Planifier le service Banque d’informations sécurisé dans SharePoint Server
S’APPLIQUE À :2013 2016 2019 Édition d’abonnement SharePoint dans Microsoft 365
Le service Banque d’informations sécurisé est un service d’autorisation prenant en charge les revendications qui inclut une base de données chiffrée pour le stockage des informations d’identification.
À propos du service Banque d’informations sécurisé
Le service Banque d’informations sécurisé est un service d’autorisation qui s’exécute sur SharePoint Server. Le service Banque d’informations sécurisé fournit une base de données utilisée pour stocker les informations d’identification. Ces informations d’identification se composent généralement d’une identité d’utilisateur et d’un mot de passe, mais peuvent également contenir d’autres champs que vous définissez. Par exemple, SharePoint Server peut utiliser la base de données Banque d’informations sécurisée pour stocker et récupérer des informations d’identification pour l’accès à des sources de données externes. Le service Banque d’informations sécurisé prend en charge le stockage de plusieurs ensembles d’informations d’identification pour plusieurs systèmes principaux.
Les scénarios d’utilisation du service Banque d’informations sécurisé sont les suivants :
Excel Online dans Office Online Server peut utiliser le service Banque d'informations sécurisé pour autoriser des utilisateurs à accéder aux sources de données externes dans les classeurs publiés dans SharePoint Server 2016. Ce mode d'autorisation remplace la méthode consistant à transmettre les informations d'identification d'un utilisateur à la source de données, ce qui nécessite souvent de configurer une délégation Kerberos contrainte.
Excel Services dans SharePoint Server 2013 peut utiliser le service Banque d'informations sécurisé pour autoriser des utilisateurs à accéder aux sources de données externes dans les classeurs publiés. Ce mode d'autorisation remplace la méthode consistant à transmettre les informations d'identification d'un utilisateur à la source de données, ce qui nécessite souvent de configurer une délégation Kerberos. Par ailleurs, Excel Services doit utiliser le service Banque d'informations sécurisé lorsque vous voulez configurer un compte de service automatisé pour l'authentification des données.
Visio Services peut utiliser le service Banque d'informations sécurisé pour autoriser des utilisateurs à accéder aux sources de données externes dans les diagrammes liés aux données qui sont publiés. Ce mode d'autorisation remplace la méthode consistant à transmettre les informations d'identification d'un utilisateur à la source de données, ce qui nécessite souvent de configurer une délégation Kerberos contrainte. Par ailleurs, Visio Services doit utiliser le service Banque d'informations sécurisé lorsque vous voulez configurer un compte de service automatisé pour l'authentification des données.
PerformancePoint Services peut utiliser le service Banque d'informations sécurisé pour autoriser des utilisateurs à accéder aux sources de données externes. Par ailleurs, PerformancePoint Services doit utiliser le service Banque d'informations sécurisé lorsque vous voulez configurer un compte de service automatisé pour l'authentification des données.
PowerPivot doit utiliser le service Banque d'informations sécurisé pour l'actualisation planifiée des classeurs PowerPivot.
Services Microsoft Business Connectivity peut utiliser le service Banque d'informations sécurisé pour mapper les informations d'identification d'un utilisateur à un jeu d'informations d'identification associé à un système externe. Vous pouvez soit mapper les informations d'identification de chaque utilisateur à un compte unique sur le système externe, soit mapper un jeu d'utilisateurs authentifiés à un compte de groupe unique. Business Connectivity Services peut également utiliser le magasin sécurisé pour stocker des certificats permettant d’accéder à une source de données locale à partir de SharePoint dans Microsoft 365.
SharePoint Runtime peut utiliser le service Banque d'informations sécurisé pour stocker les informations d'identification requises pour communiquer avec les services Azure, dans le cas où des applications utilisateur nécessitent SharePoint Runtime pour mettre en service et utiliser des services Azure.
Préparation du service Banque d’informations sécurisé
Lorsque vous vous préparez à déployer le service Banque d’informations sécurisé, gardez à l’esprit les instructions importantes suivantes :
Avant de générer une nouvelle clé de chiffrement, sauvegardez la base de données banque d’informations sécurisée. Vous devez également sauvegarder la base de données banque d’informations sécurisée après sa création initiale, puis à chaque fois que les informations d’identification sont rechiffrées. Lorsqu’une nouvelle clé est générée, les informations d’identification peuvent être rechiffrées avec la nouvelle clé. Si l’actualisation de la clé échoue ou si la phrase secrète est oubliée, les informations d’identification ne seront pas utilisables.
Sauvegardez la clé de chiffrement après avoir initialement configuré la Banque d'informations sécurisée, puis sauvegardez de nouveau la clé chaque fois qu'elle est régénérée.
Ne stockez pas le support de sauvegarde de la clé de chiffrement au même endroit que le support de sauvegarde de la base de données de la banque d'informations sécurisée. Si un utilisateur obtient une copie à la fois de la base de données et de la clé, les informations d'identification stockées dans la base de données risquent d'être compromises.
Étant donné que la Banque d'informations sécurisée est utilisée pour stocker des informations sensibles, il est préférable d'observer les recommandations suivantes à des fins de sécurité :
Exécutez le service Banque d’informations sécurisé dans un pool d’applications distinct qui n’est utilisé pour aucun autre service.
Créez la base de données de la Banque d'informations sécurisée sur un serveur distinct exécutant SQL Server. N'utilisez pas la même instance SQL Server que celle qui contient les bases de données de contenu.
Applications cibles dans la banque d’informations sécurisée
Une application cible est une collection d'informations qui mappe un ou plusieurs utilisateurs à un jeu d'informations d'identification chiffrées dans la base de données de la banque d'informations sécurisée. Vous devez définir les informations suivantes dans les applications cibles :
s’il s’agit d’un mappage individuel ou de groupe ;
Champs à stocker dans la base de données banque d’informations sécurisée. (La valeur par défaut est Nom d’utilisateur Windows et Mot de passe Windows, mais des types de champs supplémentaires peuvent être sélectionnés, en fonction de l’application.)
les utilisateurs autorisés à administrer l’application cible ;
le nom de l’utilisateur ou du groupe à mapper aux informations d’identification.
Chaque application cible est associée à un ID d'application unique de votre choix, qui sert à la référencer dans des applications externes, telles qu'Excel Online ou SharePoint Designer.
Mappages des informations d’identification du service Banque d’informations sécurisé
Le service Banque d’informations sécurisé prend en charge les mappages de groupe et individuels. Dans un mappage de groupe, chaque utilisateur qui est membre d'un groupe de domaines spécifique est mappé au même jeu d'informations d'identification. Dans un mappage individuel, chaque utilisateur est mappé à un jeu unique d'informations d'identification. Les mappages individuels sont utiles si vous avez besoin de journaliser des informations sur les accès individuels des utilisateurs aux ressources partagées. Pour les mappages de groupe, une couche de sécurité mappe les informations d'identification pour plusieurs utilisateurs d'un domaine à un seul jeu d'informations d'identification stockées dans la base de données de la banque d'informations sécurisée. Les mappages de groupe sont plus faciles à gérer que les mappages individuels, tout en contribuant à l’amélioration des performances.
Service Banque d’informations sécurisé et authentification basée sur les revendications
Le service Banque d’informations sécurisé prend en charge les revendications. Il accepte les jetons de sécurité et les déchiffre pour obtenir l'ID d'application, puis il effectue une recherche. Lorsqu'un service d'émission de jeton de sécurité de SharePoint Server émet un jeton de sécurité en réponse à une demande d'authentification, le service Banque d'informations sécurisé déchiffre le jeton et lit la valeur de l'ID d'application. Le service Banque d'informations sécurisé utilise l'ID d'application pour récupérer les informations d'identification de la base de données de la banque d'informations sécurisée. Ces informations d'identification sont ensuite utilisées pour autoriser l'accès aux ressources.
Voir aussi
Autres ressources
Configurer le service Banque d’informations sécurisé dans SharePoint Server