Migrer de l’authentification en mode classique vers l’authentification basée sur les revendications dans SharePoint 2013
**Sapplique à :**SharePoint 2013, SharePoint Foundation 2013, SharePoint Server 2013
**Dernière rubrique modifiée :**2017-09-26
**Résumé :**Convertissez des applications web en mode classique des produits SharePoint 2010 ou de SharePoint 2013 en applications utilisant l’authentification basée sur les revendications ou créez directement dans SharePoint 2013 des applications web basées sur les revendications.
L’authentification basée sur les revendications est un composant essentiel pour bénéficier des fonctionnalités avancées de SharePoint 2013. Pour passer des applications web en mode classique des Produits SharePoint 2010 vers SharePoint 2013, vous pouvez les convertir en applications web basées sur les revendications dans les Produits SharePoint 2010, puis les migrer vers SharePoint 2013. Les procédures décrites dans cet article illustrent les différents scénarios possibles.
L’applet de commande PowerShellConvert-SPWebApplication utilisée dans SharePoint 2013 convertit les applications web en mode classique en applications web basées sur les revendications.
Avertissement
La conversion vers l’authentification basée sur les revendications d’une application web utilisant l’authentification en mode classique est irréversible.
Convertir des applications web des Produits SharePoint 2010 en mode classique pour l’authentification basée sur les revendications dans les Produits SharePoint 2010, puis mettre à niveau les applications converties vers SharePoint 2013
Dans les Produits SharePoint 2010, effectuez la procédure suivante pour convertir une application web existante pour l’authentification basée sur les revendications. Une fois que vous avez terminé cette conversion, effectuez l’autre étape pour migrer l’application web convertie vers SharePoint 2013. Au cours de cette procédure, vous devrez fournir les informations ci-dessous :
l’URL de l’application web à convertir (http://yourWebAppUrl) ;
le nom du compte d’utilisateur à définir en tant qu’administrateur de site (yourDomain\yourUser).
Pour convertir une application web des Produits SharePoint 2010 en applications utilisant l’authentification basée sur les revendications
Vérifiez que vous êtes membre :
Rôle serveur fixe securityadmin sur l’instance SQL Server
du rôle de base de données fixe db_owner sur toutes les bases de données à mettre à jour ;
du groupe Administrateurs sur le serveur sur lequel vous exécutez les applets de commande PowerShell.
Vous devez lire la page about_Execution_Policies (https://go.microsoft.com/fwlink/p/?LinkId=193050).
Ajoutez les appartenances qui sont nécessaires au-delà des minima décrits ci-dessus.
Un administrateur peut utiliser la cmdlet Add-SPShellAdmin pour accorder des autorisations d’utilisation des cmdlets SharePoint 2013.
Notes
Si vous ne disposez pas des autorisations, contactez votre administrateur d’installation ou votre administrateur SQL Server afin de les demander. Pour plus d’informations sur les autorisations PowerShell, voir Autorisations et Add-SPShellAdmin.
À partir de l’invite de commandes PowerShell, tapez le texte suivant pour définir le compte d’utilisateur spécifié en tant qu’administrateur de site :
$WebAppName = "http://<yourWebAppUrl>" $wa = get-SPWebApplication $WebAppName $wa.UseClaimsAuthentication = $true $wa.Update()Où :
- <yourWebAppUrl> est l’URL de l’application web.
À partir de l’invite de commandes PowerShell, tapez le texte suivant pour configurer la stratégie octroyant l’accès total à l’utilisateur :
$account = "yourDomain\yourUser" $account = (New-SPClaimsPrincipal -identity $account -identitytype 1).ToEncodedString() $wa = get-SPWebApplication $WebAppName $zp = $wa.ZonePolicies("Default") $p = $zp.Add($account,"PSPolicy") $fc=$wa.PolicyRoles.GetSpecialRole("FullControl") $p.PolicyRoleBindings.Add($fc) $wa.Update()Pour plus d’informations, voir Get-SPWebApplication.
À partir de l’invite de commandes PowerShell, tapez le texte suivant pour effectuer la migration des utilisateurs :
$wa.MigrateUsers($true)Lorsque la migration des utilisateurs est terminée, à partir de l’invite de commandes PowerShell, tapez le texte suivant pour effectuer la mise en service :
$wa.ProvisionGlobally()Pour plus d’informations, voir New-SPClaimsPrincipal.
Une fois terminé, vous risquez de rencontrer un ou plusieurs de ces problèmes : Les utilisateurs qui envoient des informations d’identification valides quand vous accédez à l’application web migrée peuvent être informés qu’ils ne disposent pas des autorisations requises. Si ce problème se produit, la propriété portalsuperuseraccount et la propriété portalsuperreaderaccount de l’application web ont probablement été configurées avant la migration. Si tel est le cas, mettez à jour ces deux propriétés avec le nouveau nom de compte basé sur les revendications. Après la migration, vous trouverez le nouveau nom de compte basé sur les revendications dans la stratégie de l’application web migrée. Si les alertes existantes ne sont pas appelées après la migration, vous devrez peut-être supprimer et recréer les alertes. Si l’analyse de recherche ne fonctionne pas dans l’application web après la migration, vérifiez que le compte d’analyse de recherche répertorie le nouveau nom de compte converti. Si le nom n’est pas répertorié, vous devez créer manuellement une stratégie pour le compte d’analyse.
Pour migrer une application web des Produits SharePoint 2010 basée sur les revendications vers SharePoint 2013
Dans SharePoint 2013, créez une application web basée sur les revendications. Pour plus d’informations, voir Créer des applications web basées sur les revendications dans SharePoint 2013.
Attachez les deux bases de données de contenu des Produits SharePoint 2010 à la nouvelle application web SharePoint 2013 basée sur les revendications. Pour plus d’informations, voir Attacher ou détacher des bases de données de contenu dans SharePoint Server.
Notes
Lorsque vous attachez les bases de données de contenu des Produits SharePoint 2010 à l’application web SharePoint 2013 basée sur les revendications, ces bases de données sont mises à niveau vers le format de base de données SharePoint 2013. Après les avoir attachées, vous devez vérifier qu’elles fonctionnent encore correctement.
Convertir des applications web des Produits SharePoint 2010 en mode classique en applications web SharePoint 2013 basées sur les revendications
Dans SharePoint 2013, effectuez la procédure suivante pour convertir une application web de Produits SharePoint 2010 en mode classique en application web SharePoint 2013 utilisant l’authentification basée sur les revendications.
Pour convertir une application web des Produits SharePoint 2010 en mode classique en application SharePoint 2013 utilisant l’authentification basée sur les revendications
Vérifiez que vous êtes membre :
Rôle serveur fixe securityadmin sur l’instance SQL Server
du rôle de base de données fixe db_owner sur toutes les bases de données à mettre à jour ;
du groupe Administrateurs sur le serveur sur lequel vous exécutez les applets de commande PowerShell.
Vous devez lire la page about_Execution_Policies (https://go.microsoft.com/fwlink/p/?LinkId=193050).
Ajoutez les appartenances qui sont nécessaires au-delà des minima décrits ci-dessus.
Un administrateur peut utiliser la cmdlet Add-SPShellAdmin pour accorder des autorisations d’utilisation des cmdlets SharePoint 2013.
Notes
Si vous ne disposez pas des autorisations, contactez votre administrateur d’installation ou votre administrateur SQL Server afin de les demander. Pour plus d’informations sur les autorisations PowerShell, voir Autorisations et Add-SPShellAdmin.
Dans l’environnement SharePoint 2013, dans le menu Démarrer, cliquez sur Tous les programmes.
Cliquez sur SharePoint 2016.
Cliquez sur SharePoint 2016 Management Shell.
Accédez au répertoire où vous avez enregistré le fichier.
À l’invite de commandes PowerShell, tapez la commande suivante :
New-SPWebApplication -name "ClassicAuthApp" -Port 100 -ApplicationPool "ClassicAuthAppPool" -ApplicationPoolAccount (Get-SPManagedAccount "<domainname>\<user>")Où :
- <domainname>\<user> correspond au domaine auquel le serveur appartient et au nom du compte d’utilisateur.
Attachez les deux bases de données de contenu des Produits SharePoint 2010 à la nouvelle application web SharePoint 2013 en mode classique. Pour plus d’informations, voir Attacher ou détacher des bases de données de contenu dans SharePoint Server.
Notes
Lorsque vous attachez les bases de données de contenu des Produits SharePoint 2010 à l’application web SharePoint 2013 en mode classique, ces bases de données sont mises à niveau vers le format de base de données SharePoint 2013. Après les avoir attachées, vous devez vérifier qu’elles fonctionnent encore correctement.
À partir de l’invite de commandes PowerShell, tapez le texte suivant :
Convert-SPWebApplication -Identity <yourWebAppUrl> -To Claims -RetainPermissions [ -Force]Où :
- <yourWebAppUrl> est l’URL de l’application web.
Notes
Convert-SPWebApplication convertit l’application web pour l’authentification basée sur les revendications. Vous devez ensuite vérifier que les utilisateurs peuvent accéder à l’application web une fois celle-ci convertie.
S’il y a lieu, attachez une troisième base de données de contenu des Produits SharePoint 2010 à la nouvelle application web SharePoint 2013 en mode classique et, après l’avoir attachée, vérifiez qu’elle fonctionne encore correctement.
À partir de l’invite de commandes PowerShell, tapez le texte suivant :
Convert-SPWebApplication -Identity yourWebAppUrl -To Claims -RetainPermissions [ -Force]
Vérifiez que les utilisateurs peuvent accéder à l’application web une fois celle-ci convertie en application utilisant l’authentification basée sur les revendications. Pour en savoir plus, consultez les rubriques New-SPWebApplication, Get-SPManagedAccount et Convert-SPWebApplication.
Convertir des applications web SharePoint 2013 en mode classique en applications web basées sur les revendications
Dans SharePoint 2013, effectuez les procédures suivantes pour créer une application web en mode classique, puis la convertir en application utilisant l’authentification basée sur les revendications.
Pour créer une application web en mode classique dans SharePoint 2013
Vérifiez que vous êtes membre :
Rôle serveur fixe securityadmin sur l’instance SQL Server
du rôle de base de données fixe db_owner sur toutes les bases de données à mettre à jour ;
du groupe Administrateurs sur le serveur sur lequel vous exécutez les applets de commande PowerShell.
Vous devez lire la page about_Execution_Policies (https://go.microsoft.com/fwlink/p/?LinkId=193050).
Ajoutez les appartenances qui sont nécessaires au-delà des minima décrits ci-dessus.
Un administrateur peut utiliser la cmdlet Add-SPShellAdmin pour accorder des autorisations d’utilisation des cmdlets SharePoint 2013.
Notes
Si vous ne disposez pas des autorisations, contactez votre administrateur d’installation ou votre administrateur SQL Server afin de les demander. Pour plus d’informations sur les autorisations PowerShell, voir Autorisations et Add-SPShellAdmin.
À partir de l’invite de commandes PowerShell, tapez le texte suivant :
New-SPWebApplication -Name <Name> -ApplicationPool <ApplicationPool> -AuthenticationMethod <WindowsAuthType> -ApplicationPoolAccount <ApplicationPoolAccount> -Port <Port> -URL <URL>Où :
<Name> est le nom de la nouvelle application web qui utilise l’authentification en mode classique.
<ApplicationPool> est le nom du pool d’applications.
<WindowsAuthType> est soit NTLM, soit Kerberos. Kerberos est recommandé.
<ApplicationPoolAccount> est le compte d’utilisateur sous lequel ce pool d’applications s’exécutera.
<Port> est le port sur lequel l’application web sera créée dans IIS.
<URL> est l’URL publique de l’application web.
Notes
Pour plus d’informations, voir New-SPWebApplication.
Notes
Une fois l’application web correctement créée, lorsque vous ouvrez la page Administration centrale, un avertissement relatif à la règle d’intégrité indique qu’une ou plusieurs applications web sont activées avec le mode d’authentification classique. Ceci est le résultat de notre recommandation visant à privilégier l’utilisation de l’authentification basée sur les revendications par rapport à l’authentification en mode classique.
Pour convertir une application web SharePoint 2013 en mode classique en application utilisant l’authentification basée sur les revendications
À partir de l’invite de commandes PowerShell, tapez le texte suivant :
Convert-SPWebApplication -Identity "http:// <servername>:port" -To Claims -RetainPermissions [-Force]Où :
- <servername> est le nom du serveur.
Vérifiez que les utilisateurs peuvent accéder à l’application web une fois celle-ci convertie en application utilisant l’authentification basée sur les revendications. Pour en savoir plus, consultez les rubriques New-SPWebApplication, Get-SPManagedAccount et Convert-SPWebApplication.
Migrer des applications web des Produits SharePoint 2010 en mode classique vers des applications web SharePoint 2013 en mode classique
Dans SharePoint 2013, effectuez la procédure suivante pour créer une application web en mode classique, puis migrer une application web en mode classique des Produits SharePoint 2010 vers SharePoint 2013.
Pour migrer une application web en mode classique des Produits SharePoint 2010 vers SharePoint 2013
Vérifiez que vous êtes membre :
Rôle serveur fixe securityadmin sur l’instance SQL Server
du rôle de base de données fixe db_owner sur toutes les bases de données à mettre à jour ;
du groupe Administrateurs sur le serveur sur lequel vous exécutez les applets de commande PowerShell.
Vous devez lire la page about_Execution_Policies (https://go.microsoft.com/fwlink/p/?LinkId=193050).
Ajoutez les appartenances qui sont nécessaires au-delà des minima décrits ci-dessus.
Un administrateur peut utiliser la cmdlet Add-SPShellAdmin pour accorder des autorisations d’utilisation des cmdlets SharePoint 2013.
Notes
Si vous ne disposez pas des autorisations, contactez votre administrateur d’installation ou votre administrateur SQL Server afin de les demander. Pour plus d’informations sur les autorisations PowerShell, voir Autorisations et Add-SPShellAdmin.
À partir de l’invite de commandes PowerShell, tapez le texte suivant :
New-SPWebApplication -name "ClassicAuthApp" -Port 100 -ApplicationPool "ClassicAuthAppPool" -ApplicationPoolAccount (Get-SPManagedAccount "<domainname>\<user>")Où :
- <domainname>\<user> correspond au domaine auquel le serveur appartient et au nom du compte d’utilisateur.
Attachez les deux bases de données de contenu des Produits SharePoint 2010 à la nouvelle application web SharePoint 2013 en mode classique. Après les avoir attachées, vous devez vérifier qu’elles fonctionnent encore correctement. Pour plus d’informations, voir Attacher ou détacher des bases de données de contenu dans SharePoint Server.
Pour plus d’informations, voir New-SPWebApplication et Get-SPManagedAccount.
See also
Créer des applications web basées sur les revendications dans SharePoint 2013
Créer des applications web qui utilisent l’authentification en mode classique dans SharePoint 2013