Bonnes pratiques et retours
d’expérience sur l’intégration
SharePoint avec ADFS

Vincent Runge / Yvan Duhamel
Ingénieur d’...
Donnez votre avis !
Depuis votre smartphone sur :
http://notes.mstechdays.fr
De nombreux lots à gagner toute les heures !!...
Agenda
Migration des Utilisateurs
Gestion des Utilisateurs et des profils
Claims Providers
ADFS permet de donner accès à d...
MIGRATION DES UTILISATEURS
Changer le login d’un compte:
Authentification Windows vers ADFS
Authentification ADFS vers aut...
Comment Migrer?
• Move-SPUser
• Appelle SPFarm.MigrateUserAccount()

• SPFarm.MigrateUserAccount()

• Pas de rollback

#ms...
Identifiants stockés à plusieurs niveaux
SPFarm.MigrateUserAccount() :
Batterie de Serveurs

Stratégie: i:0#.w|vr530user1
...
MIGRATION DES
UTILISATEURS
MigrateUserAccount: usage et contraintes

#mstechdays

Infrastructure, communication & collabor...
Retour d’expérience
Chronologie d’utilisation
- NE PAS utiliser le compte destination AVANT la migration
- NE PLUS utilise...
GESTION DES PROFILS
UTILISATEURS

#mstechdays

Infrastructure, communication & collaboration
Importance des profils
Profil contient:
- Adresse SMTP => nécessaire pour les alertes, les e-mails
entrants…
- Adresse SIP...
Challenge pour les profils SAML
Authentification
Le Security Token Service n’est pas
forcément accessible par SharePoint
B...
SERVICE DE PROFILS
UTILISATEURS
Import LDIF

#mstechdays

Infrastructure, communication & collaboration
Design/UX/UI
Import LDIF – Exemple config MA
dn: CN=SAMLUser,OU=Users,DC=VR530,DC=local
changetype: add
objectClass: user
SPS-ClaimID: ...
Gestion – retour d’expérience
Import LDIF:
Implémenté avec succès sur annuaires volumineux
Attention
Problème si 2 connexi...
CLAIMS PROVIDERS
Retour d’expérience de https://ldapcp.codeplex.com
Projet Open Source développé par Yvan Duhamel

#mstech...
Utilité des claims providers
Le mode SAML s’appuie sur le protocole WS-Fed, qui implémente
uniquement l’authentification, ...
Challenge: Disponibilité
• Critique :
• classe fréquemment instanciée, y compris par le Timer
• Plusieurs fonctionnalités ...
Challenge: Développement exigeant
• Peu intuitif, peu d’exemples
How to: Create a claims provider in SharePoint 2013
Rempl...
CLAIMS PROVIDER
https://ldapcp.codeplex.com/

#mstechdays

Infrastructure, communication & collaboration
Design/UX/UI
Retour d’expérience sur LDACP
• Mature basé sur les retours de plusieurs grands comptes
• Implémenté avec succès dans plus...
Conclusion
• Migration
• Respect la chronologie
• Profils Utilisateurs
• Import LDIF
• Résolution de Noms:
• LDAPCP

#mste...
Questions ?

Infrastructure, communication & collaboration
Digital is
business
Retours d'expériences et bonnes pratiques sur l'implémentation d'ADFS dans SharePoint
Upcoming SlideShare
Loading in...5
×

Retours d'expériences et bonnes pratiques sur l'implémentation d'ADFS dans SharePoint

641

Published on

Implémenter l'authentification ADFS est le premier pas pour migrer vers des scénarios Online et hybrides, mais cela présente d'importants défis. Cette session propose un retour d'expérience sur les problèmes rencontrée lors de précédentes grosses migrations, ainsi que les bonnes pratiques pour implémenter au mieux cette authentification et garantir une bonne expérience utilisateur.

Speakers : Yvan Duhamel (Microsoft), Vincent Runge (Microsoft France)

Published in: Technology
0 Comments
3 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
641
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
33
Comments
0
Likes
3
Embeds 0
No embeds

No notes for slide

Retours d'expériences et bonnes pratiques sur l'implémentation d'ADFS dans SharePoint

  1. 1. Bonnes pratiques et retours d’expérience sur l’intégration SharePoint avec ADFS Vincent Runge / Yvan Duhamel Ingénieur d’Escalade / Ingénieur Support d’Escalade Microsoft http://blogs.msdn.com/b/vincent_runge http://blogs.msdn.com/b/yvan_duhamel Infrastructure, communication & collaboration
  2. 2. Donnez votre avis ! Depuis votre smartphone sur : http://notes.mstechdays.fr De nombreux lots à gagner toute les heures !!! Claviers, souris et jeux Microsoft… Merci de nous aider à améliorer les Techdays ! #mstechdays Infrastructure, communication & collaboration
  3. 3. Agenda Migration des Utilisateurs Gestion des Utilisateurs et des profils Claims Providers ADFS permet de donner accès à des utilisateurs externes, et prépare à Office 365 Infrastructure, communication & collaboration
  4. 4. MIGRATION DES UTILISATEURS Changer le login d’un compte: Authentification Windows vers ADFS Authentification ADFS vers authentification ADFS #mstechdays Infrastructure, communication & collaboration
  5. 5. Comment Migrer? • Move-SPUser • Appelle SPFarm.MigrateUserAccount() • SPFarm.MigrateUserAccount() • Pas de rollback #mstechdays Infrastructure, communication & collaboration
  6. 6. Identifiants stockés à plusieurs niveaux SPFarm.MigrateUserAccount() : Batterie de Serveurs Stratégie: i:0#.w|vr530user1 i:05.t|vr530.local|user1@vr530.local 1) Change PersistedObject Application Web Base de Contenu Collection de Sites 2) Change UserInfo.Tp_Login http://VR530B Permission: i:0#.w|VR530user1 i:05.t|vr530.local|user1@vr530.local Application de Service (User Profile, Métadonnées…) 3) Appelle : SPServiceApplication.MigrateUserAccount() Animaux: Veau, Vache Permission: i:0#.w|VR530user1 i:05.t|vr530.local|user1@vr530.local #mstechdays Infrastructure, communication & collaboration
  7. 7. MIGRATION DES UTILISATEURS MigrateUserAccount: usage et contraintes #mstechdays Infrastructure, communication & collaboration Design/UX/UI
  8. 8. Retour d’expérience Chronologie d’utilisation - NE PAS utiliser le compte destination AVANT la migration - NE PLUS utiliser le compte source APRES la migration - NE PAS migrer 2 fois un utilisateur SPFarm.MigrateUserAccount() - Accessible PowerShell, scriptable - Permissions nécessaires: - Compte de service de la ferme - Compte qui peut invoquer toutes les applications de service #mstechdays Infrastructure, communication & collaboration
  9. 9. GESTION DES PROFILS UTILISATEURS #mstechdays Infrastructure, communication & collaboration
  10. 10. Importance des profils Profil contient: - Adresse SMTP => nécessaire pour les alertes, les e-mails entrants… - Adresse SIP => nécessaire pour l’integration Lync, OAuth - UPN => nécessaire pour OAuth - …. OAuth: Authentification des applications (Apps, Exchange, Office Web Apps) #mstechdays Infrastructure, communication & collaboration
  11. 11. Challenge pour les profils SAML Authentification Le Security Token Service n’est pas forcément accessible par SharePoint Bénéfice de WS-Fed  4 3 1 2 5 6 Données Utilisateurs L’annuaire n’est pas forcément accessible depuis le serveur SharePoint SharePoint permet d’importer les profils à partir d’un fichier LDIF 
  12. 12. SERVICE DE PROFILS UTILISATEURS Import LDIF #mstechdays Infrastructure, communication & collaboration Design/UX/UI
  13. 13. Import LDIF – Exemple config MA dn: CN=SAMLUser,OU=Users,DC=VR530,DC=local changetype: add objectClass: user SPS-ClaimID: SAMLUser@VR530.local dn: CN=Yvand,OU=Users,DC=VR530,DC=local changetype: add objectClass: user SPS-ClaimID: Yvand@VR530.local WorkEmail: Yvand@VR530.local PreferredName: Yvan Duhamel #mstechdays Infrastructure, communication & collaboration
  14. 14. Gestion – retour d’expérience Import LDIF: Implémenté avec succès sur annuaires volumineux Attention Problème si 2 connexions de synchronisation (1 AD et 1 ADFS) pointent sur la même source #mstechdays Infrastructure, communication & collaboration
  15. 15. CLAIMS PROVIDERS Retour d’expérience de https://ldapcp.codeplex.com Projet Open Source développé par Yvan Duhamel #mstechdays Infrastructure, communication & collaboration
  16. 16. Utilité des claims providers Le mode SAML s’appuie sur le protocole WS-Fed, qui implémente uniquement l’authentification, donc : - Pas de résolution de noms dans le sélectionneur de personnes (people picker) - Aucune vérification: autant de résultat que de types de claims - (Démo rapide) #mstechdays Infrastructure, communication & collaboration
  17. 17. Challenge: Disponibilité • Critique : • classe fréquemment instanciée, y compris par le Timer • Plusieurs fonctionnalités s’appuient exclusivement sur les claims providers pour récupérer des informations sur un utilisateur • Flux de travail Web Analytics • Tous les composants s’appuyant sur la méthode SPUtility.GetFullNameandEmailfromLogin() • Email de bienvenue lorsqu’un utilisateur est ajouté au site #mstechdays Infrastructure, communication & collaboration
  18. 18. Challenge: Développement exigeant • Peu intuitif, peu d’exemples How to: Create a claims provider in SharePoint 2013 Remplissage des propriétés importantes • Multiples topologies à considérer • Applications Webs étendues • Annuaires Multiples • Approbations (TrustedIdentityTokenIssuer) multiples • Traitement des résultats • • • • Doublons Présentation des résultats Résultat unique OU multiples Recherche sur plusieurs champs (Nom, Prénom, email, …) • Efforts des tests #mstechdays Infrastructure, communication & collaboration
  19. 19. CLAIMS PROVIDER https://ldapcp.codeplex.com/ #mstechdays Infrastructure, communication & collaboration Design/UX/UI
  20. 20. Retour d’expérience sur LDACP • Mature basé sur les retours de plusieurs grands comptes • Implémenté avec succès dans plusieurs environnements > 100 000 utilisateurs • Personnalisation aisée par héritage de la classe LDAPCP • Connexion à plusieurs annuaires • Personnalisation de la résolution pour certains types de claims #mstechdays Infrastructure, communication & collaboration
  21. 21. Conclusion • Migration • Respect la chronologie • Profils Utilisateurs • Import LDIF • Résolution de Noms: • LDAPCP #mstechdays Infrastructure, communication & collaboration
  22. 22. Questions ? Infrastructure, communication & collaboration
  23. 23. Digital is business
  1. A particular slide catching your eye?

    Clipping is a handy way to collect important slides you want to go back to later.

×