Sécurité de SharePoint avec ISA Server 2006 et Antigen / Forefront pour SharePoint
17012011 SharePoint 2010 et les réseaux sociaux - montréal
-
Upload
nicolas-georgeault -
Category
Education
-
view
1.148 -
download
0
description
Transcript of 17012011 SharePoint 2010 et les réseaux sociaux - montréal
Groupe d’usagers
SharePoint Québec
Rencontre Mensuelle – Chapitre Montréal
17 janvier 2012
Chapitre Québec
Quelques bonnes pratiques sur l’implémentation du
RSE SharePoint 2010
Qui je suis?
Nicolas Georgeault MVP3 | SharePoint Server
Architecte SP Engagé chez Alphamosaik Président Club-SharePoint et .NET Consultant & Speaker
http://www.facebook.com/nicolas.georgeault
http://twitter.com/ngeorgeault
http://www.slideshare.com/ngeorgeault
Passionné de Horse-Ball
Références
Blog de Scott Jamison www.scottjamison.com – Session SPC310
Spencer Harbar www.harbar.net – Session SPC407
Agenda
A quoi ça sert? Gestion des identités Provisionning Guides de déploiements 13 bonnes pratiques Conclusions
A QUOI ÇA SERT?
Les Réseaux Sociaux d’Entreprise avec SharePoint 2010
1 - Identité
2 - Relations
3 - Exp.Utilisateur
4 - Partage
5 - Découverte
6 - Présence
7 - Echanges
8 - Réputation
• lier des personnes partageant des intérêts personnels ou professionnels similaires.
• Amener à partager du contenu et à enrichir la connaissance collective.
A quoi ça sert?
1 - Identité
2 - Relations
3 - Exp.Utilisateur
4 - Partage
5 - Découverte
6 - Présence
7 - Echanges
8 - Réputation
Profiles utilisateurs
Collègues et OrganigrammePersonnalisation (Ajax, SL)
Groupes (Sites)
Recherche et tagging
IM, Libre/Occupé
Wall
Notations, Notes et Activité
Les piliers du réseau Social?
Le RSE encore un truc de jeune…
NON
Réseau social d’entreprise 1.0
L’usage professionnel des medias sociaux
Marketing
Collaboration interne and formation
Service client et support
Ventes
Ressources humaines
Strategie
Dévelopment Produit
Autre
0% 10% 20% 30% 40% 50% 60%
57%
39%
29%
25%
21%
16%
14%
31%
Pourcentage de réponses
Source: August 2009 survey by Mzinga and Babson Executive
Education.
10 fondamentaux pour démarrer
Investir du temps, des ressources et… de l’argent Recruter les champions Planifier des stratégies d’adoption Evaluer et mesurer l’usage et l’efficacité du design Assurer la compatibilité Démarrer graduellement Assurer la promotion et animer Améliorer en permanence sur les retours utilisateurs Ménager les attentes et donner de la visibilité Former les utilisateurs
Challenges Culturels
Peur de perte de control pour le management
Peur de perte de valeur personnelle pour les employés
Confusion sur l’impact des nouvelles technologies sur l’activité professionnelle
Résistance au changement et à la perte des repères et conventions existantes
Réseau social = Site personnel?
NON
2 choses bien distinctes
Pas d’obligation du MySite pour démarrer le Réseau Social d’Entreprise.
MySite = Espace de stockage personnel 1 collection de site => 1 QUOTA! Limites des bases de contenu: 200Go SharePoint WorkSpace / Windows Phone 1 ou plusieurs WebApplications avec leur
Mode d’authentification
Architecture globale du Profile Service Base de données (Profile, Synchronization and Social
tagging) Services en relation (Managed Metadata, Search)
GESTION DES IDENTITÉS
Les Réseaux Sociaux d’Entreprise avec SharePoint 2010
Gestion des identités (“IdM”)
Utiliser les SharePoint User Profiles signifie que VOUS ETES dans la gestion des identités Que vous le vouliez ou non… !!!
L’initiative de gestion des identités Est avant tout un effort politique Et PAS un effort technique Aucun outils d’aucun editeur ne changera jamais cela Des compétences sur la gestion des identités sont
indispensables
10% de technologie, 90% de tout le reste!
Considérations primaires
• A qui appartient quelles données• Délégation du contrôle, les systèmes et la
culture de l’entreprise
Appartenance
• Les données sont-elles misent à jour?• Les données sont-elles « propres »?• Les données sont-elles toujours
disponibles?
Qualité des données
• Santé de ou des annuaires• Type d’annuaires• Trop de forêts ou de domaines
Qualité du système
• Sources de données externe• Authentification et Autorisation
Control de l’accès
Devenez ami avec vos administrateurs!! Peut faire toute la différence sur les implémentations
Particulièrement si la gestion de l’annuaire est déléguée
Etablir des communications régulières Pour les opérations sur l’annuaires… ex: reboot des contrôleurs de
domaine (Windows Update etc) Pour anticiper sur les mises à jour et évolutions
Adapter les droits pour satisfaire aux prérequis Correctement configurer les comptes de services Mettre en place “Replicating Directory Changes” Régulièrement adapter le schéma pour les nouveaux besoins des
profils …
Timer
Jobs
Architecture Considerations
Web Server talks direct to SQL Server For colleagues, social tags, personalization sites, etc. Maintains “front end” cache
Web Server talks to Service Application Light User Profiles
account name, display name, email, profile url, title
Application Server “mid tier” cache - 256Mb (default) Optimized for the “most used” profiles NOT most recently used profiles Average Case: ~0.5K per light profile 256MB/0.5K = 512,000 users Worst Case: ~1.8 K per light user profile 256MB/1.8KB = 142,222 users
Limites du logicielLimites Valeur
maximalePérimètre de la limite
Type de limite
Commentaire
Profils d’utilisateurs (User Profiles)
2 Millions Service Application
Supporté 1 application de service User Profile peut supporter jusqu’à 2 millions de profils d’utilisateurs avec les complète fonctionnalités sociales. Ce chiffre représente le nombre de profil qui peuvent être importés dans le magasin de profils utilisateurs depuis un service d’annuaire et aussi le nombre de profils qu’une application de service “User Profile” peut supporter sans occasionner de perte de performance dans les usages sociaux.
Tags Sociaux, commentaires et Evaluations
500 Millions Social DB Supporté Jusqu’à 500 millions de tags sociaux, de commentaires et d’évaluations au total sont supportés dans la base de données sociale sans perte de performance significative. Cependant les opérations de maintenance sur la base de données comme les opérations de sauvegarde et restauration peuvent montrer des baisse de performance à ce point.
Source: technet.microsoft.com/en-us/library/cc262787.aspx#UPA
Forefront Identity Manager (FIM)
Initialement une solution de meta annuaire Metaverse: Point de stockage qui contient des informations
d’identité aggrégées depuis de multiples sources de données.
SharePoint contient une version packagée de FIM Une sorte de FIM “light” Qui ne peut pas être comparée à FIM2010 en terme de fonctionnalités Qui ne remet pas en cause le besoin FIM global
Pas de synchronisation “Complète” Une direction seulement… Importer ou Exporter
Installé avec l’intance de service de synchronisation Installé et configuré par et à partir de l’instance du service de
synchronisation des profils utilisateurs
PROVISIONING
Les Réseaux Sociaux d’Entreprise avec SharePoint 2010
Installer UPA et UPS
Via l’Administration Centrale Assistant de configuration de la Batterie (juste pour
blaguer ) Via Manage Service Applications
Via Windows PowerShell Problème avec le Schéma par défaut N’essayez pas de scripter la création des connexions de
synchronisation N’espèrez pas scripter la création des filtres de connexion
de synchronisation
Le problème de Schéma par défaut
Quand vous n’exécutez pas la session Windows PowerShell comme Administrateur de la batterie SharePoint
Le schéma par défaut appliqué à la base de données SyncDB n’est pas le bon… Vous ne pourrez jamais démarrer l’instance du service de synchronisation… Jamais…
Contournements possibles: Ouvrir une session en tant qu’Administrateur de la batterie et avec l’élévation de
privilège UAC, exécuter les commandlet PowerShell pour créer le Service Application.Une des 5 plus mauvaises pratiques pour déployer et gérer SharePoint
Modifier manuellement le Schéma par défaut de la base de donnéesOpération NON supportée… Une autre des 5 mauvaise pratiques ;)
Solution: Get-Credential et Start-Job Dans les environnements avec UAC: Start-Process -Runas
GUIDES DE DÉPLOIEMENT
Les Réseaux Sociaux d’Entreprise avec SharePoint 2010
Santé du service d’annuaire
Bêtises en entrée == Bêtises en sortie Impacte la totalité des fonctionnalités
Une hygiène de la plateforme d’annuaire insuffisante Ex: Croissance organique des domaines et forêts
Gestion externalisée des services d’annuaire Engagement de services existants liés à d’autres
systèmes Considérez fortement un RAP Active Directory
avant de vous lancer dans un déploiement massif des fonctions sociales
Contraintes des Instances de Service
Vous pouvez uniquement avoir une seule instance de Synchronisation Par Service Application
Si il en faut plus qu’une… Vous aurez besoin d’application de service User Profile
supplémentaires Vous aurez besoin d’une machine supplémentaire pour héberger
les services de synchronisation supplémentaires
Nouveau point de faiblesse de SharePoint… En remplacement de l’Index…
Haute Disponibilité
“HD”/”failover” grace à la duplication et aux actions manuelles L’instance de service UPS doit être provisionnée manuellement Si vous démarrez UPS sur une 2ième machine, Il est systématiquement
désinstallé de la machine initiale
La mise en miroir ou le LogShipping de la SyncDB n’est pas supporté Vous n’en avez pas réellement besoin – C’est un état intermédiaire pas
définitif Limitation de FIM, pas de SharePoint. La mise en cluster est la seule
option Vous pouvez créer un UPA avec les bases Profils et Social existantes Pensez à bien documenter vos connexions, filtres et
mappings!!!
High Availability
Evolution et Performance
Déployez la Sync DB sur une instance SQL Server dédiée ou pouvant l’être facilement (Alias SQL) Gros besoin de RAM (plus encore que
SPoint!) Jusqu’à 4500 IOPS!
Pensez aussi aux bases Profile et Social Particulièrement dans le cas
d’implémentation “social” de grande échelle.
My Sites Multi-Langue
Les sites personnels peuvent être créés dans des langues différentes mais le My Site Hoste est dans une seule langue.
Support partiel pour le MUI: Quelques éléments apparaitrons dans la langue préférée: Rubant, Onglets, Menu des actions du site.
Seul le language par défaut du My Site Host sera utilisé pour la recherche phonétique dans la recherche de personne.
Attention aux attributs du profil. Tous ne peuvent pas être traduits.
Modification des My Sites
L’utilisateur est l’administrateur de la collection Simple règle de gouvernance
Demande classique: Désactiver la création de sous-sites Vraiment à considérer pour simplifier l’infrastructure! Créer un niveau de permission personnalisé sur la Web Application des
MySites Refuser le droit de Créer des sous-sites Ajouter les utilisateurs via une règles de groupe Retirer « Créer un site, etc » des menus
Autres personnalisations Ne JAMAIS modifier le modèle de site My Site Host! Créer une ou plusieurs Features et ajouté les à la définition de site
My Sites répartis
My Site Host dans chaque batterie Non supporté avec des UPA multiples dans une seule batterie
Chaque Hôte My Site doit être ajouté aux My Site Locations approuvées Les audiences seront utilisées pour que les utilisateurs soient redirigés
vers le bon hôte La Configuration et les Profils doivent être présents sur chacune des
batteries Et doivent être synchronisées! Configuration manuelle Import de profile User Profile Replication Engine (UPRE)
(http://technet.microsoft.com/en-us/library/cc663011.aspx) Audiences
Revendications (Claims)
Les audiences peuvent seulement s’appuyer sur les propriétés Lier à une revendication utilisateur necessite une configuration
manuelle Lier SPS-ClaimID à un attribut qui identifiera l’utilisateur de manière
unique Lancer une synchronisation COMPLETE
Code personnalisé requis pour le people picker Outlook Social Connector est seulement « Windows »
Vous n’avez pas besoin d’association ADFS pour synchroniser avec un annuaire LDAP
Combien de temps ça prend?
Combien de temps ça prend?
Nombre d’utilisateurs
Nombre de groupes
Taille des groupes
Volume des données des propriétés
Fréquence et nombre de changements
Une synchro complète peut prendre des jours ou des semaines
200K utilisateurs/600K groupes prend 1 semaine en Synchro complète
# de groupes est un facteur plus important que # d’utilisateurs
Tags/Commentaires ne sont pas synchronisés aucun impatcs
Exemple (avant le CU Déc 2010)
* Directory Service seulement
Démarrer une Synchronisation Complète Extrêmement intense
Utilisé uniquement quand une remise à zéro est nécessaire
Ex: les changements de schéma de profil nécessite juste une synchronisation complète ponctuelle
Recommandations générales Le journalier nécessite une synchronisation incrémentielle
Utilisateurs Groupes Groupe le plus
grand
Durée*(Full Sync)
50K 0 NA 2.5 heures
50K 12K 50 5 heures
180K 45K 1000 33 heures
200K 600K 200K 250 heures
Service Pack 1
Amélioration de la performance de traitement des données sociales
La tache programmée « Activity Feed » est active par défaut
Navigateur d’Organisation amélioré
Ajustement à la sécurité personnalisée Contrôle les permissions de tous les liens
Contrôle les permissions des liens spécifiés uniquement
Affiche tous les liens indépendamment de permission
Propriétaire secondaire par défaut pour les MySites
La gestion des tags sociaux et des données nécessite un seul paramètres
Commande Power Move-SPSocialComments Commande Power *.SPProfileLeader
Commande Power *.SPProfileSyncConnection
CU de Juin 2011
Nouvelle version de Forefront Identity Manager (2450.34)
Moins de job de synchronisation (~33% plus rapide) Amélioration majeur de la journalisation ULS Exécution de connexion de synchronisation multiple en parallèle Propriété IsSynchronizationRunning Désactivation de la modification de l’image de profil par les
administrateurs
A INSTALLER!
Comparaison de synchronisation complète
Utilisateurs
Groupes Build Groupe le plus large
Durée*(Full Sync)
50K 12K RTM 50 5 Heures
50K 12K Dec 2010 CU 50 3 Heures
50K 12K SP1 & June 2011 CU
50 2 Heures
Evènements majeurs de la batterie
Installation d’un Cumulative Update Nécessite de réinstaller l’instance sur service UPS PSConfig ignore la base de Sync DB Les mises à jour de schéma sont pris en charge pendant l’installation de l’UPS
Opération de Sauvegarde et restauration UPS est suspendu avant la sauvegarde Nécessite d’être réinstallé avec la plupart des solutions de sauvegarde tierces
N’oubliez pas… Le Compte de la ferme doit être administrateur local pendant l’installation!
Maintenance de la Sync DB
La base Sync DB peut devenir instable N’utilisez PAS certains des scripts TSQL que vous trouverez sur le
Web! Ce n’est PAS supporté!
Supprimez et recréer le service UPA Utilisez les bases Profile et Social existante, Vous ne perdrez aucune
données Une base Sync DB vide sera recréée Installer UPS mettra à jour le schéma de la base Sync DB Peut être fait en moins de 7 minutes… Finalement plus rapide que le
TSQL ;)
Des amélioration dans ce domaine sont a venir très prochainement
13 BONNES PRATIQUES
Les Réseaux Sociaux d’Entreprise avec SharePoint 2010
Bonne pratique #1
Vous n’avez pas à activer les sites personnels si vous voulez juste utiliser la recherche des
personnes et le social computing.
Bonne pratique #2
Placez l’hôte de site My Sites sur sa propre Web Application.
Bonne pratique #3
Ne provisionnez pas de site personnel pour tout le monde.
C’est un gaspillage de ressources.
Ils ont déjà un profil. ;)
Bonne pratique #4
Encouragez les utilisateurs à utiliser et respecter les tags
existants.
Bonne pratique #5
Activez la promotion sociale des mots clés de métadonnées.
Bonne pratique #6
Les évaluations sont sur quottées.
Utiliser avec précaution.
Bonne pratique #7
Activer le travail programmé « Activity Feed ».
Adapter la récurrence à vos besoins.
RTM: Désactivé par défaut
SP1: Activé par défaut
La programmation par défaut est: Toutes les heures.
Bonne pratique #8
Eloignez vous du clavier.
Prenez le temps de plannifier.
Bonne pratique #9
L’équipe AD vous mentira… Gardez des traces.
Bonne pratique #10
Configurez la mise à jour de l’AD pour partager l’image des
utilisateurs dans Outlook et Lync.Nécessite des droits supplémentaires.
Bonne pratique #11
Une fois planifiée, alors seulement vous devez vous
créez et configurez vos applications de service
Bonne pratique #12
Utilisez un compte de service dédié pour la synchronisation
Bonne pratique #13
Pour filter les utilisateurs désactivés, Utilisez l’attribut userAccountControl (Bit on
equals) 2
CONCLUSIONS
Les Réseaux Sociaux d’Entreprise avec SharePoint 2010
Resources
Le service User Profile sur TechNet http://technet.microsoft.com/en-us/library/ee721050.aspx
http://technet.microsoft.com/en-us/library/cc262706.aspx
http://technet.microsoft.com/en-us/library/hh377942.aspx
http://technet.microsoft.com/en-us/library/ee662531.aspx
Planning and Deploying SharePoint Server 2010 User Profiles for My Site Web Sites http://www.microsoft.com/download/en/details.aspx?
displaylang=en&id=11332
Harbar.net (15 articles) http://www.harbar.net/category/20.aspx
QUESTIONS?
Les Réseaux Sociaux d’Entreprise avec SharePoint 2010
Merci pour votre attention