Dans le Gestionnaire d’autorisations, les destinataires d’une stratégie d’autorisation sont représentés par les différents types de groupes suivants :
-
Utilisateurs et groupes Windows. Ces groupes comprennent des utilisateurs, des ordinateurs et des groupes intégrés pour les entités de sécurité. Les utilisateurs et groupes Windows s’utilisent dans l’ensemble de Windows, pas seulement dans le Gestionnaire d’autorisations.
-
Groupes d’applications. Ces groupes comprennent les groupes d’applications de base et les groupes de requêtes LDAP (Lightweight Directory Access Protocol). Les groupes d’application sont spécifiques de l’administration basée sur les rôles du Gestionnaire d’autorisations.
Important | |
Un groupe d’application est un groupe d’utilisateurs, d’ordinateurs ou d’autres principaux de sécurité. Un groupe d’application n’est pas un groupe d’applications. |
-
Groupes de requêtes LDAP. L’appartenance à ces groupes est calculée en temps réel selon les besoins à partir de requêtes LDAP. Un groupe de requêtes LDAP est un type de groupe d’application.
-
Groupes d’applications de base. Ces groupes sont définis en termes de groupes de requêtes LDAP, d’utilisateurs et groupes Windows et d’autres groupes d’applications de base. Un groupe d’application de base est un type de groupe d’application.
-
Groupe d’applications de règle métier. Ces groupes sont définis par un script écrit en VBScript ou JScript ; l’appartenance à ces groupes est déterminée dynamiquement au moment de l’exécution en fonction des critères que vous définissez.
Utilisateurs et groupes Windows
Pour plus d’informations sur les groupes dans les services de domaine Active Directory, voir l’article consacré au
Groupes d’application
Lorsque vous créez un groupe d’application, vous devez déterminer si vous voulez qu’il s’agisse d’un groupe de requêtes LDAP ou d’un groupe d’application de base. Pour ce qui est des applications à base de rôles du Gestionnaire d’autorisations, n’importe quelle autorisation que vous pouvez accorder avec les utilisateurs et groupes Windows peut également être accordée avec les groupes d’application.
Les définitions d’appartenance circulaire ne sont pas autorisées ; elles engendrent le message d’erreur « Impossible d’ajouter <Nom_Groupe>. Le problème suivant s’est produit : Une boucle a été détectée ».
Groupes de requêtes LDAP
Dans le Gestionnaire d’autorisations, vous pouvez faire appel à des requêtes LDAP pour rechercher des objets dans les services AD DS, les services AD LDS et d’autres annuaires compatibles LDAP.
Vous pouvez faire appel à une requête LDAP pour préciser un groupe de requêtes LDAP en tapant la requête LDAP voulue dans l’espace prévu à cet effet sur l’onglet Requête de la boîte de dialogue Propriétés du groupe d’application.
Le Gestionnaire d’autorisations prend en charge deux types de requêtes LDAP qui permettent de définir un groupe de requêtes LDAP : les requêtes de Gestionnaire d’autorisations version 1 et les requêtes d’URL LDAP.
-
Requêtes LDAP de Gestionnaire d’autorisations version 1
Les requêtes LDAP de version 1 offrent une prise en charge limitée de la syntaxe de requête d’URL LDAP décrite dans le document RFC 2255. Ces requêtes sont limitées à l’interrogation de la liste d’attributs de l’objet utilisateur spécifié dans le contexte client actuel.
Par exemple, la requête suivante recherche tout le monde à l’exception de Andy :
(&(objectCategory=person)(objectClass=user)(!cn=andy)).
La requête suivante détermine si le client est membre de l’alias StatusReports chez northwindtraders.com :
(memberOf=CN=StatusReports,OU=Distribution Lists,DC=nwtraders,DC=com)
Le Gestionnaire d’autorisations continue de prendre en charge les requêtes de version 1 afin que les solutions développées à l’aide des versions antérieures du Gestionnaire d’autorisations puissent être mises à niveau sans effort particulier.
-
Requêtes d’URL LDAP
Afin de supprimer les limitations associées aux objets et attributs pouvant être interrogés, le Gestionnaire d’autorisations prend en charge une syntaxe de requête d’URL LDAP basée sur le document RFC 2255. Cela vous permet de créer des groupes de requêtes LDAP qui utilisent des objets répertoire autres que l’objet utilisateur actuel comme racine de la recherche.
Une URL LDAP commence par le préfixe de protocole « ldap » et présente le format suivant :
Remarques | |
« Nom unique » et « NU » sont synonymes. |
ldap://<serveur:port>/<NU_Objet_Base>?<attributs>?<Étendue_Requête>?<Filtre>
Plus spécifiquement, la grammaire suivante est prise en charge :
ldapurl = scheme "://" [hostport] ["/"
[dn ["?" [attributes] ["?" [scope]
["?" [filter]]]]]]
scheme = "ldap"
attributes = attrdesc *("," attrdesc)
scope = "base" / "one" / "sub"
dn = distinguishedName
hostport = hostport
attrdesc = AttributeDescription
filter = filter
Par exemple, la requête suivante retourne les utilisateurs dont l’attribut de société est défini sur « FabCo » à partir du serveur LDAP exécuté sur le port 389 sur un hôte nommé « fabserver » :
ldap://fabserver:389/OU=Customers,DC=FABCO-PN,DC=com?*?sub?(&(company=FabCo)(objectClass=user)(objectCategory=user))
Lors de l’utilisation d’une requête d’URL LDAP, vous pouvez utiliser la valeur d’espace réservé spéciale %AZ_CLIENT_DN%. Cet espace réservé est remplacé par le nom unique du client qui effectue le contrôle d’accès. Cela vous permet de construire des requêtes qui retournent des objets à partir de l’annuaire en fonction de leur relation avec le nom unique du client qui effectue la requête.
Dans l’exemple suivant, la requête LDAP vérifie si l’utilisateur est membre de l’unité d’organisation « Customers » :
ldap://server:<port>/OU=Customers,DC=FABCO-PN,DC=com?(objectclass=*)?sub?(& (objectClass=user)(objectCategory=user) (distinguishedName= %AZ_CLIENT_DN% ))
Dans l’exemple suivant, la requête LDAP vérifie si l’utilisateur est un subalterne direct du responsable nommé « SomeManager » et si le « searchattribute » de SomeManager est égal à la valeur particulière « searchvalue ».
ldap://server:port/Cn=SomeManager,OU=Users,DC=FABCO-PN,DC=com?(objectclass=*)?base?(&(searchattribute= searchvalue) (directreports = %AZ_CLIENT_DN%))
Pour plus d’informations sur la syntaxe des requêtes d’URL LDAP, voir le texte de la
Important | |
Si la requête LDAP commence par « ldap », elle est traitée en tant que requête d’URL LDAP. Autrement, elle est traitée en tant que requête de version 1. |
Groupes d’application de base
Les groupes d’applications de base sont spécifiques au Gestionnaire d’autorisations.
Pour définir l’appartenance à un groupe d’application de base, vous devez :
-
définir qui est membre,
-
définir qui n’est pas membre.
Ces deux étapes se déroulent de la même manière :
-
Dans un premier temps, vous spécifiez zéro ou plus utilisateurs et groupes Windows, groupes d’applications de base déjà définis ou groupes de requêtes LDAP.
-
Dans un second temps, l’appartenance au groupe d’application de base est calculée en supprimant tous les non-membres du groupe. Le Gestionnaire d’autorisations s’en charge automatiquement au moment de l’exécution.
Important | |
La non-appartenance à un groupe d’applications de base prime sur l’appartenance. |
Groupe d’applications de règle métier
Les groupes d’applications de règle métier sont spécifiques au Gestionnaire d’autorisations.
Pour définir une appartenance à un groupe d’applications de règle métier, vous devez écrire un script en VBScript ou JScript. Le code source du script est chargé à partir d’un fichier texte dans la page Propriétés du groupe d’applications de règle métier.