Konfigurace serverového ověřování u aplikace Dynamics 365 Online a služby SharePoint (místní)

 

Publikováno: únor 2017

Platí pro: Dynamics 365 (online), Dynamics 365 (on-premises), Dynamics CRM 2016, Dynamics CRM Online

V aplikaci Microsoft Dynamics CRM Online 2015 – aktualizace 1 byla představena serverová integrace se službou Microsoft SharePoint pro správu dokumentů, pomocí které lze propojit aplikaci Microsoft Dynamics 365 (online) se službou SharePoint (místní). Při použití serverového ověřování se jako zprostředkovatel důvěryhodnosti používá služba Azure AD Domain Services a uživatelé se nemusejí přihlašovat ke službě SharePoint.

V tomto tématu

Požadována oprávnění

Nastavení ověřování mezi servery u aplikace Dynamics 365 (online) a služby SharePoint (místní)

Přidání integrace OneDrive pro firmy

Výběr typu mapování ověřování na základě deklarované identity

Požadována oprávnění

Office 365

• Členství ve skupině Globální správci služby Office 365 je vyžadováno pro přístup na úrovni správce k odběru služby Microsoft Office 365 a spouštění rutin Microsoft AzurePowerShell.

Microsoft Dynamics 365 (online)

• Oprávnění ke spuštění Průvodce integrací SharePointu. To je nutné ke spuštění průvodce povolením serverového ověřování v aplikaci Microsoft Dynamics 365.

  Role zabezpečení Správce systému má ve výchozím nastavení toto oprávnění.

SharePoint (místní)

• Členství ve skupině Správci farmy – vyžadováno pro spuštění většiny příkazů PowerShell na serveru služby SharePoint.

Nastavení ověřování mezi servery u aplikace Dynamics 365 (online) a služby SharePoint (místní)

Podle kroků prováděných v uvedeném pořadí nastavte aplikaci Dynamics 365 (online) se službou SharePoint 2013 (místní).

Důležité

• Zde popsané kroky musí být provedeny v uvedeném pořadí. Pokud úkol není dokončen, například v případě příkazu služby PowerShell, který vrátí chybovou zprávu, je třeba problém nejprve vyřešit a teprve poté je možné pokračovat k dalšímu příkazu, úloze či kroku.

• Jakmile povolíte serverovou integraci SharePoint, nebude možné vrátit se k předchozí metodě ověřování prostřednictvím klienta. Proto nelze použít Součást Seznam aplikace Microsoft Dynamics CRM poté, co jste nakonfigurovali vaši organizaci Dynamics 365 pro serverovou integraci SharePoint.

Ověření předpokladů

Před konfigurací aplikace Microsoft Dynamics 365 (online) a SharePoint (místní nasazení) pro serverové ověřování je třeba splnit následující předpoklady:

Požadavky služby SharePoint

• Microsoft SharePoint 2013 (místní) s aktualizací Service Pack 1 (SP1) nebo novější verze

  Důležité

  Verze sady systému Microsoft SharePoint Foundation 2013 nejsou podporovány pro použití se správou dokumentů Microsoft Dynamics 365.

• Opravy hotfix KB2883081 pro systém SharePoint Foundation 2013, 12. srpna 2014 (Sts-x-none.msp)

  Důležité

  Následující aktualizace jsou požadavky na KB2883081 a mohou být také požadovány.

  • https://support2.microsoft.com/kb/2768000

  • https://support.microsoft.com/kb/2767999

  • https://support.microsoft.com/kb/2880963

• Konfigurace součásti SharePoint

  • Systém SharePoint musí být nakonfigurován pouze pro nasazení na jedné farmě.

  • Web systému SharePoint musí být přístupný z internetu. Reverzní proxy může být také vyžadováno pro ověřování systému SharePoint. Další informace: Konfigurace zařízení zpětného proxy pro hybridní systém SharePoint Server 2013

  • Web systému SharePoint musí být nakonfigurován pro použití protokolu SSL (HTTPS) a certifikát být vydán veřejným kořenovým certifikačním úřadem.Další informace:SharePoint: Informace o certifikátech zabezpečeného kanálu SSL

  • Vlastnost spolehlivého uživatele pro použití pro ověřování na základě deklarované identity mapování mezi službou SharePoint a aplikací Microsoft Dynamics 365.Další informace:Výběr typu mapování ověřování na základě deklarované identity

  • Pro sdílení dokumentů musí být povoleno vyhledávání služby SharePoint.Další informace:Vytvoření a konfigurace aplikace Vyhledávací služby serveru SharePoint Server

  • Pro funkce správy dokumentů při použití mobilních aplikací Microsoft Dynamics 365 místní nasazení serveru SharePoint musí být k dispozici prostřednictvím internetu.

  • Pokud použijete Microsoft SharePoint 2013, u každé farmy služby SharePoint může být pro serverovou integraci nakonfigurována pouze jedna organizace Microsoft Dynamics 365.

Další předpoklady

• Licence služby SharePoint Online. Serverové ověřování aplikace Microsoft Dynamics 365 (online) na službu SharePoint (místní) musí mít hlavní název služby (SPN) SharePoint zaregistrován ve službě Azure Active Directory. K tomuto účelu je vyžadována alespoň jedna uživatelská licence služby SharePoint Online. Licenci služby SharePoint Online lze odvodit z jedné uživatelské licence a obvykle pochází z jedné z následujících možností:

  • Předplatné služby SharePoint Online. Stačí jakýkoli plán služby SharePoint Online, i když není licence přiřazená uživateli.

  • Předplatné služby Office 365, které obsahuje SharePoint Online. Pokud například máte Office 365 E3, máte k dispozici příslušné licence i v případě, že licence není přiřazena uživateli.

  Další informace o těchto plánech naleznete v částech Office 365: Výběr plánu a Porovnání možností služby SharePoint

• Ke spuštění rutin PowerShell popsaných v tomto tématu jsou potřeba následující softwarové funkce.

  • Pomocník pro přihlášení ke službám Microsoft Online Services pro odborníky z oblasti IT Beta

  • Modul Azure Active Directory pro prostředí Windows PowerShell (64bitová verze)

  Důležité

  V době psaní tohoto textu existuje problém s verzí RTW pomocníka pro přihlášení ke službám Microsoft Online Services pro odborníky z oblasti IT. Dokud nebude problém vyřešen, doporučujeme používat verzi Beta.Další informace:Fóra Microsoft Azure: Nelze nainstalovat modul Azure Active Directory pro prostředí Windows PowerShell. MOSSIA není nainstalováno.

• Vhodný typ mapování ověřování na základě deklarované identity pro mapování identit mezi aplikací Microsoft Dynamics 365 (online) a službou SharePoint (místní). Ve výchozím nastavení se používá e-mailová adresa.Další informace:Udělení aplikaci Microsoft Dynamics 365 oprávnění k přístupu ke službě SharePoint a konfigurace mapování ověřování na základě deklarované identity

Aktualizace SharePoint Server SPN v Azure Active Directory Domain Services

Na místním serveru služby SharePoint, v prostředí SharePoint 2013 Management Shell, spusťte tyto příkazy prostředí PowerShell v uvedeném pořadí.

1. Připravte relaci prostředí PowerShell.

   Následující rutiny umožňují počítači příjem vzdálených příkazů a přidání modulů služby Office 365 do relace prostředí PowerShell. Další informace o těchto rutinách naleznete v tématu Rutiny jádra Windows PowerShell.

   Enable-PSRemoting -force
   New-PSSession
   Import-Module MSOnline -force
   Import-Module MSOnlineExtended -force
   

2. Připojte se ke službě Office 365.

   Při spuštění příkazu Connect-MsolService je nutné zadat platné Účet Microsoft, jež má členství ve skupině Globální správce služby Office 365 pro licenci služby SharePoint Online, která je požadována.

   Podrobné informace o jednotlivých příkazech platformy Azure Active DirectoryPowerShell, které jsou zde uvedeny, naleznete v části MSDN: Správa Azure AD pomocí prostředí Windows PowerShell.

   $msolcred = get-credential
   connect-msolservice -credential $msolcred
   

3. Nastavte název hostitele služby SharePoint.

   Hodnota, kterou jste nastavili pro proměnnou HostName, musí být kompletní název hostitele kolekce webů služby SharePoint. Název hostitele se odvozovat od adresy URL kolekce webů a rozlišují se v něm velká a malá písmena. V tomto příkladu je adresou URL kolekce webů https://SharePoint.constoso.com/sites/salesteam, takže název hostitele je SharePoint.contoso.com.

   $HostName = "SharePoint.contoso.com"
   

4. Získejte id objektu (klienta) služby Office 365 a hlavní název služby (SPN) SharePoint Server.

   $SPOAppId = "00000003-0000-0ff1-ce00-000000000000"
   $SPOContextId = (Get-MsolCompanyInformation).ObjectID
   $SharePoint = Get-MsolServicePrincipal -AppPrincipalId $SPOAppId
   $ServicePrincipalName = $SharePoint.ServicePrincipalNames
   

5. Nastavte hlavní název služby (SPN) SharePoint Server v Azure Active Directory.

   $ServicePrincipalName.Add("$SPOAppId/$HostName") 
   Set-MsolServicePrincipal -AppPrincipalId $SPOAppId -ServicePrincipalNames $ServicePrincipalName 
   

Po provedení těchto příkazů nezavírejte prostředí SharePoint 2013 Management Shell a pokračujte k dalšímu kroku.

Aktualizace sféry SharePoint, aby vyhovovala sféře SharePoint Online

Na místním serveru služby SharePoint, v prostředí SharePoint 2013 Management Shell, spusťte tento příkaz prostředí Windows PowerShell.

Následující příkaz vyžaduje členství správce farmy služby SharePoint a nastaví sféru ověření farmy systému SharePoint (místní).

Upozornění

Spuštění tohoto příkazu změní sféru ověřování farmy služby SharePoint (místní). Pro aplikace, které používají existující službu tokenů zabezpečení (STS), to může způsobit neočekávané chování v jiných aplikacích, které používají přístupové tokeny. Další informace: Set-SPAuthenticationRealm.

Set-SPAuthenticationRealm -Realm $SPOContextId

Vytvoření vydavatele důvěryhodného bezpečnostního pro službu Azure Active Directory ve službě SharePoint

Na místním serveru služby SharePoint, v prostředí SharePoint 2013 Management Shell, spusťte tyto příkazy prostředí PowerShell v uvedeném pořadí.

Následující příkazy vyžadují členství správce farmy služby SharePoint.

Podrobné informace o těchto příkazech služby PowerShell naleznete v části Použití rutin prostředí Windows PowerShell ke správě zabezpečení služby SharePoint 2013.

1. Povolte relaci prostředí PowerShell, aby bylo možné provádět změny ve službě tokenů zabezpečení pro farmu prostředí SharePoint.

   $c = Get-SPSecurityTokenServiceConfig
   $c.AllowMetadataOverHttp = $true
   $c.AllowOAuthOverHttp= $true
   $c.Update()
   

2. Nastavení koncového bodu metadat.

   $metadataEndpoint = "https://accounts.accesscontrol.windows.net/" + $SPOContextId + "/metadata/json/1"
   $acsissuer  = "00000001-0000-0000-c000-000000000000@" + $SPOContextId
   $issuer = "00000007-0000-0000-c000-000000000000@" + $SPOContextId
   

3. Vytvoření nové proxy aplikace služby ovládacího prvku tokenu v prostředí Azure Active Directory.

   New-SPAzureAccessControlServiceApplicationProxy -Name "Internal" -MetadataServiceEndpointUri $metadataEndpoint -DefaultProxyGroup
   

   Poznámka

   Příkaz New- SPAzureAccessControlServiceApplicationProxy může vrátit chybovou zprávu oznamující, že proxy aplikace se stejným názvem již existuje. Pokud již proxy aplikace existuje, můžete chybu ignorovat.

4. Vytvoření nového vydavatele služby ovládacího prvku tokenu ve službě SharePoint (místní) pro prostředí Azure Active Directory.

   $ = New-SPTrustedSecurityTokenIssuer –Name "ACSInternal" –IsTrustBroker:$true –MetadataEndpoint $metadataEndpoint -RegisteredIssuerName $acsissuer 
   

Udělení aplikaci Microsoft Dynamics 365 oprávnění k přístupu ke službě SharePoint a konfigurace mapování ověřování na základě deklarované identity

Na místním serveru služby SharePoint, v prostředí SharePoint 2013 Management Shell, spusťte tyto příkazy prostředí PowerShell v uvedeném pořadí.

Následující příkazy vyžadují členství správce kolekce webů služby SharePoint.

1. Zaregistrujte aplikaci Microsoft Dynamics 365 s kolekcí webů služby SharePoint.

   Zadejte adresu URL kolekce webu služby SharePoint (místní). V tomto příkladu se používá https://sharepoint.contoso.com/sites/crm/.

   Důležité

   K dokončení tohoto příkazu je potřeba, aby existoval a byla spuštěna proxy aplikace služby pro správu aplikací systému SharePoint. Další informace o tom, jak spustit a nakonfigurovat službu, naleznete v dílčím tématu Konfigurace nastavení odběru služby a aplikací služby správy aplikací v části Konfigurace prostředí pro aplikace pro systém SharePoint (SharePoint 2013).

   $site = Get-SPSite "https://sharepoint.contoso.com/sites/crm/"
   Register-SPAppPrincipal -site $site.RootWeb -NameIdentifier $issuer -DisplayName "crm"
   

2. Udělte aplikaci Microsoft Dynamics 365 přístup k webu systému SharePoint. Nahraďte adresu https://sharepoint.contoso.com/sites/crm/ adresou URL webu SharePoint.

   Poznámka

   V následujícím příkladu je aplikaci Dynamics 365 uděleno oprávnění k zadané kolekci webů služby SharePoint pomocí parametru kolekce webů –Scope. Parametr Scope přijímá následující možnosti. Vyberte rozsah, který je nejvhodnější pro vaši konfiguraci serveru SharePoint.

   • site. Udělí oprávnění aplikace Dynamics 365 pouze pro zadaný web služby SharePoint. Neudělí oprávnění pro žádné dílčí weby určeného serveru.

   • sitecollection. Udělí oprávnění aplikaci Dynamics 365 pro všechny weby a dílčí weby v rámci zadané kolekce webů služby SharePoint.

   • sitesubscription. Udělí oprávnění aplikaci Dynamics 365 pro všechny weby ve farmě služby SharePoint, včetně všech kolekcí, webů a dílčích webů.

   $app = Get-SPAppPrincipal -NameIdentifier $issuer -Site "https://sharepoint.contoso.com/sites/crm/"
   Set-SPAppPrincipalPermission -AppPrincipal $app -Site $site.Rootweb -Scope "sitecollection" -Right "FullControl"
   

3. Nastavte mapování typu ověřování na základě deklarované identity.

   Důležité

   Ve výchozím nastavení použije mapování ověřování na základě deklarované identity pro mapování e-mailovou adresu uživatele Účet Microsoft a pracovní e-mailovou adresu systému SharePoint uživatele. Když použijete tuto funkci, musí e-mailové adresy uživatele mezi oběma systémy odpovídat. Další informace naleznete v tématu Výběr typu mapování ověřování na základě deklarované identity.

   $map1 = New-SPClaimTypeMapping -IncomingClaimType "https://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress" -IncomingClaimTypeDisplayName "EmailAddress" -SameAsIncoming
   

Spuštění průvodce Povolit serverovou integraci SharePointu

V aplikaci Microsoft Dynamics 365 postupujte takto:

1. Přejděte do nabídky Nastavení > Správa dokumentů. (Jak se tam dostanu?)

2. V oblasti Správa dokumentů klikněte na položku Povolit serverovou integraci SharePoint.

3. Zkontrolujte informace a poté klikněte na tlačítko Další.

4. Pro weby systému SharePoint klikněte na položku Místní nasazení a pak na položku Další.

5. Zadejte adresu URL kolekce webů systému SharePoint (místní), jako je například https://sharepoint.contoso.com/sites/crm. Web musí být nakonfigurován pro protokol SSL.

6. Klikněte na tlačítko Další.

7. Zobrazí se část ověřování webů. Pokud jsou všechny weby určeny jako platné, klikněte na položku Povolit. Pokud je jeden nebo více webů určeny jako neplatné, viz část Poradce při potížích se serverovým ověřováním.

Vyberte entity, které chcete zahrnout do správy dokumentů.

Ve výchozím nastavení jsou zahrnuty entity obchodní vztah, článek, zájemce, produkt, nabídka a prodejní dokumentace. Můžete přidat nebo odebrat entity, které budou použity pro správu dokumentů pomocí služby SharePoint, v části Nastavení správy dokumentů v aplikaci Microsoft Dynamics 365.Přejděte do nabídky Nastavení > Správa dokumentů. (Jak se tam dostanu?)Další informace:Centrum pro zákazníky: Povolení správy dokumentů u entit

Přidání integrace OneDrive pro firmy

Po dokončení konfigurace ověřování založeného na serveru pro místní nasazení aplikací Microsoft Dynamics 365 a SharePoint můžete také integrovat aplikaci OneDrive pro firmy. Díky integraci aplikací Microsoft Dynamics 365 a OneDrive pro firmy mohou uživatelé aplikace Dynamics 365 vytvářet a spravovat soukromé dokumenty pomocí aplikace OneDrive pro firmy. Tyto dokumenty jsou přístupné v aplikaci Dynamics 365 hned poté, co správce systému povolí OneDrive pro firmy.

Povolit OneDrive pro firmy

V systému Windows Server, kde je spuštěno místní nasazení služby SharePoint Server, otevřete prostředí SharePoint Management Shell a spusťte následující příkazy:

Add-Pssnapin *
# Access WellKnown App principal
[Microsoft.SharePoint.Administration.SPWebService]::ContentService.WellKnownAppPrincipals

# Create WellKnown App principal
$ClientId = "00000007-0000-0000-c000-000000000000"
$PermissionXml = "<AppPermissionRequests AllowAppOnlyPolicy=""true""><AppPermissionRequest Scope=""https://sharepoint/content/tenant"" Right=""FullControl"" /><AppPermissionRequest Scope=""https://sharepoint/social/tenant"" Right=""Read"" /><AppPermissionRequest Scope=""https://sharepoint/search"" Right=""QueryAsUserIgnoreAppPrincipal"" /></AppPermissionRequests>"

$wellKnownApp= New-Object -TypeName "Microsoft.SharePoint.Administration.SPWellKnownAppPrincipal" -ArgumentList ($ClientId, $PermissionXml)

$wellKnownApp.Update()

Výběr typu mapování ověřování na základě deklarované identity

Ve výchozím nastavení použije mapování ověřování na základě deklarované identity pro mapování e-mailovou adresu uživatele Účet Microsoft a pracovní e-mailovou adresu systému SharePoint uživatele. Všimněte si, že ať použijete jakýkoli typ ověřování na základě deklarované identity, hodnoty, například e-mailové adresy, musí odpovídat mezi aplikací Microsoft Dynamics 365 (online) a službou SharePoint. Synchronizace adresářů služby Office 365 v tom může pomoci.Další informace:Nasazení sady synchronizace adresářů (DirSync) Office 365 v Microsoft Azure Chcete-li použít jiný typ mapování ověřování na základě deklarované identity, viz část Definování vlastního mapování deklarací identity pro serverovou integraci služby SharePoint.

Důležité

Chcete-li povolit vlastnost Pracovní e-mailová adresa, musí mít služba SharePoint (místní) nakonfigurovanou a spuštěnou aplikaci Služby profilů uživatelů. Chcete-li povolit aplikaci Služby profilů uživatelů ve službě SharePoint, viz část Vytvoření, úprava nebo odstranění služeb aplikace profilu uživatele ve službě SharePoint Server 2013. Chcete-li provést změny vlastnosti uživatele, jako je například Pracovní e-mailová adresa, viz část Úprava vlastnosti profilu uživatele. Další informace o aplikace Služby profilů uživatelů naleznete v tématu Přehled aplikace služby Profil uživatele ve službě SharePoint Server 2013.

Viz také

Poradce při potížích se serverovým ověřováním
Nastavení integrace služby SharePoint s aplikací Microsoft Dynamics 365

© 2017 Microsoft. Všechna práva vyhrazena. Autorská práva