2013 © Trivadis
BASEL BERN BRUGG LAUSANNE ZÜRICH DÜSSELDORF FRANKFURT A.M. FREIBURG I.BR. HAMBURG MÜNCHEN STUTTGART WIEN
2013 © Trivadis
Effiziente SharePoint Installationen On-Premise und in der Cloud
SharePoint in der Cloud
Referent: Guido Forster, Trivadis AGConsultant, Competence Center Microsoft SharePoint
Microsoft TechTalk07.02.2014
1
2013 © Trivadis
AGENDA
09:00 – 09:15 Intro (Speaker, Chhaou-Long Huong, Microsoft Schweiz GmbH)
09:15 – 10:30 SharePoint OnPremise - vom Design bis zur Installation gemäss Best PracticesSpeaker: Danny von Borries, Consultant Trivadis AG
10:30 - 10:45 Kaffeepause
10:45 - 12:00 SharePoint in der Cloud - Möglichkeiten von hybriden Lösungen bis hin zum Cloud Service gemäss Best PracticesSpeaker: Guido Forster, Consultant Trivadis AG
12:00 - 12:15 Q & A
Microsoft TechTalk07.02.2014
2
2013 © Trivadis
AGENDA: SharePoint in der Cloud
1. Möglichkeiten von Office 365 und SharePoint Online
2. Abgrenzung On-Premise vs. Office 365
3. Möglichkeiten von Hybridlösungen
4. Q & A
Microsoft TechTalk07.02.2014
3
2013 © Trivadis
Möglichkeiten von Office 365 und SharePoint Online
Microsoft TechTalk07.02.2014
4
2013 © Trivadis
Office 365
SharePoint Online
Exchange Online
Lync Online
…………. und noch vieles mehr!
Microsoft TechTalk07.02.2014
5
2013 © Trivadis
Office 365
Office 365 = Cloud-Solutions von Microsoft
Office 365 kann folgende Produkte beinhalten: SharePoint Online Exchange Online Lync Online Office Professional Plus Office Web Apps SkyDrive Visio Pro, Project Pro, Project Pro, Dynamics CRM Online
Verschiedene Lizenzierungsmodelle möglich: http://office.microsoft.com/de-ch
Microsoft TechTalk07.02.2014
6
2013 © Trivadis
Office 365 Lizenzmodelle
Verschiedene Lizenzmodelle:
Privat
Bildungseinrichtungen (Education / Academic)
Behörden / Regierung (Government)
Gemeinnützige Organisationen (Nonprofit)
Unternehmen (Enterprise)
Microsoft TechTalk07.02.2014
7
2013 © Trivadis
Office 365 Lizenzmodelle
Private Nutzung:
Office 365 Home Premium
- Office 2013: Word, Excel, PowerPoint, Outlook, OneNote, Access, Publisher
- SkyDrive 20GB (News vom 27. Januar 2014: Neuer Name: OneDrive)
- Skype 60 Minuten
- -> auf 5 Geräten nutzbar
Microsoft TechTalk07.02.2014
8
2013 © Trivadis
Office 365 Lizenzmodelle
Private Nutzung: Office 365 Home Premium
Microsoft TechTalk07.02.2014
9
2013 © Trivadis
Office 365 Lizenzmodelle
Bildungseinrichtungen (Education / Academic):
Microsoft TechTalk07.02.2014
10
2013 © Trivadis
Office 365 Lizenzmodelle
Behörden / Regierung (Government):
Microsoft TechTalk07.02.2014
11
2013 © Trivadis
Office 365 Lizenzmodelle
Gemeinnützige Organisationen (Nonprofit):
Microsoft TechTalk07.02.2014
12
2013 © Trivadis
Office 365 Lizenzmodelle
Für kleine und mittelständische Unternehmen Office 365 Small Business Office 365 Small Business Premium Office 365 Midsize Business
Microsoft TechTalk07.02.2014
13
2013 © Trivadis
Office 365 Lizenzmodelle
Für grosse Unternehmen
Microsoft TechTalk07.02.2014
14
2013 © Trivadis
Office 365 Lizenzmodell „Grosse Unternehmen“
Wechseln der Pläne: (Small -> MidSize -> Enterprise)
War früher nicht möglich. Seit 19.12.2013 nun möglich!
http://blogs.office.com/2013/12/19/you-can-now-switch-plans-to-a-different-office-365-service-family/
Microsoft TechTalk07.02.2014
15
2013 © Trivadis
Office 365
Beispiel für diesen TechTalk: Enterprise-Lizenzen „E3“:
Microsoft TechTalk07.02.2014
16
2013 © Trivadis
Office 365
Live Demo Office 365
Einstieg über https://portal.microsoftonline.com
Microsoft TechTalk07.02.2014
17
2013 © Trivadis
Abgrenzung On-Premise vs. Office 365
Microsoft TechTalk07.02.2014
18
2013 © Trivadis
Abgrenzungen On-Premise vs. Office 365
Unterschiede variieren je nach eingesetzter Lizenz
http://office.microsoft.com/de-ch/sharepoint/tools-fur-die-zusammenarbeit-vergleich-von-sharepoint-planen-FX103789400.aspx
vs.
SP On-Premise
SP Online
Microsoft TechTalk07.02.2014
19
2013 © Trivadis
Abgrenzungen On-Premise vs. Office 365
Microsoft TechTalk07.02.2014
20
2013 © Trivadis
Abgrenzungen On-Premise vs. Office 365
Microsoft TechTalk07.02.2014
21
2013 © Trivadis
Abgrenzungen On-Premise vs. Office 365
Zusätzliche Informationen:
SharePoint Online Service Description:
http://technet.microsoft.com/en-us/library/jj819267.aspx
Office 365 Service Comparison:
http://technet.microsoft.com/en-us/office365/fp123607
Software boundaries and limits for SharePoint 2013
http://technet.microsoft.com/en-us/library/cc262787.aspx
Microsoft TechTalk07.02.2014
22
2013 © Trivadis
Abgrenzungen On-Premise vs. Office 365
Was kann nun SharePoint Online, was SharePoint On-Premise nicht kann?
SP-Online ist ein Teil von Office365! Beispiel: SkyDrive for Sharing!
SLA: Verfügbarkeit ist garantiert mit 99,9% !99,9% bedeutet: Maximal 8:45:58 Stunden/Jahr Ausfall «Wenn der Prozentsatz der monatlichen Betriebszeit in einem bestimmten
Monat unter 99,9 % fällt, sind Sie womöglich zu folgender Dienstgutschrift berechtigt:»
http://www.microsoftvolumelicensing.com/DocumentSearch.aspx?Mode=3&DocumentTypeId=37
Prozentsatz der monatlichen Betriebszeit Dienstgutschrift
< 99,9 % 25 %
< 99 % 50 %
< 95 % 100 %
Microsoft TechTalk07.02.2014
23
2013 © Trivadis
Abgrenzungen On-Premise vs. Office 365
Was kann nun SharePoint On-Premise, was SharePoint Online nicht kann?
Verwaltung möglich ab Ebene „Web Application“, nicht erst ab „Site Collection“, wie bei SP-Online.
Search Driven Applications: „Result Sources“ nur On-Premise konfigurierbar
Datenhoheit
Anbindung an weitere Systeme (Customized Interfaces)
Keine Grenzen wenn es um Entwicklung geht (SharePoint Farm Solutions über Visual Studio)
Microsoft TechTalk07.02.2014
24
2013 © Trivadis
Abgrenzungen On-Premise vs. Office 365
Weitere Punkte sind zu beachten:
Services & Dienste Integration von bestehender IT Umgebung (Clients, Server), Schnittstellen zu Dritt-Systemen, Nutzung und Flexibilität, Standardisierung, Performance
Kosten Betriebs- und Hardwarekosten, Abrechnung, Planung
Transparenz & Akzeptanz Datenhoheit, Vertrauen in die Systeme, Abhängigkeit
Sicherheit & Kontrolle Zugriff, Authentifizierung, Datenhaltung und Datenhoheit
Management & Support Benutzerverwaltung, Prozesse, Ausbildung
Microsoft TechTalk07.02.2014
25
2013 © Trivadis
Abgrenzungen On-Premise vs. Office 365
…… kann ich die 2 Welten nun auch zusammen nutzen?
…. sind aktuell noch Fragen zu Office 365?
vs.
SP On-Premise
SP OnlineHYBRID
Microsoft TechTalk07.02.2014
26
2013 © Trivadis
Möglichkeiten von Hybridlösungen
Microsoft TechTalk07.02.2014
27
2013 © Trivadis
Hybridlösungen
Was ist Hybrid?
Verknüpfung von On-Premise und Cloud
Aufgeteilter Workload zwischen diesen 2 Welten
Gemeinsame Ressourcen verwenden
Verwendung Hybrid für eine Migration in die Cloud (Transition)
Verwendung Hybrid als dauerhafte Lösung
Microsoft TechTalk07.02.2014
28
2013 © Trivadis
Hybridlösungen
Hybrid ist möglich für folgende Produkte
Exchange
Lync
SharePoint
-> Die 3 Core-Bereiche von Office 365
Für diesen TechTalk schauen wir uns nur Hybridlösungen für SharePoint an!
Microsoft TechTalk07.02.2014
29
2013 © Trivadis
Hybridlösungen
Hybrid mit SharePoint
Beschreibung Technet-Artikel:
„In einer Hybridumgebung mit SharePoint Server 2013 und SharePoint Online können Lösungen verwendet werden, mit denen die Funktionen von Diensten und Features wie das Suchen, Microsoft Business Connectivity Services und Duet Enterprise Online für Microsoft SharePoint und SAP in beiden Umgebungen kombiniert werden»
http://technet.microsoft.com/de-de/library/jj838715.aspx
Business Connectivity Services
Duet Enterprise Online (SAP)
Federated Search -> schauen wir uns an!
Microsoft TechTalk07.02.2014
30
2013 © Trivadis
Which hybrid topology should I use?For SharePoint Server 2013 with Office 365
The on-premises SharePoint Server 2013 farm connects to SharePoint Online. SharePoint Online connects to an on-premises SharePoint Server 2013 farm through a reverse proxy device.
The on-premises SharePoint Server 2013 farm connects to SharePoint Online. SharePoint Online connects to an on-premises SharePoint Server 2013 farm through a reverse proxy device.
Which solution do you want to use?
Which sets of users need a hybrid experience?
1
3
2 Do you have Internet-based users who need access to both environments?
Two-way (bidirectional) topologyOne-way outbound topology One-way inbound topology
SharePoint Server 2013
Search
On-premises users
SharePoint Online users Both
SUPPORTS
SharePoint SearchFrom on-premises: On-premises SharePoint Server 2013 users can see both local and remote search results.
From SharePoint Online: Users of the SharePoint Online Search portal can see only local results.
SharePoint Search
Business Connectivity Services
Duet Enterprise Online
From SharePoint Online: Users can perform both read and write operations. The BCS service connects to an on-premises SharePoint Server 2013 farm. The BCS service configured on the on-premises farm brokers the connection to on-premises OData Service endpoints.
Requires an app for SharePoint or an external list installed on the SharePoint Online site collection.
From SharePoint Online: Users can perform read and write operations against an on-premises SAP system.
Requires an app for SharePoint on the SharePoint Online site collection or a Duet Enterprise Online feature.
SharePoint SearchFrom on-premises: On-premises SharePoint Server 2013 users can see both local and remote results.
From SharePoint Online: Users of the SharePoint Online Search portal can see both local and remote results.
Extranet users: If you configure extranet authentication services, extranet users can log in remotely with an on-premises Active Directory account and use all available hybrid functionality.
From on-premises: On-premises SharePoint Server 2013 users can see only local search results.
From SharePoint Online: Users of the SharePoint Online Search portal can see both local and remote results.
Duet Enterprise Online
Business Connectivity
Services
REQUIRESThe SharePoint on-premises farm trusts SharePoint Online (Office 365) Two-way trust between environments
Reverse proxy device Reverse proxy device
MICROSOFT DATA CENTER INTERNET INTRANET
SharePoint Online CANNOT QUERY SharePoint Server
2013
SharePoint Online
Site collection
Search portal: Local search results ONLY
Search: One-way outboundBCS: Not supportedDuet: Not supported
SharePoint Server 2013 CAN QUERY SharePoint
Online
Primary web application
Search portal: Local + Remote search results
Outbound
Inbound
Office 365 Tenant SharePoint Server 2013
Local Local/Remote
MICROSOFT DATA CENTER INTERNET INTRANET
SharePoint Online CAN QUERY SharePoint Server
2013
SharePoint Online
Site collection
Search: BidirectionalBCS: SupportedDuet: Supported
SharePoint Server 2013 CAN QUERY SharePoint
Online
Primary web application
Office 365 Tenant SharePoint Server 2013
PERIMETER NETWORK
Reverse proxy
CUSTOMER NETWORK
Outbound
Inbound
MICROSOFT DATA CENTER INTERNET INTRANET
SharePoint Online CAN QUERY SharePoint Server
2013
SharePoint Online
Site collection
Search portal: Local search results ONLY
Search: One-way inboundBCS: SupportedDuet: Supported
SharePoint Server 2013 CANNOT QUERY
SharePoint Online
Primary web application
Office 365 Tenant SharePoint Server 2013
PERIMETER NETWORK
Reverse proxy
CUSTOMER NETWORK
Outbound
Inbound
Local
SUPPORTS
REQUIRES
SUPPORTS
REQUIRESSharePoint Online (Office 365) trusts the on-premises SharePoint farm
A hybrid environment that uses SharePoint Server 2013 and SharePoint Online enables solutions that integrate functionality between services and features such as Search, Microsoft Business Connectivity Services, and Duet Enterprise Online for Microsoft SharePoint and SAP in both environments.
+ =Hybrid
Search portal: Local + Remote search results
Local/Remote
Search portal: Local + Remote search results
Local/Remote
Search portal: Local + Remote search results
Local/Remote
Microsoft supports three topologies for hybrid SharePoint solutions. Which will work for you?
You decide which hybrid topology to use based on a combination of the solution you want to use and the users you want to support.
Online On-premises
For Duet Enterprise Online or Business Connectivity Services, use the two-way (bidirectional) topology
For both types of users, use the two-way (bidirectional) topology
For SharePoint Online users, use the one-way inbound topology
For on-premises users, use the one-way inbound topology
For Internet-based users, use the two-way (bidirectional) topology
Search is supported for any of the topologies, but keep going to decide which is best for your users
Microsoft TechTalk07.02.2014
31
2013 © Trivadis
The on-premises SharePoint Server 2013 farm connects to SharePoint Online.
One-way outbound topology
SUPPORTS
SharePoint SearchFrom on-premises: On-premises SharePoint Server 2013 users can see both local and remote search results.
From SharePoint Online: Users of the SharePoint Online Search portal can see only local results.
MICROSOFT DATA CENTER INTERNET INTRANET
SharePoint Online CANNOT QUERY SharePoint Server
2013
SharePoint Online
Site collection
Search portal: Local search results ONLY
Search: One-way outboundBCS: Not supportedDuet: Not supported
SharePoint Server 2013 CAN QUERY SharePoint
Online
Primary web application
Search portal: Local + Remote search results
Outbound
Inbound
Office 365 Tenant SharePoint Server 2013
Local Local/Remote
Microsoft TechTalk07.02.2014
32
2013 © Trivadis
Hybridlösungen „Federated Search“ Resultat
Microsoft TechTalk07.02.2014
33
2013 © Trivadis
Hybridlösungen „Federated Search“
Folgende Komponenten benötigt man:
SharePoint 2013 Server
SQL Server
Domain Controller (Active Directory)
Directory Synchronisation Service/Server
ADFS Server
ADFS Proxy Server
Office365-Tenant mit eigener Domain (hier: cloudheaven.ch)
Microsoft TechTalk07.02.2014
34
2013 © Trivadis
SharePoint 2013
Domain Controller (Active Directory)
SQL Database
SharePoint On-Premise
Directory Synchronisation
ADFS 2.0 Server ADFS 2.0 Proxy Server
Windows Azure Active
Directory
SharePoint Online
Hybrid for Microsoft TechTalk, February 7th 2014
Guido Forster, Consultant «Competence Center Microsoft SharePoint», Trivadis AG, www.trivadis.com
Root Site Collection
Enterprise Search Center
Root Site Collection
Local Farm
ADFS is used for SingleSignOn (SSO)
Server-to-Server Trust
Search Results«Federated Search» =
Results in SP On-Premise from SP Online
AD Objects
Domain «cloudheaven.local»
Domain «cloudheaven.ch»
Comm
unication secured via SSL-Certificate (HTTPS)
Microsoft TechTalk07.02.2014
35
2013 © Trivadis
Hybridlösungen „Federated Search“
Folgende Arbeitsschritte sind notwendig:
1. SharePoint Online muss aktiv sein (entsprechende Lizenz)
2. SharePoint On-Premise muss komplett lauffähig sein
3. Office365: Aktivierung eigene Domain (DNS-Records notwendig)
4. „Phase 1: Konfigurieren der Hybridumgebungsinfrastruktur“
a) Aktivierung Directory Synchronisation (DirSync)
b) Aktivierung ADFS
5. „Phase 2: Konfigurieren der hybriden Identitätsverwaltungsinfrastruktur“
a) STS (Security Token Service) Zertifikat ersetzen inSP On-Premise & SP Online
b) Server-to-Server Trust aufbauen
6. „Phase 3: Konfigurieren einer Hybridlösung“
a) Konfigurieren der Hybridsuche für SharePoint Server 2013
Quelle: http://technet.microsoft.com/de-ch/library/jj838715.aspxMicrosoft TechTalk07.02.2014
36
2013 © Trivadis
Hybridlösungen „Federated Search“
Vorbereitungen:
Immer dedizierte Service-Accounts nutzen! Niemals „einen“ User für alles verwenden
Bei der Installation der Tools & Services muss der entsprechende User in der Rolle des „lokalen Administrators“ auf dem Server eingetragen sein und mit diesem muss eingeloggt werden
Netzwerktechnik: Für DirSync, ADFS & ADFS Proxy muss Port 443 (HTTPS) auf der Firewall geöffnet sein
Der ADFS Proxy sollte in der DMZ sein und NICHT domain-joined.Anfragen für SSO von extern (sts.cloudheaven.ch) gelangen direkt auf diesen Server und darum sollte dieser Server netzwerktechnisch von der lokalen Farm getrennt sein
Microsoft TechTalk07.02.2014
37
2013 © Trivadis
Hybridlösungen „Federated Search“
3. Office365: Aktivierung eigene Domain (DNS-Records notwendig)
DNS-Settings:
Microsoft TechTalk07.02.2014
38
2013 © Trivadis
Hybridlösungen „Federated Search“
4. „Phase 1: Konfigurieren der Hybridumgebungsinfrastruktur“
a) Aktivierung Directory Synchronisation (DirSync)
Download & Installation der nötigen Tools gemäss Office365-Vorgaben:
Microsoft TechTalk07.02.2014
39
2013 © Trivadis
Hybridlösungen „Federated Search“
4. „Phase 1: Konfigurieren der Hybridumgebungsinfrastruktur“
a) Aktivierung Directory Synchronisation (DirSync)
AD-Property „proxyAddresses“: „SMTP: [email protected]“
Manueller Start über PowerShell: Start-OnlineCoexistenceSync
Kontrolle über Forefront Identity Manager (FIM)
Konfiguration, was von AD in die Cloud synchronisiert wird, wird ebenfalls über FIM erledigt
User müssen in Office365 aber noch aktiviert werden!!!
Microsoft TechTalk07.02.2014
40
2013 © Trivadis
Hybridlösungen „Federated Search“
4. „Phase 1: Konfigurieren der Hybridumgebungsinfrastruktur“
b) Aktivierung ADFS -> Installation ADFS & ADFS-Proxy
für ADFS benötigt man ein Public SSL-Zertifikat, welches von einer Certificate Authority (CA) erstellt wurde und welches man im IIS-Manager aktiviert!
Das importierte SSL-Zertifikat für den ADFS-Server muss man exportieren und beim ADFS-Proxy-Server importieren!
HTTPS-Bindings mit eigenem SSL-Zertifikat auf beiden IIS-Servern einrichten
Lokale User müssen ein UPN-Suffix aktiviert haben (hier „cloudheaven.ch“)
DNS A-Record Best-Practice z.B. „sts.cloudheaven.ch“ zeigt auf IP-Adresse des ADFS-Proxy
Konfiguration interner DNS, damit interne Anfragen auf „sts.cloudheaven.ch“ direkt intern an den ADFS-Server weitergereicht werden! (Eigene Zone erstellen mit A-Record)
Microsoft TechTalk07.02.2014
41
2013 © Trivadis
Hybridlösungen „Federated Search“
4. „Phase 1: Konfigurieren der Hybridumgebungsinfrastruktur“
b) Aktivierung ADFS -> Installation ADFS & ADFS-Proxy
Trust zwischen ADFS und Windows Azure AD: http://technet.microsoft.com/en-us/library/jj205461.aspx
Domain hinzufügen:Set-MsolADFSContext -Computer adfs.cloudheaven.local
Domain konvertieren:Convert-MsolDomainToFederated -DomainName cloudheaven.ch
Kontrolle: Get-MsolFederationProperty
Microsoft TechTalk07.02.2014
42
2013 © Trivadis
Hybridlösungen „Federated Search“
4. „Phase 1: Konfigurieren der Hybridumgebungsinfrastruktur“
b) Aktivierung ADFS -> Installation ADFS & ADFS-Proxy
Kontrolle:Login auf https://portal.microsoftonline.com mit einem gültigen User, der On-Premise und Online aktiv ist!
Wenn alles stimmt, wird man auf den ADFS-Proxy weitergeleitet. Wenn die SharePoint-Online Seite noch nicht in der Intranet-Zone (Internet Explorer) ist, dann muss man hier seine Credentials angeben („cloudheaven\testuser1“).Ansonsten passiert genau hier der SingleSignOn (automatische Anmeldung)!
Microsoft TechTalk07.02.2014
43
2013 © Trivadis
Hybridlösungen „Federated Search“
5. „Phase 2: Konfigurieren der hybriden Identitätsverwaltungsinfrastruktur“
a) STS (Security Token Service) Zertifikat ersetzen in SP On-Premise & SP Online
Diese Arbeiten müssen auf dem SharePoint2013-Server erledigt werden.
Erstellen eines selbstsignierten Zertifikates im IIS-Manager:
Anschliessend Zertifikat exportieren (*.pfx) und „in Datei kopieren“ (*.cer)
Microsoft TechTalk07.02.2014
44
2013 © Trivadis
Hybridlösungen „Federated Search“
5. „Phase 2: Konfigurieren der hybriden Identitätsverwaltungsinfrastruktur“
a) STS (Security Token Service) Zertifikat ersetzen in SP On-Premise & SP Online
Diese Arbeiten müssen auf dem SharePoint2013-Server erledigt werden.
Ersetzen des STS-Zertifikates über PowerShell:
$pfxPath = "C:\Users\tvd-sp-setup-p\Desktop\sponprem.pfx"
$pfxPass = "************"
$stsCertificate = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2 $pfxPath, $pfxPass, 20
Set-SPSecurityTokenServiceConfig -ImportSigningCertificate $stsCertificate
$trustCert = Get-PfxCertificate "C:\Users\tvd-sp-setup-p\Desktop\sponprem.cer"
certutil -addstore -enterprise -f -v root $trustCert
iisreset
net stop SPTimerV4
net start SPTimerV4
Kontrolle über PowerShell: $stscertificate |fl -> FriendlyName!
Microsoft TechTalk07.02.2014
45
2013 © Trivadis
Hybridlösungen „Federated Search“
5. „Phase 2: Konfigurieren der hybriden Identitätsverwaltungsinfrastruktur“
b) Server-to-Server Trust aufbauen
Diese Arbeiten müssen ebenfalls auf dem SharePoint2013-Server erledigt werden.
1. Installieren von Konfigurationstools -> gemäss Liste
2. Festlegen von Variablen
3. Hochladen von STS-Zertifikaten auf SharePoint Online
4. Hinzufügen eines SPN zum öffentlichen Domänenname
5. Registrieren des SharePoint Online-Anwendungsprinzipals
6. Festlegen des SharePoint-Authentifizierungsbereichs
7. Konfigurieren von lokalen Proxys für Azure AD
Microsoft TechTalk07.02.2014
46
2013 © Trivadis
Hybridlösungen „Federated Search“
5. „Phase 2: Konfigurieren der hybriden Identitätsverwaltungsinfrastruktur“
b) Server-to-Server Trust aufbauen
2. Festlegen von Variablen
$spcn="*.cloudheaven.ch"$spsite=Get-Spsite http://intranet.cloudheaven.local$site=Get-Spsite $spsite$spoappid="00000003-0000-0ff1-ce00-000000000000"$spocontextID = (Get-MsolCompanyInformation).ObjectID$metadataEndpoint = "https://accounts.accesscontrol.windows.net/" + $spocontextID + "/metadata/json/1"
Microsoft TechTalk07.02.2014
47
2013 © Trivadis
Hybridlösungen „Federated Search“
5. „Phase 2: Konfigurieren der hybriden Identitätsverwaltungsinfrastruktur“
b) Server-to-Server Trust aufbauen
3. Hochladen von STS-Zertifikaten auf SharePoint Online
$cerPath = "C:\Users\tvd-sp-setup-p\Desktop\sponprem.cer"
$cer = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2 -ArgumentList $pfxPath, $pfxPass
$cer.Import($cerPath)
$binCert = $cer.GetRawCertData()
$credValue = [System.Convert]::ToBase64String($binCert);
New-MsolServicePrincipalCredential -AppPrincipalId $spoappid -Type asymmetric -Usage Verify -Value $credValue
Achtung: StartDate und EndDate nicht angeben im letzten Befehl! Funktioniert sonst nicht!
Kontrolle: Get-MsolServicePrincipalCredential -AppPrincipalId $spoappid -Value $credValue
Ergebnis: Beschreibung der Anmeldeinformationen, wobei unter “Value” der Thumbprint des Zertifikates erscheinen muss
Microsoft TechTalk07.02.2014
48
2013 © Trivadis
Hybridlösungen „Federated Search“
5. „Phase 2: Konfigurieren der hybriden Identitätsverwaltungsinfrastruktur“
b) Server-to-Server Trust aufbauen
4. Hinzufügen eines SPN (Server Principal Name) zum öffentlichen Domänenname
$msp = Get-MsolServicePrincipal -AppPrincipalId $spoappid
$spns = $msp.ServicePrincipalNames
$spns.Add("$spoappid/$spcn")
Set-MsolServicePrincipal -AppPrincipalId $spoappid -ServicePrincipalNames $spns
$msp = Get-MsolServicePrincipal -AppPrincipalId $spoappid
$spns = $msp.ServicePrincipalNames
Kontrolle: $spnsErgebnis: 00000003-0000-0ff1-ce00-000000000000/*.cloudheaven.ch
Microsoft TechTalk07.02.2014
49
2013 © Trivadis
Hybridlösungen „Federated Search“
5. „Phase 2: Konfigurieren der hybriden Identitätsverwaltungsinfrastruktur“
b) Server-to-Server Trust aufbauen
5. Registrieren des SharePoint Online-Anwendungsprinzipals
$spoappprincipalID = (Get-MsolServicePrincipal -ServicePrincipalName $spoappid).ObjectID
$sponameidentifier = "$spoappprincipalID@$spocontextID"
$appPrincipal = Register-SPAppPrincipal -site $site.rootweb -nameIdentifier $sponameidentifier -displayName "SharePoint Online"
Kontrolle: $appPrincipal |flErgebnis: Beschreibung des Anwendungsprinzipals namens „SharePoint Online“
Microsoft TechTalk07.02.2014
50
2013 © Trivadis
Hybridlösungen „Federated Search“
5. „Phase 2: Konfigurieren der hybriden Identitätsverwaltungsinfrastruktur“
b) Server-to-Server Trust aufbauen
6. Festlegen des SharePoint-Authentifizierungsbereichs
Set-SPAuthenticationRealm -realm $spocontextID
$spocontextIDGet-SPAuthenticationRealm
Ergebnis: 2 GUIDs, welche identisch sein müssen
Microsoft TechTalk07.02.2014
51
2013 © Trivadis
Hybridlösungen „Federated Search“
5. „Phase 2: Konfigurieren der hybriden Identitätsverwaltungsinfrastruktur“
b) Server-to-Server Trust aufbauen
7. Konfigurieren von lokalen Proxys für Azure AD
New-SPAzureAccessControlServiceApplicationProxy -Name "ACS" -MetadataServiceEndpointUri $metadataEndpoint –DefaultProxyGroup
New-SPTrustedSecurityTokenIssuer -MetadataEndpoint $metadataEndpoint -IsTrustBroker:$true -Name "ACS"
Kontrolle: Get-SPTrustedSecurityTokenIssuerErgebnis: Beschreibung des vertrauenswürdigen Tokenherausgebers der Farm.Wert „RegisteredIssuerName“ in der Form:00000001-0000-0000-c000-000000000000@<Kontext-ID>(Kontext-ID = (Get-MsolCompanyInformation).ObjectID von SharePoint Online)
Microsoft TechTalk07.02.2014
52
2013 © Trivadis
Hybridlösungen „Federated Search“
5. „Phase 2: Konfigurieren der hybriden Identitätsverwaltungsinfrastruktur“
b) Server-to-Server Trust aufbauen
Kontrolle, ob Server-to-Server Trust wirklich aufgebaut ist:
1. Get-ChildItem cert:\LocalMachine\Sharepoint |fl -> FriendlyName!
2. Central Administration -> Security -> Manage trust:
Microsoft TechTalk07.02.2014
53
2013 © Trivadis
Hybridlösungen „Federated Search“
6. „Phase 3: Phase 3: Konfigurieren einer Hybridlösung“
Lokale SiteCollection vom Typ „Enterprise Search Center“ zwingend
Global Search Center muss konfiguriert werden! Achtung: „/pages“ am Schluss der URL nicht vergessen!
Beispiel: http://intranet.cloudheaven.local/sites/search/pages
Dedizierter, aktiver User für die Hybrid-Suche (O365: Global Admin)
Alle Details: http://technet.microsoft.com/de-ch/library/dn197173.aspx
Schritt 1: Erstellen einer Ergebnisquelle (result source)
Schritt 2: Erstellen einer Abfrageregel (query rule)
Microsoft TechTalk07.02.2014
54
2013 © Trivadis
Hybridlösungen „Federated Search“
6. „Phase 3: Phase 3: Konfigurieren einer Hybridlösung“
Schritt 1: Erstellen einer Ergebnisquelle (result source)
Microsoft TechTalk07.02.2014
55
2013 © Trivadis
Hybridlösungen „Federated Search“
6. „Phase 3: Phase 3: Konfigurieren einer Hybridlösung“
Schritt 1: Erstellen einer Ergebnisquelle (result source)
Testen der Verbindung:
Microsoft TechTalk07.02.2014
56
2013 © Trivadis
Hybridlösungen „Federated Search“
6. „Phase 3: Phase 3: Konfigurieren einer Hybridlösung“
Schritt 2: Erstellen einer Abfrageregel (query rule)
Microsoft TechTalk07.02.2014
57
2013 © Trivadis
Hybridlösungen „Federated Search“ Resultat
The on-premises SharePoint Server 2013 farm connects to SharePoint Online.
One-way outbound topology
SUPPORTS
SharePoint SearchFrom on-premises: On-premises SharePoint Server 2013 users can see both local and remote search results.
From SharePoint Online: Users of the SharePoint Online Search portal can see only local results.
MICROSOFT DATA CENTER INTERNET INTRANET
SharePoint Online CANNOT QUERY SharePoint Server
2013
SharePoint Online
Site collection
Search portal: Local search results ONLY
Search: One-way outboundBCS: Not supportedDuet: Not supported
SharePoint Server 2013 CAN QUERY SharePoint
Online
Primary web application
Search portal: Local + Remote search results
Outbound
Inbound
Office 365 Tenant SharePoint Server 2013
Local Local/Remote
Microsoft TechTalk07.02.2014
58
2013 © Trivadis
SharePoint in der Cloud
Fragen zu Hybrid ???
Microsoft TechTalk07.02.2014
59
2013 © Trivadis
Weitere Informationen...
Trivadis AG
Competence Center Microsoft SharePoint
http://www.trivadis.com/leistungsangebot/beratung/competence-center-microsoft-sharepoint.html
Head of Competence Center: Herr Simon Amrein
+41 58 459 52 60, [email protected] TechTalk07.02.2014
60
2013 © Trivadis
BASEL BERN BRUGG LAUSANNE ZÜRICH DÜSSELDORF FRANKFURT A.M. FREIBURG I.BR. HAMBURG MÜNCHEN STUTTGART WIEN
Fragen und Antworten...
2013 © Trivadis
Guido Forster, Consultant Trivadis AG
Competence Center Microsoft SharePoint
Phone: +41 58 459 53 10
Email: [email protected]
Microsoft TechTalk07.02.2014