Compartir a través de

Configurar un dispositivo de proxy inverso para un entorno híbrido de SharePoint Server

  • Artículo

SE APLICA A:yes-img-132013 yes-img-162016 yes-img-192019 yes-img-seSubscription Edition yes-img-sopSharePoint in Microsoft 365

Importante

Este artículo forma parte de una hoja de ruta de procedimientos para configurar soluciones híbridas de SharePoint. Asegúrese de seguir una guía básica al realizar los procedimientos descritos en este artículo.

En este tema se proporciona información general sobre el rol de los dispositivos de proxy inverso en una implementación híbrida de SharePoint Server y vínculos a instrucciones de configuración específicas del dispositivo.

El rol de un proxy inverso en una implementación híbrida de SharePoint Server

SharePoint Server y SharePoint en Microsoft 365 se pueden configurar en una configuración híbrida para combinar de forma segura los resultados de búsqueda y los datos externos de Microsoft Business Connectivity Services. Los dispositivos de proxy inverso desempeñan un papel en la configuración segura de una implementación híbrida de SharePoint Server cuando el tráfico entrante desde SharePoint en Microsoft 365 debe retransmitirse a la granja de servidores de SharePoint Server local. Por ejemplo, si un usuario federado usa una instancia de SharePoint en el portal de búsqueda de Microsoft 365 que está configurado para devolver resultados de búsqueda híbrida, un dispositivo proxy inverso intercepta y autentica previamente la solicitud de contenido de SharePoint Server local y, a continuación, lo retransmite a SharePoint Server. En una topología híbrida, el dispositivo de proxy inverso proporciona un extremo seguro para el tráfico de entrada usando cifrado SSL y autenticación de certificados de cliente.

Cómo funciona la conectividad entrante

Los diagramas siguientes muestran cómo se usa un dispositivo de proxy inverso para la conectividad entrante.

Con una solución de búsqueda de entrada, solo el sitio de SharePoint en Microsoft 365 tiene resultados de búsqueda de ambas ubicaciones.

Conectividad entrante

Gráfico de un proxy de entrada.

En el ejemplo siguiente, un usuario federado en Internet usa el portal de búsqueda de SharePoint en Microsoft 365 para buscar contenido tanto en SharePoint en Microsoft 365 como en el servidor de SharePoint local de su empresa.

Un usuario federado en Internet busca contenido que se encuentra en el servidor local de su empresa.

Este gráfico explica cómo los usuarios de la extranet acceden a los archivos a través de TMG.

En esta lista describimos los pasos mostrados en la imagen anterior.

  1. Desde Internet, un usuario federado navega a su sitio de SharePoint en Microsoft 365.

  2. SharePoint en Microsoft 365 consulta el índice de búsqueda en SharePoint en Microsoft 365 y también envía la consulta de búsqueda a la dirección URL externa de la granja de sharePoint local que se resuelve en el punto de conexión externo del dispositivo proxy inverso.

  3. El dispositivo de proxy inverso preautentica la solicitud mediante el certificado de canal seguro (SSL) y retransmite la solicitud a la dirección URL de la aplicación web principal.

  4. La cuenta de servicio de la granja de servidores de SharePoint consulta el índice de búsqueda local y realiza un recorte de seguridad en los resultados de búsqueda en el contexto del usuario que envió la solicitud de búsqueda.

  5. Los resultados de búsqueda recortados por seguridad se devuelven a SharePoint en Microsoft 365 y aparecen en la página de resultados de la búsqueda. Este conjunto de resultados incluye resultados de búsqueda del índice de búsqueda de SharePoint en Microsoft 365 y resultados de búsqueda del índice de búsqueda de la granja de servidores de SharePoint Server.

Nota:

La conectividad entrante permite el acceso al contenido y a los recursos de la granja local de SharePoint Server desde Internet solo si el usuario tiene una conexión activa y segura a la red de intranet a través de VPN o DirectAccess o si la granja de servidores de SharePoint Server está configurada en una topología de extranet.

Para una descripción más detallada de este proceso, que muestre cómo se usan los certificados y la autenticación y autorización en esta topología, vea el póster de topología híbrida de SharePoint 2013 sobre certificados, autenticación y flujo de autorización.

Requisitos generales de proxy inverso

En un escenario híbrido de SharePoint Server, el proxy inverso tiene que ser capaz de:

  • Admitir la autenticación de certificados de cliente con un certificado comodín o SSL de SAN.

  • Admitir la autenticación de paso a través para OAuth 2.0, incluidas las transacciones de token de portador de OAuth ilimitadas

  • Aceptar el tráfico entrante no solicitado en el puerto TCP 443 (HTTPS).

    Sugerencia

    No debe haber ningún otro puerto TCP 443 abierto en el extremo externo del proxy inverso para permitir la conectividad híbrida.

  • Enlazar un certificado comodín o SSL de SAN a un extremo publicado.

  • Retransmitir el tráfico a una granja de servidores de SharePoint Server local o a un equilibrador de carga sin reescribir los encabezados de paquetes.

Dispositivos de proxy inverso admitidos

En la tabla siguiente se enumeran los dispositivos de proxy inverso admitidos actualmente para las implementaciones híbridas de SharePoint Server. Esta lista se actualizará a medida que se vaya probando la compatibilidad de los nuevos dispositivos. Siga los pasos descritos en el artículo sobre la configuración del dispositivo de proxy inverso que desea utilizar. Cuando haya completado la configuración del dispositivo de proxy inverso, regrese a su plan.

Dispositivos de proxy inverso admitidos Artículo sobre la configuración Información adicional
proxy de Aplicación de Azure Habilitación del acceso remoto a SharePoint en Microsoft 365 con Microsoft Entra proxy de aplicación Aplicación de Azure Proxy es un servicio de Azure que permite el acceso remoto a los servicios de la red sin abrir puertos de firewall desde Internet al servicio.
Windows Server 2012 R2 con Proxy de aplicación web (WA-P)
 Configurar el proxy de aplicación web para un entorno híbrido
Proxy de aplicación web (WA-P) es un servicio de Acceso remoto de Windows Server 2012 R2 que publica aplicaciones web con las que los usuarios pueden interactuar desde muchos dispositivos.
>[! IMPORTANTE]> Para usar web Application Proxy como dispositivo proxy inverso en un entorno híbrido de SharePoint Server, también debe implementar AD FS en Windows Server 2012 R2.
Forefront Threat Management Gateway (TMG) 2010
 Configurar Forefront TMG para un entorno híbrido
Forefront TMG 2010 es una solución de puerta de enlace web, segura y completa, que proporciona funcionalidad de proxy inverso seguro.
> [! NOTA]> Forefront TMG 2010 ya no es vendido por Microsoft, pero se admitirá durante el 14/4/2020. Para más información, vea el tema sobre el ciclo de vida del soporte técnico de Microsoft para TMG 2010.
F5 BIG-IP
 Habilitar búsquedas híbridas en SharePoint 2013 con BIG-IP
Contenido externo administrado por F5 Networks.
Citrix NetScaler
 Guía de implementación híbrida de Citrix NetScaler y Microsoft SharePoint 2013
Contenido externo administrado por Citrix.

Vea también

Conceptos

Entorno híbrido para SharePoint Server