Configurer un proxy d’application web pour un environnement hybride

S’APPLIQUE À :  yes-img-13 2013  yes-img-16 2016  yes-img-19 2019  yes-img-se Subscription Edition  yes-img-sop SharePoint in Microsoft 365

Cet article décrit le proxy d’application web et vous aide à le configurer pour l’utiliser comme proxy inverse pour un environnement SharePoint Server hybride.

Avant de commencer

Remarque sur l’accessibilité : SharePoint Server prend en charge les fonctionnalités d’accessibilité des navigateurs courants pour vous aider à administrer les déploiements et à accéder aux sites. Pour plus d'informations, consultez la rubrique Accessibilité pour SharePoint 2013.

À propos du proxy d’application web dans un environnement hybride

Le proxy d’application web est un service d’accès à distance dans Windows Server 2012 R2 qui publie des applications web avec qui les utilisateurs peuvent interagir à partir de nombreux appareils. Il comprend également une fonctionnalité de proxy pour les services ADFS (Active Directory Federation Services). Cela permet aux administrateurs système de fournir un accès sécurisé à un serveur AD FS. En utilisant un proxy d’application web, les administrateurs système choisissent la façon dont les utilisateurs s’authentifient auprès d’une application web et peuvent déterminer les personnes autorisées à utiliser une application.

Dans les environnements SharePoint Server hybrides dans lesquels SharePoint dans Microsoft 365 demande des données à SharePoint Server, vous pouvez utiliser Windows Server 2012 R2 avec proxy d’application web comme périphérique de proxy inverse pour relayer en toute sécurité les demandes provenant d’Internet vers votre environnement local SharePoint batterie de serveurs.

Important

Pour utiliser le proxy d’application web comme périphérique de proxy inverse dans un environnement SharePoint Server hybride, vous devez également déployer AD FS dans Windows Server 2012 R2.

Notes

Pour installer et configurer la fonctionnalité proxy d’application web, vous devez être administrateur local sur l’ordinateur sur lequel Windows Server 2012 R2 est installé. Le Windows Server 2012 R2 exécutant la fonctionnalité proxy d’application web peut être membre d’un domaine ou d’un groupe de travail.

Étape 1 : Installer AD FS et la fonctionnalité de proxy d’application web

Pour plus d’informations sur l’installation d’AD FS dans Windows Server 2012 R2, voir Vue d’ensemble des services de fédération Active Directory.

Pour plus d’informations sur l’installation de la fonctionnalité proxy d’application web dans Windows Server 2012 R2, voir Installer les rôles serveur et les fonctionnalités sur un serveur principal.

Étape 2 : Configurer le proxy d’application web

Cette section explique comment configurer la fonctionnalité de proxy d’application web après son installation :

  1. Le proxy d’application web correspond à l’empreinte numérique par rapport au certificat de canal sécurisé, qui doit être importé et installé dans le magasin de certificats personnels de l’ordinateur local sur le serveur proxy d’application web.

  2. Configurez le proxy d’application web avec une application publiée qui peut accepter les demandes entrantes de votre SharePoint dans Microsoft 365 client.

Importer le certificat SSL de canal sécurisé

Vous devez importer le certificat SSL de canal sécurisé dans le magasin personnel du compte d’ordinateur local, puis définir des autorisations sur la clé privée du certificat pour autoriser le compte de service du contrôle total du service proxy d’application web (appproxysvc).

Notes

Le compte de service par défaut du service de proxy d’application web est le service réseau de l’ordinateur local.

   
Icône Modifier L’emplacement du certificat SSL de canal sécurisé est consigné sur la ligne 1 (Nom de fichier et emplacement du certificat SSL de canal sécurisé) du tableau 4b : Certificat SSL de canal sécurisé.
Si le certificat contient une clé privée, vous devrez fournir le mot de passe du certificat, qui est consigné sur la ligne 4 (Mot de passe du certificat SSL de canal sécurisé) du tableau 4b : Certificat SSL de canal sécurisé.

Pour plus d’informations sur l’importation d’un certificat SSL, voir Importer un certificat.

Configurer l’application publiée

Notes

Les étapes décrites dans cette section peuvent uniquement être exécutées à l’aide de Windows PowerShell.

Pour configurer une application publiée afin d’accepter et de relayer les demandes de votre SharePoint dans Microsoft 365 client, tapez la commande Microsoft PowerShell suivante.

Add-WebApplicationProxyApplication -ExternalPreauthentication ClientCertificate -ExternalUrl <external URL> -BackendServerUrl <bridging URL> -name <friendly name of the published application> -ExternalCertificateThumbprint <certificate thumbprint> -ClientCertificatePreauthenticationThumbprint <certificate thumbprint> -DisableTranslateUrlInRequestHeaders:$False -DisableTranslateUrlInResponseHeaders:$False

Où :

  • <externalUrl> est l’URL externe de l’application web. Il s’agit de l’URL publique à laquelle les SharePoint dans Microsoft 365 envoient des demandes entrantes pour SharePoint ressources et le contenu du serveur.
   
Icône Modifier L’URL externe est consignée à la troisième ligne (URL externe) du tableau 3 : Informations de domaine public dans la feuille de calcul hybride SharePoint.
  • <bridging URL> est l’URL interne que vous avez configurée pour l’application web principale dans votre batterie de serveurs SharePoint local. Il s’agit de l’URL vers laquelle le proxy d’application web relaie les demandes entrantes provenant SharePoint dans Microsoft 365.
   
Icône Modifier L’URL de pontage est consignée à l’un des emplacements suivants dans la feuille de calcul hybride SharePoint :
Si votre application web principale est configurée avec une collection de sites nommée par l’hôte, utilisez la valeur de la première ligne (URL de l’application web principale) du tableau 5a : Application web principale (collection de sites nommée par l’hôte).
Si votre application web principale est configurée avec une collection de sites basée sur des chemins d’accès, utilisez la valeur de la ligne 1 (URL de l’application web principale) du tableau 5b: application web principale (collection de sites basée sur le chemin d’accès sans AAM).
Si votre application web principale est configurée avec une collection de sites basée sur des chemins d’accès avec AAM, utilisez la valeur de la ligne 5 (URL de l’application web principale) du tableau 5c : application web principale (collection de sites basée sur le chemin d’accès avec AAM).
  • <friendly name of the published application> est un nom que vous choisissez pour identifier l’application publiée dans le proxy d’application web.

  • <certificate thumbprint> est l’empreinte numérique du certificat, sous la mesure d’une chaîne sans espace, du certificat à utiliser pour l’adresse spécifiée par le paramètre ExternalUrl. Cette valeur doit être entrée deux fois ; une fois pour le paramètre ExternalCertificateThumbprint et une seconde fois pour le paramètre ClientCertificatePreauthenticationThumbprint.

   
Icône Modifier Il s’agit de l’empreinte numérique du certificat SSL de canal sécurisé. L’emplacement de ce fichier de certificat est consigné à la ligne 1 (Nom de fichier et emplacement du certificat SSL de canal sécurisé) du tableau 4b : Certificat SSL de canal sécurisé.

Pour plus d’informations sur la cmdlet Add-WebApplicationProxyApplication, voir Add-WebApplicationProxyApplication.

Valider l’application publiée

Pour valider l’application publiée, utilisez la cmdlet Get-WebApplicationProxyApplication. Entrez la commande Microsoft PowerShell suivante :

Get-WebApplicationProxyApplication |fl

Le résultat doit ressembler au contenu du tableau suivant.

   
ADFSRelyingPartyID
:<populated at run time>
ADFSRelyingPartyName
:<relying party name>
BackendServerAuthenticationMode
:ADFS
BackendServerAuthenticationSPN
Aucun
BackendServerCertificateValidation
Aucun
BackendServerUrl
: https://<bridging URL>/
ClientCertificateAuthenticationBindingMode
Aucun
ClientCertificatePreauthenticationThumbprint :
: <certificate thumbprint>
DisableTranslateUrlInRequestHeaders
False
DisableTranslateUrlInResponseHeaders
False
ExternalCertificateThumbprint
: <certificate thumbprint>
ExternalPreauthentication
PassThrough
ExternalUrl
: https://<external URL>/
ID
: 91CFE805-44FB-A8A6-41E9-6197448BEA72
InactiveTransactionsTimeoutSec
: 300
Nom
: <friendly name of the published application>
UseOAuthAuthentication
False
PSComputerName
:

Résolution des problèmes

Le proxy d’application web enregistre les événements et les erreurs dans les journaux d’événements Application et Windows Server. La journalisation joue un rôle important dans la résolution des problèmes de connectivité et d’authentification entre SharePoint Server et SharePoint dans Microsoft 365. L’identification du composant à l’origine d’un échec de connexion peut être difficile, et les journaux de proxy inverse sont le premier endroit où vous devez rechercher des indices. La résolution des problèmes peut impliquer la comparaison des événements de journaux à partir des journaux d’événements proxy d’application web, des journaux ULS SharePoint Server, des journaux d’événements Windows Server et des journaux Internet Information Services (IIS) sur plusieurs serveurs.

Pour plus d’informations sur les techniques et outils de dépannage pour les environnements hybrides SharePoint Server, voir Résolution des problèmes des environnements hybrides.

Voir aussi

Concepts

Environnement hybride pour SharePoint Server

Configuration d’un périphérique de proxy inverse pour un déploiement SharePoint Server 2013 hybride