Partager via


Client Authentication (Authentification du client)

L’authentification est le processus qui consiste à déterminer que les appelants sont réellement qui ils disent qu’ils sont, en vérifiant l’authenticité d’une revendication d’identité. En général, cela peut être effectué à la fois par le serveur et le client, chacun authentifiant l’autre. Mais il est particulièrement important pour une application serveur qui autorise les clients, comme avec la sécurité basée sur le rôle, à effectuer également l’authentification. L’authentification des clients est un prérequis pour une stratégie d’autorisation significative. Vous pouvez effectuer toutes les vérifications de rôle souhaitées, mais si vous ne savez pas avec certitude que l’identité du client que vous vérifiez est authentique, votre application s’appuie essentiellement sur le système d’honneur.

Pour les applications COM+, l’authentification est un élément que vous pouvez activer et configurer administrativement, après quoi elle fonctionne de manière transparente pour l’application. Vous spécifiez un niveau d’authentification administrativement à l’aide de l’outil d’administration Services de composants ou des fonctions d’administration. Pour plus d’informations sur la définition de l’authentification, consultez Définition d’un niveau d’authentification pour une application serveur et Activation de l’authentification pour une application de bibliothèque.

La définition de l’authentification signifie différentes choses selon que le type d’application est une application de serveur ou de bibliothèque.

Définition de l’authentification pour les applications serveur COM+

Pour une application serveur COM+, vous définissez un niveau d’authentification qui détermine la façon dont l’authentification sera effectuée lorsque les clients appellent des composants au sein de l’application. Vous pouvez choisir parmi plusieurs niveaux d’authentification qui fournissent différents degrés de sécurité, allant de l’absence d’authentification au chiffrement de chaque paquet et à tous les paramètres d’appel de méthode. Pour plus d’informations, consultez Définition d’un niveau d’authentification pour une application serveur.

Toutefois, une sécurité plus élevée s’accompagne d’un coût de performances que vous devez prendre en compte lors de la configuration de votre application. COM+ négociera entre le niveau d’authentification spécifié par le client et le serveur. La façon dont cette négociation est effectuée a l’avantage de vous permettre de contrôler administrativement l’authentification du côté serveur uniquement. Pour plus d’informations, consultez Négociation du niveau d’authentification.

Notes

Vous ne devez jamais spécifier un niveau d’authentification par programmation à l’aide de CoInitializeSecurity dans une application COM+. COM+ appelle CoInitializeSecurity pour vous, et cela ne peut être appelé qu’une seule fois par processus.

 

Les services d’authentification sous-jacents sont fournis par COM et Microsoft Windows. Dans un service d’authentification, un tiers fournit un certificat pour un utilisateur, attestant de l’authenticité de l’identité de l’utilisateur. Cette certification est aussi crédible que l’autorité de certification et, de la même façon qu’un permis de conduire ou un passeport sert de document de certification, elle dépend de l’autorité de l’émetteur. Pour plus d’informations sur les services d’authentification, consultez COM et packages de sécurité dans la documentation COM.

Définition de l’authentification pour les applications de bibliothèque COM+

Pour une application de bibliothèque COM+, vous activez ou désactivez l’authentification pour déterminer si l’application sera soumise à l’authentification effectuée par le processus d’hébergement. Bien que l’authentification d’une application de bibliothèque COM+ soit en grande partie contrôlée par le processus d’hébergement, vous pouvez configurer l’application de bibliothèque afin qu’elle ne participe pas à l’authentification. Autrement dit, les appels dans l’application peuvent être authentifiés ou non authentifiés, et dans ce dernier cas, l'« authentification » des clients réussit toujours. Pour plus d’informations, consultez Activation de l’authentification pour une application de bibliothèque.

En outre, vous pouvez souhaiter ou être obligé d’authentifier le client auprès de la base de données ou d’une application en aval. L’authentification des clients auprès de l’application COM+ seule peut ne pas suffire. Si c’est le cas, vous devez emprunter l’identité du client afin que l’identité du client soit propagée en aval. Pour plus d’informations sur l’emprunt d’identité, consultez Emprunt d’identité client et délégation. Pour une discussion sur les problèmes liés à la décision d’effectuer l’authentification au niveau des données, consultez Sécurité des applications multiniveau.

Emprunt d’identité et délégation du client

Sécurité des applications de bibliothèque

Sécurité des applications multiniveau

Sécurité des composants programmatiques

Administration de la sécurité basée sur les rôles

Utilisation de la stratégie de restriction logicielle dans COM+