本文為機器翻譯文章。如需檢視英文版,請選取 [原文] 核取方塊。您也可以將滑鼠指標移到文字上,即可在快顯視窗顯示英文原文。
譯文
原文

規劃從 Office 365 連線到 SharePoint Server 2013

 

適用版本:SharePoint Online, SharePoint Server 2013

上次修改主題的時間:2016-12-16

摘要:規劃及準備設定 SharePoint Server 2013 混合式環境的 Office 365 的輸入的連線。

本文被設計來協助您規劃及準備設定輸入的連線從Office 365 企業版SharePoint Server 2013透過反向 proxy 裝置。這是必要的下列的混合式環境:

  • 輸入混合式搜尋 (顯示搜尋結果從SharePoint Server 2013Office 365中)

  • 混合式Business Connectivity Services

  • 混合式Duet Enterprise Online for Microsoft SharePoint and SAP

在本文中,我們提供您必須知道,例如先決條件,以及在工作表,再開始設定程序收集必要資訊的資訊。使用本主題之前,您應該閱讀適用於技術決策者的混合式 SharePoint 2013 概觀

本主題協助您完成下列工作:

  • 了解先決條件和需求的輸入連線

  • 規劃 Web 應用程式架構

  • 規劃 SSL 憑證

  • 記錄重要決策和資訊

工作表。在規劃過程中,您需要收集資訊及檔案。請務必使用SharePoint 混合式工作表來追蹤規劃及部署資訊的參考 (英文) 以及與其他的部署小組成員資訊共用。我們不能壓力足夠的組織資訊開始設定程序之前使用此工作表的重要性。

建立建置記錄。在任何複雜的實作專案中,詳細地記錄每一項設計決策、伺服器設定、程序、命令輸出和錯誤,這在疑難排解、支援和瞭解方面,都是非常重要的參考。強烈建議您完整記錄部署程序。

警告 警告:
基於安全理由,請將工作表和建置記錄存放在加強安全保護的地方,例如受保護的安全共用或 SharePoint 文件庫,並只將權限授與參與部署程序且必須知道此資訊的管理員。

在本節中,您將記錄環境中的 URL 和主機名稱的相關資訊。在部署過程中,將會用到此資訊。

  • 記錄公司的公用 DNS 網域名稱 (例如 adventureworks.com)。

  • 針對要用於 SharePoint 混合式的反向 Proxy 裝置,記錄公開端點的 URL。這是「外部 URL」。如果此端點尚未存在,則您必須決定此 URL。

  • 記錄反向 Proxy 裝置的外部端點的 IP 位址。

  • 在公用網域的公用 DNS 正向對應區域中,請確定有一筆 A 記錄 (又稱為主機記錄) 可將外部 URL,對應至反向 Proxy 裝置上對網際網路開放的端點的 IP 位址。如果您沒有這一筆 A 記錄,請立即建立。

  • 內部網路 DNS 正向對應區域中,請確定有一筆 A 記錄將 SharePoint Server 2013 伺服器陣列的主機名稱對應至其 IP 位址。如果您沒有這一筆 A 記錄,請立即建立。

    重要事項 重要事項:
    如果您在部署過程中設定內部 URL 來存取 Web 應用程式,請記得在內部網路 DNS 正向對應區域中也建立這些 URL 的 A 記錄,並記錄於工作表。

 

編輯圖示

請在「SharePoint 混合式」工作表的表格 3 中記錄下列資訊:

  • [公用網際網路網域名稱] 資料列:公司公開 DNS 網域的網域名稱。

  • [外部 URL] 資料列:反向 Proxy 裝置的公開端點的 URL。

  • [外部端點的 IP 位址] 資料列:反向 Proxy 裝置的外部端點的 URL。

如需 Url 與混合式環境中的主機名稱之關係的詳細資訊,請觀看影片了解 Url 和主機名稱。長度: 6 分鐘數。

本節協助您規劃混合式環境中將使用的 SharePoint Server 2013 Web 應用程式的架構。

輸入的連線需要在內部SharePoint Server 2013伺服器陣列與SharePoint Online之間的安全通訊通道。此通訊通道上SharePoint Online中的網站集合與內部部署 web 應用程式之間交換資料。

SharePoint Online將要求傳送至會轉送至內部部署SharePoint Server 2013在伺服器陣列中設定 SharePoint 混合式的特定 web 應用程式要求的反向 proxy 伺服器。我們參照此作為主要 web 應用程式

提示 提示:
不論您打算設定多少個混合式解決方案,通常只會使用一個主要 Web 應用程式。您不需要為每一個增加的混合式解決方案額外建立主要 Web 應用程式。

主要 web 應用程式與單一網站集合內的主要 web 應用程式必須設定為接受來自SharePoint Online輸入的連線。

SharePoint 系統管理員會關聯服務與支援混合式解決方案所需的連線物件,而解決方案是使用主要 Web 應用程式所部署。使用功能特定設定,可以建立來自任何內部部署 SharePoint Server 2013 Web 應用程式的輸出連線。

SharePoint Server 2013「Web 應用程式」包含一個 Internet Information Services (IIS) 網站,作為所建立網站集合的邏輯單位。每個 Web 應用程式都是以具有唯一或共用應用程式集區、唯一公用 URL 的不同 IIS 網站表示,而且也可以設定成最多使用五個利用備用存取對應 (AAM) 的內部 URL。指定的 Web 應用程式是與單一內容資料庫相關聯,而且設定成使用特定驗證方法來連線至資料庫。多個 Web 應用程式可以設定成使用不同的驗證方法,以及選擇性地使用 AAM 提供對單一內容資料庫的存取權。

Web 應用程式的公用 URL 一律用作透過 Web 應用程式存取之網站和內容的所有連結中的根 URL。請考慮搭配使用 Web 應用程式與公用 URL https://spexternal.adventureworks.com,此公用 URL 具有在 AAM 中設定的內部 URL https://sharepoint。當您瀏覽至內部 URL https://sharepoint 時,SharePoint Server 2013 會傳回 URL 為 https://spexternal.adventureworks.com 的網站,而且網站內的所有連結都會有根據該路徑的 URL。

備用存取對應 (AAM) 時才需要當您設定公用 url 與外部 URL 不同以使用路徑型網站集合的輸入的連線。AAM 可讓您建立與組織內的 SharePoint 網站的內部 URL 關聯的外部 URL。這讓SharePoint Server 2013將要求路由傳送設定在 AAM 中對應的主要 web 應用程式的內部 url。

如需宣告式 Web 應用程式的詳細資訊,請參閱<在 SharePoint 2013 中建立宣告式 Web 應用程式>。

如需如何延伸 Web 應用程式的詳細資訊,請參閱<在 SharePoint 2013 中擴充宣告式 Web 應用程式>。

如需網站集合的詳細資訊,請參閱<SharePoint 2013 中的網站與網站集合概觀>。

決定使用現有 Web 應用程式或建立新的 Web 應用程式之前,必須了解 Web 應用程式和網站集合必須符合才能支援混合式功能的設定需求。使用本節中的資訊,可以判斷建立新 Web 應用程式和網站集合的策略,或判斷是否可以在混合式環境中使用現有 Web 應用程式中的網站集合。

下圖顯示用於判斷網站集合策略的決策流程。

單向輸入或雙向 SharePoint 混合式驗證拓撲的三個可能網站集合策略。

混合式 Web 應用程式的需求

用於混合式功能的 Web 應用程式必須符合所有這些需求:

  • Web 應用程式的公用 URL 必須與外部 URL 相同

    OAuth 通訊協定提供 SharePoint 混合式解決方案中的使用者授權。SharePoint 內部部署之所有 SharePoint Online 通訊中的主機要求標頭都包含一開始將要求傳送至其中的 URL。若要驗證來自 SharePoint Online 的輸入要求,則在從 SharePoint Online 到主要 Web 應用程式之公用 URL 的所有流量中,內部部署 SharePoint 驗證服務必須可以符合此 URL。這是外部 URL。針對 SharePoint 混合式環境使用主機命名型網站集合的其中一個優點,是您可以設定主機命名型網站集合使用與外部 URL 相同的 URL。這樣就不需要設定備用存取對應。

  • Web 應用程式必須設定成使用利用 NTLM 的整合式 Windows 驗證

    在支援伺服器對伺服器驗證和應用程式驗證的案例中部署 Web 應用程式時,需要使用 NTLM 的整合式 Windows 驗證。如需詳細資訊,請參閱在 SharePoint 2013 中規劃伺服器對伺服器的驗證

    SharePoint 混合式的宣告驗證類型

特定網站集合設定的需求

用於混合式功能的網站集合必須符合所有這些需求,也必須存在於或建立在符合 Web 應用程式需求的 Web 應用程式中:

  • 主機命名型網站集合

    • Web 應用程式必須支援主機命名型網站集合。

      若要建立主機命名型網站集合,必須建立 Web 應用程式來啟用這些網站。建立 Web 應用程式之後就無法啟用此功能。

      如需如何建立主機命名型網站集合的詳細資訊,請參閱<已指定主機的網站集合架構與部署 (SharePoint 2013)>。

      注意事項 附註:
      雖然這是 Web 應用程式需求,但是列在這裡的原因是它只適用於具有主機命名型網站集合的環境。
    • 內部部署 DNS 伺服器必須設定成具有分割 DNS。您需要建立用於公用 URL 之公用網際網路網域的正向對應區域,以及正向對應區域中的 A (主機) 記錄 (具有 SharePoint Server 2013 伺服器的 IP 位址和外部 URL 的主機名稱)。

      重要事項 重要事項:
      反向 Proxy 裝置必須可以解析此正向對應區域中的主機名稱,以將輸入要求轉送給 SharePoint Server 2013 伺服器陣列。
  • 路徑型網站集合

    • 如果公用 URL 與外部 URL 相同:

      內部部署 DNS 伺服器必須設定成具有分割 DNS。您需要建立用於公用 URL 之公用網際網路網域的正向對應區域,以及正向對應區域中的 A 記錄 (具有 SharePoint Server 2013 伺服器的 IP 位址和外部 URL 的主機名稱)。

      重要事項 重要事項:
      反向 Proxy 裝置必須可以解析此正向對應區域中的主機名稱,以將輸入要求轉送給 SharePoint Server 2013 伺服器陣列。

      這樣可以輕鬆地設定 SharePoint 混合式的 Web 應用程式。目標是將新 Web 應用程式的 [公用 URL] 欄位,對應至反向 Proxy 上的公開端點的 URL (又稱為「外部 URL」)。

    • 如果公用 URL 與外部 URL 不同:

      您需要設定備用存取對應 (AAM) 來轉送來自 SharePoint Online 的輸入要求。

      擴充主要 Web 應用程式,以及使用外部 URL 作為 [公用 URL]。然後,在與已擴充 Web 應用程式相同的安全性區域中,建立內部 URL (透過 [新增內部 URL]) 作為橋接 URL。您也會設定反向 Proxy 裝置,將輸入要求從 SharePoint Online 轉送至此橋接 URL。

      請記住,備用存取對應 (AAM) 時才需要當您設定公用 url 與外部 URL 不同以使用路徑型網站集合的輸入的連線。

注意事項 附註:
請記住,「外部 URL」是反向 Proxy 裝置上對網際網路開放的端點的 URL。

 

編輯圖示

將選擇的網站集合策略記錄在工作表之表 2 的 [網站集合策略] 列中。

您可以使用現有的 Web 應用程式或建立 Web 應用程式,做為主要 Web 應用程式。

如果您喜歡另外管理用於混合式功能的 Web 應用程式,或者,如果現有的 Web 應用程式不符合<選擇網站集合策略>一節列出的需求,則應該建立新的 Web 應用程式。

 

編輯圖示

在表 2 的 [新或現有 Web 應用程式] 列中記錄您的決策。

如果您決定使用現有 Web 應用程式作為主要 Web 應用程式,則請收集主要 Web 應用程式的 URL 以及最上層網站集合的 URL,並將它列在工作表上。

 

編輯圖示

在工作表上記錄下列資訊:

  • 根據網站集合策略,將主要 Web 應用程式 URL 記錄在表 5a、5b 或 5c 的 [主要 Web 應用程式 URL] 列中。

  • 如果您是使用現有主機命名型網站集合,請將最上層網站集合 URL 記錄在表 5a 的 [主機命名型網站集合 URL] 列中。

記錄此資訊之後,請移至規劃 SSL 憑證小節。

如果您決定建立新的 Web 應用程式,我們會在您設定混合式拓撲時指導您怎麼做。

SSL 憑證建立伺服器身分識別和憑證驗證提供數個不同的服務與 SharePoint 混合式環境中的連線。您需要有兩個 SSL 憑證:安全通道 SSL 憑證STS 憑證

如需如何在 SharePoint 混合式環境中使用 SSL 憑證的詳細資訊,請參閱SharePoint 2013 混合式拓撲: 憑證和驗證模型

注意事項 附註:
如果您選擇使用 SSL 保護內部部署 SharePoint 伺服器陣列安全,則也需要主要 Web 應用程式的 SSL 憑證。此憑證沒有混合式特定考量,讓您可以遵循使用 SSL 設定 SharePoint Server 2013 的一般最佳作法。
注意事項 附註:
「安全通道」不是一種憑證類別;我們使用這個字詞來區分此特定憑證與環境中所用的其他 SSL 憑證。

安全通道 SSL 憑證可做為伺服器憑證和用戶端憑證,在反向 Proxy 裝置和 Office 365 之間的安全通訊通道上,提供驗證和加密。對於用來發佈內部部署 SharePoint Server 2013 網站集合的反向 Proxy 端點,此憑證也能驗證端點的身分識別。

此憑證必須為萬用字元憑證或 SAN 憑證,並由公用根憑證授權單位發行。此憑證的主體欄位必須包含反向 Proxy 伺服器之外部端點的主機名稱,或包含萬用字元 URL 來涵蓋命名空間中所有主機名稱。至少必須使用 2048 位元加密。

重要事項 重要事項:
萬用字元憑證只能保護單一層級的 DNS 命名空間。例如,如果外部 URL 是 https://spexternal.public.adventureworks.com,則萬用字元憑證的主體必須是 *.public.adventureworks.com,而不是 *.adventureworks.com。

如果 SharePoint Online 設定為要求來自 SharePoint Server 2013 的資訊,則需要 SSL 憑證才能執行下列動作:

  • 加密安全通道上的流量。

  • 讓反向 Proxy 裝置能夠使用憑證驗證來驗證輸入連線。

  • 允許 SharePoint Online 識別並信任外部端點。

在部署期間,您會將 SSL 憑證安裝在反向 Proxy 裝置和 SharePoint Online Secure Store 目標應用程式中。您需要在設定混合式環境基礎結構時完成此設定。

針對內部部署公用網域,取得來自已知憑證授權單位 (例如 DigiCert、VeriSign、Thawte 或 GeoTrust) 的安全通道 SSL 萬用字元或 SAN (主體別名) 憑證。

注意事項 附註:
  • 此憑證必須支援多個名稱,而且必須至少 2048 位元。

  • 憑證的 [主體] 或 [主體名稱] 欄位必須包含「外部 URL」中的網域名稱的萬用字元項目。例如,如果外部 URL 是 https://spexternal.public.adventureworks.com,則萬用字元憑證的主體應該為 *.public.adventureworks.com

  • 憑證的有效期限通常為一年。因此,請務必事先規劃憑證更新,以免服務中斷。SharePoint 管理員應該安排提醒更換憑證的時間,讓您有足夠的前置時間來避免工作中斷。

 

編輯圖示

將下列項目記錄在表 4b:安全通道 SSL 憑證的工作表上:

  • 此憑證的名稱,以及已儲存在 [安全通道憑證位置和檔案名稱] 列中的位置。

  • [安全通道 SSL 憑證好記名稱] 列中此憑證的好記名稱。

  • [憑證類型] 資料列:指定憑證類型 (萬用字元或 SAN)。

  • [到期日] 資料列:憑證的到期日。

  • 如果此憑證的副檔名為 .pfx,請在 [安全通道 SSL 憑證密碼] 資料列中記錄憑證的密碼。如果您在工作表中更新密碼,請記得以密碼來保護工作表的安全。

內部部署 SharePoint 伺服器陣列的 STS 憑證要求預設憑證來驗證傳入的 token。在 SharePoint 混合式環境中, Azure Active Directory做為受信任權杖簽署服務和使用的 STS 憑證的簽署憑證。Azure Active Directory無法作為預設 STS 憑證從SharePoint Server簽署憑證因為它無法驗證信任鏈結。

因此,您必須在內部部署 SharePoint 伺服器陣列中每一個伺服器上,將預設 STS 憑證取代為下列憑證:

  • Azure Active Directory所信任公用憑證授權單位 (CA) 所發出的憑證

  • 自我簽署憑證

稍後當您設定身分識別管理基礎結構時,就會取代預設 STS 憑證。

重要事項 重要事項:
  • 此憑證至少必須為 2048 位元。

  • 您必須在 SharePoint Server 2013 伺服器陣列中每一個 Web 和應用程式伺服器上取代 STS 憑證。

  • 憑證的有效期限通常為一年。因此,請務必事先規劃憑證更新,以免服務中斷。

如果您選擇使用自我簽署憑證,則會在部署設定期間建立它。設定從 SharePoint Server 2013 to SharePoint Online 的伺服器對伺服器驗證主題包括針對 SharePoint 建立新自我簽署憑證的步驟。

請先取得 STS 憑證,再開始設定程序。

 

編輯圖示

將下列項目記錄在表 4a:STS 憑證的工作表上:

  • STS 憑證好記名稱

  • STS 憑證路徑\檔案名稱 (*.pfx 檔案)

  • STS 憑證密碼

  • STS 憑證路徑\檔案名稱 (*.cer 檔案)

  • 主體名稱

  • STS 憑證開始日期

  • STS 憑證結束日期

SharePoint 混合式環境安裝程序需要您部署的內部 Active Directory 與 Office 365 目錄 (Azure Active Directory Office 365 目錄中所呈現的) 的幾個使用者帳戶。這些帳戶會有不同的權限與群組或角色的成員資格。帳戶的一些可用來部署和設定軟體,部分所需來測試特定功能有助於確保該安全性和驗證系統已如預期般運作。

  • 如需必要使用者帳戶的完整說明 (包括角色和身分識別提供者的附註),請移至混合式設定和測試所需的帳戶

  • 請依指示,將必要帳戶資訊記錄在工作表中。

  • 完成此步驟後,請回到本規劃文件。

此時,您應已完成的填寫 [必要] 工作表輸入連線並備妥開始設定程序。您下一步是選擇設定藍圖

https://technet.microsoft.com/zh-tw/library/dn607312.aspx
顯示: