Evolution de la sécurité de SharePoint

Microsoft SharePoint Services 2003 a évolué pour devenir Microsoft Office SharePoint Server 2007, avec un ensemble d’outils de sécurité bien plus complet et plus riche. Alors que SharePoint 2003 s’appuyait sur la sécurité par logon épaulée par Active Directory (AD), la sécurité du portail et la sécurité au niveau liste, SharePoint 2007 améliore le dispositif de sécurité existant et y ajoute des fonctions d’audit, des stratégies de stockage et des produits de collaboration sûrs, comme Excel Services.Voyons donc comment la sécurité de SharePoint a évolué, comment chaque version aborde l’authentification et l’autorisation, et comment en définitive Share- Point 2007 profitera à votre organisation.

Pour commencer, voyons de plus près les fonctions de sécurité des produits et technologies SharePoint 2003 de Microsoft. Tout produit sûr se doit de contrôler l’accès à des matériels sécurisés : identité numérique et mots de passe, essentiellement. Comme SharePoint 2003 compte sur l’AD pour assurer la validation du compte utilisateur, les stratégies de mots de passe de n’importe quel site SharePoint sont, en grande partie, les stratégies de mots de passe du réseau AD sous-jacent. Comme le souligne le Microsoft SharePoint Products and Technologies Resource Kit, les stratégies de mots de passe doivent tenir compte de multiples recommandations, particulièrement quand on songe à ajouter des technologies SharePoint à un réseau. Parmi ces recommandations, on retiendra : mots de passe de longueur minimale, mots de passe complexes, limite du nombre de tentatives de mots de passe consécutives, défense de partager des mots de passe, et usage de cartes intelligente ou de biométrie.

Compter sur l’AD, qu’est-ce que cela signifie exactement en termes d’authentification des utilisateurs (c’est-à-dire vérifier qu’ils sont bien qui ils prétendent être) ? SharePoint 2003 offre deux modes de fonctionnement : mode compte préexistant et mode création de compte. Dans le mode compte préexistant (aussi appelé mode domaine), un compte AD doit exister avant qu’un utilisateur puisse accéder à un site SharePoint. Dans le mode création de compte (sélectionné pendant l’installation de SharePoint), un compte AD peut être créé automatiquement chaque fois que vous ajoutez un nouvel utilisateur SharePoint. En cas de doute sur le mode en vigueur, l’outil ligne de commande Stsadm.exe inclus vous éclairera.

Dans l’un ou l’autre cas, l’existence de ce compte AD fournit l’authentification nécessaire pour accéder à Share- Point. SharePoint valide l’existence de l’utilisateur dans l’AD soit par NTLM, soit par les protocoles Kerberos. Pour accorder l’autorisation, le système compare le compte authentifié à une liste d’informations de contrôle d’accès pour le site SharePoint lui-même. Ces listes d’autorisation sont stockées dans des bases de données de contenu de Microsoft SQL Server et sont modifiées à partir de SharePoint. Vous pouvez organiser ces listes ou groupes au niveau utilisateur, en groupes au niveau du site, ou en groupes au niveau multisite. (J’ai indiqué que SharePoint s’appuie sur l’AD pour fournir la validation de compte, mais ce n’est pas totalement vrai. On peut aussi utiliser des comptes Windows locaux. Cependant, si vous n’utilisez pas l’AD, vous perdez la possibilité de prépeupler la base de données de profils SharePoint. Et si certains utilisateurs ont des sites personnels, ils ne seront pas enregistrés pour la synchronisation des fermes dans un environnement de fermes de serveurs. En raison de la sévérité de ces restrictions, les environnements AD sont fortement recommandés.)