Skills for DotNet w w w. m cn e x t . co mw w w. m cn e x t . co m1

Utilisateurs externes et SharePoint hybride

2© 2014 MCNEXT

LivrablesSupport de l’atelier

Prénom NOM (MCNEXT)

Prénom NOM (CLIENT)

Contenu de l’atelier

• Questions structurantes

• Modele On prem

• Modele Online

• Recherche hybride

Agenda

Ouverture et authentification des externes, modes SharePoint hybrides

Horaire

9h-12h

Pause

Vers 10h30

Objectifs

• Définir la bonne stratégie et

configuration à utiliser pour le client

3

Questions structurantes

© 2014 MCNEXT

Planifier le socle technologique

• Proportion d’internes et d’externes qui utiliseront la plate forme?

• Les externes sont t’ils de « vrais » externes?

• Internes en mobilité

• Filiales dans des domaines non approuvés

• Habilitation des externes

• Visiteurs (Accès anonyme suffisant)

• Contributeurs ou profilés (Accès authentifié nécessaire)

• Stockage des identités externes authentifiées

• Azure AD héberge les pages « gestion des users »

• Si non, ou mettre les pages? (site anonyme)

Questions – Gestion de l’identité

4© 2014 MCNEXT

Conception

• S’il n’existe qu’un seul domaine (ou plusieurs domaines qui approuvent la plate forme)

Authentification par formulaire (FBA) classique

• S’il existe déjà une fédération ADFS

Relier la plate forme à ADFS

• Si l’on veut utiliser des identités « online » Azure

Relier la plate forme à ADFS *ou*

Utiliser Azure AD Proxy sans ADFS

• Si l’on veut utiliser des identités « online » multiples (Azure, Google, Facebook…)

Utiliser Azure B2C (beta!)

Facteurs de décision sur l’existant

5© 2014 MCNEXT

Note : utiliser ADFS avec Sharepoint onprem suppose du code (signup, people picker) et de la conf!

Conception

• Authentification par formulaire (FBA) classique

Cout minimal

Convient à un petit nombre d’externe

Non évolutif

• Authentification ADFS

Cout significatif

Convient à toutes les situations (standard MS)

Evolutif : la brique ADFS peut être utilisée par toutes les applications de l’entreprise

• Annuaire Azure

Gratuit, mais ne fonctionne pas nativement avec SharePoint

Convient dans le cadre d’un existant ou d’une migration office online

Peut être intégré dans vos applications via l’api Graph

Facteurs de décision conceptuels

6© 2014 MCNEXT

7

Implémentation « on prem »

© 2014 MCNEXT

Authentification locale par formulaire

• Un formulaire est présenté aux externes, résolu en interne sur une base SQL ou un annuaire LDAP local :

• (+) Faible cout (pas d’infra dédiée)

• (+) Simplicité

• (-) Un site anonyme doit être hébergé pour gérer le cycle de vie des utilisateurs :

Créer un compte, j’ai oublié mon mot de passe, ….

• (-) Aucune portabilité en dehors de la ferme SharePoint :

Pas directement utilisable sur une autre application

Pas de migration online

Dite « FBA », form based authentication

8© 2014 MCNEXT

ASP.NET interface LDAP or other directory store

Authentification avec ADFS 2.0

• Un fournisseur externe (qui peut être azure AD) est déclaré dans ADFS et configuré dans SharePoint. Les externes sont authentifiés par un formulaire ADFS dédié :

• (+) Flexibilité : ADFS peut s’interfacer avec tout système d’authentification + réutilisable (brique)

• (+) Expérience des internes inchangée

• (+) pas de dépendance « online »

• (-) Cout infra : Configuration complexe, serveurs ADFS proxy à déployer

• (-) pas de SSO sur mobile

Infrastructure Windows 2012

9© 2014 MCNEXT

InternePORTAIL.MCNEXT.NET

ADFS PROXYExterne

ADFS

10

Implémentation « ONLINE »

Modeles SSO avec Azure AD application Proxy

© 2014 MCNEXT

Authentification avec Azure AD proxy

• L’annuaire de l’entreprise est synchronisé avec un tenant Office 365.

• Les utilisateurs externes ou internes en mobilité, s’authentifient « online »

• Les utilisateurs internes restent en Windows intégré

• Les sites SharePoint ONPREM sont déclarés comme des « apps » dans le tenant

(+) best case pour SharePoint hybride

(+) best case pour gérer les internes en mobilité

(+) ADFS n’est pas nécessaire

(-) Synchronisation à maintenir (serveur de synchro)

(-) Kerberos impératif

(+) Mobile friendly

Annuaire fédéré

11© 2014 MCNEXT

Azure AD application proxy est un ensemble de connecteurs que l’on deploie

sur un serveur (Similaire à DirSync / Adconnect)

Azure AD proxy : applications metier

• Dans le cas precedent, AAD proxy mappe un token “online” vers un token “windows” (Kerberos)

• D’autres cas sont possibles :

• Le token peut être transformé pour être envoyé vers toute application claims ou Kerberos :

On peut obtenir du SSO online vers unix, par exemple.

Mapping de l’identité online vers onprem

12Présentation 2014 / version 1.0© 2014 MCNEXT

Différence entre AAD proxy et ADFS

Si les externes ne sont pas tous dans le tenant, ADFS reste nécessaire

13© 2014 MCNEXT

Applicationsmétier

USER

ADAAD Proxy

OFFICE 365

Applicationsmétier

Annuaires Métiers

ADFS

OFFICE 365

USER

AD

14

Recherche « Hybride » : The new, and the « old »

© 2014 MCNEXT

Modele hybride “full experience”

La recherche est fedérée quelle que soit la plate forme utilisée

15Présentation 2014 / version 1.0© 2014 MCNEXT

Le tenant doit être synchronisé, seul sharepoint 2013* ou plus est supporté dans ce mode.

le crawl est local, l’index est publié sur le tenant. C’est le mode hybride recommandé, mais le plus recent.

(*) August 2015 CU.

Modele hybride “outbound”

Implique d’établir une relation de confiance one way vers SharePoint online :

On ne veut pas que les resultats de recherche onprem apparaissent online

16Présentation 2015 / version 1.0© 2015 MCNEXT

17

Conclusion

© 2014 MCNEXT

Sources: MS « Application proxy » blog

White paperhttp://blogs.technet.com/b/applicationproxyblog/archive/2015/10/26/the-complete-guide-for-troubleshooting-azure-ad-application-proxy.aspx

Blogpost :

http://mcnextpost.com/2015/10/26/gerer-la-mobilite-des-internes-sur-sharepoint-et-

autres-avec-azure-ad-application-proxy

ImplantationsPlaza-design / Mcnext

01 49 70 81 33

Vos contacts

Paris5 rue d'Uzès - 75002 Paris

France

Tél : +33 (0)1 49 70 81 33

Fax : +33 (0)1 49 70 03 11

Lyon66 rue du Président Edouard Herriot

69002 Lyon

France

Tél : +33 (0)4 78 29 34 38

Fax : +33 (0)1 49 70 03 11

GenèveRoute de Saint-Julien

184 1228 Plan-les-Ouates

Suisse

Tél : +41 22 556 01 09

Fax : +33 (0)1 49 70 03 11

18© 2014 MCNEXT

Responsable du Pôle SharePoint : • Fabien PAQUEREAU (fpaquereau@mcnext.com)

Architecte SharePoint :• Emmanuel ISSALY (eissaly@mcnext.com)