Retours d'expériences et bonnes pratiques sur l'implémentation d'ADFS dans SharePoint

24

description

Implémenter l'authentification ADFS est le premier pas pour migrer vers des scénarios Online et hybrides, mais cela présente d'importants défis. Cette session propose un retour d'expérience sur les problèmes rencontrée lors de précédentes grosses migrations, ainsi que les bonnes pratiques pour implémenter au mieux cette authentification et garantir une bonne expérience utilisateur. Speakers : Yvan Duhamel (Microsoft), Vincent Runge (Microsoft France)

Transcript of Retours d'expériences et bonnes pratiques sur l'implémentation d'ADFS dans SharePoint

Page 1: Retours d'expériences et bonnes pratiques sur l'implémentation d'ADFS dans SharePoint
Page 2: Retours d'expériences et bonnes pratiques sur l'implémentation d'ADFS dans SharePoint

Infrastructure, communication & collaboration

Bonnes pratiques et retours d’expérience sur l’intégration

SharePoint avec ADFS

Vincent Runge / Yvan Duhamel

Ingénieur d’Escalade / Ingénieur Support d’Escalade

Microsoft

http://blogs.msdn.com/b/vincent_runge http://blogs.msdn.com/b/yvan_duhamel

Page 3: Retours d'expériences et bonnes pratiques sur l'implémentation d'ADFS dans SharePoint

#mstechdays Infrastructure, communication & collaboration

Depuis votre smartphone sur :http://notes.mstechdays.fr

De nombreux lots à gagner toute les heures !!!Claviers, souris et jeux Microsoft…

Merci de nous aider à améliorer les Techdays !

Donnez votre avis !

Page 4: Retours d'expériences et bonnes pratiques sur l'implémentation d'ADFS dans SharePoint

Infrastructure, communication & collaboration

Agenda

Migration des UtilisateursGestion des Utilisateurs et des

profilsClaims Providers

ADFS permet de donner accès à des utilisateurs externes, et prépare à Office 365

Page 5: Retours d'expériences et bonnes pratiques sur l'implémentation d'ADFS dans SharePoint

Infrastructure, communication & collaboration

#mstechdays

MIGRATION DES UTILISATEURS

Changer le login d’un compte:

Authentification Windows vers ADFS

Authentification ADFS vers authentification ADFS

Page 6: Retours d'expériences et bonnes pratiques sur l'implémentation d'ADFS dans SharePoint

#mstechdays Infrastructure, communication & collaboration

• Move-SPUser• Appelle SPFarm.MigrateUserAccount()

• SPFarm.MigrateUserAccount()

• Pas de rollback

Comment Migrer?

Page 7: Retours d'expériences et bonnes pratiques sur l'implémentation d'ADFS dans SharePoint

#mstechdays Infrastructure, communication & collaboration

Identifiants stockés à plusieurs niveaux

Batterie de Serveurs

Application Web

Application de Service (User Profile, Métadonnées…)

Base de ContenuCollection de Sites http://VR530B

Animaux: Veau, Vache

Stratégie: i:0#.w|vr530\user1

Permission: i:0#.w|VR530\user1

Permission: i:0#.w|VR530\user1

i:05.t|vr530.local|[email protected]

SPFarm.MigrateUserAccount() :

3) Appelle :SPServiceApplication.MigrateUserAccount()

2) Change UserInfo.Tp_Login

1) Change PersistedObject

i:05.t|vr530.local|[email protected]

i:05.t|vr530.local|[email protected]

Page 8: Retours d'expériences et bonnes pratiques sur l'implémentation d'ADFS dans SharePoint

démo

Design/UX/UI#mstechdays Infrastructure, communication &

collaboration

MIGRATION DES UTILISATEURSMigrateUserAccount: usage et contraintes

Page 9: Retours d'expériences et bonnes pratiques sur l'implémentation d'ADFS dans SharePoint

#mstechdays Infrastructure, communication & collaboration

Chronologie d’utilisation- NE PAS utiliser le compte destination AVANT la migration

- NE PLUS utiliser le compte source APRES la migration

- NE PAS migrer 2 fois un utilisateur

SPFarm.MigrateUserAccount()- Accessible PowerShell, scriptable

- Permissions nécessaires:- Compte de service de la ferme- Compte qui peut invoquer toutes les applications de service

Retour d’expérience

Page 10: Retours d'expériences et bonnes pratiques sur l'implémentation d'ADFS dans SharePoint

Infrastructure, communication & collaboration

#mstechdays

GESTION DES PROFILS UTILISATEURS

Page 11: Retours d'expériences et bonnes pratiques sur l'implémentation d'ADFS dans SharePoint

#mstechdays Infrastructure, communication & collaboration

Profil contient:- Adresse SMTP => nécessaire pour les alertes, les e-mails

entrants…- Adresse SIP => nécessaire pour l’integration Lync, OAuth- UPN => nécessaire pour OAuth- ….

OAuth:Authentification des applications (Apps, Exchange, Office Web Apps)

Importance des profils

Page 12: Retours d'expériences et bonnes pratiques sur l'implémentation d'ADFS dans SharePoint

Challenge pour les profils SAMLAuthentificationLe Security Token Service n’est pas forcément accessible par SharePoint Bénéfice de WS-Fed

Données UtilisateursL’annuaire n’est pas forcément accessible depuis le serveur SharePointSharePoint permet d’importer les profils à partir d’un fichier LDIF

1 2 5 64 3

Page 13: Retours d'expériences et bonnes pratiques sur l'implémentation d'ADFS dans SharePoint

démo

Design/UX/UI#mstechdays Infrastructure, communication &

collaboration

SERVICE DE PROFILS UTILISATEURSImport LDIF

Page 14: Retours d'expériences et bonnes pratiques sur l'implémentation d'ADFS dans SharePoint

#mstechdays Infrastructure, communication & collaboration

dn: CN=SAMLUser,OU=Users,DC=VR530,DC=localchangetype: addobjectClass: userSPS-ClaimID: [email protected]

dn: CN=Yvand,OU=Users,DC=VR530,DC=localchangetype: addobjectClass: userSPS-ClaimID: [email protected]: [email protected]: Yvan Duhamel

Import LDIF – Exemple config MA

Page 15: Retours d'expériences et bonnes pratiques sur l'implémentation d'ADFS dans SharePoint

#mstechdays Infrastructure, communication & collaboration

Import LDIF:Implémenté avec succès sur annuaires volumineux

AttentionProblème si 2 connexions de synchronisation (1 AD et 1

ADFS) pointent sur la même source

Gestion – retour d’expérience

Page 16: Retours d'expériences et bonnes pratiques sur l'implémentation d'ADFS dans SharePoint

Infrastructure, communication & collaboration

#mstechdays

CLAIMS PROVIDERS

Retour d’expérience de https://ldapcp.codeplex.com

Projet Open Source développé par Yvan Duhamel

Page 17: Retours d'expériences et bonnes pratiques sur l'implémentation d'ADFS dans SharePoint

#mstechdays Infrastructure, communication & collaboration

Le mode SAML s’appuie sur le protocole WS-Fed, qui implémente uniquement l’authentification, donc :- Pas de résolution de noms dans le sélectionneur de

personnes (people picker)- Aucune vérification: autant de résultat que de types de

claims

- (Démo rapide)

Utilité des claims providers

Page 18: Retours d'expériences et bonnes pratiques sur l'implémentation d'ADFS dans SharePoint

#mstechdays Infrastructure, communication & collaboration

• Critique : • classe fréquemment instanciée, y compris par le Timer• Plusieurs fonctionnalités s’appuient exclusivement sur les

claims providers pour récupérer des informations sur un utilisateur• Flux de travail Web Analytics• Tous les composants s’appuyant sur la méthode

SPUtility.GetFullNameandEmailfromLogin()• Email de bienvenue lorsqu’un utilisateur est ajouté au

site

Challenge: Disponibilité

Page 19: Retours d'expériences et bonnes pratiques sur l'implémentation d'ADFS dans SharePoint

#mstechdays Infrastructure, communication & collaboration

• Peu intuitif, peu d’exemples How to: Create a claims provider in SharePoint 2013Remplissage des propriétés importantes

•Multiples topologies à considérer• Applications Webs étendues• Annuaires Multiples• Approbations (TrustedIdentityTokenIssuer) multiples

• Traitement des résultats• Doublons• Présentation des résultats• Résultat unique OU multiples• Recherche sur plusieurs champs (Nom, Prénom, email, …)

• Efforts des tests

Challenge: Développement exigeant

Page 20: Retours d'expériences et bonnes pratiques sur l'implémentation d'ADFS dans SharePoint

démo

Design/UX/UI#mstechdays Infrastructure, communication &

collaboration

CLAIMS PROVIDER

https://ldapcp.codeplex.com/

Page 21: Retours d'expériences et bonnes pratiques sur l'implémentation d'ADFS dans SharePoint

#mstechdays Infrastructure, communication & collaboration

• Mature basé sur les retours de plusieurs grands comptes• Implémenté avec succès dans plusieurs environnements >

100 000 utilisateurs• Personnalisation aisée par héritage de la classe LDAPCP• Connexion à plusieurs annuaires• Personnalisation de la résolution pour certains types de

claims

Retour d’expérience sur LDACP

Page 22: Retours d'expériences et bonnes pratiques sur l'implémentation d'ADFS dans SharePoint

#mstechdays Infrastructure, communication & collaboration

• Migration• Respect la chronologie

• Profils Utilisateurs• Import LDIF

• Résolution de Noms:• LDAPCP

Conclusion

Page 23: Retours d'expériences et bonnes pratiques sur l'implémentation d'ADFS dans SharePoint

Infrastructure, communication & collaboration

Questions ?

Page 24: Retours d'expériences et bonnes pratiques sur l'implémentation d'ADFS dans SharePoint

© 2014 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

Digital is business