Configurer l'authentification basée sur serveur avec Dynamics CRM Online et SharePoint local
Date de publication : novembre 2016
S’applique à : Dynamics CRM 2015
Présentée avec Mise à jour 1 de Microsoft Dynamics CRM Online 2015, l'intégration basée sur serveur de Microsoft SharePoint pour la gestion des documents peut désormais être utilisée pour connecter Microsoft Dynamics CRM Online avec SharePoint local. Lorsque vous utilisez l'authentification basée sur serveur, le service Azure Active Directory Access Control Service (ACS) jour le rôle de courtier et les utilisateurs n'ont pas besoin de se connecter à SharePoint. En outre, le contrôle de liste, qui nécessite la fonctionnalité obsolète de mise en bac à sable de SharePoint, n'est pas requis pour afficher des documents SharePoint dans les vues Microsoft Dynamics 365 .
.jpeg "CRM Online et SharePoint local")
Autorisations requises
Office 365
- Appartenance Administrateur global d'Office 365. Cette condition est requise pour l'accès au niveau administrateur à l'abonnement Microsoft Office 365 et pour exécuter les applets de commande Microsoft AzurePowerShell.
Microsoft Dynamics CRM Online
Privilège Exécuter l'Assistant Intégration SharePoint privilege. Il est requis pour exécuter l'Assistant d'activation de l'authentification basée sur serveur dans Microsoft Dynamics 365.
Par défaut, l'administrateur système possède cette autorisation.
SharePoint local
- Appartenance au groupe Administrateurs de batterie. Elle est requise pour exécuter la plupart des commandes PowerShell sur le serveur SharePoint.
Configuration de l'authentification serveur à serveur avec CRM Online et SharePoint local
Suivez les étapes dans l'ordre indiqué pour configurer CRM Online avec SharePoint 2013 en local.
Important
La procédure décrite ici doit être exécutée dans l'ordre indiqué. Si une tâche n'est pas terminée, comme une commande PowerShell qui renvoie un message d'erreur, le problème doit être résolu avant de passer à la commande, à la tâche ou à l'étape suivante.
Vérification des conditions préalables requises
Avant de configurer le site Microsoft Dynamics CRM Online et SharePoint en local pour l'authentification basée sur serveur, la configuration requise suivante doit être satisfaite.
Configuration préalable pour SharePoint
Microsoft SharePoint 2013 (local) avec le Service Pack 1 (SP1) ou une version ultérieure
Important
Les versions Microsoft SharePoint Foundation 2013 ne sont pas prises en charge pour une utilisation avec la gestion de documents Microsoft Dynamics 365.
Correctif KB2883081 pour SharePoint Foundation 2013 (12 août 2014) Sts-x-none.msp
Important
Les mises à jour suivantes sont des conditions préalables à KB2883081 et peuvent également être nécessaires.
Configuration de SharePoint
SharePoint doit être configuré pour un seul déploiement en batterie uniquement.
Le site Web de SharePoint doit être accessible par Internet. Un proxy inverse peut également être nécessaire pour l'authentification SharePoint . Informations complémentaires : Configuration d'un proxy inverse pour serveur SharePoint 2013 hybride
Le site Web de SharePoint doit être configuré pour utiliser SSL (HTTPS) et le certificat doit être émis par une autorité de certification racine publique.Pour plus d'informations :SharePoint : À propos des certificats SSL de canal sécurisé
Une propriété utilisateur fiable à utiliser pour le mappage de l'authentification basée sur les revendications entre SharePoint et Microsoft Dynamics 365.Pour plus d'informations :Sélection d'un type de mappage de l'authentification basée sur les revendications
Autres conditions préalables
Licence SharePoint Online. L'authentification basée sur serveur de Microsoft Dynamics CRM Online à SharePoint doit avoir le nom de principal du service (SPN) SharePoint enregistré dans Azure Active Directory. Pour ce faire, au moins une licence utilisateur SharePoint Online est requise. La licence SharePoint Online peut dériver d'une seule licence utilisateur et provient généralement de l'un des éléments suivants :
Un abonnement SharePoint Online. Tout plan SharePoint Online est suffisant même si la licence n'est pas affectée à un utilisateur.
Un abonnement Office 365 incluant SharePoint Online. Par exemple, si Office 365 E3 est installé, vous disposez de la licence appropriée même si elle n'est pas affectée à un utilisateur.
Pour plus d'informations sur ces plans, voir Office 365 : Choisir un plan et Comparer les options SharePoint
Les fonctionnalités logicielles suivantes sont nécessaires pour exécuter les applets de commande PowerShell décrites dans cette rubrique.
Important
À l'heure de la rédaction, il existe un problème avec la version RTW de l'assistance de connexion Microsoft Online Services pour les professionnels des technologies de l'information. Jusqu'à ce que ce problème soit résolu, il est recommandé d'utiliser la version Bêta.Pour plus d'informations :Forums Microsoft Azure : Impossible d'installer le module Azure Active Directory pour Windows PowerShell. MOSSIA n'est pas installé.
Type approprié de mappage de l'authentification basée sur les revendications à utiliser pour mapper les identités entre Microsoft Dynamics CRM Online et SharePoint local. Par défaut, l'adresse de messagerie est utilisée.Pour plus d'informations :Accordez à Microsoft Dynamics CRM l'autorisation d'accès à SharePoint et de configurez le mappage d'authentification basée sur les revendications
Mise à jour de SharePoint Server SPN dans ACS
Sur le serveur SharePoint local, dans le Management Shell SharePoint 2013, exécutez les commandes PowerShell dans l'ordre indiqué.
Préparez la session PowerShell .
Les applets de commande suivantes permettent à l'ordinateur de recevoir des commandes à distance et d'ajouter des modules Office 365 à la session PowerShell . Pour plus d'informations sur ces applets de commande, voir Applets de commande principales de Windows PowerShell.
Enable-PSRemoting -force New-PSSession Import-Module MSOnline -force Import-Module MSOnlineExtended -forceConnectez-vous à Office 365.
Lorsque vous exécutez la commande Connect-MsolService, vous devez entrer un Compte Microsoft valide ayant l'appartenance Administrateur global d'Office 365 pour la licence SharePoint Online demandée.
Pour plus d'informations sur chacune des commandes Azure Active DirectoryPowerShell répertoriées ici, voir MSDN : Gestion de Azure AD à l'aide de Windows PowerShell.
$msolcred = get-credential connect-msolservice -credential $msolcredDéfinissez le nom de l'hôte SharePoint.
La valeur que vous définissez pour la variable HostName doit être le nom d'hôte complet de la collection de sites SharePoint . Le nom d'hôte doit être dérivé de l'URL de la collection de sites et est sensible à la casse. Dans cet exemple, l'URL de la collection de sites est *https://SharePoint.constoso.com/sites/salesteam* ; ainsi le nom d'hôte est SharePoint.contoso.com.
$HostName = "SharePoint.contoso.com"Procurez-vous l'ID d'objet Office 365(client) et le nom de principal de service (SPN) SharePoint Server.
$SPOAppId = "00000003-0000-0ff1-ce00-000000000000" $SPOContextId = (Get-MsolCompanyInformation).ObjectID $SharePoint = Get-MsolServicePrincipal -AppPrincipalId $SPOAppId $ServicePrincipalName = $SharePoint.ServicePrincipalNamesDéfinissez le nom de principal de service (SPN)SharePoint Server dans ACS.
$ServicePrincipalName.Add("$SPOAppId/$HostName") Set-MsolServicePrincipal -AppPrincipalId $SPOAppId -ServicePrincipalNames $ServicePrincipalName
Une fois ces commandes achevées, ne fermez pas SharePoint 2013 Management Shell, et procédez à l'étape suivante.
Mise à jour du domaine SharePoint pour qu'il corresponde à celui de SharePoint Online
Sur le serveur SharePoint local, dans le Management Shell SharePoint 2013, exécutez ces commandes Windows PowerShell.
La commande suivante nécessite l'appartenance administrateur de batterie SharePoint et définit le domaine d'authentification de SharePoint sur la batterie locale.
Avertissement
L'exécution de cette commande modifie le domaine d'authentification de la batterie SharePoint locale. Pour les applications qui utilisent un service d'émission de jeton de sécurité (STS) existant, cela peut entraîner un comportement inattendu avec d'autres applications qui utilisent les jetons d'accès. Pour plus d'informations, voir Set-SPAuthenticationRealm.
Set-SPAuthenticationRealm -Realm $SPOContextId
Création d'un émetteur de jeton de sécurité de confiance pour ACS sur SharePoint
Sur le serveur SharePoint local, dans le Management Shell SharePoint 2013, exécutez les commandes PowerShell dans l'ordre indiqué.
Les commandes suivantes requièrent l'appartenance administrateur de batterie SharePoint .
Pour plus d'informations sur ces commandes PowerShell, voir Utilisation des applets de commande Windows PowerShell pour administrer la sécurité dans SharePoint 2013.
Activez la session PowerShell pour modifier le service d'émission de jeton de sécurité pour la batterie SharePoint.
$c = Get-SPSecurityTokenServiceConfig $c.AllowMetadataOverHttp = $true $c.AllowOAuthOverHttp= $true $c.Update()Définissez le point de terminaison des métadonnées.
$metadataEndpoint = "https://accounts.accesscontrol.windows.net/" + $SPOContextId + "/metadata/json/1" $acsissuer = "00000001-0000-0000-c000-000000000000@" + $SPOContextId $issuer = "00000007-0000-0000-c000-000000000000@" + $SPOContextIdCréez le nouveau proxy d'application de service de jeton de contrôle dans ACS.
New-SPAzureAccessControlServiceApplicationProxy -Name "ACSInternal" -MetadataServiceEndpointUri $metadataEndpoint -DefaultProxyGroupNotes
La commande New- SPAzureAccessControlServiceApplicationProxy peut retourner un message d'erreur pour indiquer qu'un proxy d'application ACS du même nom existe déjà. Si le proxy d'application ACS nommé existe déjà, vous pouvez ignorer l'erreur.
Créez le nouvel émetteur de jeton de contrôle dans SharePoint local pour ACS
$acs = New-SPTrustedSecurityTokenIssuer –Name "ACSInternal" –IsTrustBroker:$true –MetadataEndpoint $metadataEndpoint -RegisteredIssuerName $acsissuer
Accordez à Microsoft Dynamics CRM l'autorisation d'accès à SharePoint et de configurez le mappage d'authentification basée sur les revendications
Sur le serveur SharePoint local, dans le Management Shell SharePoint 2013, exécutez les commandes PowerShell dans l'ordre indiqué.
Les commandes suivantes requièrent l'appartenance Administrateur de collection de sites SharePoint.
Enregistrez Microsoft Dynamics 365 avec la collection de sites SharePoint .
Entrez l'URL de la collection de sites SharePoint en local. Dans cet exemple, https://sharepoint.contoso.com/sites/crm/ est utilisé.
Important
Pour réaliser cette commande, le proxy d'applications de service de gestion des applications SharePoint doit exister et être en cours d'exécution. Pour savoir comment démarrer et configurer le service, voir la sous-rubrique Configuration des paramètres d'abonnement et des applications de service de gestion d'applications dans Configuration d'un environnement pour les applications pour SharePoint (SharePoint 2013).
$site = Get-SPSite "https://sharepoint.contoso.com/sites/crm/" Register-SPAppPrincipal -site $site.RootWeb -NameIdentifier $issuer -DisplayName "crm"Autorisez l'application Microsoft Dynamics 365 à accéder au site SharePoint. Remplacez https://sharepoint.contoso.com/sites/crm/ par l'URL de votre site SharePoint.
Notes
Dans l'exemple ci-dessous, l'application Dynamics 365 est autorisée à accéder à la collection de sites SharePoint spécifiée à l'aide du paramètre de collection de sites Étendue. Le paramètre Étendue accepte les options suivantes. Choisissez l'étendue la plus appropriée pour votre configuration SharePoint.
-
site. Autorise l'application Dynamics 365 à accéder uniquement au site Web SharePoint spécifié. Il n'autorise pas l'accès aux sous-sites du site nommé.
-
sitecollection. Autorise l'application Dynamics 365 à accéder à tous les sites Web et sous-sites de la collection de sites SharePoint spécifiée.
-
sitesubscription. Autorise l'application Dynamics 365 à accéder à tous les sites Web de la batterie SharePoint, notamment l'ensemble des collections de sites, sites Web et sous-sites.
$app = Get-SPAppPrincipal -NameIdentifier $issuer -Site "https://sharepoint.contoso.com/sites/crm/" Set-SPAppPrincipalPermission -AppPrincipal $app -Site $site.Rootweb -Scope "sitecollection" -Right "FullControl"-
Définissez le type de mappage de l'authentification basée sur les revendications
Important
Par défaut, le mappage de l'authentification basée sur les revendications utilise l'adresse de messagerie Compte Microsoft de l'utilisateur et son adresse Courrier électronique de travailSharePoint locale pour le mappage. Lorsque vous utilisez ceci, les adresses de messagerie de l'utilisateur doivent être identiques dans les deux systèmes. Pour plus d'informations, voir Sélection d'un type de mappage de l'authentification basée sur les revendications.
$map1 = New-SPClaimTypeMapping -IncomingClaimType "https://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress" -IncomingClaimTypeDisplayName "EmailAddress" -SameAsIncoming
Exécution de l'assistant d'activation d'intégration SharePoint basée sur un serveur
Dans l'application Microsoft Dynamics 365, procédez comme suit.
Accédez à Paramètres > Gestion des documents.
Dans la zone Gestion des documents, sélectionnez Activer l'intégration SharePoint basée sur un serveur.
Passez les informations en revue et sélectionnez Suivant.
Pour les sites SharePoint , sélectionnez Local, puis Suivant.
Entrez l'URL de la collection de sites SharePoint en local, comme https://sharepoint.contoso.com/sites/crm. Le site doit être configuré pour SSL.
Sélectionnez Suivant.
La section de validation des sites apparaît. Si tous les sites sont déterminés valides, sélectionnez Activer. Si un ou plusieurs sites sont déterminés non valides, voir Dépannage l'authentification basée sur serveur.
Sélectionnez les entités à inclure dans la gestion des documents
Par défaut, les entités Compte, Article, Prospect, Produit, Devis Documentation commerciale sont incluses. Vous pouvez ajouter ou supprimer les entités qui seront utilisées pour la gestion de documents avec SharePoint dans Paramètres de gestion des documentsMicrosoft Dynamics 365.Accédez à Paramètres > Gestion des documents.Pour plus d'informations :Centre de clients : Activation de la gestion des documents sur des entités
Sélection d'un type de mappage de l'authentification basée sur les revendications
Par défaut, le mappage de l'authentification basée sur les revendications utilise l'adresse de messagerie Compte Microsoft de l'utilisateur et son adresse Courrier électronique de travail SharePoint locale pour le mappage. Notez que, quel que soit le type d'authentification basée sur les revendications que vous utilisez, les valeurs telles que les adresses de messagerie, doivent être identiques entre Microsoft Dynamics CRM Online et SharePoint. La synchronisation du répertoire Office 365 peut être utile.Pour plus d'informations :Déploiement de la synchronisation de répertoire Office 365 (DirSync) dans Microsoft Azure Pour utiliser un autre type de mappage d'authentification basée sur les revendications, voir MSDN : Définition d'un mappage de revendications personnalisé pour l'intégration SharePoint basée sur serveur.
Important
Pour activer la propriété de messagerie de travail, le SharePoint local doit avoir une application de service Profil utilisateur configurée et démarrée. Pour activer une application de service Profil utilisateur dans SharePoint, voir Création, modification ou suppression d'applications de service Profil utilisateur dans SharePoint Server 2013. Pour apporter des modifications à une propriété d'utilisateur, comme la messagerie de travail, voir Modification d'une propriété de profil utilisateur. Pour plus d'informations sur l'application de service Profil utilisateur, voir Vue d'ensemble de l'application de service Profil utilisateur dans SharePoint Server 2013.
Voir aussi
Dépannage l'authentification basée sur serveur
Configuration de l'intégration de SharePoint à Microsoft Dynamics CRM
© 2016 Microsoft Corporation. Tous droits réservés. Copyright