Konfigurera serverbaserad autentisering med Microsoft Dynamics 365 (lokalt) och SharePoint lokalt

 

Publicerat: februari 2017

Gäller för: Dynamics 365 (on-premises), Dynamics CRM 2016

Det här avsnittet beskriver hur du konfigurerar serverbaserad integrering mellan Dynamics 365 (lokalt) och Microsoft SharePoint lokalt.

I det här ämnet

Konfigurera serverbaserad integrering med Dynamics 365 och SharePoint

Lägg till OneDrive för företag-integration

Felsöka serverbaserad integrering för lokal Dynamics 365 Server till lokal SharePoint-server

Om mappning av anspråksbaserad autentisering

Arbeta med digitala certifikat

Hämta SharePoint-sfär-id

Konfigurera serverbaserad integrering med Dynamics 365 och SharePoint

Följ stegen i den angivna ordningen för att ställa in Dynamics 365 (lokalt) med Microsoft SharePoint Server lokalt.

Viktigt

• Om en aktivitet inte slutförs, t.ex. ett PowerShell-kommando returnerar ett felmeddelande måste problemet lösas innan du fortsätter till nästa kommando, uppgift eller steg.

• När du har aktiverat serverbaserad SharePoint-integration kan du inte återgå till den tidigare metoden för klientbaserad autentisering. Därför kan du inte använda Microsoft Dynamics CRM-listkomponent när du har konfigurerat din Dynamics 365-organisation för serverbaserad SharePoint-integration.

Verifiera förutsättningar

Innan du kan konfigurera Dynamics 365 (lokalt) och SharePoint lokalt för serverbaserad integrering krävs följande behörigheter och förutsättningar.

Behörigheter som krävs

Microsoft Dynamics 365

• Säkerhetsrollen Systemadministratör - detta krävs för att köra Aktivera guide för serverbaserad SharePoint-integration i Microsoft Dynamics 365.

• Om du använder ett självsignerat certifikat för utvärdering, måste du ha lokalt gruppmedlemskap för administratörer på datorn där Microsoft Dynamics 365 Server körs.

SharePoint Lokal

• Medlemskap i gruppen Administratörer - detta krävs för att köra de flesta av Windows PowerShell-kommandona på SharePoint-servern.

Förutsättningar för SharePoint

• Välj en av följande SharePoint-versioner:

  • SharePoint 2016 Lokalt.

    Anteckning

    Uppdatering december 2016 för Dynamics 365 (online och lokalt) krävs för att använda SharePoint 2016 med Dynamics 365 (lokalt).Mer information:Uppdatering december 2016 för Dynamics 365 (online och lokalt)

  • Microsoft SharePoint 2013 (lokalt) med Service Pack 1 (SP1) eller senare version med följande uppdateringar.

    • Snabbkorrigering KB2883081 för SharePoint Foundation 2013 12 augusti 2014 (Sts-x-none.msp)

    • Följande uppdateringar är förutsättningar för KB2883081 och kan också krävas.

      • https://support2.microsoft.com/kb/2768000

      • https://support.microsoft.com/kb/2767999

      • https://support.microsoft.com/kb/2880963

• Konfigurera SharePoint

  • SharePoint kan endast konfigureras för en distribution för en enskild servergrupp.

  • Om du vill använda standardmappning för anspråksbaserad autentisering, måste Active Directory-domänen där SharePoint-servern och Microsoft Dynamics 365-servern är placerade vara samma, eller också måste domänen där SharePoint-servern finns ha förtroende för domänen där Microsoft Dynamics 365 Server finns. Mer information: Om mappning av anspråksbaserad autentisering

  • SharePoint-webbplatsen måste konfigureras för att använda TLS/SSL (HTTPS) och intyget måste utfärdas av en offentlig rotcertifikatutfärdare.Mer information:SharePoint: Om säkra kanal-SSL-certifikat

  • Apphanteringstjänstprogramproxyn måste vara skapad och igång.Mer information:Konfigurera en miljö för appar för SharePoint

  • En användarprofiltjänstprogram måste ha konfigurerats och vara igång.Mer information:Skapa, redigera eller ta bort användarprofiltjänstprogram i SharePoint Server 2013

  • SharePoint-söktjänsten måste vara aktiverad för dokumentdelning.Mer information:Skapa och konfigurera ett söktjänstprogram i SharePoint Server

  • För att kunna använda funktionen för dokumenthantering när du använder Microsoft Dynamics 365-mobilapparna måste den lokala SharePoint-servern vara tillgänglig via Internet.

  • För att ge användare möjlighet att skapa SharePoint-dokumentbibliotek från Dynamics 365 krävs följande behörigheter och konfigurationer:

    • Dynamics 365-användarens Active Directory-konto måste vara medlem i gruppen Webbplatsmedlemmar på SharePoint-webbplatssamlingen där dokumenten lagras.

    • Som standard använder mappningen för anspråksbaserad autentisering användarens primära Dynamics 365-e-postadress och användarens lokala SharePoint-e-postadress för arbete i mappningssyfte. När denna mappning används måste användarens e-postadresser matcha mellan de två systemen. Mer information: Om mappning av anspråksbaserad autentisering

Andra förutsättningar och begränsningar

• X 509 digitalt certifikat som ska användas för serverbaserad autentisering mellan Microsoft Dynamics 365 Server och SharePoint-servern. Certifikatnycklarna måste ha minst 2048-bitars kryptering. I de flesta fall detta certifikat skall utfärdas av en betrodd certifikatutfärdare, men du kan använda ett självsignerat certifikat för utvärdering.

• Identiteten för programpoolen CRMAppPool måste ha läsbehörighet till det x509-certifikat som ska användas för serverbaserad autentisering med Microsoft Dynamics 365 Server och SharePoint-servern. Du kan använda snapin-certifikatmodulen MMC för att ge denna åtkomst.

• Om du använder Microsoft SharePoint 2013 kan, för respektive SharePoint-servergrupp, endast en Microsoft Dynamics 365-organisation konfigureras för serverbaserad integrering. Du kan emellertid ansluta mer än en Microsoft Dynamics 365-organisation till en SharePoint 2016-servergrupp.

Förbereda Microsoft Dynamics 365 Server för serverbaserad integrering

CertificateReconfiguration.ps1 är ett Windows PowerShell-skript som installerar ett certifikat på den lokala certifikatlagringsplatsen, beviljar den angivna Microsoft Dynamics 365 Asynchronous Processing Service-identiteten tillgång till certifikatet, och uppdaterar Microsoft Dynamics 365 Server för att använda certifikatet.

Lägg till server-till-server-certifikatet på den lokala certifikatlagringsplatsen och Microsoft Dynamics 365-konfigurationsdatabasen

1. Öppna en PowerShell-kommandosession på alla servrar där Microsoft Dynamics 365 Server fullständiga serverrollen har installerats. För andra serverrolldistributioner, där du kör cmdlet för att installera certifikatet beroende på vilken version av Microsoft Dynamics 365 som du har.

   • För December 2016 Service Pack för Microsoft Dynamics 365 (lokalt) och senare köra kommandot på alla servrar där rollen Webbprogramserver körs.

   • För Microsoft Dynamics CRM 2016 Service Pack 1-versioner och tidigare, kör det här kommandot på alla servrar där serverrollen Asynkron tjänst körs.

2. Ändra plats för mappen <-enheten>:\Program Files\Microsoft Dynamics CRM\Tools -mapp.

3. Kör CertificateReconfiguration.ps1 Windows PowerShell-skriptet som förklaras här:

   • certificateFilepath\Personalcertfile.pfx . Obligatorisk parameter som anger den fullständiga sökvägen till Personal Information Exchange-filen (.pfx). Mer information: Arbeta med digitala certifikat

   • passwordpersonal_certfile_password. Obligatorisk parameter som anger det privata certifikatlösenordet.

   • certificateType S2STokenIssuer. Obligatorisk parameter som anger typen av certifikat. För serverbaserad Microsoft Dynamics 365- och SharePoint-integrering städs endast S2STokenIssuer.

   • serviceAccount 'DomainName\UserName”eller ”nätverkstjänst”.

     • För December 2016 Service Pack för Microsoft Dynamics 365 (lokalt) och senare versioner:

       serviceAccount "contoso\CRMWebAppServer" eller "nätverkstjänst". Obligatorisk parameter som anger identiteten för rollen Webbprogramserver. Identiteten är ett domänanvändarkonto som t.ex. contoso\CRMWebAppServer, eller nätverkstjänst. Identiteten beviljas behörighet till certifikatet.

     • För Microsoft Dynamics CRM 2016 Service Pack 1-versioner och tidigare:

       serviceAccount "contoso\CRMAsyncService" eller "nätverkstjänst". Obligatorisk parameter som anger identiteten för rollen Asynkron tjänst. Identiteten är ett domänanvändarkonto som t.ex. contoso\CRMAsyncService, eller nätverkstjänst. Identiteten beviljas behörighet till certifikatet.

   • updateCrm. Lägger till certifikatinformation till Microsoft Dynamics 365-konfigurationsdatabasen.

     Viktigt

     Även om du distribuerar flera roller för webbprogramserver eller asynkron tjänst behöver du bara köra kommandot en gång med parametern updateCrm.

   • storeFindType FindBySubjectDistinguishedName. Anger typen av certifikatlagringsplats. Det här värdet är som standard FindBySubjectDistinguishedName och rekommenderas när du kör skriptet.

   Viktigt

   Även om updateCrm- och StoreFindType-parametrarna är valfria för att köra kommandot, så krävs dessa parametrar för serverbaserad SharePoint-integrering så att certifikatinformation läggs till i certifieringsdatabasen.

   Exempel

   .\CertificateReconfiguration.ps1 -certificateFile c:\Personalcertfile.pfx -password personal_certfile_password -updateCrm -certificateType S2STokenIssuer -serviceAccount Domain\UserName -storeFindType FindBySubjectDistinguishedName
   

Förbered SharePoint-servergruppen för serverbaserad integrering

Hämta sfär-ID för Dynamics 365

1. Starta Aktivera guide för serverbaserad SharePoint-integration.Gå till Inställningar > Dokumenthantering. (Hur kommer jag dit?)

2. Klicka på Nästa, klicka på Lokal och klicka sedan på Nästa.

3. Id:t visas bredvid Sfär-Id för Dynamics 365 på sidan.

   Tips

   Spara sfär-Id:t för Dynamics 365 i en textfil på en säker nätverksresurs eller i molnbaserad lagring. Du kan sedan enkelt hämta den från den plats där du kör Aktivera guide för serverbaserad SharePoint-integration.

På den lokala SharePoint-servern i SharePoint Management Shell, kör dessa PowerShell-kommandon i angiven ordning.

Förbered SharePoint-servern för Dynamics 365 Server-autentisering

1. Om du använder ett PowerShell Management Shell som inte är SharePoint Management Shell måste du registrera SharePoint-modulen med följande kommando.

   Add-PSSnapin Microsoft.SharePoint.PowerShell
   

   Aktivera PowerShell-sessionen för att göra ändringar i säkerhetstokentjänsten för SharePoint-servergruppen.

   $c = Get-SPSecurityTokenServiceConfig
   $c.AllowMetadataOverHttp = $true
   $c.AllowOAuthOverHttp= $true
   $c.Update()
   

2. Skapa det tillförlitliga säkerhetstokentjänstobjektet där organisationsnamnet är det unika namnet på Microsoft Dynamics 365-organisationen och CrmServer är namnet på den IIS-webbserver där Microsoft Dynamics 365 webbprogramserverrollen installeras och namnet "crm" används för att namnge säkerhetstokenservern (STS).

   Viktigt

   • Anslutning mer än en Microsoft Dynamics 365-organisation till en enda Microsoft SharePoint 2013-servergrupp stöds inte. Du kan emellertid ansluta mer än en Microsoft Dynamics 365-organisation till en SharePoint 2016-servergrupp.

   • När du kör PowerShell-kommandot New-SPTrustedSecurityTokenIssuer måste du ange HTTPS för Microsoft Dynamics 365-metadataslutpunkten när Microsoft Dynamics 365-programwebbplatsen endast har HTTPS eller både HTTPS- och HTTP-bindningar, som i följande exempel.

   New-SPTrustedSecurityTokenIssuer –Name "crm" –IsTrustBroker:$false –MetadataEndpoint https://CrmServer/XrmServices/2015/metadataendpoint.svc/json?orgName=OrganizationName
   

3. Registrera Microsoft Dynamics 365 med SharePoint-webbplatssamlingen.

   Om du vill köra följande kommandon måste du ange följande två parametrar:

   • Den lokala SharePoint-webbplatssamlingens URL. I det här exemplet https://sharepoint.contoso.com/sites/crm/ används för webbplatssamlingens URL.

   • CrmRealmId är id:t för den Microsoft Dynamics 365-organisation som du vill använda för dokumenthantering med SharePoint.Mer information:Hämta sfär-ID för Dynamics 365

   Viktigt

   För att dessa kommandon ska kunna slutföras måste SharePoint-apphanteringstjänstprogramproxyn finnas och vara i gång. Mer information om hur du startar och konfigurerar tjänsten finns i underavsnittet Konfigurera prenumerationsinställningar och program för apphanteringstjänst i Konfigurera en miljö för appar för SharePoint (SharePoint 2013).

   $CrmRealmId = "CRMRealmId"
   
   $Identifier  = "00000007-0000-0000-c000-000000000000@" + $CrmRealmId
   
   $site = Get-SPSite "https://sharepoint.contoso.com/sites/crm/"
   
   Register-SPAppPrincipal -site $site.RootWeb -NameIdentifier $Identifier -DisplayName "crm"
   

4. Ge Microsoft Dynamics 365-programmet tillgång till SharePoint-webbplatsen.

   Anteckning

   I exemplet nedan har Microsoft Dynamics 365-programmet beviljats behörighet till den angivna SharePoint-webbplatssamlingen med hjälp av parametern –Scope sitecollection. Parametern Omfattning godkänner följande alternativ. Använd den omfattning som är mest lämplig för din SharePoint-konfiguration:

   • site. Ger Dynamics 365-programmet behörighet till endast den angivna SharePoint-webbplatsen. Behörighet beviljas inte till eventuella underwebbplatser för den namngivna webbplatsen.

   • sitecollection. Ger Dynamics 365-programmet behörighet till alla webbplatser och underwebbplatser inom den angivna SharePoint-webbplatssamlingen.

   • sitesubscription. Ger Dynamics 365-programmet behörighet till alla webbplatser i SharePoint-servergruppen, inklusive alla webbplatssamlingar, webbplatser och underwebbplatser.

   $app = Get-SPAppPrincipal -NameIdentifier $Identifier -Site $site.Rootweb
   Set-SPAppPrincipalPermission -AppPrincipal $app -Site $site.Rootweb -Scope "sitecollection" -Right "FullControl" -EnableAppOnlyPolicy
   #"Set up claims-based authentication mapping"
   New-SPClaimTypeMapping -IncomingClaimType "https://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress" -IncomingClaimTypeDisplayName "EmailAddress" -SameAsIncoming
   

Kör Aktivera guide för serverbaserad SharePoint-integration

1. I appen Microsoft Dynamics 365. gå till Inställningar > Dokumenthantering.

2. I området Dokumenthantering, klicka på Aktivera serverbaserad SharePoint-integrering.

3. Granska informationen och klicka sedan Nästa.

4. För SharePoint-webbplatserna, klicka på Lokal och klicka sedan Nästa.

5. I stadiet Förbereda webbplatser, ange följande information:

   • Webbadress för lokal SharePoint-webbplatssamling, exempelvis https://sharepoint.contoso.com/sites/crm. Platsen måste vara konfigurerad för TLS/SSL.

   • Sfär-ID för SharePoint.Hämta SharePoint-sfär-id

6. Klicka på Nästa.

7. Avsnittet Validera platser visas. Om alla platser är giltiga, klicka på Aktivera. Om en eller flera webbplatser är ogiltiga, se Felsöka serverbaserad integrering för lokal Dynamics 365 Server till lokal SharePoint-server.

Välj vilka entiteter du vill ska inkluderas i dokumenthantering

Som standard ingår entiteterna konto, artikel, lead, produkt, offert och dokumentation. Du kan lägga till eller ta bort enheter som ska användas för dokumenthantering med SharePoint i Inställningar för dokumenthantering i Microsoft Dynamics 365.Gå till Inställningar > Dokumenthantering. (Hur kommer jag dit?)Mer information:Kundcenter: Aktivera dokumenthantering på entiteter

Lägg till OneDrive för företag-integration

När du har slutfört den lokala serverbaserade integreringskonfigurationen för Microsoft Dynamics 365 och SharePoint, kan du också integrera OneDrive för företag. Med Microsoft Dynamics 365- och OneDrive för företag-integrering kan Microsoft Dynamics 365-användare skapa och hantera privata dokument med hjälp av OneDrive för företag. Dessa dokument kan nås i Dynamics 365 när systemadministratören har aktiverat OneDrive för företag.

Aktivera OneDrive för företag

På den Windows Server där SharePoint Server körs lokalt öppnar du Management Shell för SharePoint och kör följande kommandon.

Add-Pssnapin *
# Access WellKnown App principal
[Microsoft.SharePoint.Administration.SPWebService]::ContentService.WellKnownAppPrincipals

# Create WellKnown App principal
$ClientId = "00000007-0000-0000-c000-000000000000"
$PermissionXml = "<AppPermissionRequests AllowAppOnlyPolicy=""true""><AppPermissionRequest Scope=""https://sharepoint/content/tenant"" Right=""FullControl"" /><AppPermissionRequest Scope=""https://sharepoint/social/tenant"" Right=""Read"" /><AppPermissionRequest Scope=""https://sharepoint/search"" Right=""QueryAsUserIgnoreAppPrincipal"" /></AppPermissionRequests>"

$wellKnownApp= New-Object -TypeName "Microsoft.SharePoint.Administration.SPWellKnownAppPrincipal" -ArgumentList ($ClientId, $PermissionXml)

$wellKnownApp.Update()

Felsöka serverbaserad integrering för lokal Dynamics 365 Server till lokal SharePoint-server

För mer information om hur du felsöker Aktivera guide för serverbaserad SharePoint-integration och visar övervakningsloggarna för SharePoint, se Felsöka serverbaserad autentisering.

Kända problem

För hantering av dokumentation med SharePoint -felsökning och kända problem, se Felsöka serverbaserad autentisering.

Om mappning av anspråksbaserad autentisering

Som standard använder den serverbaserade autentiseringen mellan Dynamics 365 (lokalt) och lokala SharePoint användarens säkerhetsidentifierare (SID) för att autentisera varje användare. Om Microsoft Dynamics 365 Server och SharePoint finns i olika Active Directory-domäner som inte har ett förtroende måste du använda en anpassad mappning för anspråksbaserad autentisering, till exempel användarens e-postadress.Mer information:Definiera anpassad anspråksmappning för SharePoint-serverbaserad integration

Arbeta med digitala certifikat

Följande procedur skapar en personlig informationsutbytesfil (.pfx).

1. På en dator som har tillgång till det certifikat som du vill använda för autentiseringen server-till-server, klicka på Start, klicka på Kör, skriv MMC och tryck sedan på Retur.

2. Klicka på Arkiv och klicka sedan på Lägg till/ta bort snapin-modul.

3. I listan med tillgängliga snapin-moduler klickar du på Certifikat, klickar på Lägg till, klickar på Datorkonto, klickar på Nästa, klickar på Slutför för att välja den lokala datorn och klickar sedan på OK.

4. Expandera Certifikat, expandera Personlig och klicka sedan på Certifikat.

5. Högerklicka på det certifikat som du vill skapa en personlig certifikatfil för, peka på Alla uppgifter och klicka sedan på Exportera.

6. Klicka på Nästa, klicka på Ja för att exportera den privata nyckeln, se till att följande alternativ är markerade och klicka sedan på Nästa.

   • Inkludera om möjligt alla certifikat i certifikatsökvägen

   • Exportera alla utökade egenskaper

7. Klicka på Bläddra och ange en plats och ett filnamn för .pfx-filen och klicka sedan på Spara.

8. Klicka på Nästa och klicka sedan på Slutför.

Hämta SharePoint-sfär-id

Kör följande PowerShell-kommando i SharePoint-hanteringen, där https://sharepoint.contoso.com/sites/crm/ är URL-adressen för SharePoint-webbplatssamlingen.

Get-SPAuthenticationRealm -ServiceContext https://sharepoint.contoso.com/sites/crm/

Alternativt kan du söka efter sfär-ID för SharePoint bland app-behörigheterna för webbplats för SharePoint-webbplatssamlingen.

1. Logga in på den SharePoint-webbplatssamling som du vill använda för dokumenthantering med Microsoft Dynamics 365.

2. Gå till Webbplatsinställningar > Programbehörigheter för webbplats.

3. Sfär-ID:t visas under App-identifierare till höger om @-tecknet. Kopiera den till Urklipp. I Aktivera guide för serverbaserad SharePoint-integration, klistra endast in GUID. Inte klistra in i någon del av identifieraren till vänster om @.

© 2017 Microsoft. Med ensamrätt. Copyright