Améliorations SharePoint 2016

Comment fonctionne l’héritage des autorisations dans SharePoint ?

La notion d’héritage des autorisations SharePoint est le fondement du modèle de sécurité SharePoint. A chaque fois qu’un nouvel objet est créé, il hérite par défaut des autorisations de son parent.

Par exemple, un nouveau site dans une collection de site hérite par défaut des autorisations du site parent. Un sous-site d’un site hérite par défaut des autorisations du site parent. De même, si vous créez une nouvelle bibliothèque dans un site, elle héritera par défaut des autorisations du site.

Lisez aussi l’article sur les plans de nommage des groupes de sécurité SharePoint.

Pensez aussi à mettre à jour régulièrement votre ferme SharePoint afin de corriger d’éventuelles vulnérabilités.

Un héritage par défaut à tous niveaux

L’héritage s’applique par défaut. Toutefois, à la création d’un objet, vous pouvez demander des autorisations uniques pour que l’objet n’hérite pas des autorisations de son parent.

Héritage des autorisations SharePoint
Héritage des autorisations SharePoint

L’héritage fonctionne en cascade. Les autorisations données sur un site s’appliquent aux sites enfants et aux objets qu’ils contiennent (bibliothèques, listes), ainsi qu’aux enfants des sites enfants, etc. Autrement dit, chaque enfant hérite de son parent, qui hérite lui-même de son parent, etc.

Tant que l’héritage n’est pas rompu, il maintient un lien dynamique avec les autorisations de l’objet du parent. Ce qui signifie que toute modification d’une autorisation du site parent, par exemple, est automatiquement appliquée à tous les objets enfants qui héritent des autorisations.

Rompre l’héritage

Si vous voulez modifier des autorisations existants d’un objet enfant, ci celui-ci hérite des autorisations de l’objet parent, il suffit de rompre l’héritage. Lorsque que l’héritage est rompu, les autorisations de l’objet parent sont recopiés sur l’objet enfant sans lien dynamique et les autorisations de l’objet enfant deviennent modifiables.

Héritage des autorisations rompu
Héritage des autorisations rompu

Vous pouvez rétablir l’héritage à tout instant. Dans ce cas, toutes les autorisations existantes de l’objet enfant sont perdues.

Différences de l’héritage des autorisations SharePoint avec les ACL de NTFS

Le modèle d’héritage des autorisations SharePoint ressemble à celui mis en oeuvre par Microsoft avec le système de fichiers NTFS (New Technology File System) de Windows. Cependant, il s’en écarte sur certains points.

En particulier, dans le modèle de sécurité de SharePoint, il faut impérativement rompre l’héritage pour modifier ou ajouter une nouvelle autorisation.

Au contraire, dans NTFS, il est possible de rajouter une ACE (Access Control Entries) à une ACL (Access Control List) héritée.

Rapidité dans les cas simples

Le principal avantage de ce modèle d’héritage des autorisations SharePoint est sa simplicité et sa rapidité. En effet, aucune configuration particulière de sécurité n’est nécessaire. C’est sa force dans les implémentations de SharePoint où la sécurité n’est pas une grande préoccupation.

Notamment, vous modifiez les autorisations d’une collection de sites et ils s’appliquent automatiquement à tous les sites enfant.

Toutefois, les audits de sécurité révèlent deux écueils principaux : trop de droits et pas assez de droits.

Difficultés réelles aussi

Certains administrateurs n’ont pas toujours à l’esprit les conséquences de certaines décisions qui semblent anodines.

A l’inverse une politique trop restrictive peut exclure à tort certaines catégories d’utilisateurs. Notamment, c’est le cas des utilisateurs de l’organisation qui se trouvent dans des filiales.

Pour diverses raisons, ils ne voudront pas ou ils ne pourront pas se manifester . Dans ce cas, ils créeront de toutes pièces un gisement de données « pirate », qui échappera à l’administration générale.

Outils d’administration de la sécurité

Toutefois, les versions de SharePoint 2013 et suivantes améliorent grandement la situation.

Globalement, il y a un manque d’outils natifs pour les administrateurs pour planifier et maintenir les autorisations SharePoint.

Sans qu’il s’agisse d’une recommandation (!), j’ai apprécié des outils de sociétés commerciales comme ceux de Varonis qui permettent d’avoir des rapports d’une grande clarté sur les autorisations accordées.

Pour mémoire, AvePoint qui est un acteur historique de SharePoint propose aussi des outils de gouvernance. Toutefois, je n’ai pas trouvé l’équivalent de Varonis.

Avec une approche différente, TITUS propose une solution intéressante avec l’utilisation de métadonnées pour gérer la sécurité.

Enfin pour les adeptes de l’huile de coude, il y a toujours les scripts gratuits de Gary Lapointe: cmdlets PowerShell et commandes STSADM. Ils permettent de construire une solution complète et évolutive d’analyse de la configuration de sécurité.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *