Configuration d’un périphérique de proxy inverse pour un déploiement SharePoint Server 2013 hybride

S’APPLIQUE À :  yes-img-13 2013  yes-img-16 2016  yes-img-19 2019  yes-img-se Subscription Edition  yes-img-sop SharePoint in Microsoft 365

**Cet article fait partie d'une feuille de route de procédures de configuration pour les solutions hybrides SharePoint. Veillez à respecter une feuille de route lorsque vous effectuez les procédures décrites dans cet article. **

Cette rubrique fournit une vue d’ensemble du rôle des périphériques de proxy inverse dans un déploiement hybride SharePoint Server et des liens vers des conseils de configuration spécifiques aux appareils.

Rôle d’un proxy inverse dans un déploiement hybride SharePoint Server

SharePoint Les serveurs et SharePoint dans Microsoft 365 peuvent être configurés dans une configuration hybride pour combiner en toute sécurité les résultats de recherche et les données externes de Microsoft Business Connectivity Services. Les périphériques de proxy inverse jouent un rôle dans la configuration sécurisée d’un déploiement SharePoint Server hybride lorsque le trafic entrant provenant de SharePoint dans Microsoft 365 doit être relayé vers votre batterie de serveurs SharePoint server sur site. Par exemple, si un utilisateur fédéré utilise un SharePoint dans le portail de recherche Microsoft 365 configuré pour renvoyer des résultats de recherche hybride, un périphérique de proxy inverse intercepte et pré-authentifier la demande de contenu SharePoint Server local, puis la relaie vers SharePoint Server. Le périphérique de proxy inverse dans une topologie hybride fournit un point de terminaison sécurisé pour le trafic entrant à l’aide du chiffrement SSL et de l’authentification de certificat client.

Fonctionnement de la connectivité entrante

Les schémas suivants montrent comment un périphérique de proxy inverse est utilisé pour les connexions entrantes.

Avec une solution de recherche entrante, seule la SharePoint dans Microsoft 365 site a des résultats de recherche provenant des deux emplacements.

Connectivité entrante

Graphique d'un proxy entrant.

Dans l’exemple ci-dessous, un utilisateur fédéré sur Internet utilise le SharePoint dans le portail de recherche de Microsoft 365 pour rechercher du contenu dans les deux SharePoint dans Microsoft 365 et le serveur SharePoint local de son entreprise.

Un utilisateur fédéré sur Internet recherche du contenu situé sur le serveur sur site de son entreprise.

Ce graphique explique comment les utilisateurs de l'extranet accèdent aux fichiers via TMG.

La liste suivante décrit les étapes présentées dans l'image ci-dessus.

  1. À partir d’Internet, un utilisateur fédéré navigue jusqu’à son SharePoint dans Microsoft 365 site.

  2. SharePoint dans Microsoft 365 interroge l’index de recherche dans SharePoint dans Microsoft 365 et envoie également la requête de recherche à l’URL externe de la batterie de serveurs SharePoint sur site qui se résout en point de terminaison externe du périphérique de proxy inverse.

  3. Le périphérique de proxy inverse pré-authentifie la demande en utilisant le certificat SSL de canal sécurisé et transmet la demande à l'URL de l'application web principale.

  4. Le compte de service de la batterie SharePoint interroge l'index de recherche sur site et la sécurité filtre les résultats de la recherche dans le contexte de l'utilisateur qui a envoyé la demande de recherche.

  5. Les résultats de recherche découpés par sécurité sont renvoyés SharePoint dans Microsoft 365 et apparaissent sur la page des résultats de la recherche. Ce jeu de résultats inclut les résultats de la SharePoint dans Microsoft 365 index de recherche et les résultats de recherche de l’index de recherche de la batterie SharePoint Server.

Notes

La connectivité entrante permet d’accéder au contenu et aux ressources de votre batterie de serveurs SharePoint Server sur site à partir d’Internet uniquement si l’utilisateur dispose d’une connexion active et sécurisée au réseau intranet via VPN ou DirectAccess, ou si la batterie de serveurs SharePoint Server est configurée dans une topologie extranet.

Pour une description plus détaillée de ce processus, qui montre comment sont utilisés les certificats et comment fonctionnent l'authentification et l'autorisation dans cette topologie, voir Affiche : Topologie hybride SharePoint 2013 : certificat, authentification et flux d'authentification.

Exigences générales relatives au proxy inverse

Dans un scénario SharePoint Server hybride, le proxy inverse doit être en mesure de :

  • prendre en charge l’authentification de certificat client avec un certificat SSL générique ou SAN ;

  • prendre en charge l’authentification directe pour OAuth 2.0, notamment des transactions de jetons de support OAuth illimitées ;

  • accepter le trafic entrant non sollicité sur le port TCP 443 (HTTPS) ;

    Conseil

    Il n'est pas nécessaire d'ouvrir un port autre que le port TCP 443 sur le point de terminaison de proxy inverse externe pour prendre en charge la connectivité hybride.

  • Lier un certificat SSL générique ou SAN à un point de terminaison publié.

  • relayer le trafic vers un équilibreur de charge ou une batterie SharePoint Server local sans réécrire les en-têtes de paquet.

Périphériques de proxy inverse pris en charge

Le tableau ci-dessous répertorie les périphériques de proxy inverse actuellement pris en charge pour les déploiements hybrides SharePoint Server. Cette liste sera mise à jour au gré des tests de fonctionnement de dispositifs en cours. Suivez la procédure décrite dans l'article portant sur le dispositif de proxy inverse que vous souhaitez utiliser. Lorsque vous avez terminé la configuration de ce dispositif, revenez à votre feuille de route.

Périphériques de proxy inverse pris en charge Article relatif à la configuration Informations supplémentaires
Proxy d’application Azure Activer l’accès à distance aux SharePoint dans Microsoft 365 avec Azure AD proxy d’application Le proxy d’application Azure est un service Azure qui permet d’accéder à distance aux services au sein de votre réseau sans ouvrir les ports de pare-feu depuis Internet vers votre service.
Windows Server 2012 R2 avec le Proxy d'application web
Configurer un proxy d'application web pour un environnement hybride
Le Proxy d'application web est un service d'accès à distance dans Windows Server 2012 R2 qui publie des applications web avec lesquelles les utilisateurs peuvent interagir à partir de nombreux périphériques.
> [!IMPORTANT]> pour utiliser le proxy d’application web comme périphérique de proxy inverse dans un environnement SharePoint Server hybride, vous devez également déployer AD FS dans Windows Server 2012 R2.
Forefront Threat Management Gateway (TMG) 2010
Configurer Forefront TMG pour un environnement hybride
Forefront TMG 2010 est une solution de passerelle web sécurisée et complète, qui fournit des fonctionnalités de proxy inverse sécurisées.
> [!NOTE]> Forefront TMG 2010 n'est plus commercialisé par Microsoft, mais le produit sera pris en charge jusqu'au 14/04/2020. Pour plus d'informations, voir Informations sur la Politique de support Microsoft pour TMG 2010.
F5 BIG-IP
Activation de la recherche SharePoint hybride 2013 avec BIG-IP
Contenu externe géré par F5 Networks.
Citrix NetScaler
Guide de déploiement hybride Citrix NetScaler et Microsoft SharePoint 2013
Contenu externe géré par Citrix.

Voir aussi

Concepts

Environnement hybride pour SharePoint Server