Configurar a autenticação baseada em servidor com o Dynamics CRM Online e o SharePoint local

 

Publicado: novembro de 2016

Aplicável a: Dynamics CRM 2015

Introduzida no Atualização 1 do Microsoft Dynamics CRM Online 2015, a integração com o Microsoft SharePoint baseada em servidor para gerenciamento de documentos agora pode ser usada para conectar o Microsoft Dynamics CRM Online ao SharePoint local. Ao usar autenticação baseada em servidor, os Serviços de Controle de Acesso (ACS) do Active Directory do Azure são usados como o corretor e os usuários não precisam entrar no SharePoint. Adicionalmente, o controle da lista, que exige o recurso de área restrita preterido do SharePoint, não é necessário para exibir documentos do SharePoint em exibições do Microsoft Dynamics 365.

Permissões necessárias

Office 365

• Associação de administradores globais do Office 365. É necessária para acesso no nível administrativo à assinatura do Microsoft Office 365 e para executar os cmdlets do Microsoft AzurePowerShell.

Microsoft Dynamics CRM Online

• O privilégio Executar o Assistente de Integração com o SharePoint. Isso é necessário executar o assistente de Habilitar a Autenticação Baseada em Servidor no Microsoft Dynamics 365.

  Por padrão, o direito de acesso Administrador do Sistema tem essa permissão.

SharePoint (no local)

• Associação ao grupo Administradores de farm. Isso é necessário para executar a maioria dos comandos do PowerShell no servidor do SharePoint.

Configurar a autenticação servidor para servidor com o CRM Online e o SharePoint local

Siga as etapas na ordem apresentada para configurar o CRM Online com o SharePoint 2013 local.

Importante

As etapas descritas a seguir devem ser realizadas na ordem apresentada. Se uma tarefa não for concluída, como um comando do PowerShell que retorne uma mensagem de erro, o problema deverá ser solucionado antes de você prosseguir para o próximo comando, tarefa ou etapa.

Verificar os pré-requisitos

Antes de configurar o Microsoft Dynamics CRM Online e o SharePoint local para a autenticação baseada em servidor, os pré-requisitos a seguir deverão ser atendidos.

Pré-requisitos do SharePoint

• Microsoft SharePoint 2013 (local) com Service Pack 1 () SP1 ou versão posterior

  Importante

  As versões do Microsoft SharePoint Foundation 2013 não têm suporte para uso com o gerenciamento de documentos do Microsoft Dynamics 365.

• Hotfix KB2883081 para SharePoint Foundation 2013 12 de agosto de 2014 (Sts-x-none.msp)

  Importante

  As atualizações a seguir são pré-requisitos para o KB2883081 e também podem ser necessárias.

  • https://support2.microsoft.com/kb/2768000

  • https://support.microsoft.com/kb/2767999

  • https://support.microsoft.com/kb/2880963

• Configuração do SharePoint

  • O SharePoint deve ser configurado somente para uma implantação de farm único.

  • O site do SharePoint deve estar acessível pela Internet. Um proxy reverso também pode ser necessário para a autenticação do SharePoint. Mais informações: Configurar um dispositivo de proxy reverso para um híbrido do SharePoint Server 2013

  • O siteSharePoint deve ser configurado para usar SSL (HTTPS) e o certificado deve ser emitido por uma Autoridade de Certificação de raiz pública.Para obter mais informações:SharePoint: Sobre certificados SSL de canal seguro

  • Uma propriedade de usuário confiável para uso para mapeamento da autenticação baseada em declarações entre o SharePoint e o Microsoft Dynamics 365.Para obter mais informações:Selecionando um tipo de mapeamento de autenticação baseada em declarações

Outros pré-requisitos

• Licença do SharePoint Online. O Microsoft Dynamics CRM Online para a autenticação baseada em servidor local do SharePoint deve ter o SPN (nome da entidade de serviço) do SharePoint registrado no Active Directory do Azure. Para conseguir isso, pelo menos uma licença de usuário do SharePoint Online é necessária. A licença do SharePoint Online pode derivar de uma única licença de usuário e costuma ser obtida de:

  • Uma assinatura do SharePoint Online. Qualquer plano do SharePoint Online é suficiente, mesmo que a licença não seja atribuída a um usuário.

  • Uma assinatura do Office 365 que inclua o SharePoint Online. Por exemplo, se você tiver o Office 365 E3, terá o licenciamento adequado, mesmo que a licença não seja atribuída a um usuário.

  Para obter mais informações sobre esses planos, consulte Office 365: Selecionar um plano e Comparar opções do SharePoint

• Os seguintes recursos de software são necessários para a execução dos cmdlets do PowerShell descritos neste tópico.

  • Assistente do Microsoft Online Services para os profissionais de TI Beta

  • Módulo do Active Directory do Azure para Windows PowerShell (versão de 64 bits)

  Importante

  No momento em que este documento estava sendo escrito, havia um problema com a versão RTW do Assistente de Entrada do Microsoft Online Services para Profissionais de TI. Quando o problema for resolvido, será recomendável usar a versão Beta.Para obter mais informações:Fóruns do Microsoft Azure: não é possível instalar o módulo do Active Directory do Azure para o Windows PowerShell. MOSSIA não está instalado.

• Um tipo de mapeamento da autenticação baseada em declarações adequado ao uso de identidades de mapeamento entre o Microsoft Dynamics CRM Online e o SharePoint local. Por padrão, o endereço de email é usado.Para obter mais informações:Conceder permissão ao Microsoft Dynamics CRM para acessar o SharePoint e configurar o mapeamento da autenticação baseada em declarações

Atualizar o SPN do SharePoint Server no ACS

No servidor do SharePoint local, no Shell de Gerenciamento do SharePoint 2013, execute estes comandos do PowerShell na ordem determinada.

1. Prepare a sessão do PowerShell.

   Os cmdlets a seguir permitem que o computador receba comandos remotos e adicionam módulos do Office 365 à sessão do PowerShell. Para obter mais informações sobre esses cmdlets, consulte Cmdlets fundamentais do Windows PowerShell.

   Enable-PSRemoting -force
   New-PSSession
   Import-Module MSOnline -force
   Import-Module MSOnlineExtended -force
   

2. Conecte-se ao Office 365.

   Ao executar o comando Connect-MsolService, você deve fornecer uma Conta da Microsoft válida que tenha a associação de Administrador Global do Office 365 para a licença do SharePoint Online exigida.

   Para obter informações detalhadas sobre cada um dos comandos do Active Directory do AzurePowerShell listados aqui, consulte MSDN: Gerenciar o AD do Azure usando o Windows PowerShell.

   $msolcred = get-credential
   connect-msolservice -credential $msolcred
   

3. Defina o nome de host do SharePoint.

   O valor a ser definido para a variável HostName deve ser o nome de host completo do conjunto de sites do SharePoint. O nome de host deve derivar do conjunto de sites e fazer distinção entre maiúsculas e minúsculas. Neste exemplo, a URL do conjunto de sites é https://SharePoint.constoso.com/sites/salesteam e, portanto, o nome de host deverá ser SharePoint.contoso.com.

   $HostName = "SharePoint.contoso.com"
   

4. Obtenha a id (locatário) do objeto do Office 365 e o SPN (Nome da Entidade de Serviço) do SharePoint Server.

   $SPOAppId = "00000003-0000-0ff1-ce00-000000000000"
   $SPOContextId = (Get-MsolCompanyInformation).ObjectID
   $SharePoint = Get-MsolServicePrincipal -AppPrincipalId $SPOAppId
   $ServicePrincipalName = $SharePoint.ServicePrincipalNames
   

5. Defina o SPN (Nome da Entidade de Serviço) do SharePoint Server no ACS.

   $ServicePrincipalName.Add("$SPOAppId/$HostName") 
   Set-MsolServicePrincipal -AppPrincipalId $SPOAppId -ServicePrincipalNames $ServicePrincipalName 
   

Após a conclusão desses comandos, não feche o Shell de Gerenciamento do SharePoint 2013 e prossiga para a próxima etapa.

Atualize o realm do SharePoint para que ele corresponda ao do SharePoint Online

No servidor do SharePoint local, no Shell de Gerenciamento do SharePoint 2013, execute este comando do Windows PowerShell.

O comando a seguir exige a associação de administrador de farm do SharePoint e define o realm de autenticação do farm do SharePoint local.

Aviso

A execução deste comando altera o realm de autenticação do farm do SharePoint local. Para aplicativos que usam um STS (serviço de token de segurança) existente, isso poderá causar um comportamento inesperado com outros aplicativos que usem tokens de acesso. Mais informações: Set-SPAuthenticationRealm.

Set-SPAuthenticationRealm -Realm $SPOContextId

Criar um emissor de token de segurança confiável para o ACS no SharePoint

No servidor do SharePoint local, no Shell de Gerenciamento do SharePoint 2013, execute estes comandos do PowerShell na ordem determinada.

Os comandos a seguir exigem a associação de administrador de farm do SharePoint.

Para obter informações detalhadas sobre esses comandos do PowerShell, consulte Usar cmdlets do Windows PowerShell para administrar segurança no SharePoint 2013.

1. Habilite a sessão do PowerShell para fazer alterações no serviço de token de segurança para o farm do SharePoint.

   $c = Get-SPSecurityTokenServiceConfig
   $c.AllowMetadataOverHttp = $true
   $c.AllowOAuthOverHttp= $true
   $c.Update()
   

2. Defina o ponto de extremidade dos metadados.

   $metadataEndpoint = "https://accounts.accesscontrol.windows.net/" + $SPOContextId + "/metadata/json/1"
   $acsissuer = "00000001-0000-0000-c000-000000000000@" + $SPOContextId
   $issuer = "00000007-0000-0000-c000-000000000000@" + $SPOContextId
   

3. Criar o novo proxy de aplicativo do serviço de controle de token no ACS.

   New-SPAzureAccessControlServiceApplicationProxy -Name "ACSInternal" -MetadataServiceEndpointUri $metadataEndpoint -DefaultProxyGroup
   

   Observação

   O comando New- SPAzureAccessControlServiceApplicationProxy pode retornar uma mensagem de erro informando que um proxy de aplicativo de ACS com o mesmo nome já existe. Se o proxy de aplicativos de ACS chamado já existir, você poderá ignorar o erro.

4. Crie o novo emissor do serviço de controle de token no SharePoint local para o ACS.

   $acs = New-SPTrustedSecurityTokenIssuer –Name "ACSInternal" –IsTrustBroker:$true –MetadataEndpoint $metadataEndpoint -RegisteredIssuerName $acsissuer 
   

Conceder permissão ao Microsoft Dynamics CRM para acessar o SharePoint e configurar o mapeamento da autenticação baseada em declarações

No servidor do SharePoint local, no Shell de Gerenciamento do SharePoint 2013, execute estes comandos do PowerShell na ordem determinada.

Os comandos a seguir exigem a associação de administração de conjunto de sites do SharePoint.

1. Registre o Microsoft Dynamics 365 no conjunto de sites do SharePoint.

   Insira a URL do conjunto de sites do SharePoint local. Neste exemplo, https://sharepoint.contoso.com/sites/crm/ é usado.

   Importante

   Para concluir esse comando, o Proxy de Aplicativo de Serviço de Gerenciamento de Aplicativos do SharePoint deverá existir e estar em execução. Para obter mais informações sobre como iniciar e configurar o serviço, consulte o subtópico Definir as configurações de assinatura e os aplicativos de serviço de gerenciamento de aplicativos em Configurar um ambiente para aplicativos para o SharePoint (SharePoint 2013).

   $site = Get-SPSite "https://sharepoint.contoso.com/sites/crm/"
   Register-SPAppPrincipal -site $site.RootWeb -NameIdentifier $issuer -DisplayName "crm"
   

2. Conceda acesso de aplicativo do Microsoft Dynamics 365 para o site do SharePoint. Substitua https://sharepoint.contoso.com/sites/crm/ pela URL do site do SharePoint.

   Observação

   No exemplo a seguir, é concedida permissão ao aplicativo Dynamics 365 para o conjunto de sites do SharePoint especificado usando o parâmetro de conjunto de sites –Scope. O parâmetro de escopo aceita as seguintes opções. Escolha o escopo que seja mais apropriado para sua configuração do SharePoint.

   • site. Concede permissão do aplicativo Dynamics 365 somente ao site especificado do SharePoint. Não concede permissão a nenhum subsite no site chamado.

   • sitecollection. Concede a permissão do aplicativo Dynamics 365 para todos os sites e subsites dentro do conjunto de sites especificado do SharePoint.

   • sitesubscription. Concede a permissão do aplicativo Dynamics 365 para todos os sites na farm do SharePoint, incluindo todos os conjuntos de sites, os sites e os subsites.

   $app = Get-SPAppPrincipal -NameIdentifier $issuer -Site "https://sharepoint.contoso.com/sites/crm/"
   Set-SPAppPrincipalPermission -AppPrincipal $app -Site $site.Rootweb -Scope "sitecollection" -Right "FullControl"
   

3. Defina o tipo de mapeamento de autenticação baseada em declarações.

   Importante

   Por padrão, o mapeamento de autenticação baseada em declarações usará o endereço de email do Conta da Microsoft do usuário e o endereço de Email de trabalho do SharePoint local para mapeamento. Quando você usar isso, os endereços de email do usuário deverão corresponder entre os dois sistemas. Para obter mais informações, consulte Selecionando um tipo de mapeamento de autenticação baseada em declarações.

   $map1 = New-SPClaimTypeMapping -IncomingClaimType "https://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress" -IncomingClaimTypeDisplayName "EmailAddress" -SameAsIncoming
   

Executar o assistente de Habilitar a Integração com o SharePoint baseada em servidor

No aplicativo Microsoft Dynamics 365, siga estas etapas.

1. Vá para Configurações > Gerenciamento de Documentos.

2. Na área Gerenciamento de Documentos, escolha Habilitar integração com o SharePoint baseada em servidor.

3. Examine as informações e escolha Avançar.

4. Para os sites do SharePoint, escolhaLocal e escolha Avançar.

5. Insira a URL do conjunto de sites do SharePoint local, como https://sharepoint.contoso.com/sites/crm. O site já deverá estar configurado para SSL.

6. Selecione Próximo.

7. A seção para validar sites aparece. Se todos os sites forem determinados como válidos, escolha Habilitar. Se um ou vários sites forem determinados como inválidos, consulte Solucionando problemas da autenticação baseada em servidor.

Selecionar as entidades que você deseja incluir no gerenciamento de documentos

Por padrão, as entidades Conta, Artigo, Lead, Produto, Cotação e Especificações são incluídas. Você pode adicionar ou remover as entidades que serão usadas para gerenciamento de documentos com o SharePoint em Configurações de Gerenciamento de Documentos no Microsoft Dynamics 365.Vá para Configurações > Gerenciamento de Documentos.Para obter mais informações:Central de Clientes: Habilitar o gerenciamento de documentos em entidades

Selecionando um tipo de mapeamento de autenticação baseada em declarações

Por padrão, o mapeamento de autenticação baseada em declarações usará o endereço de email do Conta da Microsoft do usuário e o endereço de email de trabalho do SharePoint local para mapeamento. Observe que, seja qual for o tipo de autenticação baseada em declarações usado, os valores, como endereços de email, deverá haver uma correspondência entre o Microsoft Dynamics CRM Online e o SharePoint. A sincronização de diretório do Office 365 pode ajudar.Para obter mais informações:Implantar a sincronização de diretório do Office 365 (DirSync) no Microsoft Azure Para usar um tipo diferente de mapeamento de autenticação baseada em declarações, consulte MSDN: Definir mapeamento de declarações personalizadas para integração baseada em servidor com o SharePoint.

Importante

Para habilitar a propriedade Email de trabalho, o SharePoint local deverá ter um Aplicativo de Serviço de Perfil de Usuário configurado e iniciado. Para habilitar um Aplicativo de Serviço de Perfil de Usuário no SharePoint, consulte Criar, editar ou excluir aplicativos de serviço de Perfil de Usuário no SharePoint Server 2013. Para fazer alterações em uma propriedade de usuário, como Email de trabalho, consulte Editar uma propriedade de perfil de usuário. Para obter mais informações sobre o Aplicativo de Serviço de Perfil de Usuário, consulte Visão geral do aplicativo de serviço Perfil de Usuário no SharePoint Server 2013.

Confira Também

Solucionando problemas da autenticação baseada em servidor
Configurar a integração do SharePoint com o Microsoft Dynamics CRM

© 2016 Microsoft Corporation. Todos os direitos reservados. Direitos autorais