27
SÉCURITÉ INFORMATIQUE Asp.net

S ÉCURITÉ I NFORMATIQUE Asp.net. P LAN Sécurité sur Internet Sécurité avec ASP.net Gestion des comptes et droits daccès Utilisation des contrôles de Visual

Embed Size (px)

Citation preview

Page 1: S ÉCURITÉ I NFORMATIQUE Asp.net. P LAN Sécurité sur Internet Sécurité avec ASP.net Gestion des comptes et droits daccès Utilisation des contrôles de Visual

SÉCURITÉ INFORMATIQUEAsp.net

Page 2: S ÉCURITÉ I NFORMATIQUE Asp.net. P LAN Sécurité sur Internet Sécurité avec ASP.net Gestion des comptes et droits daccès Utilisation des contrôles de Visual

PLAN

Sécurité sur Internet Sécurité avec ASP.net Gestion des comptes et droits d’accès Utilisation des contrôles de Visual studio

Page 3: S ÉCURITÉ I NFORMATIQUE Asp.net. P LAN Sécurité sur Internet Sécurité avec ASP.net Gestion des comptes et droits daccès Utilisation des contrôles de Visual

SÉCURITÉ SUR INTERNET

ASP.net fonctionne en conjonction avec IIS(Microsoft Internet Information Services), ce couple peut identifier les utilisateurs par différentes méthodes comme le simple login (nom / mot de passe), ces méthodes sont : Windows, Basic, digest, ou Integrated

Windows Authentification (Kerberos); Authentification par Microsoft Passport; Authentification par formulaire; Authentification par certificat d’utilisateur.

Page 4: S ÉCURITÉ I NFORMATIQUE Asp.net. P LAN Sécurité sur Internet Sécurité avec ASP.net Gestion des comptes et droits daccès Utilisation des contrôles de Visual

SÉCURITÉ SUR INTERNET

Dans la sécurisation de site Web, deux fonctions sont fondamentales : Authentification: permet de vérifier si

l’utilisateur connecté est bien celui qu’il prétend être. L’application obtient les preuves de l’identité de l’utilisateur par différent moyen à sa guise, le login(nom / mot de passe) étant le plus classique. Si les éléments soumis par l’utilisateur sont validés alors ce dernier est considéré comme authentifié.

Autorisation: La gestion des autorisations permet de limiter les droits des utilisateur en leur accordant ou non des privilèges.

Page 5: S ÉCURITÉ I NFORMATIQUE Asp.net. P LAN Sécurité sur Internet Sécurité avec ASP.net Gestion des comptes et droits daccès Utilisation des contrôles de Visual

SÉCURITÉ SUR INTERNET

Page 6: S ÉCURITÉ I NFORMATIQUE Asp.net. P LAN Sécurité sur Internet Sécurité avec ASP.net Gestion des comptes et droits daccès Utilisation des contrôles de Visual

SÉCURITÉ AVEC ASP.NET

Tous les clients Web dialoguent avec les applications ASP.NET au travers un serveur IIS. Ce dernier décode et optionnellement authentifie les requêtes entrantes. Dans ce cas, ce sont les règles de l’active directories qui prévalent.

Page 7: S ÉCURITÉ I NFORMATIQUE Asp.net. P LAN Sécurité sur Internet Sécurité avec ASP.net Gestion des comptes et droits daccès Utilisation des contrôles de Visual

SÉCURITÉ AVEC ASP.NET

Page 8: S ÉCURITÉ I NFORMATIQUE Asp.net. P LAN Sécurité sur Internet Sécurité avec ASP.net Gestion des comptes et droits daccès Utilisation des contrôles de Visual

SÉCURITÉ AVEC ASP.NET

L’authentification par formulaire est habituellement géré par la partie ASP.Net.

Lorsqu’une ressource protégée est réclamé par un client, ASP.NET effectue une vérification pour s’assurer que ce dernier est authentifié. Cette gestion est fait à l’aide des informations contenues dans la base de données.

Page 9: S ÉCURITÉ I NFORMATIQUE Asp.net. P LAN Sécurité sur Internet Sécurité avec ASP.net Gestion des comptes et droits daccès Utilisation des contrôles de Visual

SÉCURITÉ AVEC ASP.NET

Configuration: 1- Créer les tables de gestion dans la base de données:

La première étape consiste à ajouter tous les objets de base de données (tables et procédures stockées) nécessaires dans votre base de données de production. Le moyen le plus simple d'effectuer cette étape est de tirer parti de l'Assistant installation de SQL Server pour ASP.NET. Vous pouvez démarrer cet assistant en ouvrant l'Invite de Commandes de Visual Studio 2008 depuis le menu Démarrer et en exécutant la commande suivante : aspnet_regsql

Note : Si vous ne voulez pas utiliser l'assistant installation SQL Server pour ASP.NET, vous trouverez les scrits nécessaires pour l'ajout des objets de la base de données des services d'application dans le répertoire suivant : C:\Windows\Microsoft.NET\Framework\v2.0.50727

Page 10: S ÉCURITÉ I NFORMATIQUE Asp.net. P LAN Sécurité sur Internet Sécurité avec ASP.net Gestion des comptes et droits daccès Utilisation des contrôles de Visual

SÉCURITÉ AVEC ASP.NET

Page 11: S ÉCURITÉ I NFORMATIQUE Asp.net. P LAN Sécurité sur Internet Sécurité avec ASP.net Gestion des comptes et droits daccès Utilisation des contrôles de Visual

SÉCURITÉ AVEC ASP.NET

Page 12: S ÉCURITÉ I NFORMATIQUE Asp.net. P LAN Sécurité sur Internet Sécurité avec ASP.net Gestion des comptes et droits daccès Utilisation des contrôles de Visual

SÉCURITÉ AVEC ASP.NET

Page 13: S ÉCURITÉ I NFORMATIQUE Asp.net. P LAN Sécurité sur Internet Sécurité avec ASP.net Gestion des comptes et droits daccès Utilisation des contrôles de Visual

SÉCURITÉ AVEC ASP.NET

Page 14: S ÉCURITÉ I NFORMATIQUE Asp.net. P LAN Sécurité sur Internet Sécurité avec ASP.net Gestion des comptes et droits daccès Utilisation des contrôles de Visual

SÉCURITÉ AVEC ASP.NET

Page 15: S ÉCURITÉ I NFORMATIQUE Asp.net. P LAN Sécurité sur Internet Sécurité avec ASP.net Gestion des comptes et droits daccès Utilisation des contrôles de Visual

SÉCURITÉ AVEC ASP.NET

Les tables suivantes sont créées.

Page 16: S ÉCURITÉ I NFORMATIQUE Asp.net. P LAN Sécurité sur Internet Sécurité avec ASP.net Gestion des comptes et droits daccès Utilisation des contrôles de Visual

SÉCURITÉ AVEC ASP.NET

Après avoir créé les objets de base de données nécessaires, vous devez modifier la connexion à la base de données utilisée par votre application MVC. Modifiez la chaîne de connexion ApplicationServices dans le fichier de configuration de votre application (web.config) de sorte qu'elle pointe vers la base de données.

Page 17: S ÉCURITÉ I NFORMATIQUE Asp.net. P LAN Sécurité sur Internet Sécurité avec ASP.net Gestion des comptes et droits daccès Utilisation des contrôles de Visual

SÉCURITÉ AVEC ASP.NET

<connectionStrings> <clear/> <add name="LocalSqlServer" connectionString="Data Source=info-web;Initial

Catalog=Catalog;Persist Security Info=True;User ID=4gb;Password=password" /> </connectionStrings>

<system.web> <!-- Définissez compilation debug="true" pour insérer des symboles de débogage dans la page compilée. Comme ceci affecte les performances, définissez cette valeur à true uniquement lors du développement. --> <roleManager enabled="true" />

<!-- La section <authentication> permet la configuration du mode d'authentification de sécurité utilisé par ASP.NET pour identifier un utilisateur entrant. --> <authentication mode="Forms" />

Page 18: S ÉCURITÉ I NFORMATIQUE Asp.net. P LAN Sécurité sur Internet Sécurité avec ASP.net Gestion des comptes et droits daccès Utilisation des contrôles de Visual

GESTION DES COMPTES ET DROITS D’ACCÈS

Utiliser l’outil de Visual studio pour configurer votre page Web.

Page 19: S ÉCURITÉ I NFORMATIQUE Asp.net. P LAN Sécurité sur Internet Sécurité avec ASP.net Gestion des comptes et droits daccès Utilisation des contrôles de Visual

GESTION DES COMPTES ET DROITS D’ACCÈS

Pour tout de suite, nous allons seulement créer un utilisateur à partir du Web. Dans le cours de commerce électronique, nous allons utiliser les techniques de programmation associé à la sécurité de page Web.

Page 20: S ÉCURITÉ I NFORMATIQUE Asp.net. P LAN Sécurité sur Internet Sécurité avec ASP.net Gestion des comptes et droits daccès Utilisation des contrôles de Visual

UTILISATION DES CONTRÔLES DE VISUAL STUDIO

Plusieurs composants permettent d’accélérer les étapes de login.

On peut trouver ces composants dans la section Connexion de Visual Studio.

Page 21: S ÉCURITÉ I NFORMATIQUE Asp.net. P LAN Sécurité sur Internet Sécurité avec ASP.net Gestion des comptes et droits daccès Utilisation des contrôles de Visual

UTILISATION DES CONTRÔLES DE VISUAL STUDIO

Création d’un utilisateur Vous obtenez en mode Design :

Page 22: S ÉCURITÉ I NFORMATIQUE Asp.net. P LAN Sécurité sur Internet Sécurité avec ASP.net Gestion des comptes et droits daccès Utilisation des contrôles de Visual

UTILISATION DES CONTRÔLES DE VISUAL STUDIO

Création d’un utilisateur Affichez le menu de la balise active du contrôle

Page 23: S ÉCURITÉ I NFORMATIQUE Asp.net. P LAN Sécurité sur Internet Sécurité avec ASP.net Gestion des comptes et droits daccès Utilisation des contrôles de Visual

UTILISATION DES CONTRÔLES DE VISUAL STUDIO

Création d’un utilisateur Affichez l’étape suivante dans la liste déroulante

Etape : Terminé :

Page 24: S ÉCURITÉ I NFORMATIQUE Asp.net. P LAN Sécurité sur Internet Sécurité avec ASP.net Gestion des comptes et droits daccès Utilisation des contrôles de Visual

UTILISATION DES CONTRÔLES DE VISUAL STUDIO

Création d’un utilisateur Ajoutez une valeur à la propriété

ContinueDestinationPageUrl :

Page 25: S ÉCURITÉ I NFORMATIQUE Asp.net. P LAN Sécurité sur Internet Sécurité avec ASP.net Gestion des comptes et droits daccès Utilisation des contrôles de Visual

UTILISATION DES CONTRÔLES DE VISUAL STUDIO

Création d’un utilisateur Notez au passage toutes les autres propriétés de

ce contrôle (Les propriétés de contenu des différents messages) :

Page 26: S ÉCURITÉ I NFORMATIQUE Asp.net. P LAN Sécurité sur Internet Sécurité avec ASP.net Gestion des comptes et droits daccès Utilisation des contrôles de Visual

UTILISATION DES CONTRÔLES DE VISUAL STUDIO

Connexion de l’utilisateur: Faites un glisser déplacer de la Boîte à outils >

rubrique Connexion > Login sur le contrôle Content1 de la page au dessus du contrôle CreateUserWizard.

Page 27: S ÉCURITÉ I NFORMATIQUE Asp.net. P LAN Sécurité sur Internet Sécurité avec ASP.net Gestion des comptes et droits daccès Utilisation des contrôles de Visual

UTILISATION DES CONTRÔLES DE VISUAL STUDIO Connexion de l’utilisateur:

DestinationPageUrl : pour rediriger l’utilisateur vers une page définie après authentification. Dans l’exercice, nous allons laisser ASP.NET 2.0 rediriger l’utilisateur automatiquement vers la page initialement demandée par l’utilisateur avant qu’on lui demande de s’authentifier.

CreateUserUrl et CreateUserText pour ajouter un lien hypertexte vers la page d’enregistrement d’un nouvel utilisateur (pour nous c’est la même page).

PasswordRecoveryText et PasswordRecoveryUrl pour ajouter un lien hypertexte vers une page permettant à l’utilisateur de retrouver son mot de passe (utilise le contrôle PasswordRecovery).

Et beaucoup d’autres…