Migrer de l'authentification en mode classique vers l'authentification basée sur les revendications dans SharePoint 2013

S’APPLIQUE À :2013 2016 2019 Édition d’abonnement SharePoint dans Microsoft 365

L'authentification basée sur les revendications est un composant essentiel pour bénéficier des fonctionnalités avancées de SharePoint 2013. Pour passer des applications web en mode classique des Produits SharePoint 2010 vers SharePoint 2013, vous pouvez les convertir en applications web basées sur les revendications dans les Produits SharePoint 2010, puis les migrer vers SharePoint 2013. Les procédures décrites dans cet article illustrent les différents scénarios possibles.

L'applet de commande PowerShell Convert-SPWebApplication utilisée dans SharePoint 2013 convertit les applications web en mode classique en applications web basées sur les revendications.

Attention

La conversion vers l’authentification basée sur les revendications d’une application web utilisant l’authentification en mode classique est irréversible.

Convertir des applications web des Produits SharePoint 2010 en mode classique pour l'authentification basée sur les revendications dans les Produits SharePoint 2010, puis mettre à niveau les applications converties vers SharePoint 2013

Dans les Produits SharePoint 2010, effectuez la procédure suivante pour convertir une application web existante pour l'authentification basée sur les revendications. Une fois que vous avez terminé cette conversion, effectuez l'autre étape pour migrer l'application web convertie vers SharePoint 2013. Au cours de cette procédure, vous devrez fournir les informations ci-dessous :

• URL de l’application web que vous convertissez : http://yourWebAppUrl

• Un compte d’utilisateur à définir en tant qu’administrateur de site : votreDomaine\votreUtilisateur

Pour convertir une application web des Produits SharePoint 2010 en applications utilisant l'authentification basée sur les revendications

1. Vérifiez que vous êtes membre :

• du rôle serveur fixe securityadmin sur l'instance SQL Server.

• du rôle de base de données fixe db_owner sur toutes les bases de données à mettre à jour ;

• du groupe Administrateurs sur le serveur sur lequel vous exécutez les applets de commande PowerShell.

• Vous devez lire about_Execution_Policies (https://go.microsoft.com/fwlink/p/?LinkId=193050).

• Ajoutez les appartenances qui sont nécessaires au-delà des minima décrits ci-dessus.

  Un administrateur peut utiliser l'applet de commande Add-SPShellAdmin pour accorder des autorisations d'utilisation des applets de commande SharePoint 2013.

  Remarque

  [!REMARQUE] Si vous ne disposez pas des autorisations, contactez votre administrateur d'installation ou votre administrateur SQL Server afin de les demander. Pour plus d'informations sur les autorisations PowerShell, voir Autorisations et Add-SPShellAdmin.

2. À partir de l'invite de commandes PowerShell, tapez le texte suivant pour définir le compte d'utilisateur spécifié en tant qu'administrateur de site :

$WebAppName = "http://<yourWebAppUrl>"
$wa = get-SPWebApplication $WebAppName
$wa.UseClaimsAuthentication = $true
$wa.Update()

Où :

• <yourWebAppUrl> est l'URL de l'application web.

3. À partir de l'invite de commandes PowerShell, tapez le texte suivant pour configurer la stratégie octroyant l'accès total à l'utilisateur :

$account = "yourDomain\yourUser"
$account = (New-SPClaimsPrincipal -identity $account -identitytype 1).ToEncodedString()
$wa = get-SPWebApplication $WebAppName
$zp = $wa.ZonePolicies("Default")
$p = $zp.Add($account,"PSPolicy")
$fc=$wa.PolicyRoles.GetSpecialRole("FullControl")
$p.PolicyRoleBindings.Add($fc)
$wa.Update()

Pour plus d'informations, voir Get-SPWebApplication.

4. À partir de l'invite de commandes PowerShell, tapez le texte suivant pour effectuer la migration des utilisateurs :

$wa.MigrateUsers($true)

5. Lorsque la migration des utilisateurs est terminée, à partir de l'invite de commandes PowerShell, tapez le texte suivant pour effectuer la mise en service :

$wa.ProvisionGlobally()

Pour plus d'informations, voir New-SPClaimsPrincipal.

Une fois les procédures précédentes terminées, vous pouvez rencontrer un ou plusieurs des problèmes suivants : les utilisateurs qui envoient des informations d’identification valides lors de l’accès à l’application web migrée peuvent être avertis qu’ils ne disposent pas d’autorisations. Si cela se produit, la propriété portalsuperuseraccount et la propriété portalsuperreaderaccount de l’application web ont probablement été configurées avant la migration. Si tel est le cas, mettez à jour les deux propriétés portalsuperuseraccount et portalsuperreaderaccount avec le nouveau nom de compte basé sur les revendications. Après la migration, vous trouverez le nouveau nom de compte basé sur les revendications dans la stratégie d’application web pour l’application web migrée. Si les alertes existantes ne sont pas appelées après la migration, vous devrez peut-être supprimer et recréer les alertes. Si l’analyse de recherche ne fonctionne pas sur l’application web après la migration, assurez-vous que le compte d’analyse de recherche répertorie le nouveau nom de compte converti. Si le nom n'est pas répertorié, vous devez créer manuellement une stratégie pour le compte d'analyse.

Pour migrer une application web des Produits SharePoint 2010 basée sur les revendications vers SharePoint 2013

1. Dans SharePoint 2013, créez une application web basée sur les revendications. Pour plus d'informations, voir Créer les applications web basée sur les revendications dans SharePoint Server.

2. Attachez les deux bases de données de contenu des Produits SharePoint 2010 à la nouvelle application web SharePoint 2013 basée sur les revendications. Pour plus d'informations, voir Attacher ou détacher des bases de données de contenu dans SharePoint Server.

   Remarque

   Lorsque vous joignez les bases de données de contenu des produits SharePoint 2010 à l’application web basée sur les revendications SharePoint 2013, les bases de données sont mises à niveau vers le format de base de données SharePoint 2013, mais ne sont pas activées pour les revendications.

Convertir des applications web des Produits SharePoint 2010 en mode classique en applications web SharePoint 2013 basées sur les revendications

Dans SharePoint 2013, effectuez la procédure suivante pour convertir une application web de Produits SharePoint 2010 en mode classique en application web SharePoint 2013 utilisant l'authentification basée sur les revendications.

Pour convertir une application web des Produits SharePoint 2010 en mode classique en application SharePoint 2013 utilisant l'authentification basée sur les revendications

1. Vérifiez que vous êtes membre :

• du rôle serveur fixe securityadmin sur l'instance SQL Server.

• du rôle de base de données fixe db_owner sur toutes les bases de données à mettre à jour ;

• du groupe Administrateurs sur le serveur sur lequel vous exécutez les applets de commande PowerShell.

• Vous devez lire about_Execution_Policies (https://go.microsoft.com/fwlink/p/?LinkId=193050).

• Ajoutez les appartenances qui sont nécessaires au-delà des minima décrits ci-dessus.

  Un administrateur peut utiliser l'applet de commande Add-SPShellAdmin pour accorder des autorisations d'utilisation des applets de commande SharePoint 2013.

  Remarque

  [!REMARQUE] Si vous ne disposez pas des autorisations, contactez votre administrateur d'installation ou votre administrateur SQL Server afin de les demander. Pour plus d'informations sur les autorisations PowerShell, voir Autorisations et Add-SPShellAdmin.

2. Dans l'environnement SharePoint 2013, dans le menu Démarrer, cliquez sur Tous les programmes.

3. Cliquez sur SharePoint 2013.

4. Cliquez sur SharePoint 2013 Management Shell.

5. Accédez au répertoire où vous avez enregistré le fichier.

6. À partir de l’invite de commandes PowerShell, entrez la commande suivante :

$ap = New-SPAuthenticationProvider -UseWindowsIntegratedAuthentication -DisableKerberos
New-SPWebApplication -name "ClaimsWebApp" -Port 80 -ApplicationPool "ClaimsAuthAppPool" -ApplicationPoolAccount (Get-SPManagedAccount "<domainname>\<user>") -AuthenticationMethod NTLM -AuthenticationProvider $ap

Où :

• <domainname>\ <user> correspond au domaine auquel le serveur appartient et au nom du compte d'utilisateur.

7. Attachez les deux bases de données de contenu des produits SharePoint 2010 existantes à la nouvelle application web en mode revendications SharePoint 2013. Pour plus d'informations, voir Attacher ou détacher des bases de données de contenu dans SharePoint Server.

   Remarque

   Lorsque vous joignez les bases de données de contenu des produits SharePoint 2010 à l’application web en mode revendications SharePoint 2013, les bases de données sont mises à niveau vers le format de base de données SharePoint 2013. Après les avoir attachées, vous devez vérifier qu'elles fonctionnent encore correctement.

8. À partir de l'invite de commandes PowerShell, tapez le texte suivant :

Convert-SPWebApplication -Identity <yourWebAppUrl> -From Legacy -To Claims -RetainPermissions [-Force]

Où :

• <yourWebAppUrl> est l'URL de l'application web.

Remarque

Convert-SPWebApplication convertit les bases de données de contenu en authentification basée sur les revendications. Vous devez vérifier que les utilisateurs peuvent accéder à l’application web après avoir converti les bases de données de contenu.

9. Si nécessaire, attachez une troisième base de données de contenu produits SharePoint 2010 à la nouvelle application web en mode revendications SharePoint 2013 et vérifiez que la base de données de contenu fonctionne correctement une fois que vous l’avez attachée.

10. À partir de l'invite de commandes PowerShell, tapez le texte suivant :

Convert-SPWebApplication -Identity <yourWebAppUrl> -From Legacy -To Claims -RetainPermissions [-Force]

Vérifiez que les utilisateurs peuvent accéder à l’application web après avoir converti les bases de données de contenu en authentification basée sur les revendications. Pour plus d’informations, voir New-SPWebApplication, Get-SPManagedAccount et Convert-SPWebApplication.

Convertir des applications web SharePoint 2013 en mode classique en applications web basées sur les revendications

Dans SharePoint 2013, effectuez les procédures suivantes pour créer une application web en mode classique, puis la convertir en application utilisant l'authentification basée sur les revendications.

Pour créer une application web en mode classique dans SharePoint 2013

• Vérifiez que vous êtes membre :

  • du rôle serveur fixe securityadmin sur l'instance SQL Server.

  • du rôle de base de données fixe db_owner sur toutes les bases de données à mettre à jour ;

  • du groupe Administrateurs sur le serveur sur lequel vous exécutez les applets de commande PowerShell.

  • Vous devez lire about_Execution_Policies (https://go.microsoft.com/fwlink/p/?LinkId=193050).

  • Ajoutez les appartenances qui sont nécessaires au-delà des minima décrits ci-dessus.

    Un administrateur peut utiliser l'applet de commande Add-SPShellAdmin pour accorder des autorisations d'utilisation des applets de commande SharePoint 2013.

    Remarque

    [!REMARQUE] Si vous ne disposez pas des autorisations, contactez votre administrateur d'installation ou votre administrateur SQL Server afin de les demander. Pour plus d'informations sur les autorisations PowerShell, voir Autorisations et Add-SPShellAdmin.

• À partir de l'invite de commandes PowerShell, tapez le texte suivant :

  New-SPWebApplication -Name <Name> -ApplicationPool <ApplicationPool> -AuthenticationMethod <WindowsAuthType> -ApplicationPoolAccount <ApplicationPoolAccount> -Port <Port> -URL <URL>
  

  Où :

  • <Name> est le nom de la nouvelle application web qui utilise l'authentification en mode classique.

  • <ApplicationPool> est le nom du pool d'applications.

  • <WindowsAuthType> est soit NTLM, soit Kerberos. Kerberos est recommandé.

  • <ApplicationPoolAccount> est le compte d'utilisateur sous lequel ce pool d'applications s'exécutera.

  • <Port> est le port sur lequel l'application web sera créée dans IIS.

  • <URL> est l'URL publique de l'application web.

  Remarque

  Pour plus d'informations, voir New-SPWebApplication.

  Remarque

  Une fois l'application web correctement créée, lorsque vous ouvrez la page Administration centrale, un avertissement relatif à la règle d'intégrité indique qu'une ou plusieurs applications web sont activées avec le mode d'authentification classique. Ceci est le résultat de notre recommandation visant à privilégier l'utilisation de l'authentification basée sur les revendications par rapport à l'authentification en mode classique.

Pour convertir une application web SharePoint 2013 en mode classique en application utilisant l'authentification basée sur les revendications

• À partir de l'invite de commandes PowerShell, tapez le texte suivant :

  Convert-SPWebApplication -Identity "http:// <servername>:port" -From Legacy -To Claims -RetainPermissions [-Force]
  

  Où :

  • <servername> est le nom du serveur.

Vérifiez que les utilisateurs peuvent accéder à l’application web une fois celle-ci convertie en application utilisant l’authentification basée sur les revendications. Pour en savoir plus, consultez les rubriques New-SPWebApplication, Get-SPManagedAccount et Convert-SPWebApplication.

Migrer des applications web des Produits SharePoint 2010 en mode classique vers des applications web SharePoint 2013 en mode classique

Dans SharePoint 2013, effectuez la procédure suivante pour créer une application web en mode classique, puis migrer une application web en mode classique des Produits SharePoint 2010 vers SharePoint 2013.

Pour migrer une application web en mode classique des Produits SharePoint 2010 vers SharePoint 2013

1. Vérifiez que vous êtes membre :

• du rôle serveur fixe securityadmin sur l'instance SQL Server.

• du rôle de base de données fixe db_owner sur toutes les bases de données à mettre à jour ;

• du groupe Administrateurs sur le serveur sur lequel vous exécutez les applets de commande PowerShell.

• Vous devez lire about_Execution_Policies (https://go.microsoft.com/fwlink/p/?LinkId=193050).

• Ajoutez les appartenances qui sont nécessaires au-delà des minima décrits ci-dessus.

  Un administrateur peut utiliser l'applet de commande Add-SPShellAdmin pour accorder des autorisations d'utilisation des applets de commande SharePoint 2013.

  Remarque

  [!REMARQUE] Si vous ne disposez pas des autorisations, contactez votre administrateur d'installation ou votre administrateur SQL Server afin de les demander. Pour plus d'informations sur les autorisations PowerShell, voir Autorisations et Add-SPShellAdmin.

2. À partir de l'invite de commandes PowerShell, tapez le texte suivant :

New-SPWebApplication -name "ClassicAuthApp" -Port 100 -ApplicationPool "ClassicAuthAppPool" -ApplicationPoolAccount (Get-SPManagedAccount "<domainname>\<user>")

Où :

• <domainname>\ <user> correspond au domaine auquel le serveur appartient et au nom du compte d'utilisateur.

3. Attachez les deux bases de données de contenu des Produits SharePoint 2010 à la nouvelle application web SharePoint 2013 en mode classique. Après les avoir attachées, vous devez vérifier qu'elles fonctionnent encore correctement. Pour plus d'informations, voir Attacher ou détacher des bases de données de contenu dans SharePoint Server.

Pour plus d'informations, voir New-SPWebApplication et Get-SPManagedAccount.

Voir aussi

Autres ressources

Créer les applications web basée sur les revendications dans SharePoint Server

Créer des applications web qui utilisent l'authentification en mode classique dans SharePoint Server