Evolution de la sécurité de SharePoint

Pour commencer, voyons de plus près les fonctions de sécurité des produits et technologies SharePoint 2003 de Microsoft. Tout produit sûr se doit de contrôler l’accès à des matériels sécurisés : identité numérique et mots de passe, essentiellement. Comme SharePoint 2003 compte sur l’AD pour assurer la validation du compte utilisateur, les stratégies de mots de passe de n’importe quel site SharePoint sont, en grande partie, les stratégies de mots de passe du réseau AD sous-jacent. Comme le souligne le Microsoft SharePoint Products and Technologies Resource Kit, les stratégies de mots de passe doivent tenir compte de multiples recommandations, particulièrement quand on songe à ajouter des technologies SharePoint à un réseau. Parmi ces recommandations, on retiendra : mots de passe de longueur minimale, mots de passe complexes, limite du nombre de tentatives de mots de passe consécutives, défense de partager des mots de passe, et usage de cartes intelligente ou de biométrie.

Compter sur l’AD, qu’est-ce que cela signifie exactement en termes d’authentification des utilisateurs (c’est-à-dire vérifier qu’ils sont bien qui ils prétendent être) ? SharePoint 2003 offre deux modes de fonctionnement : mode compte préexistant et mode création de compte. Dans le mode compte préexistant (aussi appelé mode domaine), un compte AD doit exister avant qu’un utilisateur puisse accéder à un site SharePoint. Dans le mode création de compte (sélectionné pendant l’installation de SharePoint), un compte AD peut être créé automatiquement chaque fois que vous ajoutez un nouvel utilisateur SharePoint. En cas de doute sur le mode en vigueur, l’outil ligne de commande Stsadm.exe inclus vous éclairera.

Dans l’un ou l’autre cas, l’existence de ce compte AD fournit l’authentification nécessaire pour accéder à Share- Point. SharePoint valide l’existence de l’utilisateur dans l’AD soit par NTLM, soit par les protocoles Kerberos. Pour accorder l’autorisation, le système compare le compte authentifié à une liste d’informations de contrôle d’accès pour le site SharePoint lui-même. Ces listes d’autorisation sont stockées dans des bases de données de contenu de Microsoft SQL Server et sont modifiées à partir de SharePoint. Vous pouvez organiser ces listes ou groupes au niveau utilisateur, en groupes au niveau du site, ou en groupes au niveau multisite. (J’ai indiqué que SharePoint s’appuie sur l’AD pour fournir la validation de compte, mais ce n’est pas totalement vrai. On peut aussi utiliser des comptes Windows locaux. Cependant, si vous n’utilisez pas l’AD, vous perdez la possibilité de prépeupler la base de données de profils SharePoint. Et si certains utilisateurs ont des sites personnels, ils ne seront pas enregistrés pour la synchronisation des fermes dans un environnement de fermes de serveurs. En raison de la sévérité de ces restrictions, les environnements AD sont fortement recommandés.)