Konfigurera serverbaserad autentisering med Customer Engagement (on-premises) och SharePoint lokalt

Artikel
12/13/2024

Kommentar

Om du har aktiverat läget för enbart enhetligt gränssnitt gör du så här innan du använder procedurerna i den här artikeln:

VäljInställningar () i navigeringsfältet.
Välj Avancerade inställningar.

Det här avsnittet beskriver hur du konfigurerar serverbaserad integrering mellan Dynamics 365 Customer Engagement (on-premises) och Microsoft SharePoint lokalt.

Konfigurera serverbaserad integrering med Customer Engagement (on-premises)och SharePoint

Följ stegen i den ordning som du ställer in Customer Engagement (on-premises) med lokal Microsoft SharePoint-server.

Viktigt!

PowerShell-kommandon ska köras i administratörsläge. Se: Hur startar jag PowerShell?
Om en aktivitet inte slutförs, t.ex. ett PowerShell-kommando returnerar ett felmeddelande måste problemet lösas innan du fortsätter till nästa kommando, uppgift eller steg.
När du har aktiverat serverbaserad SharePoint-integration kan du inte återgå till den tidigare metoden för klientbaserad autentisering. Därför kan du inte använda Microsoft Dynamics CRM-listkomponent när du har konfigurerat din Customer Engagement (on-premises)-organisation för serverbaserad SharePoint-integration.

Verifiera förutsättningar

Innan du kan konfigurera Customer Engagement (on-premises) och SharePoint lokalt för serverbaserad integrering krävs följande behörigheter och förutsättningar.

Behörigheter som krävs

Customer Engagement (on-premises)

Systemadministratör säkerhetsroll – detta krävs för att du ska kunna köra guiden aktivera serverbaserad SharePoint integrering i Customer Engagement (on-premises).
Om du använder ett självsignerat certifikat för utvärdering, måste du ha lokalt gruppmedlemskap för administratörer på datorn där Dynamics 365 Server körs.

SharePoint lokal

Medlemskap i gruppen Administratörer – detta krävs för att köra de flesta av Windows PowerShell-kommandona på SharePoint-servern.

Förutsättningar för SharePoint

Välj en av följande SharePoint-versioner:
- Prenumerationsversion av SharePoint Service.
- SharePoint 2019 lokal
  
  Serverbaserad integrering mellan Dynamics 365 Customer Engagement (on-premises) och Microsoft SharePoint 2019 on-premises kräver Microsoft Dynamics 365 Server, v9.0 (on-premises) uppdatera 0.13, eller senare version.
- SharePoint 2016 lokal
- Microsoft SharePoint 2013 lokalt med Service Pack 1 (SP1) eller senare version med följande uppdateringar.
  - Installera den kumulativa uppdateringen från april 2019 (CU) för SharePoint 2013-produktfamiljen. Denna CU från april 2019 innehåller alla SharePoint 2013-korrigeringar (inklusive alla SharePoint 2013-säkerhetskorrigeringar) som släppts sedan SP1. SP1 ingår inte i CU från april 2019. Du måste installera SP1 innan du installerar CU för april 2019.
    - KB4464512 – SharePoint Foundation 2013 April 2019 CU
    - KB4464514 – SharePoint Server 2013 April 2019 CU
    - KB4464513 – Project Server 2013 April 2019 CU
SharePoint-konfiguration
- SharePoint kan endast konfigureras för en distribution för en enskild servergrupp.
- Om du vill använda standardmappning för anspråksbaserad autentisering måste domänen för Active Directory där SharePoint Server och Dynamics 365 Server finns vara samma, eller också måste domänen där SharePoint Server finns ha förtroende för domänen där Dynamics 365 Server finns. Mer information: Om mappning av anspråksbaserad autentisering
- SharePoint-webbplatsen måste konfigureras för att använda TLS/SSL (HTTPS) och intyget måste utfärdas av en offentlig rotcertifikatutfärdare. Mer information: SharePoint: om säkra kanal-SSL-certifikat
- Apphanteringstjänstprogramproxyn måste vara skapad och igång. Mer information: Konfigurera en miljö för appar för SharePoint
- En användarprofiltjänstprogram måste ha konfigurerats och vara igång. Mer information: Skapa, redigera eller ta bort användarprofiltjänstprogram i SharePoint Server 2013
- SharePoint-söktjänsten måste vara aktiverad för dokumentdelning. Mer information: Skapa och konfigurera ett söktjänstprogram i SharePoint Server
- För funktionerna för dokumenthantering när du använder mobilappar för Microsoft Customer Engagement (on-premises)-mobilappar måste den lokala SharePoint-servern vara tillgänglig via Internet.
- För att ge användare möjlighet att skapa SharePoint-dokumentbibliotek från Customer Engagement (on-premises) krävs följande behörigheter och konfigurationer:
  - Customer Engagement (on-premises)-användarens Active Directory-konto måste vara medlem i gruppen Webbplatsmedlemmar på SharePoint-webbplatssamlingen där dokumenten lagras.
  - Som standard använder mappningen för anspråksbaserad autentisering använder Customer Engagement (on-premises) användarens SharePoint-e-postadress och användarens lokala SharePoint-arbets-e-post-adress för mappning. När denna mappning används måste användarens e-postadresser matcha mellan de två systemen. Mer information: konfigurera mappning av användaranspråk med SharePoint e-postadress

Andra förutsättningar och begränsningar

X 509 digitalt certifikat som ska användas för serverbaserad autentisering mellan Dynamics 365 Server och SharePoint Server. Certifikatnycklarna måste ha minst 2048-bitars kryptering. I de flesta fall detta certifikat skall utfärdas av en betrodd certifikatutfärdare, men du kan använda ett självsignerat certifikat för utvärdering.
Identiteten för programpoolen CRMAppPool måste ha läsbehörighet till det x509-certifikat som ska användas för serverbaserad autentisering med Dynamics 365 Server och SharePoint Server. Du kan använda snapin-certifikatmodulen MMC för att ge denna åtkomst.
Om du använder Microsoft SharePoint 2013 kan, för respektive SharePoint-servergrupp, endast en Customer Engagement (on-premises)-organisation konfigureras för serverbaserad integrering. Du kan emellertid ansluta mer än en Customer Engagement (on-premises)-organisation till en SharePoint 2016-servergrupp.

Förbereda Dynamics 365 Server för serverbaserad integrering

CertificateReconfiguration.ps1 är ett Windows PowerShell-skript som installerar ett certifikat på den lokala certifikatlagringsplatsen, beviljar den angivna Microsoft Dynamics 365 Asynchronous Processing Service-identiteten tillgång till certifikatet, och uppdaterar Dynamics 365 Server för att använda certifikatet.

Lägg till server-till-server-certifikatet på den lokala certifikatlagringsplatsen och Customer Engagement (on-premises)-konfigurationsdatabasen

Öppna en PowerShell-kommandosession på alla servrar där Dynamics 365 Server fullständiga serverrollen har installerats.

Viktigt!

Du måste köra kommandot som beskrivs här på alla servrar där webbprogramserverrollen körs.

Flytta platsen till <enhet>:\Program\Microsoft Dynamics CRM\mappen Verktyg.
Kör Windows PowerShell-skriptet CertificateReconfiguration.ps1 som det beskrivs här:
- certificateFilepath\Personalcertfile.pfx . Obligatorisk parameter som anger den fullständiga sökvägen till Personal Information Exchange-filen (.pfx). Mer information: arbeta med digitala certifikat
- lösenordpersonal_certfile_password. Obligatorisk parameter som anger det privata certifikatlösenordet.
- certificateType S2STokenIssuer. Obligatorisk parameter som anger typen av certifikat. För Customer Engagement (on-premises) och serverbaserad SharePoint-integrering städs endast S2STokenIssuer.
- serviceAccount "DomainName\UserName" eller ”nätverkstjänst”.
```
serviceAccount 'contoso\\CRMWebAppServer' or ‘Network Service’. Required parameter that specifies the identity for the Web Application Server role. The identity is either a domain user account, such as *contoso\\CRMWebAppServer*, or Network Service. The identity will be granted permission to the certificate.
```
- updateCrm. Lägger till certifikatinformation till Microsoft Customer Engagement (on-premises)-konfigurationsdatabasen.
  
  Viktigt!
  
  Även om du distribuerar flera roller för webbprogramserver eller asynkron tjänst behöver du bara köra kommandot en gång med parametern updateCrm.
- storeFindType FindBySubjectDistinguishedName. Anger typen av certifikatlagringsplats. Det här värdet är som standard FindBySubjectDistinguishedName och rekommenderas när du kör skriptet.
Viktigt!

Även om updateCrm- och StoreFindType-parametrarna är valfria för att köra kommandot, så krävs dessa parametrar för serverbaserad SharePoint-integrering så att certifikatinformation läggs till i certifieringsdatabasen.

Exempel
```
.\CertificateReconfiguration.ps1 -certificateFile c:\Personalcertfile.pfx -password personal_certfile_password -updateCrm -certificateType S2STokenIssuer -serviceAccount Domain\UserName -storeFindType FindBySubjectDistinguishedName
```

Förbered SharePoint-servergruppen för serverbaserad integrering

Hämta sfär-ID för Dynamics 365

Starta aktivera guide för serverbaserad SharePoint-integration. Gå till Inställningar>Dokumenthantering.
Klicka på Nästa, klicka på Lokal och klicka sedan på Nästa.
ID:t visas bredvid Sfär-Id för Dynamics 365 på sidan.

Dricks

Spara sfär-Id:t för Dynamics 365 i en textfil på en säker nätverksresurs eller i molnbaserad lagring. Sedan kan du enkelt hämta den från den plats där du kör guiden Aktivera serverbaserad SharePoint-integrering.

På den lokala SharePoint-servern i SharePoint Management Shell, kör dessa PowerShell-kommandon i angiven ordning.

Förbered SharePoint Server för Dynamics 365 Server-autentisering

Om du använder ett PowerShell Management Shell som inte är SharePoint Management Shell måste du registrera SharePoint-modulen med följande kommando.
```
Add-PSSnapin Microsoft.SharePoint.PowerShell
```
Aktivera PowerShell-sessionen för att göra ändringar i säkerhetstokentjänsten för SharePoint-servergruppen.
```
$c = Get-SPSecurityTokenServiceConfig
$c.AllowMetadataOverHttp = $true
$c.AllowOAuthOverHttp= $true
$c.Update()
```
Skapa det tillförlitliga säkerhetstokentjänstobjektet där OrganizationName är det unika namnet på Customer Engagement (on-premises) organisationen och CrmServer är namnet på den IIS-webbserver där Customer Engagement (on-premises) webbprogramserverrollen installeras och namnet "crm" används för att namnge säkerhetstokenservern (STS).
Viktigt!
- Anslutning mer än en Customer Engagement (on-premises)-organisation till en enda Microsoft SharePoint 2013-servergrupp stöds inte. Du kan emellertid ansluta mer än en Customer Engagement (on-premises)-organisation till en SharePoint 2016-servergrupp.
- När du kör New-SPTrustedSecurityTokenIssuer PowerShell-kommandot måste du ange HTTPS för Customer Engagement (on-premises)-metadataslutpunkten när Customer Engagement (on-premises)-programwebbplatsen endast har HTTPS eller både HTTPS- och HTTP-bindningar, som i följande exempel.
```
New-SPTrustedSecurityTokenIssuer –Name "crm" –IsTrustBroker:$false –MetadataEndpoint https://CrmServer/XrmServices/2015/metadataendpoint.svc/json?orgName=OrganizationName
```
Registrera Customer Engagement (on-premises) med SharePoint-webbplatssamlingen.

Om du vill köra följande kommandon måste du ange följande två parametrar:
- Den lokala SharePoint-webbplatssamlingens URL. I exemplet här används https://sharepoint.contoso.com/sites/crm/ för webbplatssamlingens URL.
- CrmRealmId är id:t för den Customer Engagement (on-premises)-organisation som du vill använda för dokumenthantering med SharePoint. Mer information: ta fram Sfär-ID för Dynamics 365
Viktigt!

För att dessa kommandon ska kunna slutföras måste SharePoint-apphanteringstjänstprogramproxyn finnas och vara i gång. Mer information om hur du startar och konfigurerar tjänsten finns i avsnittet Konfigurera prenumerationsinställningar och program för apphanteringstjänst i Konfigurera en miljö för appar för SharePoint .
```
$CrmRealmId = "CRMRealmId"
$Identifier  = "00000007-0000-0000-c000-000000000000@" + $CrmRealmId
$site = Get-SPSite "https://sharepoint.contoso.com/sites/crm/"
Register-SPAppPrincipal -site $site.RootWeb -NameIdentifier $Identifier -DisplayName "crm"
```
Ge Customer Engagement (on-premises) tillgång till SharePoint-webbplatsen.
Kommentar

I exemplet nedan har Customer Engagement (on-premises) beviljats behörighet till den angivna SharePoint-webbplatssamlingen med hjälp av parametern –Scope sitecollection. Parametern Omfattning godkänner följande alternativ. Använd den omfattning som är mest lämplig för din SharePoint-konfiguration:
- site. Ger Customer Engagement (on-premises) behörighet till endast den angivna SharePoint-webbplatsen. Behörighet beviljas inte till eventuella underwebbplatser för den namngivna webbplatsen.
- sitecollection. Ger Customer Engagement (on-premises) behörighet till alla webbplatser och underwebbplatser inom den angivna SharePoint-webbplatssamlingen.
- sitesubscription. Ger Customer Engagement (on-premises) behörighet till alla webbplatser i SharePoint-servergruppen, inklusive alla webbplatssamlingar, webbplatser och underwebbplatser.
```
$app = Get-SPAppPrincipal -NameIdentifier $Identifier -Site $site.Rootweb
Set-SPAppPrincipalPermission -AppPrincipal $app -Site $site.Rootweb -Scope "sitecollection" -Right "FullControl" -EnableAppOnlyPolicy
#"Set up claims-based authentication mapping"
New-SPClaimTypeMapping -IncomingClaimType "https://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress" -IncomingClaimTypeDisplayName "EmailAddress" -SameAsIncoming
```

Kör Aktivera guide för serverbaserad SharePoint-integration

I Customer Engagement (on-premises), gå till Inställningar>Dokumenthantering.
I Dokumenthantering, välj Aktivera serverbaserad SharePoint-integration.
Granska informationen och välj sedan Nästa.
För SharePoint-webbplatser, välj Lokal och välj sedan nästa.
I stadiet Förbereda webbplatser, ange följande information:
- SharePoint webbplatssamlingens URL, t.ex. https://sharepoint.contoso.com/sites/crm. Platsen måste vara konfigurerad för TLS/SSL.
- SharePoint Sfär ID. Hämta SharePoint-sfär-id
Välj Nästa.
Avsnittet Validera platser visas. Om alla platser är giltiga, klicka på Aktivera. Om en eller flera webbplatser är ogiltiga, se Felsöka serverbaserad integrering för Dynamics 365 Server till SharePoint Server.

Välj vilka entiteter du vill ska inkluderas i dokumenthantering

Som standard ingår entiteterna konto, artikel, lead, produkt, offert och dokumentation. Du kan lägga till eller ta bort enheter som ska användas för dokumenthantering med SharePoint i Inställningar för dokumenthantering i Customer Engagement-appar. Gå till Inställningar>Dokumenthantering. För mer information, se Aktivera dokumenthantering för SharePoint för specifika entiteter.

Lägg till OneDrive för företag-integrering

När du har slutfört den lokala serverbaserade integreringskonfigurationen för Customer Engagement (on-premises) och SharePoint, kan du också integrera OneDrive för företag. Med Customer Engagement (on-premises) OneDrive för företag-integration kan Customer Engagement (on-premises) -användare kan skapa och hantera privata dokument med hjälp av OneDrive för företag. Dessa dokument kan nås i Customer Engagement (on-premises) när systemadministratören har aktiverat OneDrive för företag.

Aktivera OneDrive för företag

På den Windows Server där SharePoint Server lokalt körs öppnar du Management Shell för SharePoint och kör följande kommandon.

Add-Pssnapin *
# Access WellKnown App principal
[Microsoft.SharePoint.Administration.SPWebService]::ContentService.WellKnownAppPrincipals
    
# Create WellKnown App principal
$ClientId = "00000007-0000-0000-c000-000000000000"
$PermissionXml = "<AppPermissionRequests AllowAppOnlyPolicy=""true""><AppPermissionRequest Scope=""https://sharepoint/content/tenant"" Right=""FullControl"" /><AppPermissionRequest Scope=""https://sharepoint/social/tenant"" Right=""Read"" /><AppPermissionRequest Scope=""https://sharepoint/search"" Right=""QueryAsUserIgnoreAppPrincipal"" /></AppPermissionRequests>"
    
$wellKnownApp= New-Object -TypeName "Microsoft.SharePoint.Administration.SPWellKnownAppPrincipal" -ArgumentList ($ClientId, $PermissionXml)
     
$wellKnownApp.Update()

Felsökning av Customer Engagement (on-premises) för serverbaserad integrering av SharePoint Server lokalt

Information om hur du felsöker Aktivera serverbaserad SharePoint-integration och visar SharePoint-övervakningsloggar, se Felsöka serverbaserad autentisering.

Kända problem

Dokumentations hantering med SharePoint felsökning och kända problem finns i Felsöka serverbaserad autentisering.

Om mappning av anspråksbaserad autentisering

När du använder anspråksbaserad autentisering måste den Active Directory-domän där SharePoint Servern och Dynamics 365 Server finns vara samma. Servrar som finns i olika Active Directory-skogar eller -domäner stöds inte. På samma sätt kan användare som finns i externa domäner för antingen Dynamics 365 Server eller SharePoint Server inte komma åt dokument.

Som standard använder den serverbaserade autentiseringen mellan Customer Engagement (on-premises) och lokala SharePoint användarens säkerhetsidentifierare (SID) för att autentisera varje användare. Om du vill använda en anpassad anspråksbaserad autentisering, t.ex. användarens e-postadress, se definiera anpassad anspråksmappning för SharePoint serverbaserad integrering

Konfigurera mappning av användaranspråk med SharePoint e-postadress

Öppna formulärredigerare om du vill anpassa användar formuläret. Det gör du genom att gå till inställningar>säkerhet>användare och sedan öppna den användarpost du vill använda.
I verktygsfältet, välj … och välj sedan Formulärredigeraren.
Leta upp fältet SharePoint e-postadress i rutan Tillgängliga fält och dra och släpp det i avsnittet användarinformation i användarformuläret.
Välj Spara i verktygsfältet för formulärredigeraren och välj sedan Publicera.
Stäng formulärredigerare och uppdatera fliken webbläsare om du vill visa fältet nyligen tillagt i användarposten.
I användarposten i fältet SharePoint e-postadress anger du användarens e-postadress exakt som det visas i SharePoint.
Välj Spara.
Upprepa de två föregående stegen för alla användare som behöver dokumenthantering.

Arbeta med digitala certifikat

Följande procedur skapar en personlig informationsutbytesfil (.pfx).

På en dator som har tillgång till det certifikat som du vill använda för autentiseringen server-till-server, välj Start, välj Kör, skriv MMC och tryck sedna på Retur.
Klicka på Arkiv och klicka sedan på Lägg till/ta bort snapin-modul.
I listan med tillgängliga snapin-moduler klickar du på Certifikat, klickar på Lägg till, klickar på Datorkonto, klickar på Nästa, klickar på Slutför för att välja den lokala datorn och klickar sedan på OK.
Expandera Certifikat, expandera Personlig och klicka sedan på Certifikat.
Högerklicka på det certifikat som du vill skapa en personlig certifikatfil för, peka på Alla uppgifter och klicka sedan på Exportera.
Klicka på Nästa, klicka på Ja för att exportera den privata nyckeln, se till att följande alternativ är markerade och klicka sedan på Nästa.
- Inkludera om möjligt alla certifikat i certifikatsökvägen
- Exportera alla utökade egenskaper
Klicka på Bläddra och ange en plats och ett filnamn för .pfx-filen och klicka sedan på Spara.
Välj Nästa, och välj Slutför.

Hämta SharePoint-sfär-id

Kör följande PowerShell-kommando i SharePoint Management Shell, där https://sharepoint.contoso.com/sites/crm/ är URL för SharePoint webbplatssamlingen.

Get-SPAuthenticationRealm -ServiceContext https://sharepoint.contoso.com/sites/crm/

Alternativt kan du söka efter sfär-ID för SharePoint bland app-behörigheterna för webbplats för SharePoint-webbplatssamlingen.

Logga in på den SharePoint-webbplatssamling som du vill använda för dokumenthantering med Customer Engagement (on-premises).
Gå till Webbplatsinställningar>Programbehörigheter för webbplats.
Sfär-ID:t visas under App-identifierare till höger om @-tecknet. Kopiera den till Urklipp. I integrationsguiden aktivera serverbaserad SharePoint klistra endast in GUID. Inte klistra in i någon del av identifieraren till vänster om @.

Dela via