SharePoint

Informatie delen met derden (externen) via SharePoint – Deel 1

8 november 2011

Om effectief samen te werken met externen is een oplossing zoals SharePoint
uitermate geschikt. In plaats van het continue moeten uitwisselen van documenten
per e-mail, biedt een SharePoint site een centrale plek waarin alle documenten
verspreid kunnen worden naar teamleden. Op de SharePoint site kunnen teamleden
de documenten bekijken en bewerken. Het grote voordeel daarmee is dat iedereen
continue toegang heeft tot alle informatie enerzijds en altijd de laatste versie
van de waarheid ziet.

Om collega’s toegang te geven tot SharePoint volstaat doorgaans een Active
Directory account. De wijze waarop externen op een veilige manier toegang
verleend kan worden tot de IT infrastructuur (lees SharePoint omgeving), is
afhankelijk van de aanwezige infrastructuur. Licentiëring speelt hier overigens
een belangrijke rol in.

In de komende twee blogs ga ik in op de vraag: Hoe kun je het beste de
toegang tot SharePoint aan derden (lees niet medewerkers) verlenen?
De
focus ligt hierbij op de infrastructuur en de benodigde licenties.

In deel 1 van deze blog beschrijf ik de on-premise manier van informatie
delen met SharePoint. In deel 2 leg ik uit hoe SharePoint Online (Office 365)
gebruikt kan worden om met externen samen te werken.

Voor het authentiseren van gebruikers zijn twee oplossingen:

1.) Externe gebruikers krijgen een account vanuit de Active Directory (AD) of
SQL server van de organisatie die de SharePoint omgeving aanbiedt.

2.) Gebruikers loggen in met hun eigen inloggegevens – die van hun organisatie -, of
met een publieke inlog, zoals een Windows Live ID.

Een voordeel van de tweede optie is dat gebruikers hetzelfde account kunnen
gebruiken voor meerdere omgevingen. Gebruikers vragen steeds vaker naar een
“Single Sign On” (SSO) oplossing, omdat zij het lastig vinden om meerdere
accounts te moeten onthouden. Om externe gebruikers middels SSO toegang te laten
nemen tot een SharePoint omgeving dient een koppeling gemaakt worden tussen de
twee verschillende Active Directories. Deze koppeling is gebaseerd op Active
Directory Federation Services (ADFS). Voor deze oplossing moeten beide
organisaties een ADFS omgeving implementeren. In de praktijk zien we dit alleen
tussen organisaties die een diepgaandere samenwerking hebben met elkaar.

Indien een externe gebruiker op enig moment toegang ontnomen moet worden tot
de omgeving, zal bij optie 1 zal er een proces aanwezig moeten zijn, dat de
gebruiker deactiveert als de externe persoon de organisatie verlaat. Bij de
tweede optie is een belangrijk voordeel dat als een gebruiker bij de andere
partij ontslagen wordt of weg gaat, zijn account gedeactiveerd wordt door de
externe organisatie. Automatisch wordt daarmee toegang tot de SharePoint
omgeving ontzegd.

Het is dus afhankelijk van de situatie welke optie het beste is. In het
geval van optie 1 is het eenvoudig om binnen de bestaande infrastructuur en de
bestaande Active Directory of een SQL server externe gebruikers aan te maken.
Optie 2—de ADFS oplossing—is complex, omdat er meerdere aanpassingen gedaan
moeten worden in de infrastructuur. Hiervoor is een goede samenwerking nodig
tussen de twee organisaties. Met deze complexiteit maak je het wel mogelijk voor
eindgebruikers om eenvoudiger gebruik te kunnen maken van de SharePoint omgeving
zonder opnieuw te moeten inloggen.

Licenties voor Externe toegang
Om externen toegang tot SharePoint te geven zijn licenties
benodigd[1]. SharePoint kent twee verschillende licentie versies: een
Standard en een Enterprise versie. De Enterprise versie heeft extra opties,
zoals: Excel Services, Visio Services, chart web parts en nog veel meer (zie link
voor alle versie verschillen).

Omdat er nog wel eens een discussie ontstaat wat er met een externe
gebruiker bedoeld wordt, geef ik hieronder de definitie van Microsoft van een
externe gebruiker:

Met “externe gebruikers” worden gebruikers bedoeld die geen (i)
werknemer zijn van uw onderneming of aan u gelieerde ondernemingen, of (ii) on
site contractanten of partners zijn van uw onderneming of aan u gelieerde
ondernemingen. Alle andere gebruikers zijn “interne
gebruikers”.[3]

Er zijn twee methoden om externen (lees niet werknemers) een licentie te
geven:

Per gebruiker een Windows Client Access License (CAL) en een SharePoint
CAL. Dit is tevens de methode die ook wordt gebruikt voor interne medewerkers.
Het soort CAL dat hierbij aangeschaft moet worden, hangt van de SharePoint
versie af: bij de Standard versie hoort een Standard CAL, terwijl voor de
Enterprise versie zowel een Standard als een Enterprise CAL aangeschaft moet
worden.
Per SharePoint server[2] een Windows External Connector
en een SharePoint External Connector, ook wel SharePoint Internet Connector
genoemd[3]. Deze optie kan alleen gebruikt worden voor externe
medewerkers. De SharePoint External Connector bestaat uit een Standard en een
Enterprise versie. De keuze tussen deze twee versies is afhankelijk van welke
opties binnen SharePoint nodig zijn.

Naast de Windows en SharePoint CAL dienen tevens de nodige SQL Server en
Windows server licentie aanwezig te zijn. Die laten we op dit moment even buiten
beschouwing.

Welke optie de meest gunstige is, hangt af van het aantal externe
gebruikers, het aantal servers en de gebruikte Firewall. In een
voorbeeldsituatie waarbij één enkele SharePoint server gebruikt wordt, die zowel
door interne als externe medewerkers benaderd wordt, ligt het omslagpunt voor
optie twee – SharePoint External Connector – bij:

1.) Standard SharePoint features: rond de 110 of meer gebruikers

2.) Enterprise SharePoint features: rond de 210 of meer gebruikers

Bij meerdere SharePoint servers ligt het omslagpunt hoger. Dit is te
berekenen door het aantal externe gebruikers in bovenstaand voorbeeld te
vermenigvuldigen met het aantal SharePoint servers die een External Connector
licentie nodig hebben. De volgende servers met een SharePoint erne gebruikers .l
gebruikt wordt door interne als externe medewerkers.s Windows LIveID
organisatie. rol moeten een SharePoint externe licentie hebben: staging,
application, index en front-end.

De omslagpunten hierboven zijn indicatief. Het is altijd belangrijk per
SharePoint inrichting te controleren welke licentie optie het beste is. Als er
een ADFS omgeving is of een Microsoft firewall, zoals “Forefront
Threat Management Gateway” (TMG)
of “Forefront
Unified Access Gateway” (UAG)
, dan zal het omslagpunt anders komen te
liggen.

Het is ook mogelijk om anoniem een SharePoint site te benaderen. Als er geen
authenticatie plaatsvindt, dan is er geen Windows External connector nodig:

“Er is geen External Connector-licentie nodig voor externe gebruikers die
toegang verkrijgen tot de instanties van serversoftware via internet waarbij
geen verificatie plaatsvindt, of waarbij de gebruikers niet anderszins door de
serversoftware of op enig andere wijze individueel worden
geïdentificeerd.[3]

In volgende blog laat ik zien hoe eenvoudig het is om Externe gebruikers
toegang te geven tot SharePoint Online binnen Office 365.

[1] http://sharepoint.microsoft.com/en-us/buy/Pages/Licensing-Details.aspx

[2] SharePoint servers met de volgende rollen: staging, application, index
en front-end.

[3] Microsoft Gebruiksrechten voor Producten, P99, http://www.microsoft.com/licensing/about-licensing/product-licensing.aspx

You Might Also Like

4 reacties

  • avatar
    Reply Informatie delen met derden (externen) via SharePoint – Deel 2 « SPC NL 18 november 2011 at 08:56

    […] deel 1 van deze blog is beschreven hoe je externe gebruikers toegang kunt geven tot een on-premise […]

  • avatar
    Reply Jasper Siegmund 23 november 2011 at 08:56

    Hoi Rick,

    ik mis een sectie in je post. What about Foundation? In principe kun je dit net zo goed naar buiten toe ontsluiten, waarbij je SharePoint licenties dan komen te vervallen. Maar hoe moet je in dat geval omgaan met de licenties voor SQL / Windows?

    • avatar
      Reply Rick 23 november 2011 at 09:52

      Beste Jasper,

      Bedankt voor je vraag. Voor SharePoint Foundation is geen licentie nodig en kan dus gebruikt worden zonder kosten. Voor Windows heb je twee opties:
      • Windows Web Server, bij deze optie hoef je alleen de Windows licentie te kopen en geen additionele CALs (alleen te gebruiken voor Internet Web solutions, zie PUR voor welke services je mag gebruiken)
      • Windows Server 2008 R2 (Standard/Enterprise/Datacenter), voor deze optie moet je ook CALs aanschaffen dit kan je doen bij een publieke website met een Windows Server External Connector

      Voor SQL heb je ook twee opties:
      • SQL Express, deze is vrij te gebruiken maar heeft wel een limitatie met de grote van de database, aantal CPU’s en geheugen.
      • SQL server (standard/Enterprise), je moet SQL per CPU socket licentieren.

      De goedkoopste optie met limitaties is: SharePoint Foundation, Windows Web Server en SQL Express. Hierbij heb je alleen de kosten van Windows Web Server

  • avatar
    Reply Mark 15 april 2013 at 14:32

    Hoi Rick,

    Bedankt, ik gebruik sharepoint foundation 2010 en heb een Blog aangemaakt die ik graag via een RSS feed met onze website wil delen. Hoe zorg ik ervoor dat alleen de blog site extern kan?

    Heb al gegoogeld en kan geen oplossing vinden voor de SP foundation versie.

  • Plaats een reactie