Communauté

Doc produitsMenu

Sécurité

Rubriques dans cette section

Niveaux de contrôle de sécurité dans CES

Niveaux et ensembles d'autorisations

Types de modèles de sécurité

À propos du compte d'ouverture de session du service CES

Modification du compte d'ouverture de session CES

Qui a accès à l'Outil d'administration?

Ports utilisés par la Plateforme Coveo

À propos du port de service CES

À propos du service web Coveo Search

À propos du Service Admin de Coveo

CES et logiciels anti-virus

À propos de la sécurité du certificat de recherche

Des moteurs de recherche Internet tels que Google doivent composer avec d’énormes quantités de documents web disponibles publiquement. Au sein d’une organisation, les moteurs de recherche d’entreprise doivent composer avec un nombre nettement inférieur de documents, mais ces documents proviennent de divers référentiels et, le plus important, ils sont souvent sécurisés. Un moteur de recherche d’entreprise doit prudemment gérer les permissions de contenu pour ne retourner que les résultats de recherche que l’utilisateur qui effectue la recherche a la permission de voir dans chacun des référentiels de la source.

La plupart des référentiels d’entreprise locaux ou en nuage incluent un modèle de sécurité qui permet aux administrateurs, et même parfois aux utilisateurs, de définir des restrictions d’accès au contenu tandis que d’autres contenus peuvent demeurer disponibles à tous les membres du référentiel, ou même à tout utilisateur anonyme.

Certains référentiels d’entreprise ont des moyens d’authentification distincts afin que les utilisateurs aient des comptes distincts dans ces référentiels et doivent se connecter séparément à ces référentiels afin d’accéder à leur contenu. Lorsqu'il est disponible, un système d’authentification unique peut permettre à un utilisateur de se connecter une seule fois et obtenir automatiquement l’accès à plusieurs référentiels, comme s’il/elle portait les paramètres de connexion de tous ses comptes.

Exemple : Une personne accède à une Interface de recherche pour effectuer une requête qui ne correspond qu’à deux documents dans l’index, Doc1 dans Repo1 et Doc2 dans Repo2. La personne a trois comptes distincts : UserA-Repo1, UserA-Repo2, et UserA-AD. Dans Repo1, seul UserA-Repo1 a la permission de voir le document. Dans Repo2, seul GroupY a la permission de voir le document, mais UserA-Repo2 est un membre de ce groupe. Finalement, la source Repo1 est configurée pour enchaîner des fournisseurs de sécurité pour lier des utilisateurs Repo1 aux utilisateurs AD (Active Directory) correspondants. La source Repo2 n’est pas configurée pour lier des utilisateurs de différents types.

Lorsque la personne qui effectue la recherche est authentifiée en tant que UserA-AD, l’index retourne Doc1 parce que UserA-Repo1 a la permission de voir le document et est lié à UserA-AD dans la Cache de sécurité, mais pas Doc2, même si UserA-Repo2 est un membre de GroupY, parce qu’il n’y a pas de lien entre UserA-AD et UserA-Repo2, ils apparaissent donc comme deux personnes différentes.

Plusieurs composantes de Coveo sont impliquées pour gérer les permissions, en temps d’indexation et en temps de requête. Le schéma ci-dessous illustre les liens entre les composantes de Coveo dans un cas simple où deux référentiels sont indexés.

En temps d’indexation

Les composantes de Coveo gèrent des permissions en temps d’indexation de cette façon :

  • En analysant un référentiel, chaque Connecteur de Coveo obtient les entités de sécurité associées à chaque document indexé. Selon le modèle de sécurité du référentiel, les entités de sécurité peuvent être des utilisateurs, des groupes, des profils, des rôles ou d’autres types.

  • L'Index enregistre les entités de sécurité associées à chaque document. L’index ne sait pas quels utilisateurs appartiennent à ces groupes, profils, etc.

  • L'Index transfère les entités de sécurité à la Cache de sécurité pour s’occuper de la gestion des membres de chaque entité de sécurité.

  • La Cache de sécurité répartit les nouvelles entités de sécurité dans les bons Fournisseurs de sécurité.

  • Chaque Fournisseur de sécurité interroge le référentiel connexe pour obtenir les membres d’utilisateur pour chaque entité de sécurité (expansion d’utilisateur) et retourne ces informations à la Cache de sécurité.

  • Pour une certaine source, des Fournisseurs de sécurité peuvent être enchaînés pour lier plusieurs identités. Dans ce cas, la Cache de sécurité consulte chaque fournisseur de sécurité enchaîné pour lier les différents utilisateurs dans chaque référentiel correspondant à la même personne (correspondance d’utilisateur).

  • Ainsi, la Cache de sécurité contient tous les membres de toutes les entités de sécurité ainsi que tous les utilisateurs liés (voir Qu'est-ce qu'une cache de sécurité?).

En temps de requête

Les composantes de Coveo gèrent des permissions en temps de requête de cette façon :

  • Une Personne authentifiée comme utilisateur dans un certain référentiel accède à une Interface de recherche et effectue une requête.

  • L'Index :

    • Reçoit la requête et l’identité d’utilisateur.

    • Obtient tous les documents correspondant à la requête.

    • Interroge la Cache de sécurité pour obtenir toutes les entités de sécurité auxquelles cet utilisateur et les utilisateurs connexes appartiennent.

    • Filtre les documents correspondant à la requête pour ne retourner que des documents correspondant aux entités de sécurité autorisées auxquelles l’utilisateur appartient.

    • Retourne les résultats filtrés dans l’Interface de recherche.

  • L'Interface de recherche affiche les résultats.

Mise à jour de la cache de sécurité

Les permissions dans les référentiels d’entreprise sont, habituellement, constamment ajustées alors que des personnes rejoignent, se déplacent, ou quittent une organisation. Pour maintenir les informations sur les entités de sécurité à jour :

  • Indépendamment de l’indexation, la Cache de sécurité est mise à jour à un intervalle de temps régulier afin qu’elle contienne tous les membres actuels de toutes les entités de sécurité actuelles ainsi que tous les utilisateurs connexes (voir Qu'est-ce qu'une cache de sécurité?).

  • La cache de sécurité est mise à jour chaque soir, à minuit par défaut, pour veiller à ce que toute modification d’une entité de sécurité faite dans les référentiels indexés dans les dernières 24 heures soit en vigueur dans la cache de sécurité et donc reflétée dans les résultats de recherche.

  • Un administrateur Coveo peut modifier le temps ou la fréquence de l’horaire de mise à jour de la sécurité (voir Quelle devrait être la fréquence des horaires du système? et Modification d'horaires de système).

  • Un administrateur Coveo peut lancer manuellement l’actualisation de toute la cache de sécurité (voir Actualisation des caches de sécurité).

  • À l’aide du Navigateur de sécurité de l’Outil d’administration, un administrateur Coveo peut sélectionner un ou plusieurs utilisateurs ou groupes spécifiques et modifier la cache de sécurité spécifiquement pour eux (voir Utilisation du Navigateur de sécurité).