Le Gestionnaire d’autorisations vous permet de proposer des services d’autorisation aux administrateurs que vous aidez en créant des applications du Gestionnaire d’autorisations qui accèdent aux magasins d’autorisations.
Le Gestionnaire d’autorisations ne renferme aucun magasin d’autorisations par défaut ni aucune application par défaut. Pour créer un magasin d’autorisations, vous devez travailler en mode développeur dans le Gestionnaire d’autorisations. Pour plus d’informations sur le travail en mode développeur, voir Définir les options du Gestionnaire d’autorisations.
Vous pouvez stocker les magasins d’autorisations dans des fichiers XML, dans des services AD DS (Active Directory Domain Services), des services AD LDS (Active Directory Lightweight Directory Services) ou des bases de données Microsoft SQL Server.
Le tableau suivant compare les différents types de magasin d’autorisations.
| Type de magasin d’autorisations | Prise en charge de la délégation | Le magasin d’autorisations est précisé par | Configuration requise | ||||
|---|---|---|---|---|---|---|---|
|
AD DS ou AD LDS |
Prise en charge aux niveaux du magasin d’autorisations, de l’application et de l’étendue |
Une URL, commençant par le préfixe du protocole MSLDAP:// ou par un nom unique LDAP (par exemple, CN=monMagasin,CN=Données programme,DN=comptoirs,DN=com) |
Le niveau fonctionnel du domaine doit être Windows Server 2003 ou version supérieure.
| ||||
|
XML |
Non pris en charge. Le fichier XML est sécurisé dans son intégralité par ses entrées de contrôle d’accès (ACE, Access Control Entries) du système de fichiers NTFS. |
Une URL commençant par le préfixe de protocole MSXML:// ou un chemin d’accès (par exemple, C:\Temp\MonMagasin.xml ou \\NomServeur\NomPartage\MonMagasin.xml) |
Les partitions NTFS | ||||
|
SQL Server |
Prise en charge aux niveaux du magasin d’autorisations, de l’application et de l’étendue |
Une URL commençant par le préfixe de protocole MSSQL:// suivi d’une chaîne de connexion, d’un nom de base de données et d’un nom de magasin de stratégies, de la forme : MSSQL://<chaîne_connexion>/<nom_base_de_données>/<Nom_Magasin_Stratégies> |
Au moins Microsoft SQL Server 2000 |
Une application est spécifique d’un magasin d’autorisations et elle se trouve toujours directement sous son magasin d’autorisations parent dans le Gestionnaire d’autorisations. Pour plus d’informations, voir Créer une application de Gestionnaire d’autorisations.
Les étendues, rôles, tâches et opérations sont toujours spécifiques d’une application. Pour plus d’informations, voir Présentation des étendues du Gestionnaire d’autorisations et Présentation des définitions de rôle, de tâche et d’opération du Gestionnaire d’autorisations.
Utilisation de groupes d’application
Un groupe d’application est un groupe d’utilisateurs d’une application du Gestionnaire d’autorisations. Vous pouvez créer des groupes d’application à l’un des trois niveaux de la console du Gestionnaire d’autorisations. Le tableau suivant répertorie les différents niveaux du Gestionnaire d’autorisations auxquels vous pouvez créer des groupes d’application.
| Niveau | Vous pouvez utiliser un groupe d’application dans |
|---|---|
|
Magasin d’autorisations |
Le magasin d’autorisations et les applications et étendues situées à l’intérieur |
|
Application |
L’application et les étendues situées à l’intérieur |
|
Étendue |
L’étendue |
Pour plus d’informations sur les groupes d’applications, voir Présentation des groupes d’applications du Gestionnaire d’autorisations.
Délégation des magasins d’autorisations et des applications
Les magasins d’autorisations stockés dans les services AD DS, les services AD LDS ou SQL Server prennent en charge la délégation. Par conséquent, vous pouvez autoriser d’autres personnes à administrer ces magasins d’autorisations ou les applications qu’ils contiennent.
Pour plus d’informations sur la mise en œuvre de la délégation, voir Autoriser d’autres utilisateurs à administrer un magasin d’autorisations.