2SeeU - Authentification des utilisateurs externes SharePoint et Office 365
-
Upload
2seeu -
Category
Technology
-
view
1.075 -
download
1
Transcript of 2SeeU - Authentification des utilisateurs externes SharePoint et Office 365
Skills for DotNet w w w. m cn e x t . co mw w w. m cn e x t . co m1
Utilisateurs externes et SharePoint hybride
2© 2014 MCNEXT
LivrablesSupport de l’atelier
Prénom NOM (MCNEXT)
Prénom NOM (CLIENT)
Contenu de l’atelier
• Questions structurantes
• Modele On prem
• Modele Online
• Recherche hybride
Agenda
Ouverture et authentification des externes, modes SharePoint hybrides
Horaire
9h-12h
Pause
Vers 10h30
Objectifs
• Définir la bonne stratégie et
configuration à utiliser pour le client
3
Questions structurantes
© 2014 MCNEXT
Planifier le socle technologique
• Proportion d’internes et d’externes qui utiliseront la plate forme?
• Les externes sont t’ils de « vrais » externes?
• Internes en mobilité
• Filiales dans des domaines non approuvés
• Habilitation des externes
• Visiteurs (Accès anonyme suffisant)
• Contributeurs ou profilés (Accès authentifié nécessaire)
• Stockage des identités externes authentifiées
• Azure AD héberge les pages « gestion des users »
• Si non, ou mettre les pages? (site anonyme)
Questions – Gestion de l’identité
4© 2014 MCNEXT
Conception
• S’il n’existe qu’un seul domaine (ou plusieurs domaines qui approuvent la plate forme)
Authentification par formulaire (FBA) classique
• S’il existe déjà une fédération ADFS
Relier la plate forme à ADFS
• Si l’on veut utiliser des identités « online » Azure
Relier la plate forme à ADFS *ou*
Utiliser Azure AD Proxy sans ADFS
• Si l’on veut utiliser des identités « online » multiples (Azure, Google, Facebook…)
Utiliser Azure B2C (beta!)
Facteurs de décision sur l’existant
5© 2014 MCNEXT
Note : utiliser ADFS avec Sharepoint onprem suppose du code (signup, people picker) et de la conf!
Conception
• Authentification par formulaire (FBA) classique
Cout minimal
Convient à un petit nombre d’externe
Non évolutif
• Authentification ADFS
Cout significatif
Convient à toutes les situations (standard MS)
Evolutif : la brique ADFS peut être utilisée par toutes les applications de l’entreprise
• Annuaire Azure
Gratuit, mais ne fonctionne pas nativement avec SharePoint
Convient dans le cadre d’un existant ou d’une migration office online
Peut être intégré dans vos applications via l’api Graph
Facteurs de décision conceptuels
6© 2014 MCNEXT
7
Implémentation « on prem »
© 2014 MCNEXT
Authentification locale par formulaire
• Un formulaire est présenté aux externes, résolu en interne sur une base SQL ou un annuaire LDAP local :
• (+) Faible cout (pas d’infra dédiée)
• (+) Simplicité
• (-) Un site anonyme doit être hébergé pour gérer le cycle de vie des utilisateurs :
Créer un compte, j’ai oublié mon mot de passe, ….
• (-) Aucune portabilité en dehors de la ferme SharePoint :
Pas directement utilisable sur une autre application
Pas de migration online
Dite « FBA », form based authentication
8© 2014 MCNEXT
ASP.NET interface LDAP or other directory store
Authentification avec ADFS 2.0
• Un fournisseur externe (qui peut être azure AD) est déclaré dans ADFS et configuré dans SharePoint. Les externes sont authentifiés par un formulaire ADFS dédié :
• (+) Flexibilité : ADFS peut s’interfacer avec tout système d’authentification + réutilisable (brique)
• (+) Expérience des internes inchangée
• (+) pas de dépendance « online »
• (-) Cout infra : Configuration complexe, serveurs ADFS proxy à déployer
• (-) pas de SSO sur mobile
Infrastructure Windows 2012
9© 2014 MCNEXT
InternePORTAIL.MCNEXT.NET
ADFS PROXYExterne
ADFS
10
Implémentation « ONLINE »
Modeles SSO avec Azure AD application Proxy
© 2014 MCNEXT
Authentification avec Azure AD proxy
• L’annuaire de l’entreprise est synchronisé avec un tenant Office 365.
• Les utilisateurs externes ou internes en mobilité, s’authentifient « online »
• Les utilisateurs internes restent en Windows intégré
• Les sites SharePoint ONPREM sont déclarés comme des « apps » dans le tenant
(+) best case pour SharePoint hybride
(+) best case pour gérer les internes en mobilité
(+) ADFS n’est pas nécessaire
(-) Synchronisation à maintenir (serveur de synchro)
(-) Kerberos impératif
(+) Mobile friendly
Annuaire fédéré
11© 2014 MCNEXT
Azure AD application proxy est un ensemble de connecteurs que l’on deploie
sur un serveur (Similaire à DirSync / Adconnect)
Azure AD proxy : applications metier
• Dans le cas precedent, AAD proxy mappe un token “online” vers un token “windows” (Kerberos)
• D’autres cas sont possibles :
• Le token peut être transformé pour être envoyé vers toute application claims ou Kerberos :
On peut obtenir du SSO online vers unix, par exemple.
Mapping de l’identité online vers onprem
12Présentation 2014 / version 1.0© 2014 MCNEXT
Différence entre AAD proxy et ADFS
Si les externes ne sont pas tous dans le tenant, ADFS reste nécessaire
13© 2014 MCNEXT
Applicationsmétier
USER
ADAAD Proxy
OFFICE 365
Applicationsmétier
Annuaires Métiers
ADFS
OFFICE 365
USER
AD
14
Recherche « Hybride » : The new, and the « old »
© 2014 MCNEXT
Modele hybride “full experience”
La recherche est fedérée quelle que soit la plate forme utilisée
15Présentation 2014 / version 1.0© 2014 MCNEXT
Le tenant doit être synchronisé, seul sharepoint 2013* ou plus est supporté dans ce mode.
le crawl est local, l’index est publié sur le tenant. C’est le mode hybride recommandé, mais le plus recent.
(*) August 2015 CU.
Modele hybride “outbound”
Implique d’établir une relation de confiance one way vers SharePoint online :
On ne veut pas que les resultats de recherche onprem apparaissent online
16Présentation 2015 / version 1.0© 2015 MCNEXT
17
Conclusion
© 2014 MCNEXT
Sources: MS « Application proxy » blog
White paperhttp://blogs.technet.com/b/applicationproxyblog/archive/2015/10/26/the-complete-guide-for-troubleshooting-azure-ad-application-proxy.aspx
Blogpost :
http://mcnextpost.com/2015/10/26/gerer-la-mobilite-des-internes-sur-sharepoint-et-
autres-avec-azure-ad-application-proxy
ImplantationsPlaza-design / Mcnext
01 49 70 81 33
Vos contacts
Paris5 rue d'Uzès - 75002 Paris
France
Tél : +33 (0)1 49 70 81 33
Fax : +33 (0)1 49 70 03 11
Lyon66 rue du Président Edouard Herriot
69002 Lyon
France
Tél : +33 (0)4 78 29 34 38
Fax : +33 (0)1 49 70 03 11
GenèveRoute de Saint-Julien
184 1228 Plan-les-Ouates
Suisse
Tél : +41 22 556 01 09
Fax : +33 (0)1 49 70 03 11
18© 2014 MCNEXT
Responsable du Pôle SharePoint : • Fabien PAQUEREAU ([email protected])
Architecte SharePoint :• Emmanuel ISSALY ([email protected])