Concepts de Team Foundation Server
Pour déployer et gérer Visual Studio Team Foundation Server efficacement, vous devez comprendre comment il fonctionne et communique avec d'autres composants de Team Foundation. En tant qu'administrateur de Team Foundation Server, vous devez être familiarisé avec l'authentification Windows, les protocoles et le trafic réseau, et la structure du réseau d'entreprise sur lequel Team Foundation Server est installé. Vous devez également comprendre les groupes et les autorisations dans Team Foundation Server. En relation avec la gestion de Team Foundation Server, la connaissance SQL Server, SQL Server Reporting Services et Produits SharePoint peut également être utile.
Compréhension des des composants et des termes
Vous pourrez mieux planifier, déployer et gérer Team Foundation Server si vous comprenez les composants et les termes suivants :
Couche Application, couche Données et couche Client : couches logiques qui composent Team Foundation Server. Ces couches peuvent être toutes déployées sur le même ordinateur physique, ou installées sur plusieurs ordinateurs. Pour plus d'informations, consultez Architecture de Team Foundation Server.
Collection de projets d'équipe : unité d'organisation principale pour toutes les données dans Team Foundation Server. Les collections peuvent inclure un ou plusieurs projets d'équipe. Pour plus d'informations, consultez gérer les collections de projets d'équipe..
Projet d'équipe : point central permettant à votre équipe de partager les activités d'équipe requises pour développer une technologie ou un produit logiciels spécifiques. Les projets d'équipe sont organisés en collections de projets. Pour plus d'informations, consultez Suivre un travail avec Visual Studio ALM et TFS.
Console Administration Team Foundation Server : outil de gestion centralisée permettant aux administrateurs TFS de configurer et gérer des ressources. Pour plus d'informations, consultez Configurer et gérer des ressources TFS.
Comptes de service : comptes qu'utilisent les services et applications web dans Team Foundation. Team Foundation Server requiert des comptes de service pour effectuer des opérations sur les serveurs et les services web. Ces comptes de service ont des exigences spécifiques. Pour plus d'informations, consultez Comptes de service et dépendances dans Team Foundation Server.
Produits SharePoint : logiciels qui prennent en charge les portails de projet d'équipe et tableaux de bord. Vous pouvez inclure une ou plusieurs applications web SharePoint dans le cadre du déploiement de Team Foundation Server. Pour inclure l'une de ces applications, vous devez installer et configurer des extensions Team Foundation Server pour Produits SharePoint, et configurer des autorisations dans le déploiement. Pour plus d'informations, consultez Partager des informations à l'aide du portail de projet.
SQL Server et SQL Server Reporting Services : logiciels qui fournissent une plate-forme de base de données pour l'entreposage de données, et une plateforme d'aide à la décision pour les solutions d'intégration, d'analyse et de création de rapports de données. TFS stocke ses données dans des bases de données SQL Server. Vous pouvez aussi inclure un serveur qui exécute SQL Server Reporting Services et génère automatiquement des rapports pour les projets d'équipe. Pour plus d'informations, consultez Gestion des rapports, de l'entrepôt de données et du cube Analysis Services de TSF.
Compréhension de la sécurité Team Foundation Server
Pour optimiser la sécurité de Team Foundation Server, vous devez comprendre les concepts suivants :
Topologie : détermine où et comment les serveurs qui exécutent des composants de Team Foundation sont déployés, le trafic réseau qui circule entre Team Foundation Server et les clients de Team Foundation, et les services qui doivent s'exécuter sur Team Foundation Server.
Authentification : détermine la validité des utilisateurs, groupes et services dans Team Foundation Server.
Autorisation : détermine si des utilisateurs, groupes et services valides dans Team Foundation Server disposent des autorisations appropriées pour effectuer des actions spécifiques.
Vous devez également envisager les autres composants et services dont Team Foundation Server dépend.
En ce qui concerne la sécurité de Team Foundation Server, vous devez comprendre la différence entre l'authentification et l'autorisation. L'authentification consiste à vérifier les informations d'identification d'une tentative de connexion d'un client, d'un serveur ou d'un processus. L'autorisation consiste à vérifier que l'identité qui essaie de se connecter dispose des autorisations nécessaires pour accéder à l'objet ou à la méthode. L'autorisation intervient uniquement après que l'authentification a réussi. Si une connexion n'est pas authentifiée, elle échoue avant même la vérification de l'autorisation. Si l'authentification d'une connexion réussit, une action spécifique peut encore être rejetée parce que l'utilisateur ou le groupe n'est pas autorisé à l'effectuer.
Topologies, ports et services
La première étape de déploiement et de sécurité pour Team Foundation Server consiste à vérifier si les composants de votre déploiement peuvent s'interconnecter pour communiquer. Votre objectif est de permettre les connexions entre les clients de Team Foundation et Team Foundation Server, et de limiter ou d'empêcher d'autres tentatives de connexion.
Pour pouvoir fonctionner, Team Foundation Server dépend de certains ports et services. Vous pouvez sécuriser et surveiller ces ports afin de répondre aux besoins de sécurité d'entreprise. Vous devez permettre que le trafic réseau pour Team Foundation Server circule entre les clients de Team Foundation, les serveurs qui hébergent les composants logiques des couches Application et Données pour Team Foundation, les ordinateurs pour Team Foundation Build, et les clients distants qui utilisent Team Foundation Server Proxy. Par défaut, Team Foundation Server est configuré pour utiliser le protocole HTTP pour ses services web. Pour obtenir la liste complète des ports et services que Team Foundation Server utilise, et comprendre la manière dont il les utilise au sein de son architecture, consultez Architecture de Team Foundation Server.
Vous pouvez déployer Team Foundation Server dans un domaine Active Directory ou dans un groupe de travail. Active Directory offre davantage de fonctionnalités de sécurité intégrées que les groupes de travail. Vous pouvez utiliser les fonctionnalités Active Directory pour sécuriser votre déploiement de Team Foundation Server. Par exemple, vous pouvez configurer Active Directory pour empêcher la duplication des noms d'ordinateur afin qu'un utilisateur malveillant ne puisse pas usurper le nom d'ordinateur avec un serveur non autorisé exécutant Team Foundation Server. Pour atténuer le même genre de menace dans un groupe de travail, vous devez configurer des certificats d'ordinateur.
Que vous déployiez Team Foundation Server dans un groupe de travail ou un domaine, vous devez respecter certaines contraintes imposées par Team Foundation Server. Pour plus d'informations sur les topologies pour Team Foundation Server, consultez Exemples de topologie simple, Exemples de topologie modérée, Exemples de topologie complexe, Understanding Windows SharePoint Services et Fonctionnement de SQL Server et de SQL Server Reporting Services.
Authentification
La sécurité de Team Foundation Server repose sur l'authentification intégrée de Windows et sur les fonctionnalités de sécurité du système d'exploitation Windows. Vous pouvez utiliser l'authentification intégrée de Windows afin d'authentifier les comptes pour les connexions entre les clients de Team Foundation et TFS, pour les services web sur les serveurs qui hébergent les couches logiques Application et Données, ainsi que pour les connexions entre les serveurs des couches Application et Données.
Notes
Vous pouvez configurer TFS pour qu'il prenne en charge Kerberos pour l'authentification mutuelle du client et du serveur après l'installation de TFS.
Vous ne devez pas configurer de connexions de base de données SQL Server entre Team Foundation Server et Produits SharePoint pour utiliser l'authentification SQL Server, car elle n'est pas aussi sécurisée que l'authentification. Lors de la connexion à la base de données, le nom d'utilisateur et le mot de passe du compte Administrateur de la base de données sont envoyés dans un format non chiffré. L'authentification intégrée de Windows n'envoie pas le nom d'utilisateur et le mot de passe. Au lieu de cela, elle utilise ses protocoles de sécurité pour transférer les informations d'identité de compte de service associées au pool d'applications des services Internet (IIS) hôte vers SQL Server.
Autorisation
L'autorisation Team Foundation Server est basée sur les utilisateurs et les groupes dans Team Foundation, sur les autorisations qui sont directement assignées à ces utilisateurs et à ces groupes, et sur les autorisations dont peuvent hériter ces utilisateurs et groupes en appartenant à d'autres groupes dans Team Foundation Server. Dans Team Foundation, les utilisateurs et les groupes peuvent être locaux ou Active Directory, voire les deux à la fois.
Team Foundation Server est préconfiguré avec des groupes par défaut aux niveaux du serveur, de la collection et du projet. Vous pouvez remplir ces groupes en ajoutant des utilisateurs. Toutefois, la gestion peut être plus facile si vous remplissez ces groupes en utilisant les groupes de sécurité Active Directory. En adoptant cette approche, vous pouvez gérer plus efficacement l'appartenance au groupe et les autorisations sur plusieurs ordinateurs ou applications, telles que Produits SharePoint et SQL Server.
Votre déploiement spécifique peut nécessiter que vous configuriez les utilisateurs, les groupes et les autorisations sur plusieurs ordinateurs et au sein de plusieurs applications. Par exemple, vous devez configurer les autorisations pour les utilisateurs et les groupes dans Reporting Services, Produits SharePoint et Team Foundation Server si vous voulez inclure des rapports et des portails de projets dans votre déploiement. Dans Team Foundation Server, vous pouvez définir des autorisations pour chaque projet, pour chaque collection et à travers un déploiement (au niveau du serveur). En outre, certaines autorisations sont accordées par défaut à tout utilisateur ou groupe que vous ajoutez à Team Foundation Server, car ceux-ci sont automatiquement ajoutés à Team Foundation Valid Users. Pour plus d'informations, consultez Gérer des utilisateurs ou des groupes dans TFS.
Outre la configuration des autorisations dans Team Foundation Server, vous pouvez avoir besoin d'une autorisation relative au contrôle de version et aux éléments de travail. Vous gérez ces autorisations séparément à partir d'une invite de commandes, mais elles sont intégrées à l'interface de Team Explorer.
Voir aussi
Tâches
Ajouter des produits SharePoint à votre déploiement
Concepts
Architecture de Team Foundation Server
Architecture de Team Foundation Server
Gérer des utilisateurs ou des groupes dans TFS
Autres ressources
SharePoint Products and Technologies and Team Foundation Server