Konfiguruj uwierzytelnianie oparte na serwerze z Dynamics 365 Online i programem SharePoint w wersji lokalnej

 

Data opublikowania: luty 2017

Dotyczy: Dynamics 365 (online), Dynamics 365 (on-premises), Dynamics CRM 2016, Dynamics CRM Online

Wprowadzona z Microsoft Dynamics CRM Online 2015, aktualizacja 1, oparta na serwerze integracja z Microsoft SharePoint dla zarządzania dokumentami może zostać użyta do połączenia Microsoft Dynamics 365 (online) z SharePoint w wersji lokalnej. Podczas korzystania z uwierzytelniania opartego na serwerze Usługi domenowe Azure AD są używane jako pośrednik zaufania, więc użytkownicy nie muszą się logować w SharePoint.

W tym temacie

Wymagane uprawnienia

Konfiguruj uwierzytelnianie między serwerami z Dynamics 365 (wersja online) i programem SharePoint w wersji lokalnej

Dodaj integrację OneDrive dla Firm

Wybieranie typu mapowania uwierzytelniania opartego na oświadczeniach

Wymagane uprawnienia

Office 365

• Członkostwo w grupie Administratorzy globalni usługi Office 365 - jest to wymagane dla dostępu na poziomie administracyjnym do subskrypcji Microsoft Office 365 oraz dla uruchamiania poleceń cmdlet Microsoft AzurePowerShell.

Microsoft Dynamics 365 (online)

• Uprawnienie Uruchom Kreatora integracji z programem SharePoint. Jest to wymagane do uruchomienia Kreatora uwierzytelniania opartego na serwerze w Microsoft Dynamics 365.

  Domyślnie rola zabezpieczeń Administrator systemu ma to uprawnienie.

SharePoint wersja lokalna

• Członkostwo w grupie Administratorzy farmy - to jest wymagane do uruchamiania większości poleceń PowerShell na serwerze SharePoint.

Konfiguruj uwierzytelnianie między serwerami z Dynamics 365 (wersja online) i programem SharePoint w wersji lokalnej

Wykonaj kroki w podanej kolejności, aby skonfigurować Dynamics 365 (wersja online) z SharePoint 2013 w wersji lokalnej.

Ważne

• Kroki opisane w tym miejscu należy realizować w podanej kolejności. Jeśli zadanie nie zostanie ukończone, jak polecenie PowerShell, które zwraca komunikat o błędzie, problem musi zostać rozwiązany przed przejściem do następnego polecenia, zadania lub kroku.

• Po włączeniu opartej na serwerze integracji z programem SharePoint nie będzie można powrócić do poprzedniej metody uwierzytelniania opartego na kliencie. W związku z tym nie można używać Składnik Lista systemu Microsoft Dynamics CRM po skonfigurowaniu organizacji Dynamics 365 dla integracji z SharePoint na serwerze.

Sprawdź wymagania wstępne

Przed skonfigurowaniem Microsoft Dynamics 365 (online) i SharePoint w wersji lokalnej do uwierzytelniania opartego na serwerze, muszą zostać spełnione następujące wymagania wstępne:

Wymagania wstępne programu SharePoint

• Microsoft SharePoint 2013 (wersja lokalna) z dodatkiem Service Pack 1 (SP1) lub nowszym

  Ważne

  Wersje Microsoft SharePoint Foundation 2013 nie są obsługiwane do użytku z zarządzaniem dokumentami Microsoft Dynamics 365.

• Poprawka KB2883081 dla programu SharePoint Foundation 2013, 12 sierpnia 2014 (Sts-x-none.msp)

  Ważne

  Następujące aktualizacje stanowią wymagania wstępne dla KB2883081 i mogą być wymagane.

  • https://support2.microsoft.com/kb/2768000

  • https://support.microsoft.com/kb/2767999

  • https://support.microsoft.com/kb/2880963

• Konfiguracja oprogramowania SharePoint

  • SharePoint musi być skonfigurowany tylko dla pojedynczego wdrożenia farmy.

  • Witryna SharePoint musi być dostępna przez Internet. Wsteczny serwer proxy może być również wymagany dla uwierzytelniania SharePoint. Więcej informacji: Konfigurowanie urządzenia wstecznego serwera proxy dla hybrydowego programu SharePoint Server 2013

  • Witryna SharePoint musi być skonfigurowany do używania protokołu SSL (HTTPS), a certyfikat musi zostać wydany przez publiczny główny urząd certyfikacji.Więcej informacji:SharePoint: Certyfikaty bezpiecznego kanału SSL

  • Wiarygodny użytkownik do użycia dla mapowania uwierzytelniania opartego na oświadczeniach między SharePoint i Microsoft Dynamics 365.Więcej informacji:Wybieranie typu mapowania uwierzytelniania opartego na oświadczeniach

  • Aby umożliwić udostępnianie dokumentów musi być włączona usługa wyszukiwania programu SharePoint.Więcej informacji:Tworzenie i konfigurowanie aplikacji usługi wyszukiwania w SharePoint Server

  • Dla funkcji zarządzania dokumentami przy użyciu aplikacji mobilnych Microsoft Dynamics 365, lokalny serwer SharePoint musi być dostępny przez Internet.

  • Jeśli używasz Microsoft SharePoint 2013, dla każdej farmy SharePoint, tylko jedna organizacja Microsoft Dynamics 365 może być konfigurowana do integracji opartej na serwerze.

Inne wymagania wstępne

• Licencja SharePoint Online. Autoryzacja na serwerze Microsoft Dynamics 365 (online) z SharePoint w wersji lokalnej musi mieć główną nazwę usługi SharePoint (SPN) zarejestrowaną w Azure Active Directory. Aby to osiągnąć wymagana jest co najmniej jedna licencja użytkownika SharePoint Online. Licencja SharePoint Online może pochodzić od licencji dla pojedynczego użytkownika i zazwyczaj pochodzi od jednej z poniższych:

  • Subskrypcja SharePoint Online. Wystarczy dowolny plan SharePoint Online, nawet jeśli licencja nie została przypisana do użytkownika.

  • Subskrypcja Office 365, która zawiera SharePoint Online. Na przykład, jeśli masz Office 365 E3, masz odpowiednią licencję, nawet jeśli nie została ona przypisana do użytkownika.

  Aby uzyskać więcej informacji dotyczących tych planów, zobacz Office 365: Wybierz plan i Porównywanie opcji programu SharePoint

• Następujące funkcje oprogramowania są wymagane do uruchomienia poleceń cmdlet PowerShell opisanych w tym temacie.

  • Asystent logowania w witrynie Microsoft Online Services dla specjalistów IT, wersja Beta

  • Moduł Azure Active Directory dla środowiska Windows PowerShell (wersja 64-bitowa)

  Ważne

  W czasie, gdy powstaje ten tekst, występuje problem z wersją RTW Asystenta logowania w witrynie Microsoft Online Services dla specjalistów IT. Do momentu rozwiązania problemu zalecamy korzystanie z wersji Beta.Więcej informacji:Fora Microsoft Azure: Nie można zainstalować modułu Azure Active Directory dla Windows PowerShell. Nie zainstalowano MOSSIA.

• Odpowiedni typ mapowania uwierzytelniania opartego na oświadczeniach do użycia podczas mapowania tożsamości między Microsoft Dynamics 365 (online) i SharePoint w wersji lokalnej. Domyślnie używany jest adres e-mail.Więcej informacji:Przyznaj uprawnienia Microsoft Dynamics 365 do dostępu do programu SharePoint i skonfiguruj mapowanie uwierzytelniania opartego na oświadczeniach

Zaktualizuj SharePoint Server SPN w usługach domenowych Azure Active Directory

Na lokalnym serwerze SharePoint, w powłoce zarządzania programu SharePoint 2013, uruchom te polecenia PowerShell w podanej kolejności.

1. Przygotuj sesję PowerShell.

   Następujące polecenia cmdlet umożliwiają komputerowi odbieranie poleceń zdalnych i dodają moduły Office 365 do sesji PowerShell. Aby uzyskać więcej informacji na temat poleceń cmdlets, zobacz Podstawowe polecenia cmdlet programu Windows PowerShell.

   Enable-PSRemoting -force
   New-PSSession
   Import-Module MSOnline -force
   Import-Module MSOnlineExtended -force
   

2. Połącz z Office 365.

   Po uruchomieniu polecenia Connect-MsolService musisz podać prawidłowy identyfikator Konto Microsoft z członkowstwem administratora globalnego Office 365 dla wymaganej licencji SharePoint Online.

   Aby uzyskać szczegółowe informacje o wszystkich poleceniach Azure Active DirectoryPowerShell wymienionych poniżej, zobacz MSDN: Zarządzanie Azure AD przy użyciu środowiska Windows PowerShell

   $msolcred = get-credential
   connect-msolservice -credential $msolcred
   

3. Skonfiguruj nazwę hosta SharePoint.

   Wartość ustawiana dla zmiennej HostName musi być pełną nazwą hosta zbioru witryn SharePoint. Nazwa hosta musi pochodzić z adresu URL zbioru witryn. Wielkość użytych w niej liter jest ważna. W tym przykładzie adres URL zbioru witryn to https://SharePoint.constoso.com/sites/salesteam, więc nazwą hosta jest SharePoint.contoso.com.

   $HostName = "SharePoint.contoso.com"
   

4. Pobierz identyfikator obiektu (najemcy) Office 365 i główną nazwę usługi (SPN) SharePoint Server.

   $SPOAppId = "00000003-0000-0ff1-ce00-000000000000"
   $SPOContextId = (Get-MsolCompanyInformation).ObjectID
   $SharePoint = Get-MsolServicePrincipal -AppPrincipalId $SPOAppId
   $ServicePrincipalName = $SharePoint.ServicePrincipalNames
   

5. Skonfiguruj SharePoint Server Nazwa główna usługi ACS (SPN) Azure Active Directory.

   $ServicePrincipalName.Add("$SPOAppId/$HostName") 
   Set-MsolServicePrincipal -AppPrincipalId $SPOAppId -ServicePrincipalNames $ServicePrincipalName 
   

Po zakończeniu tych poleceń nie zamykaj powłoki zarządzania programu SharePoint 2013 i przejdź do następnego kroku.

Zaktualizuj obszar programu SharePoint, aby był on zgodny z SharePoint Online

Na lokalnym serwerze SharePoint, w powłoce zarządzania programu SharePoint 2013, uruchom to polecenie Windows PowerShell.

Poniższe polecenie wymaga członkostwa administratora farmy SharePoint i konfiguruje obszar uwierzytelniania lokalnej farmy SharePoint.

Ostrzeżenie

Uruchomienie tego polecenia zmienia obszar uwierzytelniania lokalnej farmy SharePoint. W przypadku aplikacji, które używają istniejącej usługi tokenu zabezpieczającego (STS), może to spowodować nieoczekiwane zachowania z innymi aplikacjami, które używają tokenów dostępu. Więcej informacji: Set-SPAuthenticationRealm.

Set-SPAuthenticationRealm -Realm $SPOContextId

Utwórz wystawcę zaufanych tokenów zabezpieczeń dla Azure Active Directory w programie SharePoint

Na lokalnym serwerze SharePoint, w powłoce zarządzania programu SharePoint 2013, uruchom te polecenia PowerShell w podanej kolejności.

Następujące polecenia wymagają członkostwa administratorów farmy SharePoint.

Aby uzyskać szczegółowe informacje o tych poleceniach PowerShell, zobacz Użyj poleceń cmdlets środowiska Windows PowerShell do administrowania zabezpieczeniami w SharePoint 2013.

1. Włącz sesję PowerShell, aby wprowadzić zmiany w usłudze tokenu zabezpieczającego dla farmy SharePoint.

   $c = Get-SPSecurityTokenServiceConfig
   $c.AllowMetadataOverHttp = $true
   $c.AllowOAuthOverHttp= $true
   $c.Update()
   

2. Ustaw punkt końcowy metadanych.

   $metadataEndpoint = "https://accounts.accesscontrol.windows.net/" + $SPOContextId + "/metadata/json/1"
   $acsissuer  = "00000001-0000-0000-c000-000000000000@" + $SPOContextId
   $issuer = "00000007-0000-0000-c000-000000000000@" + $SPOContextId
   

3. Utwórz nowy proxy aplikacji sterowania tokenem w Azure Active Directory.

   New-SPAzureAccessControlServiceApplicationProxy -Name "Internal" -MetadataServiceEndpointUri $metadataEndpoint -DefaultProxyGroup
   

   Uwaga

   Polecenie New- SPAzureAccessControlServiceApplicationProxy może zwrócić komunikat o błędzie wskazujący, że serwer proxy aplikacji o tej samej nazwie już istnieje. Jeśli serwer proxy aplikacji o tej nazwie już istnieje, możesz zignorować ten błąd.

4. Utwórz nowego wystawcę sterowania tokenem w SharePoint w wersji lokalnej dla Azure Active Directory.

   $ = New-SPTrustedSecurityTokenIssuer –Name "ACSInternal" –IsTrustBroker:$true –MetadataEndpoint $metadataEndpoint -RegisteredIssuerName $acsissuer 
   

Przyznaj uprawnienia Microsoft Dynamics 365 do dostępu do programu SharePoint i skonfiguruj mapowanie uwierzytelniania opartego na oświadczeniach

Na lokalnym serwerze SharePoint, w powłoce zarządzania programu SharePoint 2013, uruchom te polecenia PowerShell w podanej kolejności.

Następujące polecenia wymagają członkostwa administratorów zbioru witryn SharePoint.

1. Zarejestruj Microsoft Dynamics 365 ze zbiorem witryn SharePoint.

   Wprowadź adres URL zbioru witryn lokalnych SharePoint. W tym przykładzie używamy https://sharepoint.contoso.com/sites/crm/.

   Ważne

   Aby ukończyć to polecenie, musi istnieć i działać serwer proxy aplikacji zarządzania aplikacji SharePoint. Aby uzyskać więcej informacji dotyczących sposobu uruchamiania i konfigurowania usługi, zobacz Konfigurowanie ustawień subskrypcji oraz podtemat Aplikacje usługi zarządzania aplikacją w Konfigurowanie środowiska dla aplikacji dla programu SharePoint (SharePoint 2013).

   $site = Get-SPSite "https://sharepoint.contoso.com/sites/crm/"
   Register-SPAppPrincipal -site $site.RootWeb -NameIdentifier $issuer -DisplayName "crm"
   

2. Przyznaj aplikacji Microsoft Dynamics 365 dostęp do witryny SharePoint. Zastąp https://sharepoint.contoso.com/sites/crm/ adresem URL Twojej witryny SharePoint.

   Uwaga

   W poniższym przykładzie aplikacja Dynamics 365 otrzymuje uprawnienie do określonego zbioru witryny SharePoint przy użyciu parametru –Zakres site collection. Parametr Zakres akceptuje następujące opcje. Wybierz zakres najbardziej odpowiedni dla Twojej konfiguracji SharePoint.

   • site. Udziela aplikacji Dynamics 365 uprawnienia tylko do określonej witryny sieci Web SharePoint. Nie udziela uprawnień do żadnych podwitryn witryny.

   • sitecollection. Udziela aplikacji Dynamics 365 uprawnienia do wszystkich witryn i podwitryn w określonym zbiorze witryn SharePoint.

   • sitesubscription. Udziela aplikacji Dynamics 365 uprawnienia do wszystkich witryn farmy programu SharePoint, włącznie z zbiorami witryn, witrynami i podwitrynami.

   $app = Get-SPAppPrincipal -NameIdentifier $issuer -Site "https://sharepoint.contoso.com/sites/crm/"
   Set-SPAppPrincipalPermission -AppPrincipal $app -Site $site.Rootweb -Scope "sitecollection" -Right "FullControl"
   

3. Ustaw typ mapowania uwierzytelniania opartego na oświadczeniach.

   Ważne

   Domyślnie, mapowanie uwierzytelniania opartego na oświadczeniach będzie używać do mapowania adresu e-mail użytkownika Konto Microsoft oraz należącego do użytkownika SharePoint w wersji lokalnej służbowego adresu e-mail. Jeśli tego używasz, adresy e-mail użytkownika w obu systemach muszą być zgodne. Aby uzyskać więcej informacji, zobacz temat Wybieranie typu mapowania uwierzytelniania opartego na oświadczeniach.

   $map1 = New-SPClaimTypeMapping -IncomingClaimType "https://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress" -IncomingClaimTypeDisplayName "EmailAddress" -SameAsIncoming
   

Uruchom Kreator Włącz opartą na serwerze integrację z programem SharePoint

W aplikacji Microsoft Dynamics 365 postępuj zgodnie z poniższymi krokami:

1. Przejdź do Ustawienia > Zarządzanie dokumentami. (Jak się tam dostać?)

2. W obszarze Zarządzanie dokumentami kliknijWłącz opartą na serwerze integrację z programem SharePoint.

3. Przejrzyj informacje, a następnie kliknijDalej.

4. Dla witryn SharePoint kliknijLokalne, a następnie kliknij Dalej.

5. Wprowadź adres URL zbioru witryny lokalnej wersji SharePoint, np. https://sharepoint.contoso.com/sites/crm. Witryna musi być skonfigurowana dla protokołu SSL.

6. KliknijDalej.

7. Pojawia się sekcja sprawdzania poprawności witryny. Jeśli wszystkie witryny zostaną uznane za prawidłowe, kliknijWłącz. Jeśli jedna lub kilka witryn zostaną uznane za nieprawidłowe, zobacz Rozwiązywanie problemów z uwierzytelnianiem opartym na serwerze.

Wybierz encje, które chcesz dołączyć do zarządzania dokumentami

Domyślnie dołączone są encje takie jak Konto, Artykuł, Potencjalny klient, Produkt, Oferta i Materiały sprzedażowe. Możesz dodawać lub usuwać encje, które będą używane do zarządzania dokumentami z SharePoint w Ustawienia zarządzania dokumentami w Microsoft Dynamics 365.Przejdź do Ustawienia > Zarządzanie dokumentami. (Jak się tam dostać?)Więcej informacji:Centrum obsługi klientów: Włączanie zarządzania dokumentami dla encji

Dodaj integrację OneDrive dla Firm

Po zakończeniu konfiguracji uwierzytelniania na serwerze dla Microsoft Dynamics 365 i SharePoint możesz również zintegrować OneDrive dla Firm. Dzięki integracji Microsoft Dynamics 365 i OneDrive dla Firm, Dynamics 365 użytkownicy mogą tworzyć i zarządzać dokumentami prywatnymi za pomocą OneDrive dla Firm. Dokumenty te są dostępne w Dynamics 365 jak tylko administrator systemu włączy OneDrive dla Firm.

Włącz OneDrive dla Firm

W Windows Server, gdzie działa SharePoint Server (wersja lokalna), otwórz powłokę zarządzania SharePoint i uruchom poniższe polecenia:

Add-Pssnapin *
# Access WellKnown App principal
[Microsoft.SharePoint.Administration.SPWebService]::ContentService.WellKnownAppPrincipals

# Create WellKnown App principal
$ClientId = "00000007-0000-0000-c000-000000000000"
$PermissionXml = "<AppPermissionRequests AllowAppOnlyPolicy=""true""><AppPermissionRequest Scope=""https://sharepoint/content/tenant"" Right=""FullControl"" /><AppPermissionRequest Scope=""https://sharepoint/social/tenant"" Right=""Read"" /><AppPermissionRequest Scope=""https://sharepoint/search"" Right=""QueryAsUserIgnoreAppPrincipal"" /></AppPermissionRequests>"

$wellKnownApp= New-Object -TypeName "Microsoft.SharePoint.Administration.SPWellKnownAppPrincipal" -ArgumentList ($ClientId, $PermissionXml)

$wellKnownApp.Update()

Wybieranie typu mapowania uwierzytelniania opartego na oświadczeniach

Domyślnie, mapowanie uwierzytelniania opartego na oświadczeniach będzie używać do mapowania adresu e-mail użytkownika Konto Microsoft oraz Służbowego adresu e-mail użytkownika lokalnej wersji SharePoint. Zauważ, że niezależnie od typu uwierzytelniania opartego na oświadczeniach, wartości, takie jak adresy e-mail, muszą być jednakowe w Microsoft Dynamics 365 (online) i SharePoint. Synchronizacja katalogów Office 365 może w tym pomóc.Więcej informacji:Wdrażanie synchronizacji katalogów Office 365 (DirSync) w Microsoft Azure Aby użyć innego typu mapowania uwierzytelniania opartego na oświadczeniach, zobacz Definiowanie niestandardowego mapowania oświadczenia dla opartej na serwerze integracji z programem SharePoint.

Ważne

Aby włączyć właściwość Służbowy adres e-mail, SharePoint w wersji lokalnej musi mieć skonfigurowaną i uruchomioną Aplikację obsługi profilu użytkownika. Aby włączyć Aplikację obsługi profilu użytkownika w SharePoint, zobacz Tworzenie, edytowanie lub usuwanie aplikacji obsługi profilu użytkownika w SharePoint Server 2013. Aby wprowadzić zmiany do właściwości użytkownika, takich jak Służbowy adres e-mail, zobacz Edytowanie właściwości profilu użytkownika. Aby uzyskać więcej informacji dotyczących Aplikacji obsługi profilu użytkownika, zobacz Omówienie aplikacji Obsługa profilu użytkownika w programie SharePoint Server 2013.

Zobacz też

Rozwiązywanie problemów z uwierzytelnianiem opartym na serwerze
Konfiguruj integrację programu SharePoint z Microsoft Dynamics 365

© 2017 Microsoft. Wszelkie prawa zastrzeżone. Prawa autorskie