Konfigurera serverbaserad autentisering med Dynamics 365 Online och SharePoint lokalt

 

Publicerat: februari 2017

Gäller för: Dynamics 365 (online), Dynamics 365 (on-premises), Dynamics CRM 2016, Dynamics CRM Online

Introducerades med Microsoft Dynamics CRM Online 2015-uppdatering 1, serverbaserad Microsoft SharePoint-integration för dokumenthantering kan användas för att ansluta Microsoft Dynamics 365 (online) till SharePoint (lokal). När du använder serverbaserad autentisering, Azure AD Domain Services används som förtroendekoordinator och användarna behöver inte logga in på SharePoint.

I det här ämnet

Behörigheter som krävs

Konfigurera server-till-server-autentisering med Dynamics 365 (online) och SharePoint lokalt

Lägg till OneDrive för företag-integration

Välja en mappningstyp för anspråksbaserad autentisering.

Behörigheter som krävs

Office 365

• Medlemskap för globala administratörer för Office 365 krävs för administrativ åtkomstbehörighet till Microsoft Office 365-prenumerationen och för att köra Microsoft AzurePowerShell-cmdletarna.

Microsoft Dynamics 365 (online)

• Privilegiet Kör guiden för SharePoint-integration Detta krävs för att köra guiden Aktivera serverbaserad autentisering i Microsoft Dynamics 365.

  Systemadministratörens säkerhetsroll har den här behörigheten som standard.

SharePoint (lokal)

• Medlemskap i gruppen Administratörer - detta krävs för att köra de flesta av PowerShell-kommandona på SharePoint-servern.

Konfigurera server-till-server-autentisering med Dynamics 365 (online) och SharePoint lokalt

Följ stegen i den ordning som du ställer in Dynamics 365 (online) med SharePoint 2013 lokalt.

Viktigt

• Stegen som beskrivs här måste slutföras i den ordning som anges. Om en aktivitet inte slutförs, t.ex. ett PowerShell-kommando som returnerar ett felmeddelande måste problemet lösas innan du fortsätter till nästa kommando, uppgift eller steg.

• När du har aktiverat serverbaserad SharePoint-integration kan du inte återgå till den tidigare metoden för klientbaserad autentisering. Därför kan du inte använda Microsoft Dynamics CRM-listkomponent när du har konfigurerat din Dynamics 365-organisation för serverbaserad SharePoint-integration.

Verifiera förutsättningar

Innan du kan konfigurera Microsoft Dynamics 365 (online) och SharePoint lokalt för serverbaserad autentisering måste följande förutsättningar vara uppfyllda:

Förutsättningar för SharePoint

• Microsoft SharePoint 2013 (lokal) med Service Pack 1 (SP1) eller senare version

  Viktigt

  Microsoft SharePoint Foundation 2013-versioner stöds inte för användning med Microsoft Dynamics 365-dokumenthantering.

• Snabbkorrigering KB2883081 för SharePoint Foundation 2013 12 augusti 2014 (Sts-x-none.msp)

  Viktigt

  Följande uppdateringar är förutsättningar för KB2883081 och kan också krävas.

  • https://support2.microsoft.com/kb/2768000

  • https://support.microsoft.com/kb/2767999

  • https://support.microsoft.com/kb/2880963

• Konfigurera SharePoint

  • SharePoint kan endast konfigureras för en distribution för en enskild servergrupp.

  • SharePoint-webbplatsen måste vara tillgänglig via Internet. Omvänd proxy kan också krävas för SharePoint-autentisering. Mer information: konfigurera en enhet för omvänd proxy för SharePoint Server 2013 hybrid

  • SharePoint-webbplatsen måste konfigureras för att använda SSL (HTTPS) och intyget måste utfärdas av en offentlig rotcertifikatutfärdare.Mer information:SharePoint: Om säkra kanal-SSL-certifikat

  • En tillförlitlig användaregenskap för mappning med anspråksbaserad autentisering mellan SharePoint och Microsoft Dynamics 365.Mer information:Välja en mappningstyp för anspråksbaserad autentisering.

  • SharePoint-söktjänsten måste vara aktiverad för dokumentdelning.Mer information:Skapa och konfigurera ett söktjänstprogram i SharePoint Server

  • För funktionerna för dokumenthantering när du använder Microsoft Dynamics 365-mobilapparna måste den lokala SharePoint-servern vara tillgänglig via Internet.

  • Om du använder Microsoft SharePoint 2013 kan, för respektive SharePoint-servergrupp, endast en Microsoft Dynamics 365-organisation konfigureras för serverbaserad integrering.

Övriga förutsättningar

• SharePoint Online-licensMicrosoft Dynamics 365 (online) till lokal SharePoint-serverbaserad autentisering måste ha registrerat SharePoint SPN-namn (Service Principal Name) Azure Active Directory. För att uppnå detta krävs minst en SharePoint Online-användarlicens.SharePoint Online-licensen kan härledas från en licens för en användare och kommer vanligtvis från något av följande:

  • En SharePoint Online-prenumeration. En SharePoint Online-plan är tillräcklig även om licensen inte är tilldelad till en användare.

  • En Office 365-prenumeration som inkluderar SharePoint Online. Till exempel, om du har Office 365 E3 har du rätt licensiering även om licensen inte är tilldelad till en användare.

  Mer information om dessa planer, se Office 365: Välj en plan och Jämför SharePoint-alternativ

• Följande programvarufunktioner krävs för att köra de PowerShell-cmdletar som beskrivs i detta avsnitt.

  • Microsoft Online Services Sign-In Assistant för IT-proffs Beta

  • Azure Active Directory-modulen för Windows PowerShell (64-bitars version)

  Viktigt

  När detta skrivs finns det ett problem med RTW-versionen av Microsoft Online Services Sign-In Assistant för IT-proffs. Vi rekommenderar att du använder betaversionen tills problemet är löst.Mer information:Microsoft Azure-forum: Det går inte att installera Azure Active Directory-modulen för Windows PowerShell. MOSSIA har inte installerats.

• En lämplig mappningstyp för anspråksbaserad autentisering ska användas för att mappa identitet mellan Microsoft Dynamics 365 (online) och SharePoint lokalt. E-postadressen används som standard.Mer information:Ge Microsoft Dynamics 365 behörighet att komma åt SharePoint och konfigurera mappning för anspråksbaserad autentisering

Uppdatera SharePoint Server SPN-namnet i Azure Active Directory Domain Services

På den lokala SharePoint-servern i SharePoint 2013 Management Shell, kör dessa PowerShell-kommandon i angiven ordning.

1. Förbereda PowerShell-sessionen.

   Följande cmdletar gör att datorn kan ta emot fjärrkommandon och lägga till Office 365-moduler till PowerShell-sessionen. Mer information om dessa cmdletar finns i Windows PowerShell Core-cmdletar.

   Enable-PSRemoting -force
   New-PSSession
   Import-Module MSOnline -force
   Import-Module MSOnlineExtended -force
   

2. Anslut till Office 365.

   När du kör kommandot Connect-MsolService måste du ange ett giltigt Microsoft-konto som har ett globalt administratörsmedlemskap för Office 365-medlemskap för den SharePoint Online-licens som krävs.

   För detaljerad information om de Azure Active DirectoryPowerShell-kommandon som visas här, se MSDN: Hantera Azure AD med hjälp av Windows PowerShell.

   $msolcred = get-credential
   connect-msolservice -credential $msolcred
   

3. Ställ in SharePoint-värdnamnet.

   Det värde som du anger för variabeln värdnamn måste vara det fullständiga värdnamnet för SharePoint-webbplatssamlingen. Värdnamnet måste härledas från webbplatssamlingens webbadress och är skiftlägeskänsligt. I det här exemplet är webbplatssamlingens webbadress https://SharePoint.contoso.com/sites/salesteam, så värdnamnet är SharePoint.contoso.com.

   $HostName = "SharePoint.contoso.com"
   

4. Hämta Office 365-objekt-ID:t (klientorganisation) och SharePoint Server-SPN (Service Principal Name).

   $SPOAppId = "00000003-0000-0ff1-ce00-000000000000"
   $SPOContextId = (Get-MsolCompanyInformation).ObjectID
   $SharePoint = Get-MsolServicePrincipal -AppPrincipalId $SPOAppId
   $ServicePrincipalName = $SharePoint.ServicePrincipalNames
   

5. Ange SharePoint Server-tjänstens huvudnamn (SPN) i Azure Active Directory.

   $ServicePrincipalName.Add("$SPOAppId/$HostName") 
   Set-MsolServicePrincipal -AppPrincipalId $SPOAppId -ServicePrincipalNames $ServicePrincipalName 
   

När dessa kommandon är klara stänger du inte SharePoint 2013 Management Shell utan fortsätter till nästa steg.

Uppdatera SharePoint-sfären för att matcha SharePoint Online

På den lokala SharePoint-servern, i SharePoint 2013 Management Shell, kör detta Windows PowerShell-kommando.

Följande kommando kräver SharePoint servergruppsadministratörsmedlemskap och anger autentiseringssfären för den lokala SharePoint-servergruppen.

Varning

När du kör det här kommandot ändras autentiseringssfären för den lokala SharePoint-servergruppen. Detta kan orsaka oväntade problem med andra program som använder en befintlig säkerhetstokentjänst (STS). Mer information: Set-SPAuthenticationRealm.

Set-SPAuthenticationRealm -Realm $SPOContextId

Skapa ett betrodd säkerhetstokenutfärdare för Azure Active Directory på SharePoint

På den lokala SharePoint-servern i SharePoint 2013 Management Shell, kör dessa PowerShell-kommandon i angiven ordning.

Följande kommandon kräver SharePoint-servergruppsadministratörsmedlemskap.

Detaljerad information om dessa PowerShell-kommandon finns i Använda Windows PowerShell-cmdlets för att administrera säkerhet i SharePoint 2013.

1. Aktivera PowerShell-sessionen för att göra ändringar i säkerhetstokentjänsten för SharePoint-servergruppen.

   $c = Get-SPSecurityTokenServiceConfig
   $c.AllowMetadataOverHttp = $true
   $c.AllowOAuthOverHttp= $true
   $c.Update()
   

2. Ange slutpunkten för metadata.

   $metadataEndpoint = "https://accounts.accesscontrol.windows.net/" + $SPOContextId + "/metadata/json/1"
   $acsissuer  = "00000001-0000-0000-c000-000000000000@" + $SPOContextId
   $issuer = "00000007-0000-0000-c000-000000000000@" + $SPOContextId
   

3. Skapa en ny tokenkontrolltjänstprogramproxy i Azure Active Directory.

   New-SPAzureAccessControlServiceApplicationProxy -Name "Internal" -MetadataServiceEndpointUri $metadataEndpoint -DefaultProxyGroup
   

   Anteckning

   Kommandot New- SPAzureAccessControlServiceApplicationProxy kan returnera ett felmeddelande som anger att det redan finns en programproxy med samma namn. Om den namngivna programproxyn redan finns kan du ignorera felet.

4. Skapa en ny tokenkontrolltjänstutgivare i den lokala SharePoint för Azure Active Directory

   $ = New-SPTrustedSecurityTokenIssuer –Name "ACSInternal" –IsTrustBroker:$true –MetadataEndpoint $metadataEndpoint -RegisteredIssuerName $acsissuer 
   

Ge Microsoft Dynamics 365 behörighet att komma åt SharePoint och konfigurera mappning för anspråksbaserad autentisering

På den lokala SharePoint-servern i SharePoint 2013 Management Shell, kör dessa PowerShell-kommandon i angiven ordning.

Följande kommandon kräver SharePoint-webbplatssamlingsadministratörsmedlemskap.

1. Registrera Microsoft Dynamics 365 med SharePoint-webbplatssamlingen.

   Ange den lokala SharePoint-webbplatssamlingens URL. I det här exemplet används https://sharepoint.contoso.com/sites/crm/.

   Viktigt

   För att kommandot ska kunna slutföras måste SharePoint-apphanteringstjänstprogramproxyn finnas och vara i gång. Mer information om hur du startar och konfigurerar tjänsten finns i underavsnittet Konfigurera prenumerationsinställningar och program för apphanteringstjänst i Konfigurera en miljö för appar för SharePoint (SharePoint 2013).

   $site = Get-SPSite "https://sharepoint.contoso.com/sites/crm/"
   Register-SPAppPrincipal -site $site.RootWeb -NameIdentifier $issuer -DisplayName "crm"
   

2. Ge Microsoft Dynamics 365-programmet tillgång till SharePoint-webbplatsen. Ersätt https://sharepoint.contoso.com/sites/crm/ med URL:en för din SharePoint-webbplats.

   Anteckning

   I följande exempel har Dynamics 365-programmet beviljats behörighet till den angivna SharePoint-webbplatssamlingen med hjälp av parametern Scope site collection. Parametern Omfattning godkänner följande alternativ. Välj den omfattning som är mest lämplig för din SharePoint-konfiguration.

   • site. Ger Dynamics 365-programmet behörighet till endast den angivna SharePoint-webbplatsen. Behörighet beviljas inte till eventuella underwebbplatser för den namngivna webbplatsen.

   • sitecollection. Ger Dynamics 365-programmet behörighet till alla webbplatser och underwebbplatser inom den angivna SharePoint-webbplatssamlingen.

   • sitesubscription. Ger Dynamics 365-programmet behörighet till alla webbplatser i SharePoint-servergruppen, inklusive alla webbplatssamlingar, webbplatser och underwebbplatser.

   $app = Get-SPAppPrincipal -NameIdentifier $issuer -Site "https://sharepoint.contoso.com/sites/crm/"
   Set-SPAppPrincipalPermission -AppPrincipal $app -Site $site.Rootweb -Scope "sitecollection" -Right "FullControl"
   

3. Konfigurera mappningstyp för anspråksbaserad autentisering.

   Viktigt

   Som standard använder mappningen för anspråksbaserad autentisering användarens Microsoft-konto-e-postadress och användarens lokala SharePoint-arbets-e-post-adress för mappning. När du använder den här måste användarens e-postadresser matcha mellan de två systemen. Mer information hittar du under Välja en mappningstyp för anspråksbaserad autentisering..

   $map1 = New-SPClaimTypeMapping -IncomingClaimType "https://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress" -IncomingClaimTypeDisplayName "EmailAddress" -SameAsIncoming
   

Kör guiden Aktivera serverbaserad SharePoint-integration

I Microsoft Dynamics 365-appen gör du så här:

1. Gå till Inställningar > Dokumenthantering. (Hur kommer jag dit?)

2. I området Dokumenthantering klicka på Aktivera serverbaserad SharePoint-integration.

3. Granska informationen och klicka sedan på Nästa.

4. För SharePoint-webbplatserna, klicka på Lokal och klicka sedan Nästa.

5. Ange den lokala SharePoint-webbplatssamlingens URL, t.ex. https://sharepoint.contoso.com/sites/crm. Platsen måste vara konfigurerad för SSL.

6. Klicka på Nästa.

7. Avsnittet Validera platser visas. Om alla platser är giltiga, klicka Aktivera. Om en eller flera webbplatser är ogiltiga, se Felsöka serverbaserad autentisering.

Välj vilka entiteter du vill ska inkluderas i dokumenthantering

Som standard ingår entiteterna konto, artikel, lead, produkt, offert och dokumentation. Du kan lägga till eller ta bort enheter som ska användas för dokumenthantering med SharePoint i Inställningar för dokumenthantering i Microsoft Dynamics 365.Gå till Inställningar > Dokumenthantering. (Hur kommer jag dit?)Mer information:Kundcenter: Aktivera dokumenthantering på entiteter

Lägg till OneDrive för företag-integration

När du har slutfört den lokala serverbaserade autentiseringskonfigurationen för Microsoft Dynamics 365 och SharePoint kan du också integrera OneDrive för företag. Med Microsoft Dynamics 365- och OneDrive för företag-integrering kan Dynamics 365-användare skapa och hantera privata dokument med hjälp av OneDrive för företag. Dessa dokument kan nås i Dynamics 365 när systemadministratören har aktiverat OneDrive för företag.

Aktivera OneDrive för företag

På Windows-servern där SharePoint Server körs lokalt, öppna SharePoint Management Shell och kör följande kommandon.

Add-Pssnapin *
# Access WellKnown App principal
[Microsoft.SharePoint.Administration.SPWebService]::ContentService.WellKnownAppPrincipals

# Create WellKnown App principal
$ClientId = "00000007-0000-0000-c000-000000000000"
$PermissionXml = "<AppPermissionRequests AllowAppOnlyPolicy=""true""><AppPermissionRequest Scope=""https://sharepoint/content/tenant"" Right=""FullControl"" /><AppPermissionRequest Scope=""https://sharepoint/social/tenant"" Right=""Read"" /><AppPermissionRequest Scope=""https://sharepoint/search"" Right=""QueryAsUserIgnoreAppPrincipal"" /></AppPermissionRequests>"

$wellKnownApp= New-Object -TypeName "Microsoft.SharePoint.Administration.SPWellKnownAppPrincipal" -ArgumentList ($ClientId, $PermissionXml)

$wellKnownApp.Update()

Välja en mappningstyp för anspråksbaserad autentisering.

Som standard använder mappningen för anspråksbaserad autentisering användarens Microsoft-konto-e-postadress och användarens lokala SharePoint-arbets-e-post-adress för mappning. Observera att oavsett vilken typ av anspråksbaserad autentisering du använder måste värdena, till exempel e-postadresser, matcha mellan Microsoft Dynamics 365 (online) och SharePoint.Office 365-katalogsynkronisering kan hjälpa dig med detta.Mer information:Distribuera Office 365-katalogsynkronisering (DirSync) i Microsoft Azure Om du vill använda en annan typ av anspråksbaserad autentiseringsmappning läser du Definiera anpassad anspråksmappning för serverbaserad SharePoint-integrering.

Viktigt

För att aktivera egenskapen arbets-e-post måste den lokala SharePoint ha ett användarprofiltjänstprogram konfigurerat och i gång. För att aktivera ett användarprofiltjänstprogram i SharePoint, se Skapa, redigera eller ta bort användarprofiltjänstprogram i SharePoint Server 2013. Om du vill ändra en egenskap, till exempel arbets-e-post, se Redigera en egenskap för en användarprofil. Mer information om användarprofiltjänstprogrammet finns i Översikt över användarprofiltjänstprogram i SharePoint Server 2013.

Se även

Felsöka serverbaserad autentisering
Ställa in SharePoint-integrering med Microsoft Dynamics 365

© 2017 Microsoft. Med ensamrätt. Copyright