Configurer l’authentification de serveur à serveur entre Office Online Server et SharePoint Server 2016

  • Article

Résumé : Configurer l'authentification de serveur à serveur entre Office Online Server et SharePoint 2016.

L'authentification de serveur à serveur entre Office Online Server et SharePoint Server 2016 établit un lien de confiance entre les deux serveurs. Cette relation est indispensable pour certaines fonctionnalités Excel Online, telles que la prise en charge des fichiers de connexion de données Office (ODC) et le tableau de bord de gestion informatique, qui fait partie de SQL Server PowerPivot pour SharePoint. Cet article vous guide tout au long de la procédure pour configurer cette relation de confiance.

Pour configurer l'authentification de serveur à serveur, vos batteries de serveurs Office Online Server et SharePoint Server doivent se trouver dans la même forêt Active Directory. Une application de service de profil utilisateur doit également être configurée sur la batterie de serveurs SharePoint Server.

Les actions de base nécessaires pour configurer l'authentification de serveur à serveur sont les suivantes :

  1. Importation du certificat dans Office Online Server
  2. Exportation du certificat pour l'utiliser sur SharePoint Server
  3. Configuration d'Office Online Server pour utiliser le certificat d'authentification de serveur à serveur
  4. Configuration de SharePoint Server pour utiliser le certificat d'authentification de serveur à serveur

Vous devez d'abord importer le certificat dans Office Online Server.

Importation du certificat dans Office Online Server

La première étape consiste à importer votre certificat pour qu'il puisse être utilisé par Office Online Server. Suivez les instructions Importer votre certificat et Accorder l’autorisation de service réseau pour utiliser les procédures de clé sur chaque serveur de votre batterie de Office Online Server.

Importation de votre certificat

Vous pouvez utiliser un certificat SSL de clé privée ou un certificat auto-signé. Il est vivement recommandé d'utiliser un certificat SSL de clé privée. Les sections suivantes fournissent des procédures pour les deux options. Consultez celle qui vous concerne.

Utilisation d’un certificat SSL de clé privée

Installez le certificat sur chaque serveur exécutant Office Online Server.

Pour installer le certificat sur Office Online Server

  1. Sur le serveur exécutant Office Online Server, ouvrez Gestionnaire des services Internet (IIS).
  2. Dans le volet gauche, cliquez sur le nom du serveur.
  3. Double-cliquez sur Certificats de serveur.
  4. Dans le volet Actions, cliquez sur Importer.
  5. Entrez le chemin d’accès et le nom de fichier du certificat SSL que vous souhaitez utiliser.
  6. Dans la zone Mot de passe, entrez le mot de passe du compte.
  7. Dans la liste déroulante Sélectionner un magasin de certificats, vérifiez que Personnel est sélectionné.
  8. Cliquez sur OK.

Répétez cette procédure sur chaque serveur qui exécute Office Online.

Utilisation d’un certificat auto-signé

Si vous utilisez un certificat auto-signé, vous devez l’ajouter aux autorités de certification racines de confiance.

Pour importer le certificat dans les autorités de certification racines de confiance

  1. Ouvrez Microsoft Management Console.
  2. Dans le menu Fichier, sélectionner Ajouter/Supprimer un composant logiciel enfichable.
  3. Sélectionnez Certificats, puis cliquez sur Ajouter.
  4. Choisissez l'option Compte d'ordinateur, cliquez sur Suivant, puis cliquez sur Terminer.
  5. Cliquez sur OK.
  6. Développez Certificats (ordinateur local), cliquez avec le bouton droit sur Autorités de certification racines de confiance, cliquez sur Toutes les tâches, puis cliquez sur Importer.
  7. Cliquez sur Suivant.
  8. Naviguez jusqu'à l'emplacement du certificat, sélectionnez-le, puis cliquez sur Suivant.
  9. Entrez le mot de passe de certificat, cliquez sur Suivant, puis cliquez sur Terminer.

Laissez Microsoft Management Console ouvert pour la procédure suivante.

Accorder l’autorisation d’utiliser la clé au service réseau

À présent, utilisez Microsoft Management Console (MMC) pour accorder au service réseau l’autorisation d’utiliser la clé.

Pour accorder l’autorisation d’utiliser la clé privée au service réseau

  1. Ouvrez Microsoft Management Console.
  2. Dans le menu Fichier, sélectionner Ajouter/Supprimer un composant logiciel enfichable.
  3. Sélectionnez Certificats, puis cliquez sur Ajouter.
  4. Choisissez l'option Compte d'ordinateur, cliquez sur Suivant, puis cliquez sur Terminer.
  5. Cliquez sur OK.
  6. Développez Certificats (Ordinateur local), développez Personnel, puis cliquez sur Certificats.
  7. Cliquez sur le certificat que vous venez d'importer avec le bouton droit de la souris, cliquez sur Toutes les tâches, puis cliquez sur Gérer les clés privées.
  8. Dans la boîte de dialogue Autorisations, cliquez sur Ajouter.
  9. Entrez Service réseau, puis cliquez sur OK.
  10. Cliquez sur OK.

Veillez à suivre les instructions Importer votre certificat et Accorder l’autorisation de service réseau pour utiliser les procédures de clé sur chaque serveur de votre batterie de Office Online Server.

Laissez Microsoft Management Console ouvert pour la procédure suivante.

Exportation du certificat pour l’utiliser sur SharePoint Server

L'étape suivante consiste à exporter le certificat de sorte à pouvoir l'utiliser pour inscrire Office Online Server comme émetteur de jeton approuvé.

Pour exporter le certificat afin de l'utiliser avec SharePoint Server 2016

  1. Cliquez sur le certificat que vous venez d'importer avec le bouton droit de la souris, cliquez sur Toutes les tâches, puis cliquez sur Exporter.
  2. Dans la page d'accueil, cliquez sur Suivant.
  3. Choisissez l'option Non, ne pas exporter la clé privée, puis cliquez sur Suivant.
  4. Choisissez l’option X.509 binaire encodé DER (*.cer), puis cliquez sur Suivant.
  5. Entrez le chemin d’accès et le nom du fichier que vous souhaitez exporter, puis cliquez sur Suivant.
  6. Cliquez sur Terminer, puis sur OK.

Copiez le fichier de certificat que vous avez créé dans un emplacement auquel vous pouvez accéder à partir de SharePoint Server.

Ensuite, vous devez définir ce certificat comme certificat S2S pour Office Online Server.

Configuration d’Office Online Server pour utiliser le certificat d’authentification de serveur à serveur

Pour spécifier le certificat S2S pour Office Online Server

  1. Ouvrez une fenêtre Microsoft PowerShell en tant qu'administrateur.
  2. Tapez ce qui suit, où <friendlyName> est le nom convivial du certificat que vous utilisez.
Set-OfficeWebAppsFarm -S2SCertificateName "<friendlyName>" -Confirm:$false -Force

Utiliser HTTP avec Office Online Server

Si vous utilisez HTTP au lieu de HTTPS pour votre batterie de serveurs Office Online Server, vous devez autoriser les connexions HTTP sortantes à partir de Office Online Server. (Si vous utilisez SSL, vous pouvez ignorer cette procédure.)

Pour activer les connexions HTTP sortantes à partir d'Office Online Server, exécutez la commande PowerShell suivante :

Set-OfficeWebAppsFarm -AllowOutboundHttp:$True
iisreset

Importante

Il est fortement recommandé d’utiliser LE PROTOCOLE HTTPS (TLS) quel que soit l’environnement, car Office Online Server utilise des jetons OAuth pour communiquer avec des services externes, tels que SharePoint ou Exchange Server. Les jetons OAuth contiennent des informations qui peuvent potentiellement être interceptées et relues par un attaquant, lui accordant les mêmes droits que l’utilisateur qui effectue la demande de Office Online Server.

Utilisation de chemins d'accès HTTP avec des fichiers ODC

Si vous comptez stocker des fichiers ODC dans un chemin d'accès HTTP, vous devez configurer Office Online Server de manière à autoriser les connexions de Banque d'informations sécurisée sur HTTP.

Importante

Lorsque vous utilisez des connexions de Banque d'informations sécurisée sur HTTP, le contenu du fichier ODC est transmis en texte clair. Les fichiers ODC contiennent des informations de connexion de base de données et peuvent contenir des mots de passe. Microsoft recommente à utiliser HTTPS.

Pour activer l'utilisation de chemins d'accès HTTP avec la Banque d'informations sécurisée dans Office Online Server, exécutez la commande PowerShell suivante :

Set-OfficeWebAppsFarm -AllowHttpSecureStoreConnections:$true
iisreset

Configuration de SharePoint Server pour utiliser le certificat d’authentification de serveur à serveur

Vous devez inscrire SharePoint Server et SQL Server comme émetteurs de jeton approuvés. Pour cela, vous devez passer par PowerShell. Voici les paramètres que vous devez utiliser :

  • <SPSiteURL> : URL de votre collection de sites de niveau supérieur.
  • <CertificateIssuer> : nom de l’émetteur du certificat. Vous pouvez le trouver en consultant l'onglet Détails du certificat dans le gestionnaire des services Internet (IIS).
  • <X509Certificate> : chemin d’accès et nom de fichier du fichier de certificat que vous avez exporté.
  • <RegisteredIssuer> : GUID de l’émetteur de jeton approuvé. Pour SharePoint Server la valeur est 67e3df25-268a-4324-a550-0de1c7f97287@bd2372e4-0a11-495c-9541-8377c6def195, et pour SQL Server la valeur est 67e3df25-268a-4324-a550-0de1c7f97287@ffab2d74-c6ae-4375-819a-8555d49b699a.

Effectuez la procédure suivante deux fois : une fois pour chaque <GUID RegisteredIssuer> .

Pour enregistrer un émetteur de jeton approuvé

  1. Ouvrez SharePoint 2016 Management Shell en tant qu’administrateur.
  2. Exécutez le script suivant en utilisant les paramètres ci-dessus :
$issuer = New-SPTrustedSecurityTokenIssuer -Name <CertificateIssuer> -Certificate <X509Certificate> -RegisteredIssuerName <RegisteredIssuer>
$app = Get-SPAppPrincipal -Site <SPSiteURL> -NameIdentifier $issuer.NameId
$site = Get-SPSite <SPSiteURL>
Set-SPAppPrincipalPermission -appPrincipal $app -Site $site.RootWeb -Scope SiteSubscription -Right FullControl -EnableAppOnlyPolicy
  1. Si vous utilisez un certificat auto-signé, exécutez la commande suivante :
New-SPTrustedRootAuthority -Name <CertificateIssuer> -Certificate <X509Certificate>

Voir aussi

New-SPTrustedSecurityTokenIssuer

New-SPTrustedRootAuthority

Get-SPAppPrincipal

Set-SPAppPrincipalPermission