SharePoint 2013 Hybrid přehledně

Velká část společností nemůže v dnešní době přejít na čistě cloudová řešení z velkého množství důvodů. Častým důvodem je fakt, že společnost potřebuje mít svá data uložena na lokálních serverech (často to tak být i musí z důvodů citlivosti informací, případně z důvodů geopolitických hranic – tedy aby společnosti mohli dodržet státní legislativu vzhledem ke konkrétním datum.

Z pohledu architektury– hybridní scénář je jinými slovy vytvoření důvěryhodného připojení v rámci komunikace a správy identit mezi SharePoint Online a SharePoint Server farmou. Toto připojení může následně vyměňovat data mezi těmito uzly v rámci autorizovaných uživatelů.

Co vlastně znamená, když se řekne hybridní scénář nasazení SharePoint Serveru? Může to znamenat v podstatě jednu ze tří možností.

• Hybridní nasazení vyhledávání , tedy možnost vyhledávat jak v online datech, tak v datech, která jsou u Vás na konkrétních úložných prostorech ve společnosti.
• Hybridní scénář v rámci tzv. Business Connectivity Services z SharePoint Online do SharePoint on-premise.
• Duet Enterprise Online.

Dle mého lze tento seznam doplnit ještě o další hybridní scénáře, neboť i to, že budu mít například Office 365 tenant, ale správu identit budu provozovat v rámci lokálního doménového řadiče, který bude pomocí doplňku DirSync synchronizovat uživatele do prostředí Office 365 a tedy do Azure AD, je možné nazvat Hybridním scénářem, kde propojuji světy on-premise a cloud. To samé by se dalo říci i o dalším případu, kdy společnost provozuje lokální SharePoint farmu, má zároveň koupené služby pro podporu self-BI (PowerBI například) a ty potřebuje provozovat z cloudu nad lokálními daty. V tomto případě musí tedy instalovat doplněk nazvaný „Data Management Gateway“ na své lokální servery a následně vytvořit propojení lokální infrastruktury se světem cloudu, specifikovat, jaká data lze v rámci Business Intelligence, poskytované z prostředí Office 365, použít a následně toto propojení realizovat. I to je ve své podstatě hybridní scénář.

TOPOLOGIE

Hybridní scénáře lze realizovat třemi různými topologickými scénáři. Následující obrázky tyto scénáře zobrazují (převzato z Microsoft Technet[1]). Je vhodné v rámci těchto topologií zmínit ještě jednotlivé varianty přenosu dat.

- Vyhledávání

• One-way outbound – SharePoint Server (on-premise) může posílat dotazy do vyhledávacího indexu SharePoint Online a vracet federované výsledky vyhledávání zpět do SharePoint Serveru (on-oremise)
• One-way inbound – Scénář opačný k prvnímu, tedy SharePoint Online má dovoleno posílat dotazy směrem k SharePoint Serveru (on-premise) a z něj se posílají federované výsledky do SharePoint Online prostředí.
• Two-way – Kombinace předchozích, tedy obě prostředí mají možnost dotazovat se na data prostředí druhého a druhé prostředí jim poskytuje federovaná data ze svých vyhledávacích indexů.

- Business Connectivity Services (BCS)

• One-way inbound / Two-way– BCS v hybridních scénářích může být nakonfigurována k využití kompletní CRUDQ (Create, Read, Update, Delete, Query), ShP online BCS se tedy může připojit k on-premise SharePoint 2013 pomocí aplikace, nebo externího listu. BCS na ShP on-premise řeší poté spojení na on-premise Odata a je možné tedy řešit read/write operace.

- Duet Enterprise Online

• One-way inbound / Two-way– uživatelé takovéhoto řešení mohou z prostředí SharePoint Online plně spravovat read/write operace vůči SAP on-premise řešení.

SECURITY

Architektura v rámci bezpečnosti je v případě hybridních scénářů řešena několika vrstvami – tedy několika kombinovanými řešeními. Hodně stručně řečeno jsou to následující:

Prvním řešením je Identity management, který je zajištěn nástrojem „Windows Azure Active Directory Synchronization Tool“ (DirSync) a následně funkcí „Single Sign-On (SSO)“, případně „DirSync Password Sync“ – tedy synchronizací hesel.

Druhým řešením je Server-to-Server (S2S) trust, který je založen na protokolu webové autentizace „Open Authorization 2.0 (OAuth 2.0)“, certifikátech „Security Token Service (STS)“ a v poslední řadě na Azure AD, který vystupuje, jako důvěryhodná autorita pro „user claims“. V případě SharePoint Online je dále využita SSL certifikace.

Třetím řešením je Integrace služeb (Service Integration) samotná, která je založena na bezpečnostních prvcích SharePoint Serveru 2013 a týká se tedy již zmíněného vyhledávání, Business Connectivity Services a Duet Enterprise Online.

ONEDRIVE FOR BUSINESS HYBRID

Pokud používáte SharePoint Server 2013 on-premise a chtěli byste využívat možnosti a výhody cloudového úložiště v rámci Office 365, je možné nastavit OneDrive for business v takzvaném redirect modu.

Obecný náčrt dle toho, odkud uživatel přistupuje je na následujícím obrázku. Obecně musí mít společnost pro takový scénář nastaveno několik věcí. Za prvé musí být nastavené na on-premise prostředí v centrální administraci SharePoint Serveru (kde je mimo jiné nainstalován SP1) ve službě User Profile Service Application, na stránce „Manage Profile Service“ pod „People“ nastavení „All Authenticated Users“ a to konkrétně v dialogovém boxu „Permissions for User Profile Service Application“. Potřebujete vědět i adresu tzv. My Sites, tedy osobních stránek pro jednotlivé uživatele (možné zjistit ze seznamu site collections). Pokud chcete přesměrovávat jen některé „vyvolené“ z Vaší společnosti, je potřeba definovat ještě tzv. audienci (tak jak je znázorněno na obrázku). To je možné provést nejsnadněji pomocí powershellu kódu (zdroj [2]):

## Settings you may want to change for Audience Name and Description ##
$mySiteHostUrl = https://www.my.contoso.com
$audienceName = "<Input name of audience>"
$audienceDescription = "<Input description for audience>"
$audienceRules = @()
$audienceRules += New-Object Microsoft.Office.Server.Audience.AudienceRuleComponent("AccountName", "Contains", "jdoe")

##Create an OR group operator between the two audience rules. ##
$audienceRules += New-Object Microsoft.Office.Server.Audience.AudienceRuleComponent("", "OR", "")
$audienceRules += New-Object Microsoft.Office.Server.Audience.AudienceRuleComponent("AccountName", "Contains", "jlew")

##Get the My Site Host's SPSite object##
$site = Get-SPSite $mySiteHostUrl
$ctx = [Microsoft.Office.Server.ServerContext]::GetContext($site)
$audMan = New-Object Microsoft.Office.Server.Audience.AudienceManager($ctx)
#Create a new audience object for the given Audience Manager
$aud = $audMan.Audiences.Create($audienceName, $audienceDescription)
$aud.AudienceRules = New-Object System.Collections.ArrayList
$audienceRules | ForEach-Object { $aud.AudienceRules.Add($_) }

##Save the new Audience##
$aud.Commit()
#Compile the new Audience
$upa = Get-SPServiceApplication | Where-Object {$_.DisplayName -eq "User Profile Service Application"}
$audJob = [Microsoft.Office.Server.Audience.AudienceJob]::RunAudienceJob(($upa.Id.Guid.ToString(), "1", "1", $aud.AudienceName))

Tímto postupem je zajištěna funkcionalita OneDrive for Business z prostředí cloudu i pro uživatele přistupující k SharePoint 2013 on-premise. Zbývá však nakonfigurovat ještě pár dalších nastavení. Jedním z nich je vyhledávání – tedy zajištění toho, aby při vyhledávání byly zohledněny i soubory uživatele, které jsou v cloudu a nikoli v lokálním OneDrive for Business – tedy je potřeba nastavit tzv. vyhledávací vertikálu (search vertical). Standardně SharePoint Server poskytuje čtyři předdefinované vyhledávací vertikály – cokoliv, lidé, konverzace a videa. Pomocí označení jedné z nich se při vyhledávání zužuje vyhledávací rozsah a pojmy zadané ve vyhledávacím poli se vyhledávají pouze v tomto rozsahu.

Prvním bodem je vytvoření zdroje vyhledávání – to je možné provést v centrální administraci v sekci „manage service appliccation“, kde v konkrétní službě, kterou hodlám přidat jako zdroj vyhledávání nastavíme nový zdroj výsledků. Jako protokol nastavíme „remote sharepoint“ a jako URL adresu root site colekci SharePoint Online prostředí. Jako typ nastavíme „SharePoint Search Results“ a v query (tedy dotazu) umístíme za standardní {searchTerms} klauzuly: “path:https:// tenant_name -my.sharepoint.com/personal”, tedy odkaz na mysite v rámci SharePoint Online. Poslední volba se týká nastavení autentikace – nastavme „Default Authentication“.

Druhým a třetím bodem je vytvoření standardní stránky v prostředí SharePoint Serveru – jako layout zvolme „(Welcome Page) Search Results“. Přejděme k editaci stránky, abychom mohli nakonfigurovat webové části. V nastavení webové části „Search Results“ změňme query na tu, kterou jsme vytvořili v první části. Následně ukončeme editaci webové části a stránku publikujme.

Čtvrtým bodem je přidání vertikály do nabídky omezení vyhledávání. Vejděme tedy do „Site Settings“ a následně do „Search Settings“ v sekci search. V možnosti „Which search results page should queries be sent to?“ označme volbu „Use the same results page as my parent“ a v sekci „Configure Search Navigation“ přidejme navigační odkaz. Pojmenování a popis nechávám na Vás, nicméně v poli URL vyberte stránku, kterou jsme vytvořili v druhém bodě. Na závěr je možné ještě zvolit audenci, pro kterou má tato volba být přístupná – toto se týká především scénářů, kdy máte i OneDrive for Business z prostředí Officce 365 přístupný jen pro určité osoby (viz začátek této kapitoly). Pokud nechcete volit speciální audienci, můžete tuto volbu zpřístupnit všem zvolením „All site users“. Následně (tedy po potvrzení) máte ještě možnost zvolit pořadí jednotlivých vertikál.

Posledním bodem je již vyzkoušení funkčnosti.

- Roman Nedzelský, redtoo s.r.o.

[1]“Overview of Hybrid SharePoint 2013 for Technical Decision Makers.”

[2] “Create an Audience for SharePoint 2013.”