Configurar a autenticação baseada no servidor com o Dynamics CRM Online e o SharePoint no local

 

Publicado: novembro de 2016

Aplica-se A: Dynamics CRM 2015

Apresentada no Atualização 1 do Microsoft Dynamics CRM Online 2015, a integração com o Microsoft SharePoint baseada no servidor para a gestão de documentos pode agora ser utilizada para ligar o Microsoft Dynamics CRM Online ao SharePoint no local. Quando utiliza a autenticação baseada no servidor, os Serviços de Controlo de Acesso (ACS) do Azure Active Directory são utilizados como intermediário de fidedignidade e os utilizadores não necessitam de iniciar sessão no SharePoint. Além disso, o controlo de lista, que necessita da funcionalidade de sandboxing preterida do SharePoint não tem de apresentar documentos do SharePoint em vistas do Microsoft Dynamics 365.

Permissões necessárias

Office 365

• Associação ao grupo Administradores Globais do Office 365. Isto é necessário para o acesso de nível administrativo à subscrição do Microsoft Office 365 e para executar os cmdlets PowerShell do Microsoft Azure

Microsoft Dynamics CRM Online

• Privilégio Executar o Assistente de Integração com o SharePoint. Isto é necessário para executaro assistente para Ativar a Autenticação baseada no Servidor no Microsoft Dynamics 365.

  Por predefinição, o direito de acesso de Administrador de Sistema tem esta permissão.

SharePoint no local

• Associação ao grupo Administradores de Farm. Isto é necessário para executar a maior parte dos comandos do PowerShell no servidor do SharePoint.

Configurar a autenticação servidor a servidor com o CRM Online e o SharePoint no local

Siga os passos pela ordem indicada para configurar o CRM Online com o SharePoint 2013 no local.

Importante

Os passos descritos aqui têm de ser concluídos pela ordem indicada. Se uma tarefa for estiver concluída (por exemplo: se um comando do PowerShell devolver uma mensagem de erro), o problema tem de ser resolvido antes de continuar para o comando, tarefa ou passo seguinte.

Verificar os pré-requisitos

Antes de configurar o Microsoft Dynamics CRM Online e o SharePoint no local para autenticação baseada no servidor, tem de satisfazer os pré-requisitos seguintes.

Pré-requisitos do SharePoint

• Microsoft SharePoint 2013 (no local) with Service Pack 1 (SP1) ou versão posterior

  Importante

  As versões do Microsoft SharePoint Foundation 2013 não são suportadas para utilização com a gestão de documentos do Microsoft Dynamics 365.

• Correção KB2883081 para o SharePoint Foundation 2013 12 de agosto de 2014 (Sts-x-none.msp)

  Importante

  As seguintes atualizações são pré-requisitos para o KB2883081 e também podem ser necessárias.

  • https://support2.microsoft.com/kb/2768000

  • https://support.microsoft.com/kb/2767999

  • https://support.microsoft.com/kb/2880963

• Configuração do SharePoint

  • O SharePoint tem de ser configurado para uma implementação de farm único.

  • O site SharePoint tem de ser acessível através da Internet. Também poderá ser necessária uma proxy inversa para autenticação do SharePoint. Mais informações: Configurar um dispositivo de proxy inversa para o SharePoint Server 2013 híbrido

  • O site SharePoint tem de ser configurado para utilizar SSL (HTTPS) e o certificado tem de ser emitido por uma AAutoridade de Certificação pública de raiz.Mais informações:SharePoint: Acerca dos certificados SSL de Canal Seguro

  • Uma propriedade de utilizador fiável para utilização como mapeamento da autenticação baseada em afirmações entre o SharePoint e o Microsoft Dynamics 365.Mais informações:Selecionar um tipo de mapeamento de autenticação baseada em afirmações

Outros pré-requisitos

• Licença do SharePoint Online. A autenticação do Microsoft Dynamics CRM Online baseada no servidor do SharePoint no local tem de ter o nome do principal de serviço (SPN) do SharePoint registado no Azure Active Directory. Para tal, necessita de pelo menos uma licença de utilizador do SharePoint Online. A licença do SharePoint Online pode derivar de uma só licença de utilizador e, normalmente, tem a seguinte origem:

  • Uma subscrição do SharePoint Online. Qualquer plano do SharePoint Online é suficiente, mesmo que a licença não esteja atribuída a um utilizador.

  • Uma subscrição do Office 365 que inclua o SharePoint Online. Por exemplo, se tiver o Office 365 E3, tem o licenciamento adequado mesmo que a licença não esteja atribuída a um utilizador.

  Para mais informações sobre estes planos, consulte Office 365: Selecionar um plano e Comparar opções do SharePoint

• As seguintes funcionalidades de software são necessárias para executar os cmdlets do PowerShell mencionados neste tópico.

  • Assistente de Início de Sessão do Microsoft Online Services para Profissionais de TI - versão beta

  • Módulo do Azure Active Directory para Windows PowerShell (versão de 64 bits)

  Importante

  No momento em que este documento foi escrito, existia um problema com a versão RTW do Assistente de Início de Sessão do Microsoft Online Services para Profissionais de TI. Até que o problema seja resolvido, recomendamos que utilize a versão Beta.Mais informações:Fóruns do Microsoft Azure: Não é possível instalar o Módulo do Azure Active Directory para Windows PowerShell. O MOSSIA não está instalado.

• Um tipo de mapeamento de autenticação baseada em afirmações adequado para utilizar para o mapeamento de identidades entre o Microsoft Dynamics CRM Online e o SharePoint no local. Por predefinição, é utilizado o endereço de correio eletrónico.Mais informações:Conceder ao Microsoft Dynamics CRM permissão para aceder ao SharePoint e configurar o mapeamento de autenticação baseada em afirmações

Actualizar o SharePoint Server SPN no ACS

No servidor do SharePoint no local, na Shell de Gestão do SharePoint 2013, execute estes comandos do PowerShell pela ordem indicada.

1. Prepare a sessão do PowerShell.

   Os cmdlets seguintes permitem que o computador receba comandos remotos e adicione módulos do Office 365 à sessão do PowerShell. Para mais informações sobre estes cmdlets, consulte Cmdlets Principais do Windows PowerShell.

   Enable-PSRemoting -force
   New-PSSession
   Import-Module MSOnline -force
   Import-Module MSOnlineExtended -force
   

2. Ligue ao Office 365.

   Quando executar o comando Connect-MsolService, tem de fornecer um Conta da Microsoft válido que seja Administrador Global do Office 365 para a licença do SharePoint Online que é necessária.

   Para obter informações detalhadas sobre cada um dos comandos do PowerShell do Azure Active Directory aqui listados, consulte MSDN: Gerir o Azure AD utilizando o Windows PowerShell.

   $msolcred = get-credential
   connect-msolservice -credential $msolcred
   

3. Defina o nome de anfitrião do SharePoint.

   O valor que definir para a variável HostName tem de ser o nome de anfitrião completo da coleção de sites SharePoint. O nome de anfitrião tem de ser derivado do URL da coleção de sites e é sensível às maiúsculas e minúsculas. Neste exemplo, o URL da coleção de sites é https://SharePoint.constoso.com/sites/salesteam, pelo que o nome de anfitrião é SharePoint.contoso.com.

   $HostName = "SharePoint.contoso.com"
   

4. Obtenha o ID do objeto do Office 365 (inquilino) e o Nome do Principal de Serviço (SPN) do SharePoint Server.

   $SPOAppId = "00000003-0000-0ff1-ce00-000000000000"
   $SPOContextId = (Get-MsolCompanyInformation).ObjectID
   $SharePoint = Get-MsolServicePrincipal -AppPrincipalId $SPOAppId
   $ServicePrincipalName = $SharePoint.ServicePrincipalNames
   

5. Defina o Nome do Principal de Serviço (SPN) do SharePoint Server no ACS.

   $ServicePrincipalName.Add("$SPOAppId/$HostName") 
   Set-MsolServicePrincipal -AppPrincipalId $SPOAppId -ServicePrincipalNames $ServicePrincipalName 
   

Quando estes comandos estiverem concluídos, não feche a Shell de Gestão do SharePoint 2013 e avance para o passo seguinte.

Atualize o realm do SharePoint para corresponder ao do SharePoint Online

No servidor do SharePoint no local, na Shell de Gestão do SharePoint 2013, execute este comando do Windows PowerShell.

O comando seguinte necessita que o utilizador seja administrador de farm do SharePoint e define o realm de autenticação do farm do SharePoint no local.

Aviso

Executar este comando altera o realm de autenticação do farm do SharePoint no local. Para aplicações que utilizem um serviço de tokens de segurança (STS) existente, isto poderá causar um comportamento inesperado com outras aplicações que utilizem tokens de acesso. Mais informações: Set-SPAuthenticationRealm.

Set-SPAuthenticationRealm -Realm $SPOContextId

Criar um emissor de tokens de segurança fidedigno para o ACS no SharePoint

No servidor do SharePoint no local, na Shell de Gestão do SharePoint 2013, execute estes comandos do PowerShell pela ordem indicada.

Os comandos seguintes necessitam que o utilizador seja administrador de farm do SharePoint.

Para obter informações detalhadas sobre estes comandos do PowerShell, consulte Utilizar cmdlets do Windows PowerShell para administrar a segurança no SharePoint 2013.

1. Ative a sessão do PowerShell para efetuar alterações ao serviço de tokens de segurança para o farm do SharePoint.

   $c = Get-SPSecurityTokenServiceConfig
   $c.AllowMetadataOverHttp = $true
   $c.AllowOAuthOverHttp= $true
   $c.Update()
   

2. Defina o ponto final dos metadados.

   $metadataEndpoint = "https://accounts.accesscontrol.windows.net/" + $SPOContextId + "/metadata/json/1"
   $acsissuer = "00000001-0000-0000-c000-000000000000@" + $SPOContextId
   $issuer = "00000007-0000-0000-c000-000000000000@" + $SPOContextId
   

3. Crie o novo proxy de aplicação de serviço de controlo de tokens no ACS.

   New-SPAzureAccessControlServiceApplicationProxy -Name "ACSInternal" -MetadataServiceEndpointUri $metadataEndpoint -DefaultProxyGroup
   

   Nota

   O comando New- SPAzureAccessControlServiceApplicationProxy pode devolver uma mensagem de erro que indica que já existe um proxy da aplicação ACS com com o mesmo nome. Se o proxy da aplicação ACS indicado já existir, pode ignorar o erro.

4. Crie o novo emissor do serviço de controlo de tokens no SharePoint no local para o ACS.

   $acs = New-SPTrustedSecurityTokenIssuer –Name "ACSInternal" –IsTrustBroker:$true –MetadataEndpoint $metadataEndpoint -RegisteredIssuerName $acsissuer 
   

Conceder ao Microsoft Dynamics CRM permissão para aceder ao SharePoint e configurar o mapeamento de autenticação baseada em afirmações

No servidor do SharePoint no local, na Shell de Gestão do SharePoint 2013, execute estes comandos do PowerShell pela ordem indicada.

Os comandos seguintes necessitam que o utilizador seja membro da administração da coleção de sites SharePoint.

1. Registe o Microsoft Dynamics 365 com a coleção de sites SharePoint.

   Introduza o URL da coleção de sites SharePoint no local. Neste exemplo, https://sharepoint.contoso.com/sites/crm/ é utilizado.

   Importante

   Para concluir este comando, o Proxy da Aplicação de Serviço de Gestão de Aplicações do SharePoint tem de existir e estar em execução. Para mais informações sobre como configurar e iniciar o serviço, consulte o subtópico Configurar as Definições de Subscrição e as aplicações de serviço de Gestão de Aplicações em Configurar um ambiente para aplicações para o SharePoint (SharePoint 2013).

   $site = Get-SPSite "https://sharepoint.contoso.com/sites/crm/"
   Register-SPAppPrincipal -site $site.RootWeb -NameIdentifier $issuer -DisplayName "crm"
   

2. Conceda à aplicação Microsoft Dynamics 365 acesso ao site SharePoint. Substitua https://sharepoint.contoso.com/sites/crm/ pelo URL do site SharePoint.

   Nota

   No exemplo seguinte, é concedida permissão à aplicação Dynamics 365 para a coleção de sites SharePoint SharePoint especificada através do parâmetro –Scope sitecollection. O parâmetro Scope aceita as seguintes opções. Selecione o âmbito mais apropriado para a configuração do SharePoint.

   • site. Concede à aplicação do Dynamics 365 permissão apenas para o site SharePoint especificado. Não concede permissão para nenhum subsite do site indicado.

   • sitecollection. Concede à aplicação Dynamics 365 permissão para todos os sites e subsites na coleção de sites SharePoint especificada.

   • sitesubscription. Concede à aplicação Dynamics 365 permissão para todos os sites no farm SharePoint, incluindo todas as coleções de sites, sites e subsites.

   $app = Get-SPAppPrincipal -NameIdentifier $issuer -Site "https://sharepoint.contoso.com/sites/crm/"
   Set-SPAppPrincipalPermission -AppPrincipal $app -Site $site.Rootweb -Scope "sitecollection" -Right "FullControl"
   

3. Defina o tipo de mapeamento de autenticação baseada em afirmações.

   Importante

   Por predefinição, o mapeamento de autenticação baseada em afirmações utilizará o endereço de correio eletrónico do Conta da Microsoft do utilizador e o Endereço de correio eletrónico de trabalho do SharePoint no local do utilizador para mapeamento. Quando utilizar este método, os endereços de correio eletrónico do utilizador têm de ser iguais nos dois sistemas. Para mais informações, consulte Selecionar um tipo de mapeamento de autenticação baseada em afirmações.

   $map1 = New-SPClaimTypeMapping -IncomingClaimType "https://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress" -IncomingClaimTypeDisplayName "EmailAddress" -SameAsIncoming
   

Executar o assistente para Ativar a Integração com o SharePoint baseada no servidor

Na aplicação Microsoft Dynamics 365, siga estes passos.

1. Aceda a Definições > Gestão de Documentos.

2. Na área Gestão de Documentos, selecione Ativar a integração com o SharePoint baseada no servidor.

3. Reveja as informações e escolha Seguinte.

4. Para os sites SharePoint, escolha No Local e escolha Seguinte.

5. Introduza o URL da coleção de sites SharePoint no local, como https://sharepoint.contoso.com/sites/crm. O site tem de estar configurado para SSL.

6. Escolha Seguinte.

7. A secção de validação de sites é apresentada. Se todos os sites forem determinados como válidos, selecione Ativar. Se um ou mais sites forem determinados como inválidos, consulte Resolução de problemas da autenticação baseada no servidor.

Selecionar as entidades que pretende incluir na gestão de documentos

Por predefinição, as entidades Conta, Artigo, Oportunidade Potencial, Produto, Proposta e Especificações são incluídas. Pode adicionar ou remover as entidades que serão utilizadas para a gestão de documentos com o SharePoint em Definições de Gestão de Documentos no Microsoft Dynamics 365.Aceda a Definições > Gestão de Documentos.Mais informações:Centro de Clientes: Ativar a gestão de documentos em entidades

Selecionar um tipo de mapeamento de autenticação baseada em afirmações

Por predefinição, o mapeamento de autenticação baseada em afirmações utilizará o endereço de correio eletrónico do Conta da Microsoft do utilizador e o endereço de correio eletrónico de trabalho do SharePoint no local do utilizador para mapeamento. Note que, independentemente do tipo de autenticação baseada em afirmações que utilizar, os valores, como os endereços de correio eletrónico, têm de ser iguais entre o Microsoft Dynamics CRM Online e o SharePoint. A sincronização de diretórios do Office 365 poderá ajudar.Mais informações:Implementar a Sincronização de Diretórios do Office 365 (DirSync) no Microsoft Azure Para utilizar outro tipo de mapeamento de autenticação baseada em afirmações, consulte MSDN: Definir um mapeamento de afirmações personalizado para integração com o SharePoint baseada no servidor.

Importante

Para ativar a propriedade Endereço de correio eletrónico de trabalho, o SharePoint no local tem de ter uma Aplicação de Serviço de Perfil de Utilizador configurada e iniciada. Para ativar uma Aplicação de Serviço de Perfil de Utilizador no SharePoint, consulte Criar, editar ou eliminar aplicações de serviço de Perfil de Utilizador no SharePoint Server 2013. Para efectuar alterações a uma propriedade de utilizador, como o Endereço de correio eletrónico de trabalho, consulte Editar uma propriedade de perfil de utilizador. Para mais informações sobre a Aplicação de Serviço de Perfil de Utilizador, consulte Descrição geral da aplicação de serviço de Perfil de Utilizador no SharePoint Server 2013.

Consulte Também

Resolução de problemas da autenticação baseada no servidor
Configurar a integração com o SharePoint no Microsoft Dynamics CRM

© 2016 Microsoft Corporation. Todos os direitos reservados. Direitos de Autor