Scénarios de déploiement

Fournisseurs d'authentification unique

SharePoint peut utiliser l'authentification en mode classique ou l'authentification basée sur les déclarations. L'authentification en mode classique est une authentification Windows traditionnelle telle que l'authentification intégrée de Windows (NTLM/Kerberos) ou les schémas de base nom d'utilisateur/mot de passe. L'authentification basée sur les demandes est une nouveauté de SharePoint depuis SharePoint 2010 et repose sur Windows Identity Foundation (WIF). Il existe trois types de schémas d'authentification basés sur les déclarations : déclarations Windows, déclarations basées sur des formulaires et déclarations SAML.

Fournisseurs d'authentification mixte

Vous pouvez configurer plusieurs fournisseurs d'authentification avec SharePoint (authentification Windows, authentification par formulaire et fournisseurs d'identité de confiance) en utilisant la même URL sans avoir à étendre l'application Web. Les utilisateurs externes et internes accéderaient au site Web sur https://intranet.company.com, par exemple. Par défaut, l'utilisateur choisit la méthode d'authentification lorsqu'il se connecte. Sinon, l'administrateur peut étendre SharePoint afin d'utiliser des méthodes par programmation pour guider l'utilisateur vers la méthode d'authentification correcte (basée sur l'adresse IP, par exemple). SharePoint affiche la page unique pour le mode d'authentification mixte où l'utilisateur peut choisir le fournisseur.

Applications Web et zones multiples

À des fins techniques, une zone est un chemin logique par lequel les utilisateurs accèdent à une application Web. L'URL est la face publique commune d'une zone. L'objectif de la zone est de permettre aux utilisateurs d'accéder à une application Web ou à une autre application SharePoint. La plupart des utilisateurs ne pensent pas à la zone. Les utilisateurs envisagent une URL qui accède directement à l'application Web, mais une zone ajoute une couche d'abstraction permettant plus de configurations. Une application Web peut avoir plusieurs URL, qui mènent toutes au même endroit et utilisent la même zone. Cela maximise la réutilisation et renforce la sécurité.

People Picker avec filtrage Active Directory

Okta People Picker affiche les utilisateurs importés d'Active Directory (AD) deux fois : en tant qu'utilisateur Okta et qu'utilisateur du domaine AD. Les administrateurs peuvent voir et gérer uniquement les utilisateurs AD d'origine. Ils peuvent également préciser que certains domaines conservent leur comportement initial.

Activer cette fonctionnalité nécessite de paramétrer certaines propriétés de l'objet $farm dans SharePoint. Consultez le filtrage Active Directory pour connaître les valeurs des propriétés personnalisées nécessaires.

Masquer People Picker

People Picker est configuré au niveau de la zone pour une ferme en utilisant l'opération stsadm setproperty. En configurant les paramètres du contrôle, les administrateurs peuvent filtrer et restreindre les résultats qui s'affichent lorsqu'un utilisateur recherche un utilisateur, un groupe ou une déclaration. Ces paramètres s'appliquent à chaque site d'une collection de sites spécifique. Pour plus d'informations sur la configuration de People Picker, consultez Configurer People Picker dans SharePoint 2013. (Source : https://learn.microsoft.com/fr-fr/sharepoint/administration/people-picker-and-claims-providers-overview)

Restreindre People Picker à un groupe dans Active Directory

Si une application Web utilise l'authentification Windows et que le chemin d'accès au répertoire utilisateur du site n'est pas défini, le contrôle People Picker effectue une recherche sur l'ensemble d'Active Directory pour résoudre les noms d'utilisateurs ou trouver des utilisateurs, au lieu de rechercher uniquement les utilisateurs d'une unité organisationnelle (OU) particulière. L'opération Stsadm setsiteuseraccountdirectorypath vous permet de définir le chemin d'accès au répertoire de l'utilisateur vers une OU spécifique du même domaine. Une fois que le chemin d'accès au répertoire est défini sur une collection de sites, le contrôle People Picker ne recherche que sous cette OU particulière.

Pour restreindre People Picker à une certaine OU dans Active Directory, saisissez la commande suivante :

stsadm ­o setsiteuseraccountdirectorypath ­-path <Valid OU name> –url <Web application URL>

Authentification des demandes Okta avec plusieurs applications SharePoint (SSO)

Les administrateurs configurent une application Okta correspondante pour chaque application SharePoint. Le domaine établit la relation de confiance entre Okta et l'application SharePoint. Pour chaque application SharePoint, Okta génère un nouveau « domaine Realm » qui sert à définir une relation.

Pour ajouter une application Web à un fournisseur d'authentification existant tel qu'Okta, saisissez la commande suivante :

$ap = Get­SPTrustedIdentityTokenIssuer "Okta"
$uri = new­object System.Uri($sharepoint_app)
$ap.ProviderRealms.Add($uri, $realm)
$ap.Update()

Remplacez $sharepoint_app par l'URI de la nouvelle application SharePoint et $realm par le domaine Realm généré dans l'onglet Authentification de l'application SharePoint correspondante dans Okta.