Configurer l’authentification de serveur à serveur entre la batterie de serveurs de publication et la batterie de serveurs consommatrice

  • Article

 

**Sapplique à :**SharePoint Foundation 2013, SharePoint Server 2013, SharePoint Server 2016

**Dernière rubrique modifiée :**2017-09-06

**Résumé :**Découvrez comment configurer l’authentification de serveur à serveur lorsque vous partagez des applications de service entre les batteries de serveurs de publication et consommatrice dans SharePoint Server 2016 et SharePoint 2013.

Pour qu’une application web ou un service d’application puisse demander une ressource auprès d’une application web située dans une autre batterie de serveurs pour le compte d’un utilisateur, vous devez configurer l’authentification de serveur à serveur entre les batteries de serveurs. Voici quelques exemples de processus SharePoint Server qui utilisent l’authentification de serveur à serveur :

  • Suivre un document dans une application web de sites d’équipe lorsque le site personnel d’un utilisateur est situé sur une application web Mes sites. L’application web de sites d’équipe effectue une demande sur l’application web Mes sites de la part de l’utilisateur.

  • Créer ou répondre à un billet de flux d’un site situé sur une application web de sites d’équipe, mais créé par le biais du flux d’actualités Mon site de l’utilisateur sur l’application web Mes sites. L’application web Mes sites effectuera une demande sur l’application web de sites d’équipe de la part de l’utilisateur pour écrire le billet ou la réponse.

  • Une tâche d’application de service Profil utilisateur destinée à remplir le cache de flux doit pouvoir lire le site personnel ou le site d’équipe. Si l’application de service Profil utilisateur est exécutée dans une batterie de serveurs différente, celle-ci envoie une demande à l’application web Mes sites ou à l’application web de sites d’équipe pour pouvoir lire les données de flux du site ou de l’utilisateur dans le cache.

Notes

Il n’est pas nécessaire de configurer l’authentification de serveur à serveur pour les applications Web ou les services d’application qui demandent des ressources auprès d’un service d’application situé dans une autre batterie de serveurs.

Avant de commencer

Pour mieux comprendre les procédures décrites dans cet article, vous devez être familiarisé avec les concepts de base décrits dans les articles suivants :

Vue d’ensemble de l’authentification pour SharePoint Server

Planifier l’authentification de serveur à serveur dans SharePoint Server

Configurer l’authentification de serveur à serveur entre la batterie de serveurs de publication et la batterie de serveurs consommatrice

La procédure suivante décrit comment configurer l’authentification de serveur à serveur entre la batterie de serveurs de publication et la batterie de serveurs consommatrice.

Pour configurer l’authentification de serveur à serveur entre la batterie de serveurs de publication et la batterie de serveurs consommatrice, procédez comme suit :

  1. Choisissez un nom de domaine qui sera commun aux deux batteries de serveurs.

  2. Vérifiez que vous êtes membre du groupe Administrateurs sur le serveur sur lequel vous exécutez les applets de commande PowerShell.

    • Rôle serveur fixe Securityadmin sur l’instance SQL Server.

    • Rôle de base de données fixe db_owner sur toutes les bases de données à mettre à jour.

    Un administrateur peut utiliser la cmdlet Add-SPShellAdmin pour accorder les autorisations d’utilisation des cmdlets SharePoint Server.

    Notes

    Si vous ne disposez pas des autorisations, contactez votre administrateur d’installation ou votre administrateur SQL Server afin de les demander. Pour plus d’informations sur les autorisations PowerShell, voir Add-SPShellAdmin.

  3. Dans l’environnement SharePoint Server, dans la batterie de serveurs de publication et la batterie de serveurs consommatrice, démarrez SharePoint Management Shell.

  4. Pour configurer la batterie de serveurs de publication pour le nom de domaine commun, saisissez la commande suivante à l’invite de commandes PowerShell sur un serveur dans la batterie de serveurs de publication :

    Set-SPAuthenticationRealm -realm <RealmName>

    Où :

    RealmName est le nom que vous avez choisi à l’étape 1.

  5. Pour configurer l’ID de nom du service d’émission de jeton de sécurité (STS) SharePoint dans la batterie de serveurs de publication afin d’inclure le nom de domaine commun, saisissez la commande suivante à l’invite de commandes PowerShell sur un serveur dans la batterie de serveurs de publication :

    $sts=Get-SPSecurityTokenServiceConfig
$Realm=Get-SpAuthenticationRealm
$nameId = "00000003-0000-0ff1-ce00-000000000000@$Realm"
Write-Host "Setting STS NameId to $nameId"
$sts.NameIdentifier = $nameId
$sts.Update()

  6. Pour configurer la batterie de serveurs consommatrice pour le nom de domaine commun, saisissez la commande suivante à l’invite de commandes PowerShell sur un serveur dans la batterie de serveurs consommatrice :

    Set-SPAuthenticationRealm -realm <RealmName>

    Où :

    RealmName est le nom que vous avez choisi à l’étape 1.

  7. Pour configurer l’ID de nom du STS SharePoint dans la batterie de serveurs consommatrice afin d’inclure le nom de domaine commun, saisissez la commande suivante à l’invite de commandes PowerShell sur un serveur dans la batterie de serveurs consommatrice :

    $sts=Get-SPSecurityTokenServiceConfig
$Realm=Get-SpAuthenticationRealm
$nameId = "00000003-0000-0ff1-ce00-000000000000@$Realm"
Write-Host "Setting STS NameId to $nameId"
$sts.NameIdentifier = $nameId
$sts.Update()

  8. Pour configurer la batterie de serveurs de publication pour l’authentification de serveur à serveur avec la batterie de serveurs consommatrice, saisissez la commande suivante à l’invite de commandes PowerShell sur un serveur dans la batterie de serveurs de publication :

    New-SPTrustedSecurityTokenIssuer -MetadataEndpoint "https://<ConsumeHostName>/_layouts/<15or16>/metadata/json/1" -Name "<ConsumeFriendlyName>"

    Où :

    • ConsumeHostName est le nom et le port de toute application web compatible SSL de la batterie de serveurs consommatrice.

    • 15or16 est le répertoire pour la version SharePoint Server.

    • ConsumeFriendlyName est un nom convivial pour la batterie de serveurs consommatrice.

    Cela valide l’authentification de serveur à serveur avec la batterie de serveurs consommatrice.

  9. Pour configurer la batterie de serveurs consommatrice pour l’authentification de serveur à serveur avec la batterie de serveurs de publication, saisissez la commande suivante à l’invite de commande PowerShell sur un serveur dans la batterie de serveurs consommatrice :

    New-SPTrustedSecurityTokenIssuer -MetadataEndpoint "https://<PublishHostName>/_layouts/<15or16>/metadata/json/1" -Name "<PublishFriendlyName>"

    Où :

    • PublishHostName est le nom et le port de toute application web compatible SSL de la batterie de serveurs de publication.

    • 15or16 est le répertoire pour la version SharePoint Server.

    • PublishFriendlyName est un nom convivial pour la batterie de serveurs de publication.

    Cela valide l’authentification de serveur à serveur avec la batterie de serveurs de publication.

See also

Partager des applications de service entre plusieurs batteries dans SharePoint Server

Get-SPAuthenticationRealm
Set-SPAuthenticationRealm
New-SPTrustedSecurityTokenIssuer