Concevoir la topologie de la batterie de serveurs extranet (Windows SharePoint Services)

  • Article

Mise à jour : 2009-04-23

Dans cet article :

  • À propos des environnements extranet

  • Planification des environnements extranet

  • Topologie de pare-feu de périmètre

  • Topologie de périmètre dos à dos

  • Topologie dos à dos divisée

Cet article peut-être utilisé avec le modèle suivant : Topologies extranet pour les produits et technologies SharePoint (en anglais) (https://go.microsoft.com/fwlink/?linkid=73153&clcid=0x40C) (en anglais) .

À propos des environnements extranet

Un environnement extranet est un réseau privé étendu de manière sécurisée pour partager une partie des informations ou des processus d'une organisation avec des employés à distance, des partenaires externes ou des clients. Grâce à un extranet, vous pouvez partager tout type de contenu hébergé par Windows SharePoint Services 3.0, notamment des documents, des listes, des bibliothèques, des calendriers, des blogs et des wikis.

Le tableau suivant décrit les avantages de l'extranet pour chaque groupe.

Employés distants

Les employés distants peuvent accéder aux informations et aux ressources électroniques de l'entreprise n'importe où et n'importe quand sans réseau privé virtuel (VPN). Les employés distants incluent :

  • les représentants commerciaux en déplacement ;

  • les employés travaillant à domicile ou sur les sites des clients ;

  • les équipes virtuelles géographiquement disséminées.

Partenaires externes

Les partenaires externes peuvent participer aux processus métier et collaborer avec les employés de votre organisation. Vous pouvez utiliser un extranet pour contribuer à renforcer la sécurité des données comme suit :

  • Appliquer les composants de sécurité et d'interface utilisateur appropriés pour isoler les partenaires et séparer les données internes.

  • Autoriser les partenaires à n'utiliser que les sites et données nécessaires à leur collaboration.

  • Limiter l'accès des partenaires aux données d'autres partenaires.

Plusieurs méthodes s'offrent à vous pour optimiser les processus et les sites dédiés à la collaboration avec des partenaires :

  • Autorisez les employés de votre organisation et de votre partenaire à afficher, modifier, ajouter et supprimer du contenu afin de garantir de bons résultats pour les deux sociétés.

  • Configurez des alertes pour avertir les utilisateurs lorsque le contenu est modifié ou pour démarrer un flux de travail.

Clients

Rendez vos sites accessibles à vos clients :

  • Fournissez un accès anonyme aux informations sur votre entreprise.

  • Autorisez les clients à ouvrir une session et à participer à un flux de travail.

Windows SharePoint Services 3.0 fournit des options de configuration souples pour l'accès extranet aux sites. Vous pouvez fournir un accès Internet à un sous-ensemble de sites d'une batterie de serveurs ou rendre tout le contenu d'une batterie accessible depuis Internet. Vous pouvez héberger le contenu extranet au sein du réseau de votre entreprise ou le mettre à disposition via un pare-feu de périmètre ou encore isoler la batterie de serveurs dans un réseau de périmètre.

Planification des environnements extranet

La suite de cet article présente des topologies extranet spécifiques qui ont été testées avec Windows SharePoint Services 3.0. Ces topologies peuvent vous aider à comprendre les options à votre disposition avec Windows SharePoint Services 3.0, notamment les conditions requises et les compromis.

Les sections suivantes présentent des activités de planification supplémentaires pour un environnement extranet.

Planification d'une technologie réseau de pointe

Dans chaque topologie, la technologie réseau de pointe présentée correspond à un ou deux des produits ci-dessous de la suite de produits Microsoft Forefront Edge : Microsoft Internet Security and Acceleration (ISA) Server et Intelligent Application Gateway (IAG) 2007. Pour plus d'informations sur ces produits Microsoft Forefront Edge, voir les ressources suivantes :

NoteRemarque :

Vous pouvez également utiliser une autre technologie réseau de pointe.

IAG Server fournit des fonctionnalités supplémentaires :

  • Prévention des fuites d'informations : aucun élément ne reste sur l'ordinateur client et tous les éléments du cache, les fichiers temporaires et les cookies sont supprimés.

  • Autorisation basée sur l'intégrité des points de terminaison : les administrateurs peuvent définir une stratégie d'accès basée non seulement sur l'identité de l'utilisateur et les informations exposées, mais également sur la condition de l'ordinateur client.

  • Accès à des sites SharePoint à partir d'Outlook Web Access : les utilisateurs peuvent accéder aux sites SharePoint à partir de liens envoyés par courrier électronique par le biais d'Outlook Web Access. IAG fournit les liens qui font référence aux URL internes.

  • Portail unifié : lors de l'ouverture de session, IAG affiche, à l'attention des différents utilisateurs, la liste des sites SharePoint et des autres applications disponibles et autorisés pour ces utilisateurs.

Le tableau ci-dessous résume les différences entre les serveurs.

Fonction ISA 2006 IAG 2007

Publication d'applications Web à l'aide du protocole HTTPS

X

X

Publication d'applications mobiles internes sur des périphériques mobiles itinérants

X

X

Pare-feu de couche 3

X

X*

Prise en charge des scénarios sortants

X

X*

Prise en charge des tableaux

X

Globalisation et localisation de la console d'administration

X

Assistants et paramètres prédéfinis pour publier des sites SharePoint et Exchange

X

X

Assistants et paramètres prédéfinis pour publier différentes applications

X

Prise en charge des services de fédération Active Directory

X

Authentification riche (par exemple, mot de passe unique, authentification par formulaires, carte à puce)

X

X

Protection des applications (pare-feu d'application Web)

Standard

Complète

Détection de l'intégrité des points de terminaison

X

Prévention des fuites d'informations

X

Stratégie d'accès granulaire

X

Portail unifié

X

* Pris en charge par ISA, qui est inclus avec IAG 2007.

Planification de l'authentification et de l'architecture logique

Outre le choix et la conception d’une topologie extranet, vous devez également concevoir une stratégie d’authentification et une architecture logique afin d’autoriser l’accès aux utilisateurs prévus en dehors du réseau interne et de sécuriser les sites et le contenu de la batterie de serveurs. Pour plus d’informations, voir les articles suivants :

Planification des relations de confiance des domaines

Lorsque la batterie de serveurs se trouve à l'intérieur d'un réseau de périmètre, ce dernier a besoin de sa propre architecture et de son propre domaine de service d'annuaire Active Directory. En règle générale, un domaine de périmètre et un domaine d'entreprise ne sont pas configurés pour s’approuver mutuellement. Cependant, si vous configurez une approbation à sens unique, dans laquelle le domaine de périmètre approuve le domaine d'entreprise, vous pouvez utiliser l'authentification Windows pour authentifier aussi bien les employés internes que distants au moyen des informations d’identification du domaine d'entreprise. Une autre option consiste à authentifier les employés via l'authentification par formulaires ou via SSO (Web single sign-on). Vous pouvez aussi utiliser ces méthodes pour l'authentification auprès d'un service d'annuaire de domaine interne.

Le tableau suivant récapitule ces options d'authentification et indique si une relation d'approbation est requise.

Scénario Description

Authentification Windows

Si le domaine de périmètre approuve le domaine du réseau d'entreprise, vous pouvez authentifier les employés internes et distants à l'aide de leurs informations d'identification au domaine d'entreprise.

Authentification par formulaires et SSO Web

Vous pouvez utiliser l'authentification par formulaires et l'authentification Web unique pour authentifier les employés internes et distants sur un environnement Active Directory interne. Vous pouvez par exemple utiliser l'authentification Web unique pour vous connecter aux services ADFS (Active Directory Federation Services). L'utilisation de l'une ou l'autre authentification ne nécessite *aucune* relation de confiance entre les domaines.

Cependant, plusieurs fonctionnalités d'Windows SharePoint Services 3.0 peuvent ne pas être disponibles, en fonction du fournisseur d'authentification. Pour plus d'informations sur les fonctionnalités pouvant être affectées par l'utilisation de ces authentifications, voir Planifier les paramètres d'authentification pour les applications Web (Windows SharePoint Services).

Pour plus d'informations sur la configuration d'une relation de confiance à sens unique dans un environnement extranet, voir Planifier le renforcement de la sécurité des environnements extranet (Windows SharePoint Services).

Planifier la disponibilité

Les topologies extranet décrites dans cet article visent à illustrer les points suivants :

  • où se situe une batterie de serveurs dans un réseau global ;

  • où se situe chaque rôle de serveur dans un environnement extranet.

L'objectif de cet article n'est en aucun cas de vous aider à choisir les rôles de serveur à déployer ou à déterminer le nombre de serveurs à déployer pour chaque rôle à des fins de redondance. Une fois que vous avez déterminé le nombre de batteries de serveurs requises pour votre environnement, utilisez l'article suivant pour planifier la topologie de chaque batterie de serveurs : Planification de la redondance (Windows SharePoint Services).

Planifier le renforcement de la sécurité

Une fois que vous avez conçu votre topologie extranet, planifiez le renforcement de la sécurité en vous aidant des ressources suivantes :

Topologie de pare-feu de périmètre

Cette configuration utilise un serveur proxy inversé à la frontière entre Internet et le réseau d'entreprise pour intercepter et transférer les demandes au serveur Web approprié situé sur l'intranet. À l'aide d'une série de règles configurables, le serveur proxy vérifie que les URL requises sont autorisées en fonction de la zone d'origine de la demande. Les URL requises sont ensuite traduites en URL internes. L'illustration suivante présente une topologie de pare-feu de périmètre.

Topologie de batterie de serveurs extranet : pare-feu de périmètre

Avantages

  • Solution la plus simple qui demande le moins de matériel et de configuration.

  • Toute la batterie de serveurs se situe dans le réseau d'entreprise.

  • Point de données unique :

    • les données se trouvent à l'intérieur du réseau approuvé ;

    • la maintenance des données s'effectue à un seul endroit ;

    • l'utilisation d'une seule batterie pour les demandes internes et externes garantit que tous les utilisateurs autorisés voient le même contenu.

  • Les demandes des utilisateurs internes ne passent pas par un serveur proxy.

Inconvénients

  • Entraîne la présence d'un seul pare-feu qui sépare le réseau d'entreprise interne d'Internet.

Topologie de périmètre dos à dos

Une topologie de périmètre dos à dos isole la batterie de serveurs dans un réseau de périmètre séparé, comme illustré dans la figure suivante.

Topologie de périmètre dos à dos

Cette topologie présente les caractéristiques suivantes :

  • Tout le matériel et les données résident dans le réseau de périmètre.

  • Les rôles de la batterie de serveurs et les serveurs de l'infrastructure réseau peuvent être répartis sur plusieurs couches. La combinaison des couches réseau peut réduire la complexité et le coût.

  • Chaque couche peut être séparée par des routeurs ou des pare-feu supplémentaires pour garantir que seules les demandes de couches spécifiques sont autorisées.

  • Les demandes du réseau interne peuvent être dirigées via le serveur ISA interne ou acheminées via l'interface publique du réseau de périmètre.

Avantages

  • Le contenu est isolé dans une seule batterie de serveurs de l'extranet, simplifiant son partage et sa maintenance à travers l'intranet et l'extranet.

  • L'accès des utilisateurs externes est isolé au réseau de périmètre.

  • Si l'extranet est compromis, les dommages sont potentiellement limités à la couche affectée ou au réseau de périmètre.

  • En utilisant une infrastructure Active Directory distincte, vous pouvez créer des comptes d'utilisateurs externes sans affecter l'annuaire interne de l'entreprise.

Inconvénients

  • Demande une infrastructure réseau et une configuration supplémentaires.

Topologie dos à dos divisée

Cette topologie divise la batterie entre les réseaux de périmètre et d'entreprise. Les ordinateurs exécutant le logiciel de base de données Microsoft SQL Server sont hébergés au sein du réseau d'entreprise. Les serveurs Web se trouvent dans le réseau de périmètre. Les serveurs de recherche peuvent être hébergés dans l'un ou l'autre des réseaux.

Topologie fractionnée dos à dos

Dans l'illustration précédente :

  • Le serveur de recherche est hébergé à l'intérieur du réseau de périmètre. Cette option est illustrée par le serveur bleu dans le cadre en pointillés.

  • Vous pouvez également déployer des serveurs de recherche au sein du réseau d'entreprise, avec les serveurs de bases de données. Cette option est illustrée par le serveur gris dans le cadre en pointillés. Si vous choisissez cette option, vous devez également être équipé d'un environnement Active Directory qui prend en charge ces serveurs (illustrés en gris dans le réseau d'entreprise).

Si la batterie de serveurs est répartie entre le réseau de périmètre et le réseau d'entreprise avec les serveurs de bases de données installés sur le deuxième, une relation de confiance entre domaines est requise si vous utilisez des comptes Windows pour accéder à SQL Server. Dans ce scénario, le domaine de périmètre doit approuver le domaine d'entreprise. Si vous utilisez l'authentification SQL, aucune relation de confiance entre domaines n'est requise. Pour plus d'informations sur la configuration des comptes pour cette topologie, voir « Relations d’approbation de domaine » dans l'article suivant : Planifier le renforcement de la sécurité des environnements extranet (Windows SharePoint Services).

Pour optimiser les performances de recherche et l'analyse, placez le rôle de serveur de recherche dans le réseau d'entreprise, avec les serveurs de bases de données. Vous pouvez également ajouter le rôle de serveur Web au serveur de recherche à l'intérieur du réseau d'entreprise et dédier ce serveur Web à l'analyse du contenu par le rôle de recherche. Si vous placez les serveurs Web dans le réseau de périmètre et le rôle de recherche dans le réseau d'entreprise, vous devez configurer une relation de confiance à sens unique dans laquelle le domaine du réseau de périmètre approuve celui du réseau d'entreprise. Cette relation d'approbation à sens unique est requise dans ce scénario pour prendre en charge la communication entre les serveurs de la batterie, indépendamment du fait que vous utilisiez l'authentification Windows ou SQL pour accéder à SQL Server.

Avantages

Les avantages de la topologie dos à dos divisée sont notamment :

  • Les ordinateurs qui exécutent SQL Server ne sont pas hébergés à l'intérieur du réseau de périmètre.

  • Les composants de batterie du réseau d'entreprise et du réseau de périmètre peuvent partager les mêmes bases de données.

  • Avec une infrastructure Active Directory distincte, vous pouvez créer des comptes d'utilisateurs externes sans affecter l'annuaire interne de l'entreprise.

Inconvénients

  • La solution est considérablement plus complexe.

  • Les intrus compromettant les ressources du réseau de périmètre peuvent accéder au contenu de la batterie stocké dans le réseau d'entreprise à l'aide des comptes de la batterie de serveurs.

  • La communication entre batteries est généralement répartie entre deux domaines.

Télécharger ce livre

Cette rubrique est incluse dans le livre téléchargeable suivant pour une lecture et une impression plus faciles :

Consultez la liste des livres disponibles à l’adresse Livres à télécharger pour Windows SharePoint Services.