none
déploiement extranet de la plateforme Sharepoint RRS feed

  • Question

  • Bonjour,
    je suis sur un nouveau projet de déploiement de MOSS 2007 sur une infrastructure extranet et j ai pas trop d'idée de ce que ca peut etre différent par rapport à une infrastructure intranet( avaec laquelle j ai  de l'expérience)?
    ma question , en quoi c'est différent? quels sont les point à prendre en compte pour le bien mener?
    Merci pour votre aide.
    vendredi 19 février 2010 08:21

Réponses

Toutes les réponses

  • Bonjour,

    Extranet rime rarement avec Active Directory.
    Si vous n'avez pas d'AD, pensez que l'intégration avec Office sera très difficile.
    Idem pour MOSS avec des fonctionnalités avancées tel que le SSO par exemple (ne fonctionne qu'avec l'AD).

    Extranet est souvent synonyme de clients hétérogènes. Pensez à prendre en compte leur navigateur pour les fonctionnalités et le rendu.
    Vient ensuite l'accompagnement au changement et/ou la formation selon ce qui existait auparavant. En interne, les usagers peuvent être rassemblés, formés, etc. En extranet c'est beaucoup plus dur. Il vous faut alors simplifier beaucoup de choses. Pensez à mettre en place un plan de gouvernance bien ficelé.

    Je ne peux pas vous fournir une liste exhaustive de ce qui change, mais c'est assez important. N'hésitez pas à poser des questions sur le forum dès le démarrage du projet.

    Sébastien PICAMELOT - http://blogs.developpeur.org/gribouillon/
    vendredi 19 février 2010 18:24
    Modérateur
  • Merci Séb,
    le probléme c'est au niveau du firewal ISA , qd l'utiliser par exemple, pour l'authentification des utilisateurs..
    Merci de m'éclaircir sur ces points la.
    lundi 22 février 2010 08:24
  • Si le mode d'authentification est AD, la configuration ISA peut être relativement simple. Il peut y avoir un Active Directory reservé à l'extranet ou un RODC... dans ce cas ISA pourrait authentifier les utilisateurs à la place de SharePoint et véhiculer les credentials (sous réserve d'activer Kerberos).

    Sans AD, SharePoint utilisera un MemberShip Provider... ce qu'ISA ne gère pas à ma connaissance. ISA devra donc laisser passer toutes les requêtes, comme si SharePoint était en accès anonyme. C'est SharePoint lui même qui gèrera l'identification.

    Pour prendre en compte les membership provider directement au niveau du portail de sécurité, ForeFront UAG (anciennement IAG) me parait plus adapté.

    Autre solution, mais en utilisant SharePoint 2010 dont la sortie RTM semble relativement proche à présent. SharePoint 2010 utilise une authentification par Claims qui pourrait permettre de déléguer l'authentification aux partenaires de l'extranet, ou bien de la gérer en interne tout en conservant un mecanisme de Single Sign On.



    http://blogs.developpeur.org/gribouillon/
    lundi 22 février 2010 09:38
    Modérateur
  • merci bcp seb
    mais pour l'authentification je dois prevoir deux mode, ad pour les internes et une base de donnees pour les partenaires.
    maiss cotes developpement ca change rien le fait d'avoir extranet et intranet ( coté sécurité sur tout)
    Merci
    lundi 22 février 2010 16:14
  • Non, côté développement ou prise en compte de la sécurité il n'y a pas de différence, c'est transparent.
    Pensez bien néanmoins que vous ne pourrez pas offrir les mêmes fonctionnalités aux utilisateurs internes et externes (cf. mon premier message) et qu'ISA ne vous sera d'aucun secours pour authentifier les utilisateurs externes.

    J'espère vous avoir aider. Pensez à marquer les posts qui vous ont été utiles et à indiquer ceux apportant une réponse à votre question.

    Bon courage.

    Sébastien PICAMELOT - http://blogs.developpeur.org/gribouillon/
    mardi 23 février 2010 00:32
    Modérateur
  • Bonjour Seb,
    maintenant j ai des idees claires sur le projet, mais je ne peux décider du choix à faire, est ce que tu pourras m 'aider ds ce sens?
    le probleme : je dois choisir pour  l authentification entre une base sql et l'utilisation de AD existant ou l'utilisation d'un nouveau AD pour les utilisateurs externes.
    est ce que tu pourra me donner des conseils sur ces choix la et merci
    mercredi 24 février 2010 13:44
  • Pas de conseil, mais des questions pour t'aider à mettre les choses à plat :

    - combien d'utilisateurs sont prévus ?
    - à quel rythme les nouveaux utilisateurs seront-ils créés ?
    - qui créé et met à jour les comptes utilisateur ?
    - l'extranet doit-il se connecter à des applications déjà en place (Reporting Services, bases relationnelles, ...)
    - les utilisateurs doivent-ils s'authentifier sur un formulaire Web ou sur une boite de dialogue ?
    - les outils Office client vont-ils être utilisés ?
    - les utilisateurs sont-ils associés à des groupes ?
    - la base d'utilisateur existe t-elle déjà ?

    Il y a pas mal d'autres questions de ce type à se poser. De manière générale, l'authentification AD offre plus de souplesse que celle via Membership provider.

    Sébastien PICAMELOT - http://blogs.developpeur.org/gribouillon
    mercredi 24 février 2010 13:56
    Modérateur
  • Merci de repondre si rapidement,
    les reponses:
    - nbre d utilisateurs externe de 600 à 1000
    - peut de changements mais changement possible
    - la creation et la MAJ des utilisateurs externes : une personne de l'interne (AD interne)
    - en faite l'extranet c une parite accecssible par les utilisateurs externes, à la base c un intranet qu on doit ouvrir en partie
    - l authentification : pas de choix exigés
    -les outils offices client vont etre utilisés
    - oui les utilisateurs externe seront associé à des groupe avec des droits differents
    - il existe un AD pour les internes mais les externes y a rien

    Merci beaucoup Seb
    mercredi 24 février 2010 14:12
  • S'il y a utilisation des outils Office, l'AD est très fortement recommandé (il existe néanmoins des workarounds... jete un coup d'oeil à mon article sur TechHeadBrothers : http://www.techheadbrothers.com/Articles.aspx/sharepoint-2007-authentification-formulaire-integration-suite-office-page-1)

    Pour protéger l'AD interne, on ferme généralement l'accès à l'AD depuis l'extérieur. Les topologies Extranet ont beaucoup d'incidence sur les possibilités du portail extranet. Jette un coup d'oeil aux documents technet : http://technet.microsoft.com/fr-fr/library/cc287908.aspx.

    Ce qu'il faut retenir, c'est qu'en général il faut un controleur de domaine en DMZ en plus de celui en interne : soit il s'agit d'un domaine différent (et dans ce cas les personnes en internes devront se ré-authentifier, et pas forcément avec le même mot de passe), soit il s'agit du même domaine (avec un RODC).

    Si le scénario avec le RODC est possible, il faut plutôt partir là dessus.

    PS : n'oubli pas d'indiquer quels posts t'ont été utiles et de valider les réponses à ta question.

    Sébastien PICAMELOT - http://blogs.developpeur.org/gribouillon
    mercredi 24 février 2010 14:43
    Modérateur
  • Merci Seb pour la réponse.
    Le scénario avec RODC n'est pas possible par ce que les serveurs sont tous des Windows 2003 R2 et pas des 2008.
    j'ai pensé à une solution mais je ne sais pas si c la bonne ou pas:
    utiliser le web SSO avec ADFS, donc j aurais deux AD avec un ADFS. comme ca les utilisateurs n auront pas à se réauthentifier et la gestion des compte ne se fera qu'une seule fois; qu est ce que vous en pensez de cette solution?
    Cordialement
    mercredi 24 février 2010 15:00
  • ADFS permet d'utiliser des webs services pour ne pas avoir à se réauthentifier. Il faut donc déjà être authentifié, ce qui convient en interne uniquement.
    Ensuite, l'utilisation d'ADFS passe par l'utilisation d'un membership provider. Les applications Office ne pourront donc pas "complètement" l'utiliser.

    Donc en gros, oui, ADFS peut permettre de fédérer les annuaires internes et extranet, en préservant le SSO s'il est utilisé pour l'interne uniquement. Mais quitte à utiliser ADFS, je préconiserai l'utilisation d'ADFS v2 (anciennement Geneva) car il se base sur l'authentification par Claims (dont je parlais au début du thread). Il y a eu des tests de développement plutôt concluant pour intégrer les claims sous SharePoint 2007 (via un HttpModule aussi, avec ou sans cardspace). Le modèle ADFS v2 est utilisé en standard sous SharePoint 2010... faire ce choix me parait garantir toutes les chances de migration vers la plateforme 2010.

    Sébastien PICAMELOT - http://blogs.developpeur.org/gribouillon
    mercredi 24 février 2010 15:20
    Modérateur
  • Merci Seb pour ta réactivité et tes réponses enrichissante.
    le choix me parait difficile pour le moment et il me faut plus d'investigation.
    y aurait pas un  moyen de securisé l AD pour les internes et de l'utiliser pour les externes aussi? le risque c que si y a un prob ds AD les internes seront bloqué complétement.
    Merci
    mercredi 24 février 2010 15:27
  • Il existe pas mal de moyens de le sécuriser (ISA par exemple), mais généralement les responsables sécurité préfèrent ne pas du tout l'exposer pour éviter toute intrusion, et baser les appplications en DMZ sur un autre annuaire (LDAP, novell, etc). Le compromis, c'est souvent un second AD en DMZ. Et pour réactiver le SSO, il n'y a que le RODC ou l'utilisation de services de SSO comme le fait ADFS (mais ça peut être un service custom si nécessaire).
    Sébastien PICAMELOT - http://blogs.developpeur.org/gribouillon
    mercredi 24 février 2010 15:37
    Modérateur
  • et si j'utilise un second AD (avec le meme domaine) avec une relation de confiance avec le premier AD, est ce qu il y aura un probleme?
    Excuse moi Seb mais mes connaissance ds ce domaine ne sont pas enorme.
    Cordialement
    mercredi 24 février 2010 15:43
  • Tu fais bien de poser la question. Je n'ai pas de background infra à la base, je suis passé par là aussi :-)

    Effectivement, la relation de confiance fonctionne bien. Mais dans ce scénario l'AD interne est accessible depuis la DMZ... donc moins sécurisé.
    De toute façon, il n'y a pas LA solution. Il te faudra trouver un compromis. Ca peut être une DMZ sécurisée par des ISA et avec deux AD reliés par une relation de confiance... le tout c'est que ça passe pour les responsables sécurité. Ca dépend de la politique de l'entreprise à ce sujet et l'enjeu d'ouverture de l'extranet.

    J'ai vu quelques grosses entreprises qui s'étaient juré de ne jamais mettre d'AD en DMZ et qui se retrouvent pourtant avec plusieurs milliers d'utilisateurs dans un domaine en DMZ :-)

    Sébastien PICAMELOT - http://blogs.developpeur.org/gribouillon
    mercredi 24 février 2010 15:49
    Modérateur
  • une question, y aura pas de isa server mais un autre firewall, je peux mettre le deuxieme AD ds la DMZ avec une relation de confiance avec le premier?
    j 'essaye de trouver une solution pas tres difficile à implémenter sans oublier la sécurité.
    Merci SEB

    mercredi 24 février 2010 15:58
  • oui. Comme d'autres, ISA est un reverse proxy.
    Sébastien PICAMELOT - http://blogs.developpeur.org/gribouillon
    • Marqué comme réponse chakib_19 jeudi 25 février 2010 08:46
    mercredi 24 février 2010 17:44
    Modérateur
  • Merci beaucoup Seb,
    c 'enrichissant ce que vous m'avez dit.
    je retiens la solution avec un AD pour les internes, un AD pour les externes avec relation de confiance en les deux AD.
    Merci encore une fois
    jeudi 25 février 2010 08:46