Compartir a través de

Configurar la autenticación basada en servidor con Customer Engagement (on-premises) y SharePoint local

  • Artículo

Nota

Si ha habilitado Interfaz unificada modo exclusivo, antes de utilizar los procedimientos de este artículo, haga lo siguiente:

  1. Seleccionar Configuración (Icono de engranaje.) en la barra de navegación.
  2. Seleccione Configuración avanzada.

    Configuración avanzada.

Este tema describe cómo configurar una integración basada en servidor entre Dynamics 365 Customer Engagement (on-premises) y Microsoft SharePoint local.

Configurar la integración basada en servidor con Customer Engagement (on-premises) y SharePoint

Siga los pasos en el orden indicado para configurar Customer Engagement (on-premises) con Microsoft SharePoint Server On-Premises.

Importante

  • Los comandos de PowerShell deben ejecutarse en modo Administrador. Vea: ¿Cómo inicio PowerShell?
  • Si una tarea no se finaliza, por ejemplo, si un comando de PowerShell devuelve un mensaje de error, el problema debe resolver antes de continuar con el siguiente comando, tarea o paso.
  • Después de habilitar la integración de SharePoint basada en servidor, no podrá revertir al anterior método de autenticación basado en cliente. Por lo tanto, no puede usar el componente de lista de Microsoft Dynamics CRM después de configurar la organización de Customer Engagement (on-premises) para integración de SharePoint basada en servidor.

Verificación de los requisitos previos

Antes de configurar Customer Engagement (on-premises) y SharePoint local para integración basada en servidor, se necesitan los siguientes permisos y deben cumplirse los siguientes requisitos previos.

Permisos requeridos.

Customer Engagement (on-premises)

  • Rol de seguridad de administrador del sistema: esto es necesario para ejecutar el asistente para Habilitar la integración basada en servidor en aplicaciones de SharePoint en Customer Engagement (on-premises).

  • Si usa un certificado autofirmado por motivos de evaluación, debe pertenecer al grupo de administradores locales en el equipo donde Dynamics 365 Server se está ejecutando.

SharePoint On-Premises

  • Pertenencia a grupo de administradores de granja: esto es necesario para ejecutar la mayoría de los comandos de Windows PowerShell en el servidor de SharePoint.

Requisitos previos de SharePoint

  • Una de las siguientes versiones de SharePoint:

    • Edición de suscripción al servicio Sharepoint.

    • SharePoint 2019 On-Premises.

      La integración basada en servidor entre Dynamics 365 Customer Engagement (on-premises)y Microsoft SharePoint 2019 local requiere la actualización 0.13 de la versión 9.0 de Microsoft Dynamics 365 Server (local) o una versión posterior.

    • SharePoint 2016 On-Premises.

    • Microsoft SharePoint 2013 On-Premises con Service Pack 1 (SP1) o una versión posterior con las siguientes actualizaciones.

      • Instale la actualización acumulativa (CU) de abril de 2019 para la familia de productos SharePoint 2013. Esta CU de abril de 2019 incluye todas las correcciones para SharePoint 2013 (incluidas todas las correcciones de seguridad de SharePoint 2013) lanzadas desde SP1. La CU de abril de 2019 no incluye SP1. Debe instalar SP1 antes de instalar la CU de abril de 2019.

        • KB4464512 – SharePoint Foundation 2013 abril 2019 CU

        • KB4464514 – SharePoint Server 2013 abril 2019 CU

        • KB4464513 – Project Server 2013 abril 2019 CU

  • Configuración de SharePoint

    • SharePoint solo se debe configurar para una implementación de granja única.

    • Para usar la asignación de autenticación basada en notificaciones predeterminada, el dominio de Active Directory donde se encuentran el servidor de SharePoint y el servidor de Dynamics 365 Server debe ser el mismo o el dominio donde se encuentra el servidor de SharePoint debe confiar en el dominio donde se encuentra Dynamics 365 Server. Más información: Acerca de la asignación de autenticación basada en notificaciones

    • El sitio web de SharePoint debe configurarse para usar TLS/SSL (HTTPS) y el certificado debe emitirlo una entidad de certificación raíz pública. Más información: SharePoint: Acerca de los certificados SSL de canal seguro

    • El proxy de aplicación del servicio de administración de aplicaciones debe crearse y iniciarse. Más información: Configurar un entorno para aplicaciones para SharePoint

    • Una aplicación de servicio del perfil de usuario debe estar configurada e iniciada. Más información: Crear, editar o eliminar aplicaciones de servicio del perfil de usuario en SharePoint Server 2013

    • Para el uso compartido de documentos, el servicio de búsqueda de SharePoint debe estar habilitado. Más información: Crear y configurar una aplicación de servicio de búsqueda en SharePoint Server

    • Para la funcionalidad de administración de documentos al usar las aplicaciones móviles de aplicaciones Microsoft Customer Engagement (on-premises), el servidor de SharePoint local debe estar disponible a través de Internet.

    • Para permitir a los usuarios la capacidad de crear las bibliotecas de documentos de SharePoint desde Customer Engagement (on-premises), se requieren los siguientes permisos y configuraciones:

      • La cuenta de Active Directory de usuario de Customer Engagement (on-premises) debe ser miembro del grupo de miembros del sitio en la colección de sitios de SharePoint donde se almacenan los documentos.

      • De forma predeterminada, la asignación de autenticación basada en notificaciones usará la dirección de correo electrónico de SharePoint del usuario de Customer Engagement (on-premises) y la dirección de correo electrónico de trabajo de SharePoint On-Premises local del usuario para asignar. Cuando se usa esta asignación, las direcciones de correo electrónico del usuario deben coincidir entre los dos sistemas. Más información: Configurar asignación de notificaciones del usuario mediante la dirección de correo electrónico de SharePoint

Otros requisitos previos y limitaciones

  • El certificado digital X509 que se usará para autenticación basada en servidor entre Dynamics 365 Server y el servidor de SharePoint. Las claves de certificado deben tener un mínimo de cifrado de 2048 bits. En la mayoría de los casos este certificado debe ser emitido por una entidad de certificación de confianza, pero con fines de evaluación puede usar un certificado autofirmado.

  • La identidad del grupo de aplicaciones CRMAppPool debe tener acceso de lectura al certificado x509 que se usará para la autenticación basada en servidor con Dynamics 365 Server y el servidor de SharePoint. Puede usar el complemento Certificates MMC para conceder este acceso.

  • Si usa Microsoft SharePoint 2013, para cada granja de SharePoint, solo se puede configurar una sola organización Customer Engagement (on-premises) para la integración basada en servidor. Sin embargo, puede conectar más de una organización de Customer Engagement (on-premises) a una granja de servidores de SharePoint 2016.

Preparar Dynamics 365 Server para la integración basada en servidor

El CertificateReconfiguration.ps1 es un script de Windows PowerShell que instala un certificado en el almacén de certificados local, concede a la identidad especificada de servicio de procesamiento asincrónico de Microsoft Dynamics 365 acceso al certificado y actualiza Dynamics 365 Server para que use el certificado.

Agregue el certificado de servidor a servidor al almacén local de certificados y la base de datos de configuración de Customer Engagement (on-premises)

  1. Abra una sesión de comandos de PowerShell en todos los servidores donde esté instalado el rol Servidor completo de Dynamics 365 Server.

Importante

Debe ejecutar el comando descrito aquí en todos los servidores en los que se esté ejecutando el rol Servidor de aplicaciones web.

  1. Cambie la ubicación a la carpeta <drive>:\Program Files\Microsoft Dynamics CRM\Tools.

  2. Ejecute el script de Windows PowerShell CertificateReconfiguration.ps1 como se explica aquí:

    • certificateFilepath\Personalcertfile.pfx . Parámetro requerido que especifica la ruta de acceso completa al archivo de intercambio de información personal (.pfx). Más información: Trabajar con certificados digitales

    • passwordpersonal‑certfile‑password. Parámetro requerido que especifica la contraseña del certificado privado.

    • certificateType S2STokenIssuer. Parámetro requerido que especifica el tipo de certificado. Para la integración basada en servidor de Customer Engagement (on-premises) y SharePoint, solo se admite S2STokenIssuer.

    • serviceAccountDomainName\UserName’ o ‘Network Service’.

    serviceAccount 'contoso\\CRMWebAppServer' or ‘Network Service’. Required parameter that specifies the identity for the Web Application Server role. The identity is either a domain user account, such as *contoso\\CRMWebAppServer*, or Network Service. The identity will be granted permission to the certificate.

    • updateCrm. Agrega la información del certificado a la base de datos de configuración de Microsoft Customer Engagement (on-premises).

      Importante

      Incluso si tiene implementados varios roles Servidor de aplicaciones web o Servicio asincrónico, solo debe ejecutar el comando con el parámetro updateCrm de una vez.

    • storeFindType FindBySubjectDistinguishedName. Especifica el tipo de almacén de certificados. De manera predeterminada, este valor es FindBySubjectDistinguishedName y se recomienda al ejecutar el script.

    Importante

    Aunque los parámetros updateCrm y StoreFindType son opcionales para ejecutar el comando, se requieren para la integración de SharePoint basada en servidor de modo que la información del certificado se agregue a la base de datos de certificación.

    Ejemplo

    .\CertificateReconfiguration.ps1 -certificateFile c:\Personalcertfile.pfx -password personal_certfile_password -updateCrm -certificateType S2STokenIssuer -serviceAccount Domain\UserName -storeFindType FindBySubjectDistinguishedName

Preparar la granja de SharePoint para la integración basada en servidor

Obtener el id. de dominio de Dynamics 365

  1. Inicie el asistente para Habilitar la integración de SharePoint basada en servidor. Vaya a Configuración>Administración de documentos.

  2. Seleccione Siguiente, On-Premises y, a continuación, Siguiente.

  3. El Id. se muestra junto a Id. de dominio de Dynamics 365 en la página.

    Propina

    Guarde el identificador de dominio de Dynamics 365 en un archivo de texto en un recurso compartido de red seguro o un almacenamiento en la nube. A continuación, puede recuperarlo fácilmente de la ubicación donde se ejecuta el asistente para Habilitar la autenticación de SharePoint basada en servidor.

En el servidor local SharePoint, en el Shell de administración de SharePoint, ejecute estos comandos de PowerShell en el orden indicado.

Preparar el servidor de SharePoint para la autenticación de Dynamics 365 Server

  1. Si está usando un shell de administración de PowerShell que no es el shell de administración de SharePoint, debe registrar el módulo de SharePoint con el siguiente comando.

    Add-PSSnapin Microsoft.SharePoint.PowerShell

    Habilite la sesión de PowerShell para realizar cambios en el servicio de token de seguridad para la granja de SharePoint.

    $c = Get-SPSecurityTokenServiceConfig
$c.AllowMetadataOverHttp = $true
$c.AllowOAuthOverHttp= $true
$c.Update()

  2. Cree el objeto de servicio de token de seguridad de confianza, donde Nombredeorganización es el nombre único de la organización de Customer Engagement (on-premises) y CrmServer es el nombre del servidor web de IIS donde el rol de servidor de aplicaciones web de Customer Engagement (on-premises) está instalado y -Name “crm” se usa para nombra el servidor de tokens de seguridad (STS).

    Importante

    • No se admite la conexión de más de una organización de Customer Engagement (on-premises) a una granja de servidores de Microsoft SharePoint 2013 única. Sin embargo, puede conectar más de una organización de Customer Engagement (on-premises) a una granja de servidores de SharePoint 2016.

    • Al ejecutar el comando New-SPTrustedSecurityTokenIssuer PowerShell, debe especificar HTTPS para el extremo de metadatos de Customer Engagement (on-premises) cuando el sitio web de Customer Engagement (on-premises) tiene solo enlaces HTTPS o HTTPS y HTTP, como en el siguiente ejemplo.

    New-SPTrustedSecurityTokenIssuer –Name "crm" –IsTrustBroker:$false –MetadataEndpoint https://CrmServer/XrmServices/2015/metadataendpoint.svc/json?orgName=OrganizationName

  3. Registre Customer Engagement (on-premises) con la colección de sitios de SharePoint.

    Para trabajar con los comandos siguientes, debe especificar dos parámetros:

    • La dirección URL de la colección de sitios de SharePoint local. En este ejemplo, https://sharepoint.contoso.com/sites/crm/ se usa para la URL de la colección de sitios.

    • CrmRealmId es el identificador de la organización de Customer Engagement (on-premises) que desea usar para administración de documentos con SharePoint. Más información: Obtener el identificador del dominio de Dynamics 365

    Importante

    Para completar estos comandos, debe existir y ejecutarse el proxy de aplicación del servicio de administración de aplicaciones de SharePoint. Para obtener más información acerca de cómo iniciar y configurar el servicio, consulte el tema Configuración de los valores de suscripciones y aplicaciones de servicio de administración de aplicaciones en Configurar un entorno para aplicaciones de SharePoint.

    $CrmRealmId = "CRMRealmId"
$Identifier  = "00000007-0000-0000-c000-000000000000@" + $CrmRealmId
$site = Get-SPSite "https://sharepoint.contoso.com/sites/crm/"
Register-SPAppPrincipal -site $site.RootWeb -NameIdentifier $Identifier -DisplayName "crm"

  4. Conceda a Customer Engagement (on-premises) acceso al sitio de SharePoint.

    Nota

    En el siguiente ejemplo, se concede permiso a Customer Engagement (on-premises)para la colección de sitios de SharePoint especificada mediante el parámetro –Scope sitecollection. El parámetro Scope acepta las siguientes opciones. Use el ámbito que sea más adecuado para la configuración de SharePoint:

    • site. Concede permiso a Customer Engagement (on-premises) al sitio web especificado de SharePoint solo. No concede permiso a ningún subsitio bajo el sitio con nombre.

    • sitecollection. Concede permiso a Customer Engagement (on-premises) a todos los sitios web y subsitios dentro de la colección de sitios de SharePoint especificada.

    • sitesubscription. Concede permiso a Customer Engagement (on-premises) a todos los sitios web de la granja de SharePoint, incluidas todas las colecciones de sitios, sitios web y subsitios.

    $app = Get-SPAppPrincipal -NameIdentifier $Identifier -Site $site.Rootweb
Set-SPAppPrincipalPermission -AppPrincipal $app -Site $site.Rootweb -Scope "sitecollection" -Right "FullControl" -EnableAppOnlyPolicy
#"Set up claims-based authentication mapping"
New-SPClaimTypeMapping -IncomingClaimType "https://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress" -IncomingClaimTypeDisplayName "EmailAddress" -SameAsIncoming

Ejecutar el asistente para Habilitar la integración de SharePoint basada en servidor

  1. En Customer Engagement (on-premises), vaya a Configuración>Administración de documentos.

  2. En el área Administración de documentos, seleccione Habilitar la integración de SharePoint basada en servidor.

  3. Revise la información y luego seleccione Siguiente.

  4. Para sitios de SharePoint, seleccione On-Premises y luego Siguiente.

  5. En la fase Preparar sitios, especifique la siguiente información:

    •  URL de colección de sitios de SharePoint On-Premises, como https://sharepoint.contoso.com/sites/crm. El sitio se debe configurar para TLS/SSL.

    • Id. de dominio de SharePoint. Obtenga el id. de dominio de SharePoint

  6. Seleccione Siguiente.

  7. Aparecerá la sección de validación de sitios. Si todos los sitios son válidos, seleccione Habilitar. Si uno o más sitios no son válidos, consulte Solución de problemas de la integración basada en servidor de Dynamics 365 Server (on-premises) con SharePoint Server On-Premises.

Seleccione las entidades que desea incluir en administración de documentos

De forma predeterminada, se incluyen las entidades Cuenta, Artículo, Cliente potencial, Producto, Oferta y Documentación de ventas. Puede agregar o quitar las entidades que se usarán para la administración de documentos con SharePoint en Configuración de administración de documentos en aplicaciones for Customer Engagement. Vaya a Configuración>Administración de documentos. Más información: Habilitar administración de documentos de SharePoint para entidades específicas.

Agregar integración de OneDrive para la Empresa

Tras completar la configuración de integración basada en servidor de Customer Engagement (on-premises) y SharePoint local, también puede integrar OneDrive para la Empresa. Con la integración de Customer Engagement (on-premises) OneDrive para la Empresa, los usuarios de Customer Engagement (on-premises) pueden crear y administrar documentos privados mediante OneDrive para la Empresa. Se puede acceder a estos documentos desde Customer Engagement (on-premises) una vez que el administrador del sistema habilite OneDrive para la Empresa.

Habilitar OneDrive para la Empresa

En el Windows Server donde se ejecuta SharePoint Server On-Premises, abra el shell de administración de SharePoint y ejecute los siguientes comandos.

Add-Pssnapin *
# Access WellKnown App principal
[Microsoft.SharePoint.Administration.SPWebService]::ContentService.WellKnownAppPrincipals
    
# Create WellKnown App principal
$ClientId = "00000007-0000-0000-c000-000000000000"
$PermissionXml = "<AppPermissionRequests AllowAppOnlyPolicy=""true""><AppPermissionRequest Scope=""https://sharepoint/content/tenant"" Right=""FullControl"" /><AppPermissionRequest Scope=""https://sharepoint/social/tenant"" Right=""Read"" /><AppPermissionRequest Scope=""https://sharepoint/search"" Right=""QueryAsUserIgnoreAppPrincipal"" /></AppPermissionRequests>"
    
$wellKnownApp= New-Object -TypeName "Microsoft.SharePoint.Administration.SPWellKnownAppPrincipal" -ArgumentList ($ClientId, $PermissionXml)
     
$wellKnownApp.Update()

Solución de problemas de Customer Engagement (on-premises) para la integración de SharePoint Server On-Premises para la integración basada en servidor

Para obtener información sobre cómo solucionar problemas del asistente para Habilitar la integración de SharePoint basada en servidor y ver registros de supervisión de SharePoint, consulte Solución de problemas de autenticación basada en servidor.

Problemas conocidos

Para la administración de documentación con la solución de problemas de SharePoint y problemas conocidos, consulte Solución de problemas de autenticación basada en servidor.

Acerca de la asignación de autenticación basada en notificaciones

Al utilizar la asignación de autenticación basada en notificaciones, el servidor de SharePoint y Dynamics 365 Server deben estar en el mismo dominio de Active Directory. No se admite a servidores que se encuentran en bosques o dominios de Active Directory diferentes. Del mismo modo, los usuarios que se encuentran en dominios externos a Dynamics 365 Server o SharePoint Server no tendrán acceso a los documentos.

De forma predeterminada, la autenticación basada en servidor entre Customer Engagement (on-premises) y SharePoint local usa el identificador de seguridad del usuario (SID) para autenticar a cada usuario. Si desea usar una asignación basada en notificaciones personalizada, como la dirección de correo electrónico del usuario, consulte Definir la asignación personalizada de notificación para la integración basada en servidor de SharePoint

Configurar asignación de notificaciones del usuario mediante la dirección de correo electrónico de SharePoint

  1. Abra el editor de formularios para personalizar el formulario del usuario. Para ello, vaya Configuración>Seguridad>Usuarios, y abra el registro de usuario que busca.

  2. En la barra de herramientas, seleccione ... y luego seleccione Editor de formularios.

    Abrir editor para formulario del usuario.

  3. Encuentre el campo Dirección de correo electrónico de SharePoint en el panel Explorador de campos y arrástrelo y suéltelo en la sección Información del usuario del formulario del usuario.

    Agregue un campo de dirección de correo electrónico de SharePoint en formulario del usuario.

  4. En la barra de herramientas del editor de formularios, seleccione Guardar y, después, seleccione Publicar.

  5. Cierre el editor de formularios y actualice la pestaña del explorador web para mostrar el campo recién agregado en el registro de usuario.

  6. En el campo Dirección de correo electrónico de SharePoint del registro de usuario, escriba la dirección de correo electrónico del usuario exactamente como aparece en SharePoint.

  7. Seleccione Guardar.

  8. Repita los dos pasos anteriores para todos los usuarios que necesiten la administración de documentos.

Trabajar con certificados digitales

El siguiente procedimiento crea un archivo de intercambio de información personal (.pfx).

  1. En un equipo que tenga acceso al certificado que desea usar para la autenticación de servidor a servidor, seleccione Inicio, seleccione Ejecutar, escriba MMC y presione Entrar.

  2. Seleccione Archivo y luego seleccione Agregar o quitar complemento.

  3. En la lista de complementos disponibles, seleccione Certificados, seleccione Agregar, seleccione Cuenta del equipo, seleccione Siguiente, seleccione Finalizar para seleccionar el equipo local y, a continuación, seleccione Aceptar.

  4. Expanda Certificados, expanda Personal y luego seleccione Certificados.

  5. Haga clic con el botón secundario en el certificado que desea usar para crear un archivo de certificado personal, elija Todas las tareas y luego seleccione Exportar.

  6. Seleccione Siguiente, seleccione para exportar la clave privada, asegúrese de que las siguientes opciones están activadas y después seleccione Siguiente.

    • Incluya todos los certificados en la ruta de certificación si es posible

    • Exportar todas las propiedades extendidas

  7. Seleccione Examinar y escriba una ubicación y un nombre de archivo para el archivo .pfx y, a continuación, seleccione Guardar.

  8. Seleccione Siguiente y luego seleccione Finalizar.

Obtenga el id. de dominio de SharePoint

Ejecute el siguiente comando de PowerShell en el Shell de administración de SharePoint, donde https://sharepoint.contoso.com/sites/crm/ es la dirección URL de la colección de sitios de SharePoint.

Get-SPAuthenticationRealm -ServiceContext https://sharepoint.contoso.com/sites/crm/

Como alternativa, puede encontrar el Id. de dominio de SharePoint en la configuración de permisos de la aplicación del sitio de la colección de sitios de SharePoint.

  1. Inicie sesión en la colección de sitios de SharePoint que usará para la administración de documentos con Customer Engagement (on-premises).

  2. Vaya a Configuración del sitio>Permisos de aplicación del sitio.

  3. El Id. de dominio se muestra Identificador de la aplicación, en la parte derecha del signo @. Cópielo al portapapeles. En el asistente para Habilitar la integración de SharePoint basada en servidor, pegue solo el GUID. No pegue en cualquier parte de identificador a la izquierda de @.