Sharepoint - Modes d'intégration

Objet de l’article

Cet article décrit les autorisations et modes d’intégration entre Cooperlink et Sharepoint, et plus particulièrement les sujets suivants sont abordés :

• Autorisation déléguée vs Autorisation applicative

• Utilisateur système

• Segmentation des droits d’accès

Introduction aux modes d’intégration

D’un point de vue de l’utilisateur, Cooperlink est une application on-top de Sharepoint. Le stockage est opéré par Sharepoint et la gestion de la communication, de la collaboration et des procédures métier est réalisée dans Cooperlink. Les deux sont donc intimement lié.

Lorsqu’un utilisateur dépose, modifie ou efface un document sur Cooperlink, cette action doit pouvoir être effectuée sur Sharepoint également. Inversément, si un document est ajouté, modifié ou effacé sur Sharepoint, Cooperlink doit être en mesure de le détecter.

Toutes les opérations automatiques (p.ex. détection de fichier) sont prises en charge par un “utilisateur système”. Selon le mode d’intégration, cet utilisateur système peut prendre différentes formes.

Lors de la mise en place de Cooperlink, veuillez préciser à votre Customer Success Manager le mode d’intégration souhaitée. Sur cette base, il vous indiquera la démarche à suivre.

Mode delegué 1 - Par défaut

Les actions utilisateurs internes

Dans ce mode d’intégration, les utilisateurs internes à l’organisation s’authentifient sur le connecteur Sharepoint-Cooperlink via leur propre compte Office 365. Toutes les opérations qui sont réalisées (manuellement) par ces utilisateurs sur Sharepoint sont soumises au schéma de sécurité mis en place dans le centre d’administrateur Microsoft (c’est pourquoi on parle de délégation). Ainsi, si l’utilisateur n’a pas le droit de voir un dossier sur Sharepoint, il n’en aura pas le droit non plus via Cooperlink.

Lorsque l’utilisateur s’authentifie, Cooperlink délégue également l’authentification à Microsoft. C’est pourquoi notamment l’utilisateur est redirigé vers une page à en-tête Microsoft, voir parfois l’authentification est automatique car l’utilisateur est déjà authentifié sur son ordinateur. Cooperlink ne stocke donc aucun mot de passe, mais uniquement un token avec une durée de validité.

Les actions automatiques + les actions des utilisateurs externes

Toutes les actions automatiques, ie. les actions qui ne peuvent pas être reliée à un utilisateur interne à l’organisation, sont confiées à un utilisateur système. Il peut s’agir par exemple de l’enregistrement d’un document qui a été envoyé par un architecte, ou pour la détection de nouvelles versions de document sur Sharepoint.

Toutes ces actions automatiques sont gérées dans Cooperlink le composant Sync Manager auquel est associé l’utilisateur système. A l’exception du super administrateur, aucun utilisateur n’a accès à cet utilisateur système.

A noter que Cooperlink permet d’associer un utilisateur système distinct par organisation partenaire. Bien que cela soit techniquement faisable, en pratique cela est rarement utilisé vu que cela génère une charge de travail supplémentaire.

Caractéristiques

Ce mode d’intégration permet de garantir toute la chaîne de sécurité. Ainsi le département IT peut gérer les droits des utilisateurs sur Sharepoint et ceux-ci sont automatiquement répercutés sur Cooperlink.

A prévoir

Pour ce mode d’intégration, vous devez prévoir un utilisateur système associé à une licence Microsoft ayant ayant à Sharepoint (Business Basic suffit). Cooperlink supporte l’activation du MFA sur l’utilisateur système. Et il est d’ailleurs recommandé.

Mode délégué 2

Ce second mode est similaire au précédent à la différence que toutes les opérations des utilisateurs internes sont réalisées, sur Sharepoint, via l’utilisateur système.

Caractétistiques

Ce mode d’intégration est généralement utilisé sur des systèmes pour lesquels chaque utilisateur ne dispose pas d’un compte individuel.

Mode applicatif

Dans le mode application, l’application Cooperlink acquiert, à partir des droits assignés lors de l’enregistrement d’application sur Azure, des autorisations sur l’environnement Sharepoint à la manière d’un daemon. La gestion des droits d’accès est exclusivement réalisée au niveau de Cooperlink. Ce mode applicatif est similaire au mode délégué 2 à la différence qu’il ne nécessite pas un utilisateur système.

Caractéristiques

Ce mode d’intégration permet une connexion plus simple à Sharepoint. Les utilisateurs ont directement accès, qu’ils aient un compte individuel ou non. Néanmoins, les utilisateurs avec des droits de configuration ont un accès à l’ensemble du Sharepoint sans restriction.

Sites.selected

Pour palier au problème d’accès mentionné ci-avant, Microsoft a introduit la notion de sites.selected qui permet de restreindre l’application sur certains sites uniquement. Cette opération est exclusivement réservée via powershell. En outre, elle ne permet pas une restriction d’accès aux librairies du site. Toutes les librairies restent accessibles.