Configurar a autenticação baseada em servidor com o Dynamics 365 Online e o SharePoint local
Publicado: fevereiro de 2017
Aplicável a: Dynamics 365 (online), Dynamics 365 (on-premises), Dynamics CRM 2016, Dynamics CRM Online
Introduzida no Atualização 1 do Microsoft Dynamics CRM Online 2015, a integração do Microsoft SharePoint baseada em servidor para gerenciamento de documentos pode ser usada para conectar o Microsoft Dynamics 365 (online) ao SharePoint local. Ao usar a autenticação com base em servidor, o Azure AD Domain Services é usado como o agente confiável, e os usuários não precisam iniciar sessão no SharePoint.
Neste tópico
Permissões necessárias
Configurar a autenticação servidor para servidor com o Dynamics 365 (online) e o SharePoint local
Adicionar integração do OneDrive for Business
Selecionando um tipo de mapeamento de autenticação baseada em declarações
Permissões necessárias
Office 365
- Associação de administradores globais do Office 365 - é necessária para acesso no nível administrativo à assinatura do Microsoft Office 365 e para executar os cmdlets do Microsoft AzurePowerShell.
Microsoft Dynamics 365 (online)
O privilégio Executar o Assistente de Integração com o SharePoint. Isso é necessário executar o assistente de Habilitar a Autenticação Baseada em Servidor no Microsoft Dynamics 365.
Por padrão, o direito de acesso Administrador do Sistema tem essa permissão.
SharePoint (no local)
- Associação ao grupo Administradores de farm - é necessária para executar a maioria dos comandos do PowerShell no servidor SharePoint.
Configurar a autenticação servidor para servidor com o Dynamics 365 (online) e o SharePoint local
Siga as etapas na ordem apresentada para configurar o Dynamics 365 (online) com o SharePoint 2013 local.
Importante
-
As etapas descritas a seguir devem ser realizadas na ordem apresentada. Se uma tarefa não for concluída, como um comando do PowerShell que retorne uma mensagem de erro, o problema deverá ser solucionado antes de você prosseguir para o próximo comando, tarefa ou etapa.
-
Depois que você permite a integração do SharePoint baseada em servidor, você não poderá reverter para o método de autenticação baseado em cliente anterior. Portanto, não é possível usar o Componente de Lista do Microsoft Dynamics CRM depois de configurar sua organização Dynamics 365 para a integração do SharePoint com base no servidor.
Verificar os pré-requisitos
Antes de configurar o Microsoft Dynamics 365 (online) e o SharePoint local para a autenticação baseada em servidor, os pré-requisitos a seguir deverão ser atendidos:
Pré-requisitos do SharePoint
Microsoft SharePoint 2013 (local) com Service Pack 1 () SP1 ou versão posterior
Importante
As versões do Microsoft SharePoint Foundation 2013 não têm suporte para uso com o gerenciamento de documentos do Microsoft Dynamics 365.
Hotfix KB2883081 para SharePoint Foundation 2013 12 de agosto de 2014 (Sts-x-none.msp)
Importante
As atualizações a seguir são pré-requisitos para o KB2883081 e também podem ser necessárias.
Configuração do SharePoint
O SharePoint deve ser configurado somente para uma implantação de farm único.
O site do SharePoint deve estar acessível pela Internet. Um proxy reverso também pode ser necessário para a autenticação do SharePoint. Mais informações: Configurar um dispositivo de proxy reverso para um híbrido do SharePoint Server 2013
O siteSharePoint deve ser configurado para usar SSL (HTTPS) e o certificado deve ser emitido por uma Autoridade de Certificação de raiz pública.Para obter mais informações:SharePoint: Sobre certificados SSL de canal seguro
Uma propriedade de usuário confiável para uso para mapeamento da autenticação baseada em declarações entre o SharePoint e o Microsoft Dynamics 365.Para obter mais informações:Selecionando um tipo de mapeamento de autenticação baseada em declarações
Compartilhando do documento, o serviço de pesquisa do SharePoint deve ser habilitado.Para obter mais informações:Criar e configurar um aplicativo do serviço de pesquisa do SharePoint Server
Para a funcionalidade de gerenciamento de documentos para usar os Microsoft Dynamics 365, apps móveis do servidor SharePoint local deverá ser disponibilizado pela Internet.
Se você usar Microsoft SharePoint 2013 para cada farm SharePoint, apenas uma organização Microsoft Dynamics 365 pode ser configurada para integração baseada em servidor.
Outros pré-requisitos
Licença do SharePoint Online. O Microsoft Dynamics 365 (online) para a autenticação baseada em servidor do SharePoint local deve ter o SPN (nome da entidade de serviço) do SharePoint registrado no Active Directory do Azure. Para conseguir isso, pelo menos uma licença de usuário do SharePoint Online é necessária. A licença do SharePoint Online pode derivar de uma única licença de usuário e costuma ser obtida de:
Uma assinatura do SharePoint Online. Qualquer plano do SharePoint Online é suficiente, mesmo que a licença não seja atribuída a um usuário.
Uma assinatura do Office 365 que inclua o SharePoint Online. Por exemplo, se você tiver o Office 365 E3, terá o licenciamento adequado, mesmo que a licença não seja atribuída a um usuário.
Para obter mais informações sobre esses planos, consulte Office 365: Selecionar um plano e Comparar opções do SharePoint
Os seguintes recursos de software são necessários para a execução dos cmdlets do PowerShell descritos neste tópico.
Assistente do Microsoft Online Services para os profissionais de TI Beta
Módulo do Active Directory do Azure para Windows PowerShell (versão de 64 bits)
Importante
No momento em que este documento estava sendo escrito, havia um problema com a versão RTW do Assistente de Entrada do Microsoft Online Services para Profissionais de TI. Quando o problema for resolvido, será recomendável usar a versão Beta.Para obter mais informações:Fóruns do Microsoft Azure: não é possível instalar o módulo do Active Directory do Azure para Windows PowerShell. MOSSIA não está instalado.
Um tipo de mapeamento da autenticação baseada em declarações adequado ao uso de identidades de mapeamento entre o Microsoft Dynamics 365 (online) e o SharePoint local. Por padrão, o endereço de email é usado.Para obter mais informações:Conceder permissão ao Microsoft Dynamics 365 para acessar o SharePoint e configurar o mapeamento da autenticação baseada em declarações
Atualizar o SPN do SharePoint Server em Serviços de Domínio Azure Active Directory
No servidor do SharePoint local, no Shell de Gerenciamento do SharePoint 2013, execute estes comandos do PowerShell na ordem determinada.
Prepare a sessão do PowerShell.
Os cmdlets a seguir permitem que o computador receba comandos remotos e adicionam módulos do Office 365 à sessão do PowerShell. Para obter mais informações sobre esses cmdlets, consulte Cmdlets fundamentais do Windows PowerShell.
Enable-PSRemoting -force New-PSSession Import-Module MSOnline -force Import-Module MSOnlineExtended -force
Conecte-se ao Office 365.
Ao executar o comando Connect-MsolService, você deve fornecer uma Conta da Microsoft válida que tenha a associação de Administrador Global do Office 365 para a licença do SharePoint Online exigida.
Para obter informações detalhadas sobre cada um dos comandos do Active Directory do AzurePowerShell listados aqui, consulte MSDN: Gerenciar o Azure AD usando o Windows PowerShell
$msolcred = get-credential connect-msolservice -credential $msolcred
Defina o nome de host do SharePoint.
O valor a ser definido para a variável HostName deve ser o nome de host completo do conjunto de sites do SharePoint. O nome de host deve derivar do URL do conjunto de sites e fazer distinção entre maiúsculas e minúsculas. Neste exemplo, a URL do conjunto de sites é https://SharePoint.constoso.com/sites/salesteam, e, portanto, o nome de host deverá ser SharePoint.contoso.com.
$HostName = "SharePoint.contoso.com"
Obtenha a id (locatário) do objeto do Office 365 e o SPN (Nome da Entidade de Serviço) do SharePoint Server.
$SPOAppId = "00000003-0000-0ff1-ce00-000000000000" $SPOContextId = (Get-MsolCompanyInformation).ObjectID $SharePoint = Get-MsolServicePrincipal -AppPrincipalId $SPOAppId $ServicePrincipalName = $SharePoint.ServicePrincipalNames
Defina o Nome da Entidade de Serviço (SPN) do Serviço de Controle de Acesso SharePoint Server no Active Directory do Azure.
$ServicePrincipalName.Add("$SPOAppId/$HostName") Set-MsolServicePrincipal -AppPrincipalId $SPOAppId -ServicePrincipalNames $ServicePrincipalName
Após a conclusão desses comandos, não feche o Shell de Gerenciamento do SharePoint 2013 e prossiga para a próxima etapa.
Atualize o realm do SharePoint para que ele corresponda ao do SharePoint Online
No servidor do SharePoint local, no Shell de Gerenciamento do SharePoint 2013, execute este comando do Windows PowerShell.
O comando a seguir exige a associação de administrador de farm do SharePoint e define o realm de autenticação do farm do SharePoint local.
Aviso
A execução deste comando altera o realm de autenticação do farm do SharePoint local. Para aplicativos que usam um STS (serviço de token de segurança) existente, isso poderá causar um comportamento inesperado com outros aplicativos que usem tokens de acesso. Mais informações: Set-SPAuthenticationRealm.
Set-SPAuthenticationRealm -Realm $SPOContextId
Criar um emissor de token de segurança confiável para o Azure Active Directory no SharePoint
No servidor do SharePoint local, no Shell de Gerenciamento do SharePoint 2013, execute estes comandos do PowerShell na ordem determinada.
Os comandos a seguir exigem a associação de administrador de farm do SharePoint.
Para obter informações detalhadas sobre esses comandos do PowerShell, consulte Usar cmdlets do Windows PowerShell para administrar segurança no SharePoint 2013.
Habilite a sessão do PowerShell para fazer alterações no serviço de token de segurança para o farm do SharePoint.
$c = Get-SPSecurityTokenServiceConfig $c.AllowMetadataOverHttp = $true $c.AllowOAuthOverHttp= $true $c.Update()
Defina o ponto de extremidade dos metadados.
$metadataEndpoint = "https://accounts.accesscontrol.windows.net/" + $SPOContextId + "/metadata/json/1" $acsissuer = "00000001-0000-0000-c000-000000000000@" + $SPOContextId $issuer = "00000007-0000-0000-c000-000000000000@" + $SPOContextId
Criar o novo proxy de aplicativo do serviço de controle de token no Active Directory do Azure.
New-SPAzureAccessControlServiceApplicationProxy -Name "Internal" -MetadataServiceEndpointUri $metadataEndpoint -DefaultProxyGroup
Dica
O comando New- SPAzureAccessControlServiceApplicationProxy pode retornar uma mensagem de erro informando que um proxy de aplicativo com o mesmo nome já existe. Se o proxy de aplicativos chamado já existir, você poderá ignorar o erro.
Crie o novo emissor do serviço de controle de token no SharePoint local para o Active Directory do Azure.
$ = New-SPTrustedSecurityTokenIssuer –Name "ACSInternal" –IsTrustBroker:$true –MetadataEndpoint $metadataEndpoint -RegisteredIssuerName $acsissuer
Conceder permissão ao Microsoft Dynamics 365 para acessar o SharePoint e configurar o mapeamento da autenticação baseada em declarações
No servidor do SharePoint local, no Shell de Gerenciamento do SharePoint 2013, execute estes comandos do PowerShell na ordem determinada.
Os comandos a seguir exigem a associação de administração de conjunto de sites do SharePoint.
Registre o Microsoft Dynamics 365 no conjunto de sites do SharePoint.
Insira a URL do conjunto de sites do SharePoint local. Neste exemplo, https://sharepoint.contoso.com/sites/crm/ é usado.
Importante
Para concluir esse comando, o Proxy de Aplicativo de Serviço de Gerenciamento de Aplicativos do SharePoint deverá existir e estar em execução. Para obter mais informações sobre como iniciar e configurar o serviço, consulte o subtópico Definir as configurações de assinatura e os aplicativos de serviço de gerenciamento de aplicativos em Configurar um ambiente para aplicativos para o SharePoint (SharePoint 2013).
$site = Get-SPSite "https://sharepoint.contoso.com/sites/crm/" Register-SPAppPrincipal -site $site.RootWeb -NameIdentifier $issuer -DisplayName "crm"
Conceda acesso de aplicativo do Microsoft Dynamics 365 para o site do SharePoint. Substitua https://sharepoint.contoso.com/sites/crm/ pela URL do site do SharePoint.
Dica
No exemplo a seguir, é concedida permissão ao aplicativo Dynamics 365 para o conjunto de sites do SharePoint especificado usando o parâmetro de conjunto de sites –Scope. O parâmetro de escopo aceita as seguintes opções. Escolha o escopo que seja mais apropriado para sua configuração do SharePoint.
-
site. Concede permissão do aplicativo Dynamics 365 somente ao site especificado do SharePoint. Não concede permissão a nenhum subsite no site chamado.
-
sitecollection. Concede a permissão do aplicativo Dynamics 365 para todos os sites e subsites dentro do conjunto de sites especificado do SharePoint.
-
sitesubscription. Concede a permissão do aplicativo Dynamics 365 para todos os sites na farm do SharePoint, incluindo todos os conjuntos de sites, os sites e os subsites.
$app = Get-SPAppPrincipal -NameIdentifier $issuer -Site "https://sharepoint.contoso.com/sites/crm/" Set-SPAppPrincipalPermission -AppPrincipal $app -Site $site.Rootweb -Scope "sitecollection" -Right "FullControl"
-
Defina o tipo de mapeamento de autenticação baseada em declarações.
Importante
Por padrão, o mapeamento de autenticação baseada em declarações usará o endereço de email do Conta da Microsoft do usuário e o endereço de SharePoint email de trabalho local para mapeamento. Quando você usar isso, os endereços de email do usuário deverão corresponder entre os dois sistemas. Para obter mais informações, consulte Selecionando um tipo de mapeamento de autenticação baseada em declarações.
$map1 = New-SPClaimTypeMapping -IncomingClaimType "https://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress" -IncomingClaimTypeDisplayName "EmailAddress" -SameAsIncoming
Executar o assistente de Habilitar a Integração com o SharePoint baseada em servidor
No aplicativo Microsoft Dynamics 365, siga estas etapas:
Vá para Configurações > Gerenciamento de Documentos. (Como chego lá?)
Na área Gerenciamento de documentos, clique emHabilitar integração do SharePoint baseada em servidor.
Analise as informações e clique emAvançar.
Para os locais do SharePoint, clique emLocais, e, em seguida, em Avançar.
Insira a URL do conjunto de sites do SharePoint local, como https://sharepoint.contoso.com/sites/crm. O site já deverá estar configurado para SSL.
Clique em Avançar.
A seção para validar sites aparece. Se todos os sites forem determinados como válidos, clique emHabilitar. Se um ou vários sites forem determinados como inválidos, consulte Solucionando problemas da autenticação baseada em servidor.
Selecionar as entidades que você deseja incluir no gerenciamento de documentos
Por padrão, as entidades Conta, Artigo, Lead, Produto, Cotação e Especificações são incluídas. Você pode adicionar ou remover as entidades que serão usadas para gerenciamento de documentos com o SharePoint em Configurações de Gerenciamento de Documentos no Microsoft Dynamics 365.Vá para Configurações > Gerenciamento de Documentos. (Como chego lá?)Para obter mais informações:Centro de Clientes: habilitar o gerenciamento de documentos em entidades
Adicionar integração do OneDrive for Business
Depois de concluir o Microsoft Dynamics 365 e a configuração de autenticação baseada em servidor local do SharePoint, você também pode integrar o OneDrive for Business. Com a integração do Microsoft Dynamics 365 e do OneDrive for Business, os usuários do Dynamics 365 podem criar e gerenciar documentos privados usando o OneDrive for Business. Esses documentos podem ser acessadas no Dynamics 365, uma vez que o administrador do sistema tiver habilitado o OneDrive for Business.
Habilitar o OneDrive for Business
No Windows Server onde SharePoint Server local está sendo executado, abra o Shell de Gerenciamento do SharePoint e execute os comandos a seguir:
Add-Pssnapin *
# Access WellKnown App principal
[Microsoft.SharePoint.Administration.SPWebService]::ContentService.WellKnownAppPrincipals
# Create WellKnown App principal
$ClientId = "00000007-0000-0000-c000-000000000000"
$PermissionXml = "<AppPermissionRequests AllowAppOnlyPolicy=""true""><AppPermissionRequest Scope=""https://sharepoint/content/tenant"" Right=""FullControl"" /><AppPermissionRequest Scope=""https://sharepoint/social/tenant"" Right=""Read"" /><AppPermissionRequest Scope=""https://sharepoint/search"" Right=""QueryAsUserIgnoreAppPrincipal"" /></AppPermissionRequests>"
$wellKnownApp= New-Object -TypeName "Microsoft.SharePoint.Administration.SPWellKnownAppPrincipal" -ArgumentList ($ClientId, $PermissionXml)
$wellKnownApp.Update()
Selecionando um tipo de mapeamento de autenticação baseada em declarações
Por padrão, o mapeamento de autenticação baseada em declarações usará o endereço de email do Conta da Microsoft do usuário e o endereço de email de trabalho do SharePoint local para mapeamento. Observe que, seja qual for o tipo de autenticação baseada em declarações usado, os valores, como endereços de email, devem corresponder entre Microsoft Dynamics 365 (online) e SharePoint. A sincronização de diretório do Office 365 pode ajudar.Para obter mais informações:Implantar a sincronização de diretório do Office 365 (DirSync) no Microsoft Azure Para usar um tipo diferente de mapeamento de autenticação baseada em declarações, consulte Definir um mapeamento de declarações personalizado para a integração com o SharePoint baseada em servidor.
Importante
Para habilitar a propriedade Email de trabalho, o SharePoint local deverá ter um Aplicativo de Serviço de Perfil de Usuário configurado e iniciado. Para habilitar um Aplicativo de Serviço de Perfil de Usuário no SharePoint, consulte Criar, editar ou excluir aplicativos de serviço de Perfil de Usuário no SharePoint Server 2013. Para fazer alterações em uma propriedade de usuário, como Email de trabalho, consulte Editar uma propriedade de perfil de usuário. Para obter mais informações sobre o Aplicativo de Serviço de Perfil de Usuário, consulte Visão geral do aplicativo de serviço Perfil de Usuário no SharePoint Server 2013.
Confira Também
Solucionando problemas da autenticação baseada em servidor
Configurar a integração do SharePoint com o Microsoft Dynamics 365
© 2017 Microsoft. Todos os direitos reservados. Direitos autorais