Planifier la sécurité pour Duet Enterprise

S’applique à : Duet Enterprise for Microsoft SharePoint and SAP

Dernière rubrique modifiée : 2016-11-29

Cet article explique comment planifier un déploiement et une utilisation sécurisés de Duet Enterprise for Microsoft SharePoint and SAP. Il présente l’architecture de sécurité de Duet Enterprise, décrit des stratégies de configuration de la sécurité pour des scénarios Duet Enterprise courants, comment configurer les autorisations dans Duet Enterprise en fonction des rôles SAP, comment aider à implémenter la sécurité pour divers éléments de l’environnement Duet Enterprise, ainsi que les différents rôles et comptes dont vous devez disposer pour gérer Duet Enterprise de manière sécurisée.

La sécurité Duet Enterprise dans SharePoint Server repose sur les fonctionnalités de sécurité de SharePoint Server 2010. En plus de cet article, nous vous recommandons de consulter le contenu qui décrit comment planifier et implémenter la sécurité SharePoint Server générale. Pour plus d’informations, voir le Centre de ressources de sécurité et d’authentification (éventuellement en anglais) (https://go.microsoft.com/fwlink/?linkid=196792&clcid=0x40C) (éventuellement en anglais). Une grande partie de la communication entre SharePoint Server et le système SAP, de même que l’authentification et l’autorisation Duet Enterprise, est implémentée à l’aide des Services Microsoft Business Connectivity. Par conséquent, nous vous recommandons également de consulter le contenu relatif aux Services Microsoft Business Connectivity. Pour plus d’informations sur la sécurité des Services Microsoft Business Connectivity et autres sujets connexes, voir le Centre de ressources des services Business Connectivity (éventuellement en anglais) (https://go.microsoft.com/fwlink/?linkid=190217&clcid=0x40C) (éventuellement en anglais).

Dans ce document :

• Architecture de sécurité de Duet Enterprise

• Configuration de la sécurité pour des scénarios d’authentification Duet Enterprise courants

• Utilisation de rôles SAP pour accorder à des utilisateurs des autorisations d’accès à des objets SharePoint

• Meilleures pratiques de sécurité recommandées pour SharePoint Server dans Duet Enterprise

Architecture de sécurité de Duet Enterprise

Dans Duet Enterprise, les processus et données métiers stockés dans le système SAP sont exposés dans des sites Web SharePoint Server 2010 et sur des clients Suites Microsoft Office 2010 tels que Microsoft Outlook et SharePoint Workspace. Cependant, les comptes d’utilisateurs utilisés pour accéder aux clients SharePoint Server 2010 et Suites Microsoft Office 2010 ne peuvent être utilisés pour accéder directement aux informations SAP. L’architecture de sécurité de Duet Enterprise résout ce problème en configurant le connecteur WCF (Windows Communications Foundation) des Services Microsoft Business Connectivity fourni avec SharePoint Server 2010. Ce connecteur WCF interagit avec le service d’émission de jeton de sécurité de SharePoint Server 2010 et avec SAP NetWeaver dans le système SAP. L’objectif de cette implémentation consiste à mapper des identités utilisateur dans SharePoint Server 2010 à des comptes d’utilisateurs dans le système SAP de sorte qu’un utilisateur qui se connecte au site Web SharePoint Server 2010 puisse avoir accès aux données externes stockées dans le système SAP sans avoir à se reconnecter à celui-ci.

Le graphique suivant présente une vue de haut niveau du fonctionnement de l’authentification dans Duet Enterprise. Il illustre les étapes qui se produisent lorsqu’un utilisateur SharePoint accède à des informations SAP à partir d’un site Duet Enterprise dans SharePoint Server.

1. L’identité de l’utilisateur SharePoint (un jeton associé à l’utilisateur lors de l’ouverture de session) est envoyée au connecteur WCF des Services Microsoft Business Connectivity.

2. Le connecteur envoie l’identité de l’utilisateur SharePoint au service d’émission de jeton de sécurité SharePoint.

3. Le service d’émission de jeton de sécurité SharePoint authentifie l’utilisateur et modifie le jeton de façon à identifier l’utilisateur SharePoint dans le système SAP. Ensuite, il renvoie le jeton au connecteur WCF.

4. Le jeton modifié est ensuite envoyé à SAP NetWeaver dans un paquet de demande SOAP.

5. Une relation d’approbation étant créée lors du déploiement entre SAP NetWeaver et le service d’émission de jeton de sécurité, SAP NetWeaver peut utiliser le jeton pour recherche le compte d’utilisateur SAP mappé à l’utilisateur identifié dans le jeton.

6. Le compte d’utilisateur SAP mappé à l’utilisateur identifié dans le jeton est renvoyé à SAP NetWeaver.

7. SAP NetWeaver utilise le compte d’utilisateur SAP pour demander l’accès aux informations contenues dans le système SAP et, si ce compte d’utilisateur est autorisé à accéder à ces informations, les informations demandées sont envoyées à SAP NetWeaver.

8. SAP NetWeaver envoie les informations demandées au connecteur WCF des Services Microsoft Business Connectivity sous la forme d’une réponse SOAP.

9. Le connecteur WCF des Services Microsoft Business Connectivity passe les informations à l’utilisateur SharePoint.

Les comptes d’utilisateurs dans le système SAP sont tout d’abord mappés aux comptes dans le système SharePoint par un administrateur SAP. Pour obtenir des informations détaillées sur cette procédure, voir le Guide de la sécurité SAP de Duet Enterprise.

Scénarios d’authentification Duet Enterprise courants

Cette section décrit les deux scénarios Duet Enterprise les plus courants et les configurations d’authentification recommandées pour chaque scénario. Les principaux facteurs qui différencient ces scénarios sont les suivants :

• implémentation d’une ou plusieurs solutions basées sur Duet Enterprise ;

• nécessité d’utiliser le protocole SSL (Secure Sockets Layer) pour chiffrer les canaux de communication.

Comme décrit dans la section précédente, la sécurité de Duet Enterprise englobe les rôles et les comptes dans le système SAP et dans le système SharePoint Server 2010. Cette architecture d’authentification intégrée est implémentée grâce à une utilisation combinée de l’authentification basée sur les revendications et de l’authentification Windows, et ces méthodes sont requises pour les deux scénarios décrits dans cette section.

Scénario : intranet d’entreprise utilisant un fournisseur d’authentification Microsoft Windows

Il s’agit du scénario d’authentification Duet Enterprise le plus courant. Par exemple, imaginons qu’une entreprise conserve les données relatives à ses employés (telles que feuilles de présence, fiches de salaire et informations sur les allocations) dans un système SAP distant. Tous les utilisateurs accèdent à ces données par le biais du portail intranet Duet Enterprise de l’entreprise. Tous les employés accèdent au portail à l’aide du même fournisseur des services AD DS.

Ce scénario pourrait être configuré de la manière suivante :

Scénario : deux solutions Duet Enterprise dans l’intranet

Au sein d’une grande entreprise, il est possible que deux groupes de travail partagent le même système SAP, par exemple pour interagir avec sa base de données d’informations sur les produits. Chaque groupe de travail interagirait avec les données par le biais de sa propre solution Duet Enterprise. Les informations du système SAP ne sont pas confidentielles dans cette entreprise. Par conséquent, en vue d’améliorer les performances des sites Duet Enterprise, le on n’utilise pas le protocole SSL dans ce scénario.

Ce scénario pourrait être configuré de la manière suivante :

Utilisation de rôles SAP pour accéder à des objets SharePoint

Dans l’entreprise, les tâches effectuées par un utilisateur sont généralement en rapport avec son rôle. Pour cette raison, le facteur déterminant dans la décision d’affecter ou non à un utilisateur un niveau d’autorisation sur un objet est le rôle proprement dit de cet utilisateur. Les rôles constituent par conséquent un moyen très utile d’assigner des autorisations à des objets tels que des éléments de listes, des sites Web et des documents.

Dans SAP NetWeaver, un ou plusieurs rôles, tels que Représentant commercial, Responsable de projet, Dirigeant et Spécialiste en ressources humaines, sont assignés aux utilisateurs. Les rôles SAP peuvent avoir une portée étendue, telle que Tous les responsables commerciaux, ou étroite, telle que Responsables commerciaux Région Est. Dans Duet Enterprise, il est possible d’utiliser ces SAP pour accéder à des objets dans SharePoint Server. Pour tout objet auquel des autorisations peuvent être appliquées dans SharePoint Server, il est possible d’assigner des autorisations à l’aide de rôles SAP. Cela comprend les objets directement en rapport avec Duet Enterprise, tels que les rapports, les listes externes et les actions sur des types de contenu externe, ainsi que tous les objets SharePoint Server généraux et sécurisables, tels que les sites Web ou les bibliothèques de documents. Dès qu’un rôle dispose de l’autorisation d’accès à un objet, tout utilisateur auquel ce rôle est assigné est autorisé à utiliser l’objet en question.

Les rôles ne peuvent être assignés aux utilisateurs que dans SAP NetWeaver. Duet Enterprise utilise la fonctionnalité Travail du minuteur Synchronisation des profils Duet Enterprise pour importer les affectations de rôles utilisateur du système SAP dans SharePoint Server et il utilise le fournisseur de revendications Duet Enterprise pour simplifier la gestion des autorisations basées sur les rôles sur les objets sécurisables dans SharePoint Server.

Lors de la synchronisation des rôles, l’ensemble d’utilisateurs SAP est importé dans le magasin de profils utilisateur SharePoint à l’aide des Services Microsoft Business Connectivity. Pour chaque utilisateur SAP, tous les rôles SAP assignés à cet utilisateur sont répertoriés dans le magasin de profils utilisateur. La synchronisation des rôles établit une connexion entre SharePoint Server et un système externe du côté SAP nommé « SAPUsersService ». Ce système externe envoie les mappages utilisateur-à-rôle au magasin de profils utilisateur SharePoint. La synchronisation des rôles est généralement effectuée en tant qu’étape post-déploiement à intervalles définis à l’aide du Travail du minuteur Synchronisation des profils Duet Enterprise. Vous pouvez spécifier la fréquence de synchronisation des rôles et le nombre d’utilisateurs à importer simultanément.

Une fois la synchronisation des rôles terminée, les utilisateurs peuvent assigner aux rôles SAP des autorisations sur un objet dans SharePoint Server. L’affectation des rôles aux objets s’effectue par le biais de la même interface de sélection de personnes que celle qui permet de sélectionner des groupes et des individus. Comme illustré sur le graphique, le fournisseur de revendications Duet Enterprise, à l’aide du Service Business Data Connectivity, communique avec le système SAP (1 et 2) afin de recueillir et répertorier tous les rôles SAP qu’un utilisateur peut sélectionner dans le Sélecteur de personnes (3). L’utilisateur peut ensuite assigner ces rôles à tout objet pour lequel des autorisations peuvent être définies (4).

Dès lors qu’un rôle SAP dispose d’autorisations d’accès à un objet tel qu’un élément de liste ou un document, un utilisateur peut être autorisé à utiliser cet objet en fonction de son rôle. Comme illustré sur le graphique, lorsque l’utilisateur se connecte pour la première fois à un site SharePoint (1), un jeton de revendications SAML lui est attribué (2), jeton auquel sont ajoutés les rôles SAP de l’utilisateur par le fournisseur de revendications Duet Enterprise (qui est en communication avec le magasin de profils utilisateur) (3 et 4). SharePoint Server peut ensuite accorder à l’utilisateur l’accès à l’objet si l’un des rôles détenus par l’utilisateur bénéficie d’une autorisation d’accès à l’objet (5 et 6).

Meilleures pratiques de sécurité recommandées pour SharePoint Server dans Duet Enterprise

Duet Enterprise est déployé sur des batteries SharePoint Server et sur des systèmes SAP NetWeaver. Cette section contient des instructions d’ordre général concernant la façon de configurer les services partagés, les applications Web, les clients enrichis, les canaux de communication et autres éléments d’une batterie SharePoint afin d’améliorer la sécurité dans Duet Enterprise.

Service d’émission de jeton de sécurité

Le service d’émission de jeton de sécurité authentifie les utilisateurs SharePoint et modifie leurs jetons afin de les identifier dans le système SAP (voir Architecture de sécurité de Duet Enterprise). Il ajoute également les rôles des utilisateurs aux jetons afin de prendre en charge l’autorisation basée sur les rôles(voir Utilisation de rôles SAP pour accorder à des utilisateurs des autorisations d’accès à des objets SharePoint).

Pour des raisons de performance, les jetons du service d’émission de jeton de sécurité sont mis en cache et le cache est vidé toutes les 24 heures. Si un jeton est effacé du cache, il est recréé par le service d’émission de jeton de sécurité en cas de besoin. Le cache du service d’émission de jeton de sécurité est vidé une seule fois par jour afin d’éviter que le service ne crée des jetons trop souvent, ce qui pourrait affecter les performances du système.

La mise en cache des jetons affecte la fréquence de mise à jour des informations sur les rôles dans les jetons, car ces informations ne sont ajoutées que lors de la création ou de la recréation du jeton. Par conséquent, il se peut que vous constatiez un délai allant jusqu’à 24 heures entre le moment où les rôles SAP d’un utilisateur changent dans le système SAP et celui où ces informations sont reflétées dans le jeton représentant l’utilisateur dans SharePoint Server. Durant ce délai, l’utilisateur risque de ne pas avoir accès à certains documents, sites ou données auxquels ses rôles devraient l’autoriser à accéder.

Il incombe aux administrateurs et architectes de solutions Duet Enterprise de déterminer le meilleur compromis entre les performances de Duet Enterprise et la mise à disposition de l’accès nécessaire aux objets grâce à la mise à jour permanente des mappages rôles-à-utilisateurs. En règle générale, nous déconseillons de modifier la période de mise en cache par défaut (24 heures). Informez vos utilisateurs du fait que la propagation au système SharePoint des modifications apportées aux rôles peut prendre jusqu’à deux jours. Néanmoins, si la mise à jour des informations sur les rôles revêt une importance élevée pour votre solution, vous pouvez configurer l’intervalle de mise en cache des rôles à l’aide de Windows PowerShell.

Service Banque d’informations sécurisé

Le service Banque d’informations sécurisé stocke de manière sécurisé les mappages des informations d’identification SharePoint aux informations d’identification requises par les systèmes externes. Dans Duet Enterprise, le service Banque d’informations sécurisé est utilisé uniquement lors du déploiement, lorsque les modèles des Services Microsoft Business Connectivity représentant des objets SAP sont importés dans SharePoint Server à l’aide de l’utilitaire DuetConfig.exe.

Avant d’importer les modèles BDC, un administrateur du service Banque d’informations sécurisé doit initialiser le service en générant une clé de chiffrement. Pour plus d’informations sur la façon de générer la clé de chiffrement, voir la section « Génération d’une nouvelle clé de chiffrement » de l’article Configurer le service Banque d’informations sécurisé (SharePoint Server 2010) (https://go.microsoft.com/fwlink/?linkid=205440&clcid=0x40C).

Service Connexion de données métiers

Dans Duet Enterprise, les Services Microsoft Business Connectivity fournissent une passerelle pour les communications entre Microsoft SharePoint Server et l’environnement SAP. Cela permet aux utilisateurs de se connecter et d’interagir avec des objets SAP tels que des contacts de ventes, des tâches et des clients. Les objets sont modélisés dans le magasin de métadonnées des Services Microsoft Business Connectivity et les autorisations dans les Services Microsoft Business Connectivity associent des comptes, comptes de groupes ou revendications spécifiques avec un ou plusieurs niveaux d’autorisations sur un objet dans le magasin de métadonnées. Pour plus d’informations sur la façon dont des autorisations peuvent être définies sur des modèles, systèmes externes, types de contenu externe, méthodes et instances de méthodes dans le magasin de métadonnées, voir Vue d’ensemble de la sécurité de Business Connectivity Services (SharePoint Server 2010) (https://go.microsoft.com/fwlink/?linkid=205679&clcid=0x40C).

Comme décrit dans Utilisation de rôles SAP pour accorder à des utilisateurs des autorisations d’accès à des objets SharePoint, Duet Enterprise procure une fonctionnalité d’autorisations supplémentaire. Les rôles SAP peuvent être utilisés pour accorder des autorisations d’accès à des objets dans SharePoint Server et tout objet auquel des autorisations peuvent être appliquées dans SharePoint Server peut être sécurisé à l’aide de rôles SAP.

Vous pouvez utiliser les rôles SAP pour aider à implémenter la sécurité pour les objets SAP modélisés dans les Services Microsoft Business Connectivity. Ce faisant, vous aidez à ce que les utilisateurs qui ne disposent pas des rôles nécessaires ne puissent pas accéder à des objets qui ne sont pas en rapport avec leurs responsabilités. Par exemple, tous les types de contenu externe qui définissent des clients peuvent être configurés de façon à être accessibles et exploitables uniquement par le rôle SAP_SALES_REP.

Service Profil utilisateur

Les utilisateurs Duet Enterprise et leurs rôles sont synchronisés avec le système SAP et stockés dans le magasin de profils du service Profil utilisateur d’SharePoint Server. Le processus de synchronisation des mappages utilisateurs-à-rôles entre Duet Enterprise et le système SAP est initié dans l’utilitaire DuetConfig. Avant d’exécuter DuetConfig pour démarrer cette tâche, des autorisations de contrôle total sur le service Profil utilisateur doivent être accordées à l’administrateur de batterie exécutant DuetConfig.

Dans certains déploiements Duet Enterprise, un service Profil utilisateur centralisé dans une batterie SharePoint assure la synchronisation des rôles pour plusieurs autres batteries SharePoint qui hébergent des solutions Duet Enterprise. Dans ces configurations « fédérées », il existe un service d’émission de jeton de sécurité dans chaque batterie qui utilise le service Profil utilisateur centralisé. Pour que la synchronisation des rôles fonctionne depuis une batterie qui utilise un service Profil utilisateur centralisé, des autorisations de lecture sur ce service doivent être accordées au compte de pool d’applications du service d’émission de jeton de sécurité de la batterie en question.

Applications clientes Office

L’authentification Duet Enterprise à partir d’applications clientes Office nécessite une interaction avec le service d’émission de jeton de sécurité exécuté dans SharePoint Server. Une communication entre les applications clientes Office et SharePoint Server est par conséquent nécessaire, même en cas de connexion au système SAP externe à partir d’applications clientes Office. Duet Enterprise utilisant l’authentification Windows, les communications entre les applications clientes Office et SharePoint Server peuvent être implémentées de manière sécurisée à l’aide d’adresses http://. Elles ne requièrent pas d’adresses https://.

Pour prendre en charge les fonctionnalités hors connexion d’SharePoint Server, des communications entre les applications clientes Office et le système SAP sont également nécessaires. (Ces connexions sont définies dans les modèles qui fournissent l’accès aux données externes disponibles dans le système SAP.) Afin d’aider à sécuriser l’accès au système SAP, les communications entre les clients Office et le système SAP doivent être implémentées à l’aide du protocole SSL (Secure Sockets Layer) et d’adresses https://.

Routage de rapports

La fonctionnalité de création de rapports de Duet Enterprise combine des fonctionnalités de génération de rapports SAP à des fonctionnalités de gestion de documents SharePoint Server. Elle permet aux utilisateurs finaux de demander des rapports SAP à partir d’un site SharePoint Server. Ces rapports sont générés sur le système SAP et acheminés et stockés correctement dans des bibliothèques de documents SharePoint Server de sorte que les utilisateurs autorisés puissent les visualiser. Une solution basée sur Duet Enterprise peut intégrer la création de rapports dans autant de sites qu’il est nécessaire. Tous les rapports pour les sites dans une application Web particulière sont acheminés vers les bibliothèques correctes dans cette application Web par le service Web OBAFileReceiver, qui est connecté à cette application Web lorsque celle-ci est configurée pour la création de rapports.

Comme décrit dans Configurer la création de rapports (https://go.microsoft.com/fwlink/?linkid=205681&clcid=0x40C), vous devez configurer toute application Web hébergeant des rapports en l’étendant à une zone supplémentaire dans laquelle le service peut s’exécuter de manière sécurisée. Cette zone doit présenter les caractéristiques suivantes :

• elle doit utiliser le protocole SSL (Secure Sockets Layer) ;

• elle doit utiliser l’authentification basée sur les revendications ;

• elle doit utiliser l’authentification Windows et l’authentification de base ;

• elle doit être liée à un certificat approuvé par le système SAP.

Autorisations basées sur les rôles

Comme décrit dans Utilisation de rôles SAP pour accéder à des objets SharePoint, Duet Enterprise utilise le fournisseur de revendications Duet Enterprise pour simplifier la gestion des autorisations basées sur les rôles sur les objets sécurisables dans SharePoint Server. Afin d’optimiser les performances du fournisseur de revendications Duet Enterprise, nous vous recommandons d’effectuer les opérations suivantes :

1. Configurez le fournisseur de revendications Duet Enterprise de sorte qu’il ne soit pas utilisé par défaut. Dans ce cas, les applications Web non associées à Duet Enterprise n’interrogeront pas le fournisseur de revendications Duet Enterprise. Pour configurer le fournisseur de revendications de sorte qu’il ne soit pas utilisé par défaut, utilisez le script Windows PowerShell suivant :

   $myClaimPrMgr = Get-SPClaimProviderManager
   $TCP = $myClaimPrMgr.GetClaimProvider("DuetEnterpriseClaimsProvider")
   $TCP.IsUsedByDefault = False
   $myClaimPrMgr.Update()
   

2. Associez le fournisseur de revendications Duet Enterprise à chaque application Web qui fait partie de votre solution Duet Enterprise. Pour cela, utilisez le script Windows PowerShell suivant pour chaque application Web qui fait partie de votre solution :

   $web = Get-SPWebApplication "http://WebApplication"
   $iis = $web.GetIisSettingsWithFallback([Microsoft.SharePoint.Administration.SPUrlZone]::Default)
   $iis.ClaimsProviders.Add("DuetEnterpriseClaimsProvider")
   $web.Update()
   

   Dans l’exemple de script ci-dessus, remplacez « http://WebApplication » par l’URL de l’application Web.

   Pour supprimer l’association d’une application Web avec le fournisseur de revendications Duet Enterprise, utilisez le script suivant :

   $web = Get-SPWebApplication "http://Webapplication"
   $iis = $web.GetIisSettingsWithFallback([Microsoft.SharePoint.Administration.SPUrlZone]::Default)
   $iis.ClaimsProviders.Remove("DuetEnterpriseClaimsProvider")
   $web.Update()
   

   Dans l’exemple de script ci-dessus, remplacez « http://Webapplication » par l’URL de l’application Web.