Partager via

Autorisation de sécurité <authorization>

  • Article

Vue d’ensemble

L’élément <authorization> vous permet de configurer les comptes d’utilisateur qui peuvent accéder à votre site ou application. Utilisez l’autorisation en combinaison avec l’authentification pour sécuriser l’accès au contenu sur votre serveur. L’authentification confirme l’identité d’un utilisateur, tandis que l’autorisation détermine les ressources auxquelles les utilisateurs peuvent accéder ou non.

IIS définit deux types de règles d’autorisation, les règles d’autorisation et les règles de refus :

  • Les règles d’autorisation vous permettent de définir les comptes d’utilisateur ou les groupes d’utilisateurs qui peuvent accéder à un site, à une application ou à tous les sites d’un serveur.
  • Les règles de refus vous permettent de définir les comptes d’utilisateur ou les groupes d’utilisateurs qui ne peuvent pas accéder à un site, à une application ou à tous les sites d’un serveur.

Compatibilité

Version Notes
IIS 10.0 L’élément <authorization> n’a pas été modifié dans IIS 10.0.
IIS 8.5 L’élément <authorization> n’a pas été modifié dans IIS 8.5.
IIS 8.0 L’élément <authorization> n’a pas été modifié dans IIS 8.0.
IIS 7.5 L’élément <authorization> n’a pas été modifié dans IIS 7.5.
IIS 7.0 L’élément <authorization> a été introduit dans IIS 7.0.
IIS 6.0 La collection <authorization> remplace les propriétés métabase AzEnable, AzStoreName, AzScopeName et AzImpersonationLevel IIS 6.0.

Programme d’installation

Pour prendre en charge et configurer l’autorisation pour les sites et applications sur votre serveur web, vous devez installer le module d’autorisation d’URL. Pour cela, procédez comme suit.

Windows Server 2012 ou Windows Server 2012 R2

  1. Dans la barre des tâches, cliquez sur Gestionnaire de serveur. - Dans Gestionnaire de serveur, cliquez sur le menu Gérer, puis sur Ajouter des rôles et des fonctionnalités. - Dans l’Assistant Ajout de rôles et de fonctionnalités, cliquez sur Suivant. Sélectionnez le type d’installation, puis cliquez sur Suivant. Sélectionnez le serveur de destination, puis cliquez sur Suivant. - Dans la page Rôles serveur, développez Serveur web (IIS), Serveur web, Sécurité, puis sélectionnez Autorisation d’URL. Sélectionnez Suivant.
    Image of Web Server and Security pane expanded with U R L Authorization highlighted. . - Dans la page Sélectionner les fonctionnalités, cliquez sur Suivant. - Dans la page Confirmer les sélections d’installation, cliquez sur Installer. - Dans la page Résultats, cliquez sur Fermer.

Windows 8 ou Windows 8.1

  1. Dans l’écran Démarrer, déplacez le pointeur jusqu’au coin inférieur gauche, cliquez avec le bouton droit sur le bouton Démarrer, puis cliquez sur Panneau de configuration. - Dans Panneau de configuration, cliquez sur Programmes et fonctionnalités, puis sur Activer ou désactiver des fonctionnalités Windows. - Développez Internet Information Services, Services World Wide Web, Sécurité, puis sélectionnez Autorisation d’URL.
    Image of World Wide Web Services and Security pane expanded and U R L Authorization selected.- Cliquez sur OK.
  2. Cliquez sur Fermer.

Windows Server 2008 ou Windows Server 2008 R2

  1. Dans la barre des tâches, cliquez sur Démarrer, pointez sur Outils d’administration, puis cliquez sur Gestionnaire de serveur. - Dans le volet de hiérarchie du Gestionnaire de serveur, développez Rôles, puis cliquez sur Serveur web (IIS). - Dans le volet Serveur web (IIS), faites défiler jusqu’à la section Services de rôle, puis cliquez sur Ajouter des services de rôle. - Dans la page Sélectionner des services de rôle de l’Assistant Ajout de services de rôle, sélectionnez Autorisation d’URL, puis cliquez sur Suivant.
    Screenshot of Security pane expanded in Select Role Services page of the Add Role Services Wizard with U R L Authorization selected.- Dans la page Confirmer les sélections d’installation, cliquez sur Installer. - Dans la page Résultats, cliquez sur Fermer.

Windows Vista ou Windows 7

  1. Dans la barre des tâches, cliquez sur Démarrer, puis sur Panneau de configuration. - Dans Panneau de configuration, cliquez sur Programmes et fonctionnalités, puis sur Activer ou désactiver des fonctionnalités Windows. - Développez Internet Information Services, sélectionnez Autorisation d’URL, puis cliquez sur OK.
    Image of Internet Information Services pane expanded and U R L Authorization selected.

Procédure

Comment ajouter une règle d’autorisation

  1. Ouvrez le Gestionnaire Internet Information Services (IIS) :

    • Si vous utilisez Windows Server 2012 ou Windows Server 2012 R2 :

      • Dans la barre des tâches, cliquez sur Gestionnaire de serveur, sur Outils, puis sur Gestionnaire Internet Information Services (IIS).

    • Si vous utilisez Windows 8 ou Windows 8.1 :

      • Maintenez la touche Windows enfoncée, appuyez sur la lettre X, puis cliquez sur Panneau de configuration.
      • Cliquez sur Outils d’administration, puis double-cliquez sur Gestionnaire Internet Information Services (IIS).

    • Si vous utilisez Windows Server 2008 ou Windows Server 2008 R2 :

      • Dans la barre des tâches, cliquez sur Démarrer, pointez sur Outils d’administration, puis cliquez sur Gestionnaire Internet Information Services (IIS).

    • Si vous utilisez Windows Vista ou Windows 7 :

      • Dans la barre des tâches, cliquez sur Démarrer, puis sur Panneau de configuration.
      • Double-cliquez sur Outils d’administration, puis sur Gestionnaire Internet Information Services (IIS).

  2. Dans le volet Connexions, développez le nom du serveur, développez Sites, puis accédez au site ou à l’application sur lequel vous souhaitez configurer l’autorisation.

  3. Dans le volet Accueil, double-cliquez sur Règles d’autorisation.
    Image of Home pane with Authorization Rules highlighted.

  4. Pour ajouter une nouvelle règle d’autorisation, cliquez sur Ajouter une règle d’autorisation… ou Ajouter une règle de refus… dans le volet Actions.

  5. Appliquez les paramètres d’autorisation nécessaires pour votre site ou votre application, puis cliquez sur OK. Par exemple :

    • Exemple #1 : Ajout d’une règle d’autorisation pour tous les utilisateurs pour des verbes HTTP spécifiques :
      Image of Adding an Allow rule for all users for specific H T T P verbs dialog box showing verbs typed in the box for Apply this rule to specific verbs.

    • Exemple #2 : Ajout d’une règle de refus pour un utilisateur spécifique pour tous les verbes HTTP :
      Image of dialog box for Add Deny Authorization Rule for a specific user for all H T T P verbs.

      Remarque

      Pour modifier ou supprimer une règle existante, sélectionnez la règle dans le volet Règles d’autorisation, puis cliquez sur Modifier ou Supprimer dans le volet Actions. Si vous cliquez sur Modifier, une boîte de dialogue s’affiche et vous permet de modifier la règle. Cette boîte de dialogue est similaire aux boîtes de dialogue Ajouter une règle d’autorisation Autoriser et Ajouter une règle d’autorisation Refuser.

Configuration

Vous pouvez configurer l’élément <authorization> au niveau du serveur dans le fichier ApplicationHost.config, ou au niveau du site ou de l’application dans le fichier Web.config approprié.

Vous pouvez définir des règles d’autorisation par défaut pour l’ensemble du serveur en configurant des règles d’autorisation au niveau du serveur. Vous pouvez supprimer, effacer ou remplacer ces règles en configurant des règles plus spécifiques pour vos sites ou applications.

Attributs

Attribut Description
bypassLoginPages Attribut booléen facultatif.

Spécifie s’il faut ignorer la vérification d’autorisation pour la page spécifiée comme page de connexion pour l’authentification par formulaire. Cela permet aux utilisateurs non authentifiés d’accéder à la page de connexion pour ouvrir une session.

La valeur par défaut est true.

Éléments enfants

Élément Description
add Élément facultatif.

Ajoute une règle d’autorisation à la collection de règles d’autorisation.
remove Élément facultatif.

Supprime une référence à une règle d’autorisation de la collection de règles d’autorisation.
clear Élément facultatif.

Supprime toutes les références aux règles d’autorisation de la collection de règles d’autorisation.

Exemple Configuration

L’exemple de configuration suivant, lorsqu’il est inclus dans un fichier Web.config, supprime les paramètres d’autorisation IIS par défaut, ce qui permet à tous les utilisateurs d’accéder au contenu du site web ou de l’application. Il configure ensuite une règle d’autorisation qui permet uniquement aux utilisateurs disposant de privilèges d’administrateur d’accéder au contenu.

<configuration>
   <system.webServer>
      <security>
         <authorization>
            <remove users="*" roles="" verbs="" />
            <add accessType="Allow" users="" roles="Administrators" />
         </authorization>
      </security>
   </system.webServer>
</configuration>

Exemple de code

Les exemples suivants ajoutent une règle d’autorisation Autoriser qui permet aux utilisateurs du groupe Administrateurs d’accéder à un site web nommé Contoso.

AppCmd.exe

appcmd.exe set config "Contoso" -section:system.webServer/security/authorization /+"[accessType='Allow',roles='administrators']"

Remarque

Vous pouvez éventuellement définir le paramètre commit sur apphost quand vous utilisez AppCmd.exe pour configurer ces paramètres. Cela valide les paramètres de configuration dans la section d’emplacement appropriée dans le fichier ApplicationHost.config au lieu d’un fichier Web.config.

C#

using System;
using System.Text;
using Microsoft.Web.Administration;

internal static class Sample
{
   private static void Main()
   {
      using (ServerManager serverManager = new ServerManager())
      {
         Configuration config = serverManager.GetWebConfiguration("Contoso");
         ConfigurationSection authorizationSection = config.GetSection("system.webServer/security/authorization");
         ConfigurationElementCollection authorizationCollection = authorizationSection.GetCollection();

         ConfigurationElement addElement = authorizationCollection.CreateElement("add");
         addElement["accessType"] = @"Allow";
         addElement["roles"] = @"administrators";
         authorizationCollection.Add(addElement);

         serverManager.CommitChanges();
      }
   }
}

VB.NET

Imports System
Imports System.Text
Imports Microsoft.Web.Administration

Module Sample
   Sub Main()
      Dim serverManager As ServerManager = New ServerManager
      Dim config As Configuration = serverManager.GetWebConfiguration("Contoso")
      Dim authorizationSection As ConfigurationSection = config.GetSection("system.webServer/security/authorization")
      Dim authorizationCollection As ConfigurationElementCollection = authorizationSection.GetCollection
      Dim addElement As ConfigurationElement = authorizationCollection.CreateElement("add")
      addElement("accessType") = "Allow"
      addElement("roles") = "administrators"
      authorizationCollection.Add(addElement)
      serverManager.CommitChanges()
   End Sub
End Module

JavaScript

var adminManager = new ActiveXObject('Microsoft.ApplicationHost.WritableAdminManager');
adminManager.CommitPath = "MACHINE/WEBROOT/APPHOST/Contoso";
var authorizationSection = adminManager.GetAdminSection("system.webServer/security/authorization", "MACHINE/WEBROOT/APPHOST/Contoso");
var authorizationCollection = authorizationSection.Collection;

var addElement = authorizationCollection.CreateNewElement("add");
addElement.Properties.Item("accessType").Value = "Allow";
addElement.Properties.Item("roles").Value = "administrators";
authorizationCollection.AddElement(addElement);

adminManager.CommitChanges();

VBScript

Set adminManager = CreateObject("Microsoft.ApplicationHost.WritableAdminManager")
adminManager.CommitPath = "MACHINE/WEBROOT/APPHOST/Contoso"
Set authorizationSection = adminManager.GetAdminSection("system.webServer/security/authorization", "MACHINE/WEBROOT/APPHOST/Contoso")
Set authorizationCollection = authorizationSection.Collection

Set addElement = authorizationCollection.CreateNewElement("add")
addElement.Properties.Item("accessType").Value = "Allow"
addElement.Properties.Item("roles").Value = "administrators"
authorizationCollection.AddElement(addElement)

adminManager.CommitChanges()