Konfigurere serverbasert godkjenning med Dynamics 365 Online og lokal versjon av SharePoint

 

Publisert: februar 2017

Gjelder: Dynamics 365 (online), Dynamics 365 (on-premises), Dynamics CRM 2016, Dynamics CRM Online

Serverbasert Microsoft SharePoint-integrering for dokumentbehandling ble introdusert i Microsoft Dynamics CRM Online 2015 Update 1, og kan brukes for å koble til Microsoft Dynamics 365 (Online) med lokal versjon av SharePoint. Når du bruker serverbasert godkjenning, brukes Azure AD Domain Services som klareringsmegler, og brukere trenger ikke å logge på SharePoint.

I dette emnet

Tillatelser som kreves

Konfigurere server-til-server-godkjenning med Dynamics 365 (online) og lokal versjon av SharePoint

Legge til OneDrive for Business-integrering

Velge tilordningstype for kravbasert autentisering

Tillatelser som kreves

Office 365

• Medlemskap for global administrator for Office 365 – dette er nødvendig for administrativ tilgang for Microsoft Office 365-abonnementene og kjøring av Microsoft AzurePowerShell-cmdleter.

Microsoft Dynamics 365 (Online)

• Rettigheten Kjør veiviseren for SharePoint-integrering. Dette er nødvendig for å kjøre veiviseren Aktiver serverbasert SharePoint-integrering i Microsoft Dynamics 365.

  Sikkerhetsrollen Systemansvarlig har denne tillatelsen som standard.

SharePoint (lokal)

• Medlemskap i gruppen for farmadministratorer – dette er nødvendig for å kjøre de fleste av PowerShell-kommandoene på SharePoint-serveren.

Konfigurere server-til-server-godkjenning med Dynamics 365 (online) og lokal versjon av SharePoint

Følg fremgangsmåten i angitt rekkefølge for å konfigurere Dynamics 365 (Online) med lokal versjon av SharePoint 2013.

Viktig

• Fremgangsmåten som er beskrevet her, må fullføres i den angitte rekkefølgen. Hvis en aktivitet ikke fullføres, for eksempel en PowerShell-kommando som returnerer en feilmelding, må problemet løses før du fortsetter til neste kommando, oppgave eller trinn.

• Når du har aktivert serverbasert SharePoint-integrering, kan du gå tilbake til den tidligere klientbaserte godkjenningsmetoden. Derfor kan du ikke bruke Listekomponent for Microsoft Dynamics CRM når du har konfigurert din Dynamics 365-organisasjon for serverbasert SharePoint-integrasjon.

Kontrollere forhåndskrav

Før du konfigurerer Microsoft Dynamics 365 (Online) og lokal versjon av SharePoint for serverbasert godkjenning, må følgende forhåndskrav være oppfylt:

Forhåndskrav for SharePoint

• Microsoft SharePoint 2013 (lokal) med Service Pack 1 (SP1) eller nyere versjon

  Viktig

  Microsoft SharePoint Foundation 2013-versjoner støttes ikke for bruk med Microsoft Dynamics 365-dokumentbehandling.

• Hurtigreparasjon KB2883081 for SharePoint Foundation 2013 August 12, 2014 (Sts-x-none.msp)

  Viktig

  Følgende oppdateringer er forhåndskrav for KB2883081 og kan også være nødvendig.

  • https://support2.microsoft.com/kb/2768000

  • https://support.microsoft.com/kb/2767999

  • https://support.microsoft.com/kb/2880963

• SharePoint-konfigurasjon

  • SharePoint må være konfigurert for bare en enkelt farmdistribusjon.

  • SharePoint-nettstedet må være tilgjengelig via Internett. En omvendt proxy kan også være nødvendig for SharePoint-godkjenning. Mer informasjon: Konfigurere en omvendt proxy-enhet for SharePoint Server 2013-hybrid

  • SharePoint-nettstedet må være konfigurert til å bruke SSL (HTTPS), og sertifikatet må være utstedt av en offentlig rotsertifiseringsinstans.Mer informasjon:SharePoint: SSL-sertifikater for sikker kanal

  • En pålitelig brukeregenskap å bruke for tilordning av kravbasert autentisering mellom SharePoint og Microsoft Dynamics 365.Mer informasjon:Velge tilordningstype for kravbasert autentisering

  • SharePoint-søketjenesten må være aktivert for deling av dokumenter.Mer informasjon:Opprette og konfigurere et søketjenesteprogram i SharePoint Server

  • For å få dokumentbehandlingsfunksjonalitet når du bruker mobilappene for Microsoft Dynamics 365 må den lokale SharePoint-serveren være tilgjengelig via Internett.

  • Hvis du bruker Microsoft SharePoint 2013 for hver SharePoint-farm, kan bare én Microsoft Dynamics 365-organisasjon konfigureres for serverbasert integrering.

Andre forhåndskrav

• SharePoint Online-lisens.Microsoft Dynamics 365 (Online) til SharePoint lokal serverbasert godkjenning må ha SharePoint-SPN (server principal name) som er registrert i Azure Active Directory. For å oppnå dette kreves minst én SharePoint Online-lisens.SharePoint Online-lisensen kan være avledet fra en enkelt lisens og kommer vanligvis fra ett av følgende:

  • Et SharePoint Online-abonnement. Alle SharePoint Online-planer er brukbare selv om lisensen ikke er tilordnet til en bruker.

  • Et Office 365-abonnement som inkluderer SharePoint Online. Hvis du har for eksempel Office 365 E3, har du rett lisensiering selv om lisensen ikke er tilordnet til en bruker.

  Hvis du vil ha mer informasjon om disse abonnementene, kan du se Office 365: Velg et abonnement og Sammenligne SharePoint-alternativer

• Følgende programvarefunksjoner er nødvendige for å kjøre PowerShell-cmdletene som er beskrevet i dette emnet.

  • Påloggingsassistent for Microsoft Online Services for IT-eksperter Beta

  • Azure Active Directory-modul for Windows PowerShell (64-biters versjon)

  Viktig

  Da dette ble skrevet var det et problem med RTW-versjonen av Påloggingsassistent for Microsoft Online Services for IT-eksperter. Inntil problemet er løst, anbefaler vi at du bruker betaversjonen.Mer informasjon:Microsoft Azure-fora: Kan ikke installere Azure Active Directory-modul for Windows PowerShell. MOSSIA er ikke installert.

• En passende tilordningstype for kravbasert godkjenning for å bruke tilordning av identiteter mellom Microsoft Dynamics 365 (Online) og lokal versjon av SharePoint. E-postadresse brukes som standard.Mer informasjon:Gi Microsoft Dynamics 365 tilgangstillatelse til SharePoint, og konfigurere tilordningen for kravbasert autentisering

Oppdater SharePoint Server SPN i Azure Active Directory Domain Services

Kjør disse PowerShell-kommandoene i angitt rekkefølge i SharePoint 2013 Management-grensesnitt på den lokale versjonen av SharePoint.

1. Klargjør PowerShell-økten.

   Følgende cmdleter aktivere datamaskinen for mottak av eksterne kommandoer og legger til Office 365-moduler i PowerShell-økten. Hvis du vil ha mer informasjon om disse cmdletene, kan du se Core-cmdleter for Windows PowerShell.

   Enable-PSRemoting -force
   New-PSSession
   Import-Module MSOnline -force
   Import-Module MSOnlineExtended -force
   

2. Koble til Office 365.

   Når du kjører Connect-MsolService-kommandoen, må du angi en gyldig Microsoft-konto som har medlemskap i global administrator for Office 365 for SharePoint Online-lisensen som kreves.

   Hvis du vil ha mer informasjon om alle PowerShell-kommandoene for Azure Active Directory som vises her, kan du se MSDN: Administrere Azure AD ved hjelp av Windows PowerShell

   $msolcred = get-credential
   connect-msolservice -credential $msolcred
   

3. Angi vertsnavn for SharePoint.

   Verdien du angir for variabelen HostName må være det fullstendige vertsnavnet til SharePoint-områdesamlingen. Vertsnavnet må være avledet fra URL-adressen for områdesamlingen, og det skilles mellom små og store bokstaver. I dette eksemplet er URL-adressen for områdesamlingen https://SharePoint.constoso.com/sites/salgsteam, slik at vertsnavnet er SharePoint.contoso.com.

   $HostName = "SharePoint.contoso.com"
   

4. Hent Office 365-objekt-ID (leier) og hovednavn for tjeneste (SPN=Service Principal Name) for SharePoint Server.

   $SPOAppId = "00000003-0000-0ff1-ce00-000000000000"
   $SPOContextId = (Get-MsolCompanyInformation).ObjectID
   $SharePoint = Get-MsolServicePrincipal -AppPrincipalId $SPOAppId
   $ServicePrincipalName = $SharePoint.ServicePrincipalNames
   

5. Angi hovednavn for tjeneste (SPN) for SharePoint Server i Azure Active Directory.

   $ServicePrincipalName.Add("$SPOAppId/$HostName") 
   Set-MsolServicePrincipal -AppPrincipalId $SPOAppId -ServicePrincipalNames $ServicePrincipalName 
   

Ikke lukk administrasjonskonsollen for SharePoint 2013 når du har fullført disse kommandoene, og fortsett til neste trinn.

Oppdatere SharePoint-område slik at samsvarer med det for SharePoint Online

Kjør denne Windows PowerShell-kommandoen i administrasjonskonsollen for SharePoint 2013 på den lokale SharePoint-serveren.

Kommandoen nedenfor krever medlemskap i gruppen for farmadministrator for SharePoint, og den angir godkjenningsområdet for farmen for den lokale versjonen av SharePoint.

Advarsel

Kjøring av denne kommandoen endrer godkjenningsområdet for farmen for den lokale versjonen av SharePoint. For programmer som bruker en eksisterende sikkerhetstokentjeneste (STS), kan dette føre til uventet virkemåte med andre programmer som bruker tilgangstokener. Mer informasjon: Set-SPAuthenticationRealm.

Set-SPAuthenticationRealm -Realm $SPOContextId

Opprette en klarert utsteder for sikkerhetstoken for Azure Active Directory på SharePoint

Kjør disse PowerShell-kommandoene i angitt rekkefølge i SharePoint 2013 Management-grensesnitt på den lokale versjonen av SharePoint.

Kommandoen nedenfor krever medlemskap i gruppen for farmadministrator for SharePoint.

Hvis du vil ha mer informasjon om disse PowerShell-kommandoene, kan du se Bruke Windows PowerShell-cmdleter til å administrere sikkerheten i SharePoint 2013.

1. Aktiver PowerShell-økten for å gjøre endringer i sikkerhetstokentjenesten for SharePoint-farmen.

   $c = Get-SPSecurityTokenServiceConfig
   $c.AllowMetadataOverHttp = $true
   $c.AllowOAuthOverHttp= $true
   $c.Update()
   

2. Angi sluttpunkt for metadata.

   $metadataEndpoint = "https://accounts.accesscontrol.windows.net/" + $SPOContextId + "/metadata/json/1"
   $acsissuer  = "00000001-0000-0000-c000-000000000000@" + $SPOContextId
   $issuer = "00000007-0000-0000-c000-000000000000@" + $SPOContextId
   

3. Opprett ny tjenesteprogramproxy for tokenkontroll i Azure Active Directory.

   New-SPAzureAccessControlServiceApplicationProxy -Name "Internal" -MetadataServiceEndpointUri $metadataEndpoint -DefaultProxyGroup
   

   Obs!

   New- SPAzureAccessControlServiceApplicationProxy-kommandoen kan returnere en feilmelding som angir at det allerede finnes en programproxy med samme navn. Hvis den navngitte program-proxyen allerede finnes, kan du ignorere feilen.

4. Opprett nye tjenesteutsteder for tokenkontroll i lokal versjon av SharePoint for Azure Active Directory.

   $ = New-SPTrustedSecurityTokenIssuer –Name "ACSInternal" –IsTrustBroker:$true –MetadataEndpoint $metadataEndpoint -RegisteredIssuerName $acsissuer 
   

Gi Microsoft Dynamics 365 tilgangstillatelse til SharePoint, og konfigurere tilordningen for kravbasert autentisering

Kjør disse PowerShell-kommandoene i angitt rekkefølge i SharePoint 2013 Management-grensesnitt på den lokale versjonen av SharePoint.

Kommandoen nedenfor krever medlemskap for administrasjon av SharePoint-områdesamling.

1. Registrer Microsoft Dynamics 365 med SharePoint-områdesamlingen.

   Angi URL-adressen for områdesamlingen for den lokale versjonen av SharePoint. I dette eksemplet brukes https://sharepoint.contoso.com/sites/crm/.

   Viktig

   Tjenesteprogramproxy for appbehandling for SharePoint må finnes og kjøres for å fullføre denne kommandoen. Hvis du vil ha mer informasjon om hvordan du starter og konfigurere tjenesten, kan du se delemnet Konfigurere abonnementsinnstillinger og tjenesteprogrammer for appbehandling i Konfigurerer et miljø for apper for SharePoint (SharePoint 2013).

   $site = Get-SPSite "https://sharepoint.contoso.com/sites/crm/"
   Register-SPAppPrincipal -site $site.RootWeb -NameIdentifier $issuer -DisplayName "crm"
   

2. Gi Microsoft Dynamics 365-programmet tilgang til SharePoint-området. Erstatt https://sharepoint.contoso.com/sites/crm/ med SharePoint-URL-adressen.

   Obs!

   I eksemplet nedenfor får Dynamics 365-programmet tilgang til den angitte SharePoint-områdesamlingen ved hjelp av parameteren –Omfang områdesamling. Omfangsparameteren godtar følgende alternativer. Velg omfanget som passer best for SharePoint-konfigurasjonen.

   • site. Gir bare Dynamics 365-programmet tilgang til det angitte SharePoint-webområdet. Det gir ikke tilgang til eventuelle sekundære områder under det navngitte området.

   • sitecollection. Gir Dynamics 365-programmet tilgang til alle webområder og sekundære områder innenfor den angitte SharePoint-områdesamlingen.

   • sitesubscription. Gir Dynamics 365-programmet tilgang til alle webområder i SharePoint-farmen, inkludert alle områdesamlinger, webområder og sekundære områder.

   $app = Get-SPAppPrincipal -NameIdentifier $issuer -Site "https://sharepoint.contoso.com/sites/crm/"
   Set-SPAppPrincipalPermission -AppPrincipal $app -Site $site.Rootweb -Scope "sitecollection" -Right "FullControl"
   

3. Angi tilordningstype for kravbasert autentisering.

   Viktig

   Som standard bruker tilordningen for kravbasert autentisering brukerens e-postadresse for Microsoft-konto og brukerens e-postadresse for arbeid for lokal versjon av SharePoint for tilordning. Når du bruker dette, må brukerens e-postadresser samsvare mellom de to systemene. Hvis du vil ha mer informasjon, kan du se Velge tilordningstype for kravbasert autentisering.

   $map1 = New-SPClaimTypeMapping -IncomingClaimType "https://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress" -IncomingClaimTypeDisplayName "EmailAddress" -SameAsIncoming
   

Kjør veiviseren Aktiver serverbasert SharePoint-integrering

Følg fremgangsmåten nedenfor i Microsoft Dynamics 365-appen:

1. Gå til Innstillinger > Dokumentbehandling. (Hvordan kommer jeg dit?)

2. Klikk Aktiver serverbasert SharePoint-integrering i Dokumentbehandling-området.

3. Se gjennom informasjonen, og klikk deretter Neste.

4. Klikk Lokal for SharePoint-områdene, og klikk deretter Neste.

5. Angi URL-adressen for områdesamlingen for den lokale versjonen av SharePoint, for eksempel https://sharepoint.contoso.com/sites/crm. Området må være konfigurert for SSL.

6. Klikk Neste.

7. Inndelingen for å validere områder vises. Hvis alle områder er gyldige, klikker du Aktiver. Hvis ett eller flere områder er ugyldige, kan du se Feilsøke serverbasert godkjenning.

Velge enhetene du vil ta med i dokumentbehandlingen

Enhetene Forretningsforbindelse, Artikkel, Kundeemne, Produkt, Tilbud og Salgsmateriell er inkludert som standard. Du kan legge til eller fjerne enhetene som skal brukes for dokumentbehandling, med SharePoint i Innstillinger for dokumentbehandling i Microsoft Dynamics 365.Gå til Innstillinger > Dokumentbehandling. (Hvordan kommer jeg dit?)Mer informasjon:Kundesenter: Aktivere dokumentbehandling for enheter

Legge til OneDrive for Business-integrering

Når du har fullført konfigurasjon av serverbasert godkjenning for lokal versjon av Microsoft Dynamics 365 og SharePoint, kan du også integrere OneDrive for Business. Med Microsoft Dynamics 365- og OneDrive for Business-integregrering, Dynamics 365 kan brukere opprette og behandle private dokumenter ved hjelp av OneDrive for Business. Disse dokumentene kan brukes i Dynamics 365 når en administrator har aktivert OneDrive for Business.

Aktiver OneDrive for Business

På Windows-serveren der lokal versjon av SharePoint Server kjører, åpner du SharePoint-administrasjonsskall og kjører følgende kommandoer:

Add-Pssnapin *
# Access WellKnown App principal
[Microsoft.SharePoint.Administration.SPWebService]::ContentService.WellKnownAppPrincipals

# Create WellKnown App principal
$ClientId = "00000007-0000-0000-c000-000000000000"
$PermissionXml = "<AppPermissionRequests AllowAppOnlyPolicy=""true""><AppPermissionRequest Scope=""https://sharepoint/content/tenant"" Right=""FullControl"" /><AppPermissionRequest Scope=""https://sharepoint/social/tenant"" Right=""Read"" /><AppPermissionRequest Scope=""https://sharepoint/search"" Right=""QueryAsUserIgnoreAppPrincipal"" /></AppPermissionRequests>"

$wellKnownApp= New-Object -TypeName "Microsoft.SharePoint.Administration.SPWellKnownAppPrincipal" -ArgumentList ($ClientId, $PermissionXml)

$wellKnownApp.Update()

Velge tilordningstype for kravbasert autentisering

Som standard bruker tilordningen for kravbasert autentisering brukerens e-postadresse for Microsoft-konto og brukerens e-postadresse for arbeid for lokal versjon av SharePoint for tilordning. Legg merke til at uansett hvilken type kravbasert autentisering du bruker, må verdiene, for eksempel e-postadresser, samsvare mellom Microsoft Dynamics 365 (Online) og SharePoint.Office 365-katalogsynkronisering kan hjelpe deg med dette.Mer informasjon:Distribuere Office 365/katalogsynkronisering (DirSync) i Microsoft Azure Hvis du vil bruke en annen type tilordning for kravbasert autentisering, kan du se Definere egendefinerte kravtilordning for serverbasert SharePoint-integrering.

Viktig

Hvis du vil aktivere egenskapen for e-postadresse for arbeid, må det være konfigurert og startet er tjenesteprogram for brukerprofil for den lokale versjonen av SharePoint. Hvis du vil aktivere et tjenesteprogram for brukerprofil i SharePoint, kan du se Opprette, redigere eller slette tjenesteprogrammer for brukerprofil i SharePoint Server 2013. Hvis du vil utfør endringer for en brukeregenskap, for eksempel e-postadresse for arbeid, kan du se Rediger en brukerprofilegenskap. Hvis du vil ha mer informasjon om tjenesteprogrammet for brukerprofil, kan du se Oversikt over tjenesteprogrammet for brukerprofil i SharePoint Server 2013.

Se også

Feilsøke serverbasert godkjenning
Konfigurere SharePoint-integrasjon med Microsoft Dynamics 365

© 2017 Microsoft. Med enerett. Opphavsrett