Поделиться через

Настройка серверной аутентификации при использовании локальной версии SharePoint

  • Статья

Интеграцию SharePoint на базе сервера для управления документами можно использовать для подключения приложений Customer Engagement (Dynamics 365 Sales, Dynamics 365 Customer Service, Dynamics 365 Field Service, Dynamics 365 Marketing и Dynamics 365 Project Service Automation), с локальным SharePoint. При использовании проверки подлинности на основе сервера службы домена Microsoft Entra используются как доверенный посредник, и пользователям не нужно входить в SharePoint.

Требуемые разрешения

Следующие привилегии и членство в перечисленных группах (ролях) необходимы для включения управления документами SharePoint.

  • Microsoft 365Принадлежность к роли глобального администратора — это необходимо для:

    • Доступ уровня администратора к подписке Microsoft 365.
    • Запуск мастера включения проверки подлинности на стороне сервера.
    • Запуск командлетов AzurePowerShell.

  • Привилегия Power Apps Запуск мастера интеграции SharePoint. Это необходимо для запуска мастера включения проверки подлинности на основе сервера.

    По умолчанию роль безопасности «Системный администратор» имеет эту привилегию.

  • Для локальной интеграции SharePoint, членство в группе администраторов фермы SharePoint. Это необходимо для выполнения большинства команд PowerShell на сервере SharePoint.

Настройка аутентификации «сервер-сервер» при использовании локальной версии SharePoint

Выполните следующие инструкции в указанном порядке, чтобы настроить приложения для взаимодействия с клиентами с локальной версией SharePoint 2013.

Внимание

Действия, описанные в этом разделе, следует выполнять в указанном порядке. Если задача не завершена, например команда PowerShell продолжает возвращать сообщение об ошибке, проблему следует устранить до перехода к следующей команде, задаче или шагу.

Проверка необходимых условий

Перед настройкой приложений Customer Engagement и локальной версии SharePoint для проверки подлинности на основе сервера необходимо выполнить следующие условия:

Необходимые условия SharePoint

  • SharePoint 2013 (локальная версия) с пакетом обновления 1 (SP1) или более поздняя версия

    Внимание

    Версии SharePoint Foundation 2013 не поддерживаются для использования с управлением документами приложений Customer Engagement.

  • Установите накопительное обновление (CU) за апрель 2019 г. для семейства продуктов SharePoint 2013 г. Это накопительное обновление за апрель 2019 года включает в себя все исправления SharePoint 2013 г. (включая все исправления безопасности SharePoint 2013 г.), выпущенные после пакета обновления SP1. Накопительное обновление за апрель 2019 г. не включает в себя пакет обновления SP1. Вам необходимо установить пакет обновления SP1 перед установкой накопительного обновления от апреля 2019 года. Больше информации: KB4464514 Накопительное обновление SharePoint Server 2013 за апрель 2019 г.

  • Настройка SharePoint

    • Если используется SharePoint 2013, для каждой фермы SharePoint можно настроить только одно приложение для взаимодействия с клиентами для интеграции на основе сервера.

    • Наличие доступа к веб-сайтам SharePoint через Интернет. Обратный прокси-сервер также может потребоваться для проверки подлинности SharePoint. Дополнительные сведения см. в разделе Настройка обратного прокси-сервера для гибрида SharePoint Server 2013.

    • Веб-сайт SharePoint должен быть настроен для использования SSL (HTTPS) по TCP с портом 443 (настраиваемые порты не поддерживаются), и сертификат должен быть выдан общественным корневым центром сертификации. Дополнительные сведения: SharePoint: О сертификатах SSL безопасного канала

    • Надежное свойство пользователя, используемое для сопоставления аутентификация на основе утверждений между SharePoint и приложениями Customer Engagement. Дополнительная информация: Выбор типа сопоставления утверждений

    • Для общего доступа к документам должна быть включена поисковая служба SharePoint. Дополнительные сведения: Создание и настройка приложения службы поиска в SharePoint Server

    • Для работы функции управления документами при использовании мобильных приложений Dynamics 365 локальный сервер SharePoint должен быть доступен через Интернет.

Другие необходимые условия

  • Лицензия SharePoint Online. Локальная серверная аутентификация приложений Customer Engagement в SharePoint подразумевает наличие имени субъекта-службы SharePoint, зарегистрированного в Microsoft Entra ID. Для использования этой функции требуется хотя бы одна пользовательская лицензия SharePoint Online. Лицензия SharePoint Online может наследоваться от одной пользовательской лицензии и, как правило, имеет источником одно из следующего.

    • Подписка SharePoint Online. Достаточно любого плана SharePoint Online, даже если лицензия не назначена пользователю.

    • Подписка Microsoft 365, которая включает SharePoint Online. Например, если имеется Microsoft 365 E3, у вас будет подходящая лицензия, даже если лицензия не назначена пользователю.

      Для получения дополнительной информации об этих планах см. Найдите подходящее для вас решение и сравните вариантыSharePoint

  • Необходимы следующие программные функции для запуска командлетов PowerShell, описанных в этой теме.

    • Microsoft Вход в онлайн-сервисы Помощник для ИТ-специалистов (бета-версия)

    • MSOnlineExt

    • Для установки модуля MSOnlineExt введите следующую команду из сеанса администратора PowerShell. PS> Install-Module -Name "MSOnlineExt"

    Внимание

    На момент написания этой статьи возникла проблема с версией RTW Microsoft входа в онлайн-сервисы Помощник для ИТ-специалистов. Пока проблема не будет устранена, рекомендуется использовать бета-версию. Дополнительные сведения: Форумы Microsoft Azure: Невозможно установить модуль Microsoft Entra для Windows PowerShell. MOSSIA не установлен.

  • Соответствующий тип сопоставления проверки подлинности на основе утверждений, используемый для сопоставления удостоверений между приложениями Customer Engagement и локальной версией SharePoint. По умолчанию используется адрес электронной почты. Дополнительные сведения: Предоставление разрешения приложениям для взаимодействия с клиентами на доступ к SharePoint и настройка сопоставления аутентификации на основе утверждений

Обновите имя участника SharePoint Server в доменных службах Microsoft Entra

На локальном сервере SharePoint в командной консоли SharePoint 2013 выполните следующие команды PowerShell в указанном порядке.

  1. Подготовьте сеанс PowerShell.

    Следующие командлеты позволяют компьютеру получать удаленные команды и добавлять модули Microsoft 365 в сеанс PowerShell. Дополнительные сведения об этих командлетах см. в разделе Основные командлеты Windows PowerShell.

    Enable-PSRemoting -force  
New-PSSession  
Import-Module MSOnline -force  
Import-Module MSOnlineExtended -force

  2. Подключитесь к Microsoft 365.

    При запуске команды Connect-MsolService необходимо указать действительную Microsoft учетную запись с глобальным членством администратора для SharePoint требуемой сетевой лицензии.

    Дополнительные сведения о каждой из перечисленных здесь команд Microsoft Entra IDPowerShell см. в разделе MSDN. Управление Microsoft Entra с помощью Windows PowerShell

    $msolcred = get-credential  
connect-msolservice -credential $msolcred

  3. Укажите имя узла SharePoint.

    Значение, задаваемое для переменной HostName, должно быть полным именем узла коллекции сайтов SharePoint. Имя узла должно быть производным от URL-адреса коллекции сайтов и вводиться с учетом регистра. В этом примере URL-адрес семейства сайтов <https://SharePoint.constoso.com/sites/salesteam>, поэтому имя хоста SharePoint.contoso.com.

    $HostName = "SharePoint.contoso.com"

  4. Получите идентификатор объекта (клиента) Microsoft 365 и имя субъекта-службы (SPN) сервера SharePoint.

    $SPOAppId = "00000003-0000-0ff1-ce00-000000000000"  
$SPOContextId = (Get-MsolCompanyInformation).ObjectID  
$SharePoint = Get-MsolServicePrincipal -AppPrincipalId $SPOAppId  
$ServicePrincipalName = $SharePoint.ServicePrincipalNames

  5. Задайте имя субъекта-службы сервера SharePoint в Microsoft Entra IDPowerShell.

    $ServicePrincipalName.Add("$SPOAppId/$HostName")   
Set-MsolServicePrincipal -AppPrincipalId $SPOAppId -ServicePrincipalNames $ServicePrincipalName

    По завершении выполнения этих команд не закрывайте оболочку управления SharePoint 2013 и переходите к следующему шагу.

Обновление области SharePoint для соответствия области SharePoint Online

На сервере локальной версии SharePoint в оболочке управления SharePoint 2013 выполните следующую команду Windows PowerShell.

Следующая команда требуется членства в группе администраторов фермы SharePoint и задает область проверки подлинности фермы локальной версии SharePoint.

Внимание

При выполнении этой команды изменяется область проверки подлинности фермы локальной версии SharePoint. В случае приложений, использующих существующую службу токенов безопасности, это может привести к неожиданному поведению с другими приложениями, использующими токены доступа. Дополнительные сведения см. в разделе Set-SPAuthenticationRealm.

Set-SPAuthenticationRealm -Realm $SPOContextId

Создание доверенного издателя токена безопасности для Microsoft Entra ID в SharePoint

На локальном сервере SharePoint в командной консоли SharePoint 2013 выполните следующие команды PowerShell в указанном порядке.

Следующие команды требуют членства в группе администраторов фермы SharePoint.

Дополнительные сведения об этих командах PowerShell см. в разделе Использование командлетов Windows PowerShell для администрирования безопасности в SharePoint 2013.

  1. Включите сеанс PowerShell, чтобы внести изменения в службу токенов безопасности для фермы SharePoint.

    $c = Get-SPSecurityTokenServiceConfig  
$c.AllowMetadataOverHttp = $true  
$c.AllowOAuthOverHttp= $true  
$c.Update()

  2. Настройте конечную точку метаданных.

    $metadataEndpoint = "https://accounts.accesscontrol.windows.net/" + $SPOContextId + "/metadata/json/1"  
$acsissuer = "00000001-0000-0000-c000-000000000000@" + $SPOContextId  
$issuer = "00000007-0000-0000-c000-000000000000@" + $SPOContextId

  3. Создайте прокси-сервер приложения Control Service нового токена в Microsoft Entra ID.

    New-SPAzureAccessControlServiceApplicationProxy -Name "Internal" -MetadataServiceEndpointUri $metadataEndpoint -DefaultProxyGroup

    Заметка

    Команда New- SPAzureAccessControlServiceApplicationProxy возвращает сообщение об ошибке, указывающее, что прокси-сервер приложения с таким именем уже существует. Если соответствующий прокси-сервер приложения уже существует, можно проигнорировать эту ошибку.

  4. Создайте издателя новых токенов Control Service в локальной версии SharePoint для Microsoft Entra ID.

    $acs = New-SPTrustedSecurityTokenIssuer –Name "ACSInternal" –IsTrustBroker:$true –MetadataEndpoint $metadataEndpoint -RegisteredIssuerName $acsissuer

Предоставление разрешения приложениям Customer Engagement на доступ к SharePoint и настройка сопоставления аутентификации на основе утверждений

На локальном сервере SharePoint в командной консоли SharePoint 2013 выполните следующие команды PowerShell в указанном порядке.

Следующие команды требуют членства в группе администраторов коллекции сайтов SharePoint.

  1. Зарегистрируйте приложения Customer Engagement с коллекцией сайтов SharePoint.

    Введите URL-адрес коллекции сайтов локальной версии SharePoint. В этом примере используется https://sharepoint.contoso.com/sites/crm/.

    Внимание

    Для выполнения этой команды прокси-сервер приложения службы управления приложениями SharePoint должен существовать и быть активным. Дополнительные сведения о том, как запустить и настроить службу, см. в подразделе "Настройка параметров подписки и приложений службы управления приложениями" раздела Настройка среды для приложений SharePoint (SharePoint 2013).

    $site = Get-SPSite "https://sharepoint.contoso.com/sites/crm/"  
Register-SPAppPrincipal -site $site.RootWeb -NameIdentifier $issuer -DisplayName "crm"

  2. Предоставьте приложениям Customer Engagement доступ к сайту SharePoint. Замените https://sharepoint.contoso.com/sites/crm/ своим URL-адресом сайта SharePoint.

    Заметка

    В следующем примере приложению Customer Engagement предоставляется разрешение на заданную коллекцию сайтов SharePoint с помощью параметра коллекции сайтов –Scope. Параметр "Scope" принимает следующие ключи. Выберите область, которая лучше всего подходит для используемой конфигурации SharePoint.

    • site. Предоставляет приложениям Customer Engagement разрешение только в отношении указанного веб-сайта SharePoint. Не предоставляются разрешения ко всем вложенный сайтам указанного сайта.
      • sitecollection. Предоставляет приложениям Customer Engagement разрешения на все веб-сайты и подсайты в заданной коллекции сайтов SharePoint.
      • sitesubscription. Предоставляет приложениям Customer Engagement разрешение на все веб-сайты фермы SharePoint, включая все коллекции сайтов, веб-сайты и подсайты.
    $app = Get-SPAppPrincipal -NameIdentifier $issuer -Site "https://sharepoint.contoso.com/sites/crm/"  
Set-SPAppPrincipalPermission -AppPrincipal $app -Site $site.Rootweb -Scope "sitecollection" -Right "FullControl"

  3. Укажите тип сопоставления проверки подлинности на основе утверждений.

    Внимание

    По умолчанию аутентификация на основе утверждений сопоставление будет использовать адрес электронной почты учетной записи пользователя Microsoft и рабочий адрес электронной почты SharePoint локальный пользователя для сопоставление. В этом случае адреса электронной почты пользователя должны совпадать в двух системах. Дополнительные сведения см. в разделе Выбор типа сопоставления проверки подлинности на основе утверждений.

    $map1 = New-SPClaimTypeMapping -IncomingClaimType "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress" -IncomingClaimTypeDisplayName "EmailAddress" -SameAsIncoming

Запуск Мастера включения интеграции с SharePoint на основе сервера

Выполните следующие действия:

  1. Убедитесь в наличии необходимых разрешений для запуска мастера. Дополнительная информация: см. раздел Требуемые разрешения.

  2. Перейдите в раздел Параметры>Управление документами.

  3. В области Управление документами, щелкните Включение интеграции SharePoint на основе сервера.

  4. Просмотрите сведения и нажмите кнопку Далее.

  5. В случае сайтов SharePoint щелкните Локальная версия и щелкните Далее.

  6. Введите URL-адрес коллекции сайтов локальной версии SharePoint, например https://sharepoint.contoso.com/sites/crm. Сайт должен быть настроен для SSL.

  7. Нажмите кнопку Далее.

  8. Отобразится раздел проверки сайтов. Если все сайты определены как допустимые, щелкните Включить. Если один или несколько сайтов определены как недопустимые, см. раздел Устранение неполадок проверки подлинности на основе сервера.

Выбор сущностей для включения в управление документами

По умолчанию сущности "Организация", "Статья", "Интерес", "Продукт", "Предложение с расценками" и "Литература" включены. Можно добавить или удалить сущности, которые будут использоваться для управления документами с SharePoint в разделе Параметры управления документами. Перейдите в раздел Параметры>Управление документами. Дополнительные сведения: Включение управления документами в сущностях

Добавление OneDrive для интеграции для бизнеса

После завершения настройки серверной аутентификации локальной версии приложений Customer Engagement и SharePoint можно также интегрировать OneDrive для бизнеса. С интеграцией приложений для взаимодействия с клиентами и OneDrive для бизнеса пользователи приложений смогут создавать и управлять частными документами с помощью OneDrive для бизнеса. Такие документы будут доступны, как только системный администратор включит OneDrive для бизнеса.

Включить OneDrive для бизнеса

В Windows Server, где запущена локальная версия сервера SharePoint, откройте командную консоль SharePoint и выполните следующие команды:

Add-Pssnapin *  
# Access WellKnown App principal  
[Microsoft.SharePoint.Administration.SPWebService]::ContentService.WellKnownAppPrincipals  
  
# Create WellKnown App principal  
$ClientId = "00000007-0000-0000-c000-000000000000"  
$PermissionXml = "<AppPermissionRequests AllowAppOnlyPolicy=""true""><AppPermissionRequest Scope=""http://sharepoint/content/tenant"" Right=""FullControl"" /><AppPermissionRequest Scope=""http://sharepoint/social/tenant"" Right=""Read"" /><AppPermissionRequest Scope=""http://sharepoint/search"" Right=""QueryAsUserIgnoreAppPrincipal"" /></AppPermissionRequests>"  
  
$wellKnownApp= New-Object -TypeName "Microsoft.SharePoint.Administration.SPWellKnownAppPrincipal" -ArgumentList ($ClientId, $PermissionXml)  
  
$wellKnownApp.Update()

Выбор типа сопоставления проверки подлинности на основе утверждений

По умолчанию аутентификация на основе утверждений сопоставление будет использовать адрес электронной почты учетной записи пользователя Microsoft и рабочий адрес электронной почты пользователя SharePoint локальный для сопоставление. Обратите внимание, что какой бы тип проверки подлинности на основе утверждений вы ни использовали, значения, такие как адреса электронной почты, должны совпадать в приложениях Customer Engagement и SharePoint. Синхронизация каталога Microsoft 365 поможет помочь в этом отношении. Дополнительные сведения: Развертывание синхронизации службы каталогов Microsoft 365 в Microsoft Azure. Сведения по использованию другого типа сопоставления проверки подлинности на основе утверждений см. в разделе Определение пользовательского сопоставления утверждений для интеграции с SharePoint на основе сервера.

Внимание

Для включения свойства рабочего адреса электронной почты необходимо настроить и запустить приложение службы профилей пользователей в локальной версии SharePoint. Для включения приложения службы профилей пользователей в SharePoint см. раздел Создание, изменение и удаление приложения службы профилей пользователей в SharePoint Server 2013. Чтобы внести изменения в свойство пользователя, например рабочий электронный адрес, см. раздел Изменение свойства профиля пользователя. Дополнительные сведения о приложении службы профилей пользователей см. в разделе Обзор приложения службы профилей пользователей в SharePoint Server 2013.

См. также

Устранение неполадок аутентификации на основе сервера
Настройте SharePoint интеграцию с приложениями для взаимодействия с клиентами