Meilleures pratiques pour les environnements extranet (SharePoint Server 2010)

 

S’applique à : SharePoint Foundation 2010, SharePoint Server 2010

Dernière rubrique modifiée : 2016-11-30

Cet article décrit des recommandations pour la planification et la conception d’environnements extranet basés sur SharePoint Server dans lesquels les utilisateurs situés à l’extérieur du réseau interne se voient accorder un accès aux sites. Cet article est l’un d’une série d’articles de Meilleures pratiques pour Microsoft SharePoint Server 2010.

1. Prendre en main le modèle Topologies Extranet pour les Produits SharePoint 2010

Le modèle Topologies Extranet pour les Produits SharePoint 2010 illustre les topologies extranet spécifiques qui ont été testées avec les Produits SharePoint 2010. En outre, il compare Internet Security and Acceleration (ISA) Server, Forefront Threat Management Gateway (TMG) et Forefront Unified Access Gateway (UAG) dans le cadre d’une utilisation en tant que produit de pare-feu ou de passerelle avec les Produits SharePoint 2010.

Topologies Extranet pour les Produits SharePoint 2010

Cliquez sur l’image afin d’afficher le modèle Topologies Extranet pour les Produits SharePoint 2010. (éventuellement en anglais)

Téléchargez le modèle Topologies Extranet pour les Produits SharePoint 2010. (éventuellement en anglais) (https://go.microsoft.com/fwlink/?LinkId=219527&clcid=0x40C) (éventuellement en anglais)

2. Choisir la licence de serveur appropriée

La licence ou combinaison de licences des serveurs dépend de plusieurs facteurs. Pour SharePoint Server 2010, voir Planning for server farms (SharePoint Server 2010) pour une présentation des différentes considérations et options de gestion de licences qui s’appliquent aux environnements extranet.

3. Tirer parti de plusieurs mécanismes d’authentification

N’essayez pas de normaliser tous les utilisateurs autour d’un même mécanisme d’authentification. Utilisez le mécanisme d’authentification qui procure la meilleure expérience pour chaque audience d’utilisateurs. Par exemple, l’utilisation de l’authentification basée sur les revendications SAML pour les partenaires permet à ces utilisateurs de recourir à un même ensemble d’informations d’identification. Tirez parti de la souplesse qu’offre SharePoint Server pour la configuration de l’authentification, au lieu de déployer un mécanisme d’authentification unique pour tout le monde au sein d’une organisation.

Pour un exemple de conception qui utilise plusieurs mécanismes d’authentification, voir Exemple de conception : déploiement en entreprise (SharePoint Server 2010)

4. Maintenir la cohérence de l’authentification des utilisateurs

Assurez-vous que les utilisateurs puissent recourir aux mêmes compte et informations d’identification pour se connecter aux sites, qu’ils se trouvent à l’intérieur ou à l’extérieur du réseau interne. Cela est important, car si les utilisateurs se connectent aux sites par le biais de deux fournisseurs d’authentification différents, SharePoint Server crée deux comptes et profils différents par utilisateur.

Si vous utilisez l’authentification Windows de manière interne, il existe au moins deux options permettant aux utilisateurs de se connecter avec le même compte de manière interne et de manière externe :

• Utiliser l’authentification par formulaire dans le produit de pare-feu ou de passerelle pour collecter les informations d’identification Windows qui sont transmises à la batterie de serveurs SharePoint. Cela fonctionne dans les environnements qui utilisent l’authentification en mode classique dans lesquels l’authentification par formulaire pour les sites SharePoint n’est pas prise en charge.

• Recourir à SSL (Secure Sockets Layer) pour implémenter une seule URL utilisable de manière interne et de manière externe. En d’autres termes, les employés utilisent la même zone configurée pour SSL quel que soit l’endroit où ils se trouvent.

5. Configurer des zones de manière identique dans les applications Web

Dans un environnement extranet, la conception de zones est primordiale. Vérifiez que la configuration des zones satisfait aux contraintes suivantes :

• Configurez les zones dans différentes applications Web de façon à les mettre en miroir les unes des autres. La configuration de l’authentification, des zones et des utilisateurs affectés aux zones doit être la même. Toutefois, les stratégies associées aux zones peuvent différer d’une application Web à l’autre. Par exemple, assurez-vous que la zone Intranet est utilisée pour les mêmes employés dans toutes les applications Web. En d’autres termes, ne configurez pas la zone intranet pour les employés internes dans une application Web et pour les employés distants dans une autre application Web.

• Configurez les mappages des accès de substitution de manière appropriée et avec précision pour chaque zone et chaque ressource. Les mappages des accès de substitution sont automatiquement créés lorsque vous créez la zone. Toutefois, SharePoint Server peut être configuré pour analyser le contenu dans des ressources externes, comme un partage de fichiers. Vous devez utiliser des mappages des accès de substitution pour créer manuellement des liens pour chaque zone vers ces ressources externes.

6. Tirer parti d’un serveur proxy inverse

Protégez votre environnement contre les demandes utilisateur directes en utilisant un serveur proxy inverse, sur lequel des règles d’inspection de demande peuvent être appliquées à chaque demande. Un proxy inverse peut empêcher la divulgation d’informations sur la configuration d’un réseau interne et permet de mettre fin de manière sécurisée aux sessions SSL clientes pour éviter une surcharge SSL sur les serveurs Web.

Forefront Unified Access Gateway (UAG) est un serveur proxy inverse qui offre de nombreuses possibilités lorsque vous le combinez à SharePoint Server dans des environnements extranet. Pour plus d’informations, voir les ressources suivantes :

• SharePoint publishing solution guide

• Why enable SharePoint extranet access with Forefront UAG?

7. Configurer l’accès à travers le pare-feu et les paramètres des appareils mobiles

Une zone d’accès à travers le pare-feu permet de générer des URL externes pour les messages d’alerte mobile. En outre, elle permet aux utilisateurs de cliquer sur le bouton Envoyer un lien par messagerie du Ruban pour envoyer une URL accessible de manière externe. Il est nécessaire d’effectuer certaines tâches de configuration pour que les sites SharePoint soient accessibles aux appareils mobiles, tels que Windows Phone 7, lorsque ceux-ci sont utilisés en dehors du pare-feu d’entreprise.

Pour plus d’informations, voir les articles suivants :

• Configurer l’accès externe pour les appareils mobiles (SharePoint Server 2010)

• Planifier les appareils mobiles (SharePoint Server 2010)

8. Configurer le sélecteur de personnes pour plusieurs domaines

Étant donné que les environnements extranet peuvent englober plusieurs domaines, veillez à configurer le sélecteur de personnes de manière à obtenir des utilisateurs, des groupes et des revendications appartenant aux domaines appropriés.

Pour plus d’informations, voir les ressources suivantes :

• Utilisation du sélecteur de personnes avec plusieurs forêts ou domaines

• Activer les requêtes inter-forêts ou inter-domaines lors de l’utilisation d’une approbation à sens unique

9. Configurer les paramètres antivirus

SharePoint Server comprend un scanneur antivirus que vous pouvez configurer à l’aide de l’Administration centrale ou de l’outil en ligne de commande stsadm.

10. Utiliser le service Banque d’informations sécurisé pour gérer les informations d’identification des services qui accèdent à des sources de données principales

Les applications de service qui utilisent une identité Windows déléguée (Excel Services, PerformancePoint Services, InfoPath Forms Services, et Visio Services) pour accéder à des sources de données externes supposent une configuration spécifique de l’environnement. Soit les sources de données externes doivent résider dans le même domaine que la batterie de serveurs SharePoint qui héberge le service, soit l’application de service doit être configurée de manière à utiliser le service Banque d’informations sécurisé. Si le service Banque d’informations sécurisé n’est pas utilisé et que les serveurs de la batterie sont répartis entre deux domaines, les serveurs d’applications doivent résider dans le même domaine que les sources de données externes. Si les sources de données externes ne résident pas dans le même domaine, l’authentification auprès de ces sources de données est vouée à l’échec.

11. Configurer DNS pour les topologies fractionnées dos à dos

Si les serveurs Web sont répartis entre le réseau interne et le réseau de périmètre, vérifiez que DNS est configuré avec les enregistrements appropriés dans chaque zone de réseau de manière à rediriger le trafic vers les serveurs Web appropriés.

Pour plus d’informations sur la configuration de DNS, voir « Zones et URL » dans l’article suivant :Exemple de conception : déploiement en entreprise (SharePoint Server 2010)

L’équipe de publication de contenu SharePoint Server 2010 remercie les personnes suivantes pour leur contribution à la rédaction de cet article :

• Ali Mazaheri, Microsoft Consulting Services

• Bryan Porter, Microsoft Consulting Services

• Steve Walker, Ingénierie client Microsoft SharePoint

• Tajeshwar Singh, Microsoft Consulting Services