Demandes d’authentification lorsque vous ouvrez des documents Office


Symptômes


Lorsque vous ouvrez un document Microsoft Office à partir d’un serveur web, vous pouvez être invité pour l’authentification. Les raisons techniques spécifiques sont décrits dans la Base de connaissances Microsoft l’article 838028.  Toutefois, cet article n’explique comment traiter le problème. Ko 838028 décrit le comportement de Microsoft Office 2003. Toutefois, le même comportement sous-jacent existe également pour les versions plus récentes de Microsoft Office.

Ce document fournit une vue d’ensemble du problème et les différentes approches de la manipulation. Il n’existe actuellement aucune solution. Par conséquent, la solution la plus appropriée dépend de quelle fonctionnalité est nécessaire pour le public visé et quelles configurations sont envisageables. Dans la plupart des cas, une approche de compromis est nécessaire.

Cause


Lorsque Internet Explorer essaie d’ouvrir un document Office, l’application Office appropriée est démarrée et fournie le chemin d’accès du document. L’application essaie ensuite d’accéder au document directement à partir du serveur. Cela diffère des autres navigateurs et d’autres types de fichier. La plupart des navigateurs télécharger le fichier et appelez ensuite l’application pour ouvrir le fichier à partir du cache local. Toutefois, si le fichier local est modifié et enregistré, les modifications ne sont pas enregistrées dans la copie du serveur.

Pour établir l’expérience la plus riche possible, l’application Office tout d’abord communique avec le serveur pour déterminer le type de serveur et les création de protocole n’est disponible. L’application effectue cette opération en effectuant une requête OPTIONS directement sur le serveur.

Car il s’agit d’un nouveau processus qui accède au serveur, l’application Office est requis pour l’authentification de renégocier. Cette méthode est plus sûre que la méthode dans laquelle le nouveau processus utilise une authentification existante qui a été établie par le navigateur.

Solution de contournement


Dans la plupart des cas d’Intranet, ce problème est plus facilement résolu en configurant le serveur pour utiliser l’authentification Windows intégrée et puis configuration du client pour activer la connexion automatique. Lorsque l’authentification est demandée, le nom d’utilisateur et le mot de passe de l’utilisateur Windows actuellement connecté sous est ensuite automatiquement envoyé au serveur sans intervention de l’utilisateur.

Pour permettre à Internet Explorer autoriser l’ouverture de session automatique, l’option doit être activée pour la zone dans laquelle se trouve le site. La zone Intranet Local a une configuration par défaut d’ouverture de session automatique avec le nom d’utilisateur et le mot de passe. La zone Intranet Local est définie comme comprenant les éléments suivants :

  • Toutes les connexions réseau établies en utilisant un chemin d’accès UNC Universal Naming Convention)
  • Sites Web qui contournent le serveur proxy ou qui ont des noms qui ne contiennent pas de points (par exemple, http://local)

    Remarque Ces sites Web est incluses uniquement si elles ne sont pas assignés à la zone Sites de confiance ou Sites sensibles. La zone de confiance a une configuration par défaut d’ouverture de session automatique uniquement dans la zone Intranet.

Lorsque vous ouvrez des documents de Microsoft Office à l’aide de 2007 Microsoft Office sur Windows Vista ou une version ultérieure de Windows, l’application tente d’établir une connexion de Versioning (WebDAV) sur le serveur web via le service Web Client et de Web-based Distributed Authoring. À partir de Windows Vista, le service WebClient utilise le protocole WinHTTP et n’utilise pas le Gestionnaire de zone. Les informations d’identification de l’utilisateur connecté sont automatiquement transmises uniquement si un des critères suivants est satisfait :

  • Le site est un nom NetBIOS (elle n’a aucune période dans l’URL).
  • Un proxy est détecté, et l’URL du site correspond aux critères de contournement de proxy.
  • Toutes les conditions suivantes sont remplies :
    • Le site est un nom de domaine pleinement qualifié (FQDN).
    • La version Webclnt.dll est 6.0.6000.20729 ou une version ultérieure.
    • L’URL du site correspondant aux critères spécifiés dans la valeur de Registre AuthForwardServerList Client Web service paramètre. (Pour plus d’informations, voir l’article de Base de connaissances 943280).

Si vos informations d’identification d’ouverture de session de Windows correspondent à ceux qui sont requis par le site Web, l’authentification Windows intégrée doit permettre au client d’être configuré pour se connecter automatiquement en utilisant le nom d’utilisateur Windows et un mot de passe. Notez que sur une connexion Internet à l’aide de l’authentification Windows intégrée n’est pas recommandé ou pris en charge.

Gardez à l’esprit ce cas les informations d’identification de l’utilisateur actuellement connecté ne sont pas ce qui est nécessaire pour accéder au document (par exemple, si le serveur et la station de travail ne sont pas dans des domaines approuvés), l’utilisateur est invité à entrer les informations d’identification. La règle générale est que si vous devez fournir des informations d’identification pour accéder à un site, vous devez fournissent généralement les informations d’identification pour ouvrir un document.

Lorsque l’authentification intégrée de Windows n’est pas une méthode viable d’ouverture de session, l’apparition de l’invite d’informations d’identification peut devenir problématique. Dans ce cas, envisagez d’alternatives suivantes et leurs inconvénients.

Méthode 1 : Ffonctionnalité null qui comporte un risque calculé

À l’aide de l’authentification en fonction des formulaires (FBA) ainsi que les cookies persistants

Il est le seul moyen de mettre à jour les fonctionnalités de modification directe et également ne pas être invité par l’application Office pour implémenter un serveur de pare-feu/proxy à l’aide de l’authentification Forms ainsi que des cookies persistants. Par exemple, vous pouvez utiliser un serveur Internet Security and Acceleration (ISA) ou un serveur Forefront Threat Management Gateway. Toutefois, nous vous conseillons d’attention parce que les cookies persistants ne sont pas discrimination et vous laisse des applications tirent parti de l’authentification partagée. Cette exposition peut être réduite par une configuration appropriée des paramètres de délai d’attente. Toutefois, cela introduit un élément de risque.

À l’aide d’authentification en fonction des formulaires HTML avec des cookies persistants dans ISA 2006, en dehors du navigateur (par exemple, les applications Office), les applications peuvent utiliser des cookies. Cependant, les cookies sont « persistantes ». Ils ne sont pas supprimés lorsque vous fermez le navigateur ou l’application Office, et par conséquent il peuvent y accéder si l’utilisateur a été de travailler dans un cybercafé ou un autre lieu public. Toutefois, les délais d’expiration de cookie s’appliquent toujours, en fonction de la configuration du délai d’attente dans les paramètres du serveur ISA.

Il existe une option « utiliser des cookies persistants uniquement sur les ordinateurs privés. » Cela permet de réduire cette vulnérabilité, mais les utilisateurs doivent sélectionner « ordinateur privé » sous la forme FBA pour activer la fonction de cookie persistant. (Les utilisateurs doivent sélectionner « ordinateur privé » uniquement lorsqu’ils utilisent des ordinateurs qu’il possède ou approuvent.)

Remarque Par défaut, à partir de Windows Vista avec Internet Explorer 7, les cookies persistants ne sont pas partagées à moins que le site est dans la zone de confiance. C’est en raison du paramètre « Mode protégé » dans Internet Explorer. Pour une explication et une solution de contournement, consultez l’article de Base de connaissances Microsoft 932118.

Méthode 2 : Approches de Client qui peuvent de réduire l’effet

Laissez l’application ouverte

Les utilisateurs qui souhaitent conserver la fonctionnalité de modification en direct, mais qui ne peut pas utiliser FBA avec les cookies persistants peuvent réduire l’effet de plusieurs invites en laissant l’application ouverte après le premier accès. En fermant le document seulement au lieu de l’application, un autre document qui utilise la même application peut être ouvert sans demander à l’utilisateur des informations d’identification, car le processus en cours d’exécution est déjà authentifié. Documents de différents types qui nécessitent une autre application nécessitent toujours une invite de commandes pour chaque nouvelle application qui a accès au site.

Sélectionnez « Mémoriser le mot de passe »

Les demandes d’informations d’identification peuvent également être plus discret, si l’utilisateur sélectionne l’option Mémoriser le mot de passe. Devez le faire uniquement si l’ordinateur client est dans un environnement de confiance privé. Cette méthode ne doit pas être utilisée sur un ordinateur public. (De nombreuses sociétés défini une stratégie qui interdit l’enregistrement des mots de passe.)  Enregistrer le mot de passe n’élimine pas la demande. Toutefois, ceci pré-remplit le champ afin que seul un simple clic ou combinaison de touches est requis en tant que réponse. Si cette approche est utilisée, le site doit être ajouté à la zone Sites de confiance.

Préconfigurer le résultat des OPTIONS

Comme mentionné dans la Base de connaissances l’article 838028, l’appel d’OPTIONS n’est pas exécutée si les informations précédemment obtenues et mises en cache dans le Cache de découverte de protocole de Office.

Important Modification de la clé de Registre ou les valeurs directement n’est pas recommandée. Pour préremplir les informations le plus simple est de copier et de distribuer les informations une fois qu’il a été rempli correctement sur un ordinateur de test. Les informations enregistrées sont temporaires parce qu’Office efface régulièrement le cache. Par défaut, les informations expirent après environ deux semaines, bien que ce délai peut être étendu. Une mise à jour a été inclus dans Office 2003 Service Pack 3 qui vous permet de que vous étendez jusqu'à dix ans de temps (et est également disponible dans 2007 Microsoft Office). (Voir la Base de connaissances l’article 916658). L’inconvénient de l’utilisation de cette entrée de Registre est que si le type de protocole ou un serveur de création de web change, Office 2003 toujours suppose que les anciennes informations sont valides.

Le Cache de découverte de protocole de Office

Le Cache de découverte de protocole de Office contient des entrées de la sous-clé pour chaque dossier web qui s’ouvre, et qui a répondu à une requête OPTIONS. La sous-clé de Registre qui est utilisée par Office 2003 est la suivante :

HKEY_CURRENT_USER\Software\Microsoft\Office\11.0\Common\Internet\Server Cache

Remarque 2007 Microsoft Office utilise une sous-clé similaire mais inclut le numéro de version « 12.0 » au lieu de « 11.0 ». Microsoft Office 2010 utilise « 14.0 » au lieu de « 11.0 ».

Le nombre maximal d’entrées de cache peut être défini à la valeur de Registre MaxCount sous la même clé de cache du serveur. Office supprime les anciennes entrées pour augmenter l’espace disponible si le compte maximal est atteint. Si aucun espace ne peut être effacée, les résultats de l’appel d’OPTIONS ne sont pas mis en cache.

Préconfiguration de la réponse aux OPTIONS ne peut éliminer toutes les demandes d’informations d’identification. Une demande PROPFIND ou tête peut également entraîner une demande d’authentification.

Méthode 3 : D’autres configurations si le serveur web ne prend pas en charge DAV ou si des fonctionnalités réduites est acceptable

Vous pouvez également configurer un site pour que les informations d’identification supplémentaires ne sont pas requis en forçant l’utilisation du document mis en cache localement. Toutefois, la configuration affecte tous les utilisateurs pour cette URL spécifique, et la fonctionnalité de modification directe est désactivée. Par conséquent, les utilisateurs ne seront pas en mesure d’enregistrer directement sur le serveur à partir de l’application Office. Les documents doivent être modifiés hors connexion et puis téléchargées vers le serveur. La meilleure approche dépend du scénario spécifique et le comportement désiré.

Remarque : À l’aide de Web des serveurs qui répondent à un PROPFIND en renvoyant une réponse HTTP 200 peut également provoquer une invite d’authentification si les cookies sont présents. Lorsque le service WebClient de Windows envoie une demande PROPFIND, il part du principe que si l’hôte cible prend en charge la requête PROPFIND, il retournera 207 Multi-état réponse adéquate en ayant le code XML qui contient les propriétés, valeurs et état individuel. Le service WebClient part également du principe que si l’hôte cible ne prend pas en charge PROPFIND, il renvoie un état d’erreur tel que « 405 Méthode non autorisée ». Toutefois, si le service WebClient reçoit à la place d’une réponse contenant un code d’état 200 et qui ne contient-elle pas de XML bien formé, un « paramètre non valide » erreur est généré et transmis à la routine d’évaluation d’en interne. Malheureusement, l’erreur « Paramètre non valide » peut également être générée lorsque le service détecte un cookie a expiré. Étant donné que la routine d’évaluation ne sait pas qui a déclenché l’erreur, il vérifie si des cookies ont été présents dans la demande. Si aucun cookie n’était dans la demande, l’erreur « Paramètre non valide » peut être ignoré en toute sécurité et le service conclut finalement que qu’il n’est pas un serveur WebDAV. Cependant, si les cookies sont présents, le service ne peut pas effectuer cette détermination. Par conséquent, il traite l’erreur sous la forme d’un cookie a expiré et la convertit en « Accès refusé » avant de le transmettre sauvegarder la chaîne d’appels. Finalement, l’erreur « Accès refusé » est consommé par un composant qui l’interprète en tant que spécification d’informations d’identification et génère l’invite d’authentification Windows. Les deux alternatives suivantes répondent à ce problème spécifique.

Utilisez un type de contenu une pièce jointe (et non-SharePoint)

Lorsque Internet Explorer émet la requête GET, une application web peut être en mesure de marquer explicitement le contenu sous la forme d’un téléchargement en lecture seule lorsqu’une session de modification n’est pas destinée. Pour les serveurs qui fournissent des fichiers via une application web personnalisée (par exemple, ASP ou ASP.NET), cette situation est décrite dans l’article de Base de connaissances 899927. Reportez-vous à la section « Liens hypertexte à partir d’Internet Explorer pour Office » qui décrit comment utiliser le « contenu-Disposition : Attachment » en-tête.

Si le serveur héberge des fichiers directement depuis le système de fichiers, et si les fichiers Office sont dans un dossier séparé à partir d’autres fichiers, l’en-tête peut être ajouté au niveau du dossier dans la configuration du serveur web. Cette séparation est par défaut afin que les autres fichiers ne sélectionneront pas l’en-tête involontairement.

Si l’en-tête content-disposition doit être ajouté à seulement certains types de fichiers, vous pouvez utiliser la réécriture d’URL dans IIS pour modifier l’en-tête de disposition de contenu. Pour plus d’informations sur la procédure à suivre, consultez l’article de Blog de l’équipe Support Azure suivant :

Désactiver WebDAV et/ou la prise en charge des OPTIONS et PROPFIND verbes (SharePoint et non-SharePoint)

Si l’application web n’est pas destinée à être utilisé pour WebDAV, vous pouvez définir l’Extension de Service Web qui fournit la fonctionnalité WebDAV interdit sur un serveur par défaut qui exécute IIS. (Cela peut être WebDAV ou les Extensions serveur FrontPage). Si le site fournit des fonctionnalités de WebDAV via une autre extension, le fournisseur de cette extension doit être impliqué. Par exemple, pour ce faire, à l’aide de Windows SharePoint Services (WSS), le site doit être configuré pour désactiver l’intégration du Client, ou le verbe OPTIONS et PROPFIND doit être rendue impossible. (Pour empêcher les verbes OPTIONS et PROPFIND sur Internet Information Services (IIS) version 6, supprimer les verbes à partir de la ligne de l’enregistrement de < httpHandlers > dans le fichier web.config. Dans IIS 7.0, utilisez l’onglet HTTP verbes de la fonctionnalité de filtrage des demandes pour refuser les verbes.) Sachez que cette approche s’ouvre le contenu en mode lecture seule, car cette approche désactive la fonctionnalité de modification directe.

Remarque : Office 2010 peut émettre une demande de tête en plus de la demande d’OPTIONS. Il est recommandé que vous ne supprimez pas la requête HEAD, car elle peut être utilisée par d’autres applications à d’autres fins.

Permettre l’appel d’OPTIONS pour anonyme (non-SharePoint)

Pour déterminer le type de serveur et le type de protocole de création de pages web est disponible, Office envoie tout d’abord un appel d’OPTIONS. L’appel de OPTIONS requiert des autorisations Parcourir ou liste pour réussir.

Pour éviter que la deuxième demande l’authentification, la réponse aux OPTIONS doit avoir une valeur d’État de retour autre qu’un code « 401 ». Si le serveur web utilise une application web pour accéder aux fichiers, l’application peut être modifiée pour traiter la requête OPTIONS (telles qu’à l’aide d’un « 405 : méthode non autorisée » message).

Toutefois, si les fichiers sont situés dans le système de fichiers sur le serveur web, vous pouvez éviter la demande indésirable en modifiant les autorisations pour permettre l’appel d’OPTIONS réussisse. Cela génère une réponse « 200 » correctement formé. Pour un serveur IIS, cela en activant l’accès anonyme pour le site dans le Gestionnaire des services IIS.

Remarque Utilisez cette solution de contournement uniquement si l’Extension du Service Web natif IIS WebDAV fournit la fonctionnalité WebDAV. Si les Extensions serveur FrontPage sont utilisées, vous ne devez pas implémenter cette solution de contournement. Cela peut sembler non intuitive pour un site qui fournit uniquement un accès restreint. Toutefois, l’accès limité peut être appliquée au niveau du système de fichiers. Étant donné que la requête OPTIONS requiert uniquement l’autorisation List Content (en général à la racine du site), les autorisations de dossier doivent être modifiées pour « refuser en lecture » et « refuser l’écriture » pour le compte qui est utilisé pour l’accès anonyme. (Ce compte est défini dans le Gestionnaire des services IIS, parfois en utilisant le nom convivial du « Compte de l’invité Internet ».) Cela permet d’appellent des autorisations requises pour satisfaire les OPTIONS, mais il refuse toujours l’accès à un contenu. L’application Office ouvre ensuite le document à partir du cache Internet.