Configuration d’un périphérique de proxy inverse pour un déploiement SharePoint Server 2013 hybride

  • Article

S’APPLIQUE À :oui-img-132013 oui-img-162016 oui-img-192019 oui-img-seÉdition d’abonnement oui-img-sopSharePoint dans Microsoft 365

Importante

Cet article fait partie d’une feuille de route des procédures de configuration des solutions hybrides SharePoint. Veillez à respecter une feuille de route lorsque vous effectuez les procédures décrites dans cet article.

Cette rubrique fournit une vue d’ensemble du rôle des appareils de proxy inverse dans un déploiement hybride SharePoint Server et fournit des liens vers des conseils de configuration spécifiques aux appareils.

Rôle d’un proxy inverse dans un déploiement hybride SharePoint Server

SharePoint Server et SharePoint dans Microsoft 365 peuvent être configurés dans une configuration hybride pour combiner en toute sécurité les résultats de recherche et les données externes de Microsoft Business Connectivity Services. Les appareils de proxy inverse jouent un rôle dans la configuration sécurisée d’un déploiement SharePoint Server hybride lorsque le trafic entrant en provenance de SharePoint dans Microsoft 365 doit être relayé vers votre batterie de serveurs SharePoint Server locale. Par exemple, si un utilisateur fédéré utilise un portail de recherche SharePoint dans Microsoft 365 configuré pour retourner des résultats de recherche hybrides, un appareil proxy inverse intercepte et pré-authentifie la demande de contenu SharePoint Server local, puis le transmet à SharePoint Server. Le périphérique de proxy inverse dans une topologie hybride fournit un point de terminaison sécurisé pour le trafic entrant à l’aide du chiffrement SSL et de l’authentification de certificat client.

Fonctionnement de la connectivité entrante

Les schémas suivants montrent comment un périphérique de proxy inverse est utilisé pour les connexions entrantes.

Avec une solution de recherche entrante, seul le site SharePoint dans Microsoft 365 contient les résultats de recherche des deux emplacements.

Connectivité entrante

Graphique d'un proxy entrant.

Dans l’exemple ci-dessous, un utilisateur fédéré sur Internet utilise le portail de recherche SharePoint dans Microsoft 365 pour rechercher du contenu dans SharePoint dans Microsoft 365 et dans le serveur SharePoint local de son entreprise.

Un utilisateur fédéré sur Internet recherche du contenu situé sur le serveur sur site de son entreprise.

Ce graphique explique comment les utilisateurs de l'extranet accèdent aux fichiers via TMG.

La liste suivante décrit les étapes présentées dans l'image ci-dessus.

  1. À partir d’Internet, un utilisateur fédéré accède à son site SharePoint dans Microsoft 365.

  2. SharePoint dans Microsoft 365 interroge l’index de recherche dans SharePoint dans Microsoft 365 et envoie également la requête de recherche à l’URL externe de la batterie de serveurs SharePoint locale qui se résout en point de terminaison externe du périphérique de proxy inverse.

  3. Le périphérique de proxy inverse pré-authentifie la demande en utilisant le certificat SSL de canal sécurisé et transmet la demande à l'URL de l'application web principale.

  4. Le compte de service de la batterie SharePoint interroge l'index de recherche sur site et la sécurité filtre les résultats de la recherche dans le contexte de l'utilisateur qui a envoyé la demande de recherche.

  5. Les résultats de recherche supprimés de sécurité sont renvoyés à SharePoint dans Microsoft 365 et apparaissent sur la page des résultats de la recherche. Ce jeu de résultats inclut les résultats de recherche de l’index de recherche SharePoint dans Microsoft 365 et les résultats de recherche de l’index de recherche de la batterie de serveurs SharePoint Server.

Remarque

La connectivité entrante permet d’accéder au contenu et aux ressources de votre batterie sharePoint Server locale à partir d’Internet uniquement si l’utilisateur dispose d’une connexion active et sécurisée au réseau intranet via VPN ou DirectAccess ou si la batterie de serveurs SharePoint Server est configurée dans une topologie extranet.

Pour une description plus détaillée de ce processus, qui montre comment sont utilisés les certificats et comment fonctionnent l'authentification et l'autorisation dans cette topologie, voir Affiche : Topologie hybride SharePoint 2013 : certificat, authentification et flux d'authentification.

Exigences générales relatives au proxy inverse

Dans un scénario SharePoint Server hybride, le proxy inverse doit être en mesure de :

  • prendre en charge l’authentification de certificat client avec un certificat SSL générique ou SAN ;

  • prendre en charge l’authentification directe pour OAuth 2.0, notamment des transactions de jetons de support OAuth illimitées ;

  • accepter le trafic entrant non sollicité sur le TCP port 443 (HTTPS) ;

    Conseil

    Il n'est pas nécessaire d'ouvrir un port autre que le port TCP 443 sur le point de terminaison de proxy inverse externe pour prendre en charge la connectivité hybride.

  • Lier un certificat SSL générique ou SAN à un point de terminaison publié.

  • relayer le trafic vers un équilibreur de charge ou une batterie SharePoint Server local sans réécrire les en-têtes de paquet.

Périphériques de proxy inverse pris en charge

Le tableau ci-dessous répertorie les appareils de proxy inverse actuellement pris en charge pour les déploiements hybrides SharePoint Server. Cette liste sera mise à jour au gré des tests de fonctionnement de dispositifs en cours. Suivez la procédure décrite dans l'article portant sur le dispositif de proxy inverse que vous souhaitez utiliser. Lorsque vous avez terminé la configuration de ce dispositif, revenez à votre feuille de route.

Périphériques de proxy inverse pris en charge Article relatif à la configuration Informations supplémentaires
proxy Azure Application Activer l’accès à distance à SharePoint dans Microsoft 365 avec Microsoft Entra proxy d’application Azure Application Proxy est un service Azure qui autorise l’accès à distance aux services au sein de votre réseau sans ouvrir les ports de pare-feu d’Internet à votre service.
Windows Server 2012 R2 avec le Proxy d'application web
 Configurer un proxy d'application web pour un environnement hybride
Le Proxy d'application web est un service d'accès à distance dans Windows Server 2012 R2 qui publie des applications web avec lesquelles les utilisateurs peuvent interagir à partir de nombreux périphériques.
>[! IMPORTANT]> Pour utiliser web Proxy d'application comme appareil proxy inverse dans un environnement SharePoint Server hybride, vous devez également déployer AD FS dans Windows Server 2012 R2.
Forefront Threat Management Gateway (TMG) 2010
 Configurer Forefront TMG pour un environnement hybride
Forefront TMG 2010 est une solution de passerelle web sécurisée et complète, qui fournit des fonctionnalités de proxy inverse sécurisées.
> [! REMARQUE]> Forefront TMG 2010 n’est plus vendu par Microsoft, mais sera pris en charge jusqu’au 14/04/2020. Pour plus d'informations, voir Informations sur la Politique de support Microsoft pour TMG 2010.
F5 BIG-IP
 Activation de la recherche SharePoint hybride 2013 avec BIG-IP
Contenu externe géré par F5 Networks.
Citrix NetScaler
 Guide de déploiement hybride Citrix NetScaler et Microsoft SharePoint 2013
Contenu externe géré par Citrix.

Voir aussi

Concepts

Environnement hybride pour SharePoint Server