Bienvenue à Blogs CodeS-SourceS Identification | Inscription | Aide

Le blog de Patrick [MVP Office 365]

Partage d'informations sur yOS (Yammer, Office 365, SharePoint), Azure et +...

Actualités









  • Mon blog en ANGLAIS - English blog :

    Versions :
    14.0.4730.1010 SharePoint 2010 RC
    14.0.4762.1000 SharePoint 2010 RTM
    14.0.6029.1000 SharePoint 2010 SP1
    ​14.0.7015.1000 SharePoint 2010 SP2

    15.0.4128.1014 SharePoint 2013 Preview
    15.0.4420.1017 SharePoint 2013 RTM
    15.0.4569.1509 SharePoint 2013 SP1

    Les derniers CU pour SharePoint 2010...
    Les N° de version pour SharePoint 2013...


[SharePoint][BPOS-D] Architecture Active Directory...

Après avoir décrit la documentation disponible dans le message suivant : [SharePoint][BPOS-D] les annonces et le concret (Grille de lecture de la documentation BPOS-D - BPOS dedicated) puis l’architecture réseau : [SharePoint][BPOS-D] Architecture réseau... nous allons voir les spécificités de l’architecture Active Directory pour une infrastructure BPOS-D.

Le service s’appuie sur 4 forêts Active Directory :

1) la forêt client : il s’agit de la forêt AD pré-existante chez le client. Deux contrôleurs de domaine de cette forêt doivent être implanté physiquement dans le centre de données Microsoft, pour éviter tout problème de latence réseau. Cette forêt contient les comptes utilisateurs finaux (qui seront utilisés pour l’authentification), les contacts, les groupes d’utilisateurs et les groupes de distribution.

Il est de la responsabilité du client de gérer et de maintenir cet environnement. Le personnel Microsoft doit avoir un accès en lecture seule aux objets de la forêt client.

Certaines opérations de migration et de mise en place peuvent nécessiter une accès en lecture/écriture pour des comptes de services Microsoft Online Services.

2) La forêt gérée : elle est utilisée par Microsoft pour déployer les services demandés par les clients (ce peut être : Exchange, SharePoint et OCS ).

Cette forêt est située dans le réseau géré et est complètement administrée par Microsoft Online Services. Les comptes utilisateurs de la forêt client sont limités à un accès en lecture simple à la forêt gérée. Cependant certains changements sont propagés de la forêt client à la forêt gérée. Ainsi la forêt gérée est très largement une copie de celles se trouvant dans la forêt client.

3) La forêt d’administration : elle contient les objets nécessaires à l’administration des serveurs des zones gérée et d’administration. Elle contient les comptes pour le personnel du Help Desk et tous les autres personnels de support. Cette forêt est exclusivement gérée par Microsoft et le client n’y a aucun accès.

4) La forêt XMAN : elle fourni des services non dédiés aux clients. L’authentification sur la forêt XMAN est fourni par les protocoles WS-* en utilisant Active Directory Federation Services (AD FS). Elle est spécifiquement utilisée pour la fédération d’authentification.

 

Le schéma suivant décrit les relations d’approbation entre les différentes forêts.

La flèche “forest trust” entre la forêt client et la forêt gérée est optionnelle, cependant elle est vivement recommandée quand le niveau fonctionnel de l’AD client est au moins Windows Server 2003. Elle permet notamment l’utilisation de Kerberos V5 en parallèle avec NTLM comme protocole d’authentification

image

Il est à noter que Microsoft Online Services ne supporte pas l’implémentation de NAT (Network Address Translation) entre les domaines client et géré.

Synchronisation

MMSSPP (Microsoft Managed Solutions Service Provisioning Provider) est utilisé par Microsoft pour rendre disponible aux services hébergées un sous-ensemble des données d’identités du client. MMSSPP permet une synchronisation uni-directionnelle d'objets et d’attributs de la forêt client vers la forêt gérée.

Cependant MMSSPP est uniquement utilisé pour les services Exchange et OCS. Il ne synchronise aucun objet, ni attributs spécifique à SharePoint Online. MMSSPP n’est pas requis pour les clients ayant souscrit uniquement un abonnement au service SharePoint Online.

Pour alimenter la base de profiles SharePoint on devra donc classiquement s’appuyer sur le service SharePoint de synchronisation de profiles.

Authentification

Les utilisateurs doivent être obligatoirement être authentifiés pour accéder aux services, puisque les accès anonymes ne sont pas autorisés. Deux mécanismes d’authentification sont disponibles :

1) l’authentification Active Directory : elle dépend des relations d'approbations entre forêt et s’appuie sur les protocoles NTLM (NT LAN Manager) ou Kerberos ainsi que sur les mécanismes de contrôles d’accès de Windows. Microsoft crée la relation d’approbation entre la forêt client et la forêt gérée pour permettre aux services SharePoint Online notamment de fonctionner en mode d’authentification Windows intégré et fournit un fonctionnement en mode “single sin-on'” pour les clients.

2) l’authentification avec AD FS (Active Directory Federation Services) : AD FS est utilisé pour permettre l’accès à des utilisateurs externes à l’organisation cliente.

Typiquement dans le cas de SharePoint Online, la fonctionnalité d’accès à certains sites en mode extranet (par des utilisateurs externes à l’entreprise cliente) s’appuie sur l’authentification AD FS. Il est  ainsi possible de créer des sites partenaires accessibles à des employées d’autres organisations.

On distinguera 3 rôles pour les serveurs AD FS :

  • le fournisseur de ressources FS-R
  • le fournisseur de comptes FS-A
  • et le serveur proxy FS-P qui comme son nom l’indique sert de proxy pour la fédération de services.

Le schéma suivant donne une idée générale de l’architecture mise en place pour fournir un accès à des utilisateurs externes à un site SharePoint Online :

image

Co-localisation

C’est un pré-requis de la mise en place de Microsoft Online Services de nécessiter la co-localisation dans les centres de données de Microsoft de deux contrôleurs de domaines du client. Il s’agit d’éliminer de potentiels problèmes de latence réseau lors de l’authentification.

Ces contrôleurs de domaines sont nécessaires à la fois sur le site principal et sur le site de secours.

image_39B049B5[1]

Microsoft recommande fortement l’utilisation de la virtualisation pour déployer ces contrôleurs de domaine. Microsoft propose même de gérer le serveur de virtualisation nécessaire (sous Hyper-V). L’alternative étant de déployer des machines physiques pour répondre à ce besoin.

Un minimum de 2 contrôleurs de domaine pour chaque domaine client approuvés est requis, et ce dans chaque centre de données. Par exemple, pour un domaine, Microsoft déploiera 4 contrôleurs de domaines au total, 2 dans chaque centre de données.

Pré-requis DNS

De manière similaire, les environnements DNS doivent résoudre les noms de serveurs dans les différents environnements. Le schéma suivant illustre la configuration DNS nécessaire :

image

Il convient de retenir que les noms simples (comme “contoso” au lieu de “contoso.com”) ne sont pas supportés par Microsoft Online Services.

 

Ce message est librement traduit et adapté à partir de : image

Microsoft Online Services   Identity and Provisioning Services Description, avril 2010

  • Microsoft Exchange Online Dedicated
  • Microsoft SharePoint Online Dedicated
  • Microsoft Office Communications Online Dedicated

Pour comprendre la structuration de la documentation BPOS-D voir la grille de lecture dans ce message :[SharePoint][BPOS-D] les annonces et le concret (Grille de lecture de la documentation BPOS-D - BPOS dedicated)

Ce post vous a plu ? Ajoutez le dans vos favoris pour ne pas perdre de temps à le retrouver le jour où vous en aurez besoin :
Posted: mardi 15 juin 2010 23:56 par Patrick Guimonet

Commentaires

Pas de commentaires

Les commentaires anonymes sont désactivés

Les 10 derniers blogs postés

- Merci par Blog de Jérémy Jeanson le 10-01-2019, 20:47

- Office 365: Script PowerShell pour auditer l’usage des Office Groups de votre tenant par Blog Technique de Romelard Fabrice le 04-26-2019, 11:02

- Office 365: Script PowerShell pour auditer l’usage de Microsoft Teams de votre tenant par Blog Technique de Romelard Fabrice le 04-26-2019, 10:39

- Office 365: Script PowerShell pour auditer l’usage de OneDrive for Business de votre tenant par Blog Technique de Romelard Fabrice le 04-25-2019, 15:13

- Office 365: Script PowerShell pour auditer l’usage de SharePoint Online de votre tenant par Blog Technique de Romelard Fabrice le 02-27-2019, 13:39

- Office 365: Script PowerShell pour auditer l’usage d’Exchange Online de votre tenant par Blog Technique de Romelard Fabrice le 02-25-2019, 15:07

- Office 365: Script PowerShell pour auditer le contenu de son Office 365 Stream Portal par Blog Technique de Romelard Fabrice le 02-21-2019, 17:56

- Office 365: Script PowerShell pour auditer le contenu de son Office 365 Video Portal par Blog Technique de Romelard Fabrice le 02-18-2019, 18:56

- Office 365: Script PowerShell pour extraire les Audit Log basés sur des filtres fournis par Blog Technique de Romelard Fabrice le 01-28-2019, 16:13

- SharePoint Online: Script PowerShell pour désactiver l’Option IRM des sites SPO non autorisés par Blog Technique de Romelard Fabrice le 12-14-2018, 13:01