurent dans la liste : Nom d’utilisateur Windows et Mot de passe Windows.

    Pour ajouter un champ supplémentaire pour fournir des informations d’identification à la source de données externe, dans la page Spécifiez les champs d’informations d’identification de l’application cible du magasin sécurisé, cliquez sur Ajouter un champ.

    Par défaut, le type du nouveau champ est Générique. Les types de champs suivants sont disponibles :

    Champ Description

    Générique

    Des valeurs qui ne correspondent à aucune des autres catégories.

    Nom d’utilisateur

    Un compte d’utilisateur qui identifie l’utilisateur.

    Mot de passe

    Un mot ou une phrase secrète.

    Code confidentiel (PIN)

    Un numéro d’identification personnel.

    Clé

    Un paramètre qui détermine la sortie fonctionnelle d’un algorithme de chiffrement.

    Nom d’utilisateur Windows

    Un compte d’utilisateur Windows qui identifie l’utilisateur.

    Mot de passe Windows

    Un mot ou une phrase secrète pour un compte Windows.

    Certificat

    Un certificat.

    Mot de passe de certificat

    Le mot de passe du certificat.

    • Pour modifier le type d’un champ nouveau ou existant, cliquez sur la flèche qui apparaît à côté du type du champ, puis sélectionnez son nouveau type.

      Notes

      Chaque champ que vous ajoutez doit obligatoirement contenir des données quand vous définissez les informations d’identification pour cette application cible.

    • Vous pouvez modifier le nom qu’un utilisateur voit lorsqu’il interagit avec un champ. Dans la colonne Nom du champ de la page Spécifiez les champs d’informations d’identification de l’application cible du magasin sécurisé, modifiez un nom de champ en sélectionnant le texte actuel puis en entrant le nouveau texte.

    • Lorsqu’un champ est masqué, les caractères entrés par un utilisateur ne sont pas affichés : ils sont remplacés par un caractère de masque, tel que l’astérisque (« * »). Pour masquer un champ, cliquez sur la case à cocher pour ce champ dans la colonne Masqué de la page.

    • Pour supprimer un champ, cliquez sur l’icône de suppression de ce champ dans la colonne Supprimer de la page.

    Quand vous avez terminé les modifications à apporter aux champs des informations d’identification, cliquez sur Suivant.

  11. Dans la page Spécifiez les paramètres d’appartenance, dans le champ Administrateurs d’application cible, indiquez la liste de tous les utilisateurs qui disposent d’un accès pour gérer les paramètres de l’application cible.

  12. Si le type de l’application cible est Groupe, dans le champ Membres, spécifiez la liste des groupes d’utilisateurs à mapper à un ensemble d’informations d’identification pour cette application cible.

  13. Cliquez sur OK pour terminer la configuration de l’application cible.

Définir des informations d’identification pour une application cible de banque d’informations sécurisée

Après la création d’une application cible, un administrateur de cette application cible peut définir des informations d’identification pour celle-ci. Ces informations d’identification sont utilisées par l’application appelante pour fournir un accès à une source de données externe. Si l’application cible est de type Individuel, vous pouvez également permettre à des utilisateurs de fournir leurs propres informations d’identification.

Pour définir des informations d’identification pour une application cible

  1. Dans la page d’accueil de l’Administration centrale, dans la section Gestion des applications, cliquez sur Gérer les applications de service.

  2. Cliquez sur l’application du service Banque d’informations sécurisé.

  3. Dans la liste des applications cibles, pointez sur l’application cible pour laquelle vous souhaitez définir des informations d’identification, cliquez sur la flèche qui apparaît puis, dans le menu, cliquez sur Définir les informations d’identification.

    Si l’application cible est du type Groupe, entrez les informations d’identification pour la source de données externe. Les champs pour définir les informations d’identification varient en fonction des informations requises par la source de données externe.

    Si l’application cible est du type Individuel, entrez le nom d’utilisateur de la personne qui sera mappée à cet ensemble d’informations d’identification sur la source de données externe, puis entrez les informations d’identification pour la source de données externe. Les champs pour définir les informations d’identification varient en fonction des informations requises par la source de données externe.

  4. Cliquez sur OK.

Une fois que vous avez défini les informations d’identification pour l’application cible, celle-ci peut être utilisée par un service SharePoint Server tel que Business Connectivity Services, Excel Services ou Visio Services.

Activer le journal d’audit de la banque d’informations sécurisée

Les entrées d’audit du service Banque d’informations sécurisé sont stockées dans la base de données du service Banque d’informations sécurisé. Par défaut, le fichier journal d’audit est désactivé.

Une entrée du journal d’audit stocke des informations sur une action du service Banque d’informations sécurisé, tel que le moment auquel l’action a été effectuée, son issue (réussite ou échec), la raison de son échec éventuel, l’utilisateur du service Banque d’informations sécurisé qui l’a effectuée et, éventuellement, l’utilisateur du service Banque d’informations sécurisé au nom duquel elle a été effectuée. Ainsi, une raison valable d’activer un fichier journal d’audit est la résolution d’un problème d’authentification.

Pour activer le journal d’audit à l’aide de l’Administration centrale

  1. Dans la page d’accueil de l’Administration centrale, dans la section Gestion des applications, cliquez sur Gérer les applications de service.

  2. Sélectionnez l’application du service Banque d’informations sécurisé. (En d’autres termes, sélectionnez l’application de service, mais ne cliquez pas sur le lien permettant d’accéder à la page des paramètres de l’application du service Banque d’informations sécurisé.)

  3. Dans le ruban, cliquez sur Propriétés.

  4. Dans la section Activer l’audit, activez la case à cocher Journal d’audit activé.

  5. Pour modifier le nombre de jours au terme desquels les entrées seront vidées du fichier journal d’audit, spécifiez un nombre en jours dans le champ Nb de jours avant vidage. La valeur par défaut est de 30 jours.

  6. Cliquez sur OK.

See also

Applets de commande du service Banque d’informations sécurisé dans SharePoint Server 2016