Dela via

Konfigurera serverbaserad autentisering med SharePoint lokalt

  • Artikel

Serverbaserad SharePoint-integrering av dokumenthantering kan användas för att ansluta program för kundengagemang (Dynamics 365 Sales, Dynamics 365 Customer Service, Dynamics 365 Field Service, Dynamics 365 Marketing och Dynamics 365 Project Service Automation) med SharePoint lokalt. När du använder serverbaserad autentisering används Microsoft Entra Domain Services som förtroendekoordinator, och användarna behöver inte logga in på SharePoint.

Behörigheter som krävs

Följande medlemskap och privilegier krävs för att aktivera SharePoint-dokumenthantering.

  • Microsoft 365 Globalt administratörsmedlemskap – detta krävs för:

    • Åtkomst på administrativ nivå till prenumerationen Microsoft 365.
    • För att köra Aktivera serverbaserad Autentiseringsguide.
    • Köra AzurePowerShell-cmdlets.

  • Power Apps-privilegiet Kör SharePoint Integration Wizard. Detta krävs för att köra guiden Aktivera serverbaserad autentisering.

    Systemadministratörens säkerhetsroll har detta privilegium som standard.

  • För SharePoint lokal integrering, medlemskap i administratörsgruppen för SharePoint-servergrupp. Detta krävs för att köra de flesta av PowerShell-kommandona på SharePoint-servern.

Konfigurera server-till-server-autentisering med SharePoint-lokalt.

Följ stegen i angiven ordning om du vill konfigurera program för kundengagemang med SharePoint 2013 lokalt.

Viktigt!

Stegen som beskrivs här måste slutföras i den ordning som anges. Om en aktivitet inte slutförs, t.ex. ett PowerShell-kommando som returnerar ett felmeddelande måste problemet lösas innan du fortsätter till nästa kommando, uppgift eller steg.

Verifiera förutsättningar

Innan du kan konfigurera program för kundengagemang och SharePoint lokalt för serverbaserad autentisering måste följande förutsättningar ha uppfyllts:

Förutsättningar för SharePoint

  • SharePoint 2013 (lokal) med Service Pack 1 (SP1) eller senare version

    Viktigt!

    Versioner av SharePoint Foundation 2013 stöds inte för användning med dokumenthantering för program för kundengagemang.

  • Installera den kumulativa uppdateringen från april 2019 (CU) för SharePoint 2013-produktfamiljen. Denna CU från april 2019 innehåller alla SharePoint 2013-korrigeringar (inklusive alla SharePoint 2013-säkerhetskorrigeringar) som släppts sedan SP1. SP1 ingår inte i CU från april 2019. Du måste installera SP1 innan du installerar CU för april 2019. Mer information: KB4464514 SharePoint Server 2013 April 2019 CU

  • SharePoint-konfiguration

    • Om du använder SharePoint 2013 kan endast ett program för kundengagemang konfigureras för serverbaserad integrering frö respektive SharePoint-servergrupp.

    • SharePoint-webbplatsen måste vara tillgänglig via Internet. Omvänd proxy kan också krävas för SharePoint-autentisering. Mer information: konfigurera en enhet för omvänd proxy för SharePoint Server 2013 hybrid

    • SharePoint-webbplatsen måste konfigureras för att använda SSL (HTTPS) på TCP-port 443 (inga anpassade portar stöds) och intyget måste utfärdas av en offentlig rotcertifikatutfärdare. Mer information: SharePoint: om säkra kanal-SSL-certifikat

    • En tillförlitlig användaregenskap för mappning med anspråksbaserad autentisering mellan SharePoint och program för kundengagemang. Mer information: Välja en mappningstyp för anspråk

    • SharePoint-söktjänsten måste vara aktiverad för dokumentdelning. Mer information: Skapa och konfigurera ett söktjänstprogram i SharePoint Server

    • För funktionerna för dokumenthantering när du använder mobilappar för Dynamics 365 måste den lokala SharePoint-servern vara tillgänglig via Internet.

Övriga förutsättningar

  • SharePoint Online-licens. Program för kundengagemang avsedda för lokal, serverbaserad SharePoint-autentisering måste ha huvudnamnet för SharePoint-tjänst (SPN) registrerat i Microsoft Entra ID. För att uppnå detta krävs minst en SharePoint Online-användarlicens. SharePoint Online-licensen kan härledas från en licens för en användare och kommer vanligtvis från något av följande:

    • En SharePoint Online-prenumeration. En SharePoint Online-plan är tillräcklig även om licensen inte är tilldelad till en användare.

    • En Microsoft 365-prenumeration som inkluderar SharePoint Online. Till exempel, om du har Microsoft 365 E3 har du rätt licensiering även om licensen inte är tilldelad till en användare.

      Mer information om dessa planer finns i Hitta rätt lösning för just dig och Jämför SharePoint-alternativ

  • Följande programvarufunktioner krävs för att köra de PowerShell-cmdletar som beskrivs i detta avsnitt.

    • Microsoft Betaversion av assistenten för inloggning onlinetjänster för IT-proffs

    • MSOnlineExt

    • Installera MSOnlineExt-modulen genom att ange följande kommando från en PowerShell-session för administratör. PS> Install-Module -Name "MSOnlineExt"

    Viktigt!

    När detta skrivs Dit finns det ett problem med RTW-versionen av Microsoft Online Services Sign-In Assistenten för IT-proffs. Vi rekommenderar att du använder betaversionen tills problemet är löst. Mer information: Microsoft Azure Forum: Det går inte att installera modulen för Microsoft Entra för Windows PowerShell. MOSSIA.

  • En lämplig mappningstyp för anspråksbaserad autentisering som ska användas för att mappa identiteter mellan program för kundengagemang och SharePoint lokalt. E-postadressen används som standard. Mer information: Bevilja program för kundengagemang behörighet att komma åt SharePoint och att konfigurera mappningen för anspråksbaserad autentisering

Uppdatera SharePoint Server SPN i Microsoft Entra Domain Services

På den lokala SharePoint-servern i SharePoint 2013 Management Shell, kör dessa PowerShell-kommandon i angiven ordning.

  1. Förbereda PowerShell-sessionen.

    Följande cmdletar gör att datorn kan ta emot fjärrkommandon och lägga till Microsoft 365-moduler till PowerShell-sessionen. Mer information om dessa cmdletar finns i Windows PowerShell Core-cmdletar.

    Enable-PSRemoting -force  
New-PSSession  
Import-Module MSOnline -force  
Import-Module MSOnlineExtended -force

  2. Anslut till Microsoft 365.

    När du kör kommandot Connect-MsolService måste du ange ett giltigt Microsoft konto som har globalt administratörsmedlemskap för den SharePoint onlinelicens som krävs.

    För detaljerad information om de Microsoft Entra ID PowerShell-kommandon som visas här, se Hantera Microsoft Entra med Windows PowerShell

    $msolcred = get-credential  
connect-msolservice -credential $msolcred

  3. Ställ in SharePoint-värdnamnet.

    Det värde som du anger för variabeln värdnamn måste vara det fullständiga värdnamnet för SharePoint-webbplatssamlingen. Värdnamnet måste härledas från webbplatssamlingens webbadress och är skiftlägeskänsligt. I det här exemplet är webbplatssamlingens webbadress <https://SharePoint.constoso.com/sites/salesteam>, varför värdnamnet blir SharePoint.contoso.com.

    $HostName = "SharePoint.contoso.com"

  4. Hämta Microsoft 365-objekt-ID:t (klientorganisation) och SharePoint-tjänstens huvudnamn (SPN).

    $SPOAppId = "00000003-0000-0ff1-ce00-000000000000"  
$SPOContextId = (Get-MsolCompanyInformation).ObjectID  
$SharePoint = Get-MsolServicePrincipal -AppPrincipalId $SPOAppId  
$ServicePrincipalName = $SharePoint.ServicePrincipalNames

  5. Ange tjänstens huvudnamn (SPN) för SharePoint Server Microsoft Entra ID.

    $ServicePrincipalName.Add("$SPOAppId/$HostName")   
Set-MsolServicePrincipal -AppPrincipalId $SPOAppId -ServicePrincipalNames $ServicePrincipalName

    När dessa kommandon är klara stänger du inte SharePoint 2013 Management Shell utan fortsätter till nästa steg.

Uppdatera SharePoint-sfären för att matcha SharePoint Online

På den lokala SharePoint-servern, i SharePoint 2013 Management Shell, kör detta Windows PowerShell-kommando.

Följande kommando kräver SharePoint servergruppsadministratörsmedlemskap och anger autentiseringssfären för den lokala SharePoint-servergruppen.

Varning

När du kör det här kommandot ändras autentiseringssfären för den lokala SharePoint-servergruppen. Detta kan orsaka oväntade problem med andra program som använder en befintlig säkerhetstokentjänst (STS). Mer information: Set-SPAuthenticationRealm.

Set-SPAuthenticationRealm -Realm $SPOContextId

Skapa ett betrodd säkerhetstokenutfärdare för Microsoft Entra ID på SharePoint

På den lokala SharePoint-servern i SharePoint 2013 Management Shell, kör dessa PowerShell-kommandon i angiven ordning.

Följande kommandon kräver SharePoint-servergruppsadministratörsmedlemskap.

Detaljerad information om dessa PowerShell-kommandon finns i Använda Windows PowerShell-cmdlets för att administrera säkerhet i SharePoint 2013.

  1. Aktivera PowerShell-sessionen för att göra ändringar i säkerhetstokentjänsten för SharePoint-servergruppen.

    $c = Get-SPSecurityTokenServiceConfig  
$c.AllowMetadataOverHttp = $true  
$c.AllowOAuthOverHttp= $true  
$c.Update()

  2. Ange slutpunkten för metadata.

    $metadataEndpoint = "https://accounts.accesscontrol.windows.net/" + $SPOContextId + "/metadata/json/1"  
$acsissuer = "00000001-0000-0000-c000-000000000000@" + $SPOContextId  
$issuer = "00000007-0000-0000-c000-000000000000@" + $SPOContextId

  3. Skapa en ny programproxy för tokenkontrolltjänst i Microsoft Entra ID.

    New-SPAzureAccessControlServiceApplicationProxy -Name "Internal" -MetadataServiceEndpointUri $metadataEndpoint -DefaultProxyGroup

    Kommentar

    Kommandot New- SPAzureAccessControlServiceApplicationProxy kan returnera ett felmeddelande som anger att det redan finns en programproxy med samma namn. Om den namngivna programproxyn redan finns kan du ignorera felet.

  4. Skapa en ny utgivare för tokenkontrolltjänst i den lokala SharePoint för Microsoft Entra ID.

    $acs = New-SPTrustedSecurityTokenIssuer –Name "ACSInternal" –IsTrustBroker:$true –MetadataEndpoint $metadataEndpoint -RegisteredIssuerName $acsissuer

Bevilja program för kundengagemang behörighet att komma åt SharePoint och att konfigurera mappningen för anspråksbaserad autentisering

På den lokala SharePoint-servern i SharePoint 2013 Management Shell, kör dessa PowerShell-kommandon i angiven ordning.

Följande kommandon kräver SharePoint-webbplatssamlingsadministratörsmedlemskap.

  1. Registrera program för kundengagemang med SharePoint-webbplatssamlingen.

    Ange den lokala SharePoint-webbplatssamlingens URL. I detta exempel används https://sharepoint.contoso.com/sites/crm/.

    Viktigt!

    För att kommandot ska kunna slutföras måste SharePoint-programhanteringstjänstprogramproxyn finnas och vara i gång. Mer information om hur du startar och konfigurerar tjänsten finns i underavsnittet Konfigurera prenumerationsinställningar och program för apphanteringstjänst i Konfigurera en miljö för program för SharePoint (SharePoint 2013).

    $site = Get-SPSite "https://sharepoint.contoso.com/sites/crm/"  
Register-SPAppPrincipal -site $site.RootWeb -NameIdentifier $issuer -DisplayName "crm"

  2. Bevilja program för kundengagemang åtkomst till SharePoint-webbplatsen. Ersätt https://sharepoint.contoso.com/sites/crm/ med URL:en för din SharePoint-webbplats.

    Kommentar

    I följande exempel beviljas programmet för kundengagemang åtkomst till angiven SharePoint-webbplatssamling genom att använda webbplatssamlingsparametern "–Scope". Parametern Omfattning godkänner följande alternativ. Välj den omfattning som är mest lämplig för din SharePoint-konfiguration.

    • site. Beviljar programmen för kundengagemang behörighet endast till angiven SharePointwebbplats. Behörighet beviljas inte till eventuella underwebbplatser för den namngivna webbplatsen.
      • sitecollection. Ger program för kundengagemang behörighet till alla webbplatser och underwebbplatser inom angiven SharePoint-webbplatssamling.
      • sitesubscription. Ger program för kundengagemang behörighet till alla webbplatser i SharePoint-servergruppen, inklusive alla webbplatssamlingar, webbplatser och underwebbplatser.
    $app = Get-SPAppPrincipal -NameIdentifier $issuer -Site "https://sharepoint.contoso.com/sites/crm/"  
Set-SPAppPrincipalPermission -AppPrincipal $app -Site $site.Rootweb -Scope "sitecollection" -Right "FullControl"

  3. Konfigurera mappningstyp för anspråksbaserad autentisering.

    Viktigt!

    Som standard använder den anspråksbaserade autentiseringen mappning användarens Microsoft kontos e-postadress och användarens SharePoint lokala e-postadress för arbetet för mappning. När du använder den här måste användarens e-postadresser matcha mellan de två systemen. Mer information finns i Välja en anspråksbaserad mappningstyp.

    $map1 = New-SPClaimTypeMapping -IncomingClaimType "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress" -IncomingClaimTypeDisplayName "EmailAddress" -SameAsIncoming

Kör guiden Aktivera serverbaserad SharePoint-integrering

Följ stegen nedan:

  1. Bekräfta att du har rätt behörighet att köra guiden. Mer information: Behörigheter som krävs

  2. Gå till Inställningar>Dokumenthantering.

  3. I området Dokumenthantering klickar du på Aktivera serverbaserad SharePoint-integrering.

  4. Granska informationen och klicka sedan Nästa.

  5. För SharePoint-webbplatserna, klicka på Lokal och klicka sedan Nästa.

  6. Ange lokalt webbplatssamlings-URL för SharePoint, exempelvis https://sharepoint.contoso.com/sites/crm. Platsen måste vara konfigurerad för SSL.

  7. Klicka på Nästa.

  8. Avsnittet Validera platser visas. Om alla platser är giltiga, klicka Aktivera. Om en eller flera platser fastställs som ogiltiga, se felsökning av serverbaserad autentisering.

Välj vilka entiteter du vill ska inkluderas i dokumenthantering

Som standard ingår entiteterna konto, artikel, lead, produkt, offert och dokumentation. Du kan lägga till eller ta bort enheter som ska användas för dokumenthantering med SharePoint i Inställningar för dokumenthantering. Gå till Inställningar>Dokumenthantering. Mer information: Aktivera dokumenthantering på entiteter

Lägg till OneDrive för företag-integrering

När du har slutfört konfigurationen för program för kundengagemang och lokal, serverbaserad autentisering för SharePoint lokalt kan du även integrera OneDrive för företag. Med program för kundengagemang och integrering av OneDrive för företag kan du även skapa och hantera privata dokument med hjälp av OneDrive för företag. Dessa dokument kan nås när systemadministratören har aktiverat OneDrive för företag.

Aktivera OneDrive för företag

På den Windows Server där SharePoint Server lokalt körs öppnar du Management Shell för SharePoint och kör följande kommandon:

Add-Pssnapin *  
# Access WellKnown App principal  
[Microsoft.SharePoint.Administration.SPWebService]::ContentService.WellKnownAppPrincipals  
  
# Create WellKnown App principal  
$ClientId = "00000007-0000-0000-c000-000000000000"  
$PermissionXml = "<AppPermissionRequests AllowAppOnlyPolicy=""true""><AppPermissionRequest Scope=""http://sharepoint/content/tenant"" Right=""FullControl"" /><AppPermissionRequest Scope=""http://sharepoint/social/tenant"" Right=""Read"" /><AppPermissionRequest Scope=""http://sharepoint/search"" Right=""QueryAsUserIgnoreAppPrincipal"" /></AppPermissionRequests>"  
  
$wellKnownApp= New-Object -TypeName "Microsoft.SharePoint.Administration.SPWellKnownAppPrincipal" -ArgumentList ($ClientId, $PermissionXml)  
  
$wellKnownApp.Update()

Välja en mappningstyp för anspråksbaserad autentisering.

Som standard använder mappning för Microsoft anspråksbaserad autentisering användarens kontos e-postadress och användarens SharePoint lokal e-postadress för arbetet för mappning. Observera att oavsett vilken typ av anspråksbaserad autentisering du använder måste värdena matcha mellan program för kundengagemang och SharePoint, exempelvis för e-postadresser. Microsoft 365-katalogsynkronisering kan hjälpa dig med detta. Mer information: Installera Microsoft 365 katalogsynkronisering i Microsoft Azure. Om du vill använda en annan typ av anspråksbaserad autentiseringsmappning, se Definiera anpassad anspråksmappning för serverbaserad SharePoint-integrering.

Viktigt!

För att aktivera egenskapen arbets-e-post måste den lokala SharePoint ha ett användarprofiltjänstprogram konfigurerat och i gång. För att aktivera ett användarprofiltjänstprogram i SharePoint, se Skapa, redigera eller ta bort användarprofiltjänstprogram i SharePoint Server 2013. Om du vill ändra en egenskap, till exempel arbets-e-post, se Redigera en egenskap för en användarprofil. Mer information om användarprofiltjänstprogrammet finns i Översikt över användarprofiltjänstprogram i SharePoint Server 2013.

Se även

Felsöka serverbaserad autentisering
Konfigurera integrering med appar för SharePoint kundengagemang