Protéger les accès à Admintools pour des utilisateurs non Admin
Attention cette note technique ne sera valide qu'après application du Service Pack 1 .Net 2013
Il est possible de demander une connexion pour l'accès à Admintools ou aux outils.
I - Identification pour accéder au répertoire Admintools
Dans le paramètrage IIS de l'application, il faut modifier le paramètrage des Document par défaut :
Remontez Loader.ashx au-dessus de Default.htm.
Cette modification contrôle uniquement l'accès au répertoire AdminTools, c'est-à-dire les urls du type http://serveur/application/AdminTools Il laisse la possibilité de générer (et donc d'utiliser) des urls directes qui ne contrôlent pas l'accès ex : http://serveur/application/AdminTools/CheckSendMail.aspx
II - Identification pour accéder à tous les outils
Pour bloquer tous les outils, il faut modifier le fichier Web.config de l'application en ajoutant :
<location path="AdminTools" >
<system.web>
<authorization>
<allow roles="Admin"/>
<deny users="*" />
</authorization>
</system.web>
</location>
Dans ce cas l'accès à l'une quelconque des URLs d'AdminTools redirige vers la page de login (popup de login en mode windows), il n'y as pas de possibilité de gérer une page d'erreur d'accès.
Cette méthode permet également un paramètrage plus fin : autoriser l'accès à certains outils ou à certains rôles ou un mixte.