Post on 15-Jan-2015
description
Infrastructure, communication & collaboration
Bonnes pratiques et retours d’expérience sur l’intégration
SharePoint avec ADFS
Vincent Runge / Yvan Duhamel
Ingénieur d’Escalade / Ingénieur Support d’Escalade
Microsoft
http://blogs.msdn.com/b/vincent_runge http://blogs.msdn.com/b/yvan_duhamel
#mstechdays Infrastructure, communication & collaboration
Depuis votre smartphone sur :http://notes.mstechdays.fr
De nombreux lots à gagner toute les heures !!!Claviers, souris et jeux Microsoft…
Merci de nous aider à améliorer les Techdays !
Donnez votre avis !
Infrastructure, communication & collaboration
Agenda
Migration des UtilisateursGestion des Utilisateurs et des
profilsClaims Providers
ADFS permet de donner accès à des utilisateurs externes, et prépare à Office 365
Infrastructure, communication & collaboration
#mstechdays
MIGRATION DES UTILISATEURS
Changer le login d’un compte:
Authentification Windows vers ADFS
Authentification ADFS vers authentification ADFS
#mstechdays Infrastructure, communication & collaboration
• Move-SPUser• Appelle SPFarm.MigrateUserAccount()
• SPFarm.MigrateUserAccount()
• Pas de rollback
Comment Migrer?
#mstechdays Infrastructure, communication & collaboration
Identifiants stockés à plusieurs niveaux
Batterie de Serveurs
Application Web
Application de Service (User Profile, Métadonnées…)
Base de ContenuCollection de Sites http://VR530B
Animaux: Veau, Vache
Stratégie: i:0#.w|vr530\user1
Permission: i:0#.w|VR530\user1
Permission: i:0#.w|VR530\user1
i:05.t|vr530.local|user1@vr530.local
SPFarm.MigrateUserAccount() :
3) Appelle :SPServiceApplication.MigrateUserAccount()
2) Change UserInfo.Tp_Login
1) Change PersistedObject
i:05.t|vr530.local|user1@vr530.local
i:05.t|vr530.local|user1@vr530.local
démo
Design/UX/UI#mstechdays Infrastructure, communication &
collaboration
MIGRATION DES UTILISATEURSMigrateUserAccount: usage et contraintes
#mstechdays Infrastructure, communication & collaboration
Chronologie d’utilisation- NE PAS utiliser le compte destination AVANT la migration
- NE PLUS utiliser le compte source APRES la migration
- NE PAS migrer 2 fois un utilisateur
SPFarm.MigrateUserAccount()- Accessible PowerShell, scriptable
- Permissions nécessaires:- Compte de service de la ferme- Compte qui peut invoquer toutes les applications de service
Retour d’expérience
Infrastructure, communication & collaboration
#mstechdays
GESTION DES PROFILS UTILISATEURS
#mstechdays Infrastructure, communication & collaboration
Profil contient:- Adresse SMTP => nécessaire pour les alertes, les e-mails
entrants…- Adresse SIP => nécessaire pour l’integration Lync, OAuth- UPN => nécessaire pour OAuth- ….
OAuth:Authentification des applications (Apps, Exchange, Office Web Apps)
Importance des profils
Challenge pour les profils SAMLAuthentificationLe Security Token Service n’est pas forcément accessible par SharePoint Bénéfice de WS-Fed
Données UtilisateursL’annuaire n’est pas forcément accessible depuis le serveur SharePointSharePoint permet d’importer les profils à partir d’un fichier LDIF
1 2 5 64 3
démo
Design/UX/UI#mstechdays Infrastructure, communication &
collaboration
SERVICE DE PROFILS UTILISATEURSImport LDIF
#mstechdays Infrastructure, communication & collaboration
dn: CN=SAMLUser,OU=Users,DC=VR530,DC=localchangetype: addobjectClass: userSPS-ClaimID: SAMLUser@VR530.local
dn: CN=Yvand,OU=Users,DC=VR530,DC=localchangetype: addobjectClass: userSPS-ClaimID: Yvand@VR530.localWorkEmail: Yvand@VR530.localPreferredName: Yvan Duhamel
Import LDIF – Exemple config MA
#mstechdays Infrastructure, communication & collaboration
Import LDIF:Implémenté avec succès sur annuaires volumineux
AttentionProblème si 2 connexions de synchronisation (1 AD et 1
ADFS) pointent sur la même source
Gestion – retour d’expérience
Infrastructure, communication & collaboration
#mstechdays
CLAIMS PROVIDERS
Retour d’expérience de https://ldapcp.codeplex.com
Projet Open Source développé par Yvan Duhamel
#mstechdays Infrastructure, communication & collaboration
Le mode SAML s’appuie sur le protocole WS-Fed, qui implémente uniquement l’authentification, donc :- Pas de résolution de noms dans le sélectionneur de
personnes (people picker)- Aucune vérification: autant de résultat que de types de
claims
- (Démo rapide)
Utilité des claims providers
#mstechdays Infrastructure, communication & collaboration
• Critique : • classe fréquemment instanciée, y compris par le Timer• Plusieurs fonctionnalités s’appuient exclusivement sur les
claims providers pour récupérer des informations sur un utilisateur• Flux de travail Web Analytics• Tous les composants s’appuyant sur la méthode
SPUtility.GetFullNameandEmailfromLogin()• Email de bienvenue lorsqu’un utilisateur est ajouté au
site
Challenge: Disponibilité
#mstechdays Infrastructure, communication & collaboration
• Peu intuitif, peu d’exemples How to: Create a claims provider in SharePoint 2013Remplissage des propriétés importantes
•Multiples topologies à considérer• Applications Webs étendues• Annuaires Multiples• Approbations (TrustedIdentityTokenIssuer) multiples
• Traitement des résultats• Doublons• Présentation des résultats• Résultat unique OU multiples• Recherche sur plusieurs champs (Nom, Prénom, email, …)
• Efforts des tests
Challenge: Développement exigeant
démo
Design/UX/UI#mstechdays Infrastructure, communication &
collaboration
CLAIMS PROVIDER
https://ldapcp.codeplex.com/
#mstechdays Infrastructure, communication & collaboration
• Mature basé sur les retours de plusieurs grands comptes• Implémenté avec succès dans plusieurs environnements >
100 000 utilisateurs• Personnalisation aisée par héritage de la classe LDAPCP• Connexion à plusieurs annuaires• Personnalisation de la résolution pour certains types de
claims
Retour d’expérience sur LDACP
#mstechdays Infrastructure, communication & collaboration
• Migration• Respect la chronologie
• Profils Utilisateurs• Import LDIF
• Résolution de Noms:• LDAPCP
Conclusion
Infrastructure, communication & collaboration
Questions ?
© 2014 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.
Digital is business