Configurare l'autenticazione basata su server con Dynamics CRM Online e SharePoint locale

 

Data di pubblicazione: novembre 2016

Si applica a: Dynamics CRM 2015

Introdotta con Aggiornamento 1 di Microsoft Dynamics CRM Online 2015, l'integrazione basata su server di Microsoft SharePoint per la gestione dei documenti può ora essere utilizzata per connettere Microsoft Dynamics CRM Online a SharePoint locale. Quando viene usata l'autenticazione basata su server, si utilizza Servizio di controllo di accesso (ACS) di Azure Active Directory quando il Service Broker e gli utenti non devono accedere a SharePoint. Inoltre, il controllo elenco, che richiede la funzionalità sandbox di SharePoint deprecata, non è necessario per visualizzare i documenti di SharePoint nelle visualizzazioni Microsoft Dynamics 365.

Autorizzazioni obbligatorie

Office 365

• Appartenenza degli amministratori globali di Office 365. Obbligatoria per l'accesso a livello amministrativo all'abbonamento di Microsoft Office 365 e per l'esecuzione dei cmdlet di Microsoft AzurePowerShell.

Microsoft Dynamics CRM Online

• Privilegio Esegui l'Integrazione guidata SharePoint. Obbligatorio per l'esecuzione della procedura guidata per l'abilitazione dell'autenticazione basata su server in Microsoft Dynamics 365.

  Il ruolo di sicurezza Amministratore di sistema dispone di questa autorizzazione per impostazione predefinita.

SharePoint locale

• Appartenenza al gruppo di amministratori della farm. Obbligatoria per eseguire la maggior parte dei comandi PowerShell nel server SharePoint.

Configurare l'autenticazione da server a server con CRM Online e SharePoint locale

Eseguire i passaggi nell'ordine indicato per configurare CRM Online con SharePoint 2013 locale.

Importante

I passaggi riportati di seguito devono essere completati nell'ordine indicato. Se un'attività non viene completata, ad esempio un comando di PowerShell che restituisce un messaggio di errore, è necessario risolvere il problema prima di continuare al comando, all'attività oppure al passaggio successivo.

Verificare i prerequisiti

Prima di configurare Microsoft Dynamics CRM Online e SharePoint locale per l'autenticazione basata su server, i prerequisiti seguenti devono essere soddisfatti.

Prerequisiti di SharePoint

• Microsoft SharePoint 2013 (locale) con Service Pack 1 (SP1) o versione successiva

  Importante

  Le versioni di Microsoft SharePoint Foundation 2013 non sono supportate per l'utilizzo con la gestione dei documenti di Microsoft Dynamics 365.

• Aggiornamento rapido KB2883081 per SharePoint Foundation 2013, 12 agosto 2014 (Sts-x-none.msp)

  Importante

  Gli aggiornamenti seguenti sono prerequisiti a KB2883081 e possono essere richiesti.
  

  • https://support2.microsoft.com/kb/2768000

  • https://support.microsoft.com/kb/2767999/it-it/

  • https://support.microsoft.com/kb/2880963/it-it/

• Configurazione del SharePoint

  • SharePoint deve essere configurato esclusivamente per una sola distribuzione di farm.

  • Il sito Web di SharePoint deve essere accessibile tramite Internet. Il proxy inverso può essere richiesto per l'autenticazione di SharePoint. Ulteriori informazioni: Configurare un dispositivo proxy inverso per SharePoint Server 2013 ibrido

  • Il sito Web di SharePoint deve essere configurato per l'utilizzo di SSL (HTTPS) e il certificato deve essere emesso da un'autorità di certificazione radice pubblica.Ulteriori informazioni:SharePoint: Informazioni sui certificati SSL di canale protetto

  • Proprietà utente affidabile da utilizzare per il mapping dell'autenticazione basata sulle attestazioni tra SharePoint e Microsoft Dynamics 365.Ulteriori informazioni:Selezione di un tipo di mapping dell'autenticazione basata sulle attestazioni

Altri prerequisiti

• Licenza SharePoint Online. L'autenticazione basata sul server di Microsoft Dynamics CRM Online a SharePoint locale deve avere il nome dell'entità servizio SharePoint registrato in Azure Active Directory. Per questo motivo, è necessaria almeno una licenza utente SharePoint Online. La licenza SharePoint Online può derivare da una singola licenza utente e in genere deriva da:

  • Una sottoscrizione SharePoint Online. Qualsiasi piano di SharePoint Online è sufficiente anche se la licenza non è assegnata a un utente.

  • Una sottoscrizione di Office 365 che include SharePoint Online. Ad esempio, se si utilizza Office 365 E3, disponi delle licenze appropriate anche se la licenza non è assegnata a un utente.

  Per ulteriori informazioni sui piani, vedere Office 365: Selezionare un piano e Confrontare le opzioni di SharePoint

• Le seguenti funzionalità software sono richieste per eseguire i cmdlet PowerShell descritti in questo argomento.

  • Assistente per l'accesso ai Microsoft Online Services per professionisti IT Beta

  • Modulo Azure Active Directory per Windows PowerShell (versione a 64 bit)

  Importante

  Al momento della stesura del presente documento, esiste un problema con la versione RTW dell'assistente per l'accesso ai Microsoft Online Services per professionisti IT. Finché il problema non viene risolto è consigliabile utilizzare la versione Beta.Ulteriori informazioni:Forum di Microsoft Azure: Impossibile installare il modulo Azure Active Directory per Windows PowerShell. MOSSIA non è installato.

• Tipo di mapping appropriato per l'autenticazione basata sulle attestazioni da utilizzare per il mapping delle identità tra Microsoft Dynamics CRM Online e SharePoint locale. Per impostazione predefinita, viene utilizzato l'indirizzo e-mail.Ulteriori informazioni:Concedere le autorizzazioni di Microsoft Dynamics CRM per accedere a SharePoint e configurare il mapping dell'autenticazione basata sulle attestazioni

Aggiornare l'entità servizio SharePoint Server in ACS

Nel server SharePoint locale, in SharePoint 2013 Management Shell, eseguire i comandi PowerShell nell'ordine indicato.

1. Preparare la sessione PowerShell.

   I cmdlet seguenti consentono al computer di ricevere i comandi remoti e aggiungere i moduli di Office 365 alla sessione PowerShell. Per ulteriori informazioni sui cmdlet, vedere Cmdlet principali di Windows PowerShell.

   Enable-PSRemoting -force
   New-PSSession
   Import-Module MSOnline -force
   Import-Module MSOnlineExtended -force
   

2. Connettersi a Office 365.

   Durante l'esecuzione del comando Connect-MsolService, è necessario fornire un Account Microsoft valido che dispone dell'appartenenza Amministratore globale di Office 365 per la licenza di SharePoint Online necessaria.

   Per informazioni dettagliate su ciascuno dei comandi Azure Active DirectoryPowerShell disponibili qui, vedere MSDN: Gestire Azure AD tramite Windows PowerShell.

   $msolcred = get-credential
   connect-msolservice -credential $msolcred
   

3. Impostare il nome host di SharePoint.

   Il valore da impostare per la variabile HostName deve essere il nome host completo della raccolta siti di SharePoint. Il nome host deve essere derivato dall'URL della raccolta siti e rispetta la differenza tra minuscole e maiuscole. In questo esempio, l'URL della raccolta siti è https://SharePoint.constoso.com/sites/salesteam, pertanto il nome host è SharePoint.contoso.com.

   $HostName = "SharePoint.contoso.com"
   

4. Ottenere l'ID (tenant) dell'oggetto di Office 365 e il nome dell'entità servizio (SPN, Service Principal Name) di SharePoint Server.

   $SPOAppId = "00000003-0000-0ff1-ce00-000000000000"
   $SPOContextId = (Get-MsolCompanyInformation).ObjectID
   $SharePoint = Get-MsolServicePrincipal -AppPrincipalId $SPOAppId
   $ServicePrincipalName = $SharePoint.ServicePrincipalNames
   

5. Impostare il nome dell'entità servizio di SharePoint Server in ACS.

   $ServicePrincipalName.Add("$SPOAppId/$HostName") 
   Set-MsolServicePrincipal -AppPrincipalId $SPOAppId -ServicePrincipalNames $ServicePrincipalName 
   

Una volta completati i comandi non chiudere SharePoint 2013 Management Shell e continuare con il passaggio successivo.

Aggiornare l'area di autenticazione di SharePoint per corrispondere quella di SharePoint Online

Nel server SharePoint locale, in SharePoint 2013 Management Shell, eseguire questo comando Windows PowerShell.

Il seguente comando richiede l'appartenenza di amministratore di farm di SharePoint e imposta l'area di autenticazione della farm di SharePoint locale.

Attenzione

L'esecuzione del comando modifica l'area di autenticazione della farm di SharePoint locale. Per le applicazioni che utilizzano un servizio token di sicurezza (STS, Security Token Service) esistente, è possibile che si verifichi un comportamento imprevisto con altre applicazioni che utilizzano i token di accesso. Ulteriori informazioni: Set-SPAuthenticationRealm.

Set-SPAuthenticationRealm -Realm $SPOContextId

Creare un'autorità emittente di token di sicurezza attendibile per ACS in SharePoint

Nel server SharePoint locale, in SharePoint 2013 Management Shell, eseguire i comandi PowerShell nell'ordine indicato.

I comandi seguenti richiedono l'appartenenza amministratore di farm di SharePoint.

Per informazioni dettagliate sui comandi PowerShell, vedere Utilizzare i cmdlet Windows PowerShell per amministrare la sicurezza in SharePoint 2013.

1. Abilitare la sessione PowerShell per apportare modifiche al servizio token di sicurezza per la farm di SharePoint.

   $c = Get-SPSecurityTokenServiceConfig
   $c.AllowMetadataOverHttp = $true
   $c.AllowOAuthOverHttp= $true
   $c.Update()
   

2. Impostare l'endpoint dei metadati.

   $metadataEndpoint = "https://accounts.accesscontrol.windows.net/" + $SPOContextId + "/metadata/json/1"
   $acsissuer = "00000001-0000-0000-c000-000000000000@" + $SPOContextId
   $issuer = "00000007-0000-0000-c000-000000000000@" + $SPOContextId
   

3. Creare il nuovo proxy dell'applicazione del servizio di controllo proxy in ACS.

   New-SPAzureAccessControlServiceApplicationProxy -Name "ACSInternal" -MetadataServiceEndpointUri $metadataEndpoint -DefaultProxyGroup
   

   Nota

   Il comando New- SPAzureAccessControlServiceApplicationProxy può restituire un messaggio di errore che indica che il proxy dell'applicazione ACS con lo stesso nome esiste già. Se il proxy dell'applicazione ACS denominato esiste già, è possibile ignorare l'errore.

4. Creare la nuova autorità emittente del servizio di controllo token in SharePoint locale per ACS

   $acs = New-SPTrustedSecurityTokenIssuer –Name "ACSInternal" –IsTrustBroker:$true –MetadataEndpoint $metadataEndpoint -RegisteredIssuerName $acsissuer 
   

Concedere le autorizzazioni di Microsoft Dynamics CRM per accedere a SharePoint e configurare il mapping dell'autenticazione basata sulle attestazioni

Nel server SharePoint locale, in SharePoint 2013 Management Shell, eseguire i comandi PowerShell nell'ordine indicato.

I comandi seguenti richiedono l'appartenenza amministratore della raccolta siti SharePoint.

1. Registrare Microsoft Dynamics 365 nella raccolta siti SharePoint.

   Immettere l'URL della raccolta siti SharePoint locale. In questo esempio si utilizza https://sharepoint.contoso.com/sites/crm/.

   Importante

   Per eseguire questo comando, il proxy dell'applicazione del servizio di gestione dell'applicazione di SharePoint deve esistere ed essere in esecuzione. Per ulteriori informazioni su come avviare e configurare il servizio, vedere l'argomento secondario Configurare le applicazioni del servizio di gestione delle applicazioni e le impostazioni della sottoscrizione in Configurare un ambiente per le applicazioni per SharePoint (SharePoint 2013).

   $site = Get-SPSite "https://sharepoint.contoso.com/sites/crm/"
   Register-SPAppPrincipal -site $site.RootWeb -NameIdentifier $issuer -DisplayName "crm"
   

2. Concedere all'applicazione Microsoft Dynamics 365 l'accesso al sito di SharePoint. Sostituire https://sharepoint.contoso.com/sites/crm/ con un URL del sito di SharePoint.

   Nota

   Nell'esempio seguente, all'applicazione Dynamics 365 è concessa l'autorizzazione alla raccolta siti di SharePoint specificata utilizzando il parametro –Scope site collection. Il parametro Scope accetta le seguenti opzioni. Selezionare l'ambito più appropriato alla configurazione di SharePoint.

   • site. Concede l'autorizzazione dell'applicazione Dynamics 365 solo al sito Web SharePoint specificato. Non concede le autorizzazioni ai siti secondari nel sito denominato.

   • sitecollection. Concede l'autorizzazione dell'applicazione Dynamics 365 ai tutti i siti Web e ai siti secondari nella raccolta siti SharePoint specificata.

   • sitesubscription. Concede l'autorizzazione dell'applicazione Dynamics 365 a tutti i siti Web nel farm SharePoint incluse tutte le raccolte di siti, i siti Web e i siti secondari.

   $app = Get-SPAppPrincipal -NameIdentifier $issuer -Site "https://sharepoint.contoso.com/sites/crm/"
   Set-SPAppPrincipalPermission -AppPrincipal $app -Site $site.Rootweb -Scope "sitecollection" -Right "FullControl"
   

3. Impostare il tipo di mapping dell'autenticazione basata sulle attestazioni.

   Importante

   Per impostazione predefinita, il mapping dell'autenticazione basata sulle attestazioni utilizza l'indirizzo e-mail di Account Microsoft dell'utente e l'indirizzo E-mail di lavoro di SharePoint locale dell'utente per eseguire il mapping. Se questo metodo viene utilizzato, gli indirizzi e-mail dell'utente devono corrispondere nei due sistemi. Per ulteriori informazioni, vedere Selezione di un tipo di mapping dell'autenticazione basata sulle attestazioni.

   $map1 = New-SPClaimTypeMapping -IncomingClaimType "https://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress" -IncomingClaimTypeDisplayName "EmailAddress" -SameAsIncoming
   

Eseguire la procedura guidata Abilita integrazione di SharePoint basata su server

Nell'applicazione Microsoft Dynamics 365, eseguire la procedura seguente.

1. Passa a Impostazioni > Gestione dei documenti.

2. Nell'area Gestione dei documenti, scegliere Abilita integrazione con SharePoint basata su server.

3. Esaminare le informazioni e quindi scegliere Avanti.

4. Per i siti di SharePoint, selezionare Locale e quindi scegliere Avanti.

5. Immettere l'URL della raccolta siti di SharePoint locale, ad esempio https://sharepoint.contoso.com/sites/crm. Il sito deve essere configurato per SSL.

6. Scegliere Avanti.

7. La sezione di convalida siti viene visualizzata. Se tutti i siti vengono ritenuti validi, scegliere Abilita. Se uno o più siti non vengono ritenuti validi, vedere Risoluzione dei problemi dell'autenticazione basata su server.

Selezionare le entità da includere nella gestione dei documenti

Per impostazione predefinita, sono incluse le entità account, articolo, lead, prodotto, offerta e documentazione di vendita. È possibile aggiungere o rimuovere le entità da utilizzare per la gestione dei documenti con SharePoint in Impostazioni gestione dei documenti in Microsoft Dynamics 365.Passa a Impostazioni > Gestione dei documenti.Ulteriori informazioni:Centro clienti: Abilitare la gestione dei documenti per le entità

Selezione di un tipo di mapping dell'autenticazione basata sulle attestazioni

Per impostazione predefinita, il mapping dell'autenticazione basata sulle attestazioni utilizza l'indirizzo e-mail di Account Microsoft dell'utente e l'indirizzo e-mail di lavoro di SharePoint locale dell'utente per eseguire il mapping. Si noti che, qualsiasi sia il tipo di autenticazione basata sulle attestazioni utilizzato, i valori, ad esempio gli indirizzi e-mail, devono corrispondere tra Microsoft Dynamics CRM Online e SharePoint. La sincronizzazione delle directory di Office 365 può facilitare le operazioni.Ulteriori informazioni:Distribuire la sincronizzazione delle directory (DirSync) di Office 365 in Microsoft Azure Per utilizzare un diverso tipo di mapping dell'autenticazione basata sulle attestazioni, vedere MSDN: Definire un mapping delle attestazioni personalizzato per l'integrazione di SharePoint basata su server.

Importante

Per abilitare la proprietà dell'e-mail di lavoro, SharePoint locale deve disporre di un'applicazione del servizio di profilo utente configurata e avviata. Per abilitare l'applicazione del servizio del profilo utente in SharePoint, vedere Creare, modificare o eliminare le applicazioni del servizio del profilo utente in SharePoint Server 2013. Per modificare una proprietà dell'utente, ad esempio l'e-mail di lavoro, vedere Modificare una proprietà del profilo utente. Per ulteriori informazioni sull'applicazione del profilo utente, vedere Panoramica dell'applicazione del servizio del profilo utente in SharePoint Server 2013.

Vedere anche

Risoluzione dei problemi dell'autenticazione basata su server
Configurare l'integrazione di SharePoint con Microsoft Dynamics CRM

© 2016 Microsoft Corporation. Tutti i diritti sono riservati. Copyright