Plan de nommage des groupes de sécurité SharePoint

Dans une organisation, la sécurité des informations stockées dans SharePoint est assurée uniquement à travers les groupes de sécurité SharePoint.

Il est interdit de donner un autorisation en utilisant directement un groupe de l’annuaire central. Par contre, un groupe de l’annuaire central peut appartenir à un groupe de sécurité SharePoint.

L’objectif est de disposer d’un plan de nommage des groupes de sécurité qui soit :

  • structuré de manière identique quelque soit le groupe, l’objet à sécuriser ou l’autorisation,
  • adapté au modèle de sécurité SharePoint.

Structuré de manière identique quelque soit le groupe, l’objet à sécuriser ou l’autorisation

Afin de normaliser la codification pour nommer le groupe de sécurité, il est proposé le format suivant:

CODESITE _ AAAAAAAA

où :

  • CODESITE: Nom court du site des Directions / Départements / Services,
  • AAAAAAAA: Niveaux d’autorisations SharePoint accordées avec les libellés suivants: Contrôle total, Lecture, Collaboration, Conception, etc.

Pour des raisons de lisibilité et de compréhension, il a été préféré d’afficher directement le niveau d’autorisations (Contrôle total) plutôt que les noms classiques des groupes SharePoint: Approbateurs, Concepteurs, Gestionnaires de hiérarchies, Lecteurs de ressources de style, Membres, Propriétaires, Visiteurs.

Les espaces entre les valeurs doivent être respectés.

Le nom court du site correspond à une nomenclature interne sur 3 ou 4 caractères. Par exemple, le site du Service de Support aux Fournisseurs étrangers de langue française a le code: SFEF, celui de la Direction des Ressources Humaines est: DRH.

Ceux qui donne les noms de groupes suivants pour le site de la Direction des Ressources Humaines:

  • DRH _ Collaboration
  • DRH _ Lecture
  • etc.

La présence de l’underscore (« _ ») permettra de ne pas mélanger ces autorisations avec celles des niveaux inférieurs (cf. ci-dessous).

Adapté au modèle de sécurité SharePoint

Vue de l’utilisateur, les objets sécurisables dans SharePoint sont la Collection de sites, les sites, les listes (ou les bibliothèques), les dossiers des bibliothèques et les éléments (ou les documents).

Compte-tenu de l’héritage des autorisations, le besoin de disposer d’un groupe de sécurité au niveau d’un objet enfant (par exemple une bibliothèque d’un site) se justifie par la nécessité de personnaliser les autorisations.

Pour répondre à cette contrainte, il a été proposé que la valeur du code T varie en fonction de l’objet et du nom interne de l’objet.

Liste ou bibliothèque

Dans le cas d’une liste, le nom interne est généré automatiquement par SharePoint à partir du nom. Le nom interne ne varie jamais, même en cas de renommage de la liste. Par ailleurs, il n’est pas possible d’avoir deux noms internes identiques dans un site.

Afin d’avoir des noms internes courts et lisibles, les listes sont systématiquement créées avec le nom interne désiré puis ensuite elles sont renommées.

Par exemple, si vous désirez avoir une bibliothèque nommée Rapports d’activités, vous la créez avec le nom RAPACT puis ensuite vous la renommez en Rapports d’activités.

Le format de normalisation du nom des listes devient:

CODESITE CODELISTE _ _ AAAAAAAA

où :

  • CODELISTE: Nom interne de la liste.

CODESITE et AAAAAAAA sont inchangés par rapport à la codification du site.

La présence des underscores en double est obligatoire à cause des dossiers et des éléments (cf. ci-dessous).

Donc, s’il est nécessaire d’avoir des groupes spécifiques à la bibliothèque Rapports d’activités du site DRH, cela donnerait:

  • DRH RAPACT _ _ Collaboration
  • DRH RAPACT _ _ Lecture
  • etc.

Dossier

Il n’est pas facile d’interdire à un utilisateur de créer un dossier dans une bibliothèque SharePoint.

Vous savez bien qu’il ne suffit pas de cacher l’option Nouveau dossier. par exemple, l’utilisateur peut contourner ce paramétrage grâce au lien Ouvrir avec l’Explorateur du ruban Bibliothèque ce qui lui permet de créer des dossiers.

Malgré tout, il existe des méthodes pour l’interdire complètement. Elles seront détaillées dans un autre article.

Dans notre cas, les utilisateurs pouvaient créer eux-mêmes les dossiers grâce au navigateur. Il n’était donc pas possible d’imposer un nom unique pour tous les dossiers d’un site. Il est donc possible d’avoir deux bibliothèques distinctes avec chacune un dossier qui porte le même nom.

La solution a consisté à modifier la codification pour les dossiers, de la façon suivante:

CODESITE CODELISTE _ CODEDOS AAAAAAAA

où :

  • CODEDOS: Nom court du dossier.

Dans un souci de simplicité, il n’a pas été imposé une codification stricte du nom court du dossier. La seule contrainte est d’être significatif, de ne pas dépasser 6 caractères et d’être unique.

Donc, s’il est nécessaire d’avoir des groupes spécifiques au dossier Audits internes de la bibliothèque Rapports d’activités du site DRH, cela donnerait par exemple:

  • DRH RAPACT _ AUDINT Lecture
  • DRH RAPACT _ AUDINT Collaboration
  • etc.

Élément ou Document

Pour des raisons liées au caractère sensible des données de l’organisation (Laboratoire pharmaceutique) et pour des raisons historiques (ancien système basé sur Lotus Domino), les autorisations sont fréquemment données au niveau du document…

Pour s’adapter à cette contrainte forte, la codification des groupes de sécurité SharePoint liés à un élément dans une liste ou un document d’une bibliothèque est à la suivante:

CODESITE CODELISTE CODEDOC AAAAAAAA

où :

  • CODEDOC: Nom court du document ou de l’élément.

Le nom court du document est généré comme un nom court de fichiers (nom 8dot3 http://technet.microsoft.com/en-us/library/ff621566(v=ws.10).aspx). Dans une invite de commande, les noms courts sont visibles grâce à l’instruction DIR /X.

Volontairement, il n’est pas tenu compte de la présence ou de dossiers dans la bibliothèque.

Si le document qui s’intitule Produit XYZ.docx a comme nom court PRODUI~1.DOC (par exemple).

Donc, s’il est nécessaire d’avoir des groupes spécifiques à ce document, cela donne:

  • DRH RAPACT PRODUI~1.DOC Lecture
  • DRH RAPACT PRODUI~1.DOC Collaboration
  • etc.

En images

Plan de nommage des groupes de sécurité SharePoint

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *