1 / 35

La sécurité dans Sharepoint

La sécurité dans Sharepoint. Stéphane Palluet Senior Consultant stephapa@microsoft.com Microsoft France. Agenda. L’authentification dans SharePoint Gérer les permissions Configurer une ferme de serveurs de façon sécurisée. Environnement de sécurité. Environment de sécurité.

marin
Download Presentation

La sécurité dans Sharepoint

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. La sécurité dans Sharepoint Stéphane Palluet Senior Consultant stephapa@microsoft.com Microsoft France

  2. Agenda • L’authentification dans SharePoint • Gérer les permissions • Configurer une ferme de serveurs de façon sécurisée

  3. Environnement de sécurité Environment de sécurité Hébergement IT Equipe interne Equipe externe Anonyme

  4. Authentificationutilisateur • Authentification utilisateur • Valider le compte utilisateur • Gérer la sécurité par des utilisateurs/groupes • Pas de listes de distribution • Authentification • Internet Information Services • Anonyme, Basic, Windows intégré, Kerberos, Certificats • Authentification par formulaire • Authentification « Web Single Sign-on » (ADFS)

  5. Authentification Windows Challenge pour les entreprises Comptes Windows Authentification remise à plat Base de données SQL Server

  6. ASP.NET • LDAP • Active Directory • SQL Server En standard Active Direc. Authentification ASP.Net • Authentification enfichable • Positionnée au niveau d’une zone dans une appli. Web • Identité indépendante de l’OS • Fournisseurs d’authentification et de rôles • Domaine unique • Plus limité à l’authentification sur Active Directory • Formulaires ASP.NET

  7. Processus ASP.Net Module d’Authent. Redirection client Fournisseur d’appartenance Identité utilisateur Utilisateurs / Groupes Gestionnaire de rôles Groupes/Rôles Invitations SharePoint Bases de contenu Autorisation

  8. Machine.config Web.config Administration centrale Fichiers .config

  9. Exemple de Web.config <membership> <providers> <addname=“VotreMembershipProvider“connectionStringName=“VotreChaineDeConnexion" …/> </providers> </membership> <roleManager> <providers> <addname=“VotreRoleProvider“connectionStringName=“VotreChaineDeConnexion“ … /> </providers> </roleManager> <connectionStrings> <addname=“VotreChaineDeConnexion" connectionString="data source=127.0.0.1;Integrated Security=SSPI;InitialCatalog=aspnetdb" /> </connectionStrings>

  10. Limites de l’authentification ASP.Net • Navigateurs clients • Accessible uniquement avec des navigateurs Web • Crawler de recherche limité à une authentification Windows • Fonctionnement dégradé depuis Office • Une authentification • Un type d’authentification par application Web • Pas d’authentification Windows et Formulaire pour le même domaine • Une paire de fournisseurs par domaine • Comptes «formulaire» • Correspondent à des utilisateurs différents • Remplacent les comptes Windows

  11. Démonstration Authentification par formulaire sur une base de données SQL Demo

  12. Agenda • Authentification Sharepoint • Gérer les permissions • Configurer une ferme de serveurs

  13. Groupes SharePoint Propriétaires Accès total Visiteurs Accès en lecture seule Membres Listes et bibliothèques

  14. Niveaux d’autorisation Autorisations • Contrôle total • Concevoir • Contribuer • Lire

  15. Finesse des autorisations • Lecture/Ecriture vs. Lecture seule • Accessible dans les dossiers des listes • Accessible au niveau d’un document dans une liste ou une bibliothèque • Nouveaux objets à sécuriser Finesse des autorisations • Interface d’administration disponible • Accès consistant aux autorisations • Héritage des permissions Interface utilisateur

  16. Architecture d’administration • Administration trois-tiers • En mode Web • En fonction des rôles et des tâches • Délégation contrôlée • Isolation • Administration centrale • Authentification • Politiques de sécurité • Configuration de la ferme • Services partagés • Autorisations des services • Configuration des services • MOSS uniquement Admins centraux • Paramètres de site • Autorisation d’accès au contenu Admins de contenu partagé Admins de contenu

  17. Administrateurs Administrateurs de la Collection de sites Dévérrouiller des documents Corbeille de deuxième niveau Permissions non supprimables

  18. Administrateurs Administrateurs de la Collection de sites Administrateurs centraux Plus d’accès complet par défaut Dévérrouiller des documents S’auto accorder l’accès Corbeille de deuxième niveau Stocké dans le journal d’évènements Permissions non supprimables

  19. Démonstration • Utilisation des groupes et des autorisations • Créer un groupe • Ajouter un utilisateur à un groupe • Créer un niveau d’autorisation Demo

  20. Parcourir les informations utilisateurs Création et gestion des alertes Afficher les pages des application Approuver des éléments Enumérer les autorisations Utiliser les interfaces distantes Afficher ou supprimer des versions Ouvrir les éléments Fonctionnalités d’intégration des clients Nouvelles autorisations

  21. Limitations de l’accèsanonyme • Utilisateurs ne disposant pas de comptes sur le serveur • Activé dans IIS / désactivé dans SharePoint • Activer ou désactiver l’accès anonyme • Contrôle au niveau Liste • Accès en lecture seule à une bibliothèque Accès anonyme • Autorisations réduites • Accès en lecture seule • Pas d’accès aux interfaces distantes • Pas de contrôle au niveau dossier ou élément • Limitations en « dur » Limitations

  22. Services partagés Services partagés Complètement restructurés et remis à plat Nouveau modèle de fournisseur de services Inclut tous les services

  23. Services partagés Services partagés Complètement restructurés et remis à plat Nouveau modèle de fournisseur de services Inclut tous les services Utilisation Permissions du Catalogue de données métiers Emplacements approuvés de fichiers Excel Visibilité des propriétés de profil utilisateur

  24. Démonstration • Positionner des permissions sur un élément • Ajouter un utilisateur à une liste • Ajouter un groupe à un dossier

  25. Stratégie de sécurité /Configuration • Accorder/enlever des autorisations au niveau de la zone dans une application Web • Permissions “Refuser tout” • Scenarios “Refuser l’écriture”, « Lecture totale » Stratégie de Sécurité • Types de fichiers bloqués, Masque de droits • Liste de contrôles sûrs • « Code Access Security », recherche de virus Nouvelles configurations • Stockage et utilisation des comptes et mots de passe pour accéder à des applications métier Office Server Single sign-on

  26. Agenda • Authentification Sharepoint • Gérer les permissions • Configurer une ferme de serveurs

  27. Configuration d’une ferme Web Plus de restrictions sur les topologies! Les servers ont des rôles: Frontal WEB (WFE) Serveur d’Application Serveur de bases de données Possibilité de créer une ferme de n’importe quelle taille pour chaque rôle! Bonnes pratiques: 1 serveur d’index Pas plus de 8 WFEs pour un serveur SQL

  28. Topologie de sécurité Topologie Serveurs Topologie réseau Système d’exploitation Architecture logique

  29. SSL IPSec Canaux Communication sécurisée Impact sur les performances Sécurisation des communications

  30. Durcissement de la sécurité Specific roles Listes d’instantanés Conception de la sécurité Communication serveur à serveur Approche méthodique

  31. Quelques bonnes pratiques de configuration • Comptes uniques • Administration centrale • Processus des services partagés • Compte service Web des services partagés • Pool d’applications de contenu • Kerberos activé (NTLM par défaut) • Chaque compte de processus doit être un SPN enregistré • Mode par défaut dans SQL 2005 pour les processus non système • SSL activé (désactivé par défaut) • À activer pour les sites d’administration et la communication serveur à serveur • Avertissement envoyer sur les pages de login si SSL est désactivé • Service SPAdmin • Dans une configuration à un seul serveur : Désactivé • Dans une ferme : Activé

  32. Résumé • Authentification enfichable • Windows : Kerberos, Windows intégré, Basic • Formulaires ASP.Net et Web SSO (ADFS) • Gestion des permissions • Possible au niveau site, liste, dossier et élément • Services partagés • Stratégies de l’administration centrale et configuration • Configuration d’une ferme Web • Topologie de sécurité • Sécurisation des communications

  33. Références • Sharepoint sur Technet • Authentification Kerberos • Modèles de fournisseurs d’appartenance et de rôles

  34. La référence technique pour les développeurs : msdn.microsoft.com La référence technique pour les IT Pros : technet.microsoft.com Abonnement TechNet Plus : Versions d’éval + 2 incidents support Visual Studio 2005 + Abonnement MSDN Premium • S’informer - Un portail d’informations, des événements, une newsletter bimensuelle personnalisée • Se former - Des webcasts, des articles techniques, des téléchargements, des forums pour échanger avec vos pairs • Bénéficier de services - Des cursus de formations et de certifications, des offres de support technique

  35. Votre potentiel, notre passion TM © 2007 Microsoft France

More Related