Condividi tramite

Configura l'autenticazione lato server con Customer Engagement (on-premises) e SharePoint locale

  • Articolo

Nota

Se hai abilitato la modalità solo Unified Interface, prima di utilizzare le procedure in questo articolo, procedi come segue:

  1. Seleziona Impostazioni (Icona a forma di ingranaggio.) sulla barra di navigazione.
  2. Seleziona Impostazioni avanzate.

    Impostazioni avanzate.

In questo argomento viene descritto come configurare l'integrazione basata su server tra Dynamics 365 Customer Engagement (on-premises) locale e Microsoft SharePoint locale.

Configurare l'integrazione basata su server con Customer Engagement (on-premises) e SharePoint

Esegui i passaggi nell'ordine indicato per configurare Customer Engagement (on-premises) con Microsoft SharePoint locale.

Importante

  • I comandi PowerShell devono essere eseguiti in modalità amministratore. Vedi: Come si avvia PowerShell?
  • Se un'attività non viene completata, ad esempio, se un comando di PowerShell restituisce un messaggio di errore, è necessario risolvere il problema prima di proseguire con il comando, l'attività o il passaggio successivo.
  • Una volta che l'integrazione basata su server SharePoint viene abilitata, non è possibile tornare al precedente metodo di autenticazione basato sul client. Pertanto, non è possibile utilizzare il componente Elenco di Microsoft Dynamics CRM dopo aver configurato l'organizzazione Customer Engagement (on-premises) per l'integrazione di SharePoint basata su server.

Verificare i prerequisiti

Prima di configurare Customer Engagement (on-premises) e SharePoint locale per l'integrazione basata su server, è necessario disporre delle seguenti autorizzazioni e aver soddisfatto i seguenti prerequisiti.

Autorizzazioni obbligatorie

Customer Engagement (on-premises)

  • Ruolo di sicurezza amministratore di sistema - Obbligatorio per eseguire la procedura guidata Abilita integrazione di SharePoint basata su server in Customer Engagement (on-premises).

  • Se utilizzi un certificato autofirmato a scopo di valutazione, devi appartenere al gruppo degli amministratori locali nel computer in cui è eseguito Dynamics 365 Server.

SharePoint locale

  • Appartenenza al gruppo di amministratori della farm - è necessaria per eseguire la maggior parte dei comandi di Windows PowerShell sul server SharePoint.

Prerequisiti di SharePoint

  • Una delle versioni di SharePoint seguenti:

    • Edizione di abbonamento al servizio di SharePoint.

    • SharePoint 2019 locale.

      Integrazione basata su server tra Dynamics 365 Customer Engagement (on-premises) e Microsoft SharePoint 2019 (locale) richiede l'aggiornamento 0.13 di Microsoft Dynamics 365 Server, v9.0 (locale) o versione successiva.

    • SharePoint 2016 locale.

    • Microsoft SharePoint 2013 locale con Service Pack 1 (SP1) o versione successiva con i seguenti aggiornamenti.

      • Installa l'aggiornamento cumulativo di aprile 2019 per la famiglia di prodotti SharePoint 2013. Questo aggiornamento cumulativo di aprile 2019 include tutte le correzioni di SharePoint 2013 (inclusi tutte le correzioni di sicurezza di SharePoint 2013) rilasciate dopo il SP1. L'aggiornamento cumulativo di aprile 2019 non include il SP1. È necessario installare il SP1 prima di installare l'aggiornamento cumulativo di aprile 2019.

        • KB4464512 – SharePoint Foundation 2013 aprile 2019 CU

        • KB4464514 – SharePoint Server 2013 aprile 2019 CU

        • KB4464513 – Project Server 2013 aprile 2019 CU

  • Configurazione di SharePoint

    • SharePoint deve essere configurato esclusivamente per una sola distribuzione di farm.

    • Per utilizzare il mapping predefinito per l'autenticazione basata sulle attestazioni, il dominio Active Directory in cui si trovano il server SharePoint e Dynamics 365 Server deve essere lo stesso oppure il dominio in cui si trova il server SharePoint deve considerare attendibile il dominio in cui si trova Dynamics 365 Server. Ulteriori informazioni: Mapping dell'autenticazione basata sulle attestazioni

    • Il sito Web di SharePoint deve essere configurato per l'utilizzo di TLS/SSL (HTTPS) e il certificato deve essere emesso da un'autorità di certificazione radice pubblica. Ulteriori informazioni: SharePoint: Informazioni sui certificati SSL di canale protetto

    • È necessario creare e avviare il proxy dell'applicazione del servizio di gestione dell'applicazione. Ulteriori informazioni: Configurare un ambiente per le app per SharePoint

    • È necessario configurare e avviare un'applicazione del servizio profili utente. Ulteriori informazioni: Creare, modificare o eliminare un'applicazione del servizio profili utente in SharePoint Server 2013

    • Per la condivisione dei documenti, il servizio di ricerca di SharePoint deve essere abilitato. Ulteriori informazioni: Creare e configurare un'applicazione servizio di ricerca in SharePoint Server

    • Per la funzionalità di gestione dei documenti quando si utilizzano le app per dispositivi mobili delle app Microsoft Customer Engagement (on-premises), il server di SharePoint locale deve essere disponibile tramite Internet.

    • Per consentire agli utenti la possibilità di creare raccolte documenti di SharePoint da Customer Engagement (on-premises), sono necessarie le autorizzazioni e le configurazioni indicate di seguito:

      • L'account Active Directory dell'utente Customer Engagement (on-premises) deve essere membro del gruppo dei membri del sito nella raccolta siti di SharePoint in cui i documenti sono archiviati.

      • Per impostazione predefinita, il mapping dell'autenticazione basata sulle attestazioni utilizza l'indirizzo e-mail di SharePoint dell'utente Customer Engagement (on-premises) e l'indirizzo e-mail di lavoro di SharePoint locale dell'utente per eseguire il mapping. Se viene utilizzato questo mapping, gli indirizzi e-mail dell'utente devono corrispondere nei due sistemi. Ulteriori informazioni: Configurare il mapping delle attestazioni dell'utente tramite l'indirizzo e-mail di SharePoint

Altri prerequisiti e limitazioni

  • Certificato digitale X509 da utilizzare per l'autenticazione basata su server tra Dynamics 365 Server e il server SharePoint. Le chiavi del certificato devono avere almeno la crittografia a 2048 bit. Nella maggior parte dei casi, tale certificato deve essere emesso da un'autorità di certificazione disponibile nell'elenco locale, ma a scopo di valutazione puoi utilizzare un certificato autofirmato.

  • L'identità del pool di applicazioni CRMAppPool deve disporre di accesso in lettura al certificato x509 che verrà utilizzato per l'autenticazione server con Dynamics 365 Server e il server SharePoint. È possibile utilizzare lo snap-in MMC Certificati per concedere questo accesso.

  • Se utilizzi Microsoft SharePoint 2013, per ogni farm di SharePoint è possibile configurare una sola organizzazione Customer Engagement (on-premises) per l'integrazione basata su server. Tuttavia, è possibile connettere a più organizzazioni Customer Engagement (on-premises) a una server farm di SharePoint 2016.

Preparare Dynamics 365 Server per l'integrazione basata su server

Il file CertificateReconfiguration.ps1 è uno script di Windows PowerShell che installa un certificato nell'archivio locale dei certificati, garantisce l'accesso dell'identità del Servizio elaborazione eventi asincroni di Microsoft Dynamics 365 specificata al certificato e aggiorna Dynamics 365 Server in modo che venga utilizzato il certificato.

Aggiungere il certificato tra server all'archivio certificati e al database di configurazione Customer Engagement (on-premises) locali

  1. Apri una sessione dei comandi PowerShell in tutti i server in cui è installato il ruolo Server completo di Dynamics 365 Server.

Importante

È necessario eseguire il comando descritto qui su tutti i server in cui il ruolo di server applicazioni Web è in esecuzione.

  1. Modifica la posizione nella cartella <unità>:\Programmi\Microsoft Dynamics CRM\Tools.

  2. Esegui lo script di Windows PowerShell CertificateReconfiguration.ps1 come descritto di seguito:

    • certificateFilepath\Personalcertfile.pfx . Parametro obbligatorio che specifica il percorso completo al file di scambio delle informazioni personali (.pfx). Ulteriori informazioni: Utilizzo dei certificati digitali

    • passwordpersonal_certfile_password. Parametro obbligatorio che specifica le password del certificato privato.

    • certificateType S2STokenIssuer. Parametro obbligatorio che specifica il tipo di certificato. Per l'integrazione basata su server di Customer Engagement (on-premises) e SharePoint, è supportato solo S2STokenIssuer.

    • serviceAccountDomainName\UserName’ o ‘Network Service’.

    serviceAccount 'contoso\\CRMWebAppServer' or ‘Network Service’. Required parameter that specifies the identity for the Web Application Server role. The identity is either a domain user account, such as *contoso\\CRMWebAppServer*, or Network Service. The identity will be granted permission to the certificate.

    • updateCrm. Aggiunge le informazioni del certificato al database di configurazione di Microsoft Customer Engagement (on-premises).

      Importante

      Anche se si dispone di vari ruoli Server applicazione Web o Servizio asincrono distribuiti, è necessario eseguire il comando con il parametro updateCrm una sola volta.

    • storeFindType FindBySubjectDistinguishedName. Specifica il tipo di archivio certificati. Per impostazione predefinita, questo valore è FindBySubjectDistinguishedName ed è consigliato durante l'esecuzione dello script.

    Importante

    Sebbene i parametri updateCrm e StoreFindType siano facoltativi per eseguire il comando, diventano obbligatori per l'integrazione di SharePoint basato su server in modo che le informazioni sul certificato vengano aggiunte al database di certificazione.

    Esempio

    .\CertificateReconfiguration.ps1 -certificateFile c:\Personalcertfile.pfx -password personal_certfile_password -updateCrm -certificateType S2STokenIssuer -serviceAccount Domain\UserName -storeFindType FindBySubjectDistinguishedName

Preparare il farm di SharePoint per l'integrazione basata su server

Ottenere l'ID area di autenticazione di Dynamics 365

  1. Avvia la procedura guidata Abilita integrazione di SharePoint basata su server. Vai a Impostazioni>Gestione dei documenti.

  2. Seleziona Avanti, Locale, quindi Avanti.

  3. Verrà visualizzato l'ID accanto a ID area di autenticazione Dynamics 365 nella pagina.

    Mancia

    Salva l'ID area di autenticazione Dynamics 365 in un file di testo in una condivisione di rete sicura o in uno spazio di archiviazione basato sul cloud. Successivamente, puoi recuperarlo facilmente dalla posizione quando esegui la procedura guidata Abilita integrazione di SharePoint basata su server.

Nel server di SharePoint locale, in SharePoint Management Shell, esegui questi comandi PowerShell nell'ordine indicato.

Preparare il server SharePoint per l'autenticazione di Dynamics 365 Server

  1. Se utilizzi una shell di gestione di PowerShell che non è SharePoint Management Shell, devi registrare il modulo SharePoint utilizzando il seguente comando.

    Add-PSSnapin Microsoft.SharePoint.PowerShell

    Abilitare la sessione PowerShell per apportare modifiche al servizio token di sicurezza per la farm di SharePoint.

    $c = Get-SPSecurityTokenServiceConfig
$c.AllowMetadataOverHttp = $true
$c.AllowOAuthOverHttp= $true
$c.Update()

  2. Crea l'oggetto servizio token di sicurezza attendibile, dove NomeOrganizzazione è il nome univoco dell'organizzazione Customer Engagement (on-premises), CrmServer è il nome del server Web IIS in cui è installato il ruolo di server applicazioni di Customer Engagement (on-premises) e -Name "crm" è utilizzato per denominare il server del token di sicurezza (STS).

    Importante

    • La connessione di più organizzazioni Customer Engagement (on-premises) a un'unica server farm Microsoft SharePoint 2013 non è supportata. Tuttavia, è possibile connettere a più organizzazioni Customer Engagement (on-premises) a una server farm di SharePoint 2016.

    • Quando esegui il comando di PowerShell New-SPTrustedSecurityTokenIssuer devi specificare HTTPS per l'endpoint dei metadati di Customer Engagement (on-premises) quando il sito Web dell'applicazione Customer Engagement (on-premises) dispone solo di HTTPS o entrambi i binding HTTPS e HTTP, come in questo esempio.

    New-SPTrustedSecurityTokenIssuer –Name "crm" –IsTrustBroker:$false –MetadataEndpoint https://CrmServer/XrmServices/2015/metadataendpoint.svc/json?orgName=OrganizationName

  3. Registrare Customer Engagement (on-premises) nella raccolta siti SharePoint.

    Per eseguire i seguenti comandi, devi specificare i due parametri seguenti:

    • L'URL della raccolta siti di SharePoint locale. Nell'esempio seguente, https://sharepoint.contoso.com/sites/crm/ viene utilizzato per l'URL della raccolta siti.

    • CrmRealmId è l'ID dell'organizzazione Customer Engagement (on-premises) che si desidera utilizzare per la gestione dei documenti con SharePoint. Ulteriori informazioni: Ottenere l'ID area di autenticazione di Dynamics 365

    Importante

    Per completare questi comandi, è necessario che sia presente e operativo il proxy dell'applicazione del servizio di gestione dell'applicazione SharePoint. Per ulteriori informazioni su come avviare e configurare il servizio, vedi l'argomento Configurare le applicazioni del servizio di gestione delle applicazioni e le impostazioni della sottoscrizione in Configurare un ambiente per le app per SharePoint.

    $CrmRealmId = "CRMRealmId"
$Identifier  = "00000007-0000-0000-c000-000000000000@" + $CrmRealmId
$site = Get-SPSite "https://sharepoint.contoso.com/sites/crm/"
Register-SPAppPrincipal -site $site.RootWeb -NameIdentifier $Identifier -DisplayName "crm"

  4. Concedere a Customer Engagement (on-premises) l'accesso al sito di SharePoint.

    Nota

    Nell'esempio seguente, a Customer Engagement (on-premises) è concessa l'autorizzazione alla raccolta siti di SharePoint specificata utilizzando il parametro –Scope sitecollection. Il parametro Scope accetta le seguenti opzioni. Utilizza l'ambito più appropriato alla configurazione di SharePoint:

    • site. Concede l'autorizzazione Customer Engagement (on-premises) solo al sito Web SharePoint specificato. Non concede le autorizzazioni ai siti secondari nel sito denominato.

    • sitecollection. Concede l'autorizzazione Customer Engagement (on-premises) a tutti i siti Web e ai siti secondari nella raccolta siti SharePoint specificata.

    • sitesubscription. Concede l'autorizzazione Customer Engagement (on-premises) a tutti i siti Web nel farm SharePoint incluse tutte le raccolte di siti, i siti Web e i siti secondari.

    $app = Get-SPAppPrincipal -NameIdentifier $Identifier -Site $site.Rootweb
Set-SPAppPrincipalPermission -AppPrincipal $app -Site $site.Rootweb -Scope "sitecollection" -Right "FullControl" -EnableAppOnlyPolicy
#"Set up claims-based authentication mapping"
New-SPClaimTypeMapping -IncomingClaimType "https://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress" -IncomingClaimTypeDisplayName "EmailAddress" -SameAsIncoming

Eseguire la procedura guidata Abilita integrazione di SharePoint basata su server

  1. In Customer Engagement (on-premises) passa a Impostazioni> Gestione dei documenti.

  2. Nell'area Gestione dei documenti, seleziona Abilita integrazione di SharePoint basata su server.

  3. Esamina le informazioni e quindi seleziona Avanti.

  4. Per i siti di SharePoint, seleziona Locale e quindi Avanti.

  5. Nella fase Prepara siti immetti le seguenti informazioni:

    •  L'URL della raccolta siti SharePoint locale, ad esempio https://sharepoint.contoso.com/sites/crm. Il sito deve essere configurato per TLS/SSL.

    • ID area di autenticazione di SharePoint. Ottenere l'ID area di autenticazione di SharePoint

  6. Seleziona Avanti.

  7. La sezione di convalida siti viene visualizzata. Se tutti i siti sono validi, seleziona Abilita. Se uno o più siti non sono validi, vedi Risoluzione dei problemi dell'integrazione basata su server da Dynamics 365 Server a SharePoint Server locale.

Selezionare le entità da includere nella gestione dei documenti

Per impostazione predefinita, sono incluse le entità account, articolo, lead, prodotto, offerta e documentazione di vendita. È possibile aggiungere o rimuovere le entità da utilizzare per la gestione dei documenti con SharePoint in Impostazioni gestione dei documenti per le app Customer Engagement. Vai a Impostazioni>Gestione dei documenti. Ulteriori informazioni: Abilitare la gestione dei documenti di SharePoint per entità specifiche

Aggiungere l'integrazione OneDrive for Business

Una volta completata la configurazione dell'integrazione basata su server di Customer Engagement (on-premises) e SharePoint locale, puoi integrare anche OneDrive for Business. Con l'integrazione di Customer Engagement (on-premises) e OneDrive for Business, gli utenti di Customer Engagement (on-premises) possono creare e gestire documenti privati utilizzando OneDrive for Business. È possibile accedere a questi documenti in Customer Engagement (on-premises) dopo che l'amministratore di sistema ha abilitato OneDrive for Business.

Abilitare OneDrive for Business

Nel Windows Server in cui è in esecuzione SharePoint Server locale, apri SharePoint Management Shell ed esegui i seguenti comandi.

Add-Pssnapin *
# Access WellKnown App principal
[Microsoft.SharePoint.Administration.SPWebService]::ContentService.WellKnownAppPrincipals
    
# Create WellKnown App principal
$ClientId = "00000007-0000-0000-c000-000000000000"
$PermissionXml = "<AppPermissionRequests AllowAppOnlyPolicy=""true""><AppPermissionRequest Scope=""https://sharepoint/content/tenant"" Right=""FullControl"" /><AppPermissionRequest Scope=""https://sharepoint/social/tenant"" Right=""Read"" /><AppPermissionRequest Scope=""https://sharepoint/search"" Right=""QueryAsUserIgnoreAppPrincipal"" /></AppPermissionRequests>"
    
$wellKnownApp= New-Object -TypeName "Microsoft.SharePoint.Administration.SPWellKnownAppPrincipal" -ArgumentList ($ClientId, $PermissionXml)
     
$wellKnownApp.Update()

Risoluzione dei problemi relativi all'integrazione basata su server di Customer Engagement (on-premises) in SharePoint Server locale

Per informazioni su come risolvere i problemi relativi alla procedura guidata Abilita integrazione di SharePoint basata su server e su come visualizzare i registri di monitoraggio di SharePoint, vedi Risoluzione dei problemi dell‘autenticazione basata su server.

Problemi noti

Per la risoluzione dei problemi e i problemi noti della gestione dei documenti con SharePoint, vedi Risoluzione dei problemi dell‘autenticazione basata su server.

Mapping dell'autenticazione basata sulle attestazioni

Quando utilizzi il mapping di autenticazione basata sulle attestazioni, il dominio di Active Directory in cui si trovano il server SharePoint e Dynamics 365 Server deve essere lo stesso. I server che si trovano in foreste o domini di Active Directory diversi non sono supportati. Allo stesso modo, gli utenti che si trovano in domini esterni a Dynamics 365 Server o al server di SharePoint non avranno accesso ai documenti.

Per impostazione predefinita, l'autenticazione basata su server tra Customer Engagement (on-premises) e SharePoint locali utilizza l'ID di sicurezza (SID) utente per autenticare ogni utente. Se si desidera utilizzare un mapping personalizzato di autenticazione basata sulle attestazioni, ad esempio l'indirizzo di posta elettronica dell'utente, vedi Definire il mapping attestazioni personalizzato per l'integrazione di SharePoint basata su server

Configurare il mapping delle attestazioni dell'utente tramite l'indirizzo e-mail di SharePoint

  1. Apri l'editor di moduli per personalizzare il modulo utente. A tale scopo, vai a Impostazioni>Impostazioni>Utenti, quindi apri il record utente richiesto.

  2. Nella barra degli strumenti seleziona , quindi Editor di moduli.

    Editor aperto per modulo utente.

  3. Individua il campo Indirizzo e-mail di SharePoint nel riquadro Esplora campi e trascinalo sulla sezione Informazioni utente del modulo utente.

    Campo Aggiungi indirizzo e-mail di SharePoint sul modulo utente.

  4. Nella barra degli strumenti dell'editor di moduli, seleziona Salva, quindi seleziona Pubblica.

  5. Chiudi l'editor di moduli e aggiorna la scheda del Web browser per visualizzare il campo aggiunto di recente nel record utente.

  6. Nel campo Indirizzo e-mail di SharePoint del record utente, immetti l'indirizzo e-mail dell'utente esattamente come è visualizzato in SharePoint.

  7. Seleziona Salva.

  8. Ripeti i due passaggi precedenti per tutti gli utenti che avranno bisogno della gestione dei documenti.

Utilizzo dei certificati digitali

Nella procedura seguente viene creato un file di scambio delle informazioni personali (.pfx).

  1. In un computer con accesso al certificato che desideri utilizzare per l'autenticazione tra server, seleziona Start, Esegui, digita MMC, quindi premi INVIO.

  2. Seleziona File, quindi Aggiungi/Rimuovi snap-in.

  3. Nell'elenco degli snap-in disponibili, seleziona Certificati, Aggiungi, Account del computer, Avanti, Fine per selezionare il computer locale, quindi seleziona OK.

  4. Espandi Certificati, Personale, quindi seleziona Certificati.

  5. Fai clic con il pulsante destro del mouse sul certificato che desideri utilizzare per creare un file di certificato personale, punta a Tutte le attività, quindi seleziona Esporta.

  6. Seleziona Avanti, per esportare la chiave privata, assicurati che le seguenti opzioni siano selezionate, quindi seleziona Avanti.

    • Includi tutti i certificati nel percorso di certificazione se possibile

    • Esporta tutte le proprietà estese

  7. Seleziona Sfoglia e immetti il percorso e il nome file del file pfx, quindi seleziona Salva.

  8. Seleziona Avanti, quindi Fine.

Ottenere l'ID area di autenticazione di SharePoint

Esegui il seguente comando di PowerShell in SharePoint Management Shell, dove https://sharepoint.contoso.com/sites/crm/ è l'URL della raccolta siti SharePoint.

Get-SPAuthenticationRealm -ServiceContext https://sharepoint.contoso.com/sites/crm/

In alternativa, puoi cercare l'ID area di autenticazione SharePoint nelle impostazioni relative alle autorizzazioni dell'app del sito della raccolta siti di SharePoint.

  1. Accedi alla raccolta di siti di SharePoint che utilizzerai per la gestione dei documenti con Customer Engagement (on-premises).

  2. Vai a Impostazioni sito>Autorizzazioni app sito.

  3. L'ID area di autenticazione viene visualizzato in Identificatore app, a destra del segno @. Copialo negli Appunti. Nella procedura guidata Abilita integrazione di SharePoint basata su server, incolla solo il GUID. Non incollare alcuna parte dell'identificatore a sinistra del segno @.