Doc produitsMenu

Plateforme Coveo 7.0 >
Aide à l'administrateur > Intégration Coveo > Intégration Microsoft SharePoint > Configuration de l'application de recherche Coveo prise en charge par Claims

Configuration de l'application de recherche Coveo prise en charge par Claims

Cette rubrique décrit comment installer une application de recherche Coveo afin de permettre une expérience sans heurts pour les utilisateurs qui recherche du contenu sécurisé, indexé à partir des applications Web Claims de SharePoint. Une application de recherche Coveo prise en charge par Claims permet aux utilisateurs pris en charge par Claims de ne pas être obligés de se connecter à l'interface de recherche Coveo à l'extérieur de SharePoint pour voir les résultats de recherche qui correspondent à leur Claims.

Note : Une meilleure solution d'authentification unique qui fonctionne avec ou sans ADFS est maintenant disponible (voir Configuration d'une authentification unique Claims à l'interface de recherche pour SharePoint sur place).

Exigences :

Limite :

  • Les applications Web Claims de SharePoint qui utilisent l'authentification de Windows demandent encore aux utilisateurs de saisir leurs paramètres de connexion de Windows dans la Recherche Coveo avant la recherche initiale.

La procédure consiste des étapes suivantes :

Étape 1 : Activer l'authentification Claims dans le site de recherche Coveo

Activer l'authentification Claims dans un site de recherche consiste principalement à modifier le fichier web.config du site Web de recherche à l'aide de l'outil FedUtil.exe qui est fourni avec le Kit de développement logiciel (le Kit) de Windows Identity Foundation (WIF).

  1. À l'aide d'un compte d'administrateur, connectez-vous au serveur d'interface de Coveo.

  2. Dans IIS, ajoutez une liaison HTTPS au site web de Coveo .NET Front-En.

  3. Téléchargez et installez le Kit WIF pour Microsoft.NET Framework 3.5 (voir Windows Identity Foundation SDK).

    Note : WIF est inclus dans Microsoft.NET Framework 4.5, mais présentement, les assemblages de Coveo se basent sur Microsoft.NET Framework 3.5.

  4. Démarrez FedUtil.exe, qui est typique dans C:\Program Files (x86)\Windows Identity Foundation SDK\v3.5\.

    Note : Pour les détails sur l'outil FedUtil.exe, référez-vous à la documentation de Microsoft (voir Establishing Trust from an ASP.NET Relying Party Application to an STS using FedUtil).

    1. Dans le premier écran, spécifiez le chemin d'accès vers le fichier web.config (par défaut : C:\Program Files\Coveo .NET Front-End 12\Web\) et l'URL vers la page de recherche, avec une barre oblique à la fin (ex. :.https://machinename/).

    2. Dans le deuxième écran :

      1. Sélectionnez l'option Use an existing STS, puis spécifiez l'URL du document des métadonnées de fédération (ex. : https://adfs01.mycompany.com/FederationMetadata/2007-06/FederationMetadata.xml).

      2. Cliquez sur Test location pour vérifier si l'URL est valide.

    3. Dans le troisième écran, sélectionnez l'option qui correspond à l'activation ou non de la validation de chaîne de certificat.

    4. Dans l'écran suivant, sélectionnez l'option qui correspond au cryptage ou non des jetons de sécurité.

    5. Dans l'écran suivant (claim list), cliquez sur Suivant.

    6. Dans le dernier écran, cliquez sur Terminer.

    Note : Le fichier important pour configurer la relation d'approbation dans ADFS est : [coveo_web_site_folder]\FederationMetadata\2007-06\FederationMedatada.xml

  5. Dans Gestionnaire des services Internet (IIS) :

    1. Veillez à ce que l'authentification de Windows soit activée dans le site de recherche en cliquant sur le site dans l'arborescence à la gauche, puis > IIS > Authentification.

      Il vous faudra peut-être désactiver toutes les autres méthodes d'authentification pour que l'authentification Claims fonctionne.

    2. Pour que l'authentification Claims fonctionne, le mode du pipeline du pool d'applications doit être Intégré (pas Classique). Veillez à ce que le site web utilise un pool d'applications qui est correctement configuré. Modifiez le pool d'applications (seulement si le site de recherche Coveo l'utilise) ou créez-en un nouveau et faites en sorte que le site web l'utilise :

      1. Cliquez sur le site dans l'arborescence à gauche > Paramètres de base.

      2. Cliquez sur Pools d'applications, qui est presque au plus haut de l'arborescence à gauche > cliquez sur le pool d'applications dans la liste > Paramètres de base.

    3. Important : Dans IIS, le site searchAdmin sous Coveo .NET Front-End 12 correspond à l'Éditeur d'interface et par défaut partage le pool d'applications CESAppPool Front-End avec le site Coveo .NET Front-End 12 (la page de recherche). Le mode du pipeline du pool d’applications doit demeurer à Classic pour que le site searchAdmin (l’Éditeur d’interface) fonctionne, sinon, un utilisateur obtiendra le message suivant en tentant d’accéder à l’Éditeur d’interface :

      Server Error in Application "COVEO.NET FRONT-END 12/SEARCHADMIN"
      HTTP Error 500.24 - Internal Server Error
      An ASP.NET setting has been detected that does not apply in Integrated managed pipeline mode.

      La solution est de créer un autre pool d’applications, l’assigner au site searchAdmin, et veiller à ce que le mode du pipeline du pool d’applications soit défini à Classic.

  6. À l'aide d'un éditeur de texte :

    1. Ouvrez le fichier web.config.

    2. Sous <microsoft.identityModel>, localisez la balise <service>.

    3. Ajoutez l'attribut "saveBootstrapTokens" tel que suit :

      <microsoft.identityModel>
      	<service saveBootstrapTokens="true">

Étape 2 : Création de l'approbation de la partie de confiance de Coveo

  1. Connectez-vous au serveur AD FS qui est utilisé comme fournisseur d'identité par SharePoint, ici appelé le serveur AD FS Fournisseur d'identité.

  2. Lancez la console de gestion AD FS 2.0.

  3. Sélectionnez AD FS 2.0 > Relations d'approbation.

  4. Cliquez avec le bouton droit de la souris sur Approbations de la partie de confiance, puis sélectionnez Ajouter une approbation de la partie de confiance.

  5. Dans la nouvelle fenêtre, sélectionnez l'option Import data about the relying party from a file.

  6. Sélectionnez le fichier FederationMetadata.xml précédemment obtenu à l'étape 1, puis cliquez sur Suivant.

  7. Saisissez un Nom d’affichage tel que Coveo Claims-Aware Search Site, puis cliquez sur Suivant.

  8. Sélectionnez Permit all users to access this relying party, puis cliquez sur Suivant.

  9. Validez les paramètres dans la dernière page, puis cliquez sur Suivant pour créer la nouvelle Approbation de la partie de confiance.

Étape 3 : Modification des règles de Claims pour l'Approbation de la partie de confiance de Coveo

  1. Sélectionnez AD FS 2.0 > Relations d'approbation.

  2. Cliquez avec le bouton droit de la souris sur l'Approbation de la partie de confiance de Coveo, puis sélectionnez Edit Claim Rules.

  3. Sous Issuance Transform Rules :

    1. Créez une nouvelle règle Pass Through or Filter Incoming Claims.

      1. Nom = Pass through Windows Account

      2. Type de revendication entrante = Windows Account Name

      3. Pass through all claims values = true

    2. Cliquez sur Terminer.

  4. Sous Issuance Authorization Rules, veillez à ce qu'une règle Permit Access to All Users existe. Sinon, créez-en une.

Étape 4 : Modification des règles de Claims pour l'Approbation de la partie de confiance de SharePoint

  1. Sélectionnez AD FS 2.0 > Relations d'approbation.

  2. Cliquez avec le bouton droit de la souris sur l'Approbation de la partie de confiance de SharePoint, puis sélectionnez Edit Claim Rules.

  3. Sous Issuance Authorization Rules, veillez à ce qu'une règle Permit Access to All Users existe. Sinon, créez-en une.

  4. Sous Delegation Authorization Rules, ajoutez une nouvelle règle Permit Access to All Users ou choisissez de permettre un utilisateur spécifique.

  5. Sous Issuance Transform Rules, pour chaque règle existante de l'Approbation de la partie de confiance et le fournisseur de confiance de Claims :

    1. Cliquez sur Edit Rule > View Rule Language.

    2. Si le langage de la règle ne contient pas une vérification pour Issuer == "AD AUTHORITY", passez à la prochaine règle existante. Sinon, continuez.

    3. Copiez le langage de la règle.

    4. Fermez la fenêtre Edit de la règle sélectionnée.

    5. Créez la nouvelle règle d'Approbation de la partie de confiance à l'aide du langage de règle copié :

      1. Cliquez sur Add Rule > Send Claims Using a Custom Rule.

      2. Collez le langage de règle et remplacez AD AUTHORITY par SELF AUTHORITY.

Étape 5 : Configuration du compte de service Coveo pour la délégation d'identité d'AD FS

  1. Connectez-vous au serveur d'index de Coveo.

  2. Ouvrez l'Outil d'administration de Coveo (voir Ouverture de l'Outil d'administration).

  3. Sélectionnez Configuration > Sécurité > Fournisseurs de sécurité, puis cliquez sur le fournisseur de sécurité sur site Claims pour SharePoint qui est utilisé afin de s'authentifier à AD FS.

  4. Dans la boîte Identité d'utilisateur, ajoutez l'identité de tout compte Windows qui peut être utilisé afin de s'authentifier à AD FS.

    Note : Ce compte n'a pas besoin de permissions spéciales dans le serveur AD FS, il n'est utilisé que pour se connecter à AD FS pendant l'authentification déléguée.

Étape 6 : Première installation sur le site de recherche Coveo

Pointez votre navigateur vers le site de recherche Coveo. Si le site a bien été configuré pour Claims, le navigateur devrait maintenant être redirigé automatiquement vers le site d'authentification d'AD FS, puis vers le site de recherche, puis vers la page de la première installation.

Dans la page de la première installation (voir Première installation de Coveo .NET Front-End), veillez à remplir correctement les options dans la section Claims en sélectionnant le type de revendication qui contient l'identité Windows (ex. : http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname). Une fois ceci fait, les options de Claims sont enregistrées dans le fichier web.config.

De retour dans la page de recherche, exécutez une requête. Dans une interface qui affiche les résultats d'une source authentifiée par Claims telle que SharePoint, les résultats devraient maintenant s'afficher. De la même manière, les requêtes dans l'interface Tout le contenu devraient maintenant inclure des résultats de la source authentifiée par Claims.