Planifier l’authentification Kerberos (SharePoint Server 2010)
S’applique à : SharePoint Foundation 2010, SharePoint Server 2010
Dernière rubrique modifiée : 2016-11-30
Microsoft SharePoint Server 2010 prend en charge plusieurs méthodes d’authentification. Les déploiements qui requièrent une authentification sécurisée, la délégation des identités des clients et un trafic réseau faible peuvent faire appel à l’authentification Kerberos. Pour plus d’informations, voir Planifier des méthodes d’authentification (SharePoint Server 2010).
Dans cet article :
Authentification Kerberos et Microsoft SharePoint Server 2010
Authentification Kerberos et authentification basée sur les revendications
Authentification Kerberos et Microsoft SharePoint Server 2010
| Avantages de l’authentification Kerberos | Inconvénients de l’authentification Kerberos dans un scénario de déploiement |
|---|---|
Kerberos est le protocole d’authentification Windows intégrée le plus sécurisé et prend en charge les fonctionnalités avancées de sécurité, notamment le chiffrement AES (Advanced Encryption Standard) et l’authentification mutuelle. |
L’authentification Kerberos requiert une configuration supplémentaire de l’infrastructure et de l’environnement pour fonctionner correctement. Dans de nombreux cas, il est nécessaire de détenir l’autorisation d’administrateur de domaine pour configurer Kerberos. L’authentification Kerberos peut être difficile à configurer et à gérer. Une mauvaise configuration de Kerberos peut entraîner l’échec de l’authentification auprès de vos sites. |
Kerberos autorise la délégation des informations d’identification du client. |
L’authentification Kerberos requiert que l’ordinateur client dispose d’une connexion à un centre de distribution de clés (KDC) et à un contrôleur de domaine des services de domaine Active Directory (AD DS, Active Directory Domain Services). Dans un déploiement Windows, le KDC est un contrôleur de domaine AD DS. Bien qu’il s’agisse d’une configuration réseau courante dans un environnement d’entreprise, les déploiements exposés à Internet ne sont généralement pas configurés de la sorte. |
Kerberos prend en charge l’authentification mutuelle des clients et des serveurs. |
|
Parmi les méthodes d’authentification sécurisée disponibles, Kerberos est celle qui requiert le moins de trafic réseau vers les contrôleurs de domaine. Suivant les scénarios, Kerberos peut réduire la latence des pages ou augmenter le nombre de pages qu’un serveur Web frontal peut servir. Kerberos peut également réduire la charge sur les contrôleurs de domaine. |
|
Kerberos est un protocole ouvert qui est pris en charge par de nombreuses plateformes et par de nombreux fournisseurs. |
Kerberos est un protocole sécurisé qui prend en charge une méthode d’authentification utilisant des tickets fournis par une source approuvée. Les tickets Kerberos représentent les informations d’identification réseau d’un utilisateur associé à un ordinateur client. Le protocole Kerberos définit la façon dont les utilisateurs interagissent avec un service d’authentification réseau pour accéder aux ressources réseau. Le KDC Kerberos émet un ticket vers un ordinateur client pour le compte d’un utilisateur. Après qu’un ordinateur client a établi une connexion réseau à un serveur, il demande un accès réseau en présentant le ticket d’authentification Kerberos au serveur. Si la demande contient des informations d’identification utilisateur acceptables, le KDC l’accorde. Pour les applications de service, le ticket d’authentification doit également contenir un nom de principal du service (SPN) acceptable. Pour activer l’authentification Kerberos, les ordinateurs client et serveur doivent disposer déjà d’une connexion approuvée au KDC. Les ordinateurs client et serveur doivent également pouvoir accéder aux services de domaine Active Directory (AD DS).
Délégation Kerberos
L’authentification Kerberos prend en charge la délégation de l’identité des clients. Cela signifie qu’un service peut emprunter l’identité d’un client authentifié. L’emprunt d’identité permet à un service de transmettre l’identité authentifiée à d’autres services réseau pour le compte du client. L’authentification basée sur les revendications permet également de déléguer les informations d’identification clientes, mais nécessite que l’application principale soit compatible avec les revendications. Actuellement, plusieurs services importants ne prennent pas en charge les revendications.
Utilisée conjointement avec Microsoft SharePoint Server 2010, la délégation Kerberos permet à un service frontal d’authentifier un client, puis d’utiliser l’identité du client pour s’authentifier auprès d’un système principal. Ce dernier procède ensuite à sa propre authentification. Lorsqu’un client utilise l’authentification Kerberos pour s’authentifier auprès d’un service frontal, la délégation Kerberos permet de transmettre l’identité du client à un système principal. Le protocole Kerberos prend en charge deux types de délégation :
délégation Kerberos de base (non contrainte) ;
délégation Kerberos contrainte.
Délégation Kerberos de base et délégation Kerberos contrainte
Bien que la délégation Kerberos de base puisse traverser les frontières de domaine au sein de la même forêt, elle ne peut pas franchir une frontière de forêt. La délégation Kerberos contrainte ne peut pas traverser les frontières de domaine ou de forêt. Suivant les applications de service qui font partie d’un déploiement SharePoint Server 2010, l’implémentation des authentifications Kerberos avec SharePoint Server 2010 peut nécessiter l’utilisation de la délégation Kerberos contrainte. Par conséquent, l’authentification Kerberos ne peut être déployée avec l’une des applications de service suivantes que si SharePoint Server 2010 et toutes les sources de données externes résident dans le même domaine Windows :
Excel Services
PerformancePoint Services
InfoPath Forms Services
Visio Services
Pour le déploiement de l’authentification Kerberos avec l’une des applications de service suivantes, SharePoint Server 2010 peut utiliser la délégation Kerberos de base ou la délégation Kerberos contrainte :
Service Business Data Connectivity et Services Microsoft Business Connectivity
Services d’accès
Microsoft SQL Server Reporting Services (SSRS)
Microsoft Project Server 2010
Les services qui sont activés pour l’authentification Kerberos peuvent déléguer l’identité plusieurs fois. À mesure qu’une identité se déplace de service en service, la méthode de délégation peut changer et passer de la délégation Kerberos de base à la délégation Kerberos contrainte. Toutefois, l’inverse est impossible. La méthode de délégation ne peut pas passer de la délégation Kerberos contrainte à la délégation Kerberos de base. Par conséquent, il est important de déterminer à l’avance si un service principal nécessitera la délégation Kerberos de base. Cela peut avoir une incidence sur la planification et la conception des frontières de domaine.
Un service activé pour Kerberos peut utiliser la transition de protocole pour convertir une identité non-Kerberos en une identité Kerberos pouvant être déléguée à d’autres services activés pour Kerberos. Cette fonctionnalité permet, par exemple, de déléguer une identité non-Kerberos depuis un service frontal à une identité Kerberos sur un service principal.
Important
La transition de protocole nécessite la délégation Kerberos contrainte. Par conséquent, les identités ayant subi une transition de protocole ne peuvent pas traverser de frontières entre domaines.
L’authentification basée sur les revendications peut être utilisée à la place de la délégation Kerberos. L’authentification basée sur les revendications permet la transmission de la revendication de l’authentification d’un client entre deux services différents si ceux-ci satisfont à tous les critères suivants :
Il existe une relation d’approbation entre les services.
Les deux services doivent prendre en charge les revendications.
Pour plus d’informations sur l’authentification Kerberos, voir les ressources suivantes :
Fonctionnement du protocole d’authentification Kerberos version 5 (éventuellement en anglais) (https://go.microsoft.com/fwlink/?linkid=196644&clcid=0x40C) (éventuellement en anglais)
Microsoft Kerberos (https://go.microsoft.com/fwlink/?linkid=125740&clcid=0x40C) (éventuellement en anglais)
Authentification Kerberos et authentification basée sur les revendications
SharePoint Server 2010 prend en charge l’authentification basée sur les revendications. Celle-ci repose sur Windows Identity Foundation (WIF), ensemble de classes .NET Framework servant à implémenter l’identité basée sur les revendications. L’authentification basée sur les revendications repose sur des normes telles que WS-Federation et WS-Trust. Pour plus d’informations sur l’authentification basée sur les revendications, voir les ressources suivantes :
Identité basée sur les revendications pour Windows : Introduction à Active Directory Federation Services 2.0, Windows CardSpace 2.0 et Windows Identity Foundation (livre blanc) (https://go.microsoft.com/fwlink/?linkid=198942&clcid=0x40C) (éventuellement en anglais)
Page d’accueil de Windows Identity Foundation (https://go.microsoft.com/fwlink/?linkid=198943&clcid=0x40C) (éventuellement en anglais)
Présentation des revendications (https://go.microsoft.com/fwlink/?linkid=217399&clcid=0x40C) (éventuellement en anglais)
Identité basée sur des revendications SharePoint (https://go.microsoft.com/fwlink/?linkid=196647&clcid=0x40C)
Lorsque vous créez une application Web SharePoint Server 2010, vous pouvez sélectionner l’un des deux modes d’authentification : mode basé sur des revendications ou mode classique. Pour les nouvelles implémentations de SharePoint Server 2010, envisagez d’utiliser l’authentification basée sur les revendications. Si vous procédez ainsi, tous les types d’authentification pris en charge sont disponibles pour vos applications Web.
Les applications de service suivantes nécessitent la conversion des informations d’identification basées sur des revendications en informations d’identification Windows. Ce processus de conversion utilise le service d’émission de jetons Revendications vers Windows :
Excel Services
PerformancePoint Services
InfoPath Forms Services
Visio Services
Les applications de service qui requièrent le service d’émission de jetons Revendications vers Windows doivent utiliser la délégation Kerberos contrainte. En effet, le service d’émission de jetons Revendications vers Windows requiert la transition de protocole, que seule prend en charge la délégation Kerberos contrainte. Pour les applications de service répertoriées dans la liste précédente, le service d’émission de jetons Revendications vers Windows convertit les revendications dans la batterie de serveurs en informations d’identification Windows pour l’authentification sortante. Il est important de comprendre que ces applications de service ne peuvent tirer parti du service d’émission de jetons Revendications vers Windows que si la méthode d’authentification entrante utilise le mode basé sur des revendications ou le mode classique. Les applications de service qui sont accessibles par le biais d’applications Web et qui utilisent des revendications SAML ou des revendications d’authentification par formulaire ne recourent pas au service d’émission de jetons Revendications vers Windows, et, par conséquent, ne peuvent pas convertir les revendications en informations d’identification Windows.
Pour une aide complète sur la configuration de Kerberos selon neuf scénarios, dont le déploiement de base, trois solutions Microsoft SQL Server et des scénarios qui utilisent Excel Services, PowerPivot pour SharePoint, Visio Services, PerformancePoint Services et Business Connectivity Services, voir Configuration de l’authentification Kerberos pour les produits SharePoint 2010 (https://go.microsoft.com/fwlink/?linkid=197178&clcid=0x40C) (éventuellement en anglais).