Konfiguruj uwierzytelnianie oparte na serwerze z Microsoft Dynamics 365 (wersja lokalna) i SharePoint (wersja lokalna)

 

Data opublikowania: luty 2017

Dotyczy: Dynamics 365 (on-premises), Dynamics CRM 2016

W tym temacie opisano sposób konfigurowania integracji na serwerze między Dynamics 365 (wersja lokalna) a Microsoft SharePoint (wersja lokalna).

W tym temacie

Skonfiguruj opartą na serwerze integrację z Dynamics 365 i SharePoint

Dodaj integrację OneDrive dla Firm

Rozwiązywanie problemów związanych z opartą na serwerze integracją lokalnego serwera Dynamics 365 Server z SharePoint

Informacje o mapowaniu uwierzytelniania opartego na oświadczeniach

Praca z certyfikatami cyfrowymi

Pobierz identyfikator obszaru SharePoint

Skonfiguruj opartą na serwerze integrację z Dynamics 365 i SharePoint

Wykonaj kroki w podanej kolejności, aby skonfigurować Dynamics 365 (wersja lokalna) z Microsoft SharePoint Server (wersja lokalna).

Ważne

• Jeśli zadanie nie zostanie ukończone, i na przykład polecenie PowerShell zwróci komunikat o błędzie, problem musi zostać rozwiązany przed przejściem do następnego polecenia, zadania lub kroku.

• Po włączeniu opartej na serwerze integracji z programem SharePoint nie będzie można powrócić do poprzedniej metody uwierzytelniania opartego na kliencie. W związku z tym nie można używać Składnik Lista systemu Microsoft Dynamics CRM po skonfigurowaniu organizacji Dynamics 365 dla integracji z SharePoint na serwerze.

Sprawdź wymagania wstępne

Przed skonfigurowaniem Dynamics 365 (wersja lokalna) i SharePoint (wersja lokalna) do integracji opartej na serwerze, należy spełnić poniższe uprawnienia i wymagania wstępne.

Wymagane uprawnienia

Microsoft Dynamics 365

• Rola zabezpieczeń administratora systemu - to jest wymagane do uruchamiania Kreator włączania opartej na serwerze integracji z programem SharePoint w Microsoft Dynamics 365.

• Jeśli używasz certyfikatu z podpisem własnym dla celów dokonania oceny, musisz być członkiem lokalnej grupy Administratorzy na komputerze, na którym uruchomiony jest Microsoft Dynamics 365 Server.

SharePoint lokalny

• Członkostwo w grupie Administratorzy farmy - to jest wymagane do uruchamiania większości poleceń Windows PowerShell na serwerze SharePoint.

Wymagania wstępne programu SharePoint

• Jedna z poniższych wersji SharePoint:

  • SharePoint 2016 (w wersji wdrożonej w środowisku lokalnym).

    Uwaga

    Aktualizacja z grudnia 2016 dla usługi Dynamics 365 (wersje online i lokalne) jest wymagane, aby używać SharePoint 2016 z Dynamics 365 (wersja lokalna).Więcej informacji:Aktualizacja z grudnia 2016 dla Dynamics 365 (wersja online i lokalna)

  • Microsoft SharePoint 2013 (wersja lokalna) z dodatkiem Service Pack 1 (SP1) lub nowsza wersja z poniższymi aktualizacjami.

    • Poprawka KB2883081 dla programu SharePoint Foundation 2013, 12 sierpnia 2014 (Sts-x-none.msp)

    • Następujące aktualizacje stanowią wymagania wstępne dla KB2883081 i mogą być wymagane.

      • https://support2.microsoft.com/kb/2768000

      • https://support.microsoft.com/kb/2767999

      • https://support.microsoft.com/kb/2880963

• Konfiguracja oprogramowania SharePoint

  • SharePoint musi być skonfigurowany tylko dla pojedynczego wdrożenia farmy.

  • Aby użyć domyślnego mapowania uwierzytelniania opartego na oświadczeniach, domena Active Directory, w której zlokalizowane są serwer SharePoint i serwer Microsoft Dynamics 365 muszą być tą samą domeną, albo domena, w której zlokalizowany jest serwer SharePoint musi ufać domenie, w której zlokalizowany jest serwer Microsoft Dynamics 365 Server. Więcej informacji: Informacje o mapowaniu uwierzytelniania opartego na oświadczeniach.

  • Witryna SharePoint musi być skonfigurowana do używania protokołu TLS/SSL (HTTPS), a certyfikat musi zostać wydany przez publiczny główny urząd certyfikacji.Więcej informacji:SharePoint: Certyfikaty bezpiecznego kanału SSL

  • Należy utworzyć i uruchomić serwer proxy aplikacji usługi zarządzania aplikacją.Więcej informacji:Skonfiguruj środowisko aplikacji dla programu SharePoint

  • Należy skonfigurować i uruchomić aplikację obsługi profilu użytkownika.Więcej informacji:Tworzenie, edytowanie lub usuwanie aplikacji obsługi profilu użytkownika w SharePoint Server 2013

  • Aby umożliwić udostępnianie dokumentów musi być włączona usługa wyszukiwania programu SharePoint.Więcej informacji:Tworzenie i konfigurowanie aplikacji usługi wyszukiwania w SharePoint Server

  • Dla funkcji zarządzania dokumentami przy użyciu aplikacji mobilnych Microsoft Dynamics 365, lokalny serwer SharePoint musi być dostępny przez Internet.

  • Aby umożliwić użytkownikom tworzenie bibliotek dokumentów SharePoint z Dynamics 365, wymagane są następujące uprawnienia i konfiguracje:

    • Konto Active Directory użytkownika Dynamics 365 musi być członkiem grupy Członkowie witryny na zbiorze witryn SharePoint, gdzie dokumenty są przechowywane.

    • Domyślnie, mapowanie uwierzytelniania opartego na oświadczeniach będzie używać do mapowania głównego adresu e-mail użytkownika Dynamics 365 oraz służbowego adresu e-mail użytkownika lokalnej wersji SharePoint. Jeśli używane jest to mapowanie, adresy e-mail użytkownika w obu systemach muszą być zgodne. Więcej informacji: Informacje o mapowaniu uwierzytelniania opartego na oświadczeniach.

Inne wymagania wstępne i ograniczenia

• Cyfrowy certyfikat X509 używany do uwierzytelniania opartego na serwerze między Microsoft Dynamics 365 Server a serwerem SharePoint. Klucze certyfikatów musi mieć co najmniej 2048-bitowe szyfrowanie. W większości przypadków ten certyfikat musi zostać wystawiony przez zaufany urząd certyfikacji, ale dla celów dokonania oceny można użyć certyfikatu z podpisem własnym.

• Tożsamość puli aplikacji CRMAppPool musi mieć dostęp do odczytu do certyfikatu x509, który będzie używany do uwierzytelniania na serwerze z serwerem Microsoft Dynamics 365 Server i SharePoint. Aby udzielić takiego dostępu, można użyć przystawki Certyfikaty w konsoli MMC.

• Jeśli używasz Microsoft SharePoint 2013, dla każdej farmy SharePoint, tylko jedna organizacja Microsoft Dynamics 365 może być konfigurowana do integracji opartej na serwerze. Można połączyć więcej niż jedną organizację Microsoft Dynamics 365 z farmą serwerów SharePoint 2016.

Przygotuj serwer Microsoft Dynamics 365 do integracji opartej na serwerze

CertificateReconfiguration.ps1 to skrypt Windows PowerShell, który instaluje certyfikat do lokalnego magazynu certyfikatów, udziela określonego dostępu tożsamości usługi przetwarzania asynchronicznego Microsoft Dynamics 365 do certyfikatu, i aktualizuje Microsoft Dynamics 365 Server do używania certyfikatu.

Dodaj certyfikat serwer do serwera do lokalnego magazynu certyfikatów i bazy danych konfiguracji Microsoft Dynamics 365

1. Otwórz sesję polecenia PowerShell na wszystkich serwerach, gdzie zainstalowano rolę Pełny serwer Microsoft Dynamics 365 Server. Dla innych wdrożeń ról serwera, gdzie uruchamiasz polecenie cmdlet, aby zainstalować certyfikat zależy od używanej wersji programu Microsoft Dynamics 365.

   • Dla Dodatek Service Pack z grudnia 2016 dla usługi Microsoft Dynamics 365 (wersja lokalna) i nowszych wersji, uruchom to polecenie na wszystkich serwerach, gdzie działa rola Serwer aplikacji sieci Web.

   • Dla wersji Microsoft Dynamics CRM 2016 Service Pack 1 i nowszych, uruchom to polecenie na wszystkich serwerach, gdzie działa rola serwera Usługa asynchroniczna.

2. Zmień lokalizację na folder <dysk>: \Program Files\Microsoft Dynamics CRM\Tools.

3. Uruchom skrypt CertificateReconfiguration.ps1 Windows PowerShell opisany tutaj:

   • certificateFilepath\Personalcertfile.pfx . Wymagany parametr, który określa pełną ścieżkę do pliku wymiany informacji osobistych (.pfx). Więcej informacji: Praca z certyfikatami cyfrowymi.

   • passwordpersonal_certfile_password. Wymagany parametr, który określa hasło prywatnego certyfikatu.

   • certificateType S2STokenIssuer. Wymagany parametr, który określa typ certyfikatu. W przypadku Microsoft Dynamics 365 i opartej na serwerze integracji z SharePoint obsługiwany jest tylko S2STokenIssuer.

   • serviceAccount ‘DomainName\UserName’ lub ‘Usługa sieciowa’.

     • Dla Dodatek Service Pack z grudnia 2016 dla usługi Microsoft Dynamics 365 (wersja lokalna) i nowszych wersji:

       serviceAccount 'contoso\CRMWebAppServer' lub ‘Usługa sieciowa’. Wymagany parametr, który określa tożsamość dla roli Serwer aplikacji sieci Web. Tożsamością jest konto użytkownika domeny, takie jak contoso\CRMWebAppServer, lub Usługa sieciowa. Tożsamości zostanie przyznane uprawnienie do certyfikatu.

     • Dla wersji Microsoft Dynamics CRM 2016 Service Pack 1 i nowszych:

       serviceAccount 'contoso\CRMAsyncService' lub ‘Usługa sieciowa’. Wymagany parametr, który określa tożsamość dla Usługa asynchroniczna. Tożsamością jest konto użytkownika domeny, takie jak contoso\CRMAsyncService, lub Usługa sieciowa. Tożsamości zostanie przyznane uprawnienie do certyfikatu.

   • updateCrm. Dodaje informacje o certyfikacie do bazy danych konfiguracji Microsoft Dynamics 365.

     Ważne

     Nawet jeśli istnieje wiele wdrożonych ról Serwer aplikacji sieci Web lub Usługa asynchroniczna, wystarczy raz uruchomić polecenie przy użyciu parametru updateCrm.

   • storeFindType FindBySubjectDistinguishedName. Określa typ magazynu certyfikatu. Domyślnie ta wartość to FindBySubjectDistinguishedName i jest to wartość zalecana w przypadku uruchamiania skryptu.

   Ważne

   Chociaż parametry updateCrm i StoreFindType są opcjonalne dla uruchomienia polecenia, to parametry te są wymagane dla opartej na serwerze integracji z SharePoint, aby informacje o certyfikacie zostały dodane do bazy danych konfiguracji.

   Przykład

   .\CertificateReconfiguration.ps1 -certificateFile c:\Personalcertfile.pfx -password personal_certfile_password -updateCrm -certificateType S2STokenIssuer -serviceAccount Domain\UserName -storeFindType FindBySubjectDistinguishedName
   

Przygotuj farmę SharePoint do integracji opartej na serwerze

Pobierz identyfikator obszaru Dynamics 365

1. Uruchom Kreator włączania opartej na serwerze integracji z programem SharePoint.Przejdź do Ustawienia > Zarządzanie dokumentami. (Jak się tam dostać?)

2. Kliknij Dalej, kliknij Wersja lokalna, a następnie Dalej.

3. Identyfikator jest wyświetlany obok Identyfikator obszaru Dynamics 365 na stronie.

   Porada

   Zapisz identyfikator obszaru Dynamics 365 w pliku tekstowym w zabezpieczonym udziale sieciowym lub magazynie w chmurze. Możesz go łatwo pobrać z lokalizacji, w której uruchomiono Kreator włączania opartej na serwerze integracji z programem SharePoint.

Na lokalnym serwerze SharePoint, w powłoce zarządzania SharePoint uruchom te polecenia PowerShell w podanej kolejności.

Przygotuj serwer SharePoint do uwierzytelniania z Dynamics 365 Server

1. Jeśli używasz powłoki zarządzania PowerShell, która nie jest powłoką zarządzania SharePoint, musisz zarejestrować moduł SharePoint przy użyciu poniższego polecenia.

   Add-PSSnapin Microsoft.SharePoint.PowerShell
   

   Włącz sesję PowerShell, aby wprowadzić zmiany w usłudze tokenu zabezpieczającego dla farmy SharePoint.

   $c = Get-SPSecurityTokenServiceConfig
   $c.AllowMetadataOverHttp = $true
   $c.AllowOAuthOverHttp= $true
   $c.Update()
   

2. Utwórz obiekt zaufanej usługi tokenu zabezpieczającego, gdzie OrganizationName to unikatowa nazwa organizacji Microsoft Dynamics 365 a CrmSerwer to nazwa serwera sieci Web IIS, na którym zainstalowana została rola serwera aplikacji sieci Web Microsoft Dynamics 365, a -Nazwa “crm” jest używana, aby nazwać serwer tokenu zabezpieczającego (STS).

   Ważne

   • Podłączanie więcej niż jednej organizacji Microsoft Dynamics 365 do jednej farmy serwera Microsoft SharePoint 2013 nie jest obsługiwane. Można połączyć więcej niż jedną organizację Microsoft Dynamics 365 z farmą serwerów SharePoint 2016.

   • Po uruchomieniu polecenia New-SPTrustedSecurityTokenIssuer PowerShell należy określić protokół HTTPS dla punktu końcowego metadanych Microsoft Dynamics 365 jeśli witryna sieci Web aplikacji Microsoft Dynamics 365 ma tylko HTTPS lub powiązania protokołu HTTP i HTTPS, jest w poniższym przykładzie.

   New-SPTrustedSecurityTokenIssuer –Name "crm" –IsTrustBroker:$false –MetadataEndpoint https://CrmServer/XrmServices/2015/metadataendpoint.svc/json?orgName=OrganizationName
   

3. Zarejestruj Microsoft Dynamics 365 ze zbiorem witryn SharePoint.

   Aby uruchomić poniższe polecenia musisz określić poniższe dwa parametry:

   • Adres URL zbioru witryn lokalnych SharePoint. W tym przykładzie https://sharepoint.contoso.com/sites/crm/ jest używana dla adresu URL zbioru witryn.

   • CrmRealmId to identyfikator organizacji Microsoft Dynamics 365, którego chcesz użyć do zarządzania dokumentami z SharePoint.Więcej informacji:Pobierz identyfikator obszaru Dynamics 365

   Ważne

   Aby ukończyć te polecenia, musi istnieć i działać serwer proxy aplikacji zarządzania aplikacjami SharePoint. Aby uzyskać więcej informacji dotyczących sposobu uruchamiania i konfigurowania usługi, zobacz Konfigurowanie ustawień subskrypcji oraz temat Aplikacje usługi zarządzania aplikacją w Konfigurowanie środowiska dla aplikacji dla programu SharePoint (SharePoint 2013).

   $CrmRealmId = "CRMRealmId"
   
   $Identifier  = "00000007-0000-0000-c000-000000000000@" + $CrmRealmId
   
   $site = Get-SPSite "https://sharepoint.contoso.com/sites/crm/"
   
   Register-SPAppPrincipal -site $site.RootWeb -NameIdentifier $Identifier -DisplayName "crm"
   

4. Przyznaj aplikacji Microsoft Dynamics 365 dostęp do zbioru witryn SharePoint.

   Uwaga

   W poniższym przykładzie aplikacja Microsoft Dynamics 365 otrzymała uprawnienie do określonego zbioru witryny SharePoint dzięki użyciu parametru –Scope sitecollection. Parametr Zakres akceptuje następujące opcje. Użyj zakresu, który jest najbardziej odpowiedni dla Twojej konfiguracji SharePoint:

   • site. Udziela aplikacji Dynamics 365 uprawnienia tylko do określonej witryny sieci Web SharePoint. Nie udziela uprawnień do żadnych podwitryn witryny.

   • sitecollection. Udziela aplikacji Dynamics 365 uprawnienia do wszystkich witryn i podwitryn w określonym zbiorze witryn programu SharePoint.

   • sitesubscription. Udziela aplikacji Dynamics 365 uprawnienia do wszystkich witryn farmy programu SharePoint, włącznie z wszelkimi zbiorami witryny, witrynami i podwitrynami.

   $app = Get-SPAppPrincipal -NameIdentifier $Identifier -Site $site.Rootweb
   Set-SPAppPrincipalPermission -AppPrincipal $app -Site $site.Rootweb -Scope "sitecollection" -Right "FullControl" -EnableAppOnlyPolicy
   #"Set up claims-based authentication mapping"
   New-SPClaimTypeMapping -IncomingClaimType "https://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress" -IncomingClaimTypeDisplayName "EmailAddress" -SameAsIncoming
   

Uruchom Kreator włączania opartej na serwerze integracji z programem SharePoint

1. W aplikacji Microsoft Dynamics 365 przejdź do Ustawienia > Zarządzanie dokumentami.

2. W obszarze Zarządzanie dokumentami kliknij Włącz opartą na serwerze integrację z programem SharePoint.

3. Przejrzyj informacje, a następnie kliknij Dalej.

4. Dla witryn SharePoint kliknij Lokalne, a następnie kliknij Dalej.

5. Na etapie Przygotowywanie witryn, wprowadź poniższe informacje:

   • Kolekcja witryny SharePoint (wersja lokalna), URL, np. https://sharepoint.contoso.com/sites/crm. Witryna musi być skonfigurowana dla TLS/SSL.

   • Identyfikator obszaru programu SharePoint.Pobierz identyfikator obszaru SharePoint

6. Kliknij przycisk Dalej.

7. Pojawia się sekcja sprawdzania poprawności witryny. Jeśli wszystkie witryny są prawidłowe, kliknij Włącz. Jeśli jedna lub kilka witryn są nieprawidłowe, zobacz Rozwiązywanie problemów związanych z opartą na serwerze integracją lokalnego serwera Dynamics 365 Server z SharePoint.

Wybierz encje, które chcesz dołączyć do zarządzania dokumentami

Domyślnie dołączone są encje takie jak Konto, Artykuł, Potencjalny klient, Produkt, Oferta i Materiały sprzedażowe. Możesz dodawać lub usuwać encje, które będą używane do zarządzania dokumentami z SharePoint w Ustawienia zarządzania dokumentami w Microsoft Dynamics 365.Przejdź do Ustawienia > Zarządzanie dokumentami. (Jak się tam dostać?)Więcej informacji:Centrum obsługi klientów: Włączanie zarządzania dokumentami dla encji

Dodaj integrację OneDrive dla Firm

Po zakończeniu konfiguracji uwierzytelniania na serwerze dla Microsoft Dynamics 365 i SharePoint (wersja lokalna) możesz również zintegrować OneDrive dla Firm. Dzięki integracji Microsoft Dynamics 365OneDrive dla Firm, użytkownicy Microsoft Dynamics 365 mogą tworzyć i zarządzać dokumentami prywatnymi za pomocą OneDrive dla Firm. Dokumenty te są dostępne w Dynamics 365 jak tylko administrator systemu włączy OneDrive dla Firm.

Włącz OneDrive dla Firm

W Windows Server, gdzie działa SharePoint Server (wersja lokalna) otwórz powłokę zarządzania SharePoint i uruchom poniższe polecenia.

Add-Pssnapin *
# Access WellKnown App principal
[Microsoft.SharePoint.Administration.SPWebService]::ContentService.WellKnownAppPrincipals

# Create WellKnown App principal
$ClientId = "00000007-0000-0000-c000-000000000000"
$PermissionXml = "<AppPermissionRequests AllowAppOnlyPolicy=""true""><AppPermissionRequest Scope=""https://sharepoint/content/tenant"" Right=""FullControl"" /><AppPermissionRequest Scope=""https://sharepoint/social/tenant"" Right=""Read"" /><AppPermissionRequest Scope=""https://sharepoint/search"" Right=""QueryAsUserIgnoreAppPrincipal"" /></AppPermissionRequests>"

$wellKnownApp= New-Object -TypeName "Microsoft.SharePoint.Administration.SPWellKnownAppPrincipal" -ArgumentList ($ClientId, $PermissionXml)

$wellKnownApp.Update()

Rozwiązywanie problemów związanych z opartą na serwerze integracją lokalnego serwera Dynamics 365 Server z SharePoint

Aby uzyskać więcej informacji na temat rozwiązywania problemów z Kreator włączania opartej na serwerze integracji z programem SharePoint i przeglądania dzienników monitoringu SharePoint zobacz Rozwiązywanie problemów z uwierzytelnianiem opartym na serwerze.

Znane problemy

Do zarządzania dokumentacją z rozwiązywaniem problemów z SharePoint i innymi znanymi problemami, zobacz Rozwiązywanie problemów z uwierzytelnianiem opartym na serwerze.

Informacje o mapowaniu uwierzytelniania opartego na oświadczeniach

Domyślnie oparte na serwerze uwierzytelnianie między Dynamics 365 (wersja lokalna) a SharePoint (wersja lokalna) za pomocą identyfikatora zabezpieczeń użytkownika (SID) uwierzytelnia wszystkich użytkowników. Jeśli Microsoft Dynamics 365 Server i SharePoint znajdują się w różnych domenach Active Directory, które nie są w relacji zaufania, musisz użyć niestandardowego mapowania uwierzytelniania oparte na oświadczeniach, takiego jak adres e-mail użytkownika.Więcej informacji:Zdefiniuj niestandardowe mapowanie oświadczenia dla opartej na serwerze integracji z programem SharePoint

Praca z certyfikatami cyfrowymi

Poniższa procedura tworzy plik wymiany informacji osobistych (pfx).

1. Na komputerze, który ma dostęp do certyfikatu, który ma być używany do przeprowadzania uwierzytelniania pomiędzy serwerami, kliknij Start, kliknij Uruchom, wpisz MMC, a następnie naciśnij klawisz Enter.

2. Kliknij Plik, a następnie kliknij Dodaj/Usuń przystawkę.

3. Na liście dostępnych przystawek kliknij Certyfikaty, kliknij Dodaj, kliknij Konto komputera, kliknij Dalej, kliknij Zakończ, aby wybrać komputer lokalny, a następnie kliknij OK.

4. Rozwiń Certyfikaty, rozwiń Osobiste, a następnie kliknij Certyfikaty.

5. Kliknij prawym przyciskiem myszy certyfikat, którego chcesz użyć w celu utworzenia pliku certyfikatu osobistego, wskaż Wszystkie zadania, a następnie kliknij Eksportuj.

6. Kliknij Dalej, kliknij Tak, aby wyeksportować klucz prywatny, upewnij się, że zostały zaznaczone poniższe opcje, a następnie kliknij Dalej.

   • Jeśli to możliwe, dołącz wszystkie certyfikaty do ścieżki certyfikacji

   • Eksportuj wszystkie właściwości rozszerzone

7. Kliknij Przeglądaj i wprowadź lokalizację i nazwę pliku dla pliku .pfx, a następnie kliknij Zapisz.

8. Kliknij Dalej, a następnie kliknij Zakończ.

Pobierz identyfikator obszaru SharePoint

Uruchom następujące polecenia środowiska PowerShell w Powłoce zarządzania SharePoint, gdzie https://sharepoint.contoso.com/sites/crm/ to adres URL dla zbioru witryn SharePoint.

Get-SPAuthenticationRealm -ServiceContext https://sharepoint.contoso.com/sites/crm/

Alternatywnie, możesz znaleźć identyfikator obszaru SharePoint w ustawieniach uprawnień aplikacji witryny dla zbioru witryn SharePoint.

1. Zaloguj się do zbioru witryn SharePoint, którego będziesz używał do zarządzania dokumentami z Microsoft Dynamics 365.

2. Przejdź do Ustawienia witryny > Uprawnienia aplikacji witryny.

3. Identyfikator obszaru jest wyświetlany w obszarze Identyfikator aplikacji, po prawej stronie znaku @. Skopiuj go do Schowka. W Kreator włączania opartej na serwerze integracji z programem SharePoint, wklej tylko identyfikator GUID. Nie wklejaj żadnej części identyfikatora z lewej strony znaku @.

© 2017 Microsoft. Wszelkie prawa zastrzeżone. Prawa autorskie