Team Foundation Server, authentification et accès
Vous pouvez configurer votre déploiement pour contribuer à sécuriser les connexions entre vos utilisateurs et votre déploiement de Visual Studio 2010. Visual Studio Team Foundation Server peut prendre en charge l'authentification de base, l'authentification Digest et les certificats. Par conséquent, vous pouvez configurer votre déploiement de Team Foundation Server pour qu'il utilise le protocole S-HTTP avec le protocole SSL et l'authentification de base ou Digest. Si vous adoptez cette stratégie, vos utilisateurs bénéficient d'une connexion plus sécurisée à votre déploiement sans devoir utiliser de connexion de réseau privé virtuel (VPN).
Configurations
Pour prendre en charge des connexions externes plus sécurisées vers votre déploiement de Team Foundation Server, vous devez configurer les services IIS (Internet Information Services) pour activer l'authentification de base, l'authentification Digest ou les deux. Vous devez également configurer toutes les connexions externes pour qu'elles exigent des certificats.
Authentification de base et authentification Digest
L'authentification de base fait partie de la spécification HTTP 1.0 et utilise les comptes d'utilisateur Windows. Pendant l'authentification de base, le navigateur invite l'utilisateur à entrer un nom d'utilisateur et un mot de passe, puis transmet ces informations via le protocole HTTP à l'aide de l'encodage Base64. Par défaut, l'authentification de base nécessite que le compte d'utilisateur Windows dispose des droits d'ouverture de session locale au niveau du serveur Web. Vous pouvez utiliser l'authentification de base dans les déploiements de groupes de travail et de domaines. La plupart des serveurs Web, des serveurs proxy et des navigateurs Web prennent en charge l'authentification de base, mais cette dernière n'est pas sécurisée. Étant donné que les données encodées avec Base64 sont faciles à décoder, l'authentification de base envoie en quelque sorte le mot de passe sous forme de texte en clair. Un utilisateur malveillant qui surveille des communications sur le réseau peut facilement intercepter et déchiffrer ces mots de passe en utilisant des outils disponibles publiquement. Pour améliorer la sécurité, vous devez envisager d'utiliser le protocole S-HTTP avec SSL.
L'authentification Digest est un mécanisme de stimulation/réponse qui envoie sur le réseau un condensé (également appelé hachage) plutôt qu'un mot de passe. Au cours de l'authentification Digest, IIS envoie une stimulation au client pour créer un condensé, puis l'envoie au serveur. En réponse à la stimulation, le client envoie un condensé basé sur le mot de passe de l'utilisateur avec des données qui sont connues à la fois du client et du serveur. Le serveur utilise le même processus que le client pour créer son propre condensé, les informations concernant l'utilisateur étant obtenues à partir d'Active Directory. IIS authentifie le client uniquement si le condensé créé par le serveur correspond au condensé créé par le client. Vous pouvez seulement utiliser l'authentification Digest dans les déploiements Active Directory. En soi, l'authentification Digest constitue une petite amélioration par rapport à l'authentification de base. Un utilisateur malveillant pourrait enregistrer la communication entre le client et le serveur, puis utiliser ces informations pour relire la transaction. L'authentification Digest a également des dépendances vis-à-vis du protocole HTTP 1.1, qui n'est pas pris en charge par tous les navigateurs Web. De plus, les tentatives d'accès à Team Foundation Server échoueront si vous ne configurez pas correctement l'authentification Digest. Choisissez l'authentification Digest uniquement si votre déploiement répond à toutes les conditions requises de ce mode. Pour plus d'informations, consultez la page suivante sur le site Web Microsoft (Authentification Digest (IIS 6.0)).
Limitations
Outre les conditions requises pour les domaines et groupes de travail mentionnées précédemment dans cette rubrique, les authentifications de base et Digest sont en soi insuffisantes pour sécuriser le réseau pour les clients externes. Par conséquent, vous ne devez pas configurer Team Foundation Server pour prendre en charge des clients externes, à moins que vous ne configuriez également ces connexions pour qu'elles exigent S-HTTP avec SSL.
Voir aussi
Concepts
Architecture de Team Foundation Server
Autres ressources
Securing Team Foundation Server with HTTPS and Secure Sockets Layer (SSL)