350 likes | 442 Views
La sécurité dans Sharepoint. Stéphane Palluet Senior Consultant stephapa@microsoft.com Microsoft France. Agenda. L’authentification dans SharePoint Gérer les permissions Configurer une ferme de serveurs de façon sécurisée. Environnement de sécurité. Environment de sécurité.
E N D
La sécurité dans Sharepoint Stéphane Palluet Senior Consultant stephapa@microsoft.com Microsoft France
Agenda • L’authentification dans SharePoint • Gérer les permissions • Configurer une ferme de serveurs de façon sécurisée
Environnement de sécurité Environment de sécurité Hébergement IT Equipe interne Equipe externe Anonyme
Authentificationutilisateur • Authentification utilisateur • Valider le compte utilisateur • Gérer la sécurité par des utilisateurs/groupes • Pas de listes de distribution • Authentification • Internet Information Services • Anonyme, Basic, Windows intégré, Kerberos, Certificats • Authentification par formulaire • Authentification « Web Single Sign-on » (ADFS)
Authentification Windows Challenge pour les entreprises Comptes Windows Authentification remise à plat Base de données SQL Server
ASP.NET • LDAP • Active Directory • SQL Server En standard Active Direc. Authentification ASP.Net • Authentification enfichable • Positionnée au niveau d’une zone dans une appli. Web • Identité indépendante de l’OS • Fournisseurs d’authentification et de rôles • Domaine unique • Plus limité à l’authentification sur Active Directory • Formulaires ASP.NET
Processus ASP.Net Module d’Authent. Redirection client Fournisseur d’appartenance Identité utilisateur Utilisateurs / Groupes Gestionnaire de rôles Groupes/Rôles Invitations SharePoint Bases de contenu Autorisation
Machine.config Web.config Administration centrale Fichiers .config
Exemple de Web.config <membership> <providers> <addname=“VotreMembershipProvider“connectionStringName=“VotreChaineDeConnexion" …/> </providers> </membership> <roleManager> <providers> <addname=“VotreRoleProvider“connectionStringName=“VotreChaineDeConnexion“ … /> </providers> </roleManager> <connectionStrings> <addname=“VotreChaineDeConnexion" connectionString="data source=127.0.0.1;Integrated Security=SSPI;InitialCatalog=aspnetdb" /> </connectionStrings>
Limites de l’authentification ASP.Net • Navigateurs clients • Accessible uniquement avec des navigateurs Web • Crawler de recherche limité à une authentification Windows • Fonctionnement dégradé depuis Office • Une authentification • Un type d’authentification par application Web • Pas d’authentification Windows et Formulaire pour le même domaine • Une paire de fournisseurs par domaine • Comptes «formulaire» • Correspondent à des utilisateurs différents • Remplacent les comptes Windows
Démonstration Authentification par formulaire sur une base de données SQL Demo
Agenda • Authentification Sharepoint • Gérer les permissions • Configurer une ferme de serveurs
Groupes SharePoint Propriétaires Accès total Visiteurs Accès en lecture seule Membres Listes et bibliothèques
Niveaux d’autorisation Autorisations • Contrôle total • Concevoir • Contribuer • Lire
Finesse des autorisations • Lecture/Ecriture vs. Lecture seule • Accessible dans les dossiers des listes • Accessible au niveau d’un document dans une liste ou une bibliothèque • Nouveaux objets à sécuriser Finesse des autorisations • Interface d’administration disponible • Accès consistant aux autorisations • Héritage des permissions Interface utilisateur
Architecture d’administration • Administration trois-tiers • En mode Web • En fonction des rôles et des tâches • Délégation contrôlée • Isolation • Administration centrale • Authentification • Politiques de sécurité • Configuration de la ferme • Services partagés • Autorisations des services • Configuration des services • MOSS uniquement Admins centraux • Paramètres de site • Autorisation d’accès au contenu Admins de contenu partagé Admins de contenu
Administrateurs Administrateurs de la Collection de sites Dévérrouiller des documents Corbeille de deuxième niveau Permissions non supprimables
Administrateurs Administrateurs de la Collection de sites Administrateurs centraux Plus d’accès complet par défaut Dévérrouiller des documents S’auto accorder l’accès Corbeille de deuxième niveau Stocké dans le journal d’évènements Permissions non supprimables
Démonstration • Utilisation des groupes et des autorisations • Créer un groupe • Ajouter un utilisateur à un groupe • Créer un niveau d’autorisation Demo
Parcourir les informations utilisateurs Création et gestion des alertes Afficher les pages des application Approuver des éléments Enumérer les autorisations Utiliser les interfaces distantes Afficher ou supprimer des versions Ouvrir les éléments Fonctionnalités d’intégration des clients Nouvelles autorisations
Limitations de l’accèsanonyme • Utilisateurs ne disposant pas de comptes sur le serveur • Activé dans IIS / désactivé dans SharePoint • Activer ou désactiver l’accès anonyme • Contrôle au niveau Liste • Accès en lecture seule à une bibliothèque Accès anonyme • Autorisations réduites • Accès en lecture seule • Pas d’accès aux interfaces distantes • Pas de contrôle au niveau dossier ou élément • Limitations en « dur » Limitations
Services partagés Services partagés Complètement restructurés et remis à plat Nouveau modèle de fournisseur de services Inclut tous les services
Services partagés Services partagés Complètement restructurés et remis à plat Nouveau modèle de fournisseur de services Inclut tous les services Utilisation Permissions du Catalogue de données métiers Emplacements approuvés de fichiers Excel Visibilité des propriétés de profil utilisateur
Démonstration • Positionner des permissions sur un élément • Ajouter un utilisateur à une liste • Ajouter un groupe à un dossier
Stratégie de sécurité /Configuration • Accorder/enlever des autorisations au niveau de la zone dans une application Web • Permissions “Refuser tout” • Scenarios “Refuser l’écriture”, « Lecture totale » Stratégie de Sécurité • Types de fichiers bloqués, Masque de droits • Liste de contrôles sûrs • « Code Access Security », recherche de virus Nouvelles configurations • Stockage et utilisation des comptes et mots de passe pour accéder à des applications métier Office Server Single sign-on
Agenda • Authentification Sharepoint • Gérer les permissions • Configurer une ferme de serveurs
Configuration d’une ferme Web Plus de restrictions sur les topologies! Les servers ont des rôles: Frontal WEB (WFE) Serveur d’Application Serveur de bases de données Possibilité de créer une ferme de n’importe quelle taille pour chaque rôle! Bonnes pratiques: 1 serveur d’index Pas plus de 8 WFEs pour un serveur SQL
Topologie de sécurité Topologie Serveurs Topologie réseau Système d’exploitation Architecture logique
SSL IPSec Canaux Communication sécurisée Impact sur les performances Sécurisation des communications
Durcissement de la sécurité Specific roles Listes d’instantanés Conception de la sécurité Communication serveur à serveur Approche méthodique
Quelques bonnes pratiques de configuration • Comptes uniques • Administration centrale • Processus des services partagés • Compte service Web des services partagés • Pool d’applications de contenu • Kerberos activé (NTLM par défaut) • Chaque compte de processus doit être un SPN enregistré • Mode par défaut dans SQL 2005 pour les processus non système • SSL activé (désactivé par défaut) • À activer pour les sites d’administration et la communication serveur à serveur • Avertissement envoyer sur les pages de login si SSL est désactivé • Service SPAdmin • Dans une configuration à un seul serveur : Désactivé • Dans une ferme : Activé
Résumé • Authentification enfichable • Windows : Kerberos, Windows intégré, Basic • Formulaires ASP.Net et Web SSO (ADFS) • Gestion des permissions • Possible au niveau site, liste, dossier et élément • Services partagés • Stratégies de l’administration centrale et configuration • Configuration d’une ferme Web • Topologie de sécurité • Sécurisation des communications
Références • Sharepoint sur Technet • Authentification Kerberos • Modèles de fournisseurs d’appartenance et de rôles
La référence technique pour les développeurs : msdn.microsoft.com La référence technique pour les IT Pros : technet.microsoft.com Abonnement TechNet Plus : Versions d’éval + 2 incidents support Visual Studio 2005 + Abonnement MSDN Premium • S’informer - Un portail d’informations, des événements, une newsletter bimensuelle personnalisée • Se former - Des webcasts, des articles techniques, des téléchargements, des forums pour échanger avec vos pairs • Bénéficier de services - Des cursus de formations et de certifications, des offres de support technique
Votre potentiel, notre passion TM © 2007 Microsoft France