Restreindre l’accès aux ressources web spécifiées par des utilisateurs spécifiques

Cet article décrit les méthodes permettant d’empêcher des utilisateurs spécifiques d’accéder aux ressources web spécifiées.

              Version d’origine du produit : ASP.NET
Numéro de la base de connaissances d’origine : 815151

Résumé

Les applications web basées sur ASP.NET offrent de nombreuses façons aux utilisateurs d’être authentifiés et autorisés à accéder aux ressources. La façon dont vous limitez l’accès aux ressources varie en fonction de la méthode d’authentification que vous utilisez. Par exemple, pour une application où vous utilisez Microsoft Authentification Windows et que vous activez l’emprunt d’identité, vous pouvez utiliser les autorisations de fichier NTFS (New Technology File System) pour le contrôle d’accès. Toutefois, pour une application où vous utilisez l’authentification par formulaire, vous devez modifier le fichier Web.config pour restreindre l’accès. Cet article explique comment contrôler l’autorisation pour ces deux méthodes d’authentification ASP.NET.

Contrôler l’autorisation à l’aide des autorisations de fichier

Pour ASP.NET applications web où vous utilisez Authentification Windows et que vous activez l’emprunt d’identité, vous pouvez utiliser des autorisations de fichier NTFS standard pour exiger l’authentification et restreindre l’accès aux fichiers et dossiers :

• Pour exiger l’authentification, supprimez les autorisations d’accès du compte d’utilisateur ASPNET pour le fichier ou le dossier.
• Pour restreindre l’accès à des comptes d’utilisateur Ou de groupe Windows spécifiques, accordez ou refusez des autorisations de fichier NTFS en lecture sur des fichiers ou des dossiers.

Contrôler l’autorisation en modifiant le fichier Web.config

Pour restreindre l’accès aux applications ASP.NET qui utilisent l’authentification par formulaire, modifiez l’élément <authorization> dans le fichier Web.configde l’application . Pour cela, procédez comme suit :

1. Démarrez un éditeur de texte, tel que le Bloc-notes, puis ouvrez le fichier Web.config qui se trouve dans le dossier racine de l’application.

   Remarque

   Si le fichier Web.config n’existe pas, créez un fichier Web.config pour l’application ASP.NET.

2. Si vous souhaitez contrôler l’autorisation pour l’ensemble de l’application, ajoutez l’élément <authorization> configuration à l’élément <system.web> dans le fichier Web.config .

3. Dans l’élément <authorization> , ajoutez l’élément <allow> configuration et l’élément configuration <deny> . Utilisez l’attribut users pour spécifier une liste de noms d’utilisateur délimités par des virgules. Vous pouvez utiliser un point d’interrogation ( ?) comme caractère générique qui correspond à n’importe quel nom d’utilisateur. Par exemple, le code suivant refuse l’accès à tous les utilisateurs à l’exception user1 de et user2:

   <authorization>
       <allow users="user1, user2"/>
       <deny users="?"/>
   </authorization>
   

4. Enregistrez le fichier Web.config .

References

• Comment modifier la configuration d’une application ASP.NET

• Comment créer le fichier Web.config pour une application ASP.NET

• Comment définir des paramètres de configuration d’application et de Directory-Specific dans une application ASP.NET

• Comment sécuriser les applications basées sur le .NET Framework