Planifier l’authentification de serveur à serveur dans SharePoint Server
S’APPLIQUE À :2013 2016 2019 Édition d’abonnement SharePoint dans Microsoft 365
L'authentification de serveur à serveur permet aux serveurs qui la prennent en charge d'accéder à des ressources situées sur l'un d'eux et d'en demander, pour le compte des utilisateurs. Les serveurs qui prennent en charge l'authentification de serveur à serveur exécutent SharePoint Server, Exchange Server 2016, Skype Entreprise Server 2015, le service Azure Workflow Service ou d'autres logiciels qui prennent en charge le protocole serveur à serveur Microsoft. L'authentification de serveur à serveur autorise un nouvel ensemble de fonctionnalités et de scénarios dans le cadre du partage de ressource et de l'accès à celles-ci entre différents serveurs.
Pour fournir les ressources demandées à partir d’un autre serveur qui peut effectuer l’authentification de serveur à serveur, le serveur qui exécute SharePoint Server doit effectuer les opérations suivantes :
Vérifier que le serveur à l'origine de la demande est approuvé. Pour authentifier le serveur à l'origine de la demande, vous devez configurer le serveur qui exécute SharePoint Server afin qu'il approuve ce serveur. Il s'agit d'une relation d'approbation à sens unique.
Vérifier que le type d'accès demandé par le serveur est autorisé. Pour autoriser l'accès, vous devez configurer le serveur qui exécute SharePoint Server afin qu'il gère le jeu d'autorisations approprié pour les ressources demandées.
Notez que le protocole d'authentification de serveur à serveur dans SharePoint Server est distinct de l'authentification de l'utilisateur et qu'il n'est pas utilisé en tant que protocole d'authentification de connexion par les utilisateurs SharePoint. Le protocole d'authentification de serveur à serveur, qui utilise le protocole Open Authorization (OAuth) 2.0, ne vient pas s'ajouter à l'ensemble des protocoles d'authentification de l'utilisateur, tels que WS-Federation. Il n'existe pas de nouveaux protocoles d'authentification de l'utilisateur dans SharePoint Server. Le protocole d'authentification de serveur à serveur n'apparaît pas dans la liste des fournisseurs d'identité.
Pour plus d'informations sur la planification de l'application de service de profil utilisateur pour l'authentification de serveur à serveur, voir Authentification de serveur à serveur et profils utilisateur dans SharePoint Server.
Introduction
La planification de l’authentification de serveur à serveur se compose des tâches suivantes :
identifier l’ensemble des relations d’approbation que vous devez configurer sur un serveur qui exécute SharePoint Server ;
répondre aux préoccupations liées à l'application de service de profil utilisateur. Pour plus d'informations, voir Authentification de serveur à serveur et profils utilisateur dans SharePoint Server.
Importante
Les applications web qui comprennent des points de terminaison d’authentification de serveur à serveur (pour les demandes de serveur à serveur entrantes) ou qui exécutent des demandes de serveur à serveur sortantes vers d’autres serveurs doivent être configurées afin d’utiliser le protocole SSL (Secure Sockets Layer).
Notes
Vous ne devez planifier l’authentification de serveur à serveur sur un serveur qui exécute SharePoint Server que si vous configurez un ou plusieurs scénarios de serveur à serveur qui la nécessitent.
Identifier l’ensemble des relations d’approbation
Du point de vue d’un serveur qui exécute SharePoint Server, une relation d’approbation avec un autre serveur qui peut effectuer l’authentification de serveur à serveur présente les caractéristiques suivantes :
Le serveur qui exécute SharePoint Server approuve les demandes en provenance d’un serveur qui peut effectuer l’authentification de serveur à serveur (demandes entrantes à destination du serveur qui exécute SharePoint Server).
Cela suppose de configurer le serveur qui exécute SharePoint Server afin qu’il approuve le serveur à l’origine de la demande.
Le serveur qui peut effectuer l’authentification de serveur à serveur approuve les demandes en provenance d’un serveur qui exécute SharePoint Server (demandes sortantes issues du serveur qui exécute SharePoint Server).
Cela suppose de configurer le serveur qui peut effectuer l’authentification de serveur à serveur afin qu’il approuve le serveur à l’origine de la demande qui exécute SharePoint Server.
Pour chaque batterie de serveurs qui exécute SharePoint Server, dressez la liste des serveurs qui prennent en charge l'authentification de serveur à serveur et qui sont susceptibles de recevoir des demandes entrantes en fonction des scénarios serveur à serveur impliquant la batterie de serveurs. Deux cas de relations d'authentification de serveur à serveur doivent être examinés.
Cas 1 : les batteries de serveurs se trouvent en local
Si la batterie de serveurs qui peut effectuer l'authentification de serveur à serveur se trouve en local, vous devez configurer la batterie de serveurs qui exécute SharePoint Server. Utilisez la cmdlet New-SPTrustedSecurityTokenIssuer PowerShell pour ajouter un point de terminaison de métadonnées JSON (JavaScript Object Notation) entre le serveur capable d'assumer l'authentification de serveur à serveur et le serveur chargé d'exécuter SharePoint Server. Si le serveur qui peut effectuer l’authentification de serveur à serveur est un autre serveur qui exécute SharePoint Server, le point de terminaison de métadonnées JSON est au format : https://< HostName>/_layouts/15/metadata/json/1.
Cas 2 : les batteries de serveurs font partie d’une architecture Microsoft 365
Si la batterie de serveurs qui exécute SharePoint Server et l’autre serveur qui peut effectuer l’authentification de serveur à serveur font partie d’une organisation Microsoft 365, aucune configuration supplémentaire pour l’authentification de serveur à serveur n’est nécessaire.
Après avoir déterminé l'ensemble des serveurs qui nécessitent l'authentification de serveur à serveur, consultez Configure server-to-server authentication in SharePoint Server pour configurer les relations d'approbation de serveur à serveur.
Voir aussi
Concepts
Vue d'ensemble de l'authentification pour SharePoint Server
Authentification de serveur à serveur et profils utilisateur dans SharePoint Server