• Like

Retours d'expériences et bonnes pratiques sur l'implémentation d'ADFS dans SharePoint

  • 417 views
Uploaded on

Implémenter l'authentification ADFS est le premier pas pour migrer vers des scénarios Online et hybrides, mais cela présente d'importants défis. Cette session propose un retour d'expérience sur les …

Implémenter l'authentification ADFS est le premier pas pour migrer vers des scénarios Online et hybrides, mais cela présente d'importants défis. Cette session propose un retour d'expérience sur les problèmes rencontrée lors de précédentes grosses migrations, ainsi que les bonnes pratiques pour implémenter au mieux cette authentification et garantir une bonne expérience utilisateur.

Speakers : Yvan Duhamel (Microsoft), Vincent Runge (Microsoft France)

More in: Technology
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Be the first to comment
    Be the first to like this
No Downloads

Views

Total Views
417
On Slideshare
0
From Embeds
0
Number of Embeds
0

Actions

Shares
Downloads
23
Comments
0
Likes
0

Embeds 0

No embeds

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide

Transcript

  • 1. Bonnes pratiques et retours d’expérience sur l’intégration SharePoint avec ADFS Vincent Runge / Yvan Duhamel Ingénieur d’Escalade / Ingénieur Support d’Escalade Microsoft http://blogs.msdn.com/b/vincent_runge http://blogs.msdn.com/b/yvan_duhamel Infrastructure, communication & collaboration
  • 2. Donnez votre avis ! Depuis votre smartphone sur : http://notes.mstechdays.fr De nombreux lots à gagner toute les heures !!! Claviers, souris et jeux Microsoft… Merci de nous aider à améliorer les Techdays ! #mstechdays Infrastructure, communication & collaboration
  • 3. Agenda Migration des Utilisateurs Gestion des Utilisateurs et des profils Claims Providers ADFS permet de donner accès à des utilisateurs externes, et prépare à Office 365 Infrastructure, communication & collaboration
  • 4. MIGRATION DES UTILISATEURS Changer le login d’un compte: Authentification Windows vers ADFS Authentification ADFS vers authentification ADFS #mstechdays Infrastructure, communication & collaboration
  • 5. Comment Migrer? • Move-SPUser • Appelle SPFarm.MigrateUserAccount() • SPFarm.MigrateUserAccount() • Pas de rollback #mstechdays Infrastructure, communication & collaboration
  • 6. Identifiants stockés à plusieurs niveaux SPFarm.MigrateUserAccount() : Batterie de Serveurs Stratégie: i:0#.w|vr530user1 i:05.t|vr530.local|user1@vr530.local 1) Change PersistedObject Application Web Base de Contenu Collection de Sites 2) Change UserInfo.Tp_Login http://VR530B Permission: i:0#.w|VR530user1 i:05.t|vr530.local|user1@vr530.local Application de Service (User Profile, Métadonnées…) 3) Appelle : SPServiceApplication.MigrateUserAccount() Animaux: Veau, Vache Permission: i:0#.w|VR530user1 i:05.t|vr530.local|user1@vr530.local #mstechdays Infrastructure, communication & collaboration
  • 7. MIGRATION DES UTILISATEURS MigrateUserAccount: usage et contraintes #mstechdays Infrastructure, communication & collaboration Design/UX/UI
  • 8. Retour d’expérience Chronologie d’utilisation - NE PAS utiliser le compte destination AVANT la migration - NE PLUS utiliser le compte source APRES la migration - NE PAS migrer 2 fois un utilisateur SPFarm.MigrateUserAccount() - Accessible PowerShell, scriptable - Permissions nécessaires: - Compte de service de la ferme - Compte qui peut invoquer toutes les applications de service #mstechdays Infrastructure, communication & collaboration
  • 9. GESTION DES PROFILS UTILISATEURS #mstechdays Infrastructure, communication & collaboration
  • 10. Importance des profils Profil contient: - Adresse SMTP => nécessaire pour les alertes, les e-mails entrants… - Adresse SIP => nécessaire pour l’integration Lync, OAuth - UPN => nécessaire pour OAuth - …. OAuth: Authentification des applications (Apps, Exchange, Office Web Apps) #mstechdays Infrastructure, communication & collaboration
  • 11. Challenge pour les profils SAML Authentification Le Security Token Service n’est pas forcément accessible par SharePoint Bénéfice de WS-Fed  4 3 1 2 5 6 Données Utilisateurs L’annuaire n’est pas forcément accessible depuis le serveur SharePoint SharePoint permet d’importer les profils à partir d’un fichier LDIF 
  • 12. SERVICE DE PROFILS UTILISATEURS Import LDIF #mstechdays Infrastructure, communication & collaboration Design/UX/UI
  • 13. Import LDIF – Exemple config MA dn: CN=SAMLUser,OU=Users,DC=VR530,DC=local changetype: add objectClass: user SPS-ClaimID: SAMLUser@VR530.local dn: CN=Yvand,OU=Users,DC=VR530,DC=local changetype: add objectClass: user SPS-ClaimID: Yvand@VR530.local WorkEmail: Yvand@VR530.local PreferredName: Yvan Duhamel #mstechdays Infrastructure, communication & collaboration
  • 14. Gestion – retour d’expérience Import LDIF: Implémenté avec succès sur annuaires volumineux Attention Problème si 2 connexions de synchronisation (1 AD et 1 ADFS) pointent sur la même source #mstechdays Infrastructure, communication & collaboration
  • 15. CLAIMS PROVIDERS Retour d’expérience de https://ldapcp.codeplex.com Projet Open Source développé par Yvan Duhamel #mstechdays Infrastructure, communication & collaboration
  • 16. Utilité des claims providers Le mode SAML s’appuie sur le protocole WS-Fed, qui implémente uniquement l’authentification, donc : - Pas de résolution de noms dans le sélectionneur de personnes (people picker) - Aucune vérification: autant de résultat que de types de claims - (Démo rapide) #mstechdays Infrastructure, communication & collaboration
  • 17. Challenge: Disponibilité • Critique : • classe fréquemment instanciée, y compris par le Timer • Plusieurs fonctionnalités s’appuient exclusivement sur les claims providers pour récupérer des informations sur un utilisateur • Flux de travail Web Analytics • Tous les composants s’appuyant sur la méthode SPUtility.GetFullNameandEmailfromLogin() • Email de bienvenue lorsqu’un utilisateur est ajouté au site #mstechdays Infrastructure, communication & collaboration
  • 18. Challenge: Développement exigeant • Peu intuitif, peu d’exemples How to: Create a claims provider in SharePoint 2013 Remplissage des propriétés importantes • Multiples topologies à considérer • Applications Webs étendues • Annuaires Multiples • Approbations (TrustedIdentityTokenIssuer) multiples • Traitement des résultats • • • • Doublons Présentation des résultats Résultat unique OU multiples Recherche sur plusieurs champs (Nom, Prénom, email, …) • Efforts des tests #mstechdays Infrastructure, communication & collaboration
  • 19. CLAIMS PROVIDER https://ldapcp.codeplex.com/ #mstechdays Infrastructure, communication & collaboration Design/UX/UI
  • 20. Retour d’expérience sur LDACP • Mature basé sur les retours de plusieurs grands comptes • Implémenté avec succès dans plusieurs environnements > 100 000 utilisateurs • Personnalisation aisée par héritage de la classe LDAPCP • Connexion à plusieurs annuaires • Personnalisation de la résolution pour certains types de claims #mstechdays Infrastructure, communication & collaboration
  • 21. Conclusion • Migration • Respect la chronologie • Profils Utilisateurs • Import LDIF • Résolution de Noms: • LDAPCP #mstechdays Infrastructure, communication & collaboration
  • 22. Questions ? Infrastructure, communication & collaboration
  • 23. Digital is business