SUPINFO International University

SUPINFO Institute of Information Technology
Laboratoire Microsoft
  Laboratoire Microsoft |  Blog  |  Forum |  FaqXP |  CertifExpress 




Tous les Articles du Laboratoire Microsoft

Solution de Business Intelligence avec SQL Server 2005
Accueil > Articles > Système
Auteurs 






Arnaud BERTHIER
LABORATOIRE SUPINFO DES TECHNOLOGIES MICROSOFT - MICROSOFT STUDENT PARTNERS
MCSE Windows 2003 Server - MCTS SQL Server 2005

 Tous les articles de cet auteur

2,7/5
Assez Bien


96483
1464/3985

Annexe 1 - Gestion de la sécurité du site de reporting

A1.1 Introduction

Dans le but de contrôler l’accès aux ressources du site internet de reporting, trois processus seront implémentés pour le contrôle et la gestion des droits :

  • Authentification à partir des autorisations NTFS (configurée à partir d'IIS)
  • Gestion des droits à partir du site Internet
  • Gestion de la sécurité des sources de données

Cette implémentation, qui sera intégralement basée sur Active Directory, va permettre de contrôler les utilisateurs avant l’accès au site, tout en leur permettant de ne voir que les rapports et dossiers les concernant.

Les étapes nécessaires à la mise en place de cette gestion des droits sont détaillées ci-dessous.

A1.2 Autorisation IIS/NTFS

Cette première partie a pour but de contrôler l’identité de l’utilisateur du site, identité qui permet par la suite de gérer les droits. Ce type d’authentification se base sur le système de fichiers NTFS qui permet de créer des droits d’accès sur des dossiers, droits qui définiront les accès au site internet.

La configuration se fait ainsi en deux étapes :

  • Configuration d'IIS pour la prise en charge du contrôle des droits.
  • Configuration des autorisations NTFS sur le dossier contenant le site Internet.

I) Configuration de IIS

Pour paramétrer ces autorisations, il faut se rendre dans les propriétés du site dans lequel est installé le reporting (par défaut : « Site Web par défaut »), puis à l’onglet "Sécurité du répertoire".

schema

Dans « Authentification et contrôle d’accès », décocher « Activer la connexion anonyme ».

schema

Quatre types d’authentification existent sous IIS :

  • Authentification Windows intégrée : récupération des informations d’ouverture de sessions pour l’identification sur le site (valable si chaque utilisateur consulte le site depuis un ordinateur appartenant au domaine et sur lequel il s’est identifié avec ses paramètres personnels lors de l’ouverture de session).
  • Authentification Digest pour les serveurs de domaine Windows : une boîte de dialogue apparaît demandant à l’utilisateur de saisir son login et mot de passe du domaine pour se connecter au site Internet. Par commodité, l’utilisateur peut enregistrer son nom d’utilisateur et mot de passe sous sa session pour permettre un accès rapide au site. Ce type d’authentification n’est possible que sur des serveurs de domaine Windows.
  • Authentification de base : ATTENTION : NE PAS UTILISER SAUF SI UTILISE CONJOINTEMENT AVEC SSL. En effet, il s’agit d’une authentification similaire à l’authentification DIGEST mais le mot de passe est transmis en clair sur le réseau (risque de capture de trame).
  • Authentification .NET Passport : Cette méthode requiert l’accès à Internet, il n’est donc pas envisageable de l’utiliser sur un Intranet.

L’utilisation de l’authentification DIGEST est recommandée, car, bien que nécessitant une boîte de dialogue supplémentaire, celle-ci permet une authentification fiable et sécurisée, sauf si l’utilisation du site se fait seulement depuis des postes clients du domaine Windows (pas d’accès depuis un extranet par exemple), auquel cas l’authentification Windows intégrée est en effet suffisante en terme de sécurité et est transparente pour l’utilisateur.

L’association des deux peut se révéler très intéressantes, dans la mesure où cela permettra une authentification transparente pour les utilisateurs déjà logués sur leur machine avec un compte disposant des autorisations d’accès au site, et cela laissera tout de même la possibilité d’utiliser un autre compte le cas échéant.

Il faut néanmoins noter que tout ordinateur laissé avec une session non verrouillée permettra à un utilisateur lambda d’accéder au site avec les droits du propriétaire de la machine (cela peut aussi être le cas si l’utilisateur enregistre son mot de passe avec l’authentification Digest).

Une fois le type d’authentification choisi, il ne reste plus qu’à configurer les autorisations NTFS du dossier du site.

NB : L’utilisation de SSL reste possible, notamment dans la perspective de la mise en place d’un accès depuis Internet, ou cela deviendra indispensable avec la mise en place d’une autorité de certification (sauf si l’accès se fait depuis un VPN L2TP/IP Sec).

II) Configuration des autorisations NTFS

La mise en place des autorisations NTFS peut se faire directement depuis le gestionnaire des services Internet (IIS).

schema

Pour configurer ces autorisations, il suffit de faire un clic droit sur le répertoire virtuel du serveur de rapport et de choisir autorisations.

On a ainsi accès à la fenêtre de configuration NTFS du répertoire contenant le site.

schema

Pour simplifier la gestion des droits, sachant qu’il ne s’agit que de contrôler l’accès au site, il peut être plus simple de créer, dans Active Directory, un groupe report contenant tous le personnel autorisé à accéder au site.

Ainsi, il suffira d’accorder au groupe l’autorisation de lecture sur le dossier. Par la suite, il suffira d’ajouter les utilisateurs ayant l’autorisation de se connecter au site au groupe report.

ATTENTION : Les objets systèmes « utilisateurs » et/ou « utilisateurs authentifiés » doivent être supprimés.

A1.3 Gestion des droits sur le site

Le site possède son propre système de gestion de l’accès aux ressources. Il s’agit d’un système très proche des autorisations NTFS et qui se base sur l’identité lors de l’authentification auprès du site, et donc des informations de l’Active Directory.

Pour chaque dossier et rapport, il est possible de configurer les autorisations d’accès. Par défaut, ils héritent des autorisations du dossier parent, mais il est néanmoins possible de rompre cet héritage, puis de le rétablir par la suite.

Pour configurer ces options de sécurité, il suffit de se rendre dans les propriétés du dossier et/ou du rapport puis dans la section sécurité.

Cinq options sont disponibles ensuite :

  • Browser : Autorise l’accès au dossier/rapport en lecture seule.
  • Content manager : Permet de gérer le contenu du serveur : ajout de dossier, ajout de rapport.
  • My Reports : Permet de créer et de gérer les dossiers/rapports dans un espace personnel (actuellement désactivé sur le serveur).
  • Publisher : Permet de publier des rapports et de créer des rapports liés accessibles à tous (contrairement à My Reports).
  • Report Builder : Permet d’avoir accès au générateur de rapport.
schema
schema

Ces autorisations, paramétrables pour chaque dossier et rapport permettent un contrôle précis des ressources.

Ainsi, dans l’exemple ci-dessous, on peut constater l’accès différent aux ressources pour un même dossier en fonction du compte utilisé lors de la connexion.

schema

Cet exemple porte sur des dossiers, il est possible d’obtenir le même résultat avec des rapports.

schema

NB : A noter la différence des droits qui est visible également au niveau de la barre d’outils.

schema

Par l’utilisation de ces deux processus d’authentification, il est possible, simplement et de façon très précise, de restreindre l’accès aux ressources et au site.

A1.4 Gestion de la sécurité des sources de données

Un dernier point concerne l’utilisation des sources de données. En effet, par défaut, la sécurité intégrée de Windows est sélectionnée.

Néanmoins, dans la mesure où cela peut permettre d’accéder aux données en empruntant l’identité d’un utilisateur sans que ce dernier soit au courant, il est conseillé de désactiver cette possibilité dans l’utilitaire de configuration de la surface d’exposition : Utilitaire de configuration de la surface d’exposition > l’utilitaire de configuration de la surface d’exposition pour les fonctionnalités > MSSQLSERVER > Reporting services > Sécurité intégrée de Windows > décocher « Activer la sécurité intégrée de Windows pour les connexions à la source de données de rapports ».

schema

Aussi, lors de la configuration des sources de données, il sera nécessaire de fournir un compte permettant la connexion à la base de données (compte ayant les droits nécessaires pour l’accès aux données).

Ce compte peut être différent pour chaque serveur de base de donnée afin d’accroître la sécurité, il devra disposer de droit limité à la consultation des données et l’option du compte active directory « le mot de passe n’expire jamais » devra être côchée.

schema

A1.5 Conclusion

La mise en place de la sécurité d’un site Internet de reporting doit se faire avec méthode, car la multiplicité des options peut, le cas échéant, entrainer l’oubli d’une option, oubli qui, lorsqu’il s’agit de sécurité, peut avoir de fâcheuse conséquence.

Néanmoins, une bonne gestion des droits lors de la mise en place va permettre par la suite un accès agréable et transparent pour l’utilisateur (dossier interdit non visible, authentification invisible car lié à l’ouverture de session,…).

Sommaire
Introduction
1. Business Intelligence et SQL Server 2005
2. Présentation du projet
2. Integration services
3. Analysis services
4. Reporting services
Annexe 1 - Gestion de la sécurité du site de reporting
Annexe 2 - Personnalisation du site de reporting
Conclusion



En Savoir Plus 
Evaluez cet article 


Pour afficher ou poster un commentaire, cliquez sur ce lien : Forum-Microsoft



Retrouvez ci-dessous les autres sections du Laboratoire Microsoft

Définitions

Accès direct aux définitions :
A B C D E F G H I J K L M N O P Q R S T U V W X Y Z

Effectuez une recherche dans les définitions :

Toutes les définitions Proposer une définition

Forum

Espace Windows XP

Espace Windows 2003

Espace Exchange

Espace ISA Server

Espace Sécurité

Espace Emploi

Tous les espaces