Configurar la autenticación basada en servidor con Dynamics 365 Online y SharePoint local
Publicado: febrero de 2017
Se aplica a: Dynamics 365 (online), Dynamics 365 (on-premises), Dynamics CRM 2016, Dynamics CRM Online
Introducida con Actualización 1 de Microsoft Dynamics CRM Online 2015, la integración de Microsoft SharePoint basada en servidor para la administración de documentos se puede utilizar para conectar Microsoft Dynamics 365 (online) con SharePoint local. Cuando se usa autenticación basada en servidor, Servicios de dominio de Azure AD se usa como agente de confianza y los usuarios no necesitan iniciar sesión en SharePoint.
.jpeg "Dynamics 365 (en línea) y SharePoint local")
En este tema
Permisos requeridos.
Configurar la autenticación de servidor a servidor con Dynamics 365 (en línea) y SharePoint local
Agregar integración de OneDrive para la Empresa
Selección de tipo de asignación de autenticación basada en notificaciones
Permisos requeridos.
Office 365
- Suscripción de administradores globales a Office 365 - esto es necesario para el acceso del nivel administrativo a la suscripción de Microsoft Office 365 y para ejecutar los cmdlets de Microsoft AzurePowerShell.
Microsoft Dynamics 365 (online)
Privilegio Ejecutar el Asistente para la integración de SharePoint. Esto es necesario para ejecutar el Asistente para Habilitar la autenticación basada en servidor en Microsoft Dynamics 365.
El rol de seguridad Administrador del sistema tiene este permiso de forma predeterminada.
SharePoint local
- Pertenencia a grupo de administradores de granja - esto es necesario para ejecutar la mayoría de los comandos PowerShell en el servidor de SharePoint.
Configurar la autenticación de servidor a servidor con Dynamics 365 (en línea) y SharePoint local
Siga los pasos en el orden indicado para configurar Dynamics 365 (online) con SharePoint 2013 local.
Importante
-
Los pasos descritos aquí se deben completar en el orden indicado. Si una tarea no se finaliza, como un comando PowerShell que devuelve un mensaje de error, el problema debe resolver antes de continuar con el siguiente comando, tarea o paso.
-
Después de habilitar la integración de SharePoint basada en servidor, no podrá revertir al anterior método de autenticación basado en cliente. Por lo tanto, no puede usar el Componente de lista de Microsoft Dynamics CRM después de configurar la organización de Dynamics 365 para integración de SharePoint basada en servidor.
Verificación de los requisitos previos
Antes de configurar Microsoft Dynamics 365 (online) y SharePoint local para autenticación basada en servidor, deben cumplirse los siguientes requisitos previos:
Requisitos previos de SharePoint
Microsoft SharePoint 2013 (local) con Service Pack 1 (SP1) o una versión posterior
Importante
Las versiones de Microsoft SharePoint Foundation 2013 no se admiten para usar con administración de documentos de Microsoft Dynamics 365.
Revisión KB2883081 para SharePoint Foundation 2013 12 de agosto de 2014 (Sts-x-none.msp)
Importante
Las siguientes actualizaciones son requisitos previos de KB2883081 y también pueden ser necesarias.
Configuración de SharePoint
SharePoint solo se debe configurar para una implementación de granja única.
El sitio webSharePoint debe ser accesible a través de Internet. Un proxy inverso también se puede requerir para autenticación de SharePoint. Más información: Configure un dispositivo proxy inverso para SharePoint Server 2013 híbrido
El sitio web de SharePoint debe configurarse para usar SSL (HTTPS) y el certificado debe emitirlo una entidad de certificación raíz pública.Más información:SharePoint: Acerca de los certificados SSL de canal seguro
Una propiedad de usuario fiable para usar para la asignación de autenticación basada en notificaciones entre SharePoint y Microsoft Dynamics 365.Más información:Selección de tipo de asignación de autenticación basada en notificaciones
Para el uso compartido de documentos, el servicio de búsqueda de SharePoint debe estar habilitado.Más información:Crear y configurar una aplicación de servicio de búsqueda en SharePoint Server
Para la funcionalidad de administración de documentos al usar las aplicaciones móviles de Microsoft Dynamics 365, el servidor de SharePoint local debe estar disponible a través de Internet.
Si usa Microsoft SharePoint 2013, para cada granja de SharePoint, solo se puede configurar una sola organización Microsoft Dynamics 365 para la integración basada en servidor.
Otros requisitos previos
Licencia de SharePoint Online. La autenticación basada en servidor de Microsoft Dynamics 365 (online) a SharePoint local debe tener el nombre de entidad de seguridad de servicio (SPN) de SharePoint registrado en Azure Active Directory. Para ello, al menos una licencia de usuario SharePoint Online es obligatoria. La licencia de SharePoint Online pueden obtenerse de una sola licencia de usuario y se consigue a partir de una de las acciones siguientes:
Una suscripción a SharePoint Online. Cualquier plan de SharePoint Online es suficiente aunque la licencia no esté asignada a un usuario.
Una suscripción a Office 365 que incluya SharePoint Online. Por ejemplo, si tiene Office 365 E3, tiene la licencia adecuada aunque la licencia no esté asignada a un usuario.
Para obtener más información sobre estos planes, consulte Office 365: Seleccione un plan y Compare las opciones de SharePoint
Las siguientes características del software se requieren para ejecutar los cmdlets de PowerShell descritos en este tema.
Microsoft Online Services - Ayudante para el inicio de sesión para los profesionales de TI Beta
Módulo Azure Active Directory para Windows PowerShell (versión de 64 bits)
Importante
En el momento de redactar este texto, hay un problema con la versión de RTW del Ayudante para el inicio de sesión de Microsoft Online Services para los profesionales de TI. Hasta resolver el problema, se recomienda usar la versión beta.Más información:Foros de Microsoft Azure: No se puede instalar el módulo Azure Active Directory para Windows PowerShell. MOSSIA no está instalado.
Un tipo adecuado de asignación de autenticación basada en notificaciones para usar en la asignación de identidades entre Microsoft Dynamics 365 (online) y SharePoint local. De forma predeterminada se usa la dirección de correo electrónico.Más información:Conceda permiso a Microsoft Dynamics 365 para acceder a SharePoint y configurar la asignación de autenticación basada en notificaciones
Actualizar SharePoint Server SPN en Servicios de dominio de Azure Active Directory
En el servidor local de SharePoint , en el Shell de administración de SharePoint 2013, ejecute estos comandos de PowerShell en el orden indicado.
Prepare la sesión de PowerShell.
Los siguientes cmdlets permiten que el equipo reciba comandos remotos y agregar módulos Office 365 a la sesión de PowerShell. Para obtener más información acerca de estos cmdlets, vea Cmdlets del núcleo de Windows PowerShell.
Enable-PSRemoting -force New-PSSession Import-Module MSOnline -force Import-Module MSOnlineExtended -forceConéctese a Office 365.
Al ejecutar el comando Connect-MsolService, debe proporcionar un Cuenta de Microsoft válido que tenga pertenencia al Administrador global de Office 365 para la licencia de SharePoint Online que se requiere.
Para obtener más información acerca de los comandos de Azure Active DirectoryPowerShell indicados aquí, consulte MSDN: Administración de Azure AD utilizando Windows PowerShell
$msolcred = get-credential connect-msolservice -credential $msolcredEstablezca el nombre host de SharePoint.
El valor que establece para la variable HostName debe ser el nombre de host completo de la colección de sitios de SharePoint. El nombre de host debe derivar URL de la colección de sitios y distingue mayúsculas de minúsculas. En este ejemplo, la dirección URL de la colección de sitios es https://SharePoint.constoso.com/sites/salesteam, por lo que el nombre de host es SharePoint.contoso.com.
$HostName = "SharePoint.contoso.com"Obtenga el identificador del objeto de Office 365 y el Nombre principal de servicio (SPN) de SharePoint Server.
$SPOAppId = "00000003-0000-0ff1-ce00-000000000000" $SPOContextId = (Get-MsolCompanyInformation).ObjectID $SharePoint = Get-MsolServicePrincipal -AppPrincipalId $SPOAppId $ServicePrincipalName = $SharePoint.ServicePrincipalNamesEstablezca el Nombre principal de servicio (SPN) de SharePoint Server en Azure Active Directory.
$ServicePrincipalName.Add("$SPOAppId/$HostName") Set-MsolServicePrincipal -AppPrincipalId $SPOAppId -ServicePrincipalNames $ServicePrincipalName
Después de completar estos comandos, no cierre el Shell de administración de SharePoint 2013 y continúe con el siguiente paso.
Actualice el dominio de SharePoint para que coincida con el de SharePoint Online
En el servidor de SharePoint local, en el Shell de administración de SharePoint 2013, ejecute este comando de Windows PowerShell.
El siguiente comando requiere la pertenencia del administrador de granja de SharePoint y establece el dominio de autenticación de la granja de SharePoint local.
Advertencia
Al ejecutar este comando cambia el dominio de autenticación de la granja SharePoint local. Para las aplicaciones que usan un servicio de token de seguridad (STS) existente, esto podría provocar un comportamiento inesperado con otras aplicaciones que usan los símbolos de acceso. Más información: Set-SPAuthenticationRealm.
Set-SPAuthenticationRealm -Realm $SPOContextId
Crear un emisor de token de seguridad de confianza para Azure Active Directory en SharePoint
En el servidor local de SharePoint , en el Shell de administración de SharePoint 2013, ejecute estos comandos de PowerShell en el orden indicado.
Los siguientes comandos requieren la pertenencia del administrador de granja de SharePoint.
Para obtener más información sobre estos comandos de PowerShell, consulte Usar los cmdlets de Windows PowerShell para administrar la seguridad en SharePoint 2013.
Habilite la sesión de PowerShell para realizar cambios en el servicio de token de seguridad para la granja de SharePoint.
$c = Get-SPSecurityTokenServiceConfig $c.AllowMetadataOverHttp = $true $c.AllowOAuthOverHttp= $true $c.Update()Establezca el extremo de metadatos.
$metadataEndpoint = "https://accounts.accesscontrol.windows.net/" + $SPOContextId + "/metadata/json/1" $acsissuer = "00000001-0000-0000-c000-000000000000@" + $SPOContextId $issuer = "00000007-0000-0000-c000-000000000000@" + $SPOContextIdCree el nuevo proxy de aplicación del servicio de control de token en Azure Active Directory.
New-SPAzureAccessControlServiceApplicationProxy -Name "Internal" -MetadataServiceEndpointUri $metadataEndpoint -DefaultProxyGroupNota
El comando New- SPAzureAccessControlServiceApplicationProxy puede devolver un mensaje de error que indica que existe un proxy de aplicación con el mismo nombre. Si ya existe el proxy de aplicación con nombre, puede ignorar el error.
Cree el nuevo emisor del servicio de control de token en SharePoint local para Azure Active Directory.
$ = New-SPTrustedSecurityTokenIssuer –Name "ACSInternal" –IsTrustBroker:$true –MetadataEndpoint $metadataEndpoint -RegisteredIssuerName $acsissuer
Conceda permiso a Microsoft Dynamics 365 para acceder a SharePoint y configurar la asignación de autenticación basada en notificaciones
En el servidor local de SharePoint , en el Shell de administración de SharePoint 2013, ejecute estos comandos de PowerShell en el orden indicado.
Los siguientes comandos requieren la pertenencia de administración de la colección de sitios de SharePoint.
Registre Microsoft Dynamics 365 con la colección de sitios de SharePoint.
Escriba la dirección URL de la colección de sitios de SharePoint local. En este ejemplo, se usa https://sharepoint.contoso.com/sites/crm/.
Importante
Para completar este comando, debe existir y ejecutarse el proxy de aplicación del servicio de administración de aplicaciones de SharePoint. Para obtener más información acerca de cómo iniciar y configurar el servicio, vea el subtema Configuración de los valores de suscripciones y aplicaciones de servicio de administración de aplicaciones en Configurar un entorno para aplicaciones de SharePoint (SharePoint 2013).
$site = Get-SPSite "https://sharepoint.contoso.com/sites/crm/" Register-SPAppPrincipal -site $site.RootWeb -NameIdentifier $issuer -DisplayName "crm"Conceda a la aplicación de Microsoft Dynamics 365 acceso al sitio de SharePoint. Reemplace https://sharepoint.contoso.com/sites/crm/ con la dirección URL del sitio de SharePoint.
Nota
En el siguiente ejemplo, se concede permiso a la aplicación de Dynamics 365 a la colección de sitios de SharePoint especificada mediante el parámetro de colección de sitios –Scope. El parámetro Scope acepta las siguientes opciones. Elija el ámbito que sea el más adecuado para la configuración de SharePoint.
-
site. Concede permiso a la aplicación de Dynamics 365 al sitio web especificado de SharePoint solo. No concede permiso a ningún subsitio bajo el sitio con nombre.
-
sitecollection. Concede permiso a la aplicación de Dynamics 365 a todos los sitios web y subsitios dentro de la colección de sitios de SharePoint especificada.
-
sitesubscription. Concede permiso a la aplicación de Dynamics 365 a todos los sitios web de la granja de SharePoint, incluidas todas las colecciones de sitios, sitios web y subsitios.
$app = Get-SPAppPrincipal -NameIdentifier $issuer -Site "https://sharepoint.contoso.com/sites/crm/" Set-SPAppPrincipalPermission -AppPrincipal $app -Site $site.Rootweb -Scope "sitecollection" -Right "FullControl"-
Establezca el tipo de asignación de la autenticación basada en notificaciones:
Importante
De forma predeterminada, la asignación de autenticación basada en notificaciones usará la dirección de correo electrónico de Cuenta de Microsoft del usuario y la dirección de Correo electrónico de trabajo de SharePoint local del usuario para asignar. Cuando se usa esto, las direcciones de correo electrónico del usuario deben coincidir entre los dos sistemas. Para obtener más información, vea Selección de tipo de asignación de autenticación basada en notificaciones.
$map1 = New-SPClaimTypeMapping -IncomingClaimType "https://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress" -IncomingClaimTypeDisplayName "EmailAddress" -SameAsIncoming
Ejecute el Asistente para Habilitar la integración de SharePoint basada en servidor
En la aplicación de Microsoft Dynamics 365, siga estos pasos:
Vaya a Configuración > Administración de documentos. (¿Cómo llegar ahí?)
En el área Administración de documentos, haga clic en Habilitar la integración de SharePoint basada en servidor.
Revise la información y, a continuación, haga clic en Siguiente.
Para sitios de SharePoint, haga clic en Local y luego en Siguiente.
Escriba la dirección URL de la colección de sitios de SharePoint local, como https://sharepoint.contoso.com/sites/crm. El sitio se debe configurar para SSL.
Haga clic en Siguiente.
Aparecerá la sección de validación de sitios. Si se determina que todos los sitios son válidos, haga clic en Habilitar. Si se determina que uno o varios sitios no son válidos, consulte Solución de problemas de autenticación basada en servidor.
Seleccione las entidades que desea incluir en administración de documentos
De forma predeterminada, se incluyen las entidades Cuenta, Artículo, Cliente potencial, Producto, Oferta y Documentación de ventas. Puede agregar o quitar las entidades que se usarán para la administración de documentos con SharePoint en Configuración de administración de documentos en Microsoft Dynamics 365.Vaya a Configuración > Administración de documentos. (¿Cómo llegar ahí?)Más información:Centro de clientes: Habilitar la administración de documentos en entidades
Agregar integración de OneDrive para la Empresa
Tras completar la configuración de autenticación basada en servidor de Microsoft Dynamics 365 y SharePoint local, también puede integrar OneDrive para la Empresa. Con la integración de Microsoft Dynamics 365 y OneDrive para la Empresa, los usuarios de Dynamics 365 pueden crear y administrar documentos privados con OneDrive para la Empresa. Se puede acceder a estos documentos desde Dynamics 365 una vez que el administrador del sistema ha habilitado OneDrive para la Empresa.
Habilitar OneDrive para la Empresa
En el servidor de Windows donde se ejecuta SharePoint Server local, abra el shell de administración de SharePoint y ejecute los siguientes comandos:
Add-Pssnapin *
# Access WellKnown App principal
[Microsoft.SharePoint.Administration.SPWebService]::ContentService.WellKnownAppPrincipals
# Create WellKnown App principal
$ClientId = "00000007-0000-0000-c000-000000000000"
$PermissionXml = "<AppPermissionRequests AllowAppOnlyPolicy=""true""><AppPermissionRequest Scope=""https://sharepoint/content/tenant"" Right=""FullControl"" /><AppPermissionRequest Scope=""https://sharepoint/social/tenant"" Right=""Read"" /><AppPermissionRequest Scope=""https://sharepoint/search"" Right=""QueryAsUserIgnoreAppPrincipal"" /></AppPermissionRequests>"
$wellKnownApp= New-Object -TypeName "Microsoft.SharePoint.Administration.SPWellKnownAppPrincipal" -ArgumentList ($ClientId, $PermissionXml)
$wellKnownApp.Update()
Selección de tipo de asignación de autenticación basada en notificaciones
De forma predeterminada, la asignación de autenticación basada en notificaciones usará la dirección de correo electrónico de Cuenta de Microsoft del usuario y la dirección de correo electrónico de trabajo de SharePoint local del usuario para asignar. Observe que, cualquiera que sea el tipo de autenticación basada en notificaciones que use, los valores como direcciones de correo electrónico deben coincidir entre Microsoft Dynamics 365 (online) y SharePoint. La sincronización de directorios de Office 365 puede ayudar a esto.Más información:Implemente la sincronización de directorios de Office 365 (DirSync) en Microsoft Azure Para usar un tipo diferente de asignación de autenticación basada en notificaciones, vea Definir asignación de notificación personalizada para la integración basada en el servidor de SharePoint.
Importante
Para habilitar la propiedad de correo electrónico de trabajo, SharePoint local debe tener una aplicación de servicio de perfil de usuario iniciada y configurada. Para habilitar una aplicación de servicio de perfil de usuario en SharePoint, vea Crear, editar o eliminar aplicaciones de servicio de perfil de usuario en SharePoint Server 2013. Para cambiar una propiedad de usuario, como correo electrónico de trabajo, vea Editar una propiedad de perfil de usuario. Para obtener más información acerca de la aplicación del servicio de perfil de usuario, vea Información general de la aplicación del servicio de perfil de usuario en SharePoint Server 2013.
Ver también
Solución de problemas de autenticación basada en servidor
Configuración de la integración de SharePoint con Microsoft Dynamics 365
© 2017 Microsoft. Todos los derechos reservados. Copyright