Par défaut, portier Vision enregistre le mot de passe de la base de données, chiffré, dans le fichier portiervision.ini sur chaque poste. Dans certains environnements, aucun mot de passe ne doit être stocké : serveurs Citrix et Terminal Server, sessions partagées, images de référence ou environnements audités.
Pour ces cas, avec Microsoft SQL Server, il existe l’authentification intégrée. portier Vision se connecte à la base avec l’identité Windows de l’utilisateur connecté. Aucun mot de passe n’est stocké ni transmis.
À ne pas confondre avec la connexion à portier Vision même. Pour ouvrir le logiciel via votre compte Windows sans mot de passe distinct, voir Single Sign-On (SSO).
Environnements Citrix, Terminal Server et images de référence, sans identifiants stockés dans le profil
Environnements informatiques audités qui évitent les mots de passe de service stockés
Organisations qui gèrent l’accès à la base via leurs groupes Windows (Active Directory) existants
Le poste est joint au domaine Active Directory.
Une connexion existe dans Microsoft SQL Server pour l’utilisateur Windows ou, de préférence, pour un groupe AD.
Cette connexion dispose, sur la base portier, des rôles db_datareader, db_datawriter et db_ddladmin. db_ddladmin permet à portier Vision d’appliquer ses mises à jour de schéma lors d’une montée de version. Pas sysadmin, pas db_owner.
Ouvrez le portier Vision Companion (le configurateur de base de données).
Choisissez Microsoft SQL Server comme type, puis saisissez l’hôte, le port et le nom de la base comme d’habitude. Pour le format de l’hôte, voir Connexion à Microsoft SQL Server.
Pour l’authentification, choisissez Windows Login au lieu de l’authentification SQL standard. Les champs nom d’utilisateur et mot de passe disparaissent.
Lancez le test de connexion. En cas de succès, enregistrez.
Le configurateur inscrit alors DBLOGIN=1 dans portiervision.ini. portier Vision se connecte ensuite en tant qu’utilisateur Windows connecté (connexion approuvée via Kerberos ou NTLM). Aucun mot de passe n’est écrit dans le fichier.
Ouvrez portiervision.ini. Vous y voyez DBLOGIN=1 et aucune entrée de mot de passe.
Démarrez portier Vision. La base se connecte sans demander de mot de passe.
L’accès s’effectue sous l’identité Windows de l’utilisateur connecté.
Créez la connexion de base pour portier Vision avec les droits les plus faibles possibles : db_datareader et db_datawriter pour le fonctionnement courant, plus db_ddladmin pour que portier Vision puisse appliquer ses mises à jour de schéma lors des montées de version. sysadmin ou db_owner ne sont pas nécessaires et ne doivent pas être accordés. Sans db_ddladmin, la connexion passe le contrôle au démarrage, mais la montée de version suivante s’arrête à la première modification de schéma. Le plus simple est de gérer l’accès via un groupe AD dédié.
L’authentification intégrée nécessite Microsoft SQL Server et une identité de domaine Windows. Dans deux cas, elle n’est pas possible :
Firebird : la base Firebird fournie ne connaît pas l’authentification Windows intégrée. Un mot de passe chiffré reste dans portiervision.ini.
SQL Server hors domaine (groupe de travail) : sans identité de domaine, aucune authentification intégrée n’est possible. Un mot de passe chiffré reste stocké.
Pour le cas SQL Server, conservez des privilèges minimaux pour cette connexion stockée : db_datareader, db_datawriter et db_ddladmin.
Avec l’authentification intégrée, il n’existe aucun mot de passe récupérable, ni dans portiervision.ini, ni dans la mémoire du programme. L’authentification repose sur l’identité Windows de l’utilisateur.
Voir aussi : Manuel d’installation de portier Vision et Connexion à Microsoft SQL Server.
