Op server gebaseerde verificatie configureren met Dynamics 365 Online en SharePoint on-premises

 

Gepubliceerd: februari 2017

Is van toepassing op: Dynamics 365 (online), Dynamics 365 (on-premises), Dynamics CRM 2016, Dynamics CRM Online

Op een server gebaseerde Microsoft SharePoint-integratie voor documentbeheer is geïntroduceerd met Update 1 voor Microsoft Dynamics CRM Online 2015 en kan worden gebruikt om Microsoft Dynamics 365 (online) te verbinden met SharePoint on-premises. Als u op een server gebaseerde verificatie gebruikt, worden Azure AD Domain Services gebruikt als de vertrouwensbroker en hoeven gebruikers zich niet aan te melden bij SharePoint.

In dit onderwerp

Vereiste machtigingen

Server-naar-server verificatie met Dynamics 365 (online) en SharePoint on-premises instellen

OneDrive voor Bedrijven-integratie toevoegen

Een toewijzingstype voor op claims gebaseerde verificatie selecteren

Vereiste machtigingen

Office 365

• Lidmaatschap van Algemene Office 365-beheerders: dit is vereist voor toegang op beheerniveau tot het Microsoft Office 365-abonnement en om de Microsoft AzurePowershell-cmdlets uit te voeren.

Microsoft Dynamics 365 (online)

• Bevoegdheid Wizard SharePoint-integratie uitvoeren. Dit is vereist om de wizard Op server gebaseerde verificatie inschakelen uit te voeren in Microsoft Dynamics 365.

  Standaard heeft de beveiligingsrol Systeembeheerder deze machtiging.

SharePoint on-premises

• Lidmaatschap van groep Farmbeheerders - dit is vereist voor het uitvoeren van de meeste Powershell opdrachten op de SharePoint-server.

Server-naar-server verificatie met Dynamics 365 (online) en SharePoint on-premises instellen

Volg de stappen in de beschreven volgorde om Dynamics 365 (online) in te stellen met SharePoint 2013 on-premises.

Belangrijk

• De hier beschreven stappen moeten in de opgegeven volgorde worden voltooid. Als een bepaalde taak niet is voltooid, zoals een Powershell-opdracht die een foutbericht retourneert, moet het probleem worden opgelost voordat u naar de volgende opdracht, taak of stap gaat.

• Als u integratie op een server gebaseerde SharePoint inschakelt, kunt u niet teruggaan naar de vorige client-based verificatiemethode. Daarom kunt u niet gebruikmaken van Microsoft Dynamics CRM-lijstonderdeel nadat u uw Dynamics 365-organisatie voor servergebaseerde SharePoint-integratie hebt geconfigureerd.

Vereisten controleren

Voordat u Microsoft Dynamics 365 (online) en SharePoint On-Premises configureert voor op een server gebaseerde verificatie, moet aan de volgende vereisten zijn voldaan:

SharePoint-vereisten

• Microsoft SharePoint 2013 (on-premises) met Servicepack 1 (SP1) of een latere versie

  Belangrijk

  Microsoft SharePoint Foundation 2013-versies worden niet ondersteund voor gebruik met Microsoft Dynamics 365-documentbeheer.

• Hotfix KB2883081 voor SharePoint Foundation 2013, 12 augustus 2014 (Sts-x-none.msp)

  Belangrijk

  De volgende updates zijn vereisten voor KB2883081 en kunnen ook vereist zijn.

  • https://support2.microsoft.com/kb/2768000

  • https://support.microsoft.com/kb/2767999

  • https://support.microsoft.com/kb/2880963

• SharePoint-configuratie

  • SharePoint moet zijn geconfigureerd voor een installatie met slechts één farm.

  • SharePoint-website moet toegankelijk zijn via internet. Een reverse proxy kan ook vereist zijn voor SharePoint-verificatie. Meer informatie: Een reverse proxy-apparaat configureren voor SharePoint Server 2013 hybride

  • SharePoint-website moet worden geconfigureerd voor gebruik van SSL (HTTPS) en het certificaat moet zijn uitgegeven door een openbare basiscertificaatinstantie.Meer informatie:SharePoint: Informatie over veilige kanaal-SSL-certificaten

  • Een betrouwbare gebruikerseigenschap om te gebruiken voor op claims gebaseerde verificatietoewijzing tussen SharePoint en Microsoft Dynamics 365.Meer informatie:Een toewijzingstype voor op claims gebaseerde verificatie selecteren

  • Voor het delen van documenten moet de SharePoint-zoekservice zijn ingeschakeld.Meer informatie:Een Zoekservicetoepassing in SharePoint Server maken en configureren

  • Voor documentbeheerfunctionaliteit wanneer u de mobiele Microsoft Dynamics 365-apps gebruikt, moet de on-premises SharePoint-server beschikbaar zijn via internet.

  • Als u Microsoft SharePoint 2013 gebruikt, kan voor elke SharePoint-farm slechts één Microsoft Dynamics 365-organisatie worden geconfigureerd voor op server gebaseerde integratie.

Andere vereisten

• SharePoint Online-licentie. Voor Microsoft Dynamics 365 (online) naar SharePoint on-premises op server gebaseerde verificatie moet de SharePoint SPN (Service Principal Name) geregistreerd zijn in Azure Active Directory. Om dit te bereiken is ten minste één SharePoint Online-gebruikerslicentie vereist. De SharePoint Online-licentie kan uit één gebruikerslicentie voortkomen en komt meestal uit een van de volgende:

  • Een SharePoint Online-abonnement. Elk SharePoint Online-plan volstaat zelfs als de licentie niet aan een gebruiker is toegewezen.

  • Een Office 365-abonnement dat SharePoint Online omvat. Als u bijvoorbeeld Office 365 E3 hebt, hebt u de benodigde licentie nodig, zelfs als de licentie niet aan een gebruiker is toegewezen.

  Voor meer informatie over deze plannen raadpleegt u Office 365: Een plan selecteren en Sharepoint-opties vergelijken

• De volgende softwarefuncties zijn vereist om de Powershell-cmdlets uit te voeren die in dit onderwerp worden beschreven.

  • Aanmeldhulp voor Microsoft Online Services voor IT-professionals bêta

  • Azure Active Directory-module voor Windows Powershell (64 bits versie)

  Belangrijk

  Op het moment van schrijven is er een probleem met de RTW-versie van Aanmeldhulp voor Microsoft Online Services voor IT-professionals. Totdat het probleem is opgelost, wordt u aangeraden de bêta-versie te gebruiken.Meer informatie:Microsoft Azure-forums: Kan Azure Active Directory-module voor Windows Powershell niet installeren. MOSSIA is niet geïnstalleerd.

• Een geschikt type van op claims gebaseerde verificatietoewijzing om te gebruiken voor het toewijzen van identiteiten tussen Microsoft Dynamics 365 (online) en SharePoint on-premises. Standaard wordt e-mailadres gebruikt.Meer informatie:Microsoft Dynamics 365-machtiging verlenen om toegang te krijgen tot SharePoint en de op claims gebaseerde verificatietoewijzing configureren

De Sharepoint-server SPN bijwerken in Azure Active Directory Domain Services

Voer op de SharePoint on-premises server, in de SharePoint 2013 Management Shell, deze Powershell-opdrachten uit in de vermelde volgorde.

1. Bereid de Powershell-sessie voor.

   Met de volgende cmdlets kan de computer externe opdrachten ontvangen en Office 365-modules toevoegen aan de Powershell-sessie. Zie voor meer informatie over deze cmdlets Windows PowerShell Core-cmdlets.

   Enable-PSRemoting -force
   New-PSSession
   Import-Module MSOnline -force
   Import-Module MSOnlineExtended -force
   

2. Verbinding maken met Office 365.

   Als u de opdracht Connect-MsolService uitvoert, moet u een geldige Microsoft-account hebben die algemeen Office 365-beheerderslidmaatschap heeft voor de SharePoint Online-licentie die vereist is.

   Voor meer informatie over elk van de hier genoemde Azure Active DirectoryPowershell-opdrachten raadpleegt u MSDN: Azure AD beheren met Windows PowerShell.

   $msolcred = get-credential
   connect-msolservice -credential $msolcred
   

3. Stel de SharePoint-hostnaam in.

   De waarde die u voor de variabele Hostnaam instelt, moet de volledige hostnaam van de SharePoint-siteverzameling zijn. De hostnaam moet worden afgeleid van de siteverzamelings-URL en is hoofdlettergevoelig. In dit voorbeeld is de URL van de siteverzameling https://SharePoint.constoso.com/sites/salesteam, dus is de hostnaam SharePoint.contoso.com.

   $HostName = "SharePoint.contoso.com"
   

4. Verkrijg de Office 365-object-id (tenant) en de SharePoint Server SPN (Service Principal Name).

   $SPOAppId = "00000003-0000-0ff1-ce00-000000000000"
   $SPOContextId = (Get-MsolCompanyInformation).ObjectID
   $SharePoint = Get-MsolServicePrincipal -AppPrincipalId $SPOAppId
   $ServicePrincipalName = $SharePoint.ServicePrincipalNames
   

5. Stel de SharePoint Server Service Principal Name (SPN) in Azure Active Directory in.

   $ServicePrincipalName.Add("$SPOAppId/$HostName") 
   Set-MsolServicePrincipal -AppPrincipalId $SPOAppId -ServicePrincipalNames $ServicePrincipalName 
   

Als deze opdrachten zijn voltooid, sluit u de SharePoint 2013 Management Shell niet en gaat u verder naar de volgende stap.

Het SharePoint-realm gelijk maken aan die van SharePoint Online

Voer op de SharePoint on-premises server, in de SharePoint 2013 Management Shell, deze Windows PowerShell-opdracht uit.

De volgende opdracht vereist lidmaatschap van SharePoint-farmbeheerder en stelt het verificatierealm van de SharePoint on-premises farm in.

Waarschuwing

Door het uitvoeren van deze opdracht verandert het verificatierealm van de SharePoint on-premises farm. Voor toepassingen die een bestaande STS (Security Token Service) gebruiken, kan dit leiden tot onverwacht gedrag met andere toepassingen die toegangstokens gebruiken. Meer informatie: Set-SPAuthenticationRealm.

Set-SPAuthenticationRealm -Realm $SPOContextId

Een vertrouwde beveiligingstokenuitgever maken voor Azure Active Directory op SharePoint

Voer op de SharePoint on-premises server, in de SharePoint 2013 Management Shell, deze Powershell-opdrachten uit in de vermelde volgorde.

De volgende opdrachten vereisen lidmaatschap van SharePoint-farmbeheerder.

Voor meer informatie over deze Powershell-opdrachten raadpleegt u Windows PowerShell-cmdlets gebruiken om beveiliging te beheren in SharePoint 2013.

1. Schakel de Powershell-sessie in om wijzigingen aan te brengen in de STS voor de SharePoint-farm.

   $c = Get-SPSecurityTokenServiceConfig
   $c.AllowMetadataOverHttp = $true
   $c.AllowOAuthOverHttp= $true
   $c.Update()
   

2. Stel het meta-eindpunt in.

   $metadataEndpoint = "https://accounts.accesscontrol.windows.net/" + $SPOContextId + "/metadata/json/1"
   $acsissuer  = "00000001-0000-0000-c000-000000000000@" + $SPOContextId
   $issuer = "00000007-0000-0000-c000-000000000000@" + $SPOContextId
   

3. Maak de nieuwe toepassingsproxy voor de tokencontroleservice in Azure Active Directory

   New-SPAzureAccessControlServiceApplicationProxy -Name "Internal" -MetadataServiceEndpointUri $metadataEndpoint -DefaultProxyGroup
   

   Notitie

   De opdracht New- SPAzureAccessControlServiceApplicationProxy kan een foutbericht retourneren dat aangeeft dat een toepassingsproxy met dezelfde naam al bestaat. Als de benoemde toepassingsproxy al bestaat, kunt u de fout negeren.

4. Maak de nieuwe uitgever van de tokencontroleservice in SharePoint on-premises voor Azure Active Directory.

   $ = New-SPTrustedSecurityTokenIssuer –Name "ACSInternal" –IsTrustBroker:$true –MetadataEndpoint $metadataEndpoint -RegisteredIssuerName $acsissuer 
   

Microsoft Dynamics 365-machtiging verlenen om toegang te krijgen tot SharePoint en de op claims gebaseerde verificatietoewijzing configureren

Voer op de SharePoint on-premises server, in de SharePoint 2013 Management Shell, deze Powershell-opdrachten uit in de vermelde volgorde.

De volgende opdrachten vereisen lidmaatschap van SharePoint-siteverzamelingsbeheer.

1. Registreer Microsoft Dynamics 365 met de SharePoint-siteverzameling.

   Typ de siteverzamelings-URL van SharePoint on-premises. In dit voorbeeld wordt https://sharepoint.contoso.com/sites/crm/ gebruikt.

   Belangrijk

   Om deze opdracht te voltooien moet de servicetoepassingsproxy van het SharePoint-appbeheer bestaan en actief zijn. Voor meer informatie over hoe u de service start en configureert, raadpleegt u het subonderwerp De abonnementsinstellingen en de servicetoepassing voor appbeheer configureren in Een omgeving configureren voor apps voor SharePoint (SharePoint 2013)..

   $site = Get-SPSite "https://sharepoint.contoso.com/sites/crm/"
   Register-SPAppPrincipal -site $site.RootWeb -NameIdentifier $issuer -DisplayName "crm"
   

2. Verleen de Microsoft Dynamics 365-toepassing toegang tot de SharePoint-site. Vervang https://sharepoint.contoso.com/sites/crm/ door de URL van uw SharePoint-site.

   Notitie

   In het onderstaande voorbeeld, is aan de Dynamics 365-toepassing machtiging verleend voor de opgegeven SharePoint-siteverzameling met de parameter –Scope sitecollection. De parameter Scope accepteert de volgende opties. Kies het bereik dat het meest geschikt is voor uw SharePoint-configuratie.

   • site. Verleent de Dynamics 365-toepassingsmachtiging alleen aan de opgegeven SharePoint-website. Er wordt geen machtiging verleend voor subsites onder de benoemde site.

   • sitecollection. Verleent de Dynamics 365-toepassingsmachtiging voor alle websites en subsites binnen de opgegeven SharePoint-siteverzameling.

   • sitesubscription. Verleent de Dynamics 365-toepassingsmachtiging aan alle websites in de SharePoint-farm, met inbegrip van alle siteverzamelingen, websites en subsites.

   $app = Get-SPAppPrincipal -NameIdentifier $issuer -Site "https://sharepoint.contoso.com/sites/crm/"
   Set-SPAppPrincipalPermission -AppPrincipal $app -Site $site.Rootweb -Scope "sitecollection" -Right "FullControl"
   

3. Stel het toewijzingstype van op claims gebaseerde verificatie in.

   Belangrijk

   Standaard gebruikt de toewijzing van op claims gebaseerde verificatie het Microsoft-account-e-mailadres van de gebruiker en het SharePoint On-Premises werke-mailadres voor de toewijzing. Als u dit gebruikt, moeten de e-mailadressen van de gebruiker overeenkomen tussen de twee systemen. Zie Een toewijzingstype voor op claims gebaseerde verificatie selecteren voor meer informatie.

   $map1 = New-SPClaimTypeMapping -IncomingClaimType "https://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress" -IncomingClaimTypeDisplayName "EmailAddress" -SameAsIncoming
   

De wizard Op server gebaseerde SharePoint-integratie inschakelen uitvoeren

Volg deze stappen in de Microsoft Dynamics 365-app:

1. Ga naar Instellingen > Documentbeheer. (Hoe kom ik daar?)

2. Klik in het gebied Documentbeheer op Op server gebaseerde SharePoint-integratie inschakelen.

3. Bekijk de informatie en klik op Volgende.

4. Klik voor de SharePoint-sites op On-Premises en vervolgens op Volgende.

5. Voer de siteverzamelings-URL van SharePoint on-premises in, bijvoorbeeld https://sharepoint.contoso.com/sites/crm. De site moet voor SSL zijn geconfigureerd.

6. Klik op Volgende.

7. De sectie voor het valideren van sites wordt weergegeven. Als is bepaald dat alle sites geldig zijn, klikt u op Inschakelen. Als een of meer sites ongeldig zijn, raadpleegt u Problemen oplossen met op een server gebaseerde verificatie.

De entiteiten selecteren die u in documentbeheer wilt opnemen

Standaard worden de entiteiten Account, Artikel, Potentiële klant, Product, Prijsopgave en Verkoopdocumentatie opgenomen. U kunt de entiteiten toevoegen of verwijderen die voor documentbeheer worden gebruikt, met SharePoint in Instellingen voor documentbeheer in Microsoft Dynamics 365.Ga naar Instellingen > Documentbeheer. (Hoe kom ik daar?)Meer informatie:Klantencentrum: Documentbeheer voor entiteiten inschakelen

OneDrive voor Bedrijven-integratie toevoegen

Nadat u een op een server gebaseerd verificatieconfiguratie van Microsoft Dynamics 365 en de SharePoint on-premises hebt voltooid, kunt u ook OneDrive voor Bedrijven integreren. Met Microsoft Dynamics 365 en OneDrive voor Bedrijven geïntegreerd, kunnen gebruikers van Dynamics 365 persoonlijke documenten maken en beheren met OneDrive voor Bedrijven. Deze documenten kunnen in Dynamics 365 worden gebruikt zodra de systeembeheerder OneDrive voor Bedrijven heeft ingeschakeld.

OneDrive voor Bedrijven inschakelen

Open op Windows Server waarop SharePoint Server on-premises wordt uitgevoerd de SharePoint Management Shell en voer de volgende opdrachten uit:

Add-Pssnapin *
# Access WellKnown App principal
[Microsoft.SharePoint.Administration.SPWebService]::ContentService.WellKnownAppPrincipals

# Create WellKnown App principal
$ClientId = "00000007-0000-0000-c000-000000000000"
$PermissionXml = "<AppPermissionRequests AllowAppOnlyPolicy=""true""><AppPermissionRequest Scope=""https://sharepoint/content/tenant"" Right=""FullControl"" /><AppPermissionRequest Scope=""https://sharepoint/social/tenant"" Right=""Read"" /><AppPermissionRequest Scope=""https://sharepoint/search"" Right=""QueryAsUserIgnoreAppPrincipal"" /></AppPermissionRequests>"

$wellKnownApp= New-Object -TypeName "Microsoft.SharePoint.Administration.SPWellKnownAppPrincipal" -ArgumentList ($ClientId, $PermissionXml)

$wellKnownApp.Update()

Een toewijzingstype voor op claims gebaseerde verificatie selecteren

Standaard gebruikt de toewijzing van op claims gebaseerde verificatie het Microsoft-account-e-mailadres van de gebruiker en het SharePoint on-premises werke-mailadres voor de toewijzing. Denk eraan dat wat voor op claims gebaseerde verificatie u ook gebruikt, de waarden, zoals e-mailadressen, moeten overeenkomen tussen Microsoft Dynamics 365 (online) en SharePoint.Office 365-directorysynchronisatie kan hierbij helpen.Meer informatie:Office 365-directorysynchronisatie (DirSync) gebruiken in Microsoft Azure Als u een ander type toewijzing voor op claims gebaseerde verificatie wilt gebruiken, raadpleegt u Aangepaste claimtoewijzing definiëren voor op een SharePoint-server gebaseerde integratie.

Belangrijk

Om de eigenschap Werke-mail in te schakelen moet SharePoint on-premises een gebruikersprofielservicetoepassing hebben geconfigureerd en gestart. Als u een gebruikersprofielservicetoepassing wilt inschakelen in SharePoint, raadpleegt u Gebruikersprofielservicetoepassingen maken, bewerken of verwijderen in SharePoint Server 2013. Als u wijzigingen wilt aanbrengen in een gebruikerseigenschap, zoals Werke-mail, raadpleegt u Een gebruikersprofieleigenschap bewerken Voor meer informatie over de gebruikersprofielservicetoepassing raadpleegt u Overzicht van de gebruikersprofielservicetoepassing in SharePoint Server 2013.

Zie ook

Problemen oplossen met op een server gebaseerde verificatie
SharePoint-integratie instellen met Microsoft Dynamics 365

© 2017 Microsoft. Alle rechten voorbehouden. Auteursrecht