Configurar a autenticação baseada no servidor com o Dynamics 365 Online e o SharePoint no local

 

Publicado: fevereiro de 2017

Aplica-se A: Dynamics 365 (online), Dynamics 365 (on-premises), Dynamics CRM 2016, Dynamics CRM Online

Apresentada no Atualização 1 do Microsoft Dynamics CRM Online 2015, a integração com o Microsoft SharePoint baseada no servidor para a gestão de documentos pode ser utilizada para ligar o Microsoft Dynamics 365 (online) ao SharePoint no local. Quando utiliza a autenticação baseada no servidor, os Serviços de Domínio do Azure AD são utilizados como intermediário de fidedignidade e os utilizadores não necessitam de iniciar sessão no SharePoint.

Neste Tópico

Permissões necessárias

Configurar a autenticação servidor a servidor com o Dynamics 365 (online) e o SharePoint no local

Adicionar a integração com o OneDrive para Empresas

Selecionar um tipo de mapeamento de autenticação baseada em afirmações

Permissões necessárias

Office 365

• Associação aos Administradores Globais do Office 365 - isto é necessário para o acesso de nível administrativo à subscrição do Microsoft Office 365 e para executar os cmdlets do Microsoft AzurePowerShell.

Microsoft Dynamics 365 (online)

• Privilégio Executar o Assistente de Integração com o SharePoint. Isto é necessário para executaro assistente para Ativar a Autenticação baseada no Servidor no Microsoft Dynamics 365.

  Por predefinição, o direito de acesso de Administrador de Sistema tem esta permissão.

SharePoint no local

• Associação ao grupo Administradores de Farm - necessário para executar a maioria dos comandos do PowerShell no servidor do SharePoint.

Configurar a autenticação servidor a servidor com o Dynamics 365 (online) e o SharePoint no local

Siga os passos pela ordem indicada para configurar o Dynamics 365 (online) com o SharePoint 2013 no local.

Importante

• Os passos descritos aqui têm de ser concluídos pela ordem indicada. Se uma tarefa for estiver concluída (por exemplo: se um comando do PowerShell devolver uma mensagem de erro), o problema tem de ser resolvido antes de continuar para o comando, tarefa ou passo seguinte.

• Depois de ativar a integração do SharePoint baseada em servidor, não conseguirá reverter para o método de autenticação baseado no cliente anterior. Por isso, não pode utilizar o Componente de Lista do Microsoft Dynamics CRM depois de configurar a sua organização do Dynamics 365 para a integração do SharePoint baseada no servidor.

Verificar os pré-requisitos

Antes de configurar o Microsoft Dynamics 365 (online) e o SharePoint no local para autenticação baseada no servidor, tem de satisfazer os pré-requisitos seguintes:

Pré-requisitos do SharePoint

• Microsoft SharePoint 2013 (no local) with Service Pack 1 (SP1) ou versão posterior

  Importante

  As versões do Microsoft SharePoint Foundation 2013 não são suportadas para utilização com a gestão de documentos do Microsoft Dynamics 365.

• Correção KB2883081 para o SharePoint Foundation 2013 12 de agosto de 2014 (Sts-x-none.msp)

  Importante

  As seguintes atualizações são pré-requisitos para o KB2883081 e também podem ser necessárias.

  • https://support2.microsoft.com/kb/2768000

  • https://support.microsoft.com/kb/2767999

  • https://support.microsoft.com/kb/2880963

• Configuração do SharePoint

  • O SharePoint tem de ser configurado para uma implementação de farm único.

  • O site SharePoint tem de ser acessível através da Internet. Também poderá ser necessária uma proxy inversa para autenticação do SharePoint. Mais informações: Configurar um dispositivo de proxy inversa para o SharePoint Server 2013 híbrido

  • O site SharePoint tem de ser configurado para utilizar SSL (HTTPS) e o certificado tem de ser emitido por uma AAutoridade de Certificação pública de raiz.Mais informações:SharePoint: Acerca dos certificados SSL de Canal Seguro

  • Uma propriedade de utilizador fiável para utilização como mapeamento da autenticação baseada em afirmações entre o SharePoint e o Microsoft Dynamics 365.Mais informações:Selecionar um tipo de mapeamento de autenticação baseada em afirmações

  • Para a partilha de documentos , o serviço de pesquisa do SharePoint tem de estar ativado.Mais informações:Criar e configurar uma aplicação de serviço de Pesquisa no SharePoint Server

  • Para a funcionalidade de gestão de documentos quando utiliza as aplicações móveis do Microsoft Dynamics 365, o servidor SharePoint no local tem de estar disponível através da Internet.

  • Se utiliza o Microsoft SharePoint 2013 para cada farm do SharePoint, só é possível configurar uma organização do Microsoft Dynamics 365 para a integração baseada no servidor.

Outros pré-requisitos

• Licença do SharePoint Online. A autenticação do Microsoft Dynamics 365 (online) baseada no servidor do SharePoint no local tem de ter o nome do principal de serviço (SPN) do SharePoint registado no Azure Active Directory. Para tal, necessita de pelo menos uma licença de utilizador do SharePoint Online. A licença do SharePoint Online pode derivar de uma só licença de utilizador e, normalmente, tem a seguinte origem:

  • Uma subscrição do SharePoint Online. Qualquer plano do SharePoint Online é suficiente, mesmo que a licença não esteja atribuída a um utilizador.

  • Uma subscrição do Office 365 que inclua o SharePoint Online. Por exemplo, se tiver o Office 365 E3, tem o licenciamento adequado mesmo que a licença não esteja atribuída a um utilizador.

  Para mais informações sobre estes planos, consulte Office 365: Selecionar um plano e Comparar opções do SharePoint

• As seguintes funcionalidades de software são necessárias para executar os cmdlets do PowerShell mencionados neste tópico.

  • Assistente de Início de Sessão do Microsoft Online Services para Profissionais de TI - versão beta

  • Módulo do Azure Active Directory para Windows PowerShell (versão de 64 bits)

  Importante

  No momento em que este documento foi escrito, existia um problema com a versão RTW do Assistente de Início de Sessão do Microsoft Online Services para Profissionais de TI. Até que o problema seja resolvido, recomendamos que utilize a versão Beta.Mais informações:Fóruns do Microsoft Azure: Não é possível instalar o Módulo do Azure Active Directory para Windows PowerShell. O MOSSIA não está instalado.

• Um tipo de mapeamento de autenticação baseada em afirmações adequado para utilizar para o mapeamento de identidades entre o Microsoft Dynamics 365 (online) e o SharePoint no local. Por predefinição, é utilizado o endereço de correio eletrónico.Mais informações:Conceder ao Microsoft Dynamics 365 permissão para aceder ao SharePoint e configurar o mapeamento de autenticação baseada em afirmações

Atualizar o SharePoint Server SPN nos Serviços de Domínio do Azure Active Directory

No servidor do SharePoint no local, na Shell de Gestão do SharePoint 2013, execute estes comandos do PowerShell pela ordem indicada.

1. Prepare a sessão do PowerShell.

   Os cmdlets seguintes permitem que o computador receba comandos remotos e adicione módulos do Office 365 à sessão do PowerShell. Para mais informações sobre estes cmdlets, consulte Cmdlets Principais do Windows PowerShell.

   Enable-PSRemoting -force
   New-PSSession
   Import-Module MSOnline -force
   Import-Module MSOnlineExtended -force
   

2. Ligue ao Office 365.

   Quando executar o comando Connect-MsolService, tem de fornecer um Conta da Microsoft válido que seja Administrador Global do Office 365 para a licença do SharePoint Online que é necessária.

   Para obter informações detalhadas sobre cada um dos comandos do PowerShell do Azure Active Directory aqui listados, consulte MSDN: Gerir o Azure AD utilizando o Windows PowerShell

   $msolcred = get-credential
   connect-msolservice -credential $msolcred
   

3. Defina o nome de anfitrião do SharePoint.

   O valor que definir para a variável HostName tem de ser o nome de anfitrião completo da coleção de sites SharePoint. O nome de anfitrião tem de ser derivado do URL da coleção de sites e é sensível às maiúsculas e minúsculas. Neste exemplo, o URL da coleção de sites é https://SharePoint.constoso.com/sites/salesteam, pelo que o nome de anfitrião é SharePoint.contoso.com.

   $HostName = "SharePoint.contoso.com"
   

4. Obtenha o ID do objeto do Office 365 (inquilino) e o Nome do Principal de Serviço (SPN) do SharePoint Server.

   $SPOAppId = "00000003-0000-0ff1-ce00-000000000000"
   $SPOContextId = (Get-MsolCompanyInformation).ObjectID
   $SharePoint = Get-MsolServicePrincipal -AppPrincipalId $SPOAppId
   $ServicePrincipalName = $SharePoint.ServicePrincipalNames
   

5. Defina o Nome do Principal de Serviço do ACS (SPN) do SharePoint Server no Azure Active Directory.

   $ServicePrincipalName.Add("$SPOAppId/$HostName") 
   Set-MsolServicePrincipal -AppPrincipalId $SPOAppId -ServicePrincipalNames $ServicePrincipalName 
   

Quando estes comandos estiverem concluídos, não feche a Shell de Gestão do SharePoint 2013 e avance para o passo seguinte.

Atualize o realm do SharePoint para corresponder ao do SharePoint Online

No servidor do SharePoint no local, na Shell de Gestão do SharePoint 2013, execute este comando do Windows PowerShell.

O comando seguinte necessita que o utilizador seja administrador de farm do SharePoint e define o realm de autenticação do farm do SharePoint no local.

Aviso

Executar este comando altera o realm de autenticação do farm do SharePoint no local. Para aplicações que utilizem um serviço de tokens de segurança (STS) existente, isto poderá causar um comportamento inesperado com outras aplicações que utilizem tokens de acesso. Mais informações: Set-SPAuthenticationRealm.

Set-SPAuthenticationRealm -Realm $SPOContextId

Criar um emissor de tokens de segurança fidedigno para o Azure Active Directory no SharePoint

No servidor do SharePoint no local, na Shell de Gestão do SharePoint 2013, execute estes comandos do PowerShell pela ordem indicada.

Os comandos seguintes necessitam que o utilizador seja administrador de farm do SharePoint.

Para obter informações detalhadas sobre estes comandos do PowerShell, consulte Utilizar cmdlets do Windows PowerShell para administrar a segurança no SharePoint 2013.

1. Ative a sessão do PowerShell para efetuar alterações ao serviço de tokens de segurança para o farm do SharePoint.

   $c = Get-SPSecurityTokenServiceConfig
   $c.AllowMetadataOverHttp = $true
   $c.AllowOAuthOverHttp= $true
   $c.Update()
   

2. Defina o ponto final dos metadados.

   $metadataEndpoint = "https://accounts.accesscontrol.windows.net/" + $SPOContextId + "/metadata/json/1"
   $acsissuer  = "00000001-0000-0000-c000-000000000000@" + $SPOContextId
   $issuer = "00000007-0000-0000-c000-000000000000@" + $SPOContextId
   

3. Crie o novo proxy de aplicação de serviço de controlo de tokens no Azure Active Directory.

   New-SPAzureAccessControlServiceApplicationProxy -Name "Internal" -MetadataServiceEndpointUri $metadataEndpoint -DefaultProxyGroup
   

   Nota

   O comando New- SPAzureAccessControlServiceApplicationProxy pode devolver uma mensagem de erro que indica que já existe um proxy da aplicação com o mesmo nome. Se o proxy da aplicação indicado já existir, pode ignorar o erro.

4. Crie o novo emissor do serviço de controlo de tokens no SharePoint no local para o Azure Active Directory.

   $ = New-SPTrustedSecurityTokenIssuer –Name "ACSInternal" –IsTrustBroker:$true –MetadataEndpoint $metadataEndpoint -RegisteredIssuerName $acsissuer 
   

Conceder ao Microsoft Dynamics 365 permissão para aceder ao SharePoint e configurar o mapeamento de autenticação baseada em afirmações

No servidor do SharePoint no local, na Shell de Gestão do SharePoint 2013, execute estes comandos do PowerShell pela ordem indicada.

Os comandos seguintes necessitam que o utilizador seja membro da administração da coleção de sites SharePoint.

1. Registe o Microsoft Dynamics 365 com a coleção de sites SharePoint.

   Introduza o URL da coleção de sites SharePoint no local. Neste exemplo, https://sharepoint.contoso.com/sites/crm/ é utilizado.

   Importante

   Para concluir este comando, o Proxy da Aplicação de Serviço de Gestão de Aplicações do SharePoint tem de existir e estar em execução. Para mais informações sobre como configurar e iniciar o serviço, consulte o subtópico Configurar as Definições de Subscrição e as aplicações de serviço de Gestão de Aplicações em Configurar um ambiente para aplicações para o SharePoint (SharePoint 2013).

   $site = Get-SPSite "https://sharepoint.contoso.com/sites/crm/"
   Register-SPAppPrincipal -site $site.RootWeb -NameIdentifier $issuer -DisplayName "crm"
   

2. Conceda à aplicação Microsoft Dynamics 365 acesso ao site SharePoint. Substitua https://sharepoint.contoso.com/sites/crm/ pelo URL do site SharePoint.

   Nota

   No exemplo seguinte, é concedida permissão à aplicação Dynamics 365 para a coleção de sites SharePoint SharePoint especificada através do parâmetro –Scope sitecollection. O parâmetro Scope aceita as seguintes opções. Selecione o âmbito mais apropriado para a configuração do SharePoint.

   • site. Concede à aplicação do Dynamics 365 permissão apenas para o site SharePoint especificado. Não concede permissão para nenhum subsite do site indicado.

   • sitecollection. Concede à aplicação Dynamics 365 permissão para todos os sites e subsites na coleção de sites SharePoint especificada.

   • sitesubscription. Concede à aplicação Dynamics 365 permissão para todos os sites no farm SharePoint, incluindo todas as coleções de sites, sites e subsites.

   $app = Get-SPAppPrincipal -NameIdentifier $issuer -Site "https://sharepoint.contoso.com/sites/crm/"
   Set-SPAppPrincipalPermission -AppPrincipal $app -Site $site.Rootweb -Scope "sitecollection" -Right "FullControl"
   

3. Defina o tipo de mapeamento de autenticação baseada em afirmações.

   Importante

   Por predefinição, o mapeamento de autenticação baseada em afirmações utilizará o endereço de correio eletrónico do Conta da Microsoft do utilizador e o endereço de correio eletrónico de trabalho do SharePoint no local do utilizador para mapeamento. Quando utilizar este método, os endereços de correio eletrónico do utilizador têm de ser iguais nos dois sistemas. Para mais informações, consulte Selecionar um tipo de mapeamento de autenticação baseada em afirmações.

   $map1 = New-SPClaimTypeMapping -IncomingClaimType "https://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress" -IncomingClaimTypeDisplayName "EmailAddress" -SameAsIncoming
   

Executar o Assistente para Ativar a Integração com o SharePoint Baseada no Servidor

Na aplicação Microsoft Dynamics 365, siga estes passos:

1. Aceda a Definições > Definições de Gestão de Documentos. (Como é que chego lá?)

2. Na área Gestão de Documentos, clique em Ativar a integração com o SharePoint baseada no servidor.

3. Reveja as informações e clique em Seguinte.

4. Para os sites SharePoint, clique em No Local e clique em Seguinte.

5. Introduza o URL da coleção de sites SharePoint no local, como https://sharepoint.contoso.com/sites/crm. O site tem de estar configurado para SSL.

6. Clique em Seguinte.

7. A secção de validação de sites é apresentada. Se todos os sites forem determinados como válidos, clique em Ativar. Se um ou mais sites forem determinados como inválidos, consulte Resolução de problemas da autenticação baseada no servidor.

Selecionar as entidades que pretende incluir na gestão de documentos

Por predefinição, as entidades Conta, Artigo, Oportunidade Potencial, Produto, Proposta e Especificações são incluídas. Pode adicionar ou remover as entidades que serão utilizadas para a gestão de documentos com o SharePoint em Definições de Gestão de Documentos no Microsoft Dynamics 365.Aceda a Definições > Definições de Gestão de Documentos. (Como é que chego lá?)Mais informações:Centro de Clientes: Ativar a gestão de documentos em entidades

Adicionar a integração com o OneDrive para Empresas

Depois de concluir a configuração da autenticação baseada no servidor para o Microsoft Dynamics 365 e o SharePoint no local, também poderá integrar o OneDrive para Empresas. Com a integração do Microsoft Dynamics 365 e do OneDrive para Empresas, os utilizadores do Dynamics 365podem criar e gerir documentos privados utilizando o OneDrive para Empresas. Estes documentos podem ser acedidos no Dynamics 365 após o administrador de sistema ativar o OneDrive para Empresas.

Ativar o OneDrive para Empresas

No Windows Server em que o SharePoint Server no local está em execução, abra a Shell de Gestão do SharePoint e execute os seguintes comandos:

Add-Pssnapin *
# Access WellKnown App principal
[Microsoft.SharePoint.Administration.SPWebService]::ContentService.WellKnownAppPrincipals

# Create WellKnown App principal
$ClientId = "00000007-0000-0000-c000-000000000000"
$PermissionXml = "<AppPermissionRequests AllowAppOnlyPolicy=""true""><AppPermissionRequest Scope=""https://sharepoint/content/tenant"" Right=""FullControl"" /><AppPermissionRequest Scope=""https://sharepoint/social/tenant"" Right=""Read"" /><AppPermissionRequest Scope=""https://sharepoint/search"" Right=""QueryAsUserIgnoreAppPrincipal"" /></AppPermissionRequests>"

$wellKnownApp= New-Object -TypeName "Microsoft.SharePoint.Administration.SPWellKnownAppPrincipal" -ArgumentList ($ClientId, $PermissionXml)

$wellKnownApp.Update()

Selecionar um tipo de mapeamento de autenticação baseada em afirmações

Por predefinição, o mapeamento de autenticação baseada em afirmações utilizará o endereço de correio eletrónico do Conta da Microsoft do utilizador e o endereço de correio eletrónico de trabalho do SharePoint no local do utilizador para mapeamento. Note que, independentemente do tipo de autenticação baseada em afirmações que utilizar, os valores, como os endereços de correio eletrónico, têm de ser iguais entre o Microsoft Dynamics 365 (online) e o SharePoint. A sincronização de diretórios do Office 365 poderá ajudar.Mais informações:Implementar a Sincronização de Diretórios do Office 365 (DirSync) no Microsoft Azure Para utilizar outro tipo de mapeamento de autenticação baseada em afirmações, consulte Definir um mapeamento de afirmações personalizado para integração com o SharePoint baseada no servidor.

Importante

Para ativar a propriedade Endereço de correio eletrónico de trabalho, o SharePoint no local tem de ter uma Aplicação de Serviço de Perfil de Utilizador configurada e iniciada. Para ativar uma Aplicação de Serviço de Perfil de Utilizador no SharePoint, consulte Criar, editar ou eliminar aplicações de serviço de Perfil de Utilizador no SharePoint Server 2013. Para efectuar alterações a uma propriedade de utilizador, como o Endereço de correio eletrónico de trabalho, consulte Editar uma propriedade de perfil de utilizador. Para mais informações sobre a Aplicação de Serviço de Perfil de Utilizador, consulte Descrição geral da aplicação de serviço de Perfil de Utilizador no SharePoint Server 2013.

Consulte Também

Resolução de problemas da autenticação baseada no servidor
Configurar a integração com o SharePoint no Microsoft Dynamics 365

© 2017 Microsoft. Todos os direitos reservados. Direitos de Autor