Vous êtes sur la page 1sur 10

Configurations préalables aux services BI

1. Configuration préalable du mode par revendications

La configuration du service d’émission de jetons Revendications vers Windows ( Claims  to  Windows  Token  Service) est un 


préalable nécessaire quel que soit le mode d’authentification adopté lors de la création de votre application Web. 

Si cette configuration, qui peut vous sembler un peu obscure, n’est pas réalisée, vous rencontrerez de très nombreux 
problèmes d’authentification,  quel  que  soit  le  mode  d’authentification  adopté  et  cela  même  sur  les  installations  mono­
serveur les plus simples. 

SharePoint  aura  besoin  de  ce  service  à  partir  du  moment  où  vous  aurez  à  vous  connecter  à  des  sources  de  données 
externes, comme c’est le cas en informatique décisionnelle. 

Cette configuration consiste à : 

l Créer une dépendance entre les services Windows Claims to Windows Token Service et service de chiffrement. 

l Démarrer le service Windows Claims to Windows Token Service sur les serveurs Web de SharePoint. 

l Démarrer le service SharePoint service d’émission de jetons Revendications vers Windows. 

Pour commencer, il nous faut créer une dépendance entre deux services de Windows : les services  Claims  to  Windows 


Token  Service  et  service de chiffrement . En effet, cela permettra, lors du redémarrage du serveur, à ce que le service 
de chiffrement démarre avec succès avant que le service  Claims to Windows Token Service ne tente de se lancer à son 
tour. 

n Pour cela, ouvrez l’invite de commandes et lancez la commande ci­dessous : 

sc config "c2wts" depend= CryptSvc

Nous allons maintenant pouvoir démarrer ce service et vérifier que la dépendance a bien été créée. 

n Ouvrez le gestionnaire des services Windows du serveur. 

n Sélectionnez le service Claims to Windows Token Service et allez dans ses Propriétés. 

n Dans l’onglet Général, spécifiez le Type de démarrage sur Automatique puis cliquez sur le bouton Démarrer. 

n Cliquez enfin sur l’onglet Dépendances afin de vérifier que la dépendance avec le service de chiffrement a bien été réalisée. 

© Editions ENI – Tous droits réservés – Copie personnelle de Mohamed Mohamed - 1-


Le service Windows Claims to Windows Token Service doit être démarré 

Il nous faut enfin démarrer ce service au niveau d’un serveur Web ou d’un serveur d’applications de la batterie : 

n Retournez dans l’Administration centrale de la batterie SharePoint. 

n Dans le menu Gestion des applications, cliquez sur le lien Gérer les services sur le serveur. 

n Sélectionnez  un  serveur,  puis  au  niveau  du  Service  d’émission  de  jetons  Revendications  vers  Windows,  cliquez  sur  le  bouton 
Démarrer. 

Le service d’émission de jetons Revendications vers Windows doit être démarré 

Cette  configuration  préalable  étant  réalisée,  nous  pourrons  dans  la  prochaine  partie,  réaliser  une  autre  configuration 
préalable  :  la  configuration  du  service  de  Banque  d’informations  sécurisé.  Nous  aurons  alors  l’occasion  de  créer  notre 
première application de service. 

2. Le service Banque d’informations sécurisé

a. La problématique de la délégation d’identité en environnement multi­serveurs

- 2- © Editions ENI – Tous droits réservés – Copie personnelle de Mohamed Mohamed


Le service Banque d’informations sécurisé est un nouveau service de SharePoint. Ce service apporte une méthode de 
délégation d’identité simplifiée. 

En fait ce service stocke un compte de service dit autonome, qui peut être employé par d’autres applications de service 
telles que PerformancePoint ou Excel Services, pour contacter les bases de données décisionnelles sous­jacentes. 

Le gros problème lors de l’installation d’environnement distribué deux tiers ou trois tiers, c’est qu’il y a une séparation 
du serveur de bases de données et du serveur Web. Lors de la connexion d’un utilisateur à l’application de service, le 
serveur essaie de transmettre l’identité de la personne authentifiée au serveur de bases de données. Dans le cas de 
l’authentification  NTLM,  le  transfert  est  impossible.  Le  serveur  redemande  alors,  s’il  le  peut,  une  nouvelle 
authentification.  Vous  avez  d’ailleurs  probablement  déjà  dû  rencontrer  de  multiples  demandes  d’authentification 
lorsque  vous  êtes  sur  une  grande  application  Web  comme  un  Intranet.  Dans  certains  cas,  cette  nouvelle 
authentification est impossible, aboutissant alors à la tentative de se connecter avec l’utilisateur anonyme et donc à 
l’échec de la demande. 

Pour éviter ce problème, c’est­à­dire cette authentification multiple, nous disposons de plusieurs stratégies : 

La  première  solution  consiste  à  passer  en  authentification  Kerberos.  Cette  méthode  d’authentification  permet  de 
déléguer  l’authentification  et  donc  de  transmettre  le  jeton  de  sécurité  du  serveur  Web  au  serveur  de  bases  de 
données.  L’utilisateur  se  connecte  alors  à  la  base  de  données  avec  son  propre  compte.  C’est  la  méthode  idéale  à 
utiliser lorsque votre système dispose d’une sécurité, comme c’est bien évidemment souvent le cas pour un système 
décisionnel.  L’inconvénient  de  cette  façon  de  faire,  c’est  qu’il  faut  configurer  Kerberos,  et  cela  rebute  beaucoup 
d’administrateurs réseau et de consultants chevronnés. 

L’autre solution proposée par SharePoint est d’utiliser le service Banque d’informations sécurisé, qui fonctionne comme 
un coffre­fort en stockant un compte, dit compte autonome. Ce compte est connu et reconnu par tous les serveurs de 
la batterie de serveurs. Lorsqu’une  application  de  service  tente  de  transmettre  les  informations  d’authentification au 
serveur de bases de données, au lieu de transmettre le compte de l’utilisateur connecté, il va faire appel à la banque 
d’informations sécurisée qui va alors fournir les paramètres d’authentification du compte autonome. L’accès à la base 
de données va alors se faire via ce compte autonome. L’avantage d’une telle méthode, c’est qu’elle est plus simple à 
mettre  en œ uvre  que  Kerberos  et  qu’elle  permet  de  faire  fonctionner  des  applications  complexes  en  environnement 
deux ou trois tiers. L’inconvénient  est,  bien  entendu,  qu’aucune stratégie de sécurité ne pourra alors être déployée, 
car tous les accès se feront avec ce compte autonome, ne permettant pas d’identifier précisément sur le serveur de 
bases de données le compte à l’origine de la demande. 

Cet exposé du problème est volontairement un peu simpliste. Cependant, il a le mérite de vous faire comprendre les 
grands  contours  de  cette  problématique  technique  de  sécurité  et  d’authentification,  que  vous  aurez  forcément  à 
rencontrer lorsque votre système décisionnel sera mature. 

La configuration Kerberos sera abordée plus largement en fin de chapitre. 

Toutefois,  afin  de  réaliser  une  configuration  complète  et  parfaite,  nous  allons  activer  ce  service  pour  l’utiliser 
conjointement  avec  PerformancePoint.  Ce  sera  aussi  l’occasion  de  comprendre  l’articulation  entre  les  services  et  les 
applications de service. 

b. Activer le service Banque d’informations sécurisé dans la batterie de serveurs

Toutes  les  configurations  des  services  et  des  applications  de  service  se  réalisent  dans  la  console  Web  de 
l’administration centrale. 

n Ouvrez l’Administration centrale de la batterie de serveurs SharePoint. 

n Dans le menu de gauche, cliquez sur Gestion des applications. 

n Sous le thème Applications de service, cliquez sur le lien Gérer les services sur le serveur. 

© Editions ENI – Tous droits réservés – Copie personnelle de Mohamed Mohamed - 3-


Le lien vers la gestion des services dans l’administration centrale 

Cet espace permet de gérer l’activation et la désactivation de tous les services au niveau de la batterie de serveurs 
SharePoint. L’activation des services PerformancePoint et Excel Services se fera aussi dans cette page d’administration. 

n Sélectionnez le serveur sur lequel vous souhaitez activer le service. 

n Au niveau du Service Banque d’informations sécurisé, cliquez sur le bouton Démarrer. 

Après un petit traitement, la page doit se réafficher et faire apparaître ce service à l’état Démarré . 

- 4- © Editions ENI – Tous droits réservés – Copie personnelle de Mohamed Mohamed


La gestion des services sur un serveur de la batterie 

Le  service  est  maintenant  activé.  Il  nous  est  à  présent  possible  de  créer  une  application  de  service  Banque 
d’informations sécurisé. 

c. Créer l’application de service Banque d’informations sécurisé

La création des applications de service se réalise aussi dans l’administration centrale. 

n Toujours dans l’Administration centrale, cliquez à nouveau dans la barre de navigation à gauche sur Gestion des applications. 

n Sous le thème Applications de service, cliquez sur le lien Gérer les applications de service. 

© Editions ENI – Tous droits réservés – Copie personnelle de Mohamed Mohamed - 5-


Le lien vers la gestion des applications de service dans l’administration centrale 

n Dans le ruban de l’onglet Applications de service, cliquez sur Nouveau, puis cliquez sur Service Banque d’informations sécurisé. 

Créer une nouvelle application de service 

- 6- © Editions ENI – Tous droits réservés – Copie personnelle de Mohamed Mohamed


Un assistant de création d’une nouvelle application de service s’ouvre. 

n Au  niveau  du  champ  Nom,  spécifiez  le  nom  de  cette  application  de  service.  Dans  notre  cas,  nous  mettrons  App  Svc  Banque 
Informations Securise. 

n Au  niveau  du  champ  Serveur  de  bases  de  données,  l’instance  SQL  Server  spécifiée  est  celle  définie  lors  de  l’installation.  Ne 
modifiez pas cette valeur par défaut. 

n Au  niveau  du  champ  Nom de la base de données,  pour  ma  part  je  remplace  l’identifiant  unique  par  le  nom  de  l’application  de 
service, pour pouvoir l’identifier par la suite dans Management Studio. Si vous le souhaitez, vous pouvez laisser le nom proposé 
par défaut. C’est à vous de choisir. 

n Enfin dans mon cas, je ne dispose pas de serveur en miroir et donc pas de serveur de basculement. Si c’est votre cas à vous 
aussi, laissez le champ Serveur de bases de données de basculement vide. 

Création application de service ­ Base de données 

n Enfin, spécifiez un nouveau Pool d’applications que vous ferez exécuter avec le compte de service SvcSharePoint. 

© Editions ENI – Tous droits réservés – Copie personnelle de Mohamed Mohamed - 7-


Création application de service ­ Pool d’applications 

La nouvelle application de service Banque d’informations sécurisé doit alors s’afficher dans la liste des applications de 
service. 

L’application service de Banque d’informations sécurisé est créée 

- 8- © Editions ENI – Tous droits réservés – Copie personnelle de Mohamed Mohamed


d. Configurer l’application service Banque d’informations sécurisé

L’application de service est créée. Il nous faut maintenant achever sa configuration. 

n Pour cela, cliquez sur le lien portant le nom de l’application de service que vous venez de créer. Dans notre cas, cliquez sur le 
lien App Svc Banque Informations Securise. 

Dans la page qui s’affiche, un message vous avertit qu’il vous faut générer une nouvelle clé pour cette application. 

n Dans le ruban, cliquez sur le bouton Générer la nouvelle clé. 

Une  nouvelle  fenêtre  Générer  la  nouvelle  clé   s’affiche.  Cette  fenêtre  vous  annonce  que  la  base  de  données  de 
l’application de service Banque informations sécurisé doit être cryptée à l’aide d’une clé de chiffrement. Elle vous invite 
ensuite à saisir un mot de passe qui permettra la génération d’une nouvelle clé de chiffrement. 

n Saisissez un mot de passe, confirmez­le, puis cliquez sur le bouton OK . 

© Editions ENI – Tous droits réservés – Copie personnelle de Mohamed Mohamed - 9-


Générer la clé de l’application de service Banque informations sécurisé 

Après un court traitement, la page précédente se réaffiche, mais l’avertissement a disparu. 

n Pour finir la configuration, cliquez sur le bouton  Actualiser la clé afin de propager la clé à tous les serveurs d’applications de la 
batterie. Dans notre cas, ce serait inutile étant donné que nous n’avons qu’un seul serveur. Il est préférable malgré cela d’avoir 
le réflexe de faire cette manipulation. 

n Dans  la  fenêtre  Actualiser  la  clé,  saisissez  de  nouveau  le  mot  de  passe  saisi  dans  la  précédente  fenêtre,  puis  cliquez  sur  le 
bouton OK  pour confirmer. 

L’application  de  service  est  maintenant  configurée.  Celle­ci  sera  utilisée  ultérieurement  lors  de  la  configuration  du 
premier service véritablement décisionnel, le service PerformancePoint. Nous allons entreprendre sa configuration dès 
à présent. 

- 10 - © Editions ENI – Tous droits réservés – Copie personnelle de Mohamed Mohamed