Sécurité et fédération (Search Server 2008)
Mise à jour : 2008-10-09
Cet article décrit les meilleures pratiques en matière de sécurité pour l'utilisation de la fonction Fédération de Microsoft Search Server 2008. Il est destiné aux professionnels de l'informatique ainsi qu'aux architectes système et aux administrateurs de services de recherches.
Vue d'ensemble de la fonction Fédération de recherche
La recherche fédérée permet aux utilisateurs finaux de créer une requête capable d'interroger un ou plusieurs moteurs de recherche compatibles avec Open-search 1.1 et d'afficher les résultats de chaque moteur de recherche dans un composant WebPart distinct d'une page de résultats de recherche unique. Ces sources peuvent être des référentiels de contenu d’entreprise, d’autres moteurs de recherche ou des parties de votre index de contenu de recherche. Pour plus d'informations sur la fonction Fédération de recherche, consultez Vue d'ensemble de la recherche fédérée (https://go.microsoft.com/fwlink/?linkid=122651&clcid=0x40C) et Utilisation de la fédération (Search Server 2008).
Types d'authentification
Plusieurs types d'authentification utilisateur, d'informations d'identification courantes et par utilisateur, sont disponibles pour la recherche fédérée. Toutefois, il est important de noter que la collecte d'informations d'identification requiert une extension WebPart pour les types d'authentification non-Kerberos dans l'authentification par utilisateur. Dans la section Authentification et Informations d'identification de la définition d'emplacement, vous spécifiez le type d'authentification pour l'emplacement fédéré. Le type d'authentification peut être l'un des suivants :
Anonyme
Aucune information d'identification n'est requise pour se connecter à l'emplacement fédéré.
Commun
Chaque connexion utilise le même ensemble d'informations d'identification pour se connecter à l'emplacement fédéré.
Par utilisateur
Les informations d'identification de l'utilisateur qui a envoyé la requête de recherche sont utilisées pour se connecter à l'emplacement fédéré.
Pour les types d'authentification commun et par utilisateur, vous devez également spécifier l'un des protocoles d'authentification suivants :
De base
L'authentification de base fait partie de la spécification HTTP et est prise en charge par la plupart des navigateurs.
SécuritéRemarque : Les navigateurs Web qui utilisent l'authentification de base transmettent les mots de passe sous une forme non chiffrée. En surveillant les communications sur votre réseau, un utilisateur malveillant peut utiliser des outils publics pour intercepter ces mots de passe et les décoder. L'authentification de base n'est donc pas recommandée, sauf si vous êtes certain que la connexion est sécurisée, en cas de ligne dédiée ou de connexion SSL (Secure Sockets Layer).
Digest
L'authentification Digest repose sur le protocole HTTP 1.1, comme défini par la spécification RFC 2617 sur le site Web de W3C (World Wide Web Consortium). Étant donné que l'authentification Digest requiert la conformité HTTP 1.1, certains navigateurs ne la prennent pas en charge. Si un navigateur qui n'est pas conforme avec le protocole HTTP 1.1 demande un fichier lorsque l'authentification Digest est activée, cette demande est rejetée car l'authentification Digest n'est pas prise en charge par le client. L'authentification Digest peut être utilisée uniquement dans les domaines Windows. Elle fonctionne uniquement avec les comptes de domaine Microsoft Windows Server 2008, Microsoft Windows Server 2003 et Microsoft Windows 2000, et peut exiger que les comptes stockent les mots de passe sous forme de texte brut chiffré.
NTLM
Les enregistrements des utilisateurs sont stockés dans la base de données du Gestionnaire de comptes de sécurité (SAM, Security Accounts Manager) ou dans la base de données Active Directory. Chaque compte d'utilisateur est associé à deux mots de passe : le mot de passe compatible LAN Manager et le mot de passe Windows. Chaque mot de passe est chiffré et stocké dans la base de données SAM ou dans la base de données Active Directory.
Kerberos (type d'authentification par utilisateur uniquement)
À l'aide du protocole Kerberos, une partie à une extrémité d'une connexion réseau peut vérifier que la partie à l'autre extrémité est l'entité qu'il prétend être. Bien que NTLM permette aux serveurs de vérifier les identités de leurs clients, NTLM ne permet pas aux clients de vérifier l'identité d'un serveur, pas plus que d'activer un serveur afin de vérifier l'identité d'un autre. L'authentification NTLM est conçue pour un environnement réseau dans lequel les serveurs sont supposés être approuvés.
Formulaires
Un cookie d'authentification par formulaire n'est rien d'autre que le conteneur d'un ticket d'authentification par formulaire. Chaque demande passe le ticket en tant que valeur du cookie d'authentification par formulaire et est utilisée par l'authentification par formulaire, sur le serveur, pour identifier un utilisateur authentifié. Toutefois, l'authentification par formulaire sans cookie passe le ticket dans l'URL sous une forme chiffrée. L'authentification par formulaire sans cookie est utilisée, car les navigateurs clients peuvent bloquer les cookies. Cette fonctionnalité est présente dans Microsoft .NET Framework 2.0.
Ajustement de la sécurité dans la recherche fédérée
Un point important à prendre en compte lors de l'utilisation de la recherche fédérée est l'ajustement de la sécurité des résultats de recherche. L'ajustement de la sécurité est la méthode selon laquelle les résultats renvoyés sont filtrés en fonction des autorisations des comptes d'utilisateurs. Par défaut, l'ajustement de la sécurité des résultats de recherche persiste pour les résultats retournés par :
la batterie locale de serveurs
Dans les scénarios où l'emplacement fédéré est un emplacement OpenSearch et où l'emplacement est configuré en vue de l'authentification par utilisateur, les informations d'identification d'un utilisateur sont automatiquement transmises si l'authentification Kerberos est utilisée. Toutefois, les informations d’identification utilisateur ne sont pas transmises automatiquement dans le cas des protocoles d’authentification autres que Kerberos. Pour veiller à ce que la sécurité des résultats soient ajustée pour l'utilisateur actuel de ces scénarios, étendez le composant WebPart des résultats fédérés de sorte à collecter les informations d'identification de l'utilisateur. Pour plus d'informations, voir Création d'un composant WebPart de recherche fédérée personnalisé avec une interface utilisateur d'informations d'identification (article en anglais) (https://go.microsoft.com/fwlink/?linkid=122653&clcid=0x40C).
Si l’authentification Kerberos n’est pas utilisée, vous devez également étendre les composants WebPart de recherche fédérée de sorte à collecter les informations d’identification des utilisateurs, si vous souhaitez que la sécurité des résultats de recherche pour les emplacements OpenSearch (tous les emplacements distants autres que la batterie de serveurs locale) soit ajustée pour chaque utilisateur.
Pour plus d'informations sur la sécurité pour Search Server 2008, consultez Sécurité et protection pour Search Server 2008 et Considérations relatives à la sécurité pour la recherche (Search Server 2008).