SharePoint 2013 en mode Claims. Pourquoi IIS est configuré en Anonymous, Forms et Windows Authentication?

Le constat

Regardez la configuration de la section Authentification d’un site “SharePoint – 80” ajouté par SharePoint 2010 lors de la création d’une application Web:

Pourtant, lors de sa création, les options suivantes étaient cochées:

Les mêmes choix avec SharePoint 2010 auraient donné ceci dans IIS:

Pourquoi?

L’authentification Anonymous peut être utilisée conjointement à l’authentification Windows. En gros, l’utilisateur rattaché (ex. IUSR) sera utilisé et s’il n’a pas accès, IIS retombe vers l’autre mode configuré (ex. Windows Authentication). Vous pouvez en apprendre plus sur ce sujet ici.

Mais pourquoi SharePoint en a-t-il besoin? Il semblerait que ce soit un pré requis de Windows Communication Foundation (WCF) sur lequel SharePoint est basé.

Bon d’accord. Mais qu’en est-il de l’utilisation conjointe de Forms et Windows Authentication? Même IIS s’en plaint:

L’explication que je cherchais se trouve ici. SharePoint 2010+ en mode claims supporte dorénavant plus d’un mode d’authentification par zone AAM. Voici un court résumé:

1. SharePoint ajoute un HTTP Module (SPRequestModule, fonctionnant en mode IIS 7+ integrated mode) qui est le premier dans la liste et s’assure que l’utilisateur est authentifié (si c’est requis).

2. C’est pour ça qu’on peut avoir plusieurs options normalement exclusives dans IIS (Ex. Forms et Windows Authentication). Le module a le loisir de proposer le choix à l’utilisateur non authentifié.

3. Par défaut, l’utilisateur se fait demander ce qu’il veut utiliser :
clip_image002

4. Mais c’est configurable pour chacune des zones AAM de l’application Web:

signinpage

5. Il serait donc possible de développer une composante qui ferait ce choix automatiquement en se basant sur un critère X, par exemple l’adressse IP d’origine.

Cela permettrait d’avoir la même adressse à l’interne et à l’externe de la compagnie et utiliser des modes d’authentification différents plutôt que d’avoir à utiliser des TMG, ISA etc.

Ainsi les employés n’ont pas à retenir à une adresse pour l’interne et une autre pour l’externe.

Vous pouvez trouver des exemples de code en référence. Il y a aussi un article qui détaille la manière pour configurer l’authentification par formulaires.

Nouvelles capacités

Voici une image qui illustre une zone AAM avec plusieurs types d’authentification.

clip_image001

Et une autre qui présente l’ancienne manière (toujours supportée), c’est à dire un mode d’authentification par zone AAM:

clip_image001[4]

Références

Cet article n’est qu’un résumé (et une traduction) de plusieurs autres articles dont j’ai tiré les images (merci aux auteurs). Les voici:

Understanding anonymous authentication and the IUSR account
http://helpx.adobe.com/dreamweaver/kb/anonymous-authentication-iusr-account.html

SharePoint – Claims-based web applications require anonymous authentication in IIS
http://support.microsoft.com/kb/2850515

Anonymous Authentication always on in SharePoint 2013
http://blog.blksthl.com/2012/11/02/anonymous-authentication-always-on-in-sharepoint-2013/

Multiple Authentication Methods in SharePoint 2010
http://shpt2010.wordpress.com/2011/11/10/multiple-authentication/

Configuring Forms Based Authentication in SharePoint 2013
http://sharepointsolutions.blogspot.ca/2012/08/configuring-forms-based-authentication.html

SharePoint 2010 custom login page
http://tomaszrabinski.pl/wordpress/2011/06/23/sharepoint-2010-custom-login-page/

SharePoint 2010 automatic sign-in with mixed authentication
http://spautomaticsignin.codeplex.com/

SharePoint 2010: transparent login with mixed authentication
http://www.orbitone.com/en/blog/archive/2010/06/23/sharepoint-2010-mixed-authentication-automatic-login.aspx

SharePoint 2013: Access Denied to Root Site of Web Application
http://www.dmcinfo.com/latest-thinking/blog/articletype/articleview/articleid/8565/sharepoint-2013-access-denied-to-root-site-of-web-application.aspx

Une réflexion sur “SharePoint 2013 en mode Claims. Pourquoi IIS est configuré en Anonymous, Forms et Windows Authentication?

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s