Concepts de Team Foundation Server
Pour déployer et gérer Visual Studio Team Foundation Server de manière efficace, vous devez comprendre comment il fonctionne et communique avec d'autres composants de Team Foundation. En qualité d'administrateur pour Team Foundation Server, vous devez être familiarisé avec l'authentification Windows, les protocoles et le trafic réseau et la structure du réseau d'entreprise sur lequel Team Foundation Server est installé. Vous devez également avoir une bonne compréhension du fonctionnement des groupes et des autorisations dans Team Foundation Server. Une assez bonne connaissance de SQL Server, SQL Server Reporting Services et des produits SharePoint peut également vous être utile en matière de gestion de Team Foundation Server.
Connaissance des composants et des termes
Vous serez en mesure de mieux planifier, déployer et gérer Team Foundation Server si vous comprenez les composants et les termes suivants :
couche Application, couche Données, couche cliente : couches logiques qui composent Team Foundation Server. Toutes ces couches peuvent être déployées sur le même ordinateur physique, ou elles peuvent être installées sur plusieurs ordinateurs. Pour plus d'informations, consultez Exemples de topologie simple, Exemples de topologie modérée, Exemples de topologie complexe et Architecture de Team Foundation Server.
collection de projets d'équipe : unité d'organisation principale pour toutes les données dans Team Foundation Server. Les collections peuvent inclure un ou plusieurs projets d'équipe. Pour plus d'informations, consultez Organisation de votre serveur avec des collections de projets d'équipe.
projet d'équipe : point central permettant à votre équipe de partager les activités d'équipe qui sont nécessaires au développement d'une technologie ou d'un produit logiciel spécifique. Les projets d'équipe sont organisés en collections de projets d'équipe. Pour plus d'informations, consultez Planification et suivi de projets.
console d'administration Team Foundation : outil de gestion centralisée pour les administrateurs dans Team Foundation Server. Vous pouvez gérer des utilisateurs et des autorisations à partir de la console d'administration, en plus de créer et de gérer des collections de projets d'équipe, en ajoutant et en gérant des applications Web SharePoint à utiliser lors du déploiement, en créant et en gérant des ateliers pratiques virtuels et en examinant l'état du serveur. Pour plus d'informations, consultez Console Administration Team Foundation.
comptes de service : comptes que les services et les applications Web dans Team Foundation utilisent. Team Foundation Server requiert que les comptes de service exécutent des opérations sur les serveurs et les services Web. Ces comptes de service ont des spécifications spécifiques. Pour plus d'informations, consultez Comptes de service et dépendances dans Team Foundation Server.
produits SharePoint : logiciels qui fournissent une plateforme évolutive et facile à gérer en matière de collaboration et de développement d'applications de gestion des informations professionnelles pour le Web. Vous pouvez inclure une ou plusieurs applications Web SharePoint dans le cadre de votre déploiement Team Foundation Server. Pour inclure l'une de ces applications, vous devez installer et configurer des extensions Team Foundation Server pour les produits SharePoint, et vous devez configurer des autorisations lors du déploiement. Pour plus d'informations, consultez Ajouter une application Web SharePoint à votre déploiement et Produits SharePoint et Team Foundation Server.
SQL Server et SQL Server Reporting Services : logiciel qui fournit une plateforme de base de données pour le traitement transactionnel en ligne à grande échelle (OLTP, Large-scale Online Transaction Processing), le stockage des données et les applications d'e-commerce. SQL Server est également une plateforme de Business Intelligence pour l'intégration de données, l'analyse et les solutions de création de rapports. Team Foundation Server stocke ses données dans les bases de données SQL Server. Vous pouvez aussi éventuellement inclure un serveur qui exécute SQL Server Reporting Services et qui génère automatiquement des rapports pour les projets d'équipe. Pour plus d'informations, consultez Architecture de Team Foundation Server et SQL Server et Team Foundation Server.
Fonctionnement de la Sécurité Team Foundation Server
Pour optimiser la sécurité de Team Foundation Server, vous devez comprendre les concepts suivants :
la topologie, qui inclut l'endroit et la façon dont les serveurs qui exécutent des composants de Team Foundation sont déployés, le trafic réseau qui passe entre Team Foundation Server et les clients Team Foundation, et les services qui doivent être exécutés sur Team Foundation Server ;
l'authentification, qui inclut la détermination de la validité des utilisateurs, des groupes et des services dans Team Foundation Server ;
l'autorisation, qui inclut la détermination selon laquelle les utilisateurs, les groupes et les services valides dans Team Foundation Server disposent des autorisations appropriées pour exécuter des actions spécifiques.
Vous devez également considérer les autres composants et services desquels Team Foundation Server dépend.
Lorsque vous considérez les aspects de la sécurité pour Team Foundation Server, vous devez connaître la différence entre l'authentification et l'autorisation. L'authentification correspond à la vérification des informations d'identification lors d'une tentative de connexion depuis un client, un serveur ou un processus. L'autorisation est la vérification que l'identité qui essaie de se connecter dispose des autorisations d'accès à l'objet ou à la méthode. L'autorisation se produit seulement après une authentification réussie. Si une connexion n'est pas authentifiée, elle échoue avant l'exécution d'un contrôle d'autorisation. Si l'authentification d'une connexion réussit, une action spécifique peut encore annuler l'autorisation car l'utilisateur ou le groupe n'était pas autorisé à exécuter cette action.
Topologies, ports et services
Le premier élément du déploiement et de la sécurité pour Team Foundation Server consiste à déterminer si les composants de votre déploiement peuvent se connecter les uns aux autres pour communiquer. Votre objectif est de permettre les connexions entre les clients de Team Foundation et Team Foundation Server et de limiter ou d'empêcher d'autres tentatives de connexion.
Pour fonctionner, Team Foundation Server dépend de certains ports et services. Vous pouvez sécuriser et surveiller ces ports afin de contribuer à respecter les exigences de sécurité d'entreprise. Vous devez permettre le trafic réseau afin que Team Foundation Server passe entre les clients de Team Foundation, les serveurs qui hébergent les composants logiques de la couche Application et de la couche Données pour Team Foundation, les ordinateurs pour Team Foundation Build et les clients distants qui utilisent le Proxy Team Foundation Server. Par défaut, Team Foundation Server est configuré pour utiliser HTTP pour ses services Web. Pour obtenir la liste complète des ports et de services utilisés par Team Foundation Server et la façon dont ils sont utilisés au sein de son architecture, consultez Architecture de Team Foundation Server.
Vous pouvez déployer Team Foundation Server dans un domaine Active Directory ou un groupe de travail. Active Directory fournit davantage de fonctionnalités de sécurité intégrées que les groupes de travail. Vous pouvez utiliser des fonctionnalités Active Directory pour contribuer à sécuriser votre déploiement de Team Foundation Server. Par exemple, vous pouvez configurer Active Directory afin qu'il empêche de dupliquer les noms des ordinateurs et qu'un utilisateur malveillant n'usurpe le nom de l'ordinateur avec un serveur non autorisé qui exécute Team Foundation Server. Pour atténuer le même genre de menace dans un groupe de travail, vous devez configurer des certificats d'ordinateurs.
Si vous déployez Team Foundation Server dans un groupe de travail ou un domaine, vous devez vous conformer à certaines contraintes imposées par les spécifications de Team Foundation Server. Pour plus d'informations sur les topologies de Team Foundation Server, consultez Exemples de topologie simple, Exemples de topologie modérée, Exemples de topologie complexe, Interactions entre les produits SharePoint et Team Foundation Server et Fonctionnement de SQL Server et de SQL Server Reporting Services.
Authentification
La sécurité de Team Foundation Server repose sur l'authentification intégrée de Windows et sur les fonctionnalités de sécurité du système d'exploitation Windows. Vous pouvez utiliser l'authentification intégrée de Windows pour authentifier les comptes lors des connexions entre les clients de Team Foundation et Team Foundation Server, pour les services Web sur les serveurs qui hébergent les couches Application et Données logiques de Team Foundation, ainsi que pour les connexions entre les serveurs de couches Application et Données eux-mêmes.
Notes
Vous pouvez configurer Team Foundation Server pour qu'il prenne en charge Kerberos pour l'authentification mutuelle du client et du serveur après l'installation de Team Foundation Server.
Vous ne devez pas configurer toutes les connexions de bases de données SQL Server entre Team Foundation Server et les produits SharePoint afin d'utiliser l'authentification SQL Server car elle n'est pas aussi sécurisée que l'authentification Windows. Lorsque vous vous connectez à la base de données, le nom d'utilisateur et le mot de passe pour le compte Administrateur de base de données sont envoyés dans un format non chiffré. L'authentification Windows intégrée n'envoie pas le nom d'utilisateur et le mot de passe. Elle utilise à la place les protocoles de sécurité de l'authentification intégrée Windows afin de transférer les informations d'identité de compte de service associées au pool d'application des services Internet (IIS) hôte vers SQL Server.
Autorisation
L'autorisation Team Foundation Server est basée sur les utilisateurs et les groupes dans Team Foundation, les autorisations qui sont directement assignées à ces utilisateurs et à ces groupes, et les autorisations dont peuvent hériter ces utilisateurs et ces groupes en appartenant à d'autres groupes dans Team Foundation Server. Les utilisateurs et les groupes dans Team Foundation peuvent être des utilisateurs ou des groupes locaux, des utilisateurs et des groupes Active Directory, ou les deux à la fois.
Team Foundation Server est préconfiguré avec des groupes par défaut au niveau du serveur, de la collection et du projet. Vous pouvez remplir ces groupes en ajoutant des utilisateurs individuels. Toutefois, vous pouvez trouver la gestion plus facile si vous remplissez ces groupes en utilisant les groupes de sécurité Active Directory. Avec cette approche, vous pouvez gérer plus efficacement l'appartenance au groupe et les autorisations sur plusieurs ordinateurs ou applications, telles que les produits SharePoint et SQL Server.
Votre déploiement spécifique peut nécessiter que vous configuriez les utilisateurs, les groupes et les autorisations sur plusieurs ordinateurs et au sein de plusieurs applications. Par exemple, vous devez configurer les autorisations pour les utilisateurs et les groupes dans Reporting Services, les produits SharePoint et Team Foundation Server si vous voulez inclure des rapports et des portails de projets dans votre déploiement. Dans Team Foundation Server, vous pouvez définir des autorisations pour chaque projet, pour chaque collection et à travers un déploiement (au niveau serveur). En outre, certaines autorisations sont accordées par défaut à tout utilisateur ou groupe que vous ajoutez à Team Foundation Server, puisque cet utilisateur ou ce groupe est automatiquement ajouté à Team Foundation Valid Users. Pour plus d'informations sur la configuration des autorisations, consultez Gestion des autorisations. Pour plus d'informations sur les utilisateurs et les groupes dans Team Foundation Server, consultez Configuration d'utilisateurs, de groupes et d'autorisations.
Outre la configuration des autorisations dans Team Foundation Server, vous pouvez nécessiter une autorisation relative au contrôle de version et aux éléments de travail. Vous gérez séparément ces autorisations à partir d'une invite de commandes, mais elles sont intégrées à l'interface de Team Explorer.
Voir aussi
Concepts
Architecture de Team Foundation Server
Configuration d'utilisateurs, de groupes et d'autorisations