Configurar a autenticação baseada no servidor com o Microsoft Dynamics 365 (no local) e o SharePoint no local

 

Publicado: fevereiro de 2017

Aplica-se A: Dynamics 365 (on-premises), Dynamics CRM 2016

Este tópico descreve como configurar a integração baseada no servidor entre o Dynamics 365 (local) e o Microsoft SharePoint No Local.

Neste tópico

Configurar a integração baseada no servidor com o Dynamics 365 e o SharePoint

Adicionar a integração com o OneDrive para Empresas

Resolução de problemas da integração baseada no servidor do Dynamics 365 Server (no local) com o SharePoint Server No Local

Acerca do mapeamento de autenticações baseadas em afirmações.

Trabalhar com certificados digitais

Obter o ID de Realm do SharePoint

Configurar a integração baseada no servidor com o Dynamics 365 e o SharePoint

Siga os passos pela ordem indicada para configurar o Dynamics 365 (local) com o Microsoft SharePoint Server No Local.

Importante

• Se uma tarefa não for concluída, (por exemplo: se um comando do PowerShell devolver uma mensagem de erro), o problema tem de ser resolvido antes de continuar para o comando, tarefa ou passo seguinte.

• Depois de ativar a integração do SharePoint baseada em servidor, não conseguirá reverter para o método de autenticação baseado no cliente anterior. Por isso, não pode utilizar o Componente de Lista do Microsoft Dynamics CRM depois de configurar a sua organização do Dynamics 365 para a integração do SharePoint baseada no servidor.

Verificar os pré-requisitos

Antes de configurar o Dynamics 365 (local) e o SharePoint No Local para a integração baseada em servidor, são necessárias as seguintes permissões e pré-requisitos.

Permissões necessárias

Microsoft Dynamics 365

• Direito de acesso de Administrador de Sistema - necessário para executar o Ativar assistente de Integração com o SharePoint Baseada no Servidor no Microsoft Dynamics 365.

• Se estiver a utilizar um certificado auto-assinado sessão para fins de avaliação, tem de ser membro do grupo Administradores locais no computador em que está a executar o Microsoft Dynamics 365 Server.

SharePoint No Local

• Associação ao grupo Administradores de Farm - necessário para executar a maioria dos comandos do Windows PowerShell no servidor do SharePoint.

Pré-requisitos do SharePoint

• Uma das seguintes versões do SharePoint:

  • SharePoint 2016 No local.

    Nota

    É necessário Atualização para Dynamics 365 (online e local) de dezembro de 2016 para utilizar SharePoint 2016 com Dynamics 365 (local).Mais informações:Atualização de dezembro de 2016 para o Dynamics 365 (online e no local)

  • O Microsoft SharePoint 2013 No Local com Service Pack 1 (SP1) ou uma versão posterior com as seguintes atualizações.

    • Correção KB2883081 para o SharePoint Foundation 2013 12 de agosto de 2014 (Sts-x-none.msp)

    • As seguintes atualizações são pré-requisitos para o KB2883081 e também podem ser necessárias.

      • https://support2.microsoft.com/kb/2768000

      • https://support.microsoft.com/kb/2767999

      • https://support.microsoft.com/kb/2880963

• Configuração do SharePoint

  • O SharePoint tem de ser configurado para uma implementação de farm único.

  • Para utilizar o mapeamento de autenticações baseadas em afirmações predefinido, o domínio do Active Directory em que o servidor do SharePoint e o servidor do Microsoft Dynamics 365 estão localizados tem de ser o mesmo ou o domínio em que o servidor do SharePoint está localizado tem de confiar no domínio em que o Microsoft Dynamics 365 Server está localizado. Mais informações: Acerca do mapeamento de autenticações baseadas em afirmações.

  • O site SharePoint tem de ser configurado para utilizar o TLS/SSL (HTTPS) e o certificado tem de ser emitido por uma Autoridade de Certificação de raiz pública.Mais informações:SharePoint: Acerca dos certificados SSL de Canal Seguro

  • O Proxy de Aplicação do Serviço de Gestão de Aplicações tem de estar criado e iniciado.Mais informações:Configurar um ambiente para aplicações para o SharePoint

  • Uma Aplicação de Serviço de Perfil de Utilizador tem de estar configurada e iniciada.Mais informações:Criar, editar ou eliminar aplicações de serviço de Perfil de Utilizador no SharePoint Server 2013

  • Para a partilha de documentos , o serviço de pesquisa do SharePoint tem de estar ativado.Mais informações:Criar e configurar uma aplicação de serviço de Pesquisa no SharePoint Server

  • Para a funcionalidade de gestão de documentos quando utiliza as aplicações móveis do Microsoft Dynamics 365, o servidor SharePoint no local tem de estar disponível através da Internet.

  • Para permitir que os utilizadores criem bibliotecas de documentos do SharePoint a partir do Dynamics 365, são necessárias as seguintes permissões e configurações:

    • A conta do Active Directory do utilizador do Dynamics 365 tem de ser membro do grupo Membros do Site na coleção de sites do SharePoint onde os documentos estão armazenados.

    • Por predefinição, o mapeamento da autenticação baseada em afirmações utilizará o endereço de correio eletrónico principal do Dynamics 365 e o endereço de correio eletrónico de trabalho do SharePoint No Local do utilizador para mapeamento. Quando este mapeamento é utilizado, os endereços de correio eletrónico do utilizador têm de coincidir nos dois sistemas. Mais informações: Acerca do mapeamento de autenticações baseadas em afirmações.

Outros pré-requisitos e limitações

• É necessário utilizar um certificado X509 digital para a autenticação baseada no servidor entre o Microsoft Dynamics 365 Server e o SharePoint. As chaves do certificado têm de ter uma encriptação mínima de 2048 bits. Na maioria dos casos este certificado tem de ser emitido por uma autoridade de certificação fidedigna, mas para para fins de avaliação pode utilizar um certificado de auto-assinado.

• A identidade para o conjunto aplicacional CRMAppPool tem de ter acesso de leitura ao certificado x509 que será utilizado para a autenticação baseada em servidor com o Microsoft Dynamics 365 Server e o servidor do SharePoint. Pode utilizar o snap-in Certificados de MMC para conceder este acesso.

• Se utiliza o Microsoft SharePoint 2013 para cada farm do SharePoint, só é possível configurar uma organização do Microsoft Dynamics 365 para a integração baseada no servidor. No entanto, pode ligar mais de uma organização do Microsoft Dynamics 365 a uma torre de servidores SharePoint 2016.

Preparar o Microsoft Dynamics 365 Server para integração baseada no servidor

O CertificateReconfiguration.ps1 é um script do Windows PowerShell que instala um certificado no arquivo de certificados local, concede à identidade Serviço de Processamento Assíncrono do Microsoft Dynamics 365 especificado acesso ao certificado e atualiza o Microsoft Dynamics 365 Server para utilizar o certificado.

Adicionar o certificado servidor-a-servidor ao arquivo de certificados local e à base de dados de configuração do Microsoft Dynamics 365

1. Abra uma sessão de comandos do PowerShell em todos os servidores onde a função Servidor Completo do Microsoft Dynamics 365 Server está instalada. Para outras implementações da função de servidor, a localização da execução do cmdlet para instalar o certificado depende da versão do Microsoft Dynamics 365 que tem.

   • Para o Service Pack para Microsoft Dynamics 365 (local) de dezembro de 2016 e versões posteriores, execute este comando em todos os servidores onde a função Servidor de Aplicações Web está em execução.

   • Para as versões Microsoft Dynamics CRM 2016 Service Pack 1 e anteriores, execute este comando em todos os servidores onde a função de servidor Serviço Assíncrono está em execução.

2. Passe para a paseta <drive>:\Program Files\Microsoft Dynamics CRM\Tools

3. Execute o script CertificateReconfiguration.ps1 do Windows PowerShell conforme explicado aqui:

   • certificateFilepath\Personalcertfile.pfx . Parâmetro obrigatório que especifica o caminho completo para o ficheiro de troca de informações pessoais (.pfx). Mais informações: Trabalhar com certificados digitais

   • passwordpersonal_certfile_password. Parâmetro obrigatório que especifica a palavra-passe do certificado privado.

   • certificateType S2STokenIssuer. Parâmetro obrigatório que especifica o tipo do certificado. Para a integração baseada no servidor do Microsoft Dynamics 365 e do SharePoint, só é suportado o S2STokenIssuer.

   • serviceAccount ‘NomeDominio\NomeUtilizador’ ou ‘Serviço de Rede’.

     • Para o Service Pack para Microsoft Dynamics 365 (local) de dezembro de 2016 e versões posteriores:

       serviceAccount 'contoso\CRMWebAppServer' ou ‘Serviço de Rede’. Parâmetro obrigatório que especifica a identidade para a função Servidor de Aplicações Web. A identidade é uma conta de utilizador de domínio, tal como contoso\CRMWebAppServer, ou Serviço de Rede. Será concedida permissão à identidade para aceder ao certificado.

     • Para as versões Microsoft Dynamics CRM 2016 Service Pack 1 e anteriores

       serviceAccount 'contoso\CRMAsyncService' ou ‘Serviço de Rede’. Parâmetro obrigatório que especifica a identidade para Serviço Assíncrono. A identidade é uma conta de utilizador de domínio, tal como contoso\CRMAsyncService, ou Serviço de Rede. Será concedida permissão à identidade para aceder ao certificado.

   • updateCrm. Adiciona as informações de certificado à base de dados de configuração do Microsoft Dynamics 365.

     Importante

     Mesmo que tenha várias funções Servidor Aplicacional Web ou Serviço Assíncrono implementadas, só precisa de executar uma vez o comando com o parâmetro updateCrm.

   • storeFindType FindBySubjectDistinguishedName. Especifica o tipo de arquivo de certificados. Por predefinição, este valor é FindBySubjectDistinguishedName e é recomendado quando executa o script.

   Importante

   Embora os parâmetros updateCrm e StoreFindType sejam opcionais para executar o comando, estes parâmetros são necessários para a integração do SharePoint baseada no servidor para as informações do certificado serem adicionadas à base de dados de certificação.

   Exemplo

   .\CertificateReconfiguration.ps1 -certificateFile c:\Personalcertfile.pfx -password personal_certfile_password -updateCrm -certificateType S2STokenIssuer -serviceAccount Domain\UserName -storeFindType FindBySubjectDistinguishedName
   

Preparar o farm do SharePoint para integração baseada no servidor.

Obter o ID do Realm do Dynamics 365

1. Iniciar o Ativar assistente de Integração com o SharePoint Baseada no Servidor.Aceda a Definições > Definições de Gestão de Documentos. (Como é que chego lá?)

2. Clique em Seguinte, clique em No Local e clique em Seguinte.

3. O ID é apresentado junto ao ID do Realm do Dynamics 365 na página.

   Nota

   Guarde o ID do Realm do Dynamics 365 num ficheiro de texto numa partilha de rede segura ou num armazenamento em nuvem. Em seguida, pode facilmente recuperá-lo a partir da localização onde executa o Ativar assistente de Integração com o SharePoint Baseada no Servidor.

No servidor do SharePoint no local, na Shell de Gestão do SharePoint, execute estes comandos do PowerShell pela ordem indicada.

Preparar o servidor do SharePoint para autenticação do Dynamics 365 Server

1. Se estiver a utilizar um shell de gestão do PowerShell que não seja o Shell de Gestão do SharePoint, tem de registar o módulo do SharePoint utilizando o comando seguinte.

   Add-PSSnapin Microsoft.SharePoint.PowerShell
   

   Ative a sessão do PowerShell para efetuar alterações ao serviço de tokens de segurança para o farm do SharePoint.

   $c = Get-SPSecurityTokenServiceConfig
   $c.AllowMetadataOverHttp = $true
   $c.AllowOAuthOverHttp= $true
   $c.Update()
   

2. Crie o objeto do serviço de tokens de segurança fidedigno, em que NomeOrganização é o nome exclusivo da organização do Microsoft Dynamics 365 e CrmServer é o nome do servidor Web IIS em que a função de servidor aplicacional Web do Microsoft Dynamics 365 está instalada, e -Name “crm” é utilizado para atribuir um nome ao servidor de tokens de segurança (STS).

   Importante

   • Não é possível ligar mais de uma organização do Microsoft Dynamics 365 a uma única torre de servidores Microsoft SharePoint 2013. No entanto, pode ligar mais de uma organização do Microsoft Dynamics 365 a uma torre de servidores SharePoint 2016.

   • Quando executa o comando New-SPTrustedSecurityTokenIssuer do PowerShell, tem de especificar o HTTPS para o ponto final dos metadados do Microsoft Dynamics 365 quando o Web site da aplicação do Microsoft Dynamics 365 só tem HTTPS ou quando tem enlaces HTTPS e HTTP, como o seguinte exemplo.

   New-SPTrustedSecurityTokenIssuer –Name "crm" –IsTrustBroker:$false –MetadataEndpoint https://CrmServer/XrmServices/2015/metadataendpoint.svc/json?orgName=OrganizationName
   

3. Registe o Microsoft Dynamics 365 com a coleção de sites SharePoint.

   Para executar os seguintes comandos, tem de especificar dois parâmetros:

   • O URL da coleção de sites do SharePoint No Local. Neste exemplo, https://sharepoint.contoso.com/sites/crm/ é utilizado para o URL da coleção de sites.

   • O CrmRealmId é o ID da organização do Microsoft Dynamics 365 que pretende utilizar para a gestão de documentos com o SharePoint.Mais informações:Obter o ID do Realm do Dynamics 365

   Importante

   Para concluir estes comandos, o Proxy da Aplicação de Serviço de Gestão de Aplicações do SharePoint tem de existir e estar em execução. Para mais informações sobre como iniciar e configurar o serviço, consulte o tópico Configurar as Definições de Subscrição e as aplicações de serviço de Gestão de Aplicações em Configurar um ambiente para aplicações para o SharePoint (SharePoint 2013).

   $CrmRealmId = "CRMRealmId"
   
   $Identifier  = "00000007-0000-0000-c000-000000000000@" + $CrmRealmId
   
   $site = Get-SPSite "https://sharepoint.contoso.com/sites/crm/"
   
   Register-SPAppPrincipal -site $site.RootWeb -NameIdentifier $Identifier -DisplayName "crm"
   

4. Conceda à aplicação Microsoft Dynamics 365 acesso ao site SharePoint.

   Nota

   No exemplo abaixo, é concedida permissão à aplicação Microsoft Dynamics 365 para a coleção de sites do SharePoint especificada através da utilização do parâmetro –Scope sitecollection. O parâmetro Scope aceita as seguintes opções. Utilize o âmbito mais apropriado para a configuração do SharePoint:

   • site. Concede permissão à aplicação Dynamics 365 apenas para o site do SharePoint especificado. Não concede permissão para nenhum subsite do site indicado.

   • sitecollection. Concede permissão à aplicação Dynamics 365 para todos os sites e subsites da coleção de sites do SharePoint especificada.

   • sitesubscription. Concede permissão à aplicação Dynamics 365 para todos os sites no farm do SharePoint, incluindo todas as coleções de sites, sites e subsites.

   $app = Get-SPAppPrincipal -NameIdentifier $Identifier -Site $site.Rootweb
   Set-SPAppPrincipalPermission -AppPrincipal $app -Site $site.Rootweb -Scope "sitecollection" -Right "FullControl" -EnableAppOnlyPolicy
   #"Set up claims-based authentication mapping"
   New-SPClaimTypeMapping -IncomingClaimType "https://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress" -IncomingClaimTypeDisplayName "EmailAddress" -SameAsIncoming
   

Executar o Ativar assistente de Integração com o SharePoint Baseada no Servidor

1. Na aplicação Microsoft Dynamics 365, vá a Definições > Gestão de Documentos.

2. Na área Gestão de Documentos, clique em Ativar a integração com o SharePoint baseada no servidor.

3. Reveja as informações e clique em Seguinte.

4. Para os sites SharePoint, clique em No Local e clique em Seguinte.

5. Na fase Preparar Sites, introduza as seguintes informações:

   • URL da coleção de sites do SharePoint No Local, por exemplo, https://sharepoint.contoso.com/sites/crm. O site tem de estar configurado para TLS/SSL.

   • ID de Realm do SharePoint.Obter o ID de Realm do SharePoint

6. Clique em Seguinte.

7. A secção de validação de sites é apresentada. Se todos os sites forem válidos, clique em Ativar. Se um ou mais sites forem inválidos, consulte Resolução de problemas da integração baseada no servidor do Dynamics 365 Server (no local) com o SharePoint Server No Local.

Selecionar as entidades que pretende incluir na gestão de documentos

Por predefinição, as entidades Conta, Artigo, Oportunidade Potencial, Produto, Proposta e Especificações são incluídas. Pode adicionar ou remover as entidades que serão utilizadas para a gestão de documentos com o SharePoint em Definições de Gestão de Documentos no Microsoft Dynamics 365.Aceda a Definições > Definições de Gestão de Documentos. (Como é que chego lá?)Mais informações:Centro de Clientes: Ativar a gestão de documentos em entidades

Adicionar a integração com o OneDrive para Empresas

Depois de concluir a configuração da integração baseada no servidor para o Microsoft Dynamics 365 e o SharePoint No Local, também poderá integrar o OneDrive para Empresas. Com a integração do Microsoft Dynamics 365OneDrive para Empresas, os utilizadores do Microsoft Dynamics 365 podem criar e gerir documentos privados utilizando o OneDrive para Empresas. Estes documentos podem ser acedidos no Dynamics 365 após o administrador de sistema ativar o OneDrive para Empresas.

Ativar o OneDrive para Empresas

No Windows Server em que o SharePoint Server No Local está em execução, abra a Shell de Gestão do SharePoint e execute os seguintes comandos.

Add-Pssnapin *
# Access WellKnown App principal
[Microsoft.SharePoint.Administration.SPWebService]::ContentService.WellKnownAppPrincipals

# Create WellKnown App principal
$ClientId = "00000007-0000-0000-c000-000000000000"
$PermissionXml = "<AppPermissionRequests AllowAppOnlyPolicy=""true""><AppPermissionRequest Scope=""https://sharepoint/content/tenant"" Right=""FullControl"" /><AppPermissionRequest Scope=""https://sharepoint/social/tenant"" Right=""Read"" /><AppPermissionRequest Scope=""https://sharepoint/search"" Right=""QueryAsUserIgnoreAppPrincipal"" /></AppPermissionRequests>"

$wellKnownApp= New-Object -TypeName "Microsoft.SharePoint.Administration.SPWellKnownAppPrincipal" -ArgumentList ($ClientId, $PermissionXml)

$wellKnownApp.Update()

Resolução de problemas da integração baseada no servidor do Dynamics 365 Server (no local) com o SharePoint Server No Local

Para informações sobre como resolver problemas do Ativar assistente de Integração com o SharePoint Baseada no Servidor e ver os registos de monitorização do SharePoint, consulte Resolução de problemas da autenticação baseada no servidor.

Problemas conhecidos

Para obter informações de resolução de problemas e problemas conhecidos da gestão de documentação com o SharePoint, consulte Resolução de problemas da autenticação baseada no servidor.

Acerca do mapeamento de autenticações baseadas em afirmações.

Por predefinição, a autenticação baseada no servidor entre o Dynamics 365 (local) e o SharePoint no local utiliza o identificador de segurança do utilizador (SID) para autenticar cada utilizador. Se o Microsoft Dynamics 365 Server e o SharePoint estiverem localizados em domínios do Active Directory sem fidedignidade, tem de utilizar um mapeamento de autenticações baseadas em afirmações personalizado, como o endereço de correio eletrónico do utilizador.Mais informações:Definir o mapeamento de afirmações personalizado para integração baseada no servidor com o SharePoint

Trabalhar com certificados digitais

O seguinte procedimento cria um ficheiro de troca de informações pessoais (.pfx).

1. Num computador que tenha acesso ao certificado que pretende utilizar para autenticação servidor-a-servidor, clique em Iniciar, clique em Executar, escreva MMC e prima Enter.

2. Clique em Ficheiro e clique em Adicionar/Remover Snap-in.

3. Na lista Snap-ins Disponíveis, clique em Certificados, clique em Adicionar, clique em Conta do computador, clique em Seguinte, clique em Concluir para selecionar o computador local e clique em OK.

4. Expanda Certificados, expanda Pessoal e clique em Certificados.

5. Clique com o botão direito do rato no certificado que pretende utilizar para criar um ficheiro de certificado pessoal, aponte para Todas as Tarefas e clique em Exportar.

6. Clique em Seguinte, clique em Sim para exportar a chave provada, certifique-se de que as seguintes opções estão selecionadas e clique em Seguinte.

   • Inclua todos os certificados no caminho de certificação se possível

   • Exportar todas as propriedades expandidas

7. Clique em Procurar e introduza uma localização e um nome de ficheiro para o ficheiro .pfx e clique em Guardar.

8. Clique em Seguinte e clique em Concluir.

Obter o ID de Realm do SharePoint

Execute o seguinte comando do PowerShell na Shell de Gestão do SharePoint, em que https://sharepoint.contoso.com/sites/crm/ é o URL da coleção de sites do SharePoint.

Get-SPAuthenticationRealm -ServiceContext https://sharepoint.contoso.com/sites/crm/

Em alternativa, pode localizar o ID de Realm do SharePoint na definição das permissões da aplicação do site da coleção de sites do SharePoint.

1. Inicie sessão na coleção de sites SharePoint que utilizará para a gestão de documentos com o Microsoft Dynamics 365.

2. Aceda a Definições do site> Permissões da aplicação no site.

3. O ID de Realm é apresentado em Identificador da Aplicação, à direita do símbolo @. Copie-o para a área de transferência. No Ativar assistente de Integração com o SharePoint Baseada no Servidor, cole apenas o GUID. Não cole em qualquer parte do identificador à esquerda de @.

© 2017 Microsoft. Todos os direitos reservados. Direitos de Autor