[SharePoint][BPOS-D] Architecture Active Directory...
Après avoir décrit la documentation disponible dans le message suivant : [SharePoint][BPOS-D] les annonces et le concret (Grille de lecture de la documentation BPOS-D - BPOS dedicated) puis l’architecture réseau : [SharePoint][BPOS-D] Architecture réseau... nous allons voir les spécificités de l’architecture Active Directory pour une infrastructure BPOS-D.
Le service s’appuie sur 4 forêts Active Directory :
1) la forêt client : il s’agit de la forêt AD pré-existante chez le client. Deux contrôleurs de domaine de cette forêt doivent être implanté physiquement dans le centre de données Microsoft, pour éviter tout problème de latence réseau. Cette forêt contient les comptes utilisateurs finaux (qui seront utilisés pour l’authentification), les contacts, les groupes d’utilisateurs et les groupes de distribution.
Il est de la responsabilité du client de gérer et de maintenir cet environnement. Le personnel Microsoft doit avoir un accès en lecture seule aux objets de la forêt client.
Certaines opérations de migration et de mise en place peuvent nécessiter une accès en lecture/écriture pour des comptes de services Microsoft Online Services.
2) La forêt gérée : elle est utilisée par Microsoft pour déployer les services demandés par les clients (ce peut être : Exchange, SharePoint et OCS ).
Cette forêt est située dans le réseau géré et est complètement administrée par Microsoft Online Services. Les comptes utilisateurs de la forêt client sont limités à un accès en lecture simple à la forêt gérée. Cependant certains changements sont propagés de la forêt client à la forêt gérée. Ainsi la forêt gérée est très largement une copie de celles se trouvant dans la forêt client.
3) La forêt d’administration : elle contient les objets nécessaires à l’administration des serveurs des zones gérée et d’administration. Elle contient les comptes pour le personnel du Help Desk et tous les autres personnels de support. Cette forêt est exclusivement gérée par Microsoft et le client n’y a aucun accès.
4) La forêt XMAN : elle fourni des services non dédiés aux clients. L’authentification sur la forêt XMAN est fourni par les protocoles WS-* en utilisant Active Directory Federation Services (AD FS). Elle est spécifiquement utilisée pour la fédération d’authentification.
Le schéma suivant décrit les relations d’approbation entre les différentes forêts.
La flèche “forest trust” entre la forêt client et la forêt gérée est optionnelle, cependant elle est vivement recommandée quand le niveau fonctionnel de l’AD client est au moins Windows Server 2003. Elle permet notamment l’utilisation de Kerberos V5 en parallèle avec NTLM comme protocole d’authentification
Il est à noter que Microsoft Online Services ne supporte pas l’implémentation de NAT (Network Address Translation) entre les domaines client et géré.
Synchronisation
MMSSPP (Microsoft Managed Solutions Service Provisioning Provider) est utilisé par Microsoft pour rendre disponible aux services hébergées un sous-ensemble des données d’identités du client. MMSSPP permet une synchronisation uni-directionnelle d'objets et d’attributs de la forêt client vers la forêt gérée.
Cependant MMSSPP est uniquement utilisé pour les services Exchange et OCS. Il ne synchronise aucun objet, ni attributs spécifique à SharePoint Online. MMSSPP n’est pas requis pour les clients ayant souscrit uniquement un abonnement au service SharePoint Online.
Pour alimenter la base de profiles SharePoint on devra donc classiquement s’appuyer sur le service SharePoint de synchronisation de profiles.
Authentification
Les utilisateurs doivent être obligatoirement être authentifiés pour accéder aux services, puisque les accès anonymes ne sont pas autorisés. Deux mécanismes d’authentification sont disponibles :
1) l’authentification Active Directory : elle dépend des relations d'approbations entre forêt et s’appuie sur les protocoles NTLM (NT LAN Manager) ou Kerberos ainsi que sur les mécanismes de contrôles d’accès de Windows. Microsoft crée la relation d’approbation entre la forêt client et la forêt gérée pour permettre aux services SharePoint Online notamment de fonctionner en mode d’authentification Windows intégré et fournit un fonctionnement en mode “single sin-on'” pour les clients.
2) l’authentification avec AD FS (Active Directory Federation Services) : AD FS est utilisé pour permettre l’accès à des utilisateurs externes à l’organisation cliente.
Typiquement dans le cas de SharePoint Online, la fonctionnalité d’accès à certains sites en mode extranet (par des utilisateurs externes à l’entreprise cliente) s’appuie sur l’authentification AD FS. Il est ainsi possible de créer des sites partenaires accessibles à des employées d’autres organisations.
On distinguera 3 rôles pour les serveurs AD FS :
- le fournisseur de ressources FS-R
- le fournisseur de comptes FS-A
- et le serveur proxy FS-P qui comme son nom l’indique sert de proxy pour la fédération de services.
Le schéma suivant donne une idée générale de l’architecture mise en place pour fournir un accès à des utilisateurs externes à un site SharePoint Online :
Co-localisation
C’est un pré-requis de la mise en place de Microsoft Online Services de nécessiter la co-localisation dans les centres de données de Microsoft de deux contrôleurs de domaines du client. Il s’agit d’éliminer de potentiels problèmes de latence réseau lors de l’authentification.
Ces contrôleurs de domaines sont nécessaires à la fois sur le site principal et sur le site de secours.
Microsoft recommande fortement l’utilisation de la virtualisation pour déployer ces contrôleurs de domaine. Microsoft propose même de gérer le serveur de virtualisation nécessaire (sous Hyper-V). L’alternative étant de déployer des machines physiques pour répondre à ce besoin.
Un minimum de 2 contrôleurs de domaine pour chaque domaine client approuvés est requis, et ce dans chaque centre de données. Par exemple, pour un domaine, Microsoft déploiera 4 contrôleurs de domaines au total, 2 dans chaque centre de données.
Pré-requis DNS
De manière similaire, les environnements DNS doivent résoudre les noms de serveurs dans les différents environnements. Le schéma suivant illustre la configuration DNS nécessaire :
Il convient de retenir que les noms simples (comme “contoso” au lieu de “contoso.com”) ne sont pas supportés par Microsoft Online Services.
Ce message est librement traduit et adapté à partir de : 
Microsoft Online Services Identity and Provisioning Services Description, avril 2010
- Microsoft Exchange Online Dedicated
- Microsoft SharePoint Online Dedicated
- Microsoft Office Communications Online Dedicated
Pour comprendre la structuration de la documentation BPOS-D voir la grille de lecture dans ce message :[SharePoint][BPOS-D] les annonces et le concret (Grille de lecture de la documentation BPOS-D - BPOS dedicated)
Ce post vous a plu ? Ajoutez le dans vos favoris pour ne pas perdre de temps à le retrouver le jour où vous en aurez besoin :