Implémenter l'authentification ADFS est le premier pas pour migrer vers des scénarios Online et hybrides, mais cela présente d'importants défis. Cette session propose un retour d'expérience sur les problèmes rencontrée lors de précédentes grosses migrations, ainsi que les bonnes pratiques pour implémenter au mieux cette authentification et garantir une bonne expérience utilisateur.
Speakers : Yvan Duhamel (Microsoft), Vincent Runge (Microsoft France)
Retours d'expériences et bonnes pratiques sur l'implémentation d'ADFS dans SharePoint
1.
2. Bonnes pratiques et retours
d’expérience sur l’intégration
SharePoint avec ADFS
Vincent Runge / Yvan Duhamel
Ingénieur d’Escalade / Ingénieur Support d’Escalade
Microsoft
http://blogs.msdn.com/b/vincent_runge
http://blogs.msdn.com/b/yvan_duhamel
Infrastructure, communication & collaboration
3. Donnez votre avis !
Depuis votre smartphone sur :
http://notes.mstechdays.fr
De nombreux lots à gagner toute les heures !!!
Claviers, souris et jeux Microsoft…
Merci de nous aider à améliorer les Techdays !
#mstechdays
Infrastructure, communication & collaboration
4. Agenda
Migration des Utilisateurs
Gestion des Utilisateurs et des profils
Claims Providers
ADFS permet de donner accès à des utilisateurs externes, et
prépare à Office 365
Infrastructure, communication & collaboration
5. MIGRATION DES UTILISATEURS
Changer le login d’un compte:
Authentification Windows vers ADFS
Authentification ADFS vers authentification ADFS
#mstechdays
Infrastructure, communication & collaboration
6. Comment Migrer?
• Move-SPUser
• Appelle SPFarm.MigrateUserAccount()
• SPFarm.MigrateUserAccount()
• Pas de rollback
#mstechdays
Infrastructure, communication & collaboration
7. Identifiants stockés à plusieurs niveaux
SPFarm.MigrateUserAccount() :
Batterie de Serveurs
Stratégie: i:0#.w|vr530user1
i:05.t|vr530.local|user1@vr530.local
1) Change PersistedObject
Application Web
Base de Contenu
Collection de Sites
2) Change UserInfo.Tp_Login
http://VR530B
Permission: i:0#.w|VR530user1
i:05.t|vr530.local|user1@vr530.local
Application de Service (User
Profile, Métadonnées…)
3) Appelle :
SPServiceApplication.MigrateUserAccount()
Animaux: Veau, Vache
Permission: i:0#.w|VR530user1
i:05.t|vr530.local|user1@vr530.local
#mstechdays
Infrastructure, communication & collaboration
9. Retour d’expérience
Chronologie d’utilisation
- NE PAS utiliser le compte destination AVANT la migration
- NE PLUS utiliser le compte source APRES la migration
- NE PAS migrer 2 fois un utilisateur
SPFarm.MigrateUserAccount()
- Accessible PowerShell, scriptable
- Permissions nécessaires:
- Compte de service de la ferme
- Compte qui peut invoquer toutes les applications de service
#mstechdays
Infrastructure, communication & collaboration
11. Importance des profils
Profil contient:
- Adresse SMTP => nécessaire pour les alertes, les e-mails
entrants…
- Adresse SIP => nécessaire pour l’integration Lync, OAuth
- UPN => nécessaire pour OAuth
- ….
OAuth:
Authentification des applications (Apps, Exchange, Office Web Apps)
#mstechdays
Infrastructure, communication & collaboration
12. Challenge pour les profils SAML
Authentification
Le Security Token Service n’est pas
forcément accessible par SharePoint
Bénéfice de WS-Fed
4 3
1 2 5 6
Données Utilisateurs
L’annuaire n’est pas forcément accessible
depuis le serveur SharePoint
SharePoint permet d’importer les profils
à partir d’un fichier LDIF
14. Import LDIF – Exemple config MA
dn: CN=SAMLUser,OU=Users,DC=VR530,DC=local
changetype: add
objectClass: user
SPS-ClaimID: SAMLUser@VR530.local
dn: CN=Yvand,OU=Users,DC=VR530,DC=local
changetype: add
objectClass: user
SPS-ClaimID: Yvand@VR530.local
WorkEmail: Yvand@VR530.local
PreferredName: Yvan Duhamel
#mstechdays
Infrastructure, communication & collaboration
15. Gestion – retour d’expérience
Import LDIF:
Implémenté avec succès sur annuaires volumineux
Attention
Problème si 2 connexions de synchronisation (1 AD et 1 ADFS)
pointent sur la même source
#mstechdays
Infrastructure, communication & collaboration
16. CLAIMS PROVIDERS
Retour d’expérience de https://ldapcp.codeplex.com
Projet Open Source développé par Yvan Duhamel
#mstechdays
Infrastructure, communication & collaboration
17. Utilité des claims providers
Le mode SAML s’appuie sur le protocole WS-Fed, qui implémente
uniquement l’authentification, donc :
- Pas de résolution de noms dans le sélectionneur de personnes
(people picker)
- Aucune vérification: autant de résultat que de types de claims
- (Démo rapide)
#mstechdays
Infrastructure, communication & collaboration
18. Challenge: Disponibilité
• Critique :
• classe fréquemment instanciée, y compris par le Timer
• Plusieurs fonctionnalités s’appuient exclusivement sur les claims
providers pour récupérer des informations sur un utilisateur
• Flux de travail Web Analytics
• Tous les composants s’appuyant sur la méthode
SPUtility.GetFullNameandEmailfromLogin()
• Email de bienvenue lorsqu’un utilisateur est ajouté au site
#mstechdays
Infrastructure, communication & collaboration
19. Challenge: Développement exigeant
• Peu intuitif, peu d’exemples
How to: Create a claims provider in SharePoint 2013
Remplissage des propriétés importantes
• Multiples topologies à considérer
• Applications Webs étendues
• Annuaires Multiples
• Approbations (TrustedIdentityTokenIssuer) multiples
• Traitement des résultats
•
•
•
•
Doublons
Présentation des résultats
Résultat unique OU multiples
Recherche sur plusieurs champs (Nom, Prénom, email, …)
• Efforts des tests
#mstechdays
Infrastructure, communication & collaboration
21. Retour d’expérience sur LDACP
• Mature basé sur les retours de plusieurs grands comptes
• Implémenté avec succès dans plusieurs environnements > 100 000
utilisateurs
• Personnalisation aisée par héritage de la classe LDAPCP
• Connexion à plusieurs annuaires
• Personnalisation de la résolution pour certains types de claims
#mstechdays
Infrastructure, communication & collaboration
22. Conclusion
• Migration
• Respect la chronologie
• Profils Utilisateurs
• Import LDIF
• Résolution de Noms:
• LDAPCP
#mstechdays
Infrastructure, communication & collaboration