Configurer un proxy d’application web pour un environnement hybride
S’APPLIQUE À :
2013 2016 2019 Édition d’abonnement SharePoint dans Microsoft 365
Cet article décrit le proxy d’application web et vous aide à le configurer pour l’utiliser comme proxy inverse pour un environnement SharePoint Server hybride.
Avant de commencer
Remarque sur l’accessibilité : SharePoint Server prend en charge les fonctionnalités d’accessibilité des navigateurs courants pour vous aider à administrer les déploiements et à accéder aux sites. Pour plus d'informations, consultez la rubrique Accessibilité pour SharePoint 2013.
À propos du proxy d’application web dans un environnement hybride
Le proxy d’application web est un service d’accès à distance dans Windows Server 2012 R2 qui publie des applications web avec lesquelles les utilisateurs peuvent interagir à partir de nombreux appareils. Il comprend également une fonctionnalité de proxy pour les services ADFS (Active Directory Federation Services). Cela permet aux administrateurs système de fournir un accès sécurisé à un serveur AD FS. En utilisant un proxy d’application web, les administrateurs système choisissent la façon dont les utilisateurs s’authentifient auprès d’une application web et peuvent déterminer les personnes autorisées à utiliser une application.
Dans les environnements SharePoint Server hybrides dans lesquels SharePoint dans Microsoft 365 demande des données à partir de SharePoint Server, vous pouvez utiliser Windows Server 2012 R2 avec le proxy d’application web comme appareil proxy inverse pour relayer en toute sécurité les demandes d’Internet vers votre batterie de serveurs SharePoint Server locale.
Importante
Pour utiliser le proxy d’application web comme appareil de proxy inverse dans un environnement SharePoint Server hybride, vous devez également déployer AD FS dans Windows Server 2012 R2.
Notes
Pour installer et configurer la fonctionnalité proxy d’application web, vous devez être administrateur local sur l’ordinateur sur lequel Windows Server 2012 R2 est installé. Le serveur Windows Server 2012 R2 exécutant la fonctionnalité Proxy d’application web peut être membre d’un domaine ou d’un groupe de travail.
Étape 1 : Installer AD FS et la fonctionnalité de proxy d’application web
Pour plus d’informations sur l’installation d’AD FS dans Windows Server 2012 R2, consultez Vue d’ensemble des services de fédération Active Directory.
Pour plus d’informations sur l’installation de la fonctionnalité proxy d’application web dans Windows Server 2012 R2, consultez Installer des rôles et fonctionnalités de serveur sur un serveur Server Core Server.
Étape 2 : Configurer le proxy d’application web
Cette section explique comment configurer la fonctionnalité de proxy d’application web après son installation :
Proxy d’application web met en correspondance l’empreinte numérique par rapport au certificat de canal sécurisé, qui doit être importé et installé dans le magasin de certificats personnel de l’ordinateur local sur le serveur proxy d’application web.
Configurez le proxy d’application web avec une application publiée qui peut accepter les demandes entrantes de votre client SharePoint dans Microsoft 365.
Importer le certificat SSL de canal sécurisé
Vous devez importer le certificat SSL du canal sécurisé dans le magasin personnel du compte d’ordinateur local, puis définir les autorisations sur la clé privée du certificat pour autoriser le compte de service du service proxy d’application web (appproxysvc) contrôle total.
Notes
Le compte de service par défaut du service de proxy d’application web est le service réseau de l’ordinateur local.
|
L’emplacement du certificat SSL de canal sécurisé est consigné sur la ligne 1 (Nom de fichier et emplacement du certificat SSL de canal sécurisé) du tableau 4b : Certificat SSL de canal sécurisé. Si le certificat contient une clé privée, vous devrez fournir le mot de passe du certificat, qui est consigné sur la ligne 4 (Mot de passe du certificat SSL de canal sécurisé) du tableau 4b : Certificat SSL de canal sécurisé. |
Pour plus d’informations sur l’importation d’un certificat SSL, consultez Importer un certificat.
Configurer l’application publiée
Notes
Les étapes décrites dans cette section peuvent uniquement être exécutées à l’aide de Windows PowerShell.
Pour configurer une application publiée pour accepter et relayer les demandes de votre client SharePoint dans Microsoft 365, tapez la commande Microsoft PowerShell suivante.
Add-WebApplicationProxyApplication -ExternalPreauthentication ClientCertificate -ExternalUrl <external URL> -BackendServerUrl <bridging URL> -name <friendly name of the published application> -ExternalCertificateThumbprint <certificate thumbprint> -ClientCertificatePreauthenticationThumbprint <certificate thumbprint> -DisableTranslateUrlInRequestHeaders:$False -DisableTranslateUrlInResponseHeaders:$False
Où :
- <externalUrl> est l’URL externe de l’application web. Il s’agit de l’URL publique à laquelle SharePoint dans Microsoft 365 enverra des demandes entrantes pour le contenu et les ressources SharePoint Server.
|
|
L’URL externe est consignée à la troisième ligne (URL externe) du tableau 3 : Informations de domaine public dans la feuille de calcul hybride SharePoint. |
- <L’URL> de pontage est l’URL interne que vous avez configurée pour l’application web principale dans votre batterie de serveurs SharePoint Server locale. Il s’agit de l’URL vers laquelle le proxy d’application web relaye les demandes entrantes à partir de SharePoint dans Microsoft 365.
|
|
L’URL de pontage est consignée à l’un des emplacements suivants dans la feuille de calcul hybride SharePoint : Si votre application web principale est configurée avec une collection de sites nommée par l’hôte, utilisez la valeur de la première ligne (URL de l’application web principale) du tableau 5a : Application web principale (collection de sites nommée par l’hôte). Si votre application web principale est configurée avec une collection de sites basée sur le chemin d’accès , utilisez la valeur de la ligne 1 (URL de l’application web principale) du Tableau 5b : Application web principale (collection de sites basée sur le chemin d’accès sans AAM). Si votre application web principale est configurée avec une collection de sites basée sur un chemin d’accès avec AAM , utilisez la valeur de la ligne 5 (URL de l’application web principale) du tableau 5c : Application web principale (collection de sites basée sur le chemin d’accès avec AAM). |
<le nom convivial de l’application> publiée est un nom que vous choisissez pour identifier l’application publiée dans le proxy d’application web.
<l’empreinte> numérique du certificat est l’empreinte numérique du certificat, sous la forme d’une chaîne sans espaces, à utiliser pour l’adresse spécifiée par le paramètre ExternalUrl . Cette valeur doit être entrée deux fois ; une fois pour le paramètre ExternalCertificateThumbprint et une seconde fois pour le paramètre ClientCertificatePreauthenticationThumbprint.
|
|
Il s’agit de l’empreinte numérique du certificat SSL de canal sécurisé. L’emplacement de ce fichier de certificat est consigné à la ligne 1 (Nom de fichier et emplacement du certificat SSL de canal sécurisé) du tableau 4b : Certificat SSL de canal sécurisé. |
Pour plus d’informations sur l’applet de commande Add-WebApplicationProxyApplication , consultez Add-WebApplicationProxyApplication.
Valider l’application publiée
Pour valider l’application publiée, utilisez la cmdlet Get-WebApplicationProxyApplication. Entrez la commande Microsoft PowerShell suivante :
Get-WebApplicationProxyApplication |fl
Le résultat doit ressembler au contenu du tableau suivant.
| ADFSRelyingPartyID |
:<rempli au moment de l’exécution> |
| ADFSRelyingPartyName |
:<nom de la partie de confiance> |
| BackendServerAuthenticationMode |
:ADFS |
| BackendServerAuthenticationSPN |
Aucun |
| BackendServerCertificateValidation |
Aucun |
| BackendServerUrl |
: https://<> URL de débridging/ |
| ClientCertificateAuthenticationBindingMode |
Aucun |
| ClientCertificatePreauthenticationThumbprint : |
: <empreinte numérique du certificat> |
| DisableTranslateUrlInRequestHeaders |
False |
| DisableTranslateUrlInResponseHeaders |
False |
| ExternalCertificateThumbprint |
: <empreinte numérique du certificat> |
| ExternalPreauthentication |
PassThrough |
| ExternalUrl |
: https://< URL externe>/ |
| ID |
: 91CFE805-44FB-A8A6-41E9-6197448BEA72 |
| InactiveTransactionsTimeoutSec |
: 300 |
| Nom |
: <nom convivial de l’application publiée> |
| UseOAuthAuthAuthAuthentication |
False |
| PSComputerName |
: |
Résolution des problèmes
Le proxy d’application web enregistre les événements et les erreurs dans les journaux des événements Windows Server d’application et d’accès à distance. La journalisation joue un rôle important dans la résolution des problèmes de connectivité et d’authentification entre SharePoint Server et SharePoint dans Microsoft 365. L’identification du composant à l’origine d’un échec de connexion peut être difficile, et les journaux de proxy inverse sont le premier endroit où vous devez rechercher des indices. La résolution des problèmes peut impliquer la comparaison des événements de journal à partir des journaux des événements du proxy d’application web, des journaux ULS SharePoint Server, des journaux des événements Windows Server et des journaux iis (Internet Information Services) sur plusieurs serveurs.
Pour plus d’informations sur les techniques et outils de résolution des problèmes pour les environnements hybrides SharePoint Server, voir Résolution des problèmes liés aux environnements hybrides.
Voir aussi
Concepts
Environnement hybride pour SharePoint Server
Configuration d’un périphérique de proxy inverse pour un déploiement SharePoint Server 2013 hybride