Configurer un proxy d’application web pour un environnement hybride
S’APPLIQUE À :
2013 2016 2019 Édition d’abonnement SharePoint dans Microsoft 365
Cet article décrit les Proxy d'application web et vous aide à les configurer pour les utiliser comme proxy inverse pour un environnement SharePoint Server hybride.
Avant de commencer
Remarque sur l’accessibilité : SharePoint Server prend en charge les fonctionnalités d’accessibilité des navigateurs courants pour vous aider à administrer les déploiements et à accéder aux sites. Pour plus d'informations, consultez la rubrique Accessibilité pour SharePoint 2013.
À propos du proxy d’application web dans un environnement hybride
Web Proxy d'application est un service d’accès à distance dans Windows Server 2012 R2 qui publie des applications web avec lesquelles les utilisateurs peuvent interagir à partir de nombreux appareils. Il comprend également une fonctionnalité de proxy pour les services ADFS (Active Directory Federation Services). Cela permet aux administrateurs système de fournir un accès sécurisé à un serveur AD FS. En utilisant un proxy d’application web, les administrateurs système choisissent la façon dont les utilisateurs s’authentifient auprès d’une application web et peuvent déterminer les personnes autorisées à utiliser une application.
Dans les environnements SharePoint Server hybrides dans lesquels SharePoint dans Microsoft 365 demande des données à SharePoint Server, vous pouvez utiliser Windows Server 2012 R2 avec web Proxy d'application comme appareil proxy inverse pour relayer en toute sécurité les demandes d’Internet vers votre batterie de serveurs SharePoint Server locale.
Importante
Pour utiliser web Proxy d'application comme appareil de proxy inverse dans un environnement SharePoint Server hybride, vous devez également déployer AD FS dans Windows Server 2012 R2.
Remarque
Pour installer et configurer la fonctionnalité web Proxy d'application, vous devez être administrateur local sur l’ordinateur sur lequel Windows Server 2012 R2 est installé. Le serveur Windows Server 2012 R2 exécutant la fonctionnalité web Proxy d'application peut être membre d’un domaine ou d’un groupe de travail.
Étape 1 : Installer AD FS et la fonctionnalité de proxy d’application web
Pour plus d’informations sur l’installation d’AD FS dans Windows Server 2012 R2, consultez Services ADFS Vue d’ensemble.
Pour plus d’informations sur l’installation de la fonctionnalité web Proxy d'application dans Windows Server 2012 R2, consultez Installer des rôles de serveur et des fonctionnalités sur un serveur Server Core.
Étape 2 : Configurer le proxy d’application web
Cette section explique comment configurer la fonctionnalité de proxy d’application web après son installation :
Web Proxy d'application correspond à l’empreinte numérique par rapport au certificat de canal sécurisé, qui doit être importé et installé dans le magasin de certificats personnel de l’ordinateur local sur le serveur web Proxy d'application.
Configurez web Proxy d'application avec une application publiée qui peut accepter les demandes entrantes de votre client SharePoint dans Microsoft 365.
Importer le certificat SSL de canal sécurisé
Vous devez importer le certificat SSL du canal sécurisé dans le magasin personnel du compte d’ordinateur local, puis définir les autorisations sur la clé privée du certificat pour autoriser le compte de service du service de Proxy d'application web (appproxysvc) contrôle total.
Remarque
Le compte de service par défaut du service de proxy d’application web est le service réseau de l’ordinateur local.
 |
L’emplacement du certificat SSL de canal sécurisé est consigné sur la ligne 1 (Nom de fichier et emplacement du certificat SSL de canal sécurisé) du tableau 4b : Certificat SSL de canal sécurisé. Si le certificat contient une clé privée, vous devrez fournir le mot de passe du certificat, qui est consigné sur la ligne 4 (Mot de passe du certificat SSL de canal sécurisé) du tableau 4b : Certificat SSL de canal sécurisé. |
Pour plus d’informations sur l’importation d’un certificat SSL, consultez Importer un certificat.
Configurer l’application publiée
Remarque
Les étapes décrites dans cette section peuvent uniquement être exécutées à l’aide de Windows PowerShell.
Pour configurer une application publiée pour accepter et relayer les demandes de votre client SharePoint dans Microsoft 365, tapez la commande Microsoft PowerShell suivante.
Add-WebApplicationProxyApplication -ExternalPreauthentication ClientCertificate -ExternalUrl <external URL> -BackendServerUrl <bridging URL> -name <friendly name of the published application> -ExternalCertificateThumbprint <certificate thumbprint> -ClientCertificatePreauthenticationThumbprint <certificate thumbprint> -DisableTranslateUrlInRequestHeaders:$False -DisableTranslateUrlInResponseHeaders:$False
Où :
- <externalUrl> est l’URL externe de l’application web. Il s’agit de l’URL publique à laquelle SharePoint dans Microsoft 365 enverra des demandes entrantes pour le contenu et les ressources SharePoint Server.
|
L’URL externe est consignée à la troisième ligne (URL externe) du tableau 3 : Informations de domaine public dans la feuille de calcul hybride SharePoint. |
- <L’URL> de pontage est l’URL interne que vous avez configurée pour l’application web principale dans votre batterie de serveurs SharePoint Server locale. Il s’agit de l’URL vers laquelle les Proxy d'application Web relayent les demandes entrantes à partir de SharePoint dans Microsoft 365.
|
L’URL de pontage est consignée à l’un des emplacements suivants dans la feuille de calcul hybride SharePoint : Si votre application web principale est configurée avec une collection de sites nommée par l’hôte, utilisez la valeur de la première ligne (URL de l’application web principale) du tableau 5a : Application web principale (collection de sites nommée par l’hôte). Si votre application web principale est configurée avec une collection de sites basée sur un chemin d’accès , utilisez la valeur de la ligne 1 (URL de l’application web principale) du tableau 5b : Application web principale (collection de sites basée sur le chemin d’accès sans AAM). Si votre application web principale est configurée avec une collection de sites basée sur un chemin d’accès avec AAM , utilisez la valeur de la ligne 5 (URL de l’application web principale) du tableau 5c : Application web principale (collection de sites basée sur le chemin d’accès avec AAM). |
<le nom convivial de l’application> publiée est un nom que vous choisissez pour identifier l’application publiée dans web Proxy d'application.
<l’empreinte> numérique du certificat est l’empreinte numérique du certificat, sous la forme d’une chaîne sans espaces, à utiliser pour l’adresse spécifiée par le paramètre ExternalUrl . Cette valeur doit être entrée deux fois ; une fois pour le paramètre ExternalCertificateThumbprint et une seconde fois pour le paramètre ClientCertificatePreauthenticationThumbprint.
|
Il s’agit de l’empreinte numérique du certificat SSL de canal sécurisé. L’emplacement de ce fichier de certificat est consigné à la ligne 1 (Nom de fichier et emplacement du certificat SSL de canal sécurisé) du tableau 4b : Certificat SSL de canal sécurisé. |
Pour plus d’informations sur l’applet de commande Add-WebApplicationProxyApplication , consultez Add-WebApplicationProxyApplication.
Valider l’application publiée
Pour valider l’application publiée, utilisez la cmdlet Get-WebApplicationProxyApplication. Entrez la commande Microsoft PowerShell suivante :
Get-WebApplicationProxyApplication |fl
Le résultat doit ressembler au contenu du tableau suivant.
| ADFSRelyingPartyID |
:<rempli au moment de l’exécution> |
| ADFSRelyingPartyName |
:<nom de la partie de confiance> |
| BackendServerAuthenticationMode |
:ADFS |
| BackendServerAuthenticationSPN |
Aucun |
| BackendServerCertificateValidation |
Aucun |
| BackendServerUrl |
: https://<> URL de débridging/ |
| ClientCertificateAuthenticationBindingMode |
Aucun |
| ClientCertificatePreauthenticationThumbprint : |
: <empreinte numérique du certificat> |
| DisableTranslateUrlInRequestHeaders |
False |
| DisableTranslateUrlInResponseHeaders |
False |
| ExternalCertificateThumbprint |
: <empreinte numérique du certificat> |
| ExternalPreauthentication |
PassThrough |
| ExternalUrl |
: https://< URL externe>/ |
| ID |
: 91CFE805-44FB-A8A6-41E9-6197448BEA72 |
| InactiveTransactionsTimeoutSec |
: 300 |
| Nom |
: <nom convivial de l’application publiée> |
| UseOAuthAuthAuthAuthentication |
False |
| PSComputerName |
: |
Résolution des problèmes
Web Proxy d'application journalise les événements et les erreurs dans les journaux des événements Windows Server d’application et d’accès à distance. La journalisation joue un rôle important dans la résolution des problèmes de connectivité et d’authentification entre SharePoint Server et SharePoint dans Microsoft 365. L’identification du composant à l’origine d’un échec de connexion peut être difficile, et les journaux de proxy inverse sont le premier endroit où vous devez rechercher des indices. La résolution des problèmes peut impliquer la comparaison des événements des journaux d’activité web Proxy d'application, des journaux ULS SharePoint Server, des journaux des événements Windows Server et des journaux iis (Internet Information Services) sur plusieurs serveurs.
Pour plus d’informations sur les techniques et outils de résolution des problèmes pour les environnements hybrides SharePoint Server, voir Résolution des problèmes liés aux environnements hybrides.
Voir aussi
Concepts
Environnement hybride pour SharePoint Server
Configuration d’un périphérique de proxy inverse pour un déploiement SharePoint Server 2013 hybride