Konfigurace serverového ověřování u aplikace Customer Engagement (on-premises) a lokální instalace platformy SharePoint

Článek
12/13/2024

Poznámka:

Pokud jste povolili pouze režim Sjednocené rozhraní, před použitím postupů v tomto článku proveďte následující:

Na navigační liště vyberte Nastavení ().
Vyberte Rozšířená nastavení.

Toto téma popisuje, jak konfigurovat serverovou integraci mezi aplikací Dynamics 365 Customer Engagement (on-premises) a službou Microsoft SharePoint On-Premises.

Nastavte serverovou integraci s aplikacemi Customer Engagement (on-premises) a SharePoint

Podle kroků prováděných v uvedeném pořadí nastavte aplikaci Customer Engagement (on-premises) se Microsoft SharePoint Server On-Premises.

Důležité

Příkazy prostředí PowerShell by se měly spouštět v režimu správce. Viz: Jak spustím prostředí PowerShell?
Pokud úkol není dokončen, například v případě, kdy příkaz PowerShell vrátí chybovou zprávu, je třeba problém nejprve vyřešit a teprve poté je možné pokračovat k dalšímu příkazu, úloze či kroku.
Jakmile povolíte serverovou integraci SharePoint, nebude možné vrátit se k předchozí metodě ověřování prostřednictvím klienta. Proto nelze použít Microsoft Dynamics CRM List Component poté, co jste nakonfigurovali vaši organizaci aplikací Customer Engagement (on-premises) pro serverovou integraci SharePoint.

Ověření předpokladů

Před konfigurací aplikace Customer Engagement (on-premises) a služby SharePoint (místní nasazení) pro serverovou integraci jsou vyžadovány následující oprávnění a předpoklady.

Požadována oprávnění

Customer Engagement (on-premises)

Role zabezpečení správce systému - toto je vyžadováno pro spuštění průvodce Povolit serverovou integraci SharePoint v Customer Engagement (on-premises).
Pokud používáte certifikát podepsaný svým držitelem pro účely hodnocení, je nutné mít členství v místní skupině Správci na počítači, kde je spuštěn server Dynamics 365 Server.

SharePoint On-Premises

Členství ve skupině Správci farmy – vyžadováno pro spuštění většiny příkazů Windows PowerShell na serveru služby SharePoint.

Požadavky na SharePoint

Jedna z následujících verzí služby SharePoint:
- Sharepoint Service Subscription Edition.
- SharePoint 2019 On-Premises.
  
  Serverová integrace mezi Dynamics 365 Customer Engagement (on-premises) a Microsoft SharePoint 2019 On-Premises vyžaduje aktualizaci 0.13 pro Microsoft Dynamics 365 Server v9.0 (místní) nebo novější.
- SharePoint 2016 On-Premises.
- Microsoft SharePoint 2013 On-Premises s aktualizací Service Pack 1 (SP1) nebo novější verze s následujícími aktualizacemi.
  - Nainstalujte kumulativní aktualizaci (CU) z dubna 2019 pro produktovou řadu SharePoint 2013. Tato CU z dubna 2019 zahrnuje všechny opravy SharePoint 2013 (včetně všech oprav zabezpečení SharePoint 2013) vydané od SP1. CU z dubna 2019 nezahrnuje SP1. Před instalací CU z dubna 2019 musíte nainstalovat SP1.
    - KB4464512 – SharePoint Foundation 2013, CU z dubna 2019
    - KB4464514 – SharePoint Server 2013, CU z dubna 2019
    - KB4464513 – Project Server 2013, CU z dubna 2019
Konfigurace řešení SharePoint
- Systém SharePoint musí být nakonfigurován pouze pro nasazení na jedné farmě.
- Chcete-li použít výchozí mapování ověřování na základě deklarované identity, doména Active Directory, v níž se nachází server služby SharePoint a server Dynamics 365 Server, musí být stejné, nebo doména, na které se nachází server služby SharePoint, musí důvěřovat doméně, v níž se nachází server Dynamics 365 Server. Více informací: O mapování ověřování na základě deklarované identity
- Webová stránka služby SharePoint musí být nakonfigurována pro použití protokolu TLS/SSL (HTTPS) a certifikát musí být vydán veřejnou kořenovou certifikační autoritou. Více informací: SharePoint : O SSL certifikátech zabezpečeného kanálu
- Proxy aplikace služby pro správu aplikací systému musí být vytvořena a spuštěna. Více informací: Konfigurace prostředí pro aplikace pro SharePoint
- Aplikace služby profilů uživatelů musí být nakonfigurována a spuštěna. Více informací: Tvorba, úprava nebo odstranění aplikací služby profilů uživatelů ve službě SharePoint Server 2013
- Pro sdílení dokumentů musí být povoleno vyhledávání služby SharePoint. Více informací: Vytvoření a konfigurace aplikace Vyhledávací služby serveru SharePoint Server
- Pro funkce správy dokumentů při použití mobilních aplikací Microsoft Customer Engagement (on-premises) místní nasazení serveru SharePoint musí být k dispozici prostřednictvím internetu.
- Chcete-li umožnit uživatelům vytváření knihoven dokumentů SharePoint z aplikace Customer Engagement (on-premises), jsou vyžadovány následující konfigurace a oprávnění:
  - Uživatel aplikace Customer Engagement (on-premises) s účtem Active Directory musí být členem skupiny Členové webu na kolekci webů SharePoint, kde jsou uloženy dokumenty.
  - Ve výchozím nastavení použije mapování ověřování na základě deklarované identity pro mapování e-mailovou adresu SharePoint uživatele Customer Engagement (on-premises) a pracovní e-mailovou adresu systému SharePoint On-Premises. Když použijete toto mapování, musí e-mailové adresy uživatele mezi oběma systémy odpovídat. Více informací: Konfigurovat mapování deklarované identity uživatele pomocí e-mailové adresy SharePoint

Další předpoklady a omezení

Pro ověřování na základě deklarované identity mezi serverem Dynamics 365 Server a serverem služby SharePoint se použije digitální certifikát X509. Klíče certifikátu musí mít nejméně 2048bitové šifrování. Ve většině případů tento certifikát musí být vydán důvěryhodnou certifikační autoritou, ale pro účely vyhodnocení lze použít certifikát podepsaný svým držitelem.
Identita pro fond aplikací CRMAppPool musí mít oprávnění ke čtení certifikátu x509, který bude použit pro serverové ověřování se serverem Dynamics 365 Server a serverem služby SharePoint. Toto oprávnění lze udělit pomocí modulu snap-in konzoly MMC Certifikáty.
Pokud použijete Microsoft SharePoint 2013, u každé farmy služby SharePoint může být pro serverovou integraci nakonfigurována pouze jedna organizace Customer Engagement (on-premises). Můžete však připojit více než jednu Customer Engagement (on-premises) organizaci do serverové farmy SharePoint 2016.

Příprava serveru Dynamics 365 Server pro serverovou integraci

CertificateReconfiguration.ps1 je skriptem Windows PowerShell, který nainstaluje certifikát do místního úložiště certifikátů a udělí tak zadané identitě služby asynchronního zpracování aplikace Microsoft Dynamics 365 přístup k certifikátu a aktualizuje server Dynamics 365 Server tak, aby certifikát použil.

Přidání vzájemného certifikátu serverů do místního úložiště certifikátů a konfigurační databáze aplikace Customer Engagement (on-premises)

Otevřete relaci příkazu PowerShell na všech serverech, kde je nainstalována role úplného serveru Dynamics 365 Server.

Důležité

Zde popsaný příkaz musíte spustit na všech serverech, na kterých je spuštěna role webového aplikačního serveru.

Změňte svou polohu na složku <drive>:\Programové soubory\Microsoft Dynamics CRM\Nástroje.
Spusťte skript Windows PowerShell CertificateReconfiguration.ps1, jak je vysvětleno zde:
- certificateFilepath\Personalcertfile.pfx . je povinným parametrem, který určuje úplnou cestu k souboru pro výměnu osobních informací (.PFX). Další informace: Práce s digitálními certifikáty
- passwordpersonal_certfile_password. je povinný parametr, který určuje heslo soukromého certifikátu.
- certificateType S2STokenIssuer je povinný parametr, který určuje typ certifikátu. U serverové integrace Customer Engagement (on-premises) a SharePoint je podporován pouze S2STokenIssuer.
- serviceAccount ‘DomainName\UserName’ nebo ‘Síťová služba’.
```
serviceAccount 'contoso\\CRMWebAppServer' or ‘Network Service’. Required parameter that specifies the identity for the Web Application Server role. The identity is either a domain user account, such as *contoso\\CRMWebAppServer*, or Network Service. The identity will be granted permission to the certificate.
```
- updateCrm Přidá informace o certifikátu do konfigurační databáze aplikace Microsoft Customer Engagement (on-premises).
  
  Důležité
  
  I když máte nasazeno několik rolí serveru webové aplikace nebo asynchronní služby, stačí spustit příkaz s parametrem updateCrm pouze jednou.
- storeFindType FindBySubjectDistinguishedName. určuje typ úložiště certifikátů. Ve výchozím nastavení je tato hodnota FindBySubjectDistinguishedName a je doporučena při spuštění skriptu.
Důležité

Přestože parametry updateCrm a StoreFindType jsou pro spuštění příkazu volitelné, tyto parametry jsou požadovány pro serverovou integraci služby SharePoint, aby se informace o certifikátu přidala do databáze certifikátů.

Příklad
```
.\CertificateReconfiguration.ps1 -certificateFile c:\Personalcertfile.pfx -password personal_certfile_password -updateCrm -certificateType S2STokenIssuer -serviceAccount Domain\UserName -storeFindType FindBySubjectDistinguishedName
```

Příprava farmy služby SharePoint na serverovou integraci

Získání ID sféry aplikace Dynamics 365

Spusťte průvodce Povolit serverovou integraci SharePoint. Přejděte na Nastavení>Správa dokumentů.
Zvolte Další, zvolte Místní nasazení a potom klikněte na tlačítko Další.
ID se na stránce zobrazí vedle ID sféry aplikace Dynamics 365.

Zpropitné

Uložte ID sféry aplikace Dynamics 365 do textového souboru v zabezpečené síťové sdílené položce nebo cloudovém úložišti. Pak je snadno obnovíte z místa, kde spustíte průvodce Povolit serverovou integraci SharePointu.

Na místním nasazení serveru služby SharePoint v prostředí SharePoint Management Shell spusťte tyto příkazy prostředí PowerShell v uvedeném pořadí.

Příprava serveru služby SharePoint na ověřování serveru Dynamics 365 Server

Pokud používáte prostředí pro správu PowerShell Management Shell, které není prostředím SharePoint Management Shell, je nutné zaregistrovat modul SharePoint pomocí následujícího příkazu.
```
Add-PSSnapin Microsoft.SharePoint.PowerShell
```
Povolte relaci prostředí PowerShell, aby bylo možné provádět změny ve službě tokenů zabezpečení pro farmu prostředí SharePoint.
```
$c = Get-SPSecurityTokenServiceConfig
$c.AllowMetadataOverHttp = $true
$c.AllowOAuthOverHttp= $true
$c.Update()
```
Vytvořte důvěryhodný objekt služby tokenů zabezpečení, kde OrganizationName je jedinečný název organizace Customer Engagement (on-premises) a CrmServer je název webového serveru , na kterém je nainstalována role aplikačního serveru webové aplikace Customer Engagement (on-premises) a -Name “crm” se použije k pojmenování serveru tokenu zabezpečení (STS).
Důležité
- Připojení k více než jedné organizaci aplikace Microsoft Customer Engagement (on-premises) k jedné serverové farmě SharePoint 2013 není podporováno. Můžete však připojit více než jednu Customer Engagement (on-premises) organizaci do serverové farmy SharePoint 2016.
- Při spuštění příkazu New-SPTrustedSecurityTokenIssuer prostředí PowerShell musíte zadat HTTPS for pro koncový bod metadat aplikace Customer Engagement (on-premises), když má web aplikace Customer Engagement (on-premises) pouze vazby HTTPS nebo HTTPS i HTTP, jako je tomu v následujícím příkladu.
```
New-SPTrustedSecurityTokenIssuer –Name "crm" –IsTrustBroker:$false –MetadataEndpoint https://CrmServer/XrmServices/2015/metadataendpoint.svc/json?orgName=OrganizationName
```
Zaregistrujte aplikaci Customer Engagement (on-premises) s kolekcí webů služby SharePoint.

Chcete-li spustit následující příkazy, je nutné zadat dva parametry:
- Adresu URL kolekce webu místního nasazení služby SharePoint. V příkladu se používá https://sharepoint.contoso.com/sites/crm/ pro adresu URL kolekce webů.
- CrmRealmId je ID organizace Customer Engagement (on-premises), kterou chcete použít pro správu dokumentů se službou SharePoint. Více informací: Získání ID sféry aplikace Dynamics 365
Důležité

K dokončení těchto příkazů je potřeba, aby existovala a byla spuštěna proxy aplikace služby pro správu aplikací systému SharePoint. Další informace o tom, jak spustit a nakonfigurovat službu, naleznete v tématu Konfigurace nastavení odběru služby a aplikací služby správy aplikací v části Konfigurace prostředí pro aplikace pro SharePoint.
```
$CrmRealmId = "CRMRealmId"
$Identifier  = "00000007-0000-0000-c000-000000000000@" + $CrmRealmId
$site = Get-SPSite "https://sharepoint.contoso.com/sites/crm/"
Register-SPAppPrincipal -site $site.RootWeb -NameIdentifier $Identifier -DisplayName "crm"
```
Udělte aplikaci Customer Engagement (on-premises) přístup k webu systému SharePoint.
Poznámka:

V následujícím příkladu je aplikaci Customer Engagement (on-premises) uděleno oprávnění k zadané kolekci webů služby SharePoint pomocí parametru –Scope sitecollection. Parametr Scope přijímá následující možnosti. Použijte rozsah, který je nejvhodnější pro vaši konfiguraci služby SharePoint:
- site. Udělí oprávnění aplikaci Customer Engagement (on-premises) pouze pro zadaný web služby SharePoint. Neudělí oprávnění pro žádné dílčí weby určeného serveru.
- sitecollection. Udělí oprávnění aplikacím Customer Engagement (on-premises) pro všechny weby a dílčí weby v rámci zadané kolekce webů služby SharePoint.
- sitesubscription. Udělí oprávnění aplikacím Customer Engagement (on-premises) pro všechny weby ve farmě služby SharePoint, včetně všech kolekcí, webů a dílčích webů.
```
$app = Get-SPAppPrincipal -NameIdentifier $Identifier -Site $site.Rootweb
Set-SPAppPrincipalPermission -AppPrincipal $app -Site $site.Rootweb -Scope "sitecollection" -Right "FullControl" -EnableAppOnlyPolicy
#"Set up claims-based authentication mapping"
New-SPClaimTypeMapping -IncomingClaimType "https://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress" -IncomingClaimTypeDisplayName "EmailAddress" -SameAsIncoming
```

Spuštění průvodce Povolení serverovou integrací služby SharePoint

V aplikaci Customer Engagement (on-premises) přejděte na Nastavení>Správa dokumentů.
V oblasti Správa dokumentů zvolte Povolit serverovou integraci SharePoint.
Zkontrolujte informace a poté zvolte Další.
Pro weby systému SharePoint zvolte položku Místní a pak zvolte položku Další.
Ve fázi Připravit weby zadejte následující informace:
- Zadejte adresu URL SharePoint On-Premises, například https://sharepoint.contoso.com/sites/crm. Web musí být nakonfigurován pro protokol TLS/SSL.
- ID sféry SharePoint. Získání ID sféry aplikace SharePoint
Vyberte Další.
Zobrazí se část ověřování webů. Pokud jsou všechny weby platné, zvolte Povolit. Pokud je jeden nebo více webů neplatných, nahlédněte do odstraňování potíží se serverovou integrací aplikace Dynamics 365 Server s místním nasazením serveru služby SharePoint.

Vyberte entity, které chcete zahrnout do správy dokumentů.

Ve výchozím nastavení jsou zahrnuty entity obchodní vztah, článek, zájemce, produkt, nabídka a prodejní dokumentace. Můžete přidat nebo odebrat entity, které budou použity pro správu dokumentů pomocí služby SharePoint, v části Nastavení správy dokumentů v aplikacích Customer Engagement. Přejděte na Nastavení>Správa dokumentů. Více informací: Povolení správy dokumentů služby SharePoint pro konkrétní entity.

Přidání integrace s OneDrive pro firmy

Po dokončení konfigurace serverové integrace pro místní nasazení aplikace Customer Engagement (on-premises) a služby SharePoint můžete také integrovat aplikaci OneDrive pro firmy. Díky integraci Customer Engagement (on-premises) OneDrive pro firmy mohou uživatelé aplikace Customer Engagement (on-premises) vytvářet a spravovat soukromé dokumenty pomocí aplikace OneDrive pro firmy. Tyto dokumenty jsou přístupné v aplikaci Customer Engagement (on-premises) hned poté, co správce systému povolí aplikaci OneDrive pro firmy.

Povolit OneDrive pro firmy

V systému Windows Server, kde je spuštěno SharePoint Server On-Premises, otevřete prostředí SharePoint Management Shell a spusťte následující příkazy.

Add-Pssnapin *
# Access WellKnown App principal
[Microsoft.SharePoint.Administration.SPWebService]::ContentService.WellKnownAppPrincipals
    
# Create WellKnown App principal
$ClientId = "00000007-0000-0000-c000-000000000000"
$PermissionXml = "<AppPermissionRequests AllowAppOnlyPolicy=""true""><AppPermissionRequest Scope=""https://sharepoint/content/tenant"" Right=""FullControl"" /><AppPermissionRequest Scope=""https://sharepoint/social/tenant"" Right=""Read"" /><AppPermissionRequest Scope=""https://sharepoint/search"" Right=""QueryAsUserIgnoreAppPrincipal"" /></AppPermissionRequests>"
    
$wellKnownApp= New-Object -TypeName "Microsoft.SharePoint.Administration.SPWellKnownAppPrincipal" -ArgumentList ($ClientId, $PermissionXml)
     
$wellKnownApp.Update()

Odstraňování problémů se serverovou integrací Customer Engagement (on-premises) na SharePoint Server On-Premises

Informace o odstraňování potíží s průvodcem Povolené serverové integrace SharePoint a zobrazením protokolů sledování služby SharePoint viz Poradce při potížích se serverovým ověřováním.

Známé problémy

Pro správu dokumentace pomocí odstraňování problémů SharePoint a známé problémy nahlédněte do části Poradce při potížích se serverovým ověřováním.

O mapování ověřování na základě deklarované identity

Při použití mapování ověřování na základě deklarované identity se jedná o doménu Active Directory, kde server služby SharePoint a server Dynamics 365 Server musí být stejné. Servery, které jsou umístěny v různých doménových strukturách nebo doménách služby Active Directory, nejsou podporovány. Podobně uživatelé, kteří se nacházejí v externích doménách buď na serveru Dynamics 365 Server, nebo na serveru služby SharePoint, nebudou mít přístup k dokumentům.

Ve výchozím nastavení využívá serverové ověřování mezi aplikací Customer Engagement (on-premises) a místním nasazením služby SharePoint identifikátor zabezpečení (SID) uživatele k ověření každého uživatele. Chcete-li použít vlastní mapování ověřování na základě deklarované identity, jako je e-mailová adresa uživatele, nahlédněte do části Definování vlastního mapování deklarací identity pro serverovou integraci služby SharePoint

Konfigurace mapování deklarované identity uživatele pomocí e-mailové adresy SharePoint

Otevřete editor formulářů a přizpůsobte formulář uživatele. Chcete-li to provést, přejděte na Nastavení>Zabezpečení>Uživatelé a poté otevřete požadovaný uživatelský záznam.
Na panelu nástroj vyberte ... a pak vyberte Editor formulářů.
Vyhledejte pole E-mailová adresa SharePoint v podokně Průzkumník polí a přetáhněte ho do části Informace o uživateli formuláře uživatele.
Na panelu nástrojů editoru formulářů zvolte Uložit a poté zvolte Publikovat.
Zavřete editor formulářů a obnovte kartu webového prohlížeče, aby se v záznamu uživatele zobrazilo nově přidané pole.
V záznamu uživatele E-mailová adresa SharePoint zadejte e-mailovou adresu uživatele přesně tak, jak je uvedena v řešení SharePoint.
Zvolte Uložit.
Opakujte předchozí dva kroky pro všechny uživatele, kteří budou potřebovat správu dokumentů.

Práce s digitálními certifikáty

Následující postup vytvoří soubor osobních informací Exchange (PFX).

V počítači, jenž má přístup k certifikátu, který chcete použít pro ověřování mezi servery, zvolte Start, zvolte Spustit, zadejte MMC a stiskněte klávesu Enter.
Zvolte Soubor, potom zvolte Přidat nebo odebrat modul snap-in.
V seznamu dostupných modulů snap-in zvolte Certifikáty, zvolte Přidat, zvolte Účet počítače, zvolte Další, zvolte Dokončit a vyberte místní počítač. Potom zvolte OK.
Rozbalte položku Certifikáty, položku Osobní a potom zvolte Certifikáty.
Klikněte pravým tlačítkem myši na certifikát, který chcete použít pro vytvoření souboru osobního certifikátu, přejděte na položku Všechny úkoly a potom zvolte Exportovat.
Zvolte Další, zvolte Ano a exportujte privátní klíč. Přesvědčte se, že jsou zaškrtnuty následující možnosti, a potom zvolte Další.
- Pokud je to možné, zahrnout všechny certifikáty na cestě k certifikátu
- Exportovat všechny rozšířené vlastnosti
Zvolte na tlačítko Procházet a zadejte umístění a název souboru pro soubor .PFX a potom zvolte Uložit.
Zvolte Další a pak vyberte Dokončit.

Získání ID sféry aplikace SharePoint

Spusťte následující příkaz prostředí PowerShell v prostředí SharePoint Management Shell, kde https://sharepoint.contoso.com/sites/crm/ je adresa URL kolekce webů SharePoint.

Get-SPAuthenticationRealm -ServiceContext https://sharepoint.contoso.com/sites/crm/

Případně můžete najít ID sféry služby SharePoint v nastavení oprávnění webové aplikace kolekce webů služby SharePoint.

Přihlaste se ke kolekci webů služby SharePoint, kterou budete používat pro správu dokumentů s aplikací Customer Engagement (on-premises).
Přejděte na Nastavení webu>Oprávnění webové aplikace.
ID sféry se zobrazí pod položkou Identifikátor aplikace napravo od znaku @. Zkopírujte jej do schránky. V průvodci Povolit serverovou integraci SharePoint vložte pouze GUID. Nevkládejte žádnou část identifikátoru nalevo od @.

Sdílet prostřednictvím