Configurer les communications sécurisées pour une nouvelle application Web (Duet Enterprise)

  • Article

 

S’applique à : Duet Enterprise for Microsoft SharePoint and SAP

Dernière rubrique modifiée : 2016-11-29

Pendant le déploiement, les administrateurs doivent configurer les communications sécurisées entre les composants suivants : une application Web dans la batterie de serveurs Microsoft SharePoint Server 2010, un serveur qui exécute SAP NetWeaver et le module complémentaire SAP Duet Enterprise.

Vous pouvez décider d’établir une connexion Services Microsoft Business Connectivity sécurisée entre une application Web supplémentaire et le serveur SAP NetWeaver pour lequel la Banque d’informations sécurisée dans la batterie de serveurs SharePoint Server a déjà été configurée. En outre, vous pouvez décider d’établir des communications sécurisées entre une application Web supplémentaire et un autre serveur qui exécute SAP NetWeaver.

Cet article décrit les procédures pas à pas permettant de configurer les communications sécurisées entre une application Web sur une batterie de serveurs SharePoint Server et un serveur exécutant SAP NetWeaver sur lequel des communications sécurisées ont été configurées.

Pour configurer les communications sécurisées entre une application Web et un serveur qui exécute SAP NetWeaver, effectuez les procédures suivantes dans l’ordre indiqué :

  • Créer ou obtenir un certificat SSL

  • Étendre l'application Web de manière à utiliser le protocole SSL

  • Créer la liaison SSL pour l'application Web étendue

  • Exporter le certificat SSL

  • Partager le certificat SSL avec l’administrateur SAP

  • Pour approuver le certificat SSL provenant de l’environnement SAP

Créer ou obtenir un certificat SSL

Pour utiliser SSL (Secure Sockets Layer) afin de sécuriser une application Web, vous devez disposer d’un certificat SSL. Dans le cas d’un environnement de production, il est recommandé d’obtenir un certificat signé auprès d’une autorité de certification tierce ou d’une autorité de certification dans votre domaine intranet. Toutefois, dans le cas des environnements de test, vous pouvez créer un certificat auto-signé à cette fin. Pour plus d’informations sur le choix du type de certificat à utiliser et sur la création d’un certificat auto-signé, voir Configuration de SSL sur IIS 7.0 (éventuellement en anglais) (https://go.microsoft.com/fwlink/?linkid=193447&clcid=0x40C) (éventuellement en anglais).

Préparer l’application Web

L’authentification basée sur les revendications Windows est requise pour toutes les applications Web sur lesquelles vous allez configurer des solutions Duet Enterprise. L’authentification par formulaire n’est pas prise en charge, car les rapports ne peuvent pas être routés vers les sites qui utilisent cette méthode d’authentification. En règle générale, vous souhaitez que les utilisateurs finaux puissent recourir au protocole HTTP pour accéder au contenu des sites SharePoint.

Étant donné que les transactions de flux de travail entre l’application Web et le système SAP requièrent l’authentification de base, qui envoie toutes les informations en texte clair, il est recommandé d’étendre l’application Web afin de créer une zone et de configurer celle-ci pour le protocole SSL et l’authentification de base.

Plusieurs options sont à votre disposition lorsque vous préparez l’application Web. Vous pouvez par exemple déployer les sites Duet Enterprise sur une application Web existante ou créer une application Web.

Effectuez l’une des actions suivantes :

  • S’il existe une application Web sur laquelle vous souhaitez activer la fonctionnalité Duet Enterprise, vous devez vérifier qu’elle est configurée pour l’authentification basée sur les revendications Windows. Pour vérifier que votre application Web existante prend en charge Duet Enterprise, voir Vérifier si une application Web est configurée pour l'authentification basée sur les revendications Windows.

  • Si l’application Web sur laquelle vous souhaitez activer la fonctionnalité Duet Enterprise n’existe pas, voir Créer une application Web pour les sites Duet Enterprise.

Vérifier si une application Web est configurée pour l’authentification basée sur les revendications Windows

Si vous disposez d’une application Web que vous souhaitez utiliser pour les sites Duet Enterprise, vous devez vérifier qu’elle est configurée pour l’authentification basée sur les revendications Windows. Si vous souhaitez créer une application Web pour les sites Duet Enterprise, passez à l’étape Créer une application Web pour les sitesDuet Enterprise.

Si l’application Web à utiliser pour les sites Duet Enterprise n’est pas configurée pour l’authentification basée sur les revendications Windows, vous pouvez éventuellement la convertir de façon qu’elle soit configurée de la sorte ou vous pouvez créer une application Web pour les sites Duet Enterprise. Pour plus d’informations sur la conversion d’une application Web afin de la configurer pour l’authentification basée sur les revendications Windows, voir Migrer de l’authentification par formulaires à l’authentification par revendications (SharePoint Server 2010) (https://go.microsoft.com/fwlink/?linkid=205651&clcid=0x40C) et Migrer depuis l’authentification en mode classique vers l’authentification basée sur les revendications (SharePoint Server 2010) (https://go.microsoft.com/fwlink/?linkid=205652&clcid=0x40C).

Notes

Vous devez être membre du groupe Administrateurs de batterie SharePoint pour effectuer cette procédure.

Pour déterminer si une application Web est configurée pour l’authentification basée sur les revendications Windows

  1. Vérifiez que vous disposez des informations d’identification administratives suivantes :

    • Vous devez être membre du groupe SharePoint Administrateurs de batterie et membre du groupe Administrateurs Windows sur le serveur exécutant l’Administration centrale.

  2. Sur le site Web Administration centrale, dans la barre de lancement rapide, cliquez sur Gestion des applications.

  3. Dans la section Applications Web, cliquez sur Gérer les applications Web.

  4. Dans la colonne Nom, cliquez sur l’application Web pour laquelle vous souhaitez vérifier le fournisseur d’authentification.

  5. Dans le groupe Sécurité du Ruban, cliquez sur Fournisseurs d’authentification.

  6. Dans la boîte de dialogue Fournisseurs d’authentification, sous Nom du fournisseur d’appartenances, vérifiez que la zone pour laquelle vous allez déployer les sites Duet Enterprise indique « Authentification par revendications ». Si ce n’est pas le cas, l’application Web n’est pas configurée pour l’authentification basée sur les revendications et vous devez la convertir afin qu’elle soit configurée pour l’authentification basée sur les revendications Windows ou créer une application Web pour les sites Duet Enterprise.

Créer une application Web pour les sites Duet Enterprise

L’application Web pour les sites Duet Enterprise doit être configurée de manière à utiliser l’authentification basée sur les revendications Windows. Si vous ne disposez pas d’une application Web sur laquelle vous souhaitez activer les sites Duet Enterprise, utilisez cette procédure pour en créer une. Sinon, passez à l’étape Étendre l'application Web.

Notes

Vous devez être membre du groupe Administrateurs de batterie SharePoint pour effectuer cette procédure.

Pour créer une application Web qui utilise l’authentification basée sur les revendications Windows

  1. Vérifiez que vous disposez des informations d’identification administratives suivantes :

    • Pour créer une application Web, vous devez être membre du groupe SharePoint Administrateurs de batterie et membre du groupe Administrateurs Windows sur le serveur exécutant l’Administration centrale.

  2. Dans la page d’accueil de l’Administration centrale, dans la section Gestion des applications, cliquez sur Gérer les applications Web.

  3. Dans le groupe Collaboration du Ruban, cliquez sur Nouveau.

  4. Dans la page Créer une Application Web, dans la section Authentification, cliquez sur Authentification par revendications.

  5. Dans la section Site Web IIS, dans la zone Port, tapez le numéro de port que vous souhaitez utiliser pour accéder à l’application Web.

    Par défaut, ce champ est rempli avec un numéro de port aléatoire.

    Notes

    Le numéro de port standard pour l’accès HTTP est 80. Si vous souhaitez que les utilisateurs accèdent à l’application Web sans taper de numéro de port, utilisez le numéro de port standard.

  6. Facultatif : dans la section Site Web IIS, dans la zone En-tête de l’hôte, tapez le nom de l’hôte (par exemple, www.contoso.com) que vous souhaitez utiliser pour accéder à l’application Web.

    Notes

    En général, cette valeur n’est pas définie, sauf si vous souhaitez configurer plusieurs sites Web IIS qui partagent le même numéro de port sur le même serveur et que DNS est configuré pour acheminer les demandes au même serveur.

  7. Dans la section Site Web IIS, dans la zone Chemin d’accès, tapez éventuellement le chemin d’accès du répertoire racine du site Web IIS sur le serveur.

    Cette zone est remplie avec un chemin d’accès suggéré.

  8. Dans la section Types d’authentification basée sur les revendications, vérifiez que la case à cocher Activer l’authentification Windows est activée puis, dans le menu déroulant, sélectionnez Négocier (Kerberos) ou NTLM. Pour plus d’informations, voir Planifier l’authentification Kerberos (SharePoint Server 2010) (https://go.microsoft.com/fwlink/?linkid=192622&clcid=0x40C).

  9. Dans la section URL publique, définissez l’URL sur le nom de domaine complet. Par exemple, https://corp.contoso.com:80.

    Notes

    La valeur Zone est automatiquement définie sur Par défaut pour une nouvelle application Web.

  10. Dans la section Pool d’applications, vérifiez que l’option Créer un nouveau pool d’applications est sélectionnée, puis tapez le nom à utiliser pour le nouveau pool d’applications ou conservez le nom par défaut.

  11. Sous Sélectionnez un compte de sécurité pour ce pool d’applications, vérifiez que l’option Configurable est sélectionnée, puis sélectionnez le compte géré à utiliser pour ce pool d’applications.

  12. Dans la section Nom de la base de données et authentification, sélectionnez le serveur de bases de données et le nom de base de données pour votre nouvelle application Web, comme décrit dans le tableau suivant, ou acceptez les valeurs par défaut.

    Élément Action

    Serveur de bases de données

    Tapez le nom du serveur de bases de données et de l’instance Microsoft SQL Server à utiliser, au format nom_serveur\instance. Vous pouvez également utiliser l’entrée par défaut.

    Nom de la base de données

    Tapez le nom de la base de données ou utilisez l’entrée par défaut.

  13. Dans la section Nom de la base de données et authentification, vérifiez que l’option Authentification Windows (recommandée) est sélectionnée.

  14. Si vous utilisez la mise en miroir de bases de données, dans la section Serveur de basculement, dans la zone Serveur de bases de données de basculement, tapez le nom d’un serveur de bases de données de basculement spécifique que vous souhaitez associer à une base de données de contenu.

  15. Dans la section Connexions aux applications de service, sélectionnez les connexions aux applications de service qui seront disponibles pour l’application Web. Dans le menu déroulant, cliquez sur Par défaut ou Personnalisé. L’option Personnalisé permet de sélectionner les connexions aux applications de service que vous souhaitez utiliser pour l’application Web.

    Conseil

    Duet Enterprise requiert que les applications de service suivantes soient associées à cette application Web : Service Business Data Connectivity, service Banque d’informations sécurisé et application de service de profil utilisateur.

  16. Dans la section Programme d’amélioration du produit, cliquez sur Oui si vous souhaitez participer au programme d’amélioration du produit ou sur Non dans le cas contraire.

  17. Cliquez sur OK pour créer la nouvelle application Web.

  18. Cliquez sur OK dans la boîte de dialogue qui apparaît. L’application Web que vous avez créée apparaît dans la page Gestion des applications Web de l’Administration centrale. Ne fermez pas cette page, car vous en aurez besoin pour la prochaine procédure.

Étendre l’application Web de manière à utiliser SSL

Utilisez cette procédure pour étendre l’application Web afin de créer une zone qui sera utilisée pour toutes les transactions entre l’application Web et le système SAP.

Pour étendre l’application Web

  1. Vérifiez que vous disposez des informations d’identification administratives suivantes :

    • Pour créer une application Web, vous devez être membre du groupe SharePoint Administrateurs de batterie et membre du groupe Administrateurs Windows sur le serveur exécutant l’Administration centrale.

  2. Dans la page d’accueil de l’Administration centrale, dans la section Gestion des applications, cliquez sur Gérer les applications Web.

  3. Dans la page Gestion des applications Web, sélectionnez l’application Web que vous avez créée dans la procédure précédente.

  4. Dans le groupe Collaboration du Ruban, cliquez sur Étendre.

  5. Dans la page Étendre une application Web à un autre site Web IIS, dans la section Site Web IIS, vérifiez que l’option Créer un nouveau site Web IIS est sélectionnée, puis tapez éventuellement le nom du site Web dans la zone Nom.

  6. Dans la section Site Web IIS, dans la zone Port, tapez le numéro de port que vous souhaitez utiliser pour accéder à l’application Web. Par défaut, ce champ est rempli avec un numéro de port aléatoire.

  7. Facultatif : dans la section Site Web IIS, dans la zone En-tête de l’hôte, tapez le nom de l’hôte (par exemple, www.contoso.com) que vous souhaitez utiliser pour accéder à l’application Web.

    Notes

    En général, ce champ n’est pas défini, sauf si vous souhaitez configurer plusieurs sites Web IIS qui partagent le même numéro de port sur le même serveur et que DNS est configuré pour acheminer les demandes au même serveur.

  8. Facultatif : dans la section Site Web IIS, dans la zone Chemin d’accès, tapez le chemin d’accès du répertoire racine du site Web IIS sur le serveur. Par défaut, ce champ est rempli avec un chemin d’accès suggéré.

  9. Dans la section Configuration de la sécurité, sous Utiliser Secure Sockets Layer (SSL), cliquez sur Oui.

  10. Dans la section Types d’authentification basée sur les revendications, vérifiez que l’option Activer l’authentification Windows est sélectionnée, puis, dans le menu déroulant, choisissez Négocier (Kerberos) ou NTLM. Pour plus d’informations, voir Planifier l’authentification Kerberos (SharePoint Server 2010) (https://go.microsoft.com/fwlink/?linkid=192622&clcid=0x40C).

  11. Activez la case à cocher Authentification de base (les informations d’identification sont envoyées en texte clair).

  12. Dans la section URL publique, définissez l’URL sur le nom de domaine complet. Par exemple, https://corp.contoso.com:443.

  13. Dans la liste Zone, sélectionnez la zone à utiliser pour ce port. Vous pouvez choisir n’importe quelle zone disponible. Toutefois, il est recommandé de choisir la zone Personnalisée, car ce nom décrit mieux la finalité de cette zone.

  14. Cliquez sur OK pour étendre l’application Web.

    Pour plus d’informations sur la façon de configurer SSL, voir Configuration de SSL sur IIS 7.0 (éventuellement en anglais) (https://go.microsoft.com/fwlink/?linkid=187887&clcid=0x40C) (éventuellement en anglais).

Créer un mappage des accès de substitution pour l’application Web compatible SSL

L’application Web que vous avez créée dans la procédure précédente doit être accessible à l’aide de l’URL spécifiée dans le certificat SSL que vous allez lier à cette application Web (dans une procédure ultérieure). S’il ne s’agit pas de la même URL, par exemple si l’application Web a été créée à l’aide du nom de domaine complet, mais que le certificat utilise l’URL courte, vous devez créer un mappage des accès de substitution pour spécifier l’URL répertoriée dans le certificat.

Notes

Un exemple de nom de domaine complet est http://contoso.corp.com. Dans cet exemple, l’URL courte serait http://contoso.

Si l’URL répertoriée dans le certificat SSL et l’URL utilisée pour la création de l’application Web sont les mêmes, vous n’avez pas besoin d’effectuer cette procédure.

Pour créer un mappage des accès de substitution

  1. Dans l’Administration centrale, dans la barre de lancement rapide, cliquez sur Paramètres système.

  2. Dans la section Gestion de la batterie, cliquez sur Configurer les mappages d’accès de substitution.

  3. Cliquez sur Ajouter des URL internes.

  4. Dans la section Collection de mappages des accès de substitution, sélectionnez l’application Web que vous utiliserez pour vos sites Duet Enterprise.

  5. Dans la section Ajouter une URL interne, procédez comme suit :

    1. Dans la zone Protocole, hôte et port de l’URL, tapez l’URL répertoriée dans le certificat SSL.

    2. Dans la liste Zone, sélectionnez la zone à utiliser pour cette URL.

      Notes

      Il s’agit du nom de la zone que vous avez sélectionnée lorsque vous avez étendu l’application Web dans la procédure précédente.

  6. Cliquez sur Enregistrer.

    Le mappage des accès de substitution que vous avez créé apparaît dans la page Mappages des accès de substitution.

Créer la liaison SSL pour la zone compatible SSL

Effectuez cette procédure pour lier un certificat SSL à la zone compatible SSL de votre application Web.

Notes

Vous devez être membre du groupe Administrateurs sur l’ordinateur qui exécute SharePoint Server 2010 pour effectuer cette procédure.

Pour créer la liaison SSL pour l’application Web étendue

  1. Connectez-vous à un serveur Web frontal en tant que membre du groupe Administrateurs Windows.

  2. Cliquez sur Démarrer, pointez sur Programmes, pointez sur Outils d’administration, puis cliquez sur Gestionnaire des services Internet (IIS).

  3. Dans le volet Connexions, développez Sites, puis sélectionnez le site associé à l’application Web compatible SSL que vous avez créée dans une procédure antérieure.

    Conseil

    Ce site peut être identifié par le numéro de port et le nom que vous lui avez affectés lorsque vous avez étendu l’application Web.

  4. Dans le volet Actions, sous Modifier le site, cliquez sur Liaisons.

  5. Dans la boîte de dialogue Liaisons de sites, cliquez sur Ajouter.

  6. Dans la boîte de dialogue Ajouter la liaison de site, sélectionnez https dans la liste déroulante Type.

  7. Dans la liste des certificats SSL, sélectionnez le certificat SSL que vous avez créé ou obtenu au cours de la procédure Créer ou obtenir un certificat SSL, puis cliquez sur OK.

  8. Cliquez sur Fermer pour fermer la boîte de dialogue Liaisons de sites.

  9. Répétez les étapes 1 à 8 pour chaque serveur Web frontal supplémentaire dans la rotation d’équilibrage de charge de votre batterie de serveurs SharePoint Server 2010.

Exporter le certificat SSL

Si vous avez obtenu un certificat SSL auprès d’une autorité de certification, vous n’avez pas besoin d’effectuer cette procédure, car vous disposez déjà du certificat dans votre système de fichiers. Toutefois, si vous avez utilisé IIS sur un serveur Web frontal SharePoint pour créer un certificat auto-signé à des fins de test, vous devez exporter le certificat afin de pouvoir partager une copie de ce certificat avec l’administrateur SAP.

Notes

Vous devez être membre du groupe Administrateurs Windows sur le serveur Web frontal SharePoint pour effectuer cette procédure.

Pour exporter le certificat SSL

  1. Connectez-vous à un serveur Web frontal SharePoint pour lequel vous avez lié le certificat.

  2. Si le Gestionnaire des services Internet (IIS) n’est pas déjà ouvert, cliquez sur Démarrer, pointez sur Outils d’administration, puis cliquez sur Gestionnaire des services Internet (IIS).

  3. Dans l’arborescence, sélectionnez le nœud du serveur.

  4. Dans le volet du milieu, sous IIS, double-cliquez sur Certificats de serveur.

  5. Dans le volet du milieu, double-cliquez sur le certificat que vous avez lié à votre application Web étendue.

  6. Dans la boîte de dialogue Certificat, sous l’onglet Détails, cliquez sur Copier dans un fichier.

  7. Dans la page Bienvenue, cliquez sur Suivant.

  8. Dans la page Exportation de la clé privée, vérifiez que l’option Non, ne pas exporter la clé privée est sélectionnée, puis cliquez sur Suivant.

  9. Dans la page Format de fichier d’exportation, cliquez sur Suivant.

  10. Dans la page Fichier à exporter, dans la zone Nom du fichier, tapez le chemin d’accès et le nom de fichier à utiliser pour l’exportation du certificat, puis cliquez sur Suivant.

    Conseil

    Vous n’avez pas besoin de taper une extension de nom de fichier.

  11. Cliquez sur Terminer.

  12. Cliquez sur OK pour fermer la boîte de dialogue L’exportation s’est effectuée correctement..

  13. Cliquez sur OK pour fermer la boîte de dialogue Certificat.

Partager le certificat SSL avec l’administrateur SAP

Vous devez fournir une copie du certificat SSL à l’administrateur SAP. Celui-ci utilisera le certificat SSL pour établir une communication du serveur SAP NetWeaver dans le système SAP à votre application Web.

Établir une relation d’approbation avec le certificat SSL provenant de l’environnement SAP

Pour que l’application Web compatible SSL accepte les informations provenant de l’environnement SAP, vous devez établir une relation d’approbation avec le certificat SSL fourni par l’administrateur SAP.

Notes

Vous devez être membre du groupe SharePoint Administrateurs de batterie pour effectuer cette procédure.

Pour approuver le certificat SSL provenant de l’environnement SAP

  1. Dans l’Administration centrale, dans la barre de lancement rapide, cliquez sur Sécurité.

  2. Dans la section Sécurité générale, cliquez sur Gérer la relation d’approbation.

  3. Dans le groupe Gestion du Ruban, cliquez sur Nouveau.

  4. Dans la boîte de dialogue Établir une relation d’approbation, dans la zone Nom, tapez le nom à utiliser pour cette relation d’approbation.

  5. En regard de la zone Certificat d’autorité racine, cliquez sur Parcourir.

  6. Dans la boîte de dialogue Sélectionner le fichier à télécharger, dans la zone Nom du fichier, tapez le chemin d’accès et le nom de fichier du certificat pour lequel vous souhaitez établir une relation d’approbation, puis cliquez sur Ouvrir.

  7. Cliquez sur OK pour fermer la boîte de dialogue Établir une relation d’approbation.

    Le nom que vous avez tapé à l’étape 4 apparaît dans la colonne Nom de la page Relations d’approbation.