Konfigurer serverbaseret godkendelse med Dynamics CRM Online og SharePoint i det lokale miljø

Udgivet: november 2016

Gælder for: Dynamics CRM 2015

Introduceret i Opdatering 1 til Microsoft Dynamics CRM Online 2015, kan server-baseret Microsoft SharePoint- integration til dokumenthåndtering nu bruges til at forbinde Microsoft Dynamics CRM Online med SharePoint i det lokale miljø. Når du bruger server-baseret godkendelse, bruges Azure Active Directory Access Control Services (ACS) som mægler og brugere behøver ikke at logge på SharePoint. Desuden er det listeelement, som kræver den forældede SharePoint sandkassefunktionen, ikke nødvendige for at vise SharePoint dokumenter i Microsoft Dynamics 365 visninger.

Påkrævede tilladelser

Office 365

• Medlemskab af globale Office 365-administratorer. Dette er påkrævet for adgang til administratorniveau til Microsoft Office 365-abonnementet og for at køre Microsoft AzurePowerShell-cmdlets.

Microsoft Dynamics CRM Online

• Rettigheden Kør guiden SharePoint-integration. Dette er påkrævet for at køre guiden Aktiver Server-baseret godkendelse i Microsoft Dynamics 365.

  Sikkerhedsrollen Systemadministrator har som standard denne tilladelse.

SharePoint i det lokale miljø

• Medlemskab af gruppen Farmadministratorer. Dette er påkrævet for at køre de fleste af PowerShell kommandoerne på den SharePoint server.

Konfigurer server til server-godkendelse med CRM Online og SharePoint i det lokale miljø

Følg trinene i nævnte rækkefølge for at oprette CRM Online med SharePoint 2013 i det lokale miljø.

Kontrol af forudsætninger

Før du konfigurerer Microsoft Dynamics CRM Online og SharePoint i det lokale miljø for server-baseret godkendelse, skal følgende forudsætninger være opfyldt.

SharePoint-forudsætninger

• Microsoft SharePoint 2013 (i det lokale miljø) med Service Pack 1 (SP1) eller en nyere version

  Vigtigt

  Microsoft SharePoint Foundation 2013-versioner understøttes ikke til brug sammen med Microsoft Dynamics 365-dokumentstyring.

• Hotfix KB2883081 til SharePoint Foundation 2013 August 12, 2014 (Sts-x-none.msp)

  Vigtigt

  Følgende opdateringer er forudsætninger for KB2883081 og kan også være nødvendig.

  • https://support2.microsoft.com/kb/2768000

  • https://support.microsoft.com/kb/2767999

  • https://support.microsoft.com/kb/2880963

• Konfiguration af SharePoint

  • SharePoint skal være konfigureret til en enkelt farm udrulning.

  • SharePoint webstedet skal være tilgængeligt via internettet. En omvendt proxy kan også være nødvendig for SharePoint godkendelse. Yderligere oplysninger: Konfigurere en omvendte proxy-enhed til SharePoint Server 2013 hybrid

  • SharePoint-webstedet skal være konfigureret til at bruge SSL (HTTPS), og certifikatet skal være udstedt af en offentlig rod nøglecenter.Flere oplysninger:SharePoint: om sikre kanal SSL-certifikater

  • En pålidelig brugeregenskab til kravsbaseret godkendelsestilknytning mellem SharePoint og Microsoft Dynamics 365.Flere oplysninger:Valg af en tilknytningstype for kravsbaseret godkendelse

Andre forudsætninger

• SharePoint Online-licens.Microsoft Dynamics CRM Online til SharePoint-serverbaseret godkendelse i det lokale miljø skal have SharePoint-tjenestens hovednavn (SPN) registreret i Azure Active Directory. Dette kræver mindst én SharePoint Online brugerlicens.SharePoint Online-licensen kan være afledt af en enkelt brugerlicens og kommer typisk fra et af følgende:

  • Et SharePoint Online-abonnement. Enhver SharePoint Online plan er tilstrækkelig, selvom licensen ikke er tildelt en bruger.

  • Et Office 365 abonnement, der omfatter SharePoint Online. For eksempel, hvis du har Office 365 E3, har du de relevante licenser, selvom licensen ikke er tildelt en bruger.

  Du kan finde flere oplysninger om disse planer, i Office 365: Vælg en plan og Sammenlign SharePoint-indstillinger

• Følgende softwarefunktioner kræves for at køre de PowerShell cmdlets, der er beskrevet i dette emne.

  • Microsoft Online Services Sign-In Assistant for IT Professionals Beta

  • Azure Active Directory modul til Windows PowerShell (64-bit version)

  Vigtigt

  Samtidig med dette blev skrevet er der et problem med RTW-versionen af Microsoft Online Services Sign-In Assistant for IT Professionals. Indtil problemet er løst, anbefaler vi, at du bruger betaversionen.Flere oplysninger:Microsoft Azure-forummer Kan ikke installere Azure Active Directory-modul til Windows PowerShell. MOSSIA er ikke installeret.

• En passende kravsbaseret godkendelses-tilknytningstype der bruges til tilknytning af identitet mellem Microsoft Dynamics CRM Online og SharePoint i det lokale miljø. Mailadresser bruges som standard.Flere oplysninger:Giv Microsoft Dynamics CRM tilladelse til at få adgang til SharePoint og konfigurer kravsbaseret godkendelsestilknytning

Opdater SharePoint Server SPN i ACS

På SharePoint serveren i det lokale miljø, i SharePoint 2013 Management Shell, skal du køre disse PowerShell kommandoer i den angivne rækkefølge.

1. Forbered PowerShell session.

   Følgende cmdlets aktiverer computeren til at modtage fjernkommandoer og tilføje Office 365 moduler til PowerShell session. Du kan finde flere oplysninger om disse cmdlets i Windows PowerShell-Core-cmdletter.

   Enable-PSRemoting -force
   New-PSSession
   Import-Module MSOnline -force
   Import-Module MSOnlineExtended -force
   

2. Opret forbindelse til Office 365.

   Når du kører kommandoen Connect-MsolService, skal du angive et gyldigt Microsoft-konto, der er medlem af globale Office 365-administratorer for den SharePoint Online-licens, der kræves.

   Detaljerede oplysninger om hver af de Azure Active DirectoryPowerShell kommandoer, der er angivet her, kan du se under MSDN: Administrer Azure AD ved hjælp af Windows PowerShell.

   $msolcred = get-credential
   connect-msolservice -credential $msolcred
   

3. Angiv SharePoint-værtsnavnet.

   Den værdi, du angiver for variablen HostName skal være det komplette værtsnavnet på gruppen af SharePoint-websteder. Værtsnavnet skal være afledt af URL-adressen til gruppe af websteder, og der skelnes mellem små og store bogstaver. I dette eksempel er URL-adressen til gruppen af websteder https://SharePoint.constoso.com/sites/salesteam, så værtsnavnet er SharePoint.contoso.com.

   $HostName = "SharePoint.contoso.com"
   

4. Hent Office 365-objektets (lejer)-id og SharePoint Server-SPN (Service Principal Name).

   $SPOAppId = "00000003-0000-0ff1-ce00-000000000000"
   $SPOContextId = (Get-MsolCompanyInformation).ObjectID
   $SharePoint = Get-MsolServicePrincipal -AppPrincipalId $SPOAppId
   $ServicePrincipalName = $SharePoint.ServicePrincipalNames
   

5. Angiv SharePoint Server-SPN (Service Principal Name ) i ACS.

   $ServicePrincipalName.Add("$SPOAppId/$HostName") 
   Set-MsolServicePrincipal -AppPrincipalId $SPOAppId -ServicePrincipalNames $ServicePrincipalName 
   

Når disse kommandoer er udført, må du ikke lukke SharePoint 2013 Management Shell. Fortsæt til næste trin.

Opdater SharePoint-domænet, så det svarer til SharePoint Online-domænet

På SharePoint serveren i det lokale miljø, i SharePoint 2013 Management Shell, skal du køre denne Windows PowerShell kommando i den angivne rækkefølge.

Følgende kommando kræver SharePoint-medlemskab af gruppen af farmadministratorer og indstiller godkendelsesdomænet for SharePoint-farmen i det lokale miljø.

Set-SPAuthenticationRealm -Realm $SPOContextId

Opret en pålidelig sikkerhedstokenudsteder til ACS på SharePoint

På SharePoint serveren i det lokale miljø, i SharePoint 2013 Management Shell, skal du køre disse PowerShell kommandoer i den angivne rækkefølge.

Følgende kommandoer kræver SharePoint-medlemskab af gruppen af farmadministratorer.

Du kan finde flere oplysninger om disse PowerShell kommandoer under Brug Windows PowerShell-cmdletter til at administrere sikkerheden i SharePoint 2013.

1. Aktiver PowerShell-sessionen for at foretage ændringer af sikkerhedstokentjenesten for SharePoint-farmen.

   $c = Get-SPSecurityTokenServiceConfig
   $c.AllowMetadataOverHttp = $true
   $c.AllowOAuthOverHttp= $true
   $c.Update()
   

2. Angiv metadata-slutpunktet.

   $metadataEndpoint = "https://accounts.accesscontrol.windows.net/" + $SPOContextId + "/metadata/json/1"
   $acsissuer = "00000001-0000-0000-c000-000000000000@" + $SPOContextId
   $issuer = "00000007-0000-0000-c000-000000000000@" + $SPOContextId
   

3. Opret proxy for det nye tokenkontrolprogram i ACS.

   New-SPAzureAccessControlServiceApplicationProxy -Name "ACSInternal" -MetadataServiceEndpointUri $metadataEndpoint -DefaultProxyGroup
   

   Bemærk

   Kommandoen New- SPAzureAccessControlServiceApplicationProxy returnerer muligvis en fejlmeddelelse, der angiver, at der allerede findes en ACS-programproxy med dette navn. Hvis den navngivne ACS-programproxy allerede findes, kan du ignorere fejlen.

4. Opret udstederen af den nye tokenkontrolservice i SharePoint i det lokale miljø for ACS

   $acs = New-SPTrustedSecurityTokenIssuer –Name "ACSInternal" –IsTrustBroker:$true –MetadataEndpoint $metadataEndpoint -RegisteredIssuerName $acsissuer 
   

Giv Microsoft Dynamics CRM tilladelse til at få adgang til SharePoint og konfigurer kravsbaseret godkendelsestilknytning

På SharePoint serveren i det lokale miljø, i SharePoint 2013 Management Shell, skal du køre disse PowerShell kommandoer i den angivne rækkefølge.

Følgende kommandoer kræver SharePoint-medlemskab til administration af gruppe af websteder.

1. Registrer Microsoft Dynamics 365 med SharePoint gruppe af websteder.

   Angiv URL-adressen til SharePoint gruppe af websteder i det lokale miljø. I dette eksempel bruges https://sharepoint.contoso.com/sites/crm/.

   Vigtigt

   For at udføre denne kommando skal SharePoint App Management Service-programproxy findes og køre. Du kan finde flere oplysninger om, hvordan du starter og konfigurere tjenesten, i underemnet Konfiguration af indstillinger for abonnement og App Management Service-programmer i Konfigurere et miljø til apps til SharePoint (SharePoint 2013).

   $site = Get-SPSite "https://sharepoint.contoso.com/sites/crm/"
   Register-SPAppPrincipal -site $site.RootWeb -NameIdentifier $issuer -DisplayName "crm"
   

2. Giv Microsoft Dynamics 365-programadgang til webstedet for SharePoint. Erstat https://sharepoint.contoso.com/sites/crm/ med dit SharePoint-websteds URL-adresse.

   Bemærk

   I følgende eksempel har Dynamics 365-programmet fået tilladelse til den angivne gruppe af SharePoint-websteder ved hjælp af – Omfang "Gruppe af websteder". Parameteren Omfang accepterer følgende indstillinger. Vælg det omfang, der passer bedst til din konfiguration af SharePoint.

   • site. Giver kun tilladelse til Dynamics 365-programmet til det angivne SharePoint-websted. Det giver ikke tilladelse til at eventuelle underordnede websteder under det navngivne websted.

   • sitecollection. Giver tilladelse til Dynamics 365-programmet til alle websteder og underordnede websteder inden for den angivne gruppe af SharePoint-websteder.

   • sitesubscription. Giver tilladelse til Dynamics 365-programmet til alle websteder i SharePoint-farmen, herunder alle grupper af websteder, websteder og underordnede websteder.

   $app = Get-SPAppPrincipal -NameIdentifier $issuer -Site "https://sharepoint.contoso.com/sites/crm/"
   Set-SPAppPrincipalPermission -AppPrincipal $app -Site $site.Rootweb -Scope "sitecollection" -Right "FullControl"
   

3. Indstil tilknytningstypen for kravsbaseret godkendelse.

   Vigtigt

   Som standard bruger den kravsbaserede godkendelsestilknytning brugerens Microsoft-konto mailadresse og brugerens SharePoint lokale Arbejdsmail adresse til tilknytningen. Når du bruger dette, skal brugerens mailadresser stemme overens mellem de to systemer. Du kan finde flere oplysninger under Valg af en tilknytningstype for kravsbaseret godkendelse.

   $map1 = New-SPClaimTypeMapping -IncomingClaimType "https://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress" -IncomingClaimTypeDisplayName "EmailAddress" -SameAsIncoming
   

Kør guiden Aktivér serverbaseret SharePoint-integration

I appen Microsoft Dynamics 365, skal du følge disse trin.

1. Gå til Indstillinger > Dokumentstyring.

2. I området Dokumentstyring skal du vælge Aktivér serverbaseret SharePoint-integration.

3. Gennemse oplysningerne, og vælg derefter Næste.

4. For SharePoint webstederne skal du vælge Lokalt, og vælg derefter Næste.

5. Angiv SharePoint URL-adressen til den lokale gruppe af websteder, f.eks. https://sharepoint.contoso.com/sites/crm. Webstedet skal være konfigureret til at bruge SSL.

6. Vælg Næste.

7. Afsnittet om validering af websteder vises. Hvis alle websteder betragtes som gyldige, skal du vælge Aktivér. Hvis et eller flere websteder er ugyldigt, skal du se under Fejlfinding i forbindelse med server-baseret godkendelse.

Vælg de objekter, som skal indgå i dokumentstyring

Som standard er konto-, artikel-, kundeemne-, produkt-, tilbuds- og salgsmaterialeobjekterne inkluderet. Du kan tilføje eller fjerne de enheder, der skal bruges til dokumentstyring med SharePoint i Indstillinger for dokumentstyring i Microsoft Dynamics 365.Gå til Indstillinger > Dokumentstyring.Flere oplysninger:Kundecenter: Aktivér dokumentstyring for objekter

Valg af en tilknytningstype for kravsbaseret godkendelse

Som standard bruger den kravsbaserede godkendelsestilknytning brugerens Microsoft-konto mailadresse og brugerens SharePoint lokale arbejdsmail adresse til tilknytningen. Bemærk, at uanset den kravsbaserede godkendelsestype, skal værdier som f.eks. mailadresse svare til hinanden mellem Microsoft Dynamics CRM Online og SharePoint.Office 365-katalogsynkronisering kan hjælpe med dette.Flere oplysninger:Installer Office 365 Katalogsynkronisering (DirSync) i Microsoft Azure For at bruge en anden type tilknytning for kravsbaseret godkendelse, skal du se MSDN: Definere brugerdefineret kravtilknytning til SharePoint server-baseret integration.

Se også

Fejlfinding i forbindelse med server-baseret godkendelse
Konfigurere SharePoint-integration med Microsoft Dynamics CRM

© 2016 Microsoft Corporation. Alle rettigheder forbeholdes. Ophavsret