Op server gebaseerde verificatie configureren met Dynamics CRM Online en SharePoint on-premises

 

Gepubliceerd: november 2016

Is van toepassing op: Dynamics CRM 2015

Op een server gebaseerde Microsoft SharePoint-integratie voor documentbeheer is geïntroduceerd met Update 1 voor Microsoft Dynamics CRM Online 2015 en kan nu worden gebruikt om Microsoft Dynamics CRM Online te verbinden met SharePoint on-premises. Als u op een server gebaseerde verificatie gebruikt, worden Azure Active Directory Access Control Services (ACS) gebruikt als de vertrouwensbroker en hoeven gebruikers zich niet aan te melden bij SharePoint. Bovendien is het lijstbesturingselement, dat de afgeschafte sandboxing-functie SharePoint vereist, niet vereist om SharePoint-documenten weer te geven in Microsoft Dynamics 365-weergaven.

Vereiste machtigingen

Office 365

• Lidmaatschap van Algemene Office 365-beheerders. Dit is vereist voor toegang op beheerniveau tot het Microsoft Office 365-abonnement en om de Microsoft AzurePowershell-cmdlets uit te voeren.

Microsoft Dynamics CRM Online

• Bevoegdheid Wizard SharePoint-integratie uitvoeren. Dit is vereist om de wizard Op server gebaseerde verificatie inschakelen uit te voeren in Microsoft Dynamics 365.

  Standaard heeft de beveiligingsrol Systeembeheerder deze machtiging.

SharePoint on-premises

• Lidmaatschap van groep Farmbeheerders. Dit is vereist om de meeste Powershell-opdrachten op de SharePoint-server uit te voeren.

Server-naar-server verificatie met CRM Online en SharePoint on-premises instellen

Volg de stappen in de beschreven volgorde om CRM Online in te stellen met SharePoint 2013 on-premises.

Belangrijk

De hier beschreven stappen moeten in de opgegeven volgorde worden voltooid. Als een bepaalde taak niet is voltooid, zoals een Powershell-opdracht die een foutbericht retourneert, moet het probleem worden opgelost voordat u naar de volgende opdracht, taak of stap gaat.

Vereisten controleren

Voordat u Microsoft Dynamics CRM Online en SharePoint on-premises configureert voor op een server gebaseerde verificatie, moet aan de volgende vereisten zijn voldaan.

SharePoint-vereisten

• Microsoft SharePoint 2013 (on-premises) met Servicepack 1 (SP1) of een latere versie

  Belangrijk

  Microsoft SharePoint Foundation 2013-versies worden niet ondersteund voor gebruik met Microsoft Dynamics 365-documentbeheer.

• Hotfix KB2883081 voor SharePoint Foundation 2013, 12 augustus 2014 (Sts-x-none.msp)

  Belangrijk

  De volgende updates zijn vereisten voor KB2883081 en kunnen ook vereist zijn.

  • https://support2.microsoft.com/kb/2768000

  • https://support.microsoft.com/kb/2767999

  • https://support.microsoft.com/kb/2880963

• SharePoint-configuratie

  • SharePoint moet zijn geconfigureerd voor een installatie met slechts één farm.

  • SharePoint-website moet toegankelijk zijn via internet. Een reverse proxy kan ook vereist zijn voor SharePoint-verificatie. Meer informatie: Een reverse proxy-apparaat configureren voor SharePoint Server 2013 hybride

  • SharePoint-website moet worden geconfigureerd voor gebruik van SSL (HTTPS) en het certificaat moet zijn uitgegeven door een openbare basiscertificaatinstantie.Meer informatie:SharePoint: Informatie over veilige kanaal-SSL-certificaten

  • Een betrouwbare gebruikerseigenschap om te gebruiken voor op claims gebaseerde verificatietoewijzing tussen SharePoint en Microsoft Dynamics 365.Meer informatie:Een toewijzingstype voor op claims gebaseerde verificatie selecteren

Andere vereisten

• SharePoint Online-licentie. Voor Microsoft Dynamics CRM Online naar SharePoint on-premises op server gebaseerde verificatie moet de SharePoint SPN (Service Principal Name) geregistreerd zijn in Azure Active Directory. Om dit te bereiken is ten minste één SharePoint Online-gebruikerslicentie vereist. De SharePoint Online-licentie kan uit één gebruikerslicentie voortkomen en komt meestal uit een van de volgende:

  • Een SharePoint Online-abonnement. Elk SharePoint Online-plan volstaat zelfs als de licentie niet aan een gebruiker is toegewezen.

  • Een Office 365-abonnement dat SharePoint Online omvat. Als u bijvoorbeeld Office 365 E3 hebt, hebt u de benodigde licentie nodig, zelfs als de licentie niet aan een gebruiker is toegewezen.

  Voor meer informatie over deze plannen raadpleegt u Office 365: Een plan selecteren en Sharepoint-opties vergelijken

• De volgende softwarefuncties zijn vereist om de Powershell-cmdlets uit te voeren die in dit onderwerp worden beschreven.

  • Aanmeldhulp voor Microsoft Online Services voor IT-professionals bêta

  • Azure Active Directory-module voor Windows Powershell (64 bits versie)

  Belangrijk

  Op het moment van schrijven is er een probleem met de RTW-versie van Aanmeldhulp voor Microsoft Online Services voor IT-professionals. Totdat het probleem is opgelost, wordt u aangeraden de bêta-versie te gebruiken.Meer informatie:Microsoft Azure-forums: Kan Azure Active Directory-module voor Windows Powershell niet installeren. MOSSIA is niet geïnstalleerd.

• Een geschikt type van op claims gebaseerde verificatietoewijzing om te gebruiken voor het toewijzen van identiteiten tussen Microsoft Dynamics CRM Online en SharePoint on-premises. Standaard wordt e-mailadres gebruikt.Meer informatie:Microsoft Dynamics CRM-machtiging verlenen om toegang te krijgen tot SharePoint en de op claims gebaseerde verificatietoewijzing configureren

De Sharepoint-server bijwerken in ACS

Voer op de SharePoint on-premises server, in de SharePoint 2013 Management Shell, deze Powershell-opdrachten uit in de vermelde volgorde.

1. Bereid de Powershell-sessie voor.

   Met de volgende cmdlets kan de computer externe opdrachten ontvangen en Office 365-modules toevoegen aan de Powershell-sessie. Zie voor meer informatie over deze cmdlets Windows PowerShell Core-cmdlets.

   Enable-PSRemoting -force
   New-PSSession
   Import-Module MSOnline -force
   Import-Module MSOnlineExtended -force
   

2. Verbinding maken met Office 365.

   Als u de opdracht Connect-MsolService uitvoert, moet u een geldige Microsoft-account hebben die algemeen Office 365-beheerderslidmaatschap heeft voor de SharePoint Online-licentie die vereist is.

   Voor meer informatie over elk van de hier genoemde Azure Active DirectoryPowershell-opdrachten raadpleegt u MSDN: Azure AD beheren met Windows PowerShell.

   $msolcred = get-credential
   connect-msolservice -credential $msolcred
   

3. Stel de SharePoint-hostnaam in.

   De waarde die u voor de variabele Hostnaam instelt, moet de volledige hostnaam van de SharePoint-siteverzameling zijn. De hostnaam moet worden afgeleid van de siteverzamelings-URL en is hoofdlettergevoelig. In dit voorbeeld is de URL van de siteverzameling https://SharePoint.constoso.com/sites/salesteam, dus is de hostnaam SharePoint.contoso.com.

   $HostName = "SharePoint.contoso.com"
   

4. Verkrijg de Office 365-object-id (tenant) en de SharePoint Server SPN (Service Principal Name).

   $SPOAppId = "00000003-0000-0ff1-ce00-000000000000"
   $SPOContextId = (Get-MsolCompanyInformation).ObjectID
   $SharePoint = Get-MsolServicePrincipal -AppPrincipalId $SPOAppId
   $ServicePrincipalName = $SharePoint.ServicePrincipalNames
   

5. Stel de SharePoint Server Service Principal Name (SPN) in ACS in.

   $ServicePrincipalName.Add("$SPOAppId/$HostName") 
   Set-MsolServicePrincipal -AppPrincipalId $SPOAppId -ServicePrincipalNames $ServicePrincipalName 
   

Als deze opdrachten zijn voltooid, sluit u de SharePoint 2013 Management Shell niet en gaat u verder naar de volgende stap.

Het SharePoint-realm gelijk maken aan die van SharePoint Online

Voer op de SharePoint on-premises server, in de SharePoint 2013 Management Shell, deze Windows PowerShell-opdracht uit.

De volgende opdracht vereist lidmaatschap van SharePoint-farmbeheerder en stelt het verificatierealm van de SharePoint on-premises farm in.

Waarschuwing

Door het uitvoeren van deze opdracht verandert het verificatierealm van de SharePoint on-premises farm. Voor toepassingen die een bestaande STS (Security Token Service) gebruiken, kan dit leiden tot onverwacht gedrag met andere toepassingen die toegangstokens gebruiken. Meer informatie: Set-SPAuthenticationRealm.

Set-SPAuthenticationRealm -Realm $SPOContextId

Een vertrouwde beveiligingstokenuitgever maken voor ACS op SharePoint

Voer op de SharePoint on-premises server, in de SharePoint 2013 Management Shell, deze Powershell-opdrachten uit in de vermelde volgorde.

De volgende opdrachten vereisen lidmaatschap van SharePoint-farmbeheerder.

Voor meer informatie over deze Powershell-opdrachten raadpleegt u Windows PowerShell-cmdlets gebruiken om beveiliging te beheren in SharePoint 2013.

1. Schakel de Powershell-sessie in om wijzigingen aan te brengen in de STS voor de SharePoint-farm.

   $c = Get-SPSecurityTokenServiceConfig
   $c.AllowMetadataOverHttp = $true
   $c.AllowOAuthOverHttp= $true
   $c.Update()
   

2. Stel het meta-eindpunt in.

   $metadataEndpoint = "https://accounts.accesscontrol.windows.net/" + $SPOContextId + "/metadata/json/1"
   $acsissuer = "00000001-0000-0000-c000-000000000000@" + $SPOContextId
   $issuer = "00000007-0000-0000-c000-000000000000@" + $SPOContextId
   

3. Maak de nieuwe toepassingsproxy voor de tokencontroleservice in ACS

   New-SPAzureAccessControlServiceApplicationProxy -Name "ACSInternal" -MetadataServiceEndpointUri $metadataEndpoint -DefaultProxyGroup
   

   Notitie

   De opdracht New- SPAzureAccessControlServiceApplicationProxy kan een foutbericht retourneren dat aangeeft dat een ACS-toepassingproxy met dezelfde naam al bestaat. Als de benoemde ACS-toepassingproxy al bestaat, kunt u de fout negeren.

4. Maak de nieuwe tokencontroleserviceverlener in SharePoint on-premises voor ACS

   $acs = New-SPTrustedSecurityTokenIssuer –Name "ACSInternal" –IsTrustBroker:$true –MetadataEndpoint $metadataEndpoint -RegisteredIssuerName $acsissuer 
   

Microsoft Dynamics CRM-machtiging verlenen om toegang te krijgen tot SharePoint en de op claims gebaseerde verificatietoewijzing configureren

Voer op de SharePoint on-premises server, in de SharePoint 2013 Management Shell, deze Powershell-opdrachten uit in de vermelde volgorde.

De volgende opdrachten vereisen lidmaatschap van SharePoint-siteverzamelingsbeheer.

1. Registreer Microsoft Dynamics 365 met de SharePoint-siteverzameling.

   Typ de siteverzamelings-URL van SharePoint on-premises. In dit voorbeeld wordt https://sharepoint.contoso.com/sites/crm/ gebruikt.

   Belangrijk

   Om deze opdracht te voltooien moet de servicetoepassingsproxy van het SharePoint-appbeheer bestaan en actief zijn. Voor meer informatie over hoe u de service start en configureert, raadpleegt u het subonderwerp De abonnementsinstellingen en de servicetoepassing voor appbeheer configureren in Een omgeving configureren voor apps voor SharePoint (SharePoint 2013)..

   $site = Get-SPSite "https://sharepoint.contoso.com/sites/crm/"
   Register-SPAppPrincipal -site $site.RootWeb -NameIdentifier $issuer -DisplayName "crm"
   

2. Verleen de Microsoft Dynamics 365-toepassing toegang tot de SharePoint-site. Vervang https://sharepoint.contoso.com/sites/crm/ door de URL van uw SharePoint-site.

   Notitie

   In het onderstaande voorbeeld, is aan de Dynamics 365-toepassing machtiging verleend voor de opgegeven SharePoint-siteverzameling met de parameter –Scope sitecollection. De parameter Scope accepteert de volgende opties. Kies het bereik dat het meest geschikt is voor uw SharePoint-configuratie.

   • site. Verleent de Dynamics 365-toepassingsmachtiging alleen aan de opgegeven SharePoint-website. Er wordt geen machtiging verleend voor subsites onder de benoemde site.

   • sitecollection. Verleent de Dynamics 365-toepassingsmachtiging voor alle websites en subsites binnen de opgegeven SharePoint-siteverzameling.

   • sitesubscription. Verleent de Dynamics 365-toepassingsmachtiging aan alle websites in de SharePoint-farm, met inbegrip van alle siteverzamelingen, websites en subsites.

   $app = Get-SPAppPrincipal -NameIdentifier $issuer -Site "https://sharepoint.contoso.com/sites/crm/"
   Set-SPAppPrincipalPermission -AppPrincipal $app -Site $site.Rootweb -Scope "sitecollection" -Right "FullControl"
   

3. Stel het toewijzingstype van op claims gebaseerde verificatie in.

   Belangrijk

   Standaard gebruikt de toewijzing van op claims gebaseerde verificatie het Microsoft-account-e-mailadres van de gebruiker en het SharePoint on-premises Werke-mailadres voor de toewijzing. Als u dit gebruikt, moeten de e-mailadressen van de gebruiker overeenkomen tussen de twee systemen. Zie Een toewijzingstype voor op claims gebaseerde verificatie selecteren voor meer informatie.

   $map1 = New-SPClaimTypeMapping -IncomingClaimType "https://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress" -IncomingClaimTypeDisplayName "EmailAddress" -SameAsIncoming
   

De wizard Op server gebaseerde SharePoint-integratie inschakelen uitvoeren

Volg deze stappen in de Microsoft Dynamics 365-app.

1. Ga naar Instellingen > Documentbeheer.

2. Kies in het gebied DocumentbeheerOp server gebaseerde SharePoint-integratie inschakelen.

3. Bekijk de informatie en kies vervolgens Volgende.

4. Kies voor de SharePoint-locaties Lokaal en kies Volgende.

5. Voer de siteverzamelings-URL van SharePoint on-premises in, bijvoorbeeld https://sharepoint.contoso.com/sites/crm. De site moet voor SSL zijn geconfigureerd.

6. Kies Volgende.

7. De sectie voor het valideren van sites wordt weergegeven. Als is bepaald dat alle sites geldig zijn, kiest u Inschakelen. Als een of meer sites ongeldig zijn, raadpleegt u Problemen oplossen met op een server gebaseerde verificatie.

De entiteiten selecteren die u in documentbeheer wilt opnemen

Standaard worden de entiteiten Account, Artikel, Potentiële klant, Product, Prijsopgave en Verkoopdocumentatie opgenomen. U kunt de entiteiten toevoegen of verwijderen die voor documentbeheer worden gebruikt, met SharePoint in Instellingen voor documentbeheer in Microsoft Dynamics 365.Ga naar Instellingen > Documentbeheer.Meer informatie:Klantencentrum: Documentbeheer voor entiteiten inschakelen

Een toewijzingstype voor op claims gebaseerde verificatie selecteren

Standaard gebruikt de toewijzing van op claims gebaseerde verificatie het Microsoft-account-e-mailadres van de gebruiker en het SharePoint on-premises werke-mailadres voor de toewijzing. Denk eraan dat wat voor op claims gebaseerde verificatie u ook gebruikt, de waarden, zoals e-mailadressen, moeten overeenkomen tussen Microsoft Dynamics CRM Online en SharePoint.Office 365-directorysynchronisatie kan hierbij helpen.Meer informatie:Office 365-directorysynchronisatie (DirSync) gebruiken in Microsoft Azure Als u een ander type toewijzing voor op claims gebaseerde verificatie wilt gebruiken, raadpleegt u MSDN: Aangepaste claimtoewijzing definiëren voor op een SharePoint-server gebaseerde integratie.

Belangrijk

Om de eigenschap Werke-mail in te schakelen moet SharePoint on-premises een gebruikersprofielservicetoepassing hebben geconfigureerd en gestart. Als u een gebruikersprofielservicetoepassing wilt inschakelen in SharePoint, raadpleegt u Gebruikersprofielservicetoepassingen maken, bewerken of verwijderen in SharePoint Server 2013. Als u wijzigingen wilt aanbrengen in een gebruikerseigenschap, zoals Werke-mail, raadpleegt u Een gebruikersprofieleigenschap bewerken Voor meer informatie over de gebruikersprofielservicetoepassing raadpleegt u Overzicht van de gebruikersprofielservicetoepassing in SharePoint Server 2013.

Zie ook

Problemen oplossen met op een server gebaseerde verificatie
SharePoint-integratie instellen met Microsoft Dynamics CRM

© 2016 Microsoft Corporation. Alle rechten voorbehouden. Auteursrecht